我们的 VPN 用户体验非常慢的文件传输（50MB 可能需要 20 分钟，每侧 20Mbps FiOS 连接）。如果文件是通过 HTTP 或 FTP 传输的，它的速度与您预期的一样快。我怀疑这与 Windows 处理文件传输的方式有关，因为它可能不希望有任何延迟。有没有办法调整这个？

VPN 是 SafeNet IPSec，客户端是 XP。

我们是一家非常小的公司，即将在托管公司安装新服务器。计划是安装操作系统、SQL 和 IIS，对其进行测试，然后将其快递给托管公司。然后它大概会出现在网上，准备进一步设置。我们计划通过 RDP 管理它。

上次我们完成这个过程时，我们使用的是 Server 2003，IPSEC 管理员有点麻烦。

与Server 2008 有什么不同吗？除了来自几个 IP 地址的访问之外，是否有一种快速的方法来限制所有访问？

将不胜感激任何指针，或为非专家保护 Server 2008 的白痴指南。

我们经常遇到无法使 IPSEC VPN 隧道正常工作的问题。有时我们知道地方当局限制使用 IPSEC（例如孟加拉国），并且必须获得某种豁免。有时 ISP 更改某些内容并且连接断开（例如海地）。

我认为有很多事情可能会阻止 IPSEC 工作。例如，阻止 UDP 端口 500 将阻止 IKE。

不是为特定问题寻找解决方案，而是有人可以列出 ISP 可能采取哪些不同措施来阻止 IPSEC 流量，无论是有意还是无意？

这个问题的答案将有助于故障排除，而且还可以让 ISP 知道当我们无法启动 VPN 时他们需要解决哪些具体问题！

我在主机托管设施中使用Cisco ASA 5505 50 用户防火墙。此位置的系统正在执行对其他远程站点（也运行 Pix 或 ASA 设备）的监控。我已经建立了站点到站点隧道，但在其当前许可方案下达到了设备的硬限制。ASA 5505 型号仅限于 10 个同步 IPsec 隧道。

我很好奇我在这里的选择。理想情况下，我希望能够处理 15-20 个连接。根据研究，我似乎可以添加额外的Security Plus许可证以扩展到 25 个 VPN 隧道。另一个选项似乎是转向 Cisco ASA 5510。

鉴于我在 colo 拥有少量系统，是否只是为了获得额外的 VPN 功能而迁移到 ASA 5510？将 ASA 5505 升级到 25-VPN 选项是否有任何缺点（硬件/性能/等）？还有其他我错过的选择吗？

我的 ASA 集群上的远程访问 VPN 连接有一个奇怪的问题。

正常的站点到站点隧道和 AnyConnect 连接工作正常。但是，特殊的 ipsec ikev1 隧道没有。它建立并保持正常运行，但客户端（在本例中为 Avaya VPN 电话）既没有收到客户端地址，也没有要求提供地址（有点不确定该怪谁）。

此图显示了连接建立时的连接。请注意，分配的 IP 地址为空。字节 TX 为“0”是很自然的，因为内部网络没有客户端可路由。

我尝试通过 ASDM 调试它，但没有运气。我对 CLI 没有足够的信心进行控制台调试，因为我们大量使用“通知”关键字来匹配我们拥有的每个 ACL。

建议？

我在两个防火墙之间设置了 IPSEC 连接。现在我想删除防火墙中的隧道，即“Fortigate 60”。

每个 IPSEC 连接有两个阶段，“阶段 1”和“阶段 2”。我可以通过单击垃圾桶图标（在 Web 界面中）删除“第 2 阶段”条目，但“第 1 阶段”没有这样的图标。可以删除吗？

当我查看日志时，它会警告该隧道无法正常工作（删除“第 2 阶段”后），并且日志中没有大量此类事件会很好。

所有的想法都受到赞赏。

我正在尝试使用 OpenSwan 与 FortiGate 路由器建立 IPsec 连接。FortiGate 位于两个不同的子网中，我需要访问这两个子网。在 FortiGate 中，我定义了一个阶段 1 连接和一个阶段 2 连接。这使我能够成功连接到其中一个子网。

我需要能够同时访问两个子网。公认的智慧似乎是在 OpenSwan 中创建两个单独的连接（每个子网一个），并且在建立附加连接时，它将自动尝试重用现有的第 1 阶段隧道（在为附加连接创建新的第 2 阶段隧道时）。

当我启动这两个连接时，根据日志，OpenSwan 似乎陷入了尝试依次重新协商每个连接的连续循环中（我每次只能 ping 一个子网）。我猜测这是因为 FortiGate 在尝试新连接时会断开现有连接。

我有以下问题：

• 我应该如何配置 FortiGate 以允许来自同一 IPsec 启动器的两个并发连接（每个子网一个连接）？这可能吗？（文档对此似乎有点含糊。）

• 我是否需要专门将 FortiGate 中的第 2 阶段连接关联到特定子网，如果是这样，我该如何执行此操作？

• 在同一端点之间建立多个 IPsec VPN 连接时是否存在任何问题/陷阱？

我通过在两个 pfSense 防火墙之间建立的 IPSec 隧道连接到办公室中的 QNap NAS（Ubuntu 4.1.2）。这几个月来一直很好。我最近更换了新型号的 NAS 并将固件升级到最新版本。从那时起，当我通过 SSH 连接并运行任何返回多于几行文本的内容时，SSH 连接就会终止。

这意味着它不再响应输入并且终端永远不会超时。回车-~-。序列也不会把它带回来。例如，在根文件夹中运行 ls 工作正常，在 /etc/config 文件夹中运行 ls 将冻结控制台。运行 top 将在大约 20 行后冻结控制台。

我尝试了不同的客户端，这发生在 SecureCRT 和 Putty 上。当我 RDP 进入办公室的 Windows 机器并从那里（在同一子网中）SSH 到 NAS 时，这不会发生，并且相同的命令运行得很好。

我发现了一些提示，这可能与 MTU 相关（例如在这篇文章中），但没有任何结论适用于我的设置。尽管如此，我还是会尝试 MTU 设置，但同时我想也许有人可以提供具体的建议。

我已经成功建立了一个 IPsec 连接，但它只能部分工作。一侧不通过隧道发送数据包。这边好像网络拓扑不清楚。

任何帮助表示高度赞赏！谢谢！！

这是网络方案：

"office"(192.168.73.0/24) == "vpn"(192.168.73.1) == "router"(6.6.6.6) <====> "server"(7.7.7.7) == "VM_LAN"(192.168.133.0/24)

6.6.6.6 和 7.7.7.7 是象征性的公共 IP，即“路由器”和“服务器”都直接连接到互联网。

“vpn”和“server”都运行 CentOS 6。“router”是一个电缆调制解调器，执行 NAT 和端口转发。

连接已建立。

在“vpn”上我可以ping“服务器”的内部IP：

[root@vpn]# ping 192.168.133.1
PING 192.168.133.1 (192.168.133.1) 56(84) bytes of data.
64 bytes from 192.168.133.1: icmp_seq=1 ttl=64 time=74.8 ms

在“服务器”上，我无法 ping 通“vpn”，甚至没有发送数据包。

以下是来自“服务器”的转储，显示上面的 ping 数据包进入。当从“服务器”ping 时，我使用相同的命令来测试数据包是否从“服务器”发送到“vpn”，但没有显示数据包。

[root@server]# tcpdump port 500 or port 4500
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes …

我有以下生成证书的 ipsec 命令，但我没有安装 ipsec，因此正在寻找 openssl 等效命令。有人可以帮忙吗？

创建证书颁发机构证书

ipsec pki --gen --type rsa --size 4096 --outform pem > server-root-key.pem

ipsec pki --self --ca --lifetime 3650 \
--in server-root-key.pem \
--type rsa --dn "C=GB, O=Self Signed, CN=VPN Server Root CA" \
--outform pem > server-root-ca.pem

创建VPN服务器证书

ipsec pki --gen --type rsa --size 4096 --outform pem > vpn-server-key.pem

ipsec pki --pub --in vpn-server-key.pem \
--type rsa | ipsec pki --issue --lifetime 1825 \
--cacert /etc/swanctl/x509ca/server-root-ca.pem \
--cakey /etc/swanctl/private/server-root-key.pem \
--dn "C=GB, O=Self signed, …