标签: ipsec

我经常旅行并一直连接到公共 wifi 热点。如果我在公共 wifi 热点内使用 VPN 会给出什么信息？热点中的所有者或入侵者能否检测到我访问的网站（DNS 查找、流量嗅探）？

换句话说，使用 VPN 是否会完全保护我的浏览隐私并保护我的流量不被检测到？有什么我需要注意的问题吗？

我有一个 ASA，它使用证书身份验证（没有 xauth，只有证书）提供 IPsec VPN 服务。它与 Cisco IPsec VPN 客户端完美配合。现在我正在尝试让 iPhone 连接。

我已经使用 iPCU 以及 VPN 配置在 iPhone 上安装了 CA 证书和客户端证书。然后连接给出错误“无法验证服务器证书”。此外，ASA 会记录错误“收到具有无效负载的加密 Oakley 信息数据包”。

FWIW，我在尝试使用 Snow Leopard IPsec 客户端进行连接时收到相同的无效负载错误。

有没有人成功地让 iPhone IPsec 客户端使用证书认证？

Google 通过 iptables/netfilter 向我展示了 PPTP/GRE NAT 的一些回报，这将允许多个连接。

但是，我没有找到使用此 pptp helper 模块的示例。以前有人做过这个吗？

我们是一家小型开发公司，希望远程访问以下服务：

• http
• SMB网络共享
• rdc/vnc

目前我们使用很多 ssh 隧道来做到这一点。我们正在考虑切换到 vpn 解决方案，希望该解决方案需要更少的客户端设置，例如设置主机文件等。

我们想要全名解析（wins/netbios 和 dns），就像我们连接到办公网络一样。

OpenVPN 是适合这项工作的工具吗？似乎在“桥接”模式下使用开放 vpn 会给我们我们想要的一切。

桥接模式与路由模式的优缺点是什么？OpenVPN 与其他类型的 vpn 解决方案（ipsec、pptp、cisco）相比如何？OpenVPN 会与其他 vpn 客户端很好地配合吗？我们能否同时使用多个（不同供应商）VPN 客户端？

我在使用 fedora 17 linux 机器和 strongSwanv5.0.1dr2 配置与 Android 设备的连接时遇到问题。我取得了一些进展，但是当我尝试添加配置以支持 xauth 身份验证时，我在尝试重新加载配置文件时收到错误消息。对于 keyexchange 设置的值 ikev1 以及每当我尝试为 rightauth 设置值时，我都会收到类似的错误。有没有其他人遇到过这个问题 ipsec.conf 的手册页和 strongswan wiki 上的文档都表明这些设置和值在 5.0.xx 中应该没问题我可以尝试设置 authby 但根据我阅读的文档已弃用xauthpsk 值不起作用。非常感谢任何帮助。

无法加载配置 '/etc/ipsec.conf': /etc/ipsec.conf:25: 语法错误，意外字符串 [leftauth]

# /etc/ipsec.conf - Openswan IPsec configuration file
#
# Manual:     ipsec.conf.5
#
# Please place your own config files in /etc/ipsec.d/ ending in .conf

version 2.0     # conforms to second version of ipsec.conf specification

# basic configuration
config setup
       # For Red Hat Enterprise Linux and Fedora, leave …

我想为 OSX 台式机和笔记本电脑设置 IPSec 响应器（VPN 服务器）。

一切似乎都工作正常，除了我无法在启动器（VPN 客户端）上推送要在系统范围内使用的 DNS 服务器。

我在 StrongSwan 5.0.4 中使用 Charon 的 IKEv1 支持，带有 Unity 扩展，并且 OSX 机器使用网络首选项中的“Cisco VPN”以图形方式配置。

我确实尝试更改客户端上的服务顺序以将 VPN 放在顶部，但这没有帮助。

在 中scutils --dns，解析器只出现resolver #1在DNS configuration (for scoped queries)部分中，而不是出现在第一部分中DNS configuration。

以下是相关的配置文件：

/etc/ipsec.conf：

conn %default
  ikelifetime=24h
  keylife=1h
  rekeymargin=10m
  keyingtries=3
  keyexchange=ikev1
  left=%defaultroute
  auto=add

conn main
  leftfirewall=yes
  leftsubnet=0.0.0.0/0
  leftauth=psk
  right=%any
  rightauth=psk
  rightauth2=xauth-pam
  rightsourceip=172.17.0.0/22

/etc/strongswan.conf：

charon {
  threads = 16
  cisco_unity = yes
  plugins {
    attr {
      dns = 172.16.0.23
      split-include …

我在云虚拟机上配置了一个小型网络。这个虚拟机有一个分配给 eth0 接口的静态 IP 地址，我称之为 $EXTIP。mydomain.com 指向 $EXTIP。在里面，我有一些 linux 容器，它们通过子网 10.0.0.0/24 中的 DHCP 获取它们的 ip（我称之为虚拟接口nat）。他们运行一些可以通过 DNAT 访问的服务。然后我想通过IPSec隧道连接到这些容器，所以我配置了StrongSwan。

ipsec.conf:

conn %default
        dpdaction=none
        rekey=no

conn remote
        keyexchange=ikev2
        ike=########
        left=[$EXTIP]
        leftsubnet=10.0.1.0/24,10.0.0.0/24
        leftauth=pubkey
        lefthostaccess=yes
        leftcert=########.pem
        leftfirewall=yes
        leftid="#########"
        right=%any
        rightsourceip=10.0.1.0/24
        rightauth=########
        rightid=%any
        rightsendcert=never
        eap_identity=%any
        auto=add
        type=tunnel

一切正常，IPSec 客户端获得 10.0.1.0/24 子网的 IP 并且可以访问容器子网。我的问题是我无法通过隧道获得 SSH 连接。它根本不起作用，ssh 客户端不产生任何输出。使用 tcpdump 嗅探给出：

tcp转储：

09:50:29.648206 ARP, Request who-has 10.0.0.1 tell mydomain.com, length 28
09:50:29.648246 ARP, Reply 10.0.0.1 is-at 00:ff:aa:00:00:01 (oui Unknown), length 28
09:50:29.648253 IP mydomain.com.54869 > 10.0.0.1.ssh: Flags …

我正在尝试使用带有 IKEv1 的 IPsec/L2TP 设置带有 asa 5505 的 Windows 内置 VPN。使用 psk 远程访问 vpn。

我在第 1 阶段遇到了不匹配错误，我无法弄清楚 Windows 10 正在使用什么 IPsec 提议，所以我可以在 Asa5505 端进行匹配！？即身份验证方法、哈希算法、加密算法、DH 组和生命周期。

那么，Windows 10 使用内置 VPN 客户端的 IPsec 提议是什么，是否有可能改变这一点？

有什么技巧和窍门吗？

问候。

我在我的 CentOS 7 虚拟专用服务器（子网 172.25.10.0/24 的公共 IP xxx233）和客户网络（子网 10.9.200.0/24 的公共 IP yyy24）之间设置了一个站点到站点的 IPsec 隧道。隧道似乎连接良好，但我无法让交通通过它。我试图在充当网关的同一主机上设置 172.25.10.0/24 子网，我认为我做得不正确。

VPS 上conn的部分是：ipsec.conf

conn customer
    esp=aes256-sha1-modp1024
    ike=aes256-sha1-modp1024
    keyexchange=ikev1
    authby=psk
    left=%defaultroute
    leftsubnet=172.25.10.0/24
    leftfirewall=yes
    right=y.y.y.24
    rightsubnet=10.9.200.0/24
    auto=start

据我所知，隧道本身运行良好。strongswan statusall在VPS上显示：

Security Associations (1 up, 0 connecting):
      customer[29]: ESTABLISHED 110 minutes ago, x.x.x.233[x.x.x.233]...y.y.y.24[y.y.y.24]
      customer[29]: IKEv1 SPIs: 0123456789abcdef_i* 0123456789abcdef_r, pre-shared key reauthentication in 50 minutes
      customer[29]: IKE proposal: AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
      customer{88}:  INSTALLED, TUNNEL, reqid 1, ESP SPIs: 01234567_i 01234567_o
      customer{88}:  AES_CBC_256/HMAC_SHA1_96/MODP_1024, 0 bytes_i, 0 bytes_o, rekeying …

我将如何阻止特定的 .exe 访问任何网络 (TCP) 资源，但 1 或 2 个 IP 地址除外？

可以使用 Windows 防火墙（netsh 或 UI）和/或 IPSec 来完成吗？如果是这样，如何？

笔记：

• 我不想将我的默认防火墙行为设置为 BLOCK。
• 操作系统是 Windows 10 专业版

谢谢！