我们有一个 AWS EC2 服务器,我们将其配置为只能从我们的办公网络内访问(通过 SSH)。显然,这对于有人必须连接到 EC2 实例并在办公室外远程工作(例如在出差期间)的远程安排来说并不理想。
我已经设法通过 PPTP 设置了一个 VPN,并且可以连接到办公室网络(我有两个本地 IP,一个来自 wlan0,一个来自 ppp0),无论我身在何处。但是,当我通过 SSH 连接到 EC2 实例时,它仍然很可能拒绝了我,因为它发现我仍在尝试从网络外部进行 ssh。
我想问题是我无法路由 ssh 流量以通过 VPN。我有什么想法可以做到这一点吗?
我的另一个选择是通过 ssh 连接到办公室网络中的一台机器,然后使用该机器通过 ssh 连接到 EC2 实例,但我一直犹豫是否这样做,因为这似乎太过分了。
对于“拨入”VPN,PPTP 或 IPSEC VPN 是否比另一个更安全,如果是,为什么?
场景:两台运行 RRAS VPN 的 Windows Server 2003 机器。防火墙端口将 1723 转发到其中一台机器以进行正常的远程访问。我也想找到一种连接到第二台机器的方法。不是因为我需要,而是因为这是我认为应该可行但不知道该怎么做的事情。
是否可以将 Windows PPTP VPN 客户端(在本例中为 XP)连接到 1723 以外的端口上?如果是这样,我可以简单地将另一个端口转发到第二台服务器。在过去的几天里,我做了很多谷歌搜索,只发现其他人提出了同样的问题,但没有答案。
我当然尝试过在主机名或 IP 连接框中以各种格式添加端口号,但无济于事。虽然这可能通过第三方客户端实现,但我真的只对是否可以使用 Windows 内置客户端完成它感兴趣,如果可以,如何完成?也许有一个我不知道的注册表黑客?
如果只考虑 Windows 环境,引入 OpenVPN 作为公司 VPN 服务而不是 Windows 内置协议有什么好处?特别是新的 SSTP 协议已经克服了 PPTP 的弱点之一,它可能不会越过防火墙/NAT。
我想知道有什么理由不使用 Windows 集成解决方案。安全强度可能是一个问题,但我不确定它们有多大不同(我知道 MS VPN 很容易受到攻击,但它仍然存在吗?)
谢谢。
我在使用 iptables 和 PPTP VPN 时遇到问题,我已经阅读了相关主题和在线内容,但仍然无法正常工作!我正在尝试在我们本地网络的 ubuntu 服务器上设置 PPTP,以强制客户端必须通过 VPN 登录才能访问互联网。ubuntu 服务器直接连接到互联网。
在我的 rc.local 我有以下内容要转发和接受 gre
# PPTP IP forwarding
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
sudo iptables -A INPUT -p gre -j ACCEPT
sudo iptables -A OUTPUT -p gre -j ACCEPT
这显示在我的 iptables 列表中,所以我知道它在那里。
我在服务器上使用 CSF 作为我的防火墙,如果禁用它,我可以连接到 VPN 并通过它浏览互联网,如果启用 CSF,我要么“被通信设备断开连接”,要么我可以连接但无法访问互联网通过 VPN。
这也有一个奇怪的问题,它似乎时不时地通过防火墙工作!
我打开了以下端口:
TCP_IN = ...47,53,80,92,110,143,443,465,587,993,995,1723,7777..
TCP_OUT = ...47,53,80,92,110,113,443,1723,25565,7777...
UDP_IN = 20,21,47,53,1723,27015,27025
UDP_OUT = 20,21,47,53,113,123,1723,27015, 27025
你对如何解决这个问题有什么建议吗?您需要更多信息吗?
非常感谢您的时间,
根据要求提供额外信息:
iptables -nvL
Chain INPUT (policy DROP …在 Ubuntu 9.04 (Jaunty) 桌面上运行 pptp 客户端很容易:
sudo apt-get install network-manager-pptp
但是,我似乎找不到文档找到相应的 L2TP 客户端来远程连接到我们的 Windows VPN 服务器。我有一个来自我们离线 CA 的证书(pkcs12 格式,在一个文件中包含公钥/私钥 + CA 公共证书),在 Windows 中,我只需通过 MMC 证书管理单元安装,在本机客户端中选择 L2TP 连接,我很乐意去。
有人对在 Ubuntu 中设置 L2TP 有任何想法吗?或者我应该只使用 PPTP——我的理解是它比 L2TP 安全得多,但这仍然是真的吗?如果我坚持使用 PPTP,是否需要确保 EAP 身份验证?提前致谢。
我通过作为域控制器运行的 RRAS VPN 连接到我们的远程数据中心。我正在连接的客户端在我们的本地域中。
一旦我使用我的凭据连接到远程域,所有本地资源都将不可用。我可以联系他们并 ping 他们,但是如果我使用 Windows 身份验证,则无法进行身份验证。
无论如何,我可以通过 VPN 连接到远程域并在本地和远程域中进行身份验证吗?
我有一个客户端(Server 2008 R2)无法连接到我们的生产环境 PPTP VPN 服务器(Server 2003,运行 RRAS)。
服务器位于打开 TCP1723 和 GRE 的防火墙后面。我们办公室的其他客户能够正常连接。我们的办公室位于瞻博网络 SSG5-Serial 防火墙后面,但允许所有传出流量,并且多个其他客户端能够毫无问题地连接到 VPN 服务器。
我还在办公室外的另一个网络上设置了一个完全不同的 VPN 服务器。正常运行的客户端连接得很好 - Server 2008 R2 机器没有。因此,这绝对是这台机器的问题。
我已经重新启动了。我已经禁用了防火墙,两者都没有。
我已经在服务器/客户端上运行了 PPTPSRV 和 PPTPCLNT,它们能够完美地进行通信 - 表明使用 TCP1723 和 GRE 都没有问题。
Server 2008 R2 机器本身也作为 VPN 服务器运行(传入连接),并且运行良好。无论是否有活动的传入连接,我们都会遇到问题。
我不确定我的下一个调试步骤是什么;有什么建议?
编辑:服务器上的事件日志有来自 RasMan 的以下警告:
A connection between the VPN server and the VPN client xxx.xxx.xxx.xxx has been
established, but the VPN connection cannot be completed. The most common cause
for this is that a firewall or router between …如果外部 IP 地址也用于 PAT,是否可以设置 PPTP VPN 流量(外部客户端和内部服务器)以通过 Cisco ASA 5505?
Cisco 示例将所有 NAT 流量从外部转发到内部 VPN 服务器。我目前只有一个 IP 可用,需要 PAT。
我知道 PPTP 基于 PPP,那么 openVPN 基于什么?openVPN的数据包可以吗
由 ubuntu 服务器路由?谢谢!