在花了几个月的时间建立了一个相当复杂的 VPN 之后,我开始寻找未来的替代方案。我的一些网络提供商使用 MPLS 连接到我们,我认为它运行得相当好。我知道许多 ATM(自动柜员机)网络使用 MPLS,我想这是对其安全属性的信任投票。
http://en.wikipedia.org/wiki/MPLS_VPN相当简洁:
“MPLS VPN 是一系列利用多协议标签交换 (MPLS) 的力量来创建虚拟专用网络 (VPN) 的方法。MPLS 非常适合这项任务,因为它提供流量隔离和差异化而无需大量开销。[需要引用]
三层 MPLS VPN
第 3 层 MPLS VPN,也称为 L3VPN,结合了增强型 BGP 信令、MPLS 流量隔离和路由器对 VRF(虚拟路由/转发)的支持,以创建基于 IP 的 VPN。与 IPSec VPN 或 ATM 等其他类型的 VPN 相比,MPLS L3VPN 更具成本效益,可以为客户提供更多服务。”
我的问题是:建立 MPLS 网络有多麻烦/多昂贵?是那种可以自己买硬件DIY的东西,还是真的需要去找服务商?我现在可以以每月 100 美元的价格获得“托管”VPN(我不知道这是好是坏),我的五个合作伙伴 IPSEC“发夹”拓扑因此每年花费我 6,000。那会更好地投资于 MPLS 吗?
我有一系列文件需要每晚通过 VPN 通过 SCP 复制到远程 linux 服务器。文件并不大,我们在这里谈论的是几十兆字节,但文件复制几乎总是在几秒钟后停止。使用 -vvv 运行 SCP 命令,我在整个尝试复制过程中一遍又一遍地看到以下内容:
debug2: channel 0: rcvd adjust 131072
debug2: channel 0: rcvd adjust 131072
debug2: channel 0: rcvd adjust 131072
有什么想法吗?我看到这个问题在不同的地方被问到,但从来没有任何答案。任何帮助,将不胜感激。
有没有人有将 Ubuntu 10.10 机器连接到 SSTP VPN 服务器的经验?我还没有找到任何关于如何做的太多信息。
我想使用 SSH 远程连接。
但是,当我的 VPN 处于活动状态时,我无法连接,因此我断开了与 VPN 的连接,然后使用其他连接进行连接。
连接到 VPN 时,如何强制通过其他连接进行连接?
我正在使用 Windows 7 和 PuTTY 客户端。
首先,这个问题已经存在了将近两年。在 serverfault 诞生之前,我几乎放弃了解决它——但现在,希望重生了!
我在远程办公室设置了一台 Windows 2003 服务器作为域控制器和 VPN 服务器。我能够从我尝试过的每个 Windows 客户端(包括 XP、Vista 和 Windows 7)从至少五个不同的网络(公司和家庭、域和非)连接到 VPN 并通过 VPN 正常工作。从他们所有人。
但是,每当我从客户端连接上我的家庭网络,连接中断3分钟或更少后(默默)。片刻之后,它最终会告诉我连接已断开并尝试重拨/重新连接(如果我以这种方式配置了客户端。)如果我重新连接,连接将重新建立并显示正常工作,但再次将无声地下降,这次是在一个看似更短的时间段之后。
这些不是间歇性下降。它每次都以完全相同的方式发生。唯一的变量是连接存活的时间。
我发送什么类型的流量并不重要。我可以无所事事,发送连续的 ping、RDP、传输文件,所有这些都一次 - 没有区别。结果总是一样的。接通了几分钟,然后无声无息的死亡。
由于我怀疑有人遇到过这种确切情况,因此我可以采取哪些步骤来对我的隐蔽 VPN 进行故障排除?
在这两年的时间里,我更换了 ISP(两端),添加了一个新的域控制器(我的网络),并更换了路由器(两个网络)。这些都没有任何影响。
该问题可以在多台 PC 上重现,使用不同的操作系统,但只能从我的网络中重现。
我通过在非 Windows 设备上进行测试验证了该行为与客户端无关。我在 iPhone 上配置了 VPN,并通过我的网络通过 wifi 连接。使用名为 Scany 的应用程序,我连续 ping 服务器,直到连接在大约 2 分钟后断开 - 我在 Windows 客户端上看到的相同行为。之后,我在 AT&Ts 3G 上禁用了 wifi 和 VPN,并连续 ping 了 11 分钟没有丢失请求。该测试充分地将问题与我的网络隔离开来。
两年间唯一一致的组件是我的域控制器,它处理 WINS 并充当入站连接的 VPN 服务器。但是,出站流量不应通过我的 DC 路由,它会直接到达防火墙/路由器,后者直接连接到我的电缆调制解调器。
有人要求我在建立 VPN 连接时验证我的路由不是时髦的。我看了一下,没有发现任何明显的错误,但是我在路由配置方面的经验非常有限,所以我发布了数据。
我的 LAN 的 C 类范围是 …
TLS 是 SSL 的“新”版本吗?它添加了哪些功能,或者解决了哪些安全问题?
任何支持 SSL 的东西都可以支持 TLS 吗?进行转换会涉及什么?转机值得吗?
为什么通过“Opportunistic TLS”和通常称为 SSL VPN 的 VPN 发送电子邮件?技术上是否存在差异,也许为“TLS VPN”产品线创造了空间?
我的服务器 LAN IP 是 192.168.1.1,并且在 192.168.1.2 上有一个 Intranet Web 服务器 OpenVPN 守护程序配置为为客户端提供 192.168.2.* 地址。
push "route 192.168.1.0 255.255.255.0"我希望配置中有一行允许 VPN 客户端访问整个 192.168.1.0 网络,但它们只能访问 192.168.1.1 - VPN 服务器本身。
我试过启用net.ipv4.ip_forward = 1,/etc/sysctl.conf但这没有帮助。
有任何想法吗?
PS:服务器运行 Ubuntu 12.04。
PPS:OpenVPN 在tunUDP 模式下运行。
我正在尝试使用 Google Compute Engine 服务器作为我所有流量的 VPN 服务器(我住在俄罗斯,我们在这里的审查有一些问题)。
GCE 上有关于VPN 的迷你教程,但它是关于 GCE 内部 2 个服务器之间的网络,而不是 OpenVPN。
我已经完成了另一个教程中的所有步骤,关于在 Debian 上使用 OpenVPN 设置 VPN,我可以从客户端连接到 VPN,但是我无法打开连接(甚至无法 ping google)。在服务器上,我可以像往常一样 ping 和下载所有内容。
我在 Linode 上安装了具有相同设置的 VPN,并且运行良好。所以问题在于 GCE 网络路由或防火墙规则。
我尝试了很多变体,但没有任何效果。请查看设置并告诉我应该更改什么。
// 删除了配置行,因为问题已解决 //
我的 OpenVPN 隧道无法达到线速。网关是托管在 OVH 的 Debian Jessy 虚拟服务器。客户端是我的 freebsd 10.2 家庭服务器(Intel I3 Ivy Bridge)或我的 RaspberryPI2。我停用了加密和身份验证。我有一个 100mbit/s 的对称 FTTH 连接,但隧道的速度仅达到 20-40mbit/s。直接连接(无隧道)总是产生我期望的 100mbit/s。我用iperf3测试了性能。我首先尝试使用我的 freebsd 家庭服务器。我尝试了所有关于 mssfix、fragment 等的推荐设置。没有任何帮助。
然后我想也许是我的freebsd机器。所以我在我的 RPI2 上安装了一个新的 raspbian Jessy 并进行了一些更深入的测试:
首先,我从 OpenVPN 配置中删除了所有 MTU 设置,并让路径 MTU 处理事情(希望如此)。因为我在两台机器上都没有激活防火墙,所以它应该可以工作。这些是我的 vpn 配置:
server 10.8.0.0 255.255.255.0
port 1194
proto udp
dev tun
sndbuf 0
rcvbuf 0
user nobody
group nogroup
persist-key
persist-tun
ifconfig-pool-persist ipp.txt
keepalive 10 120
push "redirect-gateway def1"
status openvpn-status.log
verb 3
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/vpn.theissen.io.crt
key /etc/openvpn/easy-rsa/keys/vpn.theissen.io.key
dh /etc/openvpn/easy-rsa/keys/dh4096.pem
tls-auth …