有谁知道如何使用Openswan创建到EC2上的Cisco路由器的IPSec隧道？

我一直在读,人们可以或者他们无法在亚马逊的云上建立IPSec隧道.有可能吗？

如果是这样,有人能指点我成功的教程吗？

“ip xfrm state add”命令中的选择器（参数sel）实现什么功能？

源地址和目标地址（以及端口和协议等附加参数）在 ID 部分中设置，但选择器包含这些参数的补充集。例子：

   ip xfrm state add src 10.0.0.1 dst 10.0.0.2 proto esp spi 123456 sel src 10.0.0.3 dst 10.0.0.4 enc blowfish  0xaabbccddee

这导致以下结果：

    src 10.0.0.1 dst 10.0.0.2
proto esp spi 0x0001e240 reqid 0 mode transport
replay-window 0 
enc cbc(blowfish) 0xaabbccddee
sel src 10.0.0.3/32 dst 10.0.0.4/32 

Setkey 似乎没有机会添加这样的选择器值。它也不在输出中显示选择器。上面的 xfrm 命令产生以下“setkey -D”输出：

   10.0.0.1 10.0.0.2 
esp mode=transport spi=123456(0x0001e240) reqid=0(0x00000000)
E: blowfish-cbc  aabbccdd ee
seq=0x00000000 replay=0 flags=0x00000000 state=mature 
created: Nov 26 01:25:39 2013   current: Nov 26 01:26:07 2013
diff: …

我有一个运行memcached的专用128GB ram服务器.4个Web服务器连接到那个.它们总共发送大约20k包/秒.

最近我决定改变从web服务器到memcached服务器的连接,从持久的SSH隧道到使用Tinc(为了简化设置和灵活性,只要我需要它们在新端口上进行通信).

这种变化导致网络往返的开销显着增加(见图表).然而,我注意到,使用Tinc支持SSH隧道的网络开销要小得多(甚至比之前的SSH隧道还要快!),当我用它在服务器之间进行通信时(例如我的Postgresql数据库服务器),吞吐量低很多<每秒10k数据包.我试图在更多服务器之间分配memcached负载,突然来自tinc/network的开销显着下降.

现在,我不明白为什么tinc网络开销会随着吞吐量的增加而急剧增加？这就像我打了一个瓶颈(并且它肯定不是CPU,因为Newrelic报告<tinc过程的使用率<0.5%).有什么东西我可以在Tinc设置中调整,还是Tinc只是高吞吐量的坏选择？我应该使用IPsec吗？

为什么选择TLS作为SIP的链接加密？

从一篇论文来看，似乎TLS无法处理UDP，而SIP并不需要任何人单独使用TCP！那么TLS如何确保互操作性！

如果改为使用IPSec，将会有什么问题？

现在WP8仿真器基于Hyper-V,如果网络使用IPSEC,使用Fiddler拦截网络流量的旧方法不起作用.

有没有办法在这种情况下使用Fiddler和WP8模拟器？

是否可以使用IPSEC(用于身份验证和加密)在LAN中的计算机(Windows 7)之间传输数据但是没有VPN？如果有,怎么样？我发现的与可能解决方案相关的所有信息都包括VPN.

我为python 2.6安装了模块scapy,当我导入这个模块时,我得到了这个警告:

警告:无法导入图层ipsec:'module'对象没有属性'IPPROTO_AH'

我看了socket属性,我没有找到'IPPROTO_AH'属性另外,我试图编辑模块ipsec.py并找到用其他东西替换IPPROTO_AH的方法然后我得到警告与IPPROTO_ESP!

我尝试在ipsec.py中编辑行,例如:

    overload_fields = {
    IP: {'proto': IPTest},
    IPv6: {'nh': IPTest},
    IPv6ExtHdrHopByHop: {'nh': socket.IPPROTO_AH},
    IPv6ExtHdrDestOpt: {'nh': socket.IPPROTO_AH},
    IPv6ExtHdrRouting: {'nh': socket.IPPROTO_AH},}

bind_layers(IP, AH, proto=socket.IPPROTO_AH)
bind_layers(IPv6, AH, nh=socket.IPPROTO_AH)

我怎样才能解决这个问题 ？

I want to connect to IPSec VPN Server with PSK and User/Pass, but I also want to make it able to run in lower Android too ( SDK version >= 20 )

I know Google added Ikev2VpnProfile and VPNManager in Android R, but I want the same functionality in lower Android like other apps on Play Store do

I'm using VpnService.Builder to connect to a server its working too this but I dunno how I can put up configs to …

我使用的是运行 Mac OSX 10.6.6 (Snow Leopard) 的 PowerBook Pro。几个月来我一直使用内置 VPN 连接器连接到客户端服务器。昨天我的连接无法连接并且超时。我咨询了其他远程开发人员，他们也遇到了同样的问题。通过杀死“浣熊”进程解决了这个问题。我也做了同样的事情并连接了VPN。

我用 google 搜索 Racon 发现它是一个 IPsec 工具（http://ipsec-tools.sourceforge.net/）

今天早上我也遇到了同样的问题。我决定首先尝试使用 racoonctl 应用程序运行来刷新信息： sudo racoonctl flush-sa ipsec

这不起作用，所以我决定终止该进程。遗憾的是，我现在没有运行 racoon 进程。所以我重新启动。还是没有处理。我再次重新启动并运行 fsck。依然没有。

我查看了日志，发现 racoon 似乎每 10 秒就会崩溃一次（见下文）。

有人对我需要做什么才能使其恢复并运行有任何想法吗？这似乎是突然发生的，此时它严重占用了我的时间。

系统错误：

__TEXT [0x100000000 - 0x10008f000) __eh_frame [0x1000821e8 - 0x10008eff8) /usr/sbin/racoon
3 月 9 日 12:35:11 pmolaro com.apple.launchd[1] (com.apple.racoon[2458])：作业似乎已崩溃：分段错误
3 月 9 日 12:35:11 pmolaro com.apple.launchd[1] (com.apple.racoon)：限制重生：将在 10 秒内启动
3 月 9 日 12:35:11 pmolaro com.apple.ReportCrash.Root[2454]: 2011-03-09 12:35:11.638 ReportCrash[2454:301b] 保存了 racoon[2458] 版本的崩溃报告？？？（？？？）到/Library/Logs/DiagnosticReports/racoon_2011-03-09-123511_localhost.crash

崩溃报告：

工艺：浣熊[720] …

我在尝试创建ipsec连接时发现了一些奇怪的行为.我在cisco asa和我的Linux机器之间配置了ipsec,它按预期工作.但是,当我在Linux机器上重新启动网络服务或重新启动cisco端的端口时,隧道将停止工作,但隧道状态已启动:

/etc/init.d/ipsec status
/usr/libexec/ipsec/addconn Non-fips mode set in /proc/sys/crypto/fips_enabled
IPsec running  - pluto pid: 2684
pluto pid 2684
1 tunnels up
some eroutes exist

当我尝试连接到另一端(telnet,ping,ssh)时,连接不起作用.

我的/etc/ipsec.conf看起来像这样:

# /etc/ipsec.conf - Openswan IPsec configuration file
#
# Manual:     ipsec.conf.5
#
# Please place your own config files in /etc/ipsec.d/ ending in .conf

version 2.0     # conforms to second version of ipsec.conf specification

# basic configuration
config setup
        # Debug-logging controls:  "none" for (almost) none, "all" for lots.
        # klipsdebug=none
        # plutodebug="control …

IPSec采用IPSec,传输级采用SSL,应用级采用PGP.在一些讲座中没有说:

IPSEC:最通用的解决方案,但最不灵活的SSL:仍然非常通用和一些灵活性PGP:最不普遍但非常灵活.

我想通用指的是我能保证什么样的协议.使用IPSEC,我可以保护使用TCP或UDP的所有内容.PGP是最不通用的,因为它只是加密电子邮件,因此非常具体.这种理解对吗？

但是我不知道灵活性在这种情况下所指的是什么,任何人都有想法？这与可扩展性有关吗？

谢谢

在尝试实现IKE会话密钥生成算法时,我遇到了以下代码片段,用于以下算法实现,用于生成特定会话密钥的算法

SKEYID_e = HMAC (SKEYID, SKEYID_a || gxy || CKY-I || CKY-R || 2)

实现以获得数字2的最后连接HMAC

hmac_update(ctx, (unsigned char *) "\2", 1)

这里hmac_update是用于连接缓冲区以在最终确定摘要之前获取HMAC的API,而CTX是HMAC上下文"\ 2"正在添加数字2和1是缓冲区的大小.

我的问题是和转义unsigned char * "\2"和char/ uint8_t值之间的区别是什么2

此设置应基于 proxmox，位于 Proxmox 上托管的 o​​pnsense VM 后面，该 VM 将保护 proxmox，为 VM 提供防火墙、私有 LAN 和 DHCP/DNS，并提供到 LAN 的 IPsec 连接以访问所有 VM /Proxmox 没有经过 NAT。服务器是典型的 Hetzner 服务器，因此仅在 NIC 上，但在此 NIC 上有多个 IP 或/子网。

1. 带有 1 个 NIC(eth0) 的 Proxmox 服务器
2. 3 个公共 1IP，IP2/3 在数据中心由 MAC 路由（到 eth0）
3. eth0 是 PCI-Passthroughed 到 OPNsense KVM
4. vmbr30 上的私有网络，10.1.7.0/24
5. IPsec 移动客户端连接 (172.16.0.0/24) 到 LAN

为了更好地概述设置，我创建了这个[绘图][1]：（不确定它是否完美，请告诉我要改进的地方）

问题：

如何使用 PCI-Passthrough 而不是桥接模式来设置这样的场景。

跟进

I) Why i cannot access PROXMOX.2 but access VMEXT.11 (ARP?)

II) 这就是为什么我需要从 * 到 * IPSEC …