问题标签 [ipsec]

我正在处理 ipsecconf 命令，通过使用 ipsecconf -a 我们可以将 IPsec 策略添加到文件中每个条目指定的系统中。现在我想要 linux 中的等效命令。

例如，Solaris 中的 ipsecconf：

我被要求对 IPSec 和 IKE 进行研究。任何人都可以向我建议好的资源开始。基础知识，加上实现。我不想只是搞砸协议。如果有一些书籍或网站可以让您使用这些协议进行实现或应用程序，那将会很有帮助。

只是一个非常笼统的问题，但是有人可以告诉我何时使用 openSSL 以及何时使用 IPSEC 来保护互联网上的数据传输？似乎他们都在做同样的事情，只是在网络协议的不同级别。所以我不确定为什么我们需要它们。

为你的帮助干杯

我想IPSEC在java中实现一个协议。我想知道如何创建我们自己的协议。以及如何将这个协议嵌入到数据包中。

请提供一些代码示例，以便于理解。

IPSec is employed at the IP level, SSL at the transport level and PGP at the application level. In some lecture not it says:

IPSEC: Most general solution but least flexible SSL: Still very general and some flexibility PGP: Least general but very flexibel.

I guess the general refers to what kind of protocol I can secure. With IPSEC I can secure everything that uses TCP or UDP. PGP is the least general because it just encrypts emails and is therefore very specific. Is that understanding right?

However I have no idea for what the flexibilty refers in this context, anyone an idea? Has this to do with extensibility?

Thanks

ESP 传输模式与 NAT（不是 NAPT 或 PAT）不兼容

我在许多论文上看到，因为 NAT 设备应该计算 TCP 校验码，所以传输模式不适用于 NAT。

问题是 - 鉴于 ESP 中的下一个标头已加密，NAT 设备在传输模式或隧道模式之间有何不同。

我正在使用运行 Mac OSX 10.6.6 (Snow Leopard) 的 PowerBook Pro。几个月来，我一直在使用内置的 VPN 连接器连接到客户端服务器。昨天我的连接无法连接并且超时。我咨询了其他远程开发人员，他们也遇到了同样的问题。通过杀死“浣熊”进程来解决它。我做了同样的事情并连接了VPN。

我用谷歌搜索了 Racon，发现它是一个 IPsec 工具（http://ipsec-tools.sourceforge.net/）

今天早上我遇到了同样的问题。我决定首先尝试使用 racoonctl 应用程序运行来刷新信息： sudo racoonctl flush-sa ipsec

那没有用，所以我决定终止这个过程。可悲的是，我现在没有运行 racoon 进程。所以我重新启动了。还没处理。我再次重新启动并运行 fsck。依然没有。

我查看了日志，似乎浣熊每 10 秒崩溃一次（见下文）。

有人对我需要做些什么来恢复和运行它有任何想法吗？这似乎是突然发生的，在这一点上它正在严重占用我的时间。

系统错误：

崩溃报告：

我正在尝试使用 WCF.NET NET-TCP 协议从一个 Web 应用程序连接到另一个 Web 应用程序。这个 net.tcp 协议在 IIS 中启用，在我的例子中使用的是 TCP 808 端口。我已经在服务器中配置了 IP 过滤器，但它会阻止两个应用程序之间的连接，除非我完全禁用 IP 过滤器。

这是我尝试添加的规则，但它不起作用：

使用 TCPView，当连接被阻塞时显示：

我如何允许这种连接？谢谢！

我有以下情况。两台主机使用 Strongswan IpSec 通过 Internet 连接两个子网

• 主机 1 子网 10.13.0.0/24 的路由器
• 主机 2 是租用的专用 Ubuntu 服务器，没有子网（ifconfig 说子掩码是 Mask:255.255.255.255）
• 主机 2 还使用 OpenVpn 托管另一个子网。该子网是 192.168.23.0/24
• 主机 2 在该子网上有 192.168.23.1 作为 Ip。

当做 ping -I 192.168.23.1 10.23.23.23 我可以到达另一台服务器。当我 ping 10.23.23.23 时它不起作用。在 192.168.0./24 网络中的所有其他客户端上，ping 确实有效。

我必须添加哪个路由条目才能使其工作？因为现在主机本身无法到达另一端的客户端。

更多信息：host2 有两个接口：eth0 和 tun0（用于 openvpn）

host2 上的 ipconfig 如下所示：

在这里找到答案：http ://www.freeswan.org/freeswan_trees/freeswan-1.99/doc/adv_config.html#multitunnel

这是可能的，有一些额外的配置。不幸的是，我不控制另一边的配置，所以它对我不起作用。

我决定用 Java 编写自己的轻量级 VPN 服务器。从编程的角度来看，在我看来，VPN 服务器只是一个传递代理，它对来自客户端的流量进行加密，并在服务器上对其进行解密。有人可以指出我编写这种服务器的框架吗？

我知道有很多开箱即用的，甚至是开源的，但不幸的是，即使我知道几种 Web 编程语言，我看到的 C 代码示例也没有以我可以理解的方式记录/结构化。

我想我需要的部分是：

• 客户端对象的线程工厂
• 客户端的插座连接器
• 创建 IPSec Authentication Header (AH) 的方法
• 用于创建 IPSec 封装安全负载 (ESP) 的方法
• 互联网安全协会和密钥管理协议 (ISAKMP)
• 互联网密钥交换 (IKE)
• PKI 证书认证模块
• 证书存储库 (SQLLite)
• Oakley 密钥生成（用于 IKE 和 ISAKMP）
• 数据包的一些反重放预防

我计划使用通用模块（并为其创建适配器）的部分是密码算法（最好是 AES，尽管看起来像 DES / 3DES 之类的窗口 - Noobs）

如果有人可以为 IPSec vpn 服务器所需的部分添加更多细节，请随时贡献。据我所知，由于有必要在较旧的 linux 硬件上运行它，因此服务器应该是 IPSec 而不是 SSLVPN 热点。目标平台是一个旧的 1.5 Ghz 英特尔盒子，我用 2 GB 的 DDR2 内存、镜像的 100 GB 硬盘驱动器和 2 个千兆网卡进行了抽水。

从好的方面来说，由于客户端 VPN 的类型如此之多，我很确定不需要为我的需要制作一个。