问题标签 [ipsec]

我想将我的 Ubuntu 12.04 开发者盒子连接到公司网络。他们的路由器上有 OpenBSD 5.1 和 isakmpd。仅使用 RSA 密钥进行身份验证。

在我这边，我安装了 openswan (apt-get install openswan) 并进行了设置：

这里是连接的设置：

我的工作站使用 NAT。当我启动 openswan 服务时，我在机器的日志中看到了这一点：

和更多：

...就这样。在服务器端，我们看到：

OpeBSDs isakmpd 就是这样完成的：

我想知道：为什么 openSWAN 根本无法启动 phase2 并且在服务器端我看到了如此奇怪的错误？经过几个晚上的调试，我的想法被耗尽了:(

存在这个问题的变体，但我似乎无法理解某些东西。

如果您在ICS/4.0的功能末尾阅读，会提到

企业还可以利用平台内置的标准 VPN 客户端，提供对 L2TP 和 IPSec 协议的访问。

我在这里的假设是，由于它不在“开发人员”部分下，因此我们没有获得除 VpnService API 之外的开发人员 API 访问权限。我看过ToyVPN，但这是没用的，因为我需要一个真正的IPSec IKEv1 XAuth 连接来连接到企业防火墙。

我找到了几个需要 root 和VPNCilla的解决方案，尽管我无法成功地建立连接，但显然不需要。

这是否意味着真的没有办法以编程方式为 IPSec IKEv1 XAuth 网关/防火墙创建配置文件或连接到 IPSec IKEv1 XAuth 网关/防火墙，除非我们在 Java 中实现协议或使用 NDK（就像 StrongSwan 对 IKEv2 所做的那样）？

请帮我解决以下问题。我有一个用于 ipsec 隧道（加密地图）的路由器。它有公共IP地址。

现在我需要用它制作 DMVPN HUB。此外，我需要在一个具有公共 IP 地址的物理接口上为 DMVPN 云创建两个隧道接口。同时，我需要保留已经存在的加密地图。对于每个隧道接口，我创建了加密 ipsec 配置文件、加密 isakmp 配置文件和加密密钥环。在加密密钥环的配置中，我有以下字符串：匹配身份地址 0.0.0.0 配置后我提到发生了加密映射问题。我已经看到一些加密会话（显示加密会话）已重新建立到我的隧道接口。请让我知道如何将我的用于加密映射的加密 isakmp 策略和用于使用 dmvpn 的加密 isakmp 配置文件分开。

此外，如果您给我一个链接到配置了相同拓扑示例的文章，我将非常感激。主要问题是如何分离加密映射和加密 isakmp 配置文件的策略。

提前致谢。

如果我理解正确，SSH 隧道允许通过 SSH 服务器将本地端口绑定到远程端口。如果我是对的，可以用 IPsec 做类似的事情吗？

我有一个问题，是否可以使用计算引擎建立多 vpns 隧道？我试图在我的 Google 计算引擎上的实例与外部服务器之间安装几个站点到站点 VPN 隧道，我按照https://developers.google.com/compute/docs/networking#settingupvpn中的步骤进行操作也能够将计算引擎上的服务器与计算引擎上的其他服务器连接起来，但我无法与另一个端口（而不是 4500）中的另一台服务器建立不同的隧道，我使用的是 StrongSwan 4.5.2。请任何帮助将不胜感激。

我的 ipsec.conf 左右两边：

右边：

我想用类似的参数建立另一个连接，但另一个右侧公共 IP 和另一个端口，我在 ipsec.conf 中包含类似的东西，但连接仍然在发送初始包。

我已经在整个互联网（包括手册页）上搜索了一种打开套接字的方法，该套接字将使用 ipsec（使用 C）进行保护。

我有兴趣在程序中（内部）控制和配置套接字表单。

我试图关注https://blogs.oracle.com/danmcd/entry/put_ipsec_to_work_in但我使用的是 ubuntu 12.04，它不兼容

我有一个运行 Linux 2.6.18（RHEL 版本 2.6.18-274.12.1.el5）和 ipsec-tools 0.7.3 的 VPN 集中器虚拟机。

我与各种集中器有很多联系，但有一个一直在我身上死去。遥控器是 Cisco ASA。

阶段 1 和阶段 2 正确启动，一切似乎都很好，但突然遥控器停止响应。我可以看到 ipsec 数据包发出但没有响应返回。直到那时，DPD 似乎工作正常（我看到每 10 秒发送一次数据包）。这种情况也不会一直发生，有时会持续很长时间。

在遥控器上，此时隧道不再处于活动状态，但浣熊仍然认为它正在进行第 1 阶段 + 第 2 阶段。是否有 ASA 发送的某些消息被浣熊忽略？

我也不明白的是 DPD 逻辑不会终止连接。

这是我的 racoon.conf：

我们的一个客户有一个 Cisco 1841 路由器，它通过 IPSec VPN 隧道连接到另一个网络。一切运行良好，但偶尔 VPN 隧道会掉线并在稍后恢复（有时几分钟或几小时）。

我有一种感觉，如果经过这么多分钟后没有任何网络流量通过它，路由器被配置为丢弃隧道，然后在流量需要通过它时重新建立隧道。

我想做的是配置路由器，以便隧道一直保持正常状态。我看到的文档提到了修改组策略，但路由器没有为此配置，如果可能的话，我想远离这样做。

他们的路由器配置的擦洗副本如下。任何帮助，将不胜感激。

--

--

我正在开发一个 C++ 项目，需要使用 ESP 建立 IPsec SA 并快速更改加密密钥。我的问题如下：

有没有办法在不删除相应 SA 并创建新 SA 的情况下更新加密 IPsec 密钥？

IPsec 甚至允许这样做吗？我在 RFC4301 中没有发现任何关于这个问题的信息......

我正在使用 Netlink/XFRM 消息来更改 SAD。我尝试在 Netlink 消息标志和 XFRM_MSG_UPDSA 中使用 NLM_F_REPLACE 作为消息类型，但这些消息根本没有效果。我已经看到 XFRM_MSG_UPDSA 用于完成由 XFRM_MSG_ALLOCSPI 消息发起的 SA。

这是 XFRM_MSG_UPDSA 类型消息的唯一目的，还是我可以以某种方式使用它们来更改加密密钥？

由于键必须快速更改（如上所述），因此性能是一个因素。因此，我想用尽可能少的管理 IPsec (=Netlink/XFRM) 操作来压缩我的系统。

I am a little confusing.

A(L2TP/IPSec VPN server ) ---- B(router) ------ (internet) ------- C(router) ------ D(client)

Can a L2TP/IPSec VPN server(A) behind NAT,serve clients(D) behind other different NATS? Can the IKE message corrected be routed to the L2TP/IPSec VPN server behind NAT?

PS: I dont have any authority to change the B router's NAT configuration. A & D can communicate with the same server who has a public IP address.