问题标签 [ipsec]

AWS VPC <==> TMG

我有一个带有 VPN IPsec VPN 连接的亚马逊 VPC，连接到 Microsoft Forefront TMG 服务器作为托管在 Server 2008 r2 SP1 上的客户网关，TMG 应用程序也已修补到 SP2 build 7.0.9193.500。VPN 隧道将连接，保持连接一小段时间（大约 5-10 分钟）然后断开，它将连接和断开，连接和断开。我从 LAN 上的工作站到 VPC 运行了 ping 跟踪，您可以非常清楚地看到连接上下波动，但 AWS 管理控制台状态已连接。我不知道为什么，并且服务器事件查看器中没有任何日志可以解决这个问题。

我还在本指南中亚马逊推荐的 TMG 盒子的外部网络接口上将 MTU 设置为 1436：

http://awsdocs.s3.amazonaws.com/VPC/latest/vpc-nag.pdf

有没有人对我可以尝试为我的 VPN 连接带来一些稳定性的建议有什么建议，因为它目前几乎无法使用。

非常感谢，乔恩

“ip xfrm state add”命令中的选择器（参数sel）有什么作用？

源地址和目标地址（以及端口和协议等附加参数）在 ID 部分中设置，但选择器包含这些的补充集。例子：

这导致以下结果：

Setkey 貌似没有机会添加这样的选择器值。它也不会在输出中显示选择器。上面的 xfrm 命令产生以下“setkey -D”输出：

那么 IPsec 子系统最终会用这个选择器做什么呢？

我一直想知道从开发人员的角度来看 IPSec 是如何工作的，因为我希望能够编写自己的自定义“代理”来拦截和分析数据包，然后这些数据包主要在 Linux 上被操作系统接收，而且在发送它们之前（就像在 IPSec 中所做的那样），在有效负载级别（根据我发送到的 IP 地址）进行注入。谁能给我一些指示？

我也很想知道哪种语言最适合以良好的速度和安全的方式完成此类任务，这样如果主机运行（例如在 Ring 0 中运行），代理就不会受到损害。

我主要关注Linux，但我想知道是否有任何跨平台库以及Windows。

干杯。

我们在两个 AWS 区域和我们的 colo 设施之间有一个带有 Openswan 的 VPN 隧道（使用 AWS 的指南：http ://aws.amazon.com/articles/5472675506466066 ）。常规使用工作正常（ssh 等），但我们在所有区域之间的隧道上遇到了一些 MySQL 问题。在 linux 服务器上使用 mysql 命令行客户端并尝试使用 MySQL Connector J 进行连接，它基本上会停止……它似乎打开了连接，但随后卡住了。它没有被拒绝或任何东西，只是挂在那里。

经过初步研究认为这是一个 MTU 问题，但我已经搞砸了很多，没有运气。

与服务器的连接工作正常，我们可以选择要使用的数据库等，但使用 Java 连接器似乎 Java 客户端在进行查询后没有接收任何网络流量。

在 Linux 上的 MySQL 客户端中运行 select 时，我们最多可以得到 2 或 3 行，然后它就会死掉。

话虽如此，我在 AWS 端也有一个单独的 openswan VPN，用于客户端（mac 和 iOS）vpn 连接。一切都通过客户端 VPN 运行得非常好，而且总体上看起来更稳定。我注意到的主要区别是静态连接使用“隧道”作为类型，而客户端使用“传输”，但是当将静态隧道连接切换为传输时，它说有 30 个打开的连接并且不起作用.

我对 OpenSWAN 很陌生，所以希望有人能帮助我指出让静态隧道和客户端 VPN 一样正常工作的正确方向。

和往常一样，这是我的配置文件：

ipsec.conf 用于两个静态隧道服务器：

VPC1 到 colo 隧道配置

colo-to-VPC1 隧道配置

客户端 VPN ipsec.conf

我有一个在两个终端系统之间有 Ipsec 隧道的设置。当我在传出接口（例如 eth0）上捕获数据包时，我只能看到加密的 ESP 数据包从我的系统中流出。我必须去查看接收端以查看实际传输的内容，即在接收端我可以看到解密后的数据包。接收方发送的 ack 也是如此。它是如何在 linux 内核中实际工作的？有没有办法在加密之前在 tcpdump 中查看发送方的数据包？

我们有一个安装了 Linux Openswan U2.6.32 的 CentOS 5.5 (vm)。在它上面，我们有一个 IPSec 隧道，它的对等点是 cisco asa。隧道每 18 小时断开一次（我们需要隧道一直保持畅通）。

我们在 openswan 测试了很多设置，但目前我们有以下配置：

我们无权访问对等设备。

有没有人遇到过这个问题？

有没有人遇到过问题，ipsec 隧道每 x 小时断开 10 分钟，其中 x 取决于生命周期，特别是在处理 cisco asa 时？

可能是什么问题呢？

我在 Linux 下使用 ip xfrm 在 GCM 模式下将带有 AES 的 IPsec SA 添加到系统中。

我正在使用的命令是这样的：

ip xfrm state add src 10.66.21.164 dst 10.66.21.166 proto esp spi 0x201 mode transport aead "rfc4106(gcm(aes))" 0x010203047aeaca3f87d060a12f4a4487d5a5c335 96

现在我想知道：密钥似乎是 20B = 160b 长。正常的 AES 密钥是 128b，如上所示，IV 长度是 96b。如果我延长或缩短它不起作用的密钥，那么显然预期的输入是 (sizeof(AES)=128b) （当然，它也适用于 256b）+ 32b 长。

为什么会这样？在这种情况下，我唯一知道的 4B 长是 unsigned int，它是 IV 长度变量的数据类型，但这与密钥无关。密钥加 IV 不应该是 224b 长（IV 是 128 + 96）吗？

好的，所以我已经在 Google 上待了大约一个小时左右，试图弄清楚这一点。

我有一个 L2TP/IPSec vpn 设置。当客户端连接时，会为该客户端创建一个新接口，问题是在引导期间，并且大多数时候这些接口不存在。我的 vpn 范围从 10.24.1.1 开始我希望 sshd 监听 10.24.1.1 但是当没有连接客户端时它无法绑定地址

/var/log/安全：

这是有道理的。我的问题是。有没有办法创建某种虚拟接口或只分配 10.24.1.1 以便 sshd 监听它？谢谢您的帮助！！

服务器也是 CentOs 6 64bit

在网络中，隧道是​​两个节点之间的逻辑连接。在隧道中，有多个路由器物理组成路径。因此，隧道中的数据包本质上是通过 IP 路由的。（如果我错了请纠正我）

这对于第 3 层隧道协议是有意义的，其中乘客协议封装在 IP 协议中。隧道内的路由器可以利用额外的 IP 标头将数据包路由到隧道端点。

然而，在第 2 层隧道协议中，乘客协议被封装在第 2 层协议中。例如，在L2TP中，我们可以看到原始数据包（ppp头+ppp负载）被封装在一个L2TP头、UDP头、IPSec头、IP头、Data-link头中。由于我们已经有一个外部 IP 标头，它足以将整个数据包通过隧道路由到其端点。为什么我们要费心添加另一个额外的数据链接头？对我来说似乎可能的唯一原因是它试图通过 ppp 链接或 WAN 链接发送这些数据包，但实际上这个链接是合乎逻辑的并且由许多物理路由器组成。那么为什么要添加额外的链路层标头呢？以及如何在隧道中处理此数据包？