问题标签 [strongswan]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
android - 应用程序中检测到 JNI 错误:调用 JNI NewGlobalRef 时出现未决异常 java.lang.ClassNotFoundException:
我正在开发 VPN 应用程序并遵循strongswan应用程序的代码。我使用了这个应用程序的代码,它.so
通过 JNI 加载文件,我从 strongswan 项目中复制了这些文件。它为以下文件之一提供了此例外:
异常指向此行的错误:
异常中的包名称是我从中复制代码的项目的包名称。
org.strongswan.android.logic.CharonVpnService
但我的应用程序包名称是com.whizpool.vpn.logic.CharonVpnService
.
我在我的项目中到处都搜索过org.strongswan.android
,但没有。
这是我的清单文件:
vpn - 无法访问安装了 VPN 的服务器中的 zabbix 默认端口 (10050)
我想监视包含使用 zabbix 安装的 VPN(strongswan) 的服务器。
从我的 Zabbix 服务器无法访问安装在我的 VPN 服务器中的 zabbix 客户端。他们有什么方法可以打开zabbix默认端口10050吗?
命令输出显示:
raspberry-pi - VPN 客户端配置使用 IPsec/L2TP 使用 debian raspberry pi
我正在使用 IPsec/L2TP 将我的树莓派设置为 VPN 客户端。我正在使用以下指南使用命令行配置 Linux VPN 客户端
设置完所有设置后,我遇到了几个问题,当我尝试使用
ipsec up myvpn
. 我收到以下错误/usr/local/sbin/ipsec: 未知 IPsec 命令 "up" ("ipsec --help" 用于列表)
设置并重新启动我的树莓派后,当我运行时
ipsec verify
,我得到了ipsec verify 的表状态表,其中我的 pluto 没有运行(错误 1)并且有一个错误ikev1
。
我的动机是使用IPsec/L2TP在我的树莓派上设置 VPN 客户端, 以便我可以访问我的远程 VPN 客户端。此外,我正在设置我的 IPsec/L2TP strongSwan
,xl2tpd
但Ipsec verify
在路径 ipsec verison 上使用的是Libreswan 3.27 (netkey) on 4.14.98-v7+
. 我试图改变它但没有成功。任何关于上述问题的建议都会很棒,我将不胜感激。问候萨奇布
vpn - 在 Libreswan(Ipsec 隧道)中使用证书时 IKE 身份验证失败
我正在使用 Libreswan 在 VM 之间创建 IPSec 隧道。我正在使用证书进行身份验证(对于 IPSec 的第 1 阶段)。但是 IKE 隧道未建立,身份验证失败。
我一直在尝试使用证书在两个本地 VM(安装在我的 Mac 上)之间建立 IPSec 连接。我按照此链接中提到的步骤(https://libreswan.org/wiki/HOWTO:_Using_NSS_with_libreswan#Configuring_certificates_in_ipsec.conf_and_ipsec.secrets)
我在其中一台机器上创建了一个证书颁发机构,并创建了一个用这个 CA 签名的用户证书。
certutil -S -k rsa -n "MyCA" -s "CN=localhost.localdomain" -v 12
-t "CT,C,C" -x -d sql:/etc/ipsec.d
certutil -S -k rsa -c "MyCA" -n "user1" -s "CN=localhost.localdomain"
-v 12 -t "u,u,u" -d sql:/etc/ipsec.d'
要将 CA 加载到另一台机器上,我使用
pk12util -o CACert.p12 -n MyCA -d sql:/etc/ipsec.d
将此 CACert.p12 文件复制到另一台计算机。将其导入 NSS DB。
ipsec import CACert.p12
<code>certutil -M -n MyCA -t "CT,," -d sql:/etc/ipsec.d
创建了由同一 CA 签名的另一个用户证书
certutil -S -k rsa -c "MyCA" -n "user2" -s "CN=localhost.localdomain"
-v 12 -t "u,u,u" -d sql:/etc/ipsec.d
这里是隧道的配置参数。
我还尝试将 FQDNS 用于隧道的 leftid 和 rightid。我遇到了同样的错误。
以下是错误:-
linux-kernel - 带有 strongSwan 的 Linux 上的 IPSec:收到 netlink 错误:没有这样的文件或目录 (2)
我在两台主机上建立了一个 IPSec 系统,基本信息如下: - Linux 内核:4.4.135 - IKE:strongSwan 5.6.1
LAN1 --->| WAN1:192.168.100.121 | <---->| WAN2:192.168.100.122 | <---- 局域网2
我正在测试一个名为 BC512 的新块算法,块大小为 128 位,密钥大小为 512 位(密钥比 AES 或 Camellia 等常用算法大,但这是我需要运行测试的测试算法) .
/etc/ipsec.conf文件的一般配置如下:
当我在 /etc/ipsec.conf 文件中使用 ESP/IKE 参数配置 strongSwan 时,给出以下结果:
运行 ipsec start --nofork 时出错:在 Host1 上:
在主机 2 上:
我认为将BC512算法源代码集成到strongSwan中是没有问题的,因为可以配置IKE而不会出现任何错误。
由于 BC512 算法集成到 Linux 内核中,可能会发生错误。原因可能是 BC512 算法的密钥长度非常大(512 位)?
其他一些信息: 1. 运行命令 cat /proc/crypto
如您所见,内核无法初始化转换,例如:
- 来自 Linux 内核的调试信息:
程序 hmac_setkey 后出现错误。
我每周调试和搜索,但无法解决问题。
我认为 Linux 内核的 Crypto API 已被限制为无法使用验证码 HMAC-SHA256 或 HMAC-SHA512 初始化在 CTR 模式下运行的分组密码算法(BC512)。
此外,当使用 AES(密钥大小 128、192 和 256)、Blowfish(密钥大小 128)、Camellia(密钥大小 128、192 和 256)等其他分组密码时,可以在 CTR 模式和 HMAC-SHA256 或 HMAC 下运行-SHA512。
在CBC、CFB、OFB、GCM、CCM模式下配置BC512时;可以使用 HMAC-SHA1、HMAC-SHA256 和 HMAC-SHA512。
只有具有 CTR 模式的 BC512 不能与 HMAC-SHA256 和 HMAC-SHA512 一起使用。
请帮助我,提前谢谢你。
amazon-ec2 - Strongswan没有建立连接
我正在使用 StrongSwan 创建一个 VPN。这是我第一次使用这个工具。我按照教程进行设置。我遇到了对等连接超时的阻止程序。状态为0 up, 1 connecting
。
我在不同的服务器上尝试过,同样的问题发生了。
ipsec.conf
ipsec.secrets
以下是部分日志:
我希望在设置后连接成功,但没有成功。我该如何解决这个问题?有任何想法吗?
vpn - strongswan: 07[IKE] 找不到 IKE 配置,发送 NO_PROPOSAL_CHOSEN
我已经配置了一个 VPN 网关和一个隧道,但它没有出现低于错误。
charon: 13[IKE] 找不到 10.0.1.211...125.17.97.4 的 IKE 配置,发送 NO_PROPOSAL_CHOSEN
nat - 两个 Mikrotik 站点的 NAT 到 Strongswan 的公共 IP
我正在尝试重现 strongswan 测试 net2net-gw 中的模式,但在 NAT 后面使用“月亮”和“太阳”(请参阅 https://www.strongswan.org/testing/testresults/swanctl/net2net-gw/)。到目前为止,CA 已配置,证书已颁发,mikrotik 已配置,我可以建立隧道并设置 SA,但我无法从另一个站点 ping 通一个站点。卡罗尔配置:
这是“月亮” mikrotik 配置本地子网 192.168.1.0/24 :
这是“sun” mikrotik 配置本地子网 192.168.3.0/24 :
swanctl -l 的“carol”输出
“carol” iptables 有:
“carol”有 sysctl
当我从“sun”后面的工作站 192.168.3.254 之一运行 ping 时,“carol”tcpdump net 192.168.0.0/16:
当我尝试从“sun” ping 192.168.1.1 时,我看到数据包计数器增加,但没有回复,就像我从“moon” ping 192.168.3.1 一样。但是,如果我断开“sun”并将虚拟 IP 地址 192.168.3.1 添加到 carol ip addr add 192.168.3.1/24 dev eth0
ping 从“moon”到 192.168.3.1 成功,但奇怪的是 - 我无法从 carol ping“moon”...
感谢您提前提供任何建议:)
logging - 为我们strongswan问题提出流量选择器
使用新的 stongswan 模块,我们每秒都会收到以下日志消息。
是否有可能在 strongswan 日志中关闭这些消息?
这条消息是什么意思?
routes - 使用 strongswan 的连接问题
以下是我最后的设置:
- VPN1 机器(AMS3 区域)
- VPN2 机器(Singapore1 区域)
我已经在不同区域使用 2 台机器配置了 strongswan,在两台机器上启动 ipsec 后,两台机器都可以在私有 IP 上相互访问。
所以似乎strongswan配置成功。
但现在我在 Singapore1 地区又创建了一台机器(Test1)并测试了以下内容:
- 能够从 VPN1 (AMS3) 访问 Test1 (SGP1) 机器。
但是从 Test1 (SGP1) 机器无法访问 VPN1 机器。
所以据我所知,我们需要添加一些路线,但我不知道它会是什么。
你能帮我解决这个问题吗?
谢谢。