คำถามติดแท็ก ipsec

ฉันสร้าง IPsec VPN มาหลายปีแล้ว แต่จริงๆแล้วฉันไม่เคยเข้าใจถึงความแตกต่างทางเทคนิคระหว่าง IKE และ ISAKMP ฉันมักจะเห็นคำสองคำที่ใช้แทนกันได้ (อาจไม่ถูกต้อง) ฉันเข้าใจสองขั้นตอนพื้นฐานของ IPsec และ ISAKMP นั้นดูเหมือนว่าจะเกี่ยวข้องกับเฟสแรกเป็นหลัก ตัวอย่างเช่นคำสั่ง IOS "show crypto isakmp sa" แสดงข้อมูล IPsec เฟสหนึ่ง แต่ไม่มีคำสั่งเทียบเท่าสำหรับ IKE

74 ipsec  ike  vpn 

ฉันได้เห็นคนจำนวนมากมักจะต่อสู้กับ IPSec และเทคโนโลยี VPN ที่ปลอดภัยอื่น ๆ อีกมากมาย สำหรับฉันใช้ OpenVPN ง่าย ๆ ด้วยผลลัพธ์ที่สวยงามและเรียบง่ายและหลากหลาย ฉันใช้มันกับเราเตอร์ DD-WRT เซิร์ฟเวอร์ขนาดใหญ่และโทรศัพท์ Android เพื่อบอกชื่อไม่กี่ มีใครช่วยอธิบายให้ฉันฟังว่าฉันพลาดอะไรไป มีข้อเสียของ OpenVPN ที่ฉันไม่ทราบหรือไม่? IPSec และเพื่อน ๆ นำเสนอฟีเจอร์ที่ยอดเยี่ยมที่ฉันไม่รู้หรือไม่? ทำไมทุกคนไม่ใช้ OpenVPN

29 vpn  ipsec 

ฉันสับสนเกี่ยวกับการกำหนดค่าอายุการใช้งานสมาคมความปลอดภัยใน Cisco IOS เสมอ สำหรับฮาร์ดแวร์ที่มีการจัดการผ่านเว็บส่วนใหญ่จะเห็นได้อย่างชัดเจนว่าอายุการใช้งาน SA นั้นเป็นอย่างไรสำหรับเฟส I และสำหรับ Phase II เกี่ยวกับซิสโก้ แต่คุณได้รับนี้crypto isakmp policy <NUM>ส่วนที่คุณระบุ SA lifetime <NUM>อายุการใช้งานเป็น นอกจากนี้คุณยังจะต้องตั้ง SA อายุการใช้งานในส่วนเช่นcrypto map <NAME> <NUM> IPsec-isakmpset security-association lifetime seconds <NUM> คุณช่วยบอกฉันทีได้โปรดและยุติความสับสนในที่สุดได้ไหม อันไหนคือเฟส 1 และอันไหนคือเฟส 2

13 vpn  ipsec 

ฉันได้รับการร้องเรียนจาก "การเชื่อมต่อช้า" จากไซต์ระยะไกลใหม่หลายแห่ง ไซต์เหล่านี้เชื่อมต่อผ่านบริการ MPLS L3VPN ใน Cisco 2921 และเราใช้ Cisco GET-VPN เพื่อเข้ารหัสการรับส่งข้อมูลระหว่างตำแหน่งที่ตั้งของเรา สถานที่ทั้งหมดมีวงจร 100Mbps หรือ 1Gbps ดังนั้นความเร็วไม่ควรเป็นปัญหา อย่างไรก็ตามเมื่อทำการทดสอบ iperf จากสถานที่หนึ่งไปยังสถานที่ทำงานที่รู้จักฉันพบว่าแบนด์วิดท์ของฉันมีความเร็วสูงสุดประมาณ 85Mbps การตรวจสอบเพิ่มเติมของ 2921 นั้นทำให้เกิดข้อความแสดงข้อผิดพลาดต่อไปนี้จำนวนมาก: 006555: Jan 3 08:19:09.573 EST: %CERM-4-TX_BW_LIMIT: Maximum Tx Bandwidth limit of 85000 Kbps reached for Crypto functionality with securityk9 technology package license. 006556: Jan 3 …

12 cisco  cisco-ios-15  ipsec  cisco-isr 

ฉันกำลังทำ IPsec VPN บน ASA 8.0 และฉันเข้าใจเพียงเล็กน้อยเกี่ยวกับสิ่งนั้น ผู้ริเริ่มเริ่มต้นด้วยการส่งนโยบาย ISAKMP ไปยังผู้ตอบคำถามและผู้ตอบกลับจะส่งนโยบายที่ตรงกันกลับมา หลังจากนั้นคีย์ Diffie-Hellman จะได้รับการแลกเปลี่ยนจากนั้นทั้งคู่ก็ส่งคีย์ที่แชร์ล่วงหน้าไปยังอีกอันเพื่อการตรวจสอบความถูกต้อง ตอนนี้เรามีสองปุ่ม: หนึ่งจะถูกสร้างขึ้นโดยการเข้ารหัส AES หนึ่งจะถูกสร้างขึ้นโดยกลุ่ม Diffie-Hellman คีย์ใดที่ใช้เพื่อเข้ารหัสคีย์ที่แบ่งปันล่วงหน้า

11 cisco  cisco-asa  vpn  ipsec 

ฉันยินดีที่จะโพสต์การกำหนดค่าหรือบันทึกเพื่อการอ้างอิง แต่ฉันมีปัญหาในการรับ VPN การเข้าถึงระยะไกลของฉันทำงานบนอินเทอร์เฟซเดียวกันกับเว็บไซต์ของฉันไปยังไซต์ IPSEC VPN ฉันใช้แผนที่ crypto แบบไดนามิกสำหรับการเข้าถึงระยะไกล VPN แต่ดูเหมือนว่ามันล้มเหลวในการพยายามทำเฟสที่หนึ่ง ทุกคนจะสามารถให้ตัวอย่างง่ายๆให้ฉันทำงานออกจาก? แก้ไข: นี่คือการถ่ายโอนข้อมูลดีบักจากความล้มเหลวหลังจากใช้โปรไฟล์ ISAKMP ตามคำแนะนำด้านล่าง ฉันได้รับแจ้งชื่อผู้ใช้และรหัสผ่าน แต่หมดเวลาแล้ว ดูเหมือนว่าการอนุญาต isakmp ล้มเหลว การอนุญาต isakmp ปัจจุบันตั้งค่าเป็นรายการผู้ใช้ท้องถิ่น ดูเหมือนจะเป็นปัญหาสำหรับพวกคุณเหรอ? Jul 3 16:40:44.297: ISAKMP/aaa: unique id = 29277 Jul 3 16:40:44.297: ISAKMP:(0):Proposed key length does not match policy Jul 3 16:40:44.297: ISAKMP:(0):atts are not acceptable. …

11 cisco  vpn  cisco-ios-15  cisco-isr  ipsec 

ฉันกำลังพยายามกำหนดค่าแผนที่ crypto แบบไดนามิกสำหรับใช้ในเครือข่าย IPv6 แท้ๆบน Cisco 15.2M ปัญหาคือเมื่อฉันพยายามเพิ่มรายการเข้าถึง ipv6 ในแผนที่ crypto แบบไดนามิกฉันได้รับข้อความแสดงข้อผิดพลาด ด้านล่างกำหนดค่า crypto dynamic-map DYNMAP 5 set transform-set IPSECVPN-PeerA set ikev2-profile IKEV2-SETUP-DYN ipv6 access-list VPN_PEER_A_IPV6_ANY permit ipv6 2001:1::/64 any permit ipv6 2001:2::/64 any แต่เมื่อฉันพยายามที่จะเพิ่มรายการการเข้าถึงแผนที่ crypto ฉันได้รับข้อผิดพลาดดังต่อไปนี้ access-list type conflicts with prior definitionERROR: "VPN_PEER_A_IPV6_ANY" is either an invalid name or …

10 cisco  ipv6  ipsec 

ในฐานะที่เป็นส่วนหนึ่งของโครงการใหม่เรามีข้อกำหนดในการยุติการเชื่อมต่อ IPsec ประมาณ 3,000 รายการบนไฟร์วอลล์ Cisco ASA 5540 ตามข้อมูลจำเพาะ IPsec สูงสุดที่แพลตฟอร์มนี้รองรับคือ 5,000 ดังนั้นไม่น่าจะมีปัญหา คำถามคือจะเกิดอะไรขึ้นถ้าหากไซต์ระยะไกล 3000 แห่งทั้งหมดพยายามสร้างการเชื่อมต่อ IPsec ในครั้งเดียว ตัวอย่างเช่นหากสวิตช์ต้นน้ำตาย มันอาจจะไม่ทั้งหมดในคราวเดียว แต่ขึ้นอยู่กับตัวจับเวลามันอาจอยู่ในหน้าต่างเล็ก ๆ หรืออาจจะประมาณ 10 วินาที ASA จะจัดการกับการเชื่อมต่อที่เข้ามาทั้งหมดทรัพยากรที่ชาญฉลาดหรือไม่ อะไรที่เลวร้ายที่สุดที่สามารถเกิดขึ้นได้ ฉันเข้าใจว่าอาจต้องปรับเปลี่ยนเกณฑ์การตรวจจับภัยคุกคาม ASA จะไม่ทำอะไรนอกจากการยกเลิกการเชื่อมต่อ IPsec จะไม่มี NAT ไม่มีการตรวจสอบ มันจะเข้าร่วมใน OSPF ทางฝั่ง LAN เครือข่ายไซต์ระยะไกลทั้งหมดจะถูกสรุปว่า

10 cisco-asa  vpn  ipsec 

การวางแผนการตั้งค่าบิตของสายพานและเหล็กดัด พื้นหลัง: เรามีลิงค์ VPN ระหว่างไซต์ถึงศูนย์ข้อมูลระยะไกลของเราที่ประสบความสำเร็จ เครือข่าย 'ป้องกัน' ระยะไกลยังเป็นช่วงเครือข่าย IP ที่เปิดขึ้นผ่านไฟร์วอลล์เมื่ออินเทอร์เน็ตหันเข้าหาปลายทาง ดังนั้น : เราใช้ VPN เพื่อให้เราสามารถเข้าถึงจุดปลายที่ไม่เป็นสาธารณะได้ คำชี้แจงปัญหา : หากการเชื่อมโยง VPN ขัดข้อง ASA จะลดทราฟฟิกแม้ว่าจุดปลายอินเทอร์เน็ตจะยังคงสามารถใช้งานได้ผ่านไฟร์วอลล์ระยะไกล คำถาม : ฉันจะกำหนดค่า VPN เพื่อ 'ส่ง' ปริมาณการใช้งานเป็นปริมาณการใช้ขาออกปกติได้อย่างไรเมื่อ VPN ไม่ทำงาน นี่คือเซ็กเมนต์ที่เกี่ยวข้องของการกำหนดค่า crypto map vpn-crypto-map 20 match address remdc-vpn-acl crypto map vpn-crypto-map 20 set peer a.b.c.d crypto map vpn-crypto-map 20 …

9 vpn  ipsec  cisco 

ฉันอยู่ในขั้นตอนของการออกแบบการตั้งค่าเครือข่ายส่วนตัวเสมือนสำหรับสภาพแวดล้อมคลาวด์โฮสติ้ง ด้วยความต้องการของเราฉันไม่เห็นสิ่งนี้แตกต่างจากสภาพแวดล้อมเซิร์ฟเวอร์เฉพาะ แนวคิดคือเราต้องการให้ลูกค้าสามารถกำหนดให้ผู้ใช้เชื่อมต่อกับเครื่องเสมือนหรือเซิร์ฟเวอร์เฉพาะโดยใช้ VPN ซึ่งสามารถให้การเข้ารหัสเสริม (ตัวอย่างเช่นสำหรับงานพิมพ์ที่ส่งกลับไปยังเครือข่ายลูกค้า) เรากำลังมองหาการสนับสนุนโฮสต์เพื่อโฮสต์ IPSec (ESP และ AH) และแน่นอนอุโมงค์ SSH แต่สิ่งเหล่านี้ไม่ได้มีความสามารถในการใช้อะแดปเตอร์ VPN เรากำลังพิจารณาที่จะเพิ่มอย่างน้อยบางส่วนต่อไปนี้ แต่เนื่องจากพื้นที่มีค่าสูงเราจึงต้องการสร้างมาตรฐานบนไม่เกินหนึ่งหรือสองแห่ง (ซึ่งจะดีกว่า): การสนับสนุนทันเนลของ IPSec บนโฮสต์เสมือนหรือโฮสต์เฉพาะ Tinc PPTP เนื่องจากเซิร์ฟเวอร์ของเราทำการสำรองข้อมูล ฯลฯ อาจอยู่ในดาต้าเซ็นเตอร์ที่แตกต่างกันเราต้องการที่จะสามารถใช้วิธี VPN อีกครั้งได้ที่นี่ ดูเหมือนว่าจะตัดการใช้ PPTP ความคิดปัจจุบันของฉันคือ IPSec น่าจะดีกว่าเพราะเราสามารถใช้อะแดปเตอร์ VPN มาตรฐานได้ แต่การตั้งค่าการกำหนดเส้นทาง (ตามความต้องการของลูกค้า) น่าจะยากขึ้นอย่างมากซึ่งเป็นสาเหตุที่เราดูด้วย tinc ข้อใดที่สองข้อนี้เป็นที่นิยมกว่า ฉันกลัวว่าการจัดการเส้นทางมีแนวโน้มที่จะปวดหัวอย่างรุนแรงกับ IPSec หรือไม่? มีวิธีง่ายๆในการนี้หรือไม่? มี gotchas อื่น ๆ เกี่ยวกับ tinc …

9 vpn  ipsec