คำถามติดแท็ก vpn

ฉันสร้าง IPsec VPN มาหลายปีแล้ว แต่จริงๆแล้วฉันไม่เคยเข้าใจถึงความแตกต่างทางเทคนิคระหว่าง IKE และ ISAKMP ฉันมักจะเห็นคำสองคำที่ใช้แทนกันได้ (อาจไม่ถูกต้อง) ฉันเข้าใจสองขั้นตอนพื้นฐานของ IPsec และ ISAKMP นั้นดูเหมือนว่าจะเกี่ยวข้องกับเฟสแรกเป็นหลัก ตัวอย่างเช่นคำสั่ง IOS "show crypto isakmp sa" แสดงข้อมูล IPsec เฟสหนึ่ง แต่ไม่มีคำสั่งเทียบเท่าสำหรับ IKE

74 ipsec  ike  vpn 

ฉันได้เห็นคนจำนวนมากมักจะต่อสู้กับ IPSec และเทคโนโลยี VPN ที่ปลอดภัยอื่น ๆ อีกมากมาย สำหรับฉันใช้ OpenVPN ง่าย ๆ ด้วยผลลัพธ์ที่สวยงามและเรียบง่ายและหลากหลาย ฉันใช้มันกับเราเตอร์ DD-WRT เซิร์ฟเวอร์ขนาดใหญ่และโทรศัพท์ Android เพื่อบอกชื่อไม่กี่ มีใครช่วยอธิบายให้ฉันฟังว่าฉันพลาดอะไรไป มีข้อเสียของ OpenVPN ที่ฉันไม่ทราบหรือไม่? IPSec และเพื่อน ๆ นำเสนอฟีเจอร์ที่ยอดเยี่ยมที่ฉันไม่รู้หรือไม่? ทำไมทุกคนไม่ใช้ OpenVPN

29 vpn  ipsec 

นายจ้างของฉันต้องการให้ฉันเข้าสู่ระบบ VPN ก่อนและจากนั้นฉันจะสามารถ SSH เข้าสู่เซิร์ฟเวอร์ แต่ด้วยความปลอดภัยของ SSH VPN ที่มากเกินไปหรือไม่ การใช้ VPN ในแง่ของความปลอดภัยคืออะไรถ้าฉันใช้ SSH อยู่แล้ว ?

24 vpn  ssh 

เมื่อเร็ว ๆ นี้เราได้เปลี่ยน MPLS ระหว่างประเทศด้วย ASA 5510s ใหม่และ VPN จากเว็บไซต์สู่เว็บไซต์ อย่างไรก็ตามเมื่อเราปรับใช้สิ่งนี้เราพบปัญหาที่แต่ละสถานที่ห่างไกลมี 2 ISPs สำหรับความซ้ำซ้อน แต่เมื่อเปิดใช้งาน VPN บนทั้งสองอินเตอร์เฟสมันจะสลับระหว่างทั้งสองกับอุโมงค์ขึ้นและลงเมื่ออุโมงค์ถูกฉีกขาดและย้ายระหว่าง ผู้ให้บริการอินเทอร์เน็ต ซิสโก้ได้ดำเนินการมาเป็นเวลา 8 เดือนแล้วและเรายังไม่มีอุโมงค์ที่เสถียรสำหรับ ISP หลาย ๆ เครื่อง สำนักงานระยะไกล: access-list RWS_TUNNEL remark Interesting traffic for IND-RWS tunnel access-list RWS_TUNNEL extended permit ip object-group BNG_tunnel_NETS object-group CORP_tunnel_NETS crypto map RWS_TUNNEL 1 match address RWS_TUNNEL …

21 cisco  cisco-asa  vpn  failover  redundancy 

บน VPN ไซต์ต่อไซต์โดยใช้ ASA 5520 และ 5540 ตามลำดับฉันสังเกตเห็นว่าการรับส่งข้อมูลเป็นครั้งคราวไม่ผ่านอีกต่อไปบางครั้งก็มีปริมาณการใช้งานที่ขาดหายไปสำหรับการเลือกการรับส่งข้อมูลเฉพาะ / ACL ในขณะที่การรับส่งข้อมูลอื่น ๆ VPN เดียวกันกำลังทำงาน มันเกิดขึ้นแม้ว่าจะมีการ ping คงที่ สาเหตุอาจเกิดจากลิงก์ผ่านดาวเทียมที่ไม่เสถียรอย่างสมบูรณ์ ฉันจะรีเซ็ต VPN ให้อยู่ในสถานะทำงานแทนที่จะโหลด ASA ใหม่ได้อย่างไร

16 cisco  cisco-asa  vpn  cisco-commands 

ฉันสับสนเกี่ยวกับการกำหนดค่าอายุการใช้งานสมาคมความปลอดภัยใน Cisco IOS เสมอ สำหรับฮาร์ดแวร์ที่มีการจัดการผ่านเว็บส่วนใหญ่จะเห็นได้อย่างชัดเจนว่าอายุการใช้งาน SA นั้นเป็นอย่างไรสำหรับเฟส I และสำหรับ Phase II เกี่ยวกับซิสโก้ แต่คุณได้รับนี้crypto isakmp policy <NUM>ส่วนที่คุณระบุ SA lifetime <NUM>อายุการใช้งานเป็น นอกจากนี้คุณยังจะต้องตั้ง SA อายุการใช้งานในส่วนเช่นcrypto map <NAME> <NUM> IPsec-isakmpset security-association lifetime seconds <NUM> คุณช่วยบอกฉันทีได้โปรดและยุติความสับสนในที่สุดได้ไหม อันไหนคือเฟส 1 และอันไหนคือเฟส 2

13 vpn  ipsec 

ฉันมี VPN ไซต์ต่อไซต์ที่ดูเหมือนว่าจะลดทราฟฟิกจากซับเน็ตเฉพาะเมื่อข้อมูลจำนวนมากถูกส่งผ่านอุโมงค์ ฉันต้องวิ่งclear ipsec saเพื่อให้มันไปได้อีกครั้ง show crypto ipsec saผมแจ้งให้ทราบต่อไปนี้เมื่อทำงาน อายุการใช้งาน SA ที่เหลืออยู่ของคีย์จะสูงถึง 0 สำหรับ kB เมื่อสิ่งนี้เกิดขึ้นอุโมงค์ไม่ผ่านการจราจร ฉันไม่เข้าใจว่าทำไมมันไม่ rekey inbound esp sas: spi: 0x51BB8CAE (1371245742) transform: esp-3des esp-sha-hmac no compression in use settings ={L2L, Tunnel, } slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map sa timing: remaining key lifetime (kB/sec): (3796789/14690) IV …

12 vpn  cisco-asa 

ฉันกำลังทำ IPsec VPN บน ASA 8.0 และฉันเข้าใจเพียงเล็กน้อยเกี่ยวกับสิ่งนั้น ผู้ริเริ่มเริ่มต้นด้วยการส่งนโยบาย ISAKMP ไปยังผู้ตอบคำถามและผู้ตอบกลับจะส่งนโยบายที่ตรงกันกลับมา หลังจากนั้นคีย์ Diffie-Hellman จะได้รับการแลกเปลี่ยนจากนั้นทั้งคู่ก็ส่งคีย์ที่แชร์ล่วงหน้าไปยังอีกอันเพื่อการตรวจสอบความถูกต้อง ตอนนี้เรามีสองปุ่ม: หนึ่งจะถูกสร้างขึ้นโดยการเข้ารหัส AES หนึ่งจะถูกสร้างขึ้นโดยกลุ่ม Diffie-Hellman คีย์ใดที่ใช้เพื่อเข้ารหัสคีย์ที่แบ่งปันล่วงหน้า

11 cisco  cisco-asa  vpn  ipsec 

ฉันยินดีที่จะโพสต์การกำหนดค่าหรือบันทึกเพื่อการอ้างอิง แต่ฉันมีปัญหาในการรับ VPN การเข้าถึงระยะไกลของฉันทำงานบนอินเทอร์เฟซเดียวกันกับเว็บไซต์ของฉันไปยังไซต์ IPSEC VPN ฉันใช้แผนที่ crypto แบบไดนามิกสำหรับการเข้าถึงระยะไกล VPN แต่ดูเหมือนว่ามันล้มเหลวในการพยายามทำเฟสที่หนึ่ง ทุกคนจะสามารถให้ตัวอย่างง่ายๆให้ฉันทำงานออกจาก? แก้ไข: นี่คือการถ่ายโอนข้อมูลดีบักจากความล้มเหลวหลังจากใช้โปรไฟล์ ISAKMP ตามคำแนะนำด้านล่าง ฉันได้รับแจ้งชื่อผู้ใช้และรหัสผ่าน แต่หมดเวลาแล้ว ดูเหมือนว่าการอนุญาต isakmp ล้มเหลว การอนุญาต isakmp ปัจจุบันตั้งค่าเป็นรายการผู้ใช้ท้องถิ่น ดูเหมือนจะเป็นปัญหาสำหรับพวกคุณเหรอ? Jul 3 16:40:44.297: ISAKMP/aaa: unique id = 29277 Jul 3 16:40:44.297: ISAKMP:(0):Proposed key length does not match policy Jul 3 16:40:44.297: ISAKMP:(0):atts are not acceptable. …

11 cisco  vpn  cisco-ios-15  cisco-isr  ipsec 

ปรับปรุง ในที่สุดก็อัพเกรดเป็น 9.1.4 ฉันได้รับการกำหนดค่าทุกอย่างเปิดใช้งาน VPN อีกครั้งและยังคงมีปัญหาเดียวกัน ดังนั้นฉันจึงล้างข้อมูลการกำหนดค่า VPN ทั้งหมดและเริ่มจากศูนย์ ด้านล่างคือการกำหนดค่าปัจจุบันของฉัน ฉันสามารถเชื่อมต่อและเข้าถึงทรัพยากรบนเครือข่ายภายใน อย่างไรก็ตามฉันไม่สามารถเข้าถึงอินเทอร์เน็ตผ่าน VPN ได้ xlate per-session deny tcp any4 any4 xlate per-session deny tcp any4 any6 xlate per-session deny tcp any6 any4 xlate per-session deny tcp any6 any6 xlate per-session deny udp any4 any4 eq domain xlate per-session deny udp …

10 cisco-asa  vpn 

ในฐานะที่เป็นส่วนหนึ่งของโครงการใหม่เรามีข้อกำหนดในการยุติการเชื่อมต่อ IPsec ประมาณ 3,000 รายการบนไฟร์วอลล์ Cisco ASA 5540 ตามข้อมูลจำเพาะ IPsec สูงสุดที่แพลตฟอร์มนี้รองรับคือ 5,000 ดังนั้นไม่น่าจะมีปัญหา คำถามคือจะเกิดอะไรขึ้นถ้าหากไซต์ระยะไกล 3000 แห่งทั้งหมดพยายามสร้างการเชื่อมต่อ IPsec ในครั้งเดียว ตัวอย่างเช่นหากสวิตช์ต้นน้ำตาย มันอาจจะไม่ทั้งหมดในคราวเดียว แต่ขึ้นอยู่กับตัวจับเวลามันอาจอยู่ในหน้าต่างเล็ก ๆ หรืออาจจะประมาณ 10 วินาที ASA จะจัดการกับการเชื่อมต่อที่เข้ามาทั้งหมดทรัพยากรที่ชาญฉลาดหรือไม่ อะไรที่เลวร้ายที่สุดที่สามารถเกิดขึ้นได้ ฉันเข้าใจว่าอาจต้องปรับเปลี่ยนเกณฑ์การตรวจจับภัยคุกคาม ASA จะไม่ทำอะไรนอกจากการยกเลิกการเชื่อมต่อ IPsec จะไม่มี NAT ไม่มีการตรวจสอบ มันจะเข้าร่วมใน OSPF ทางฝั่ง LAN เครือข่ายไซต์ระยะไกลทั้งหมดจะถูกสรุปว่า

10 cisco-asa  vpn  ipsec 

การวางแผนการตั้งค่าบิตของสายพานและเหล็กดัด พื้นหลัง: เรามีลิงค์ VPN ระหว่างไซต์ถึงศูนย์ข้อมูลระยะไกลของเราที่ประสบความสำเร็จ เครือข่าย 'ป้องกัน' ระยะไกลยังเป็นช่วงเครือข่าย IP ที่เปิดขึ้นผ่านไฟร์วอลล์เมื่ออินเทอร์เน็ตหันเข้าหาปลายทาง ดังนั้น : เราใช้ VPN เพื่อให้เราสามารถเข้าถึงจุดปลายที่ไม่เป็นสาธารณะได้ คำชี้แจงปัญหา : หากการเชื่อมโยง VPN ขัดข้อง ASA จะลดทราฟฟิกแม้ว่าจุดปลายอินเทอร์เน็ตจะยังคงสามารถใช้งานได้ผ่านไฟร์วอลล์ระยะไกล คำถาม : ฉันจะกำหนดค่า VPN เพื่อ 'ส่ง' ปริมาณการใช้งานเป็นปริมาณการใช้ขาออกปกติได้อย่างไรเมื่อ VPN ไม่ทำงาน นี่คือเซ็กเมนต์ที่เกี่ยวข้องของการกำหนดค่า crypto map vpn-crypto-map 20 match address remdc-vpn-acl crypto map vpn-crypto-map 20 set peer a.b.c.d crypto map vpn-crypto-map 20 …

9 vpn  ipsec  cisco 

ฉันอยู่ในขั้นตอนของการออกแบบการตั้งค่าเครือข่ายส่วนตัวเสมือนสำหรับสภาพแวดล้อมคลาวด์โฮสติ้ง ด้วยความต้องการของเราฉันไม่เห็นสิ่งนี้แตกต่างจากสภาพแวดล้อมเซิร์ฟเวอร์เฉพาะ แนวคิดคือเราต้องการให้ลูกค้าสามารถกำหนดให้ผู้ใช้เชื่อมต่อกับเครื่องเสมือนหรือเซิร์ฟเวอร์เฉพาะโดยใช้ VPN ซึ่งสามารถให้การเข้ารหัสเสริม (ตัวอย่างเช่นสำหรับงานพิมพ์ที่ส่งกลับไปยังเครือข่ายลูกค้า) เรากำลังมองหาการสนับสนุนโฮสต์เพื่อโฮสต์ IPSec (ESP และ AH) และแน่นอนอุโมงค์ SSH แต่สิ่งเหล่านี้ไม่ได้มีความสามารถในการใช้อะแดปเตอร์ VPN เรากำลังพิจารณาที่จะเพิ่มอย่างน้อยบางส่วนต่อไปนี้ แต่เนื่องจากพื้นที่มีค่าสูงเราจึงต้องการสร้างมาตรฐานบนไม่เกินหนึ่งหรือสองแห่ง (ซึ่งจะดีกว่า): การสนับสนุนทันเนลของ IPSec บนโฮสต์เสมือนหรือโฮสต์เฉพาะ Tinc PPTP เนื่องจากเซิร์ฟเวอร์ของเราทำการสำรองข้อมูล ฯลฯ อาจอยู่ในดาต้าเซ็นเตอร์ที่แตกต่างกันเราต้องการที่จะสามารถใช้วิธี VPN อีกครั้งได้ที่นี่ ดูเหมือนว่าจะตัดการใช้ PPTP ความคิดปัจจุบันของฉันคือ IPSec น่าจะดีกว่าเพราะเราสามารถใช้อะแดปเตอร์ VPN มาตรฐานได้ แต่การตั้งค่าการกำหนดเส้นทาง (ตามความต้องการของลูกค้า) น่าจะยากขึ้นอย่างมากซึ่งเป็นสาเหตุที่เราดูด้วย tinc ข้อใดที่สองข้อนี้เป็นที่นิยมกว่า ฉันกลัวว่าการจัดการเส้นทางมีแนวโน้มที่จะปวดหัวอย่างรุนแรงกับ IPSec หรือไม่? มีวิธีง่ายๆในการนี้หรือไม่? มี gotchas อื่น ๆ เกี่ยวกับ tinc …

9 vpn  ipsec