คำถามติดแท็ก vpn

สำหรับคำถามเกี่ยวกับ Virtual Private Networks (VPNs)

3
ความแตกต่างระหว่าง IKE และ ISAKMP คืออะไร
ฉันสร้าง IPsec VPN มาหลายปีแล้ว แต่จริงๆแล้วฉันไม่เคยเข้าใจถึงความแตกต่างทางเทคนิคระหว่าง IKE และ ISAKMP ฉันมักจะเห็นคำสองคำที่ใช้แทนกันได้ (อาจไม่ถูกต้อง) ฉันเข้าใจสองขั้นตอนพื้นฐานของ IPsec และ ISAKMP นั้นดูเหมือนว่าจะเกี่ยวข้องกับเฟสแรกเป็นหลัก ตัวอย่างเช่นคำสั่ง IOS "show crypto isakmp sa" แสดงข้อมูล IPsec เฟสหนึ่ง แต่ไม่มีคำสั่งเทียบเท่าสำหรับ IKE
74 ipsec  ike  vpn 

8
ข้อเสียของ OpenVPN คืออะไร
ฉันได้เห็นคนจำนวนมากมักจะต่อสู้กับ IPSec และเทคโนโลยี VPN ที่ปลอดภัยอื่น ๆ อีกมากมาย สำหรับฉันใช้ OpenVPN ง่าย ๆ ด้วยผลลัพธ์ที่สวยงามและเรียบง่ายและหลากหลาย ฉันใช้มันกับเราเตอร์ DD-WRT เซิร์ฟเวอร์ขนาดใหญ่และโทรศัพท์ Android เพื่อบอกชื่อไม่กี่ มีใครช่วยอธิบายให้ฉันฟังว่าฉันพลาดอะไรไป มีข้อเสียของ OpenVPN ที่ฉันไม่ทราบหรือไม่? IPSec และเพื่อน ๆ นำเสนอฟีเจอร์ที่ยอดเยี่ยมที่ฉันไม่รู้หรือไม่? ทำไมทุกคนไม่ใช้ OpenVPN
29 vpn  ipsec 

9
เหตุใดจึงใช้ SSH และ VPN ร่วมกัน
นายจ้างของฉันต้องการให้ฉันเข้าสู่ระบบ VPN ก่อนและจากนั้นฉันจะสามารถ SSH เข้าสู่เซิร์ฟเวอร์ แต่ด้วยความปลอดภัยของ SSH VPN ที่มากเกินไปหรือไม่ การใช้ VPN ในแง่ของความปลอดภัยคืออะไรถ้าฉันใช้ SSH อยู่แล้ว ?
24 vpn  ssh 

5
การซิงโครไนซ์ VPN ของ Cisco ASA แบบไซต์ต่อไซต์
เมื่อเร็ว ๆ นี้เราได้เปลี่ยน MPLS ระหว่างประเทศด้วย ASA 5510s ใหม่และ VPN จากเว็บไซต์สู่เว็บไซต์ อย่างไรก็ตามเมื่อเราปรับใช้สิ่งนี้เราพบปัญหาที่แต่ละสถานที่ห่างไกลมี 2 ISPs สำหรับความซ้ำซ้อน แต่เมื่อเปิดใช้งาน VPN บนทั้งสองอินเตอร์เฟสมันจะสลับระหว่างทั้งสองกับอุโมงค์ขึ้นและลงเมื่ออุโมงค์ถูกฉีกขาดและย้ายระหว่าง ผู้ให้บริการอินเทอร์เน็ต ซิสโก้ได้ดำเนินการมาเป็นเวลา 8 เดือนแล้วและเรายังไม่มีอุโมงค์ที่เสถียรสำหรับ ISP หลาย ๆ เครื่อง สำนักงานระยะไกล: access-list RWS_TUNNEL remark Interesting traffic for IND-RWS tunnel access-list RWS_TUNNEL extended permit ip object-group BNG_tunnel_NETS object-group CORP_tunnel_NETS crypto map RWS_TUNNEL 1 match address RWS_TUNNEL …

5
ฉันจะรีเซ็ตอุโมงค์ VPN บน Cisco ASA ได้อย่างไร
บน VPN ไซต์ต่อไซต์โดยใช้ ASA 5520 และ 5540 ตามลำดับฉันสังเกตเห็นว่าการรับส่งข้อมูลเป็นครั้งคราวไม่ผ่านอีกต่อไปบางครั้งก็มีปริมาณการใช้งานที่ขาดหายไปสำหรับการเลือกการรับส่งข้อมูลเฉพาะ / ACL ในขณะที่การรับส่งข้อมูลอื่น ๆ VPN เดียวกันกำลังทำงาน มันเกิดขึ้นแม้ว่าจะมีการ ping คงที่ สาเหตุอาจเกิดจากลิงก์ผ่านดาวเทียมที่ไม่เสถียรอย่างสมบูรณ์ ฉันจะรีเซ็ต VPN ให้อยู่ในสถานะทำงานแทนที่จะโหลด ASA ใหม่ได้อย่างไร

1
การทำให้ Cisco ISAKMP และ IPSec SA สับสนตลอดอายุการใช้งาน
ฉันสับสนเกี่ยวกับการกำหนดค่าอายุการใช้งานสมาคมความปลอดภัยใน Cisco IOS เสมอ สำหรับฮาร์ดแวร์ที่มีการจัดการผ่านเว็บส่วนใหญ่จะเห็นได้อย่างชัดเจนว่าอายุการใช้งาน SA นั้นเป็นอย่างไรสำหรับเฟส I และสำหรับ Phase II เกี่ยวกับซิสโก้ แต่คุณได้รับนี้crypto isakmp policy <NUM>ส่วนที่คุณระบุ SA lifetime <NUM>อายุการใช้งานเป็น นอกจากนี้คุณยังจะต้องตั้ง SA อายุการใช้งานในส่วนเช่นcrypto map <NAME> <NUM> IPsec-isakmpset security-association lifetime seconds <NUM> คุณช่วยบอกฉันทีได้โปรดและยุติความสับสนในที่สุดได้ไหม อันไหนคือเฟส 1 และอันไหนคือเฟส 2
13 vpn  ipsec 

1
อุโมงค์ VPN จากไซต์สู่ไซต์ไม่ส่งการรับส่งข้อมูล
ฉันมี VPN ไซต์ต่อไซต์ที่ดูเหมือนว่าจะลดทราฟฟิกจากซับเน็ตเฉพาะเมื่อข้อมูลจำนวนมากถูกส่งผ่านอุโมงค์ ฉันต้องวิ่งclear ipsec saเพื่อให้มันไปได้อีกครั้ง show crypto ipsec saผมแจ้งให้ทราบต่อไปนี้เมื่อทำงาน อายุการใช้งาน SA ที่เหลืออยู่ของคีย์จะสูงถึง 0 สำหรับ kB เมื่อสิ่งนี้เกิดขึ้นอุโมงค์ไม่ผ่านการจราจร ฉันไม่เข้าใจว่าทำไมมันไม่ rekey inbound esp sas: spi: 0x51BB8CAE (1371245742) transform: esp-3des esp-sha-hmac no compression in use settings ={L2L, Tunnel, } slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map sa timing: remaining key lifetime (kB/sec): (3796789/14690) IV …
12 vpn  cisco-asa 

2
ใน IPsec VPN คีย์ที่แบ่งปันล่วงหน้ามีการเข้ารหัสอย่างไร
ฉันกำลังทำ IPsec VPN บน ASA 8.0 และฉันเข้าใจเพียงเล็กน้อยเกี่ยวกับสิ่งนั้น ผู้ริเริ่มเริ่มต้นด้วยการส่งนโยบาย ISAKMP ไปยังผู้ตอบคำถามและผู้ตอบกลับจะส่งนโยบายที่ตรงกันกลับมา หลังจากนั้นคีย์ Diffie-Hellman จะได้รับการแลกเปลี่ยนจากนั้นทั้งคู่ก็ส่งคีย์ที่แชร์ล่วงหน้าไปยังอีกอันเพื่อการตรวจสอบความถูกต้อง ตอนนี้เรามีสองปุ่ม: หนึ่งจะถูกสร้างขึ้นโดยการเข้ารหัส AES หนึ่งจะถูกสร้างขึ้นโดยกลุ่ม Diffie-Hellman คีย์ใดที่ใช้เพื่อเข้ารหัสคีย์ที่แบ่งปันล่วงหน้า
11 cisco  cisco-asa  vpn  ipsec 

3
วิธีที่เหมาะสมในการตั้งค่า Site เป็น Site IPSEC VPN และ Remote Access VLAN บนอินเทอร์เฟซภายนอกเดียวกันคืออะไร Cisco 891 ISR
ฉันยินดีที่จะโพสต์การกำหนดค่าหรือบันทึกเพื่อการอ้างอิง แต่ฉันมีปัญหาในการรับ VPN การเข้าถึงระยะไกลของฉันทำงานบนอินเทอร์เฟซเดียวกันกับเว็บไซต์ของฉันไปยังไซต์ IPSEC VPN ฉันใช้แผนที่ crypto แบบไดนามิกสำหรับการเข้าถึงระยะไกล VPN แต่ดูเหมือนว่ามันล้มเหลวในการพยายามทำเฟสที่หนึ่ง ทุกคนจะสามารถให้ตัวอย่างง่ายๆให้ฉันทำงานออกจาก? แก้ไข: นี่คือการถ่ายโอนข้อมูลดีบักจากความล้มเหลวหลังจากใช้โปรไฟล์ ISAKMP ตามคำแนะนำด้านล่าง ฉันได้รับแจ้งชื่อผู้ใช้และรหัสผ่าน แต่หมดเวลาแล้ว ดูเหมือนว่าการอนุญาต isakmp ล้มเหลว การอนุญาต isakmp ปัจจุบันตั้งค่าเป็นรายการผู้ใช้ท้องถิ่น ดูเหมือนจะเป็นปัญหาสำหรับพวกคุณเหรอ? Jul 3 16:40:44.297: ISAKMP/aaa: unique id = 29277 Jul 3 16:40:44.297: ISAKMP:(0):Proposed key length does not match policy Jul 3 16:40:44.297: ISAKMP:(0):atts are not acceptable. …

4
ASA 5505 remote access VPN - มีการสร้างการเชื่อมต่อ แต่ไม่มีการเข้าถึงอินเทอร์เน็ต / ไปยัง subnet
ปรับปรุง ในที่สุดก็อัพเกรดเป็น 9.1.4 ฉันได้รับการกำหนดค่าทุกอย่างเปิดใช้งาน VPN อีกครั้งและยังคงมีปัญหาเดียวกัน ดังนั้นฉันจึงล้างข้อมูลการกำหนดค่า VPN ทั้งหมดและเริ่มจากศูนย์ ด้านล่างคือการกำหนดค่าปัจจุบันของฉัน ฉันสามารถเชื่อมต่อและเข้าถึงทรัพยากรบนเครือข่ายภายใน อย่างไรก็ตามฉันไม่สามารถเข้าถึงอินเทอร์เน็ตผ่าน VPN ได้ xlate per-session deny tcp any4 any4 xlate per-session deny tcp any4 any6 xlate per-session deny tcp any6 any4 xlate per-session deny tcp any6 any6 xlate per-session deny udp any4 any4 eq domain xlate per-session deny udp …
10 cisco-asa  vpn 

2
ASA 5540 จะสนับสนุนการเชื่อมต่อ IPsec พร้อมกัน 3000 รายการหรือไม่
ในฐานะที่เป็นส่วนหนึ่งของโครงการใหม่เรามีข้อกำหนดในการยุติการเชื่อมต่อ IPsec ประมาณ 3,000 รายการบนไฟร์วอลล์ Cisco ASA 5540 ตามข้อมูลจำเพาะ IPsec สูงสุดที่แพลตฟอร์มนี้รองรับคือ 5,000 ดังนั้นไม่น่าจะมีปัญหา คำถามคือจะเกิดอะไรขึ้นถ้าหากไซต์ระยะไกล 3000 แห่งทั้งหมดพยายามสร้างการเชื่อมต่อ IPsec ในครั้งเดียว ตัวอย่างเช่นหากสวิตช์ต้นน้ำตาย มันอาจจะไม่ทั้งหมดในคราวเดียว แต่ขึ้นอยู่กับตัวจับเวลามันอาจอยู่ในหน้าต่างเล็ก ๆ หรืออาจจะประมาณ 10 วินาที ASA จะจัดการกับการเชื่อมต่อที่เข้ามาทั้งหมดทรัพยากรที่ชาญฉลาดหรือไม่ อะไรที่เลวร้ายที่สุดที่สามารถเกิดขึ้นได้ ฉันเข้าใจว่าอาจต้องปรับเปลี่ยนเกณฑ์การตรวจจับภัยคุกคาม ASA จะไม่ทำอะไรนอกจากการยกเลิกการเชื่อมต่อ IPsec จะไม่มี NAT ไม่มีการตรวจสอบ มันจะเข้าร่วมใน OSPF ทางฝั่ง LAN เครือข่ายไซต์ระยะไกลทั้งหมดจะถูกสรุปว่า
10 cisco-asa  vpn  ipsec 

2
VPN IPSec ของไซต์ต่อไซต์ อนุญาตการรับส่งข้อมูลถ้า VPN ไม่ทำงาน
การวางแผนการตั้งค่าบิตของสายพานและเหล็กดัด พื้นหลัง: เรามีลิงค์ VPN ระหว่างไซต์ถึงศูนย์ข้อมูลระยะไกลของเราที่ประสบความสำเร็จ เครือข่าย 'ป้องกัน' ระยะไกลยังเป็นช่วงเครือข่าย IP ที่เปิดขึ้นผ่านไฟร์วอลล์เมื่ออินเทอร์เน็ตหันเข้าหาปลายทาง ดังนั้น : เราใช้ VPN เพื่อให้เราสามารถเข้าถึงจุดปลายที่ไม่เป็นสาธารณะได้ คำชี้แจงปัญหา : หากการเชื่อมโยง VPN ขัดข้อง ASA จะลดทราฟฟิกแม้ว่าจุดปลายอินเทอร์เน็ตจะยังคงสามารถใช้งานได้ผ่านไฟร์วอลล์ระยะไกล คำถาม : ฉันจะกำหนดค่า VPN เพื่อ 'ส่ง' ปริมาณการใช้งานเป็นปริมาณการใช้ขาออกปกติได้อย่างไรเมื่อ VPN ไม่ทำงาน นี่คือเซ็กเมนต์ที่เกี่ยวข้องของการกำหนดค่า crypto map vpn-crypto-map 20 match address remdc-vpn-acl crypto map vpn-crypto-map 20 set peer a.b.c.d crypto map vpn-crypto-map 20 …
9 vpn  ipsec  cisco 

2
VPN ในสภาพแวดล้อมคลาวด์โฮสติ้ง / เซิร์ฟเวอร์เฉพาะ IPSec tunnels vs tinc
ฉันอยู่ในขั้นตอนของการออกแบบการตั้งค่าเครือข่ายส่วนตัวเสมือนสำหรับสภาพแวดล้อมคลาวด์โฮสติ้ง ด้วยความต้องการของเราฉันไม่เห็นสิ่งนี้แตกต่างจากสภาพแวดล้อมเซิร์ฟเวอร์เฉพาะ แนวคิดคือเราต้องการให้ลูกค้าสามารถกำหนดให้ผู้ใช้เชื่อมต่อกับเครื่องเสมือนหรือเซิร์ฟเวอร์เฉพาะโดยใช้ VPN ซึ่งสามารถให้การเข้ารหัสเสริม (ตัวอย่างเช่นสำหรับงานพิมพ์ที่ส่งกลับไปยังเครือข่ายลูกค้า) เรากำลังมองหาการสนับสนุนโฮสต์เพื่อโฮสต์ IPSec (ESP และ AH) และแน่นอนอุโมงค์ SSH แต่สิ่งเหล่านี้ไม่ได้มีความสามารถในการใช้อะแดปเตอร์ VPN เรากำลังพิจารณาที่จะเพิ่มอย่างน้อยบางส่วนต่อไปนี้ แต่เนื่องจากพื้นที่มีค่าสูงเราจึงต้องการสร้างมาตรฐานบนไม่เกินหนึ่งหรือสองแห่ง (ซึ่งจะดีกว่า): การสนับสนุนทันเนลของ IPSec บนโฮสต์เสมือนหรือโฮสต์เฉพาะ Tinc PPTP เนื่องจากเซิร์ฟเวอร์ของเราทำการสำรองข้อมูล ฯลฯ อาจอยู่ในดาต้าเซ็นเตอร์ที่แตกต่างกันเราต้องการที่จะสามารถใช้วิธี VPN อีกครั้งได้ที่นี่ ดูเหมือนว่าจะตัดการใช้ PPTP ความคิดปัจจุบันของฉันคือ IPSec น่าจะดีกว่าเพราะเราสามารถใช้อะแดปเตอร์ VPN มาตรฐานได้ แต่การตั้งค่าการกำหนดเส้นทาง (ตามความต้องการของลูกค้า) น่าจะยากขึ้นอย่างมากซึ่งเป็นสาเหตุที่เราดูด้วย tinc ข้อใดที่สองข้อนี้เป็นที่นิยมกว่า ฉันกลัวว่าการจัดการเส้นทางมีแนวโน้มที่จะปวดหัวอย่างรุนแรงกับ IPSec หรือไม่? มีวิธีง่ายๆในการนี้หรือไม่? มี gotchas อื่น ๆ เกี่ยวกับ tinc …
9 vpn  ipsec 
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.