ipsec
Strongswanで確立された接続を確認する「新しい」方法は何ですか?
以前はipsec statusall。 今はswanctl表示されますが、swanctl --list-conns送信されたバイト、ネゴシエートされた暗号スイート、有効性の再検査/キーリセット統計など、ランタイム統計ではなく構成の詳細のみが表示されます。 それでは、「新しい」Strongswan設定に同様のコマンドがありますか? ...
ipsec
ipsec
IPSEC VPNをネットワークインターフェイスに接続する
Ubuntu 22.04.4 LTSサーバーでStrongSwan IPSEC VPNを設定しました。 VPNが起動し、プライマリインターフェイス(eno1)に正常に接続されます。 qBittorrentを使用してVPNを介して急流トラフィックを転送するために、VPN接続に割り当てられているIPアドレスにバインドします。 (他のネットワークトラフィックはVPNを介して送信されません。)これは成功するため、VPNがダウンすると急流トラフィックが停止します。 問題は、再接続後にVPNが自分に別のIPアドレスを割り当てることができることです。したがって、急流トラフ...
ipsec
Gre over over IPsec スループットパフォーマンス
Strongswan IPSec + GREを使用してFRR DMVPNをテストしています。トンネルはうまく機能し、ポイント間の設定が簡単です。トンネルはうまく機能し、ポイント間の設定が簡単です。回路。 AES-GCMカプセル化を使用し、TCP-MSSとMTUを調整してみました。しかし、所望の結果は得られない。 CPU:第2世代Xeon拡張可能。仮想マシンあたりコア6個。 4GB RAM - Ubuntu 20.04 AES-GCMカプセル化を使用し、TCP-MSSとMTUを調整してみました。しかしIPsecなしで得られた400Mb/sの代りに30-50Mb...
ipsec
「管理されていない」ネットワークインターフェイスの変更(以前に機能していた場合)
TL;博士; VPN 接続エラーをクリックすると、ネットワーク接続が失われた可能性があります。だから答えは簡単です。 いつものように、Network Managerアプレットを介してIPsecを使用して会社のネットワークに接続したいと思います。以前はうまく機能していましたが、今回は「接続」を押した後、ネットワークが完全に動作を停止しました。私のすべてのネットワークインターフェイスは「管理されていません」です。ノートパソコンを再起動してみましたが、役に立ちませんでした。 NixOを再インストールするソリューションだけを見ました(助けになるかどうかはわかりません...
ipsec
IPsecクライアントとしてのOPNsense
あるサイトから別のサイトへの永続的なVPN接続を確立したいと思います。静的IPv4、IPv6、およびドメインを介してアクセスできるサイトにIPsecサーバーが正しく設定されています。 今やりたいことは、OPNsenseボックスインターフェイス(OPT1と仮定)の1つがこのIPsec VPNに永続的に接続されるように設定することで、内部接続されたコンピュータ/クライアントOPT1ネットワーク上のVPNに関連するものを構成する必要がないようにすることです。 。 可能ですか?それではどうですか? このタイプのVPNのガイドを見つけましたが、私のユースケースの正しい...
ipsec
パケットがVPNを通過しないシナリオ(net2netと同じネットワーク上)
私は両側で同じネットワークを使用して実装ガイドに従いました(https://www.strongswan.org/testing/testresults/ikev2/net2net-same-nets/)以下は私の設定です。パケットがVPNを通過しないため、私のIPtablesまたはアップダウン設定に問題があるようです(または理解できません)。 注:印刷物を清掃してみました。 vpn-to-server { .... remote_addrs=16.16.16.65 ...
ipsec
IPsec VPNを介してpingするときに説明できない待機時間
ホストを介してネットワークVPNにpingを送信すると、2回目のpingが毎秒1秒ずつ遅延し、同時にVPN外のセキュリティゲートウェイにpingを送信するのに平均13ミリ秒から20ミリ秒以下がかかる場合、その理由は何ですか?可能な最大値をいつ使用する必要がありますかping -s 1464? (大きなピンが発生しますicmp_seq=1 Frag needed and DF set (mtu = 1492)。) 64 bytes from 192.168.178.1: icmp_seq=2301 ttl=64 time=17.6 ms 64 bytes fr...
ipsec
Nvidia JetsonデバイスでStrongswan IPSECを使用してカーネルがクラッシュする - バグ:アトミックに予約されている場合:スイッチ
Tegraカーネル5.12がインストールされているLinuxを実行するNvidia Jetson Orin Nanoがあります。 Strongswanを使用しようとしていますが、いくつかの要件があります。設定モジュール、それがまさに私がしたことです。 ただし、暗号化操作のための他のカーネルモジュールが欠落しているようで、Linuxカーネルについてはよくわからないため、ログは次のようになります。何が起こっているのか知っていますか? Aug 5 09:29:36 host charon: 14[CFG] selected proposal: ESP:AES_G...
ipsec
CentOS 8ストリームに「/etc/strongswan/swanctl/conf.d/*.conf」と一致するファイルが見つかりません。
PSK認証を使用した非常に単純なホスト間接続設定があります。 2つのCentos VMと2つのUbuntuサーバーVMに同じ構成を設定しましたが、構成はUbuntuで完全に機能しますが、Centosでは "/etc/strongswan/swanctl/conf.d/*.conf"と同じ構成が見つかりません。メッセージはファイルと一致し、「接続が見つかりません、0が削除されました」というメッセージが表示されます。 以下は、centosのホスト1のipsec.confファイルとipsec.secretsファイルです(ホスト2はパブリックIPアドレスのみを変更し...
ipsec
IPSecトンネルはキーを再入力するまで有効なままで、その後NO_PROPOSAL_CHOSENを取得します。
コンテキスト オフィスのRaspberry PiとクラウドのpfSenseファイアウォールの間にサイト間IPSecトンネルを確立しました。私はRaspberry Pi側でStrongswanを使用しています。 質問 私のトンネルはしばらくの間正常に実行されますが、それ自体を再暗号化する必要がある場合、ネゴシエーションは失敗します。 私は明らかなものを見逃していますか? ログ(ラズベリー側) 初期接続 raspberrypi charon[2422]: 09[IKE] received ESP_TFC_PADDING_NOT_SUPPORTED, not us...
ipsec
特定のパケットがIPsecのSPDに準拠しているかどうかを確認するにはどうすればよいですか?
StrongSwanによるMy IPsec設定はデバイスの外部にあり、XFRMポリシー/ステータスを使用します。 VPNゲートウェイで指定されたIPパケット(src IP、src dev、dst IPと呼ばれる)がXFRMポリシーまたはRIB / FIBの対象であるかどうかをテストしようとしています。ただし、ip route get ...RIBベースのXFRMポリシーと回答についての協議はないようです。 より良い答えを提供する他のコマンドはありますか? ...
ipsec
Debian 11: L2TP + IPSecの設定 - IPSecは失敗しますか?
デスクトップなしでDebian 11を実行している小規模なAWS EC2システムで新しいVPNクライアント(L2TPとIPSec)を設定しようとしています。 NetworkManager は機能していますが、IPSec エラーにより VPN 接続が開始されません。これが私がしたことです - ターミナルウィンドウで(IPアドレスなどが変更されました): root@client# /run/network/interfaces.d# /usr/lib/NetworkManager/nm-l2tp-service --debug nm-l2tp[13017] &l...
ipsec
ip xfrm 状態更新は認証/enc キーを変更しません。
コマンドでxfrmフレームワークをテストしていますが、ジョブのip xfrmテスト中にstate update暗号化キーまたは認証キーを変更できませんでした。同様の質問は、以下にあります。協会。 これがSADエントリがカーネルにインストールされる方法を保護するための意図的な動作であるのか、それともバグなのかはわかりません。 私のGoogleの研究では、次のものが見つかりました。協会彼らは問題をバグとして定義して修正しました。これが意図的な動作であるのか、それともまだ修正されていないLinuxカーネルの問題なのかはまだわかりません。 ...
ipsec
「top」はすべてのCPU使用率を説明しますか?
Linuxtopコマンドは、システムが使用するすべてのCPU時間を説明しますか? LinuxシステムでIPsec処理のボトルネックを理解しようとしています。特定の例では、システムはAWSの仮想マシンであり、IPsecスループットをテストしています。 AWS が各ストリームに課す制限を理解していますが、その制限に達していません。報告によると、ethtoolIPsecのハードウェアオフロードはありません。 IPsecがないと、はるかに高いスループットを達成できます(AWSがインスタンスタイプに対して公開した制限に達しました)。 IPsecを使用すると、スループッ...
ipsec
CA証明書にCA basicConstraintがありません。
次の手順を実行して自己署名 CA を作成します。 ipsec pki --issue --cacert selfCA.pem --cakey ecdsaKEY.pem --ca --dn "..." --flag ikeintermediate --flag serverAuth --outform pem > cert.pem ただし、端末はCAのデフォルト制約が欠落していることを伝え続けます。 インターネット経由で検索しましたが、まだこれはわかりません。誰でも助けることができますか? (m1 Air MacのUTM VMのkali linux...