strongswan
Strongswanで確立された接続を確認する「新しい」方法は何ですか?
以前はipsec statusall。 今はswanctl表示されますが、swanctl --list-conns送信されたバイト、ネゴシエートされた暗号スイート、有効性の再検査/キーリセット統計など、ランタイム統計ではなく構成の詳細のみが表示されます。 それでは、「新しい」Strongswan設定に同様のコマンドがありますか? ...
strongswan
strongswan
IPSec IKEV2 VPN デフォルトポート 500 および 4500 を別のポートに変更
何らかの理由でOpenVPNは私のローカルコンピュータでうまく動作しますが、IPSec IKEV2 VPNはOpenVPNが接続されている場合にのみ機能しません。 IPSec IKEV2 VPN用のドメインがあり、ローカルコンピュータ上のVPNはポート443を使用します。 OpenVPNなしで自分のローカルコンピュータでVPNを強制するにはどうすればよいか教えてください。 サーバーのポート443を変更する必要がありますか、またはポート500と4500を変更する必要がありますか? 以下のリンクに従ってStrongswanを使用してIKEv2 VPNを設定し、...
strongswan
Gre over over IPsec スループットパフォーマンス
Strongswan IPSec + GREを使用してFRR DMVPNをテストしています。トンネルはうまく機能し、ポイント間の設定が簡単です。トンネルはうまく機能し、ポイント間の設定が簡単です。回路。 AES-GCMカプセル化を使用し、TCP-MSSとMTUを調整してみました。しかし、所望の結果は得られない。 CPU:第2世代Xeon拡張可能。仮想マシンあたりコア6個。 4GB RAM - Ubuntu 20.04 AES-GCMカプセル化を使用し、TCP-MSSとMTUを調整してみました。しかしIPsecなしで得られた400Mb/sの代りに30-50Mb...
strongswan
パケットがVPNを通過しないシナリオ(net2netと同じネットワーク上)
私は両側で同じネットワークを使用して実装ガイドに従いました(https://www.strongswan.org/testing/testresults/ikev2/net2net-same-nets/)以下は私の設定です。パケットがVPNを通過しないため、私のIPtablesまたはアップダウン設定に問題があるようです(または理解できません)。 注:印刷物を清掃してみました。 vpn-to-server { .... remote_addrs=16.16.16.65 ...
strongswan
Nvidia JetsonデバイスでStrongswan IPSECを使用してカーネルがクラッシュする - バグ:アトミックに予約されている場合:スイッチ
Tegraカーネル5.12がインストールされているLinuxを実行するNvidia Jetson Orin Nanoがあります。 Strongswanを使用しようとしていますが、いくつかの要件があります。設定モジュール、それがまさに私がしたことです。 ただし、暗号化操作のための他のカーネルモジュールが欠落しているようで、Linuxカーネルについてはよくわからないため、ログは次のようになります。何が起こっているのか知っていますか? Aug 5 09:29:36 host charon: 14[CFG] selected proposal: ESP:AES_G...
strongswan
CentOS 8ストリームに「/etc/strongswan/swanctl/conf.d/*.conf」と一致するファイルが見つかりません。
PSK認証を使用した非常に単純なホスト間接続設定があります。 2つのCentos VMと2つのUbuntuサーバーVMに同じ構成を設定しましたが、構成はUbuntuで完全に機能しますが、Centosでは "/etc/strongswan/swanctl/conf.d/*.conf"と同じ構成が見つかりません。メッセージはファイルと一致し、「接続が見つかりません、0が削除されました」というメッセージが表示されます。 以下は、centosのホスト1のipsec.confファイルとipsec.secretsファイルです(ホスト2はパブリックIPアドレスのみを変更し...
strongswan
IPSecトンネルはキーを再入力するまで有効なままで、その後NO_PROPOSAL_CHOSENを取得します。
コンテキスト オフィスのRaspberry PiとクラウドのpfSenseファイアウォールの間にサイト間IPSecトンネルを確立しました。私はRaspberry Pi側でStrongswanを使用しています。 質問 私のトンネルはしばらくの間正常に実行されますが、それ自体を再暗号化する必要がある場合、ネゴシエーションは失敗します。 私は明らかなものを見逃していますか? ログ(ラズベリー側) 初期接続 raspberrypi charon[2422]: 09[IKE] received ESP_TFC_PADDING_NOT_SUPPORTED, not us...
strongswan
特定のパケットがIPsecのSPDに準拠しているかどうかを確認するにはどうすればよいですか?
StrongSwanによるMy IPsec設定はデバイスの外部にあり、XFRMポリシー/ステータスを使用します。 VPNゲートウェイで指定されたIPパケット(src IP、src dev、dst IPと呼ばれる)がXFRMポリシーまたはRIB / FIBの対象であるかどうかをテストしようとしています。ただし、ip route get ...RIBベースのXFRMポリシーと回答についての協議はないようです。 より良い答えを提供する他のコマンドはありますか? ...
strongswan
Debian 11: L2TP + IPSecの設定 - IPSecは失敗しますか?
デスクトップなしでDebian 11を実行している小規模なAWS EC2システムで新しいVPNクライアント(L2TPとIPSec)を設定しようとしています。 NetworkManager は機能していますが、IPSec エラーにより VPN 接続が開始されません。これが私がしたことです - ターミナルウィンドウで(IPアドレスなどが変更されました): root@client# /run/network/interfaces.d# /usr/lib/NetworkManager/nm-l2tp-service --debug nm-l2tp[13017] &l...
strongswan
UbuntuとStrongSwanを使用したサイト間VPN
Ubuntu 20.04.1とStrongSwanに基づいてサイト間IPSec VPNを構築しようとしています。私の目標は、ゲートウェイでNATを使用せずに2つのサイトを相互接続することです。私の研究室には以下があります。 IPSecを動作させることができます。左側のサイトのUbuntuで172.16.1.254(内部サイトBゲートウェイのIPアドレス)をpingできます。ただし、172.16.1.254 アドレスではなく、サイト B のコンピューターに ping しようとすると失敗します。私が持っているいくつかのチュートリアルに従って: /etc/sy...
strongswan
VPNユーザーのデフォルトパスの変更
l2tp VPNサーバーとして実行されるLinux(現在はcentos 8ですが何でも変更できます)サーバーがあり、次の2つのネットワークインターフェースがあります。 ネットワークカード 1: 192.168.1.4/24 ネットワークカード 2: 192.168.3.2/24 サーバーのデフォルトゲートウェイは192.168.1.1ですが、VPNユーザーのデフォルトゲートウェイとして192.168.3.1を設定したいと思います。 192.168.3.1は私のネットワークの別のルーターです。 私は現在libreswanを使用していますが、それを行う他のものに...
strongswan
ipsec pkiエラー(plugin-openssl-load-openssl-plugin-create-pluginファイルが見つからず使用できません)
自己署名証明書を使用してM1 Mac上の2つの仮想マシン間でVPN接続を確立しようとしていますが、ヘッダーエラーのためにキーと証明書を生成できないようです。私はほとんどすべてを試しました。誰でもアイデアを提供できますか?イドメネアス様ありがとうございました ipsec(Linux StrongSwan U5.9.8/K6.0.0-kali3-arm64)を更新しました。 openssl(opensslはすでに最新バージョン(3.0.7-1)です。)kali linux 2022.2 arm 64 ...
strongswan
iptablesが同じルールを適用しないのはなぜですか?
何らかの理由で私のネットワークに「宛先に接続できません、パスなし」エラーが発生しました。このエラーは定期的に発生し、後でこれが私のプログラムのバグであることがわかりました。 しかし、この間、私は奇妙な問題を見つけました。ネットワークが正常なときにpingを開始すると、ネットワークにルーティングの問題があってもpingが機能し続けることができるということです。 iptablesトレースを使用して、次のiptablesルールが適用されたpingプロセスが実行されていることがわかりました。 raw:PREROUTING:policy:2 nat:PREROUTIN...
strongswan
VPNによるNATリフレクションによる外部Webサービスアクセスタイムアウト
Strongswan VPNサーバーと複数のサービスを実行しているRaspbian arm64を備えたRaspberry Pi 4Bがあり、外部IP /ドメイン名を介してフローWANにアクセスできます。 LANで同じサービスを使用できるように、ルータでNATリフレクションを使用します。すべてのVPNデバイスからインターネットとLAN上のすべてのデバイスにアクセスできるため、VPNルーティングが正しく機能しているようです。同様に、LANからすべてのVPNデバイスにpingを送信できます。 自分のドメイン名を介して自分のWebサービスにアクセスしようとすると問題...
strongswan
奇妙なIPsec動作
うまく説明できない興味深いものを見つけました。単純なUbuntu 20.04ボックスを開き、IPSecトンネルを介してすべてのトラフィックを保護しようとしました。私はVTIやxfrmインターフェースを使わずに両端でTSで0.0.0.0をネゴシエートします。 IPsecトンネルがなければ、すべてが正常です。 これでトンネルを開始すると、トンネルはうまく機能します。これで、iperf TCPテストを実行すると正常に動作します。パケットはトンネルを通ってアプリケーションに戻り、予測スループットを取得します。 pingテストを実行してもうまく動作します。 問題はネッ...