問題タブ [ipsec]

私はipsecconfコマンドに取り組んでいます.ipsecconf -aを使用して、ファイルの各エントリで指定されたIPsecポリシーをシステムに追加できます.今、Linuxで同等のコマンドが必要です.

たとえば、solaris の ipsecconf の場合:

IPSec と IKE に関する調査を依頼されました。誰かが私に始めるのに良いリソースを提案できますか. 基本と実装。私は単にプロトコルを混乱させたくありません。これらのプロトコルを使用した実装やアプリケーションを作成できる本やサイトがあれば参考になります。

非常に一般的な質問ですが、openSSL をいつ使用し、いつ IPSEC を使用してインターネット上のデータ転送を保護するか教えてもらえますか? ネットワークプロトコルのレベルが異なるだけで、両方とも同じことをしているようです。したがって、なぜ両方が必要なのか、私にはよくわかりません。

あなたの助けに乾杯

IPSECJavaでプロトコルを実装したい。独自のプロトコルを作成する方法を知りたいです。そして、このプロトコルをパケットに埋め込む方法。

わかりやすいように、コード例をいくつか提供してください。

IPSec は IP レベルで、SSL はトランスポート レベルで、PGP はアプリケーション レベルで採用されています。一部の講義では、次のように述べています。

IPSEC: 最も一般的なソリューションですが、柔軟性が最も低くなります。 SSL: 非常に一般的で、ある程度の柔軟性があります。 PGP: 一般的ではありませんが、非常に柔軟です。

将軍とは、私が確保できるプロトコルの種類を指していると思います。IPSEC を使用すると、TCP または UDP を使用するすべてのものを保護できます。PGP は、電子メールを暗号化するだけで非常に特殊であるため、最も一般的ではありません。その理解は正しいですか？

しかし、この文脈で柔軟性が何を指しているのか、私にはわかりません。誰かアイデアはありますか? これは拡張性と関係がありますか？

ありがとう

ESP トランスポート モードは NAT と互換性がありません (NAPT または PAT ではありません)。

多くの論文で、NAT デバイスは TCP チェックサムを計算する必要があるため、トランスポート モードが NAT では機能しないことを確認しました。

問題は、ESP の next-header が暗号化されている場合、NAT デバイスがトランスポート モードとトンネル モードの間でどのように異なるかということです。

Mac OSX 10.6.6 (Snow Leopard) を実行する PowerBook Pro を使用しています。組み込みの VPN コネクタを使用してクライアント サーバーに数か月接続しています。昨日、私の接続は接続されず、タイムアウトになりました。他のリモート開発者に確認したところ、同じ問題がありました。「racoon」プロセスを強制終了することで解決しました。私は同じことをして、VPNに接続しました。

Racon をググって、それが IPsec ツールであることを発見しました ( http://ipsec-tools.sourceforge.net/ )

今朝、私は同じ問題を抱えていました。まず、racoonctl アプリを実行して情報をフラッシュすることにしました。 sudo racoonctl flush-sa ipsec

それはうまくいかなかったので、プロセスを強制終了することにしました。残念ながら、現在 racoon プロセスを実行していません。それで再起動しました。まだ処理していません。再起動して fsck を実行しました。まだ何もありません。

ログを調べたところ、10 秒ごとに racoon がクラッシュしているようです (以下を参照)。

これを元に戻すために何をする必要があるかについて、誰かアイデアがありますか? これは突然起こったようで、この時点で私の時間を真剣に食い尽くしています.

システムエラー：

クラッシュレポート：

WCF.NET NET-TCP プロトコルを使用して、Web アプリから別の Web アプリに接続しようとしています。この net.tcp プロトコルは IIS で有効になっており、私の場合はポート TCP 808 を使用しています。サーバーで IP フィルターを構成しましたが、IP フィルターを完全に無効にしない限り、両方のアプリケーション間の接続がブロックされます。

これは私が追加しようとしたルールであり、機能しません:

接続がブロックされている場合、TCPView を使用すると、次のように表示されます。

この接続を許可するにはどうすればよいですか? ありがとう！

次のような状況があります。2 つのホストが、Strongswan IpSec を使用してインターネット経由で 2 つのサブネットに接続します

• ホスト 1 はサブネット 10.13.0.0/24 のルーター
• ホスト 2 は、サブネットのない専用の Ubuntu サーバーをレンタルします (ifconfig によると、サブマスクは Mask:255.255.255.255 です)。
• ホスト 2 は、OpenVpn を使用して別のサブネットもホストします。そのサブネットは 192.168.23.0/24 です
• ホスト 2 は、そのサブネットの IP として 192.168.23.1 を持っています。

ping -I 192.168.23.1 10.23.23.23 を実行すると、他のサーバーに到達できます。ping 10.23.23.23 を実行しても機能しません。192.168.0./24 ネットワーク内の他のすべてのクライアントでは、ping は機能します。

機能させるには、どのルーティング エントリを追加する必要がありますか? ホスト自体が反対側のクライアントに到達できないためです。

詳細情報: host2 には 2 つのインターフェースがあります: eth0 と tun0 (openvpn 用)

host2 の ipconfig は次のようになります。

ここで答えを見つけました：http://www.freeswan.org/freeswan_trees/freeswan-1.99/doc/adv_config.html#multitunnel

いくつかの追加構成で可能です。残念ながら、私は反対側の構成を制御していないため、うまくいきませんでした。

Java で独自の軽量 VPN サーバーを作成することにしました。プログラミングの観点からは、VPN サーバーは、クライアントからのトラフィックを暗号化し、サーバー上で復号化するパススルー プロキシにすぎないように見えます。誰かがこの種のサーバーを書くためのスケルトンを教えてもらえますか?

すぐに使用できるものやオープンソースのものもたくさんあることは知っていますが、残念ながら、いくつかの Web プログラミング言語を知っていても、私が見た C コードの例は、理解できるように文書化/構造化されていません。

私が必要だと想像する部分は次のとおりです。

• クライアント オブジェクトのスレッド ファクトリ
• クライアント用ソケットコネクタ
• IPSec 認証ヘッダー (AH) の作成方法
• IPSec カプセル化セキュリティ ペイロード (ESP) の作成方法
• Internet Security Association and Key Management Protocol (ISAKMP) の何か
• インターネット鍵交換 (IKE)
• PKI 証明書認証モジュール
• 証明書リポジトリ (SQLLite)
• Oakley キー生成 (IKE および ISAKMP 用)
• パケットのアンチリプレイ防止

私が汎用モジュールを使用する (およびアダプターを作成する) 予定の部分は、暗号化アルゴリズムです (DES / 3DES のようなウィンドウのように見えますが、できれば AES -- Noobs)

誰かが IPSec vpn サーバーに必要な部分に詳細を追加できる場合は、遠慮なく貢献してください。私が知る限り、これは古い Linux ハードウェアで実行する必要があるため、サーバーは SSLVPN ホットネスではなく IPSec である必要があります。ターゲット プラットフォームは、2 GB の DDR2 RAM、ミラー化された 100 GB ハード ドライブ、および 2 ギガビット Nic を搭載した古い 1.5 GHz インテル ボックスです。

明るい面としては、非常に多くの種類のクライアント側 VPN があるため、自分のニーズに合わせて作成する必要はないと確信しています。