問題タブ [ipsec]

Windows XP PC から IPsec トンネルを開き (MMC GUI を使用して実行できます)、CONNECTION_ESATBLISHED のようなアプリケーション (C、C++、またはその他のアプリケーション) の接続ステータスに関するコールバック (一部の Windows API) を取得したいと考えています。 、CONNECTION_FAILED または NEGOTIATION_FAILED。

つまり、トンネルが確立されたかどうか、トンネルが適切に実行されているかどうか、またはアプリケーション コードによって閉じられていたかどうかを知りたいのです。

私はこの件について多くのことをグーグルで調べましたが、有益な情報を見つけることができませんでした...

誰にもアイデアはありますか？どうもありがとう！

Amazon 上の VPC とクライアント ネットワークの間に VPN トンネルを確立する作業を行っています。クライアントはファイアウォールの背後でパブリック IP アドレスを使用し、VPC 内のサーバーにもパブリック IP を使用するように要求しました。

接続の目的は、アプリケーション サーバーとそのアプリケーション サーバーが通信できるようにすることです。

トポロジは次のようになります。

107.xxx <--> 107.yyy <--> AWS インターネットゲートウェイ <--> インターネット <--> 213.aaa <-->213.bbb

どこ：

なんとかトンネルを立ち上げることができましたが、213.bbb に ping を実行しようとすると、Destination Host Unreachableが表示されます。

ipsec.conf は次のとおりです。

前もって感謝します

CentOS 6 で openswan (opens/wan) を使用して 2 つのペア間の IPsec 接続を実装しました。これは正常に動作しており、トラフィックが暗号化されていることがわかります。ただし、何らかの理由で IPsec トンネルが存在しなくなった場合 (誰かがオフにした、クラッシュしたなど)、トラフィックは暗号化されていないトラフィックとしてピア間を流れます。

これら 2 つのピア間のトラフィックが常に IPsec で暗号化されて送信されるようにする方法、またはピア間のトラフィックが受け入れられないようにする方法を教えてください。

iptables は役に立たないようです。パケットは iptables ルールを 2 回通過するため、一度暗号化され、もう一度暗号化されません。

前もって感謝します。

WP8エミュレーターがHyper-Vに基づいているため、ネットワークがIPSECを使用している場合、Fiddlerを使用してネットワークトラフィックを傍受する古い方法は機能しません。

このようなシナリオでFiddlerとWP8エミュレーターを使用する方法はありますか？

ループバック インターフェイス ( ::1/128 ) がルーティング テーブルに追加されない理由は何ですか? コマンドを使用して確認しています：「route -n inet6 -A」

ループバック インターフェイスのエントリがない場合があります。注意: IPv6 が有効になっています。

以下の定義を取得しましたが、それは本当ですか?パケットとペイロードの違いは何ですか?

ESP (カプセル化セキュリティ ペイロード) プロトコルは、IPSec スイートのメンバーです。その目的は、ペイロード (メッセージ) の完全性、IP パケットのデータ発信元認証、およびペイロードの機密性を保証することです。ペイロードだけでなく、パケット全体を保護します。

私は以下を使用してトラフィックをキャプチャしています：

次に、次を使用してキャプチャされたファイルを読み取っています。

読み取り中、最初のパケットは次のように表示されます。

このパケットの詳細を取得する必要があります。このISAKMPIKEv2パケットでは、「暗号化アルゴリズム」と「整合性アルゴリズム」（つまり、「ENCR_3DES」と「AUTH_HMAC_MD5_96」）の値を抽出することに関心があります。

Wiresharkでパケットを検査すると、値を表示できます。ただし、これはシェルスクリプトから実行する必要があるため、wiresharkは使用できません。これらの値は、tcpdump読み取りコマンド自体から取得する必要があります。

tcpdump読み取りコマンドから使用される暗号化および整合性アルゴリズムを出力する方法があるかもしれないと思います。これを理解するのを手伝っていただけませんか。

キャプチャされたパケット：

私の側のcisco sa520と、接続しているネットワークのciscoエンタープライズデバイスとの間にサイトツーサイトIPsec vpnトンネルを作成しようとしています。デバイスを構成してトンネルを確立することはできますが、自分のシステムから他のネットワーク内のマシンにトンネル経由でトラフィックを送信できません。

ログを確認したところ、次のように書かれていました。

NAT-D が有効になっていません

そこで、WAN インターフェイスのエイリアスを設定し、エイリアスを外部 IP として表示し、ルーターからのすべての LAN トラフィックをトンネル経由でプッシュするファイアウォール ルールも設定しました。ただし、リモート マシン (VPN 接続している他のネットワーク内のデバイス) に ping を実行すると、応答はありませんが、Tx と Rx がトンネルを通過していることがわかります。また、NAT-D が有効になっていないと表示されます。

ここで何か不足していますか？トンネルを介してトラフィックを送信するために SA520 に接続するにはマシンに VPN クライアントが必要ですか、それともシステムをローカル LAN 上に置くだけで十分ですか?

Racoon を実行する Amazon EC2 Linux インスタンスを作成しましたが、これは他の Amazon VPC IPSec インターフェイスに接続しようとしています。Elastic IP アドレスをカスタマー ゲートウェイとして使用していますが、これらのエラーが発生しています。

誰もこれに関する考えを持っていますか?

IPsec を使用してすべてのプロトコル トラフィックをブロックし、一部のポートを許可しています。他のすべてのトラフィックをブロックしながら、Web ブラウジングを許可したいと考えています。UDP および TCP プロトコルを介して 80 ポート、ポート 53 を送信元ポートおよび宛先ポートとして許可するルールを追加しようとしましたが、ブラウザにはまだ DNS エラーがあります。助けてくれますか？