問題タブ [ipsec]

Ubuntu 12.04 開発者ボックスを企業ネットワークに接続したいと考えています。isakmpd を使用してルーターに OpenBSD 5.1 をインストールしています。認証は、RSA キーのみを使用して行われています。

私の側では、openswan (apt-get install openswan) をインストールし、セットアップを行いました。

接続の設定は次のとおりです。

私のワークステーションは NAT を使用しています。openswan サービスを開始すると、マシンのログに次のように表示されます。

もっと：

...それだけです。サーバー側には、次のように表示されます。

OpeBSD の isakmpd は次のように行われます:

私は疑問に思っています: なぜopenSWANはフェーズ2をまったく開始できず、サーバー側でそのような奇妙なエラーが表示されるのですか? 数晩のデバッグの後、私のアイデアは使い果たされました:(

この質問にはいくつかのバリエーションがありますが、私は何かを理解できないようです。

ICS/4.0の機能の最後を読むと、

企業は、L2TP および IPSec プロトコルへのアクセスを提供する、プラットフォームに組み込まれた標準の VPN クライアントを利用することもできます。

ここでの私の仮定は、「開発者」セクションの下にないため、VpnService API 以外の開発者 API アクセスを取得しなかったということです。私はToyVPNを見てきましたが、エンタープライズファイアウォールに接続するにはREAL IPSec IKEv1 XAuth接続が必要なので、これは役に立たない.

root とVPNCillaを必要とするいくつかのソリューションを見つけましたが、接続を正常に確立することはできませんでした。

これは、Java でプロトコルを実装するか、NDK を使用しない限り (StrongSwan が IKEv2 で行ったように)、IPSec IKEv1 XAuth ゲートウェイ/ファイアウォールのプロファイルをプログラム的に作成したり接続したりする方法が本当にないということですか?

次の問題を解決するのを手伝ってください。ipsec トンネル (クリプト マップ) に使用されるルーターを持っています。パブリック IP アドレスを持っています。

ここで、DMVPN HUB を作成する必要があります。また、パブリック IP アドレスを持つ 1 つの物理インターフェイス上に DMVPN クラウド用の 2 つのトンネル インターフェイスを作成する必要があります。同時に、すでに存在するクリプト マップを保持する必要があります。すべてのトンネル インターフェイスに対して、crypto ipsec プロファイル、crypto isakmp プロファイル、および crypto キーリングを作成しました。暗号キーリングの構成では、次の文字列があります: match identity address 0.0.0.0 構成後、暗号マップで問題が発生したと述べました。一部の暗号化セッション (暗号化セッションの表示) がトンネル インターフェイスに再確立されているのを見てきました。暗号マップ用の暗号 isakmp ポリシーと、dmvpn を使用するための暗号 isakmp プロファイルを分離する方法を教えてください。

また、同じトポロジの例が構成されている記事へのリンクを教えていただければ幸いです。主な質問は、クリプト マップとクリプト isakmp プロファイルのポリシーを分離する方法です。

前もって感謝します。

質問があります。コンピューティング エンジンでマルチ VPN トンネルを確立できますか? Google コンピューティング エンジン上のインスタンスと外部サーバーとの間にいくつかのサイト間 VPN トンネルをマウントしようとしています。https://developers.google.com/compute/docs/networking#settingupvpnの手順に従ってください。コンピューティング エンジン上のサーバーをコンピューティング エンジン上の他のサーバーにも接続できますが、4500 の代わりに別のポートで別のサーバーと別のトンネルを作成することはできません。StrongSwan 4.5.2 を使用します。どんな助けでも大歓迎です。

私の ipsec.conf の左側と右側:

右側：

同様のパラメーターを使用して別の接続を確立したいのですが、別の右側のパブリック IP と別のポートを使用します。そのようなものを ipsec.conf に含めますが、接続は初期パッケージの送信にとどまります。

ipsec (C を使用) で保護されるソケットを開く方法について、インターネット全体 (man ページを含む) を検索しました。

プログラム内で（内部的に）ソケットフォームを制御および構成することに興味があります。

https://blogs.oracle.com/danmcd/entry/put_ipsec_to_work_inをフォローしようとしましたが、ubuntu 12.04 を使用しており、互換性がありません

ESP を使用して IPsec SA を確立し、暗号化キーを迅速に変更する必要がある C++ プロジェクトに取り組んでいます。私の質問は次のとおりです。

対応する SA を削除して新しい SA を作成せずに、暗号化 IPsec キーを更新する方法はありますか?

IPsec はこれを許可しますか? RFC4301 でこの問題について何も見つかりませんでした...

Netlink/XFRM メッセージを使用して SAD を変更しています。Netlink メッセージ フラグで NLM_F_REPLACE を使用し、メッセージ タイプとして XFRM_MSG_UPDSA を使用しようとしましたが、これらのメッセージはまったく効果がありませんでした。XFRM_MSG_ALLOCSPI メッセージによって開始された SA を完了するために XFRM_MSG_UPDSA が使用されているのを見てきました。

これが XFRM_MSG_UPDSA タイプのメッセージの唯一の目的ですか、それとも何らかの形で暗号化キーを変更するために使用できますか?

キーは（前述のように）急速に変更する必要があるため、パフォーマンスが重要な要素になります。したがって、私は可能な限り最小限の管理 IPsec (=Netlink/XFRM) 操作でシステムに負担をかけたいと考えています。

私は少し混乱しています。

A(L2TP/IPSec VPNサーバー) ---- B(ルーター) ------ (インターネット) ------- C(ルーター) ------ D(クライアント)

NAT の背後にある L2TP/IPSec VPN サーバー (A) は、他の異なる NAT の背後にあるクライアント (D) にサービスを提供できますか? 修正された IKE メッセージは、NAT の背後にある L2TP/IPSec VPN サーバーにルーティングできますか?

PS: B ルーターの NAT 構成を変更する権限はありません。A & D は、パブリック IP アドレスを持つ同じサーバーと通信できます。