タグ付けされた質問 「ipsec」

特にIPSEC VPNの構成、操作、トラブルシューティングに関する質問。

3
IKEとISAKMPの違いは何ですか?
私は長年IPsec VPNを構築してきましたが、正直に言うと、IKEとISAKMPの技術的な違いを完全に理解したことはありません。2つの用語が同じ意味で使用されていることがよくあります(おそらく間違っています)。 IPsecの2つの基本フェーズを理解しており、ISAKMPは主にフェーズ1を扱っているようです。たとえば、IOSコマンド「show crypto isakmp sa」は、IPsecフェーズ1情報を表示します。ただし、IKEに対応するコマンドはありません。
74 ipsec  ike  vpn 

8
OpenVPNの欠点は何ですか?
IPSecや他の多くの安全なVPN技術と常に闘っている人がたくさんいるのを見てきました。私は、OpenVPNを常にシンプルに使用してきたため、美しくシンプルで多目的な結果が得られました。いくつか例を挙げると、DD-WRTルーター、ビッグサーバー、Androidフォンで使用しました。 誰かが私に欠けているものを説明してもらえますか?OpenVPNに気付いていない欠点はありますか?IPSecと友人は、私が知らなかったすばらしい機能を提供しますか?誰もがOpenVPNを使用していないのはなぜですか?
29 vpn  ipsec 

1
Cisco ISAKMPとIPSec SAのライフタイムが混乱している
Cisco IOSでのセキュリティアソシエーションのライフタイム設定について常に混乱しています。 ほとんどのWeb管理ハードウェアでは、フェーズIのSAライフタイムとフェーズIIのSAライフタイムが明確です。 ただし、シスコcrypto isakmp policy <NUM>では、SAライフタイムをとして指定するこのセクションがありますlifetime <NUM>。 また、などのcrypto map <NAME> <NUM> IPsec-isakmpセクションでSAライフタイムを設定する必要がありますset security-association lifetime seconds <NUM>。 皆さん、私を啓発して、最後に混乱を終わらせてください。フェーズIとフェーズIIのどちらですか?
13 vpn  ipsec 

1
Cisco ISR G2暗号化帯域幅制限?
いくつかの新しいリモートサイトからの「低速接続」について苦情がありました。 サイトはMPLS L3VPNサービスを介してCisco 2921に接続されており、Cisco GET-VPNを使用して場所間のトラフィックを暗号化します。すべての場所に100Mbpsまたは1Gbpsの回線があるため、速度は問題になりません。 ただし、ある場所から既知の作業場所へのiperfテストを実行すると、帯域幅が約85Mbpsを超えていることがわかりました。 2921についてさらに調査すると、ログに次のエラーメッセージが多数発生します。 006555: Jan 3 08:19:09.573 EST: %CERM-4-TX_BW_LIMIT: Maximum Tx Bandwidth limit of 85000 Kbps reached for Crypto functionality with securityk9 technology package license. 006556: Jan 3 11:21:37.069 EST: %CERM-4-RX_BW_LIMIT: Maximum Rx Bandwidth limit of 85000 Kbps reached for Crypto functionality with securityk9 technology package …

2
IPsec VPNでは、事前共有キーはどのように暗号化されますか?
私はASA 8.0でIPsec VPNを行っていましたが、それについて少し理解しています。イニシエーターはISAKMPポリシーをレスポンダに送信することから始め、レスポンダは一致したポリシーを返信します。その後、Diffie-Hellman鍵が交換され、両方が事前共有鍵を相手に送信して認証を行います。 これで2つのキーができました。 1つはAES暗号化によって生成されます 1つはDiffie-Hellmanグループによって生成されます 事前共有キーの暗号化にはどのキーが使用されますか?
11 cisco  cisco-asa  vpn  ipsec 

1
IPv6アクセスリストを使用したダイナミック暗号マップ
Cisco 15.2Mで、純粋なIPv6ネットワークで使用するためにダイナミック暗号マップを設定しようとしています。問題は、ダイナミック暗号マップにipv6アクセスリストを追加しようとすると、エラーメッセージが表示されることです。設定の下 crypto dynamic-map DYNMAP 5 set transform-set IPSECVPN-PeerA set ikev2-profile IKEV2-SETUP-DYN ipv6 access-list VPN_PEER_A_IPV6_ANY permit ipv6 2001:1::/64 any permit ipv6 2001:2::/64 any しかし、クリプトマップにアクセスリストを追加しようとすると、次のエラーが発生します access-list type conflicts with prior definitionERROR: "VPN_PEER_A_IPV6_ANY" is either an invalid name or the list already exists but is the wrong type. これは、15.2が動的IPv6暗号マップをサポートしていないためだと思います。誰かが私にヒントを与えることはできますか?
10 cisco  ipv6  ipsec 

2
ASA 5540は3000の同時IPsec接続をサポートしますか?
新しいプロジェクトの一環として、Cisco ASA 5540ファイアウォールで約3000のIPsec接続を終了する必要があります。仕様によると、このプラットフォームがサポートするIPsecピアの最大数は5000であるため、問題はありません。 問題は、3000のリモートサイトすべてが一度にIPsec接続を確立しようとするとどうなるかです。たとえば、アップストリームスイッチが停止した場合です。一度にすべてではないかもしれませんが、タイマーによっては、10秒程度の非常に小さなウィンドウ内にある可能性があります。ASAは、リソースの観点から、すべての着信接続に対応しますか?起こりうる最悪の事態は何ですか? 脅威検出のしきい値を調整する必要があることを理解しています。ASAは、IPsec接続を終了する以外には何もしません。NATも検査もありません。LAN側のOSPFに参加しますが、すべてのリモートサイトネットワークが要約されます。
10 cisco-asa  vpn  ipsec 

2
同じ外部インターフェイスでサイト間IPSEC VPNとリモートアクセスVLANを構成する適切な方法は何ですか?Cisco 891 ISR
参照用に構成またはログを投稿できれば幸いですが、サイト間IPSEC VPNと同じインターフェイスでリモートアクセスVPNを機能させることができません。リモートアクセスVPNにダイナミック暗号マップを使用していますが、フェーズ1を実行しようとして失敗しているようです。誰かが私に簡単な設定例を教えてくれますか? 編集: 以下は、以下の提案に従ってISAKMPプロファイルを実装した後に失敗したデバッグダンプです。ユーザー名とパスワードの入力を求められますが、タイムアウトします。isakmp認証が失敗しているようです。現在isakmp認証は、ローカルユーザーリストに設定されているだけです。それは皆さんにとって問題のように見えますか? Jul 3 16:40:44.297: ISAKMP/aaa: unique id = 29277 Jul 3 16:40:44.297: ISAKMP:(0):Proposed key length does not match policy Jul 3 16:40:44.297: ISAKMP:(0):atts are not acceptable. Next payload is 3 Jul 3 16:40:44.313: ISAKMP:(0):ISAKMP/tunnel: setting up tunnel REMOTEACCESS pw request Jul 3 16:40:44.313: ISAKMP:(0):ISAKMP/tunnel: Tunnel REMOTEACCESS PW …

2
Cisco IPSecサイト間VPN。VPNがダウンしている場合にトラフィックを許可する
「ベルトとブレース」の構成計画のビット。 バックグラウンド: リモートデータセンターへのサイト間VPNリンクが成功しています。 リモートの「保護された」ネットワークは、エンドポイントに面したインターネットとしてファイアウォールを介して開かれているIPネットワーク範囲でもあります。 したがって:非公開のエンドポイントにアクセスできるように、VPNを使用しています。 問題の説明: VPNリンクがダウンしている場合、インターネットエンドポイントがまだリモートファイアウォールを介して利用可能であるはずですが、ASAはトラフィックをドロップします。 質問: VPNがダウンしているときに、トラフィックを通常の送信トラフィックとして「渡す」ようにVPNを構成するにはどうすればよいですか。 これは、設定の関連するセグメントです。 crypto map vpn-crypto-map 20 match address remdc-vpn-acl crypto map vpn-crypto-map 20 set peer a.b.c.d crypto map vpn-crypto-map 20 set transform-set remdc-ipsec-proposal-set crypto map vpn-crypto-map interface outside トラフィックを照合するためのACLは非常に原始的です。これは、ネットワークオブジェクトとして表現される、プライベートとリモートの2つのネットワークを指定します。 access-list remdc-vpn-acl extended permit ip object <private> object <remote> log そして原始的な図。 INTERNET x …
9 vpn  ipsec  cisco 

2
クラウドホスティング/専用サーバー環境のVPN、IPSecトンネルとTINC
クラウドホスティング環境用の仮想プライベートネットワークのセットアップを設計しています。私たちの要件を考えると、これが実際に専用サーバー環境と異なるとは思わない。考えられるのは、顧客が特定の仮想マシンまたは専用のサーバーにVPNを使用して接続することを要求できるようにすることです。これにより、補助暗号化を提供できます(たとえば、顧客ネットワークに送信される印刷ジョブの場合)。 私たちはホスト間IPSec(ESPとAH)ともちろんSSHトンネルのサポートを検討していますが、これらのどちらも実際にはVPNアダプターを使用する機能を提供していません。結果として、次の少なくともいくつかを追加することを検討していますが、スペースが非常に限られているため、これらのうちの1つまたは2つだけで標準化したいと考えています(1つでよい)。 仮想または専用ホストでのIPSecトンネルサポート ティンク PPTP バックアップなどを取得するサーバーは異なるデータセンターにある可能性があるため、ここではVPNアプローチを再利用できるようにしたいと考えています。これはPPTPを除外するようです。私の現在の考えでは、標準のVPNアダプターを使用できるため、IPSecの方が優れていると思われますが、(顧客の要件に基づいて)ルーティングを設定することは非常に困難になる可能性が高いため、tincも検討しています。 これら2つのうちどちらが望ましいですか?IPSecが正当化されない場合、ルーティング管理が深刻な頭痛の種になる可能性があるという私の恐れはありますか?これを回避する簡単な方法はありますか?私が見逃しているティンクに関する他の落とし穴はありますか(つまり、別のクライアントを必要とする以外)? @Wintermuteの回答に応じて更新: はい、この質問はサーバーの観点からです。その理由は、これらはクライアントのネットワークから事実上切断されたサーバーだからです。はい、私たちのターゲット市場は中小企業ネットワークです。はい、私たちはクライアントサーバーごとにパブリックIPを使用することを期待しています。ただし、クライアントが別の何かを必要とする場合を除きます(それから、話すことができます)。 私たちが頼りにしているソリューションは、クライアントがIPトンネルとそれらのトンネルでアクセス可能なネットワーク範囲を定義し、これらを独自の管理ツール(開発中)と組み合わせて、顧客の要求を構成変更に結び付けるものです。問題は、vmsとサーバーでルーティングソフトウェアを実行する可能性が低いため、ルーティングテーブルを静的に管理して、VPNが正しく機能しないことに気づくようにすることです。 また、独自の内部操作(バックアップなど)にネットワーク経由でESPを使用する可能性もあります。全体の設定はかなり複雑で、サーバー中心(クライアントのvpnからホストされたインスタンス)からネットワーク中心(内部のもの)、データベース中心(ツール)まで、さまざまな視点があります。だから私はその質問が私たちの全体的なアプローチの代表であるとは言いません(そして質問は多くのSEサイトで尋ねられています)。 ただし、これは実際には質問全体に影響を与えるものではありません。それはおそらく役に立つコンテキストかもしれません。
9 vpn  ipsec 

1
静的IPSec VPNトンネルをフェイルオーバーするにはどうすればよいですか?
顧客サイトがデフォルトゲートウェイを使用してインターネットエッジルーターに到達し、トラフィックのプライマリルートがより低いメトリックを使用する、弾力性のあるゲートウェイを備えたネットワークがあります。 ipsecトンネルは、エッジルーターの背後にあるvpnコンセントレーターから開始され、サードパーティのデータセンターである宛先トンネルエンドポイントに静的に構成されます。サードパーティで動的ルーティングプロトコルを使用できません。 問題は、サードパーティが定期的に使用しているピアリングアドレス範囲が変更されてプライマリトンネルがダウンし、セカンダリトンネルへの手動切り替えが煩雑に実行されていることです。 静的IPSec構成で宛先IPが信頼できない場合、このシナリオでトンネル間で最も効率的にフェールオーバーするにはどうすればよいですか? エンドポイントが使用可能になったときに、プライマリトンネルをプリエンプトするにはどうすればよいですか?
8 cisco  vpn  ipsec  failover 

2
VPNサイト間および同じIPアドレスのリモートLANを使用したNAT
クライアントを私の会社に接続するためのASA5510があります。反対側のさまざまなベンダー(Cisco、Sonicwall、Zyxel、Checkpointなど)でサイト間IPSec VPNを使用しています。 すべてのリモートLANについて、ネットワーククライアントを単一のIPアドレスに変換します。例えば: Client1 192.168.1.0/24ダイナミックPAT(非表示)abc1 / 24 Client2 172.16.0.0/16ダイナミックPAT(非表示)abc2 / 24 Client3 172.17.4.0/26ダイナミックPAT(非表示)abc3 / 24 現在の構成ではすべてが正常に機能していますが、Client1と同じIPアドレスを持つ新しいクライアント(ClientN)ができました。「ClientN 192.168.1.0/24 Dynamic PAT(hide)abcn / 24」を試してみましたが、実行すると、Client1が接続を失い、ClientNのネットワークを削除する必要がありました... 同じリモートIPアドレスにVPNの使用を許可するアイデアはありますか? ASDMを使用してASAをセットアップします。
8 cisco-asa  vpn  nat  ipsec 

1
シスコのルーターをL2TPクライアントとして使用していますか?
さまざまな理由で、NAT処理されたADSL接続の背後にCiscoルーターが配置されているというお客様がいます。彼らは私たちの拠点の1つにVPNを作成することを望んでおり、私たちが提供する唯一のオプションはサイト間またはL2TPダイヤルインです。 L2TPを介してPoPに接続するようにCisco(3925)を構成することは可能ですか?L2TPサーバーはFortigate 100Dのペアであり、この構成により、iPad、ラップトップなどがIPSECで保護されて問題なくダイヤルインできます。 私はこれを自分のオフィスで1921でテストしています。見つけたいくつかの参考資料は、疑似配線設定の使用が必要であることを示していますが、それを確立するのに問題があり、IPSECがそれに適合します。
7 cisco  vpn  cisco-ios  ipsec 

1
IPSec VPN、フェーズ2が起動しない
私はこれに対する答えを知っていると確信していますが、それを実装する方法がわかりません。 Cisco 2811からopenswanを実行するLinuxボックスにipsec vpnをセットアップしようとしています。これまでのところ、フェーズ1を開始できますが、フェーズ2に問題があります。その100%の構成の問題。 私がやろうとしていることは、ネットへのゲートウェイとしてその反対側のインターネット接続を使用して、Webおよびその他のトラフィックをVPNにプッシュすることです。クリプトマップエラーが発生します。これがセットアップです。1.1.1.1シスコである。2.2.2.2アドレスは、NICが1つしかないLinuxサーバーです。 192.168.xx / 24 ----- 1.1.1.1-インターネット2.2.2.2 ---- >>>インターネット フェーズ2トンネルを形成できない理由を理解しています。マップに同意できません。しかし、私はこの場合マップがどうあるべきかわかりません。 今のところ、ICMPのみでテストしています。 NATからICMPを除外しました: ip access-list extended NAT deny icmp 192.168.30.0 0.0.0.255 any 次に、VPNの「興味深いトラフィック」は次のとおりです。 access-list 153 permit icmp 192.168.30.0 0.0.0.255 any openswan側で私が使用しています: left=2.2.2.2 right=1.1.1.1 rightsubnet=192.168.30.3/24 さて、Ciscoはすぐに破棄を開始します。 2d11h: map_db_find_best did not find matching map 2d11h: IPSEC(validate_transform_proposal): no IPSEC cryptomap exists …
7 cisco  vpn  ipsec 

3
ASA 5540 8.2でリモートアクセス、固定L2Lおよび動的L2L IPSECが連携して動作する問題
8.2を実行しているASA5540でのリモートアクセス、L2L、およびダイナミックL2Lトンネルの混合に関する問題があります。 以下は関連する設定の抜粋です:- crypto dynamic-map outside-crypto-dynamic-map 10 match address outside-crypto-dynamic-map-10 crypto dynamic-map outside-crypto-dynamic-map 10 set transform-set ESP-3DES-MD5 crypto dynamic-map outside-crypto-dynamic-map 20 set transform-set ESP-3DES-MD5 crypto map outside-crypto-map 201 match address outside-crypto-map-201 crypto map outside-crypto-map 201 set peer X.X.X.X crypto map outside-crypto-map 201 set transform-set ESP-3DES-MD5 crypto map outside-crypto-map 202 match address …

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.