タグ付けされた質問 「vpn」

私は長年IPsec VPNを構築してきましたが、正直に言うと、IKEとISAKMPの技術的な違いを完全に理解したことはありません。2つの用語が同じ意味で使用されていることがよくあります（おそらく間違っています）。 IPsecの2つの基本フェーズを理解しており、ISAKMPは主にフェーズ1を扱っているようです。たとえば、IOSコマンド「show crypto isakmp sa」は、IPsecフェーズ1情報を表示します。ただし、IKEに対応するコマンドはありません。

74 ipsec  ike  vpn 

IPSecや他の多くの安全なVPN技術と常に闘っている人がたくさんいるのを見てきました。私は、OpenVPNを常にシンプルに使用してきたため、美しくシンプルで多目的な結果が得られました。いくつか例を挙げると、DD-WRTルーター、ビッグサーバー、Androidフォンで使用しました。 誰かが私に欠けているものを説明してもらえますか？OpenVPNに気付いていない欠点はありますか？IPSecと友人は、私が知らなかったすばらしい機能を提供しますか？誰もがOpenVPNを使用していないのはなぜですか？

29 vpn  ipsec 

私の雇用主は、最初にVPNにログオンすることを要求し、それからサーバーにSSHで接続できます。しかし、SSHのセキュリティを考えると、VPNが過剰なのでしょうか？ すでにSSHを使用している場合のセキュリティの観点からのVPNの使用とは何ですか？

24 vpn  ssh 

最近、国際的なMPLSを新しいASA 5510とサイト間VPNに置き換えました。ただし、これを展開すると、各リモートロケーションに冗長性のために2つのISPがあるという問題が発生しましたが、両方のインターフェイスでVPNを有効にすると、2つの間でフラップし、トンネルが引き裂かれて移動するときにトンネルが上下しますISP。シスコは現在8か月間これに取り組んでおり、複数のISPとの安定したトンネルはまだありません。 リモートオフィス： access-list RWS_TUNNEL remark Interesting traffic for IND-RWS tunnel access-list RWS_TUNNEL extended permit ip object-group BNG_tunnel_NETS object-group CORP_tunnel_NETS crypto map RWS_TUNNEL 1 match address RWS_TUNNEL crypto map RWS_TUNNEL 1 set peer 216.xxx.102.2 crypto map RWS_TUNNEL 1 set transform-set IND-RWS tunnel-group 216.xxx.102.2 type ipsec-l2l tunnel-group 216.xxx.102.2 ipsec-attributes pre-shared-key ***** …

21 cisco  cisco-asa  vpn  failover  redundancy 

それぞれASA 5520および5540を使用したサイト間VPNでは、時々トラフィックが通過しなくなり、特定のトラフィック選択/ ACLだけでトラフィックが失われることもありますが、他のトラフィックは同じVPNが実行されています。一定のpingが実行されていても発生します。その理由は、完全に安定していない衛星リンク上で実行されている可能性があります。 ASAの1つをリロードする代わりに、VPNを動作状態にリセットするにはどうすればよいですか？

15 cisco  cisco-asa  vpn  cisco-commands 

Cisco IOSでのセキュリティアソシエーションのライフタイム設定について常に混乱しています。 ほとんどのWeb管理ハードウェアでは、フェーズIのSAライフタイムとフェーズIIのSAライフタイムが明確です。 ただし、シスコcrypto isakmp policy <NUM>では、SAライフタイムをとして指定するこのセクションがありますlifetime <NUM>。 また、などのcrypto map <NAME> <NUM> IPsec-isakmpセクションでSAライフタイムを設定する必要がありますset security-association lifetime seconds <NUM>。 皆さん、私を啓発して、最後に混乱を終わらせてください。フェーズIとフェーズIIのどちらですか？

13 vpn  ipsec 

多くのデータがトンネルを介してプッシュされているときに特定のサブネットからトラフィックをドロップしているように見えるサイト間VPNがあります。clear ipsec saもう一度走らせるには走らなければなりません。 実行中に次のことに気付きますshow crypto ipsec sa。SAタイミングの残りのキーの有効期間は、kBで0に達します。これが発生すると、トンネルはトラフィックを通過させません。キーを再生成しない理由がわかりません。 inbound esp sas: spi: 0x51BB8CAE (1371245742) transform: esp-3des esp-sha-hmac no compression in use settings ={L2L, Tunnel, } slot: 0, conn_id: 65753088, crypto-map: OutsideCrypto_map sa timing: remaining key lifetime (kB/sec): (3796789/14690) IV size: 8 bytes replay detection support: Y Anti replay bitmap: 0xFFFFFFFF 0xFFFFFFFF …

12 vpn  cisco-asa 

私はASA 8.0でIPsec VPNを行っていましたが、それについて少し理解しています。イニシエーターはISAKMPポリシーをレスポンダに送信することから始め、レスポンダは一致したポリシーを返信します。その後、Diffie-Hellman鍵が交換され、両方が事前共有鍵を相手に送信して認証を行います。 これで2つのキーができました。 1つはAES暗号化によって生成されます 1つはDiffie-Hellmanグループによって生成されます 事前共有キーの暗号化にはどのキーが使用されますか？

11 cisco  cisco-asa  vpn  ipsec 

更新 ようやく9.1.4にアップグレードされました。すべての設定を行い、VPNを再度有効にしましたが、それでも同じ問題が発生していました。そこで、すべてのVPN構成情報をクリアして、ゼロから始めました。以下は私の現在の設定です。内部ネットワーク上のリソースに接続してアクセスできます。ただし、VPN経由でインターネットにアクセスすることはできません。 xlate per-session deny tcp any4 any4 xlate per-session deny tcp any4 any6 xlate per-session deny tcp any6 any4 xlate per-session deny tcp any6 any6 xlate per-session deny udp any4 any4 eq domain xlate per-session deny udp any4 any6 eq domain xlate per-session deny udp any6 any4 eq domain …

10 cisco-asa  vpn 

新しいプロジェクトの一環として、Cisco ASA 5540ファイアウォールで約3000のIPsec接続を終了する必要があります。仕様によると、このプラットフォームがサポートするIPsecピアの最大数は5000であるため、問題はありません。 問題は、3000のリモートサイトすべてが一度にIPsec接続を確立しようとするとどうなるかです。たとえば、アップストリームスイッチが停止した場合です。一度にすべてではないかもしれませんが、タイマーによっては、10秒程度の非常に小さなウィンドウ内にある可能性があります。ASAは、リソースの観点から、すべての着信接続に対応しますか？起こりうる最悪の事態は何ですか？ 脅威検出のしきい値を調整する必要があることを理解しています。ASAは、IPsec接続を終了する以外には何もしません。NATも検査もありません。LAN側のOSPFに参加しますが、すべてのリモートサイトネットワークが要約されます。

10 cisco-asa  vpn  ipsec 

参照用に構成またはログを投稿できれば幸いですが、サイト間IPSEC VPNと同じインターフェイスでリモートアクセスVPNを機能させることができません。リモートアクセスVPNにダイナミック暗号マップを使用していますが、フェーズ1を実行しようとして失敗しているようです。誰かが私に簡単な設定例を教えてくれますか？ 編集： 以下は、以下の提案に従ってISAKMPプロファイルを実装した後に失敗したデバッグダンプです。ユーザー名とパスワードの入力を求められますが、タイムアウトします。isakmp認証が失敗しているようです。現在isakmp認証は、ローカルユーザーリストに設定されているだけです。それは皆さんにとって問題のように見えますか？ Jul 3 16:40:44.297: ISAKMP/aaa: unique id = 29277 Jul 3 16:40:44.297: ISAKMP:(0):Proposed key length does not match policy Jul 3 16:40:44.297: ISAKMP:(0):atts are not acceptable. Next payload is 3 Jul 3 16:40:44.313: ISAKMP:(0):ISAKMP/tunnel: setting up tunnel REMOTEACCESS pw request Jul 3 16:40:44.313: ISAKMP:(0):ISAKMP/tunnel: Tunnel REMOTEACCESS PW …

10 cisco  vpn  cisco-ios-15  cisco-isr  ipsec 

「ベルトとブレース」の構成計画のビット。 バックグラウンド： リモートデータセンターへのサイト間VPNリンクが成功しています。 リモートの「保護された」ネットワークは、エンドポイントに面したインターネットとしてファイアウォールを介して開かれているIPネットワーク範囲でもあります。 したがって：非公開のエンドポイントにアクセスできるように、VPNを使用しています。 問題の説明： VPNリンクがダウンしている場合、インターネットエンドポイントがまだリモートファイアウォールを介して利用可能であるはずですが、ASAはトラフィックをドロップします。 質問： VPNがダウンしているときに、トラフィックを通常の送信トラフィックとして「渡す」ようにVPNを構成するにはどうすればよいですか。 これは、設定の関連するセグメントです。 crypto map vpn-crypto-map 20 match address remdc-vpn-acl crypto map vpn-crypto-map 20 set peer a.b.c.d crypto map vpn-crypto-map 20 set transform-set remdc-ipsec-proposal-set crypto map vpn-crypto-map interface outside トラフィックを照合するためのACLは非常に原始的です。これは、ネットワークオブジェクトとして表現される、プライベートとリモートの2つのネットワークを指定します。 access-list remdc-vpn-acl extended permit ip object <private> object <remote> log そして原始的な図。 INTERNET x …

9 vpn  ipsec  cisco 

クラウドホスティング環境用の仮想プライベートネットワークのセットアップを設計しています。私たちの要件を考えると、これが実際に専用サーバー環境と異なるとは思わない。考えられるのは、顧客が特定の仮想マシンまたは専用のサーバーにVPNを使用して接続することを要求できるようにすることです。これにより、補助暗号化を提供できます（たとえば、顧客ネットワークに送信される印刷ジョブの場合）。 私たちはホスト間IPSec（ESPとAH）ともちろんSSHトンネルのサポートを検討していますが、これらのどちらも実際にはVPNアダプターを使用する機能を提供していません。結果として、次の少なくともいくつかを追加することを検討していますが、スペースが非常に限られているため、これらのうちの1つまたは2つだけで標準化したいと考えています（1つでよい）。 仮想または専用ホストでのIPSecトンネルサポート ティンク PPTP バックアップなどを取得するサーバーは異なるデータセンターにある可能性があるため、ここではVPNアプローチを再利用できるようにしたいと考えています。これはPPTPを除外するようです。私の現在の考えでは、標準のVPNアダプターを使用できるため、IPSecの方が優れていると思われますが、（顧客の要件に基づいて）ルーティングを設定することは非常に困難になる可能性が高いため、tincも検討しています。 これら2つのうちどちらが望ましいですか？IPSecが正当化されない場合、ルーティング管理が深刻な頭痛の種になる可能性があるという私の恐れはありますか？これを回避する簡単な方法はありますか？私が見逃しているティンクに関する他の落とし穴はありますか（つまり、別のクライアントを必要とする以外）？ @Wintermuteの回答に応じて更新： はい、この質問はサーバーの観点からです。その理由は、これらはクライアントのネットワークから事実上切断されたサーバーだからです。はい、私たちのターゲット市場は中小企業ネットワークです。はい、私たちはクライアントサーバーごとにパブリックIPを使用することを期待しています。ただし、クライアントが別の何かを必要とする場合を除きます（それから、話すことができます）。 私たちが頼りにしているソリューションは、クライアントがIPトンネルとそれらのトンネルでアクセス可能なネットワーク範囲を定義し、これらを独自の管理ツール（開発中）と組み合わせて、顧客の要求を構成変更に結び付けるものです。問題は、vmsとサーバーでルーティングソフトウェアを実行する可能性が低いため、ルーティングテーブルを静的に管理して、VPNが正しく機能しないことに気づくようにすることです。 また、独自の内部操作（バックアップなど）にネットワーク経由でESPを使用する可能性もあります。全体の設定はかなり複雑で、サーバー中心（クライアントのvpnからホストされたインスタンス）からネットワーク中心（内部のもの）、データベース中心（ツール）まで、さまざまな視点があります。だから私はその質問が私たちの全体的なアプローチの代表であるとは言いません（そして質問は多くのSEサイトで尋ねられています）。 ただし、これは実際には質問全体に影響を与えるものではありません。それはおそらく役に立つコンテキストかもしれません。

9 vpn  ipsec 

VPN（仮想プライベートネットワーク）がVPS（仮想プライベートサーバー）を介してネットワークトラフィックを転送する方法に関する情報を探しています。 VPNに接続している例を見てみましょう。ウェブサイトにリクエストを送信すると、ネットワークスタックからレイヤー3に移動します。 IPパケットがあります-宛先アドレスを含むヘッダーとペイロードを持っています。 IPパケットの宛先アドレスをVPSのIPアドレスに変更した場合、サーバーはどのようにして要求を元の宛先アドレスに転送しますか？ 考えられる唯一のことは、レイヤー3（IPレイヤー）で、ヘッダーの宛先アドレスがVPSのIPアドレスに変更され、元の宛先アドレスがパケットのペイロードに追加されるということです。 これは、パケットの長さとパケットのチェックサムヘッダーを再計算して、IPパケットを再度変更する必要があるという意味ではありませんか？ 次に、VPSはパケットの逆マッピングを行って、サーバー上で元の要求を組み立てて作成します。 これはそれに関連する長い待ち時間があるように思われますか？ おそらく私はこれがどのように機能するかについていくつかの技術的な側面を見逃している、誰か他の人がそれを説明できますか？

8 ip  vpn  packet-path 

私はこの分野でドメインの知識がほとんどないので、私を許してください。私は両親のオフィスで手伝っており、インターネットの高速化を検討するように求められました。彼らはこのITの人を使用していて、私は彼らを騙していると思います...彼らはT1回線を持っています。IT担当者は、従業員がオフィスの外にいるときにオフィスサーバー上のドキュメントにアクセスするために使用されるVPNが必要であると確信しています。また、サーバー上で実行される一部のアプリケーションへのアクセスにも使用します。 これは信頼性に関するものであることは理解していますが、T1回線が家に通っていない場合、どのようにしてその信頼性を確認しますか？VPNについて何か不足していますか？T1は必要ですか？私はあなたがポイントツーポイントでT1を必要とすると思いますか？通常のケーブル接続にVPNを配置できないのはなぜですか？ 私はCSの学位を取得しようとしていますが、ネットワーキングについてはほとんど知りません。

8 vpn