タグ付けされた質問 「vpn」

この質問の最後に追加された新しい詳細。私が原因を突き止めている可能性があります。 UDP OpenVPNベースのVPNをtapモードで設定しています（tapマルチキャストパケットを通過させるためにVPNが必要なため、tunネットワークでは不可能と思われるため）、インターネット上の少数のクライアントを使用しています。VPNで頻繁にTCP接続がフリーズすることがあります。つまり、TCP接続（たとえば、SSH接続ですが、他のプロトコルには同様の問題があります）を確立し、セッション中のある時点で、そのTCPセッションを介したトラフィックの送信が停止するようです。 これはls、SSHセッションでコマンドを実行する場合やcat、長いログファイルを使用する場合など、大量のデータ転送が発生するポイントに関連しているようです。一部のGoogle検索では、Server Faultで次のような多数の回答が表示されます。原因はMTUの問題である可能性が高いことを示しています。トラフィックが多い期間中、VPNは、 VPNエンドポイント。上記のリンクの回答は、次のOpenVPN構成設定を使用して問題を軽減することを提案しています。 fragment 1400 mssfix これにより、VPNで使用されるMTUが1400バイトに制限され、TCPの最大セグメントサイズが修正され、それより大きいパケットが生成されなくなります。これは問題を少し緩和するようですが、それでもフリーズが頻繁に発生します。fragmentディレクティブの引数として、1200、1000、576のサイズをいくつか試しましたが、すべて同様の結果が得られました。このような問題を引き起こす可能性のある、両端間の奇妙なネットワークトポロジは考えられません。VPNサーバーは、インターネットに直接接続されているpfSenseマシンで実行されており、クライアントも別の場所でインターネットに直接接続されています。 パズルのもう1つの奇妙なピース：tracepathユーティリティを実行すると、問題を解決できるようです。サンプルの実行は次のようになります。 [~]$ tracepath -n 192.168.100.91 1: 192.168.100.90 0.039ms pmtu 1500 1: 192.168.100.91 40.823ms reached 1: 192.168.100.91 19.846ms reached Resume: pmtu 1500 hops 1 back 64 上記の実行は、VPN上の2つのクライアント間で行われます：192.168.100.90からの宛先へのトレースを開始しました192.168.100.91。fragment 1200; mssfix;リンクで使用されるMTUを制限しようとして、両方のクライアントが構成されました。上記の結果はtracepath、2つのクライアント間で1500バイトのパスMTUを検出できたことを示唆しているようです。OpenVPN構成で指定されたフラグメンテーション設定のために、それはいくらか小さくなると思います。その結果はやや奇妙だと思いました。 さらに奇妙なことですが、ストール状態のTCP接続（たとえば、途中でフリーズするディレクトリリストを含むSSHセッション）がある場合、上記のtracepathコマンドを実行すると、接続が再び開始されます。なぜそうなるのかについての合理的な説明はわかりませんが、これは最終的に問題を根絶するための解決策を指しているのではないかと感じています。 誰か他のことを試してみるための推奨事項はありますか？ 編集：私は戻ってきて、これをもう少し見てみましたが、もっと混乱する情報しか見つかりませんでした： 上記のように、OpenVPN接続を1400バイトでフラグメント化するように設定しました。次に、インターネット経由でVPNに接続し、Wiresharkを使用して、ストールの発生中にVPNサーバーに送信されたUDPパケットを調べました。指定された1400バイトカウントを超えるものはなかったため、断片化は適切に機能しているようです。 1400バイトのMTUでも十分であることを確認するために、次の（Linux）コマンドを使用してVPNサーバーにpingを実行しました。 ping <host> -s 1450 -M do これは（断片化を無効にした）1450バイトのパケットを送信します（少なくとも1600バイトのような明らかに大きすぎる値に設定すると動作しないことを確認しました）。これらはうまく機能するようです。私は問題なくホストから返信を受け取ります。 …

19 vpn  openvpn  tcp  mtu 

会社のネットワーク（Active Directoryのメンバー）にWindows 7 PCがあります。お客様のサイトへのVPN接続を開くまで、すべてが正常に機能します。 接続すると、フォルダーリダイレクトポリシーのある「アプリケーションデータ」などのディレクトリを含む、ネットワーク上の共有へのネットワークアクセスが失われます。ご想像のとおり、これによりPCでの作業が非常に難しくなります。デスクトップショートカットが機能しなくなり、その下から「アプリケーションデータ」が取得されるため、ソフトウェアが正常に機能しなくなります。 ネットワークは、10.58.0.0 / 16のスコープ内に他のローカルサブネットが存在する状態でルーティングされます（10.58.5.0/24）。リモートネットワークは192.168.0.0/24にあります。 DNS関連にまで問題を追跡しました。VPNトンネルを開くとすぐに、すべてのDNSトラフィックがリモートネットワークを経由するため、ローカルリソースの損失が説明されますが、私の質問は、顧客ではなくローカルDNSサーバーにローカルDNSクエリを強制する方法です。 ？ ipconfig /allVPNに接続されていない場合の出力は次のとおりです。 Windows IP Configuration Host Name . . . . . . . . . . . . : 7k5xy4j Primary Dns Suffix . . . . . . . : mydomain.local Node Type . . . . . …

17 domain-name-system  active-directory  windows-7  vpn 

OpenVPNを使用してVPNをセットアップし、自宅のラップトップを職場のLANに接続しています。職場のコンピューターをIPではなく名前で参照できるようにしたいのですが、できません。 これは私の状況です： 職場のLAN： アドレス空間：192.168.101.0/24 ルーターアドレス：192.168.101.1 ホームLAN： アドレス空間：192.168.1.0/24 ルーターアドレス：192.168.1.1 VPN： アドレス空間：10.100.1.0/24 OpenVPNサーバーのアドレス：10.100.1.1 すべてのマシンでMicrosoft Windowsが実行されています。 私の職場では、OpenVPNサーバーとして実行されているPCは192.168.101.50（およびVPNでは10.100.1.1）であり、そのマシン名はworkplaceserverです。 私の職場で名前workplaceserverはアドレス192.168.101.50に解決されますが、VPNクライアント名にworkplaceserver解決できない、私はそれが10.100.1.1に解決することにしたいです。それを実現するには、OpenVPNをどのように構成すればよいですか？

17 domain-name-system  vpn  openvpn 

最近、ラップトップをWindows Vista SP1からWindows 7 Professionalにアップグレードしました。 アップグレード後、Cisco VPNクライアントを使用してネットワークに接続しようとすると、次のメッセージが表示されます。 Secure VPN Connection terminated locally by the Client. Reason 440: Driver Failure. アップグレード前は、問題なく接続できました。 使用しているクライアントのバージョンは5.0.05.0290です。

17 windows-7  vpn 

閉まっている。この質問はトピック外です。現在、回答を受け付けていません。 この質問を改善したいですか？ 質問を更新することがありますので、話題のサーバー障害のため。 閉じた3年前。 IPSecとLinuxを検索すると、必然的に異なるソリューション（以下を参照）に直面しますが、これらはすべて非常によく似ています。問題は、違いはどこですか？ これらのプロジェクトを見つけました。それらはすべてオープンソースであり、すべてアクティブであり（過去3か月以内にリリースされています）、すべて非常に類似したものを提供しているようです。 strongSwan Openswan リブレスワン また、私が遭遇しなかった他のプロジェクトはありますか？ （strongswanとopenswanは同じことを求めていますが、明らかに時代遅れです。）

16 vpn  ipsec  openswan  strongswan 

openconnectVPNへの接続に使用しています。としてクライアントを起動するsudo openconnect -v -u anaphory vpn-gw1.somewhere.netと、グループとパスワードを入力した後に接続できます。 # openconnect -v -u anaphory vpn-gw1.somewhere.net […] XML POST enabled Please enter your username and password. GROUP: [Anyconnect-VPN|CLUSTER-DLCE|Clientless]:CLUSTER-DLCE POST https://vpn-gw1.somewhere.net Got HTTP response: HTTP/1.1 200 OK Content-Type: text/html; charset=utf-8 […] ただし、コマンドラインで同じグループ名を指定すると、「Invalid host entry」メッセージが表示されて接続が失敗します。 # openconnect -v -g CLUSTER-DLCE -u anaphory vpn-gw1.somewhere.net […] XML POST …

16 vpn  openconnect 

パブリックデータセンターに多数のホストをレンタルしています。データセンターはプライベートVLANを提供しません。すべてのホストは、1つ（またはそれ以上）のパブリックIPv4 / IPv6アドレスを受け取ります。ホストには最新のCPU（Haswellクアッドコア、3.4GHz）が搭載されており、Gbitアップリンクがあります。データセンターのさまざまな領域（部屋？床？建物？）は、私が知る限りでは、Gbitまたは500Mbitリンクで相互接続されています。ホストはdebian wheezyを実行しています。現在、10台を超えるホストを実行していますが、近い将来の成長が期待されています。 すべてのホストが互いに安全かつ機密に通信できるようにする方法を探しています。レイヤー3は問題ありませんが、レイヤー2は問題ありません（ただし、必須ではありません）。私はVLANにアクセスできないため、何らかのVPNである必要があります。 私にとって重要なこと： 高スループット、理想的にはワイヤスピードに近い 分散型のメッシュアーキテクチャ-これは、中央要素（VPNコンセントレータなど）によってスループットが低下しないようにするためです。 CPUフットプリントは過剰ではありません（AESNIとGCM暗号スイートが与えられた場合、これはばかげた要件ではないことを望みます） 操作の使いやすさ; セットアップするのにそれほど複雑ではありません。ネットワークは確立された接続を失うことなく成長できます 現在、tincを使用しています。[2]と[4]を刻みますが、ワイヤースピード960Mbit / sの約600Mbit / s（シンプレックス）にしか到達せず、1つのコアを完全に失います。また、現在開発中のtinc 1.1はまだマルチスレッド化されていないため、シングルコアのパフォーマンスにこだわっています。 従来のIPSecは、中央要素、またはトンネルのsh * tloadを設定する必要があるため（[2]を達成するため）、問題外です。日和見暗号化を使用したIPsecが解決策になりますが、安定した運用コードになったことは確かではありません。 今日、私はtcpcryptを偶然見つけました。欠落している認証を除いて、それは私が望むもののように見えます。ユーザースペースの実装は臭いがしますが、他のすべてのVPNも同様です。そして、彼らはカーネルの実装について話します。まだ試していませんが、[1]と[3]の動作に興味があります。 他にどんなオプションがありますか？AWS ではない人は何をしていますか？ 追加情報 GCMに興味があり、CPUのフットプリントを減らすことを期待しています。トピックに関するインテルのペーパーを参照してください。Tinc開発者の1人と話したとき、彼は暗号化にAESNIを使用しても、HMAC（SHA-1など）はGbit速度では依然として非常に高価であると説明しました。 最終更新 トランスポートモードのIPsecは完全に機能し、希望どおりに機能します。多くの評価の後、単にAES-GCMをサポートしているという理由だけで、ipsec-toolsよりOpenswanを選択しました。Haswell CPUでは、約8〜9％のCPU負荷1で、約910〜920Mbit / secのシンプレックススループットを測定しkworkerdます。

16 linux  networking  vpn  tinc 

Ubuntu Lucid Lynx VMをいじっています。VPNをセットアップしたいのですが、自分でVPNを実行する方法を学べるのはうれしいことですが、オプションの広さから頭が回るので、ポインタを探しています。 セットアップで考慮したい要素 各ユーザーに個人認証が必要です（すべてのパスワードが1つではありません） クライアントが使用しているOS（Android / iPhoneその他）を知りたい 各個人が使用している帯域幅を追跡したい セキュリティは重要ですが、主に中国の優れたファイアウォール（facebook / twitterに到達）をバイパスするためのものなので、五角形のファイルを保護しようとはしていません。何時間も複雑な構成を必要としない限り、セキュリティは優れています。 同じユーザーが複数のデバイスを使用してvpnに同時にアクセスできないようにする 何か提案はありますか？ だから私の質問は： Android（1.6以上など）およびiPhoneとの互換性を保つには、どのプロトコルを使用すればよいですか？ どの管理ソフトウェアを使用する必要がありますか（できれば無料ですが、少し投資したいと思います）？ これよりも少し混乱が少ないガイド/チュートリアルをお勧めできますか？ アンドロイド： 16個のIPSec VPNトンネル 8個のL2TP VPNトンネル（ダイアルイン：4、ダイアルアウト：4） 8個のPPTP VPNトンネル（ダイアルイン：4、ダイアルアウト：4） 組み込みのIPSecおよびPPTPクライアント/サーバー IKEキー管理 IPSecのDES、3DES、およびAES暗号化 組み込みの強力な3DESアクセラレータ PPTPのMPPE暗号化 IPSec内のL2TP L2TP / PPTP / IPSecパススルー iPhone L2TP / IPSec MSChapV2パスワード RSA SecurID 暗号カード PPTP MSChapV2パスワード RSA SecurID 暗号カード …

16 vpn  ubuntu  iphone  android 

client-to-client無効にしたTUN（レイヤー3）OpenVPNサーバーを使用している場合、クライアントは引き続き相互に通信できます。 ドキュメントによると、クライアントからクライアントへの構成はこれを防ぐ必要があります。 接続しているクライアントがVPNを介して互いに到達できるようにする場合は、クライアント間ディレクティブのコメントを外します。デフォルトでは、クライアントはサーバーにのみアクセスできます。 このオプションが無効になっているときに、クライアントが相互に通信し続けることができるのはなぜですか？ これが私のサーバー設定です： port 443 proto tcp dev tun ca /etc/openvpn/keys/ca.crt cert /etc/openvpn/keys/server.crt key /etc/openvpn/keys/server.key dh /etc/openvpn/keys/dh4096.pem topology subnet server 10.10.201.0 255.255.255.128 ifconfig-pool-persist ipp.txt crl-verify /etc/openvpn/keys/crl.pem push "route [omitted]" push "dhcp-option DNS [omitted]" keepalive 10 120 comp-lzo user nobody group nogroup persist-key persist-tun plugin /usr/lib64/openvpn/plugins/openvpn-plugin-auth-pam.so login cipher AES-256-CBC …

16 linux  vpn  openvpn 

strongswan（4.5）を使用してサイト間でvpnトンネルを設定しました。トンネルは正常に見え、反対側に接続されていますが、トンネルを介したトラフィックのルーティングに問題があるようです。 何か案が？ ありがとう！ ネットワーク図 +----------------------------------+ |Dedicated server: starfleet | +-----------------+ | | | CISCO ASA | | +-------------------------| internet | | | |eth0: XX.XX.XX.195/29 +-------------------| YY.YYY.YYY.155 | | +-------------------------| +------+----------+ | |virbr1: 192.168.100.1/24 | | | +----+--------------------| | | | | | | | | +-----------------+ | | | |network …

15 linux  vpn  kvm-virtualization  cisco-asa  strongswan 

閉まっている。この質問はトピック外です。現在、回答を受け付けていません。 この質問を改善したいですか？ 質問を更新することがありますので、話題のサーバー障害のため。 4年前に閉鎖されました。 Linuxサーバーにファイアウォールを設定する必要があります（これまでの経験はすべてWindowsでした）。私のルールは非常にシンプルにすることを意図しています-すべてを禁止し、すべてのポートを許可し、特定のIPサブネットのポートを許可しますが、ネットワークは小さくても複雑です（各ホストには少なくとも2つの192.168 ...のIPがあります。さまざまな方法で相互接続します）。iptablesラッパーを使用すると、システムが論理的に多くの不必要なエンティティを導入するのを過度に複雑にする可能性があるため、シンプルに保ち、iptablesを直接使用する方が良いと思います。 iptablesルールの作成方法についての簡単な紹介をお勧めできますか？

15 linux  vpn  router  iptables 

私は長年にわたっていくつかのVPNソリューションを使用してきました。ほとんどは設定が難しく、接続が遅く、動作が悪い（システムドライバーの交換、お互いの混乱など）。 以前に使用したことがないソリューションの1つは、Windowsに組み込まれているものです。これは主に、インフラストラクチャの担当者が「安全ではない」と主張するため、常に使用を拒否するためです。 これでようやく（Windows 7で）使用できるようになりました。すごい簡単です。簡単に設定でき、正常に動作し、ほぼ瞬時に接続し、ログインした資格情報で自動的に認証され、UIとうまく統合されます。本当に安全でない限り、別のVPN製品を二度と使用する必要がなくなると嬉しいです。 PPTPに依存するために使用されるWindows VPNを収集しますが、これは安全とは見なされていません。ただし、Windows 7/2008では、L2TP / IPSec、SSTP、IKEv2をサポートし、EAPまたはCHAP / CHAPv2で認証します。それは私にはかなり最新のようです。 しかし、私は単なる開発者です。知識のある人がこれについて下見を教えてもらえますか？

15 windows  vpn 

かなり複雑なVPNのセットアップに数か月を費やした後、将来の代替案を検討し始めています。私のネットワークプロバイダーの一部はMPLSを使用して接続していますが、かなりうまく機能していると思います。私は多くのATM（自動預け払い機）ネットワークがMPLSを使用していることを知っています。 http://en.wikipedia.org/wiki/MPLS_VPNはかなり簡潔です： 「MPLS VPNは、マルチプロトコルラベルスイッチング（MPLS）のパワーを活用して仮想プライベートネットワーク（VPN）を作成する方法のファミリです。MPLSは、実質的なオーバーヘッドなしでトラフィックの分離と差別化を提供するため、タスクに適しています。 レイヤー3 MPLS VPN L3VPNとしても知られるレイヤー3 MPLS VPNは、拡張BGPシグナリング、MPLSトラフィック分離、およびVRF（仮想ルーティング/転送）のルーターサポートを組み合わせて、IPベースのVPNを作成します。IPSec VPNやATMなどの他のタイプのVPNと比較して、MPLS L3VPNはコスト効率が高く、より多くのサービスを顧客に提供できます。」 私の質問は次のとおりです。MPLSネットワークをセットアップするのはどれほど面倒で高価ですか？ハードウェアとDIYを購入できるのでしょうか、それとも本当にサービスプロバイダーに行く必要がありますか？現在、「マネージド」VPNを月100ドルで入手できます（これが良いか悪いかはわかりません）。私の5パートナーIPSEC「ヘアピン」トポロジにより、年間6,000の費用がかかります。それはMPLSにもっと投資されるでしょうか？

14 vpn  ipsec  mpls 

開発マシンでHyper-Vを使用する理由はいくつかありますが、最大の悩みの1つは、仮想マシンとの間でカットアンドペーストができないことです。 私はすべてのオプションを試しましたが、これを可能にするようなものは見つかりません。誰かが良い解決策を持っていますか？ VPNクライアントを使用する代わりにRDP経由でVMに接続することを検討しましたが、VMの1つは主にVPN経由で別のネットワークに接続するために使用され、そのマシンにRDPを接続してからVPNに接続しようとしたときに（Ciscoを使用してAnyConnect）、RDPセッションを介してVPNに接続できなかったというエラーが表示されました）。

14 vpn  hyper-v  rdp 

VPN接続でアクセスする必要のあるマシンをスリープ状態にできないのは本当ですか？ （VPNサーバーについてはエンドユーザーのPCがスリープ状態であるのと同じくらい多いので、サーバー障害でこれを尋ねています）

14 vpn  wake-on-lan