Fragen zur Konfiguration, zum Betrieb und zur Fehlerbehebung von IPSEC VPN.
Ich baue schon seit Jahren IPsec-VPNs, aber um ehrlich zu sein, habe ich den technischen Unterschied zwischen IKE und ISAKMP nie richtig verstanden. Ich sehe oft die beiden Begriffe synonym verwendet (wahrscheinlich falsch). Ich verstehe die beiden Grundphasen von IPSec, und ISAKMP scheint sich in...
Ich habe so viele Leute gesehen, die immer mit IPSec und vielen anderen sicheren VPN-Technologien gerungen haben. Ich habe OpenVPN immer einfach verwendet, mit schönen, einfachen und vielseitigen Ergebnissen. Ich habe es auf DD-WRT-Routern, großen Servern und Android-Handys verwendet, um nur einige...
Ich bin immer verwirrt über die lebenslange Konfiguration der Sicherheitszuordnungen unter Cisco IOS. Bei den meisten im Internet verwalteten Geräten ist klar, welche SA-Lebensdauer für Phase I und welche für Phase II gilt. Auf Cisco haben Sie jedoch diesen crypto isakmp policy...
Ich habe Beschwerden über eine "langsame Verbindung" von mehreren neuen Remote-Standorten. Die Standorte sind über einen MPLS L3VPN-Dienst mit Cisco 2921 verbunden, und wir verwenden Cisco GET-VPN, um den Datenverkehr zwischen unseren Standorten zu verschlüsseln. Alle Standorte haben entweder...
Ich habe IPsec VPN unter ASA 8.0 ausgeführt und verstehe ein wenig darüber. Der Initiator sendet zunächst seine ISAKMP-Richtlinie an den Responder, und der Responder sendet die übereinstimmende Richtlinie zurück. Danach wird der Diffie-Hellman-Schlüssel ausgetauscht, und beide senden den...
Ich würde gerne die Konfiguration oder die Protokolle als Referenz veröffentlichen, aber ich habe Probleme, mein RAS-VPN auf derselben Schnittstelle wie mein Site-to-Site-IPSEC-VPN zum Laufen zu bringen. Ich verwende eine dynamische Kryptokarte für den Remotezugriffs-VPN, aber es sieht so aus, als...
Im Rahmen eines neuen Projekts müssen ca. 3000 IPSec-Verbindungen auf einer Cisco ASA 5540-Firewall beendet werden. Gemäß den Spezifikationen beträgt die maximale Anzahl von IPSec-Peers, die diese Plattform unterstützt, 5000, sodass kein Problem auftreten sollte. Die Frage ist, was passiert, wenn...
Ich versuche, eine dynamische Krypto-Map für die Verwendung in einem reinen IPv6-Netzwerk unter Cisco 15.2M zu konfigurieren. Das Problem ist, wenn ich versuche, der dynamischen Krypto-Map eine IPv6-Zugriffsliste hinzuzufügen, wird eine Fehlermeldung angezeigt. Unterhalb der Konfiguration crypto...
Ich bin gerade dabei, ein virtuelles privates Netzwerk für eine Cloud-Hosting-Umgebung einzurichten. Angesichts unserer Anforderungen sehe ich dies nicht wirklich anders als eine dedizierte Serverumgebung. Die Idee ist, dass Kunden in die Lage versetzt werden sollen, von ihren Benutzern die...
Ein bisschen Konfigurationsplanung für Gürtel und Hosenträger. Hintergrund: Wir haben eine erfolgreiche Site-to-Site-VPN-Verbindung zu unserem Remote-Rechenzentrum. Das entfernte "geschützte" Netzwerk ist auch der IP-Netzwerkbereich, der über die Firewall als mit dem Internet verbundene...
Ich habe einen ASA5510, um Kunden mit meinem Unternehmen zu verbinden. Ich verwende ein Site-to-Site-IPSec-VPN mit einer Vielzahl von Anbietern auf der anderen Seite (Cisco, Sonicwall, Zyxel, Checkpoint usw.). Für jedes Remote-LAN übersetze ich den Netzwerkclient in eine einzelne IP-Adresse. zum...
Ich habe ein Netzwerk mit ausfallsicheren Gateways, wobei Kundenstandorte ein Standardgateway verwenden, um die Internet-Edge-Router zu erreichen, und die primäre Route für den Datenverkehr eine niedrigere Metrik verwendet. IPSec-Tunnel werden von VPN-Konzentratoren hinter den Edge-Routern...
Ich habe einen Remote-Standort mit zwei IP-Adressen für VPN-Peers im Rechenzentrum konfiguriert - eine primäre (1.1.1.1) und eine Sicherung (2.2.2.2). Wenn der primäre Peer ausfällt, erkennt der Remote-Standort den Fehler mithilfe von DPD (nach ca. 15 Sekunden). Es reißt die SAs ab und versucht...
Ich habe ein Problem mit einer Mischung aus Fernzugriffs-, L2L- und dynamischen L2L-Tunneln auf einem ASA5540 mit 8.2 Hier ist ein Ausschnitt der relevanten Konfiguration: - crypto dynamic-map outside-crypto-dynamic-map 10 match address outside-crypto-dynamic-map-10 crypto dynamic-map...
Ich bin mir ziemlich sicher, dass ich die Antwort darauf kenne, aber ich weiß nicht, wie ich sie implementieren soll. Der Versuch, einen IPSec-VPN von einem Cisco 2811 auf eine Linux-Box einzurichten, auf der openswan ausgeführt wird. Bisher kann ich Phase 1 starten, aber Phase 2 hat ein Problem....
Ich habe einen Kunden, der aus verschiedenen Gründen einen Cisco-Router hinter einer NATed ADSL-Verbindung hat. Sie möchten ein VPN zu einem unserer Präsenzpunkte erstellen. Die einzigen Optionen, die wir anbieten, sind Site-to-Site- oder L2TP-Einwahl. Ist es möglich, Cisco (3925) für die...