即使我没有尝试连接,我的日志中也出现了事件 ID 20209。证书仍在我身边,其他人无权使用它。只允许机器证书。但事件查看器指出:
VPN服务器和VPN客户端92.63.194.91已经建立连接,但是无法完成VPN连接。最常见的原因是 VPN 服务器和 VPN 客户端之间的防火墙或路由器未配置为允许通用路由封装 (GRE) 数据包(协议 47)。
是需要关心的问题吗?
AskOverflow.Dev
您对互联网开放并受到攻击。但是,攻击可能不是针对您的 VPN 服务器,尽管您收到的错误可能来自其防火墙。
通用路由封装 (GRE)由 Wikipedia 定义为:
这是一种将消息从各种其他协议传递给接收者的通用方法。这种攻击通常针对路由器,目的是在受害路由器和攻击者之间建立一条隧道,从而允许嗅探数据等。即使在今天,GRE 作为攻击向量的所有可能用途都不是众所周知的,因为它可以携带来自其他协议的多种类型的有效负载,而不仅仅是 TCP/IP。GRE 作为攻击载荷在 Mirai 僵尸网络中流行起来,但在此之前相对鲜为人知。
但要回答这个问题,虽然您的 VPN 服务器可能没有受到攻击,但 IKEv2 被认为是可用的最快和最安全的协议之一。安全性主要取决于登录密码的强度。
您可以在以下参考资料中找到有关 GRE 攻击的一些深入讨论:
识别和缓解对 GRE 解封装漏洞的利用
使用 GRE 隧道的 Cisco SNMP 配置攻击
第一个链接为缓解 GRE 攻击提供了一些建议,尽管可能与 CISCO 路由器更相关。
对于不是安全专家或没有安全专家服务的人,您可以做的是确保路由器的固件得到很好的更新。还要检查路由器的所有设置,以禁止所有非绝对必要的设置,如果可以的话,包括 GRE。定期重启路由器也是一个好主意。
当您在 Internet 上的 IP 段受到攻击时,您应该对 VPN 服务器的防火墙或任何其他暴露于以太网的设备执行相同的操作。