问题[cisco-vpn](server)

我需要连接到 VPN，但我根本不是这方面的专家，所以如果有人可以帮助我，我将不胜感激。

我得到了以下数据，告诉我此信息用于“纯模式下的思科配置”。我将按字面意思粘贴电子邮件中的单词：

• 专用公共 IP：它显示一个以 9 结尾的 IP。我真的不知道这是为了什么...
• 远程：它显示一个域名。如果我检查它的 IP，我得到的 IP 与“专用公共 IP”中写的 IP 相同，但以 1 结尾。这是网关吗？
• PSK：好的，它显示了一个预共享密钥，但我没有字段可以写入它。
• 组名：组名。
• 用户：用户名。
• 密码：用户名的密码。

我正在使用 Kubuntu。有了这些数据，知道这件事的人，你应该在网络管理器中选择哪个VPN？

如果我选择Cisco AnyConnect Compatible VPN (openconnect)，我可以填写Gateway、CA Certificate、Proxy、User Certificate、Private Key ... 但没有 PSK、没有组、没有用户、没有密码。

如果我选择Cisco Compatible VPN (vpnc)，我可以填写Gateway，User name，User password，Group name，Group password（我没有给这个）...几乎，但没有PSK。

左边的 VPN 类型要求其他完全不同的字段。

我发现唯一能让我有机会填写 PSK 的 VPN 类型是第 2 层隧道协议 (L2TP)，在其高级设置中，但我无法指定其他数据，例如组。

谁能给我一个关于如何做的线索？

我有一个带有 2 个端点（主要和次要）的 cisco ISR on-prem，我想通过一个连接将我的 Azure VPN 网关连接到两个端点（两个 IP 的本地地址空间相同）。

创建 Azure本地网络网关时，我只能输入 1 个公共 IP 地址，而不是 2 个。有没有办法从 Azure VPN 网关连接 2 个 IP？

谢谢

System Configuration:
Virtual Box version: VirtualBox-6.1.6-137129-Win
Host OS: Windows 10
Guest OS: Oracle Linux 8.1 (Virtual Box Guest Additions not installed in it yet)

VPN Software running on Host OS (Windows 10):
Cisco AnyConnect Secure Mobility Client
Version: 4.8.02045
Preferences of VPN Client: Screen Shot Attached

Internet Connectivity on Host OS is through WiFi interface Intel(R) Wireless-AC 9560 160MHz connected to my Home router.

我已经配置了 Guest VM，即 Oracle Linux，只有 1 个 NAT 网络接口（默认设置未修改），当主机未连接到 VPN 时，我的 Guest VM，即 Oracle Linux 能够使用主机网络，即我能够从甲骨文Linux。

• 主机中未连接 VPN 时 Oracle Linux 的 IP 配置屏幕截图。
• 在主机（即 Windows 10）输出上执行的路由打印命令也在 VPN 连接之前附加。

现在我认为我将从主机操作系统（即 Windows 10）和我的客户操作系统（即 Oracle Linux）连接到 VPN连接来宾操作系统既不能使用任何 VPN 资源，也不能使用 Internet。似乎没有任何工作。VPN连接后，我尝试在Oracle Linux机器上进行wireshark转储，但wireshark中没有任何内容完全空白。

• 在主机中连接 VPN 后，Oracle Linux 的 IP 配置屏幕截图。

• 在主机（即 Windows 10）上执行的路由打印命令输出也在 VPN 连接后附加。

• 还附加了 VBox.log 文件

  我尝试解决问题的程序：

  • 尝试使用旧版本的 Virtual Box 5.2，但仍然发现同样的问题。
  • 尝试使用带有和不带有 VBoxGuestAdditions_6.1.7-137622 的旧版本 Virtual Box 6.1.4，但仍然存在同样的问题。
  • 我想安装票 virtualbox 中提到的 VBoxGuest Additions 。org/ticket/19336，但在打勾中共享到已修补的 VBoxGuestAdditions_6.1.97-136310.iso 的链接已损坏，无法访问。

  • 下面的命令集体和一个接一个地执行，但问题仍然存在：

    C:\Program Files\Oracle\VirtualBox> VBoxManage modifyvm "VM name" --natdnshostresolver1 on

    C:\Program Files\Oracle\VirtualBox> VBoxManage modifyvm "VM name" --natdnsproxy1 on

    C:\Program Files\Oracle\VirtualBox> VBoxManage setextradata global VBoxInternal2/HostDNSSuffixesIgnore 1

  • 尝试在访客操作系统（Oracle Linux）中直接安装 Cisco AnyConnect，它显示它已连接但仍然无法访问 Internet 或任何 VPN 站点。

如果我将 Oracle Linux VM 网络适配器配置为桥接，那么当 VPN 在 Windows 主机上连接时，我至少在 Oracle VM 上有 Internet 连接，但目标是使用与主机系统（即 Windows 10）连接的相同 VPN 连接。

关于这个问题的任何帮助都会很棒。

所有日志都可以从此链接下载。

我创建了一个基于谷歌云策略的经典 VPN。远端是 Cisco ASA，他们要求我提供

'配置文本文件，因为它将包括第 1 阶段和第 2 阶段加密和身份验证协议。

这听起来不像是一个不合理的要求，但我找不到任何地方可以获取这些数据。它存在吗？（我对 VPN 知之甚少......）或者数据是否可用？

我有一个在 Amazon Web Services 上运行的 Windows 服务器，我需要连接到我的办公室网络并通过我的办公室公共 IP 访问互联网。我正在使用 Cisco AnyConnect 客户端执行此操作，我可以连接到 de VPN 并访问互联网。我遇到的问题是会话在 23.5 小时后过期，我不知道如何避免这种情况。如果不可能，另一种解决方案可能是在此时间之后自动重新连接而无需用户干预。有没有办法做到这一点？

我有一个(10.0.0.0/16)带有公共子网(10.0.1.0/24)和私有(10.0.2.0/24)子网的 VPC。我在公共子网中有 ELB，在私有子网中有 EC2 Web 服务器。我还设置了 VPN 网关、消费者网关和 VPN 连接，以允许客户端访问我们的 VPC。

如何将 VPN 连接锁定到专用于 VPN 的子网（仅限 VPN 的子网）。我计划在仅限 VPN 的子网中拥有 EC2 实例，并且客户端应该能够访问这些服务器。

谢谢！

我有一个运行良好的 Elasticbeanstalk 应用程序，该应用程序可以从外部访问。我还通过 Cisco 1000v 设备与 VPC 建立了 VPN 连接。我在我的 VPC 中运行了一个 bind9 DNS 服务器，它转发到 Amazon VPC dns (xxx2) 服务器。我遇到的问题是来自我的 VPN 的流量无法路由到互联网，并且在查询时，DNS 服务器总是返回 ELB 的公共 IP 地址（54.xxx）。这种配置一直有效，直到上周晚些时候它似乎突然停止工作。

是否可以有一个带有 DNS 的外部可用 ELB、外部 DNS 条目和内部 DNS 条目？到目前为止，我能找到的只是外部或内部 ELB，而不是两者。

我有一个带有 Security Plus 许可证的 Cisco ASA 5505 以及一个 AnyConnect Plus 许可证。我目前在 ASA 上没有任何 VPN 配置，因为我仍处于规划阶段。在购买第三方软件之前，我想知道是否支持我计划的配置。

我正在考虑对连接到 VPN 的用户使用双重身份验证，可能会使用额外的证书组件。我发现 Duo Security使用 LDAP 进行 AnyConnect 集成。此外，AnyConnect 允许您使用 LDAP 对 Active Directory 进行身份验证。我做了很多研究，发现了很多配置双重身份验证的资源。但是，每个资源似乎都使用两种不同的身份验证协议。例如，思科官方文档向您展示如何将 LOCAL 设置为主要，将 LDAP 设置为次要。他们的措辞使您看起来可以将 LDAP 用于主要或次要，但没有明确说明您可以同时使用这两种方式。我还找到了描述如何为故障转移或负载平衡配置冗余 LDAP 服务器的资源，这不是我想要的。我的问题是是否可以使用两个完全独立的 LDAP 服务器并让客户端对两者进行身份验证。理想情况下，配置应如下所示：

tunnel-group RA general-attributes
  authentication-server-group LDAP_AD
  secondary-authentication-server-group LDAP_DUO
  default-group-policy Group1
  authorization-required
tunnel-group RA webvpn-attributes
  authentication aaa certificate

显然，LDAP_AD 和 LDAP_DUO 都将使用“aaa-server LDAP_xx 协议 ldap”以及所需的服务器信息配置为它们自己的条目。我在想这个配置应该要求用户输入他们的 AD 凭证，使用带有 OTP 或 Push 身份验证的 Duo 安全性，并检查机器是否有有效的证书。以前有没有人尝试过，或者发现文档说支持这种类型的配置？

您好，在此先感谢您，

我的问题是，目前，我的公司有两个地点。我们称它们为“A”和“B”。我已经使用 VPN 同步了它们。上个月我们刚刚购买了另一栋建筑，我还需要将该位置“C”与 A 和 B 同步。位置 A 位于国外，他们必须通过第三方公司安装 VPN。我的其他地点，“B”和“C”，都在美国，我控制着思科。我设法通过 VPN 同步位置“B”和“C”。我的问题是，为了使“C”成为域控制器，它需要与位于“A”位置的主域通信。我知道简单地创建一个具有“A”->“B”、“A”->“C”和“B”-> 的 VPN 三角形 “C”会起作用。但是，正如我所说，为了让我建立从“A”到“C”的另一个 VPN 需要一段时间，因为我必须联系第三方。是否有可能，如果是这样，那么我需要采取哪些步骤，让我拥有一个“C”通过“B”到达“A”的系统（我道歉，我知道这听起来令人困惑）？基本上，位置“B”是“A”和“C”之间的中间人吗？再次感谢您的帮助。如果您需要更多细节协作以完全理解我的要求，请告诉我，我知道这不是很清楚。让我有一个系统，其中“C”通过“B”到达“A”（我很抱歉，我知道这听起来很混乱）？基本上，位置“B”是“A”和“C”之间的中间人吗？再次感谢您的帮助。如果您需要更多细节协作以完全理解我的要求，请告诉我，我知道这不是很清楚。让我有一个系统，其中“C”通过“B”到达“A”（我很抱歉，我知道这听起来很混乱）？基本上，位置“B”是“A”和“C”之间的中间人吗？再次感谢您的帮助。如果您需要更多细节协作以完全理解我的要求，请告诉我，我知道这不是很清楚。

我正在使用 L2TP VPN 从家中连接到总部的 ASA5505。

总部然后通过站点到站点的 IPSEC 隧道连接到其他办公室。

在总公司（192.168.100.0/24）时，我可以ping /访问远程办公室（192.168.200.0/24） OK。

当远程连接到总部时，我可以从 road-warrior 笔记本电脑 ping/访问总部 OK。

我的问题是，当从家里远程连接到总部时，我无法 ping/访问其他办公室的子网

在家用笔记本电脑上，L2TP VPN 连接设置为使用 HQ 作为互联网网关将所有流量路由到 VPN 连接，我可以确认这是有效的。

我无法执行 traceroute（超时），因为我的政策不允许并且不确定如何在 ASA 上正确启用它。

任何想法出了什么问题，配置如下：

names
name 192.168.200.0 othersite
!
interface Vlan1
 nameif inside
 security-level 100
 ip address 192.168.100.1 255.255.255.0
!
interface Vlan2
 nameif outside
 security-level 0
 ip address 34.35.36.3 255.255.255.252
!
same-security-traffic permit intra-interface
access-list inside_nat0_outbound extended permit ip 192.168.100.0 255.255.255.0 othersite 255.255.255.0
access-list inside_nat0_outbound extended permit ip any 192.168.100.0 255.255.255.0
access-list outside_1_cryptomap extended permit ip 192.168.100.0 255.255.255.0 othersite 255.255.255.0
access-list DefaultRAGroup_splitTunnelAcl_1 standard permit 192.168.100.0 255.255.255.0
access-list outside_in_acl extended permit icmp any any echo-reply
access-list outside_in_acl extended permit tcp any interface outside eq smtp
ip local pool VPNLAN 192.168.100.210-192.168.100.240 mask 255.255.255.0
global (outside) 1 interface
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 192.168.100.0 255.255.255.0
nat (outside) 1 192.168.100.0 255.255.255.0
static (inside,outside) tcp interface smtp 192.168.100.3 smtp netmask 255.255.255.255
access-group outside_in_acl in interface outside
group-policy DefaultRAGroup internal
group-policy DefaultRAGroup attributes
 dns-server value 192.168.100.3
 vpn-tunnel-protocol l2tp-ipsec
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value DefaultRAGroup_splitTunnelAcl_1
tunnel-group DefaultRAGroup general-attributes
 address-pool VPNLAN
 default-group-policy DefaultRAGroup
tunnel-group DefaultRAGroup ipsec-attributes
 pre-shared-key *****
tunnel-group DefaultRAGroup ppp-attributes
 no authentication chap
 authentication ms-chap-v2
tunnel-group 40.35.36.122 type ipsec-l2l
tunnel-group 40.35.36.122 ipsec-attributes
 pre-shared-key *****