问题[point-to-site-vpn](server)

我正在尝试设置一个 StrongSwan VPN 服务器，它应该托管多个（Windows 10 - 内部 vpn 客户端）roadwarrior 连接，但不同的子网，具体取决于客户端证书。

root@VPN:/# ipsec version

Linux strongSwan U5.8.2/K5.4.0-26-generic

我的设置有 2 对公钥和私钥，使用不同的 CN，比如说vpn-dev.mycom.com和vpn-liv.mycom.com. 使用的ipsec.conf看起来像这样：

conn vpn-dev
    auto=add
    compress=no
    type=tunnel
    keyexchange=ikev2
    fragmentation=yes
    forceencaps=yes
    dpdaction=clear
    dpddelay=300s
    rekey=no
    ikelifetime=25200s
    leftid=vpn-dev.mycom.com
    leftcert=server-cert.pem
    leftsendcert=always
    leftsubnet=0.0.0.0/0
    right=%any
    rightid=%any
    rightauth=eap-mschapv2
    rightsourceip=10.100.0.0/16-10.100.254.254/16
    rightdns=8.8.8.8,8.8.4.4
    rightsendcert=never
    rightcert=ca-cert.pem
    eap_identity=%identity
    ike=aes128-sha1-modp1024


conn vpn-liv
    also=vpn-dev
    leftid=vpn-liv.mycom.com
    leftcert=liv-server-cert.pem
    rightsourceip=10.200.0.0/16-10.200.254.254/16
    rightcert=liv-ca-cert.pem

两个证书密钥也存储在ipsec.secrets

vpn-dev.mycom.com : RSA "server-key.pem"
vpn-liv.mycom.com : RSA "liv-server-key.pem"

someuser : EAP "somepassword"

但是，一旦我尝试连接到 strongswan 实例，vpn-dev就会使用连接并且 strongswan 不会切换到 connvpn-liv

这是尝试期间的日志：

Mar 30 08:47:48 VPN charon: 16[NET] received packet: from X.X.X.X[64558] to X.X.X.X[500] (1084 bytes)
Mar 30 08:47:48 VPN charon: 16[IKE] received MS NT5 ISAKMPOAKLEY v9 vendor ID
Mar 30 08:47:48 VPN charon: 16[IKE] received MS-Negotiation Discovery Capable vendor ID
Mar 30 08:47:48 VPN charon: 16[IKE] X.X.X.X is initiating an IKE_SA
Mar 30 08:47:48 VPN charon: 16[CFG] selected proposal: IKE:AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
Mar 30 08:47:48 VPN charon: 16[IKE] local host is behind NAT, sending keep alives
Mar 30 08:47:48 VPN charon: 16[IKE] remote host is behind NAT
Mar 30 08:47:48 VPN charon: 16[NET] sending packet: from X.X.X.X[500] to X.X.X.X[64558] (328 bytes)
Mar 30 08:47:48 VPN charon: 06[NET] received packet: from X.X.X.X[64596] to X.X.X.X[4500] (576 bytes)
Mar 30 08:47:48 VPN charon: 10[NET] received packet: from X.X.X.X[64596] to X.X.X.X[4500] (576 bytes)
Mar 30 08:47:48 VPN charon: 05[NET] received packet: from X.X.X.X[64596] to X.X.X.X[4500] (576 bytes)
Mar 30 08:47:48 VPN charon: 14[NET] received packet: from X.X.X.X[64596] to X.X.X.X[4500] (368 bytes)
Mar 30 08:47:48 VPN charon: 14[IKE] received cert request for "CN=PRIV VPN LIV CA"
Mar 30 08:47:48 VPN charon: 14[IKE] received 69 cert requests for an unknown ca
Mar 30 08:47:48 VPN charon: 14[CFG] looking for peer configs matching X.X.X.X[%any]...X.X.X.X[192.168.0.117]

Mar 30 08:47:48 VPN charon: 14[CFG] selected peer config 'vpn-dev' # << here it has not selected vpn-live, even if the earlier provided private key is only matching vpn-live

Mar 30 08:47:48 VPN charon: 14[IKE] initiating EAP_IDENTITY method (id 0x00)
Mar 30 08:47:48 VPN charon: 14[IKE] peer supports MOBIKE
Mar 30 08:47:48 VPN charon: 14[IKE] authentication of 'vpn-dev.mycom.com' (myself) with RSA     signature successful
Mar 30 08:47:48 VPN charon: 14[IKE] sending end entity cert "CN=vpn-dev.mycom.com"
Mar 30 08:47:49 VPN charon: 14[IKE] sending cert request for "CN=PRIV VPN DEV CA"
Mar 30 08:47:49 VPN charon: 14[IKE] sending cert request for "CN=PRIV VPN LIV CA"
Mar 30 08:47:49 VPN charon: 14[NET] sending packet: from X.X.X.X[500] to X.X.X.X[64548] (364 bytes)
Mar 30 08:47:49 VPN charon: 06[NET] received packet: from X.X.X.X[64618] to X.X.X.X[4500] (92 bytes)
Mar 30 08:47:49 VPN charon: 06[IKE] received (28) error notify

目标基本上是在一台机器上托管 2 个 vpn 端点，但根据登录/使用的证书提供不同的 IP 范围。

本地配置是用（powershell）完成的

Import-Certificate -FilePath liv-ca-cert.pem -CertStoreLocation 'Cert:\LocalMachine\Root'
Add-VpnConnection -Name 'LIV VPN' -ServerAddress 'vpn-live.mycom.com' -AuthenticationMethod Eap -IdleDisconnectSeconds 43200

我错过了什么吗？我的设置是否配置错误？或者这对于strongswan和Windows 10内部vpn客户端根本不可能？

有没有人在使用 OpenVPN 之前看到过这些错误。

Secure Connection Failed

An error occurred during a connection to openvpn.example.com. PR_END_OF_FILE_ERROR

    The page you are trying to view cannot be shown because the authenticity of the received data could not be verified.
    Please contact the website owners to inform them of this problem.

我查看了日志文件:/var/log/ openvpnas.log，发现以下内容：

2021-09-14T19:58:23+0000 [stdout#info] [OVPN 0] OUT: 'Tue Sep 14 19:58:23 2021 myip:11301 Connection reset, restarting [0]'
2021-09-14T19:58:23+0000 [stdout#info] [OVPN 0] OUT: 'Tue Sep 14 19:58:23 2021 myip:11301 SIGUSR1[soft,connection-reset] received, client-instance restarting'
2021-09-14T19:59:13+0000 [stdout#info] [OVPN 0] OUT: 'Tue Sep 14 19:59:13 2021 TCP connection established with [AF_INET]myip:10603'
2021-09-14T19:59:13+0000 [stdout#info] [OVPN 0] OUT: 'Tue Sep 14 19:59:13 2021 Socket flags: TCP_NODELAY=1 succeeded'
2021-09-14T19:59:13+0000 [stdout#info] [OVPN 0] OUT: 'Tue Sep 14 19:59:13 2021 myip:10603 WARNING: Bad encapsulated packet length from peer (5635), which must be > 0 and <= 1627 -- please ensure that --tun-mtu or -
-link-mtu is equal on both peers -- this condition could also indicate a possible active attack on the TCP link -- [Attempting restart...]'
2021-09-14T19:59:13+0000 [stdout#info] [OVPN 0] OUT: 'Tue Sep 14 19:59:13 2021 myip:10603 Connection reset, restarting [0]'
2021-09-14T19:59:13+0000 [stdout#info] [OVPN 0] OUT: 'Tue Sep 14 19:59:13 2021 myip:10603 SIGUSR1[soft,connection-reset] received, client-instance restarting'

似乎我的请求是根据 GCP 日志中的日志将其发送到实例

{ insertId：“148f4tog64jclgg” jsonPay

load: {
connection: {
dest_ip: "*******"
dest_port: 443
protocol: 6
src_ip: "*********"
src_port: ****
}
disposition: "ALLOWED"
instance: {

但不知道为什么它会被丢弃。有没有人经历过类似的？

我正在尝试设置用户通过 VPN 连接到我们的 Azure 托管网络。所有客户端计算机都运行 Windows 10。通过将所需设置直接添加到系统电话簿文件 ( C:\ProgramData\Microsoft\Network\Connections\Pbk\rasphone.pbk)，在客户端计算机上安装连接。

我遇到了一个有趣的情况，有些用户可以正常连接，但其他用户只有在尝试使用管理员权限启动连接时才能连接。

这些用户得到的错误是：

错误 798：找不到可用于此可扩展身份验证协议的证书

尝试通过 Windows 工具栏中的网络菜单连接或尝试通过 rasphone 或 rasdial 连接时会出现此错误。但是有两件有趣的事情需要注意：

• 首次安装 VPN 连接时，这些相同的用户没有遇到此问题。起初它工作正常。几天后开始出现此问题。
• 以管理员身份运行 rasphone 或 rasdial 时不会发生此错误。以管理员身份运行时，连接已成功建立。

如您所知，身份验证应该通过证书完成。确切地说是自签名证书。客户端证书安装在Current User\Personal证书存储中。由于根证书是自签名的，因此需要将其添加为客户端设备的 CA，以便将客户端证书识别为有效。因此根证书安装在Current User\Trusted Root Certification Authorities和Local Machine\Trusted Root Certification Authorities证书存储中。

这种完全相同的设置，在完全相同的商店中具有完全相同的证书，以及完全相同的电话簿条目，在某些设备上一直有效，但在其他设备上需要管理员权限。证书必须有效，否则连接将永远无法工作。那么在普通用户上下文中是什么导致连接失败呢？

下面是有问题的完整电话簿条目（连接名称和网关地址已删除）。

[Connection Name]
Encoding=1
PBVersion=6
Type=2
AutoLogon=0
UseRasCredentials=1
DialParamsUID=394750015
Guid=C461B777D7AB504AB0AECABC914B7A56
VpnStrategy=7
ExcludedProtocols=0
LcpExtensions=1
DataEncryption=256
SwCompression=1
NegotiateMultilinkAlways=1
SkipDoubleDialDialog=0
DialMode=0
RedialAttempts=3
RedialSeconds=5
IdleDisconnectSeconds=0
RedialOnLinkFailure=1
CallbackMode=0
CustomDialDll=
CustomDialFunc=
CustomRasDialDll=
ForceSecureCompartment=0
DisableIKENameEkuCheck=0
AuthenticateServer=0
ShareMsFilePrint=1
BindMsNetClient=1
SharedPhoneNumbers=0
GlobalDeviceSettings=0
PrerequisiteEntry=
PrerequisitePbk=
ShowMonitorIconInTaskBar=1
CustomAuthKey=13
CustomAuthData=314442430D00000048000000020000004800000017000000000000000000000000000000000000000000000000000000000000000000FE0006000100FD001800
CustomAuthData=97390292EA748C1C312875C0B087FFECAD8EACD100000000
AuthRestrictions=128
IpPrioritizeRemote=0
IpInterfaceMetric=0
IpHeaderCompression=0
IpAddress=0.0.0.0
IpDnsAddress=10.20.0.5
IpDns2Address=10.20.0.6
IpWinsAddress=0.0.0.0
IpWins2Address=0.0.0.0
IpAssign=1
IpNameAssign=2
IpDnsFlags=0
IpNBTFlags=1
TcpWindowSize=0
UseFlags=2
IpSecFlags=0
IpDnsSuffix=
DisableClassBasedDefaultRoute=1
IDI=
IDR=
ImsConfig=0
IdiType=0
IdrType=0
ProvisionType=0
PreSharedKey=
CacheCredentials=0
NumCustomPolicy=0
NumEku=0
UseMachineRootCert=0
Disable_IKEv2_Fragmentation=0
PlumbIKEv2TSAsRoutes=0
NumServers=0
RouteVersion=1
NumRoutes=1
Routes=0100000002000000100000000A0000000000000000000000000000000000000000000000
NumNrptRules=0
AutoTiggerCapable=1
NumAppIds=0
NumClassicAppIds=0
SecurityDescriptor=
ApnInfoProviderId=
ApnInfoUsername=
ApnInfoPassword=
ApnInfoAccessPoint=
ApnInfoAuthentication=1
ApnInfoCompression=0
DeviceComplianceEnabled=0
DeviceComplianceSsoEnabled=0
DeviceComplianceSsoEku=
DeviceComplianceSsoIssuer=
WebAuthEnabled=0
WebAuthClientId=
FlagsSet=0
Options=0
DisableDefaultDnsSuffixes=0
NumTrustedNetworks=0
NumDnsSearchSuffixes=0
PowershellCreatedProfile=0
ProxyFlags=0
ProxySettingsModified=0
ProvisioningAuthority=
AuthTypeOTP=0
GREKeyDefined=0
NumPerAppTrafficFilters=0
AlwaysOnCapable=0
DeviceTunnel=0
PrivateNetwork=0

NETCOMPONENTS=
ms_msclient=1
ms_server=1

MEDIA=rastapi
Port=VPN3-0
Device=WAN Miniport (IKEv2)

DEVICE=vpn
PhoneNumber=MyAzureGatewayAddress.vpn.azure.com
AreaCode=
CountryCode=0
CountryID=0
UseDialingRules=0
Comment=
FriendlyName=
LastSelectedPhone=0
PromoteAlternates=0
TryNextAlternateOnFail=1

这是在 GUI 中打开连接文件时的样子：

这里的软件开发人员被分配了系统管理员的角色。为可能是“错误的问题”道歉。

我已设置 Azure AD 并将 10 台笔记本电脑添加到域中。员工在家工作，但我需要他们所有人共享相同的静态 IP 地址，以便我们可以向我们的合作伙伴之一注册该 IP。

我相信我需要一个点对点 vpn，但我不确定这是否会给我一个静态 IP。有谁知道我可能需要什么产品（或产品组合）来完成这个（“简单”）任务。

谢谢

在 Ubuntu 20.04 上，我正在尝试使用 Strongswan 建立通往 IKEv2/Ipsec VPN 站点的 VPN 隧道。

但是，即使我有/etc/ipsec.conf如图所示的文件

# ipsec.conf - strongSwan IPsec configuration file

# basic configuration

config setup
    # strictcrlpolicy=yes
    # uniqueids = no

conn foo
    left= ...
    right= ...
    ...

当我运行时sudo ipsec up foo，我得到了错误

没有名为“foo”的配置

我在运行之前尝试了以下命令ipsec up foo，但错误仍然存​​在。

sudo ipsec update
sudo ipsec reload 
sudo ipsec restart

Strongswan U5.8.2/K5.4.0-60-generic 安装使用

sudo apt-get install strongswan libcharon-extra-plugins -y

似乎是什么阻止了foo连接被检测到？

谢谢！

我正在 Azure VPN 网关上设置 P2S 配置。我正在尝试使用机器证书身份验证和 IKEv2。我正在使用内置的 Windows 10 (1909) 客户端和使用 powershell 自行生成的证书。

我可以使用 DH Group 2 进行连接，但是一旦我将 DH Group 切换到 ECP256，我的连接就会失败。我收到错误“错误 (13801) IKE 身份验证凭据不可接受。”

初步分析表明证书需要是 ECP 类型，因此我生成的证书如下：

New-SelfSignedCertificate -Type Custom `
  -Subject "***" `
  -CertStoreLocation "Cert:\LocalMachine\My" `
  -Signer $cert `
  -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.2") `
  -KeyExportPolicy Exportable `
  -KeyAlgorithm ECDSA_nistP256 `
  -CurveExport CurveName `
  -HashAlgorithm sha256

任何人都可以提出一个可能的解决方案吗？

我试图让 P2S 和 S2S 同时工作。他们单独工作很好，但是当我试图让它一起工作时，它就不足了。Windows 2012 R2 服务器和 USG110 Zyxel 防火墙。

我在日志中遇到的错误是“cookie 对是：x / y”、“发送 [INVALID MAJOR VERSION]”、“主要版本号不同”。

我想用一个虚拟网络网关做的事情是可能的，还是我需要 2 个用于不同的目的？

有人有想法么？

根据此文档， Google Cloud Platform 支持站点到站点 (S2S) VPN，但它是否也支持点到站点 (P2S)？