forum.opennet.ru - "EasyVPN и сертификаты" (5)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"EasyVPN и сертификаты"

Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"EasyVPN и сертификаты"	+/–
Сообщение от rvv80 (ok) on 06-Фев-10, 23:49
Добрый день! Пытаюсь настроить сервер EasyVPN на Cisco 871. Поднял CA, настроил truspoint: ! crypto pki trustpoint LeoCA-local enrollment url http://212.74.240.XXX:80 fqdn none ip-address 212.74.240.XXX revocation-check none auto-enroll ! Получил сертификат от этой truspoint с идентификацией по ip-адресу (вводил его ручками в процессе получения). При попытке соединиться на клиенте CiscoVPN влогах следующее: ... 14 17:18:17.622 02/05/10 Sev=Info/4 CERT/0x63600015 Cert (1.2.840.113549.1.9.8=#130e3231322e37342e3234302e313934) verification succeeded. 15 17:18:17.622 02/05/10 Sev=Warning/3 IKE/0xE3000081 Invalid remote certificate id: ID_IPV4_ADDR: ID = 0xB2F04AD4, Certificate = 0x00000000 16 17:18:17.622 02/05/10 Sev=Warning/3 IKE/0xE3000059 The peer's certificate doesn't match Phase 1 ID 17 17:18:17.622 02/05/10 Sev=Warning/2 IKE/0xE30000A7 Unexpected SW error occurred while processing Identity Protection (Main Mode) negotiator:(Navigator:2263) ... Почему в сертификате вместо ip-адреса значится 0x00000000 ? Что не так делаю?
Ответить \| Правка \| Cообщить модератору

Оглавление

EasyVPN и сертификаты, rvv80, 13:05 , 10-Фев-10, (1)

EasyVPN и сертификаты, Лягуха, 10:19 , 23-Апр-10, (2)

EasyVPN и сертификаты, rvv80, 10:24 , 28-Апр-10, (3)

EasyVPN и сертификаты, rvv80, 18:47 , 30-Авг-10, (4)

EasyVPN и сертификаты, ramak, 11:07 , 25-Янв-11, (5)

Сообщения по теме [Сортировка по времени | RSS]

1. "EasyVPN и сертификаты" +/–

Сообщение от rvv80 (ok) on 10-Фев-10, 13:05

Друзья, неужели никто не имел дела с PKI на цисках? Может кто поделиться работающим куском конфига? Пример, который нашел на cisco.com (http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...) не подходит, т.к. там описана ситуация с одним EasyVPN, а у меня ещё и каналы IPsec site-to-site.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "EasyVPN и сертификаты" +/–

Сообщение от Лягуха on 23-Апр-10, 10:19

>Друзья, неужели никто не имел дела с PKI на цисках? Может кто
>поделиться работающим куском конфига? Пример, который нашел на cisco.com (http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...) не
>подходит, т.к. там описана ситуация с одним EasyVPN, а у меня
>ещё и каналы IPsec site-to-site.
Попробуйте добавить
crypto isakmp identity dn

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "EasyVPN и сертификаты" +/–

Сообщение от rvv80 (ok) on 28-Апр-10, 10:24

>
>Попробуйте добавить
>crypto isakmp identity dn
>
Спасибо, точно помогло, теперь 1-я фаза устанавливается, в логах клиента:
= Established Phase 1 SA. 1 Crypto Active IKE SA, 1 User Authenticated IKE SA in the system
Однако возникла следующая проблема, почему-то клиент не получает адреса:
= No private IP address was assigned by the peer
= Failed to process ModeCfg Reply (NavigatorTM:175)
В конфиге вроде все по мануалу сделано:
...
crypto isakmp client configuration group LeoHome
domain leo.ru
pool vpnpool
acl 101
netmask 255.255.255.0
ip local pool vpnpool 192.168.100.10 192.168.100.50
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.100.0 0.0.0.255
interface Vlan1
ip address 192.168.1.254 255.255.255.0
...
В чем может быть трабл?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "EasyVPN и сертификаты" +/–

Сообщение от rvv80 (ok) on 30-Авг-10, 18:47

>
>Однако возникла следующая проблема, почему-то клиент не получает адреса:
>
>= No private IP address was assigned by the peer
>= Failed to process ModeCfg Reply (NavigatorTM:175)
>
>
>В чем может быть трабл?
Все, разобрался. Просто пытался связать клиента из подсети офиса, который уже имеет ipsec канал site-to-site с этой циской. Из дома сразу соединился.
Спасибо за первую подсказку, теперь сам разобрался как удобно использовать "crypto isakmp identity dn". Эта настройка указывает использовать для заполнения поля identity имя dn (distinguished name) из сертификата роутера. Т.к. клиент всегда получает сертификат роутера при переговорах ISAKMP, то ему не составляет труда прочитать из него имя dn и сравнить его с содержимым поля identity.
Кстати с "crypto isakmp identity address" думаю тоже бы заработало, если бы сертификат роутера изначально был создан с использованием ip-адреса (нужно как-нить проверить).

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "EasyVPN и сертификаты" +/–

Сообщение от ramak (ok) on 25-Янв-11, 11:07

Добрый день, похожая ситуация, не могли бы скинуть конфиг.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "EasyVPN и сертификаты"	+/–
Сообщение от rvv80 (ok) on 10-Фев-10, 13:05
Друзья, неужели никто не имел дела с PKI на цисках? Может кто поделиться работающим куском конфига? Пример, который нашел на cisco.com (http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...) не подходит, т.к. там описана ситуация с одним EasyVPN, а у меня ещё и каналы IPsec site-to-site.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "EasyVPN и сертификаты"	+/–
	Сообщение от Лягуха on 23-Апр-10, 10:19
	>Друзья, неужели никто не имел дела с PKI на цисках? Может кто >поделиться работающим куском конфига? Пример, который нашел на cisco.com (http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...) не >подходит, т.к. там описана ситуация с одним EasyVPN, а у меня >ещё и каналы IPsec site-to-site. Попробуйте добавить crypto isakmp identity dn
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "EasyVPN и сертификаты"	+/–
	Сообщение от rvv80 (ok) on 28-Апр-10, 10:24
	> >Попробуйте добавить >crypto isakmp identity dn > Спасибо, точно помогло, теперь 1-я фаза устанавливается, в логах клиента: = Established Phase 1 SA. 1 Crypto Active IKE SA, 1 User Authenticated IKE SA in the system Однако возникла следующая проблема, почему-то клиент не получает адреса: = No private IP address was assigned by the peer = Failed to process ModeCfg Reply (NavigatorTM:175) В конфиге вроде все по мануалу сделано: ... crypto isakmp client configuration group LeoHome domain leo.ru pool vpnpool acl 101 netmask 255.255.255.0 ip local pool vpnpool 192.168.100.10 192.168.100.50 access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.100.0 0.0.0.255 interface Vlan1 ip address 192.168.1.254 255.255.255.0 ... В чем может быть трабл?
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "EasyVPN и сертификаты"	+/–
	Сообщение от rvv80 (ok) on 30-Авг-10, 18:47
	> >Однако возникла следующая проблема, почему-то клиент не получает адреса: > >= No private IP address was assigned by the peer >= Failed to process ModeCfg Reply (NavigatorTM:175) > > >В чем может быть трабл? Все, разобрался. Просто пытался связать клиента из подсети офиса, который уже имеет ipsec канал site-to-site с этой циской. Из дома сразу соединился. Спасибо за первую подсказку, теперь сам разобрался как удобно использовать "crypto isakmp identity dn". Эта настройка указывает использовать для заполнения поля identity имя dn (distinguished name) из сертификата роутера. Т.к. клиент всегда получает сертификат роутера при переговорах ISAKMP, то ему не составляет труда прочитать из него имя dn и сравнить его с содержимым поля identity. Кстати с "crypto isakmp identity address" думаю тоже бы заработало, если бы сертификат роутера изначально был создан с использованием ip-адреса (нужно как-нить проверить).
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "EasyVPN и сертификаты"	+/–
	Сообщение от ramak (ok) on 25-Янв-11, 11:07
	Добрый день, похожая ситуация, не могли бы скинуть конфиг.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору