на 871 роутере
crypto ipsec ezvpnclient vpn
connect auto
group vpngrp key passwdgrp
mode network-extention
peer 1.2.3.4
username uservpn password pssswd
xauth userid mode localсофтварный клиент к пиксу цепляется и запрашивает имя пароль а этот замирает. если на пиксе убрать аутентификацию(no crypto map mymap client authentication LOCAL) тунель поднимается...
в дебаге isakmp pix останавливается на запросе XAUTH_USER XAUTH_PASSWORD идальше пошли повторы запросов.
в чем беда?
>на 871 роутере
>crypto ipsec ezvpnclient vpn
> connect auto
> group vpngrp key passwdgrp
> mode network-extention
> peer 1.2.3.4
> username uservpn password pssswd
> xauth userid mode local
>
>софтварный клиент к пиксу цепляется и запрашивает имя пароль а этот замирает.
>если на пиксе убрать аутентификацию(no crypto map mymap client authentication LOCAL)
>тунель поднимается...
>в дебаге isakmp pix останавливается на запросе XAUTH_USER XAUTH_PASSWORD идальше пошли повторы
>запросов.
>в чем беда?crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key **** address *.*.*.* no-xauth
>crypto isakmp policy 1
> encr 3des
> authentication pre-share
> group 2
>crypto isakmp key **** address *.*.*.* no-xauthа что значит последняя строчка? отключить аутентификацию? хочется чтобы работала ... или я чегото не понимаю?
>
>>crypto isakmp policy 1
>> encr 3des
>> authentication pre-share
>> group 2
>>crypto isakmp key **** address *.*.*.* no-xauth
>
>а что значит последняя строчка? отключить аутентификацию? хочется чтобы работала ... или
>я чегото не понимаю?Вообще, это из конфига 871 роутера, если он выступает сервером, а для пикса посмотрите http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...
- там есть re-xauth disable;
да вообще, пройдитесь поhttp://www.cisco.com/en/US/products/hw/vpndevc/ps2030/prod_c...
там много интересного есть.
>>
>>>crypto isakmp policy 1
>>> encr 3des
>>> authentication pre-share
>>> group 2
>>>crypto isakmp key **** address *.*.*.* no-xauth
>>
>>а что значит последняя строчка? отключить аутентификацию? хочется чтобы работала ... или
>>я чегото не понимаю?
>
>Вообще, это из конфига 871 роутера, если он выступает сервером, а для
>пикса посмотрите http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...
>
>- там есть re-xauth disable;
здесь я вас не понял вы предлагаете нафиг на пиксе отключить аутентификацию? если да то задача как раз обратная заставить ее работать.
>да вообще, пройдитесь по
>
>http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/prod_c...
>
>там много интересного есть.
первый документ читал и он мне очень помог с 871, там написано, в разделе где проверь себя при настройке xauth interactive должен выдать предложение логин пароля, куда выдать? на консоль? не разу невидел ни на сериальной ни на телнете.
однако pix у меня 515 6.3 только счас заметил, что тему ограничитель обкусил :( отличия от 7 очень (радикально) сильные
со второй ссылкой там есть в чем поковырять,
тут возникла нежданно негадонно еще проблема 871 не поднимает тунель при перезагрузке пикса!!! пока не пройдет idletime как заставить его пользовать на isakmp соединении alive пакеты?
Похоже, Вы запутались в методах аутентификации. Софтварный клиент использует (обычно) xauth - eXtended Authentification - расширенную аутентификацию с вводом (интерактивным)имени/пароля.
Если так настраивать роутер (и, соответственно - PIX), то на консоли роутера при ручном поднятии туннеля должен быть тот самый запрос (если и PIX настроен соотв. орбразом).
Вам нужен, если я правильно понимаю, Site-to-Site VPN - а это немного по другому :)) И без xauth.>> еще проблема 871 не поднимает тунель при перезагрузке пикса
Почитайте (поищите) про Dead Peer Detection.
И в общем случае, если все настроено нормально, то при попытке доступа клиента из сети за роутером в сеть за пиксом туннель (Site-to-Site VPN)поднимается за пару секунд.
>Похоже, Вы запутались в методах аутентификации. Софтварный клиент использует (обычно) xauth -
>eXtended Authentification - расширенную аутентификацию с вводом (интерактивным)имени/пароля.
именно?
>Если так настраивать роутер (и, соответственно - PIX), то на консоли роутера
>при ручном поднятии туннеля должен быть тот самый запрос (если и
>PIX настроен соотв. орбразом).
настроена. в мануале написано: после того как вы сконфигурили оба девайса тунель попытается подняться автоматически и на терминале вы увидите xauth запрос, после ручного ввода имени ипароля все запустится.
не вижу запроса:(
как поднимать в ручную я еще не освоил занимаюсь с цисками 2 недели :( из которых три читаю cisco.com...
>Вам нужен, если я правильно понимаю, Site-to-Site VPN - а это немного
>по другому :)) И без xauth.
тоесть xauth в режиме network-extension не работает? тогда зачем нужены параметры
username USERNAME password PASSWORD
xauth userid mode local
>
>>> еще проблема 871 не поднимает тунель при перезагрузке пикса
>Почитайте (поищите) про Dead Peer Detection.
>И в общем случае, если все настроено нормально, то при попытке доступа
>клиента из сети за роутером в сеть за пиксом туннель (Site-to-Site
>VPN)поднимается за пару секунд.
незнаю изза чего начал оживать после пары перезагрузок... ничего не понимаю...
>тоесть xauth в режиме network-extension не работает? тогда зачем нужены параметры
>
>username USERNAME password PASSWORD
>xauth userid mode local
>>
да не нужен Вам xauth ! Еще раз - читайте про Site-to-Site VPN. И методы аутентификации.