Имееться циска с настроенным VPN сервером. Клиенты подключаються к ней через виндовый Cisco VPN Client и поднимают тунель в локалку. Сейчас используеться Group Authentication по ключу. Нужно сделать Certificate Authentication. IOS (advsecurityk9-mz.124-18) позоляет. В цисках не очень силен, учусь пока... Если можно поподробнее... Что такое Mutual Group Authentication?
Куск конфиа:
crypto pki trustpoint TP-self-signed-3245455111
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3245455111
revocation-check none
rsakeypair TP-self-signed-3245455111
!
!
crypto pki certificate chain TP-self-signed-3245455111
certificate self-signed 01
30820246 308201AF A0030201 02020101 300D0609 2A864886 F70D0101 04050030
..........
B1746D7C 5D58028D 35D6
quit
!
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group _my_group
key _my_key
dns ***
wins ***
domain ***
pool myvpnpool
include-local-lan
crypto isakmp profile isakmp-profile-1
match identity group _my_key
virtual-template 1
!
crypto ipsec transform-set myvpnset esp-3des esp-md5-hmac
!
crypto ipsec profile ipsec-profile-1
set transform-set myvpnset
set isakmp-profile isakmp-profile-1
!
crypto dynamic-map mydynmap 10
set transform-set myvpnset
reverse-route
!
crypto map vpnmap client authentication list userauthen
crypto map vpnmap isakmp authorization list groupauthor
crypto map vpnmap client configuration address respond
crypto map vpnmap 10 ipsec-isakmp dynamic mydynmap
!
Воможно аудентификация с помощью eToken?