Доброго дня всем.Ткните где можно почитать о настройке Easy VPN Server c аутентификацией не по паролю (этот метод работает замечательно), а по сертификатам. Пока что то как то мутно все...
Спасибо
> Доброго дня всем.
> Ткните где можно почитать о настройке Easy VPN Server c аутентификацией не
> по паролю (этот метод работает замечательно), а по сертификатам. Пока что
> то как то мутно все...
> Спасибопростой инструкции я тоже не нашел ... у меня заработало так:
1. конфигуришь trustpoint, аутентифицируешь ее (т.е. либо ставишь ее public certificate, либо fingerprint) и енроллишь маршрутизатор с этой tp (посылаешь запрос на сертификат для маршрутизатора, получаешь его и устанавливаешь). на практике мне проще оказалось сделать CA на openssl, сгенерить ключи, cert request, подписать его и все экспортировать в pkcs12-файл, который потом импортировать на маршрутизатор:
crypto pki trustpoint TP
crypto pki import TP pkcs12 ftp...про СА на openssl читал тут: http://www.flatmtn.com/article/setting-openssl-create-certif...
про cisco: http://www.cisco.com/en/US/docs/ios/sec_secure_connectivity/...2. в isakmp policy в качестве аутетификации должен быть выбран метод аутетификации rsa-sig (это дефолтный вариант)
3. конфигуришь certificate map для проверки полей присылаемого сертификата и выбора соотв. isakmp profile:
crypto pki certificate map certmap 10
subject-name co ou = ...
issuer-name co ...4. делаешь isakmp profile: нужно указать trustpoint, certificate map и группу для конфигурирования клиентов.
crypto isakmp profile certprofile
ca trust-point TP
match certificate certmap
isakmp authorization list vpngrp
client configuration group grp1
...все остальное как обычно:
crypto isakmp client configuration group grp1
...
crypto ipsec transform-set ...
crypto ipsec profile ...interface Virtual-Template1 type tunnel
...
tunnel mode ipsec ipv4
tunnel protection ipsec profile ...примерно так, сорри, если не очень внятно.
>[оверквотинг удален]
> все остальное как обычно:
> crypto isakmp client configuration group grp1
> ...
> crypto ipsec transform-set ...
> crypto ipsec profile ...
> interface Virtual-Template1 type tunnel
> ...
> tunnel mode ipsec ipv4
> tunnel protection ipsec profile ...
> примерно так, сорри, если не очень внятно.Спасибо. Буду разбираться. У меня по сертам все работает на ура по схеме site-to-site.