URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 22152
[ Назад ]

Исходное сообщение
"Easy VPN Server"
Отправлено Алексей , 21-Янв-11 15:32

Доброго дня всем.
Ткните где можно почитать о настройке Easy VPN Server c аутентификацией не по паролю (этот метод работает замечательно), а по сертификатам. Пока что то как то мутно все...
Спасибо

Содержание

Easy VPN Server,vasyag, 12:48 , 25-Янв-11
- Easy VPN Server,Алексей, 10:48 , 02-Фев-11

Сообщения в этом обсуждении

"Easy VPN Server"
Отправлено vasyag , 25-Янв-11 12:48

> Доброго дня всем.
> Ткните где можно почитать о настройке Easy VPN Server c аутентификацией не
> по паролю (этот метод работает замечательно), а по сертификатам. Пока что
> то как то мутно все...
> Спасибо
простой инструкции я тоже не нашел ... у меня заработало так:
1. конфигуришь trustpoint, аутентифицируешь ее (т.е. либо ставишь ее public certificate, либо fingerprint) и енроллишь маршрутизатор с этой tp (посылаешь запрос на сертификат для маршрутизатора, получаешь его и устанавливаешь). на практике мне проще оказалось сделать CA на openssl, сгенерить ключи, cert request, подписать его и все экспортировать в pkcs12-файл, который потом импортировать на маршрутизатор:
crypto pki trustpoint TP
crypto pki import TP pkcs12 ftp...
про СА на openssl читал тут: http://www.flatmtn.com/article/setting-openssl-create-certif...
про cisco: http://www.cisco.com/en/US/docs/ios/sec_secure_connectivity/...
2. в isakmp policy в качестве аутетификации должен быть выбран метод аутетификации rsa-sig (это дефолтный вариант)
3. конфигуришь certificate map для проверки полей присылаемого сертификата и выбора соотв. isakmp profile:
crypto pki certificate map certmap 10
subject-name co ou = ...
issuer-name co ...
4. делаешь isakmp profile: нужно указать trustpoint, certificate map и группу для конфигурирования клиентов.
crypto isakmp profile certprofile
   ca trust-point TP
   match certificate certmap
   isakmp authorization list vpngrp
   client configuration group grp1
   ...
все остальное как обычно:
crypto isakmp client configuration group grp1
...
crypto ipsec transform-set ...
crypto ipsec profile ...
interface Virtual-Template1 type tunnel
...
tunnel mode ipsec ipv4
tunnel protection ipsec profile ...
примерно так, сорри, если не очень внятно.

"Easy VPN Server"
Отправлено Алексей , 02-Фев-11 10:48

>[оверквотинг удален]
> все остальное как обычно:
> crypto isakmp client configuration group grp1
>  ...
> crypto ipsec transform-set ...
> crypto ipsec profile ...
> interface Virtual-Template1 type tunnel
>  ...
>  tunnel mode ipsec ipv4
>  tunnel protection ipsec profile ...
> примерно так, сорри, если не очень внятно.
Спасибо. Буду разбираться. У меня по сертам все работает на ура по схеме site-to-site.