Доброго времени сутокВ цисках новичек, помогите плз разобраться с подключением Cisco VPN Client к EasyVPN на роутере c2801 с использованием сертификата. Через pre-share способ аутентификации работает, но надо по сертификатам чтобы работало. Примерно в какую сторону надо копать, ссылки может какие наводящие подскажете. VPN Client не получает сертификат от VPN сервера, в этом загвоздка. Не знаю как настроить сервер, чтобы он выдавал сертификат при подключении клиента через rsa-sig аутентификацию...
Вот конфиг роутера
---
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname c2801
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$GawZ$a1xodhe5YijfnqpQRkcME1
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication login userauthen local
aaa authorization exec default local
aaa authorization network groupauthor local
!
aaa session-id common
!
resource policy
!
clock timezone MSK 4
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
ip cef
!
!
no ip dhcp use vrf connected
!
!
ip domain name domain.ru
ip name-server <dns>
no ip ips deny-action ips-interface
!
no ftp-server write-enable
!
voice-card 0
!
!
crypto pki server c2801
database archive pem password 7 1511021F07257A767B
grant auto
cdp-url http://123.123.123.1:80 # адрес для примера
!
crypto pki trustpoint c2801
revocation-check crl
rsakeypair c2801
!
!
crypto pki certificate chain c2801
certificate ca 01
308202FE 308201E6 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
...
A329174C D12664F9 7461EC99 F82DF97D E0204EBD 1E10B4F4 B44C6EF8 323B88B3 F05E
quit
username qwerty privilege 15 secret 5 $1$SEJM$rbsBfMDd6evn9f6fAV8U31
!
!
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
crypto isakmp key cisco123 hostname 123.123.123.1
no crypto isakmp ccm
!
crypto isakmp client configuration group vpngrp
key cisco123
domain domain.ru
pool vpnpool_1
acl 100
netmask 255.255.255.0
crypto isakmp profile vpnprofile
match identity group vpngrp
client authentication list userauthen
isakmp authorization list groupauthor
client configuration address respond
virtual-template 1
!
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac
!
crypto ipsec profile cisco_profile1
set transform-set myset
set isakmp-profile vpnprofile
!
!
crypto dynamic-map dynmap 10
set transform-set myset
reverse-route
!
!
crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
!
!
interface FastEthernet0/0
no ip address
duplex auto
speed auto
no cdp enable
!
interface FastEthernet0/0.1
encapsulation dot1Q 100
ip address 123.123.123.1 255.255.255.0 # адрес для примера
ip nat inside
ip virtual-reassembly
no snmp trap link-status
no cdp enable
crypto map clientmap
!
interface FastEthernet0/1
ip address 10.10.10.10 255.255.255.0 # адрес для примера
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
interface Serial0/3/0
no ip address
shutdown
clockrate 2000000
!
interface Virtual-Template1 type tunnel
ip unnumbered FastEthernet0/1
tunnel mode ipsec ipv4
tunnel protection ipsec profile cisco_profile1
!
!
ip local pool vpnpool_1 192.168.1.2 192.168.1.100
ip classless
ip route 0.0.0.0 0.0.0.0 10.10.10.1
ip route 0.0.0.0 0.0.0.0 FastEthernet0/1
!
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 600 life 86400 requests 10000
ip nat inside source list 10 interface FastEthernet0/1 overload
!
!
access-list 10 permit 192.168.0.0 0.0.255.255
access-list 100 permit ip 192.168.0.0 0.0.255.255 any
no cdp run
!
!
control-plane
!
!
!
voice-port 0/2/0
!
voice-port 0/2/1
!
voice-port 0/2/2
!
voice-port 0/2/3
!
!
line con 0
line aux 0
line vty 0 4
privilege level 15
transport input telnet ssh
!
ntp clock-period 17179760
ntp server 62.117.76.142
ntp server 88.147.255.85
end
>[оверквотинг удален]
> line con 0
> line aux 0
> line vty 0 4
> privilege level 15
> transport input telnet ssh
> !
> ntp clock-period 17179760
> ntp server 62.117.76.142
> ntp server 88.147.255.85
> endЧитайте
http://www.socialit.ru/vopros-otvet/vopros-otvet_148.html
http://www.cisco.com/en/US/docs/ios/12_2t/12_2t15/feature/gu...
>>[оверквотинг удален]
> Читайте
> http://www.socialit.ru/vopros-otvet/vopros-otvet_148.html
> http://www.cisco.com/en/US/docs/ios/12_2t/12_2t15/feature/gu...делал примерно так же:
с2801(config)#crypto key generate rsa general-keys label с2801 exportable
после того как сгенерировалась пара exportable ключей, делаю экспорт
с2801(config)#crypto key export rsa с2801 pem url nvram: 3des cisco123
с2801#show crypto key mypubkey rsa
показывает что ключ экспортирован в nvram, он там есть
Key name: c2801
Usage: General Purpose Key
Key is exportable.
Key Data:потом
с2801 (config)#crypto pki trustpoint c2801 и там добавил
enrollment url http://123.123.123.1:80
revocation-check crl
rsakeypair c2801потом
c2801(config)#crypto pki server c2801, и в нем
grant auto
lifetime crl 336
lifetime certificate 1825
lifetime ca-certificate 1825
cdp-url http://123.123.123.1
no shut
exitНа Cisco VPN Client меню Certificates-Enroll и заполняю поля:
CA URL*: http://123.123.123.1/cgi-bin/pkiclient.exe
CA Domain: domain.ru
Challenge Password: cisco123Next
Name [CN]*: c2801
Enroll
Сертификат с2801 появляется в меню Certificates.
Как вот только теперь подключатся к VPN серверу? или VPN Client должен после получения сертификата автоматом подключиться?
>>>[оверквотинг удален]Вопрос решился
Создал еще один trustpoint, для enroll сертификата, вдобавок к trustpoint самого СА сервера, потом проблема была в "длине" генерируемого ключа, он соотносится с группой, я не знал об этом. Генерил ключевую пару с длиной 2048, а группу ставил в политике group 2, а надо было group 5, group 2 для длины ключевой пары 1024. Потом не проходила вторая фаза IKE пока не поставил crypto isakmp identity dn вместо crypto isakmp identity hostname.вот конфиг рутера, может пригодится кому:
Building configuration...Current configuration : 10201 bytes
!
!
version 12.3
service timestamps debug datetime localtime
service timestamps log datetime msec
no service password-encryption
!
hostname c2801
!
boot-start-marker
boot-end-marker
!
logging buffered 52000 debugging
enable secret 5 $1$GawZ$a1xohwc5YijfnqpQRkcME1
!
aaa new-model
!
!
aaa authentication login vpnauth local
aaa authorization network vpngroup local
!
aaa session-id common
!
resource policy
!
clock timezone MSK 4
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
ip cef
!
!
no ip dhcp use vrf connected
!
!
ip domain name domain.ru
ip host c2801.domain.ru 123.123.123.1 # для примера
ip name-server 123.123.123.1
no ip ips deny-action ips-interface
!
no ftp-server write-enable
!
voice-card 0
!
!
!
crypto pki server c2801ca
database archive pem password 7 1511021F07257A767B
issuer-name OU=domain, CN=c2801, C=ru
grant auto
lifetime crl 336
lifetime certificate 1825
lifetime ca-certificate 1825
lifetime enrollment-request 1000
!
!
crypto pki trustpoint c2801ca
revocation-check crl
rsakeypair c2801ca
!
crypto pki trustpoint c2801rsa
enrollment url http://123.123.123.1:80
serial-number none
fqdn none
ip-address 123.123.123.1
password
subject-name OU=domain, CN=c2801, C=ru
revocation-check none
rsakeypair c2801rsa
auto-enroll
!
!
crypto pki certificate chain c2801ca
certificate ca 01
30820237 308201A0 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
...
13C12B35 87BE2B21 29FBBFAF 9EE66120 393295F5 1EDF51C0 E0D1D6
quit
crypto pki certificate chain c2801rsa
certificate 03
30820244 308201AD A0030201 02020103 300D0609 2A864886 F70D0101 04050030
...
B00DC174 31A90888
quit
certificate 02
30820244 308201AD A0030201 02020102 300D0609 2A864886 F70D0101 04050030
...
3FDAAA1F AA0133B7 DD3F6C9F A771644E BA1FD992 EB17055A 6C38D54D 2AC12975
E72A5215 3629F9FB
quit
certificate ca 01
30820237 308201A0 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
...
C9A84D62 7BBCA09D 3A2049C7 F9720E24 ED362A8A F9A70532 76A8C2A2 FD17D3D6
13C12B35 87BE2B21 29FBBFAF 9EE66120 393295F5 1EDF51C0 E0D1D6
quit
username asd privilege 15 secret 5 $1$SPVX$rbsBfd6evn9f6fAV8U31
username qwerty privilege 7 secret 5 $1$uQtR$OKrSAKxGRESjW6HtimJ/
!
!
!
crypto isakmp policy 3
encr aes 256
hash md5
group 2
crypto isakmp identity dn
crypto isakmp keepalive 120
no crypto isakmp ccm
crypto isakmp xauth timeout 15!
crypto isakmp client configuration group domain
key cisco123
domain domain.ru
pool vpnpool
acl 100
pfs
crypto isakmp profile vpnprof
match identity group domain
client authentication list vpnauth
isakmp authorization list vpngroup
client configuration address respond
virtual-template 1
!
!
crypto ipsec transform-set myset esp-aes 256 esp-md5-hmac
!
crypto ipsec profile myipsec
set security-association lifetime seconds 86400
set security-association idle-time 86400
set transform-set myset
set isakmp-profile vpnprof
!
!
!
crypto dynamic-map dynmap 1
set transform-set myset
reverse-route
!
!
!
crypto map mymap client authentication list vpnauth
crypto map mymap isakmp authorization list vpngroup
crypto map mymap client configuration address respond
crypto map mymap 1 ipsec-isakmp
set peer 123.123.123.85
set peer 123.123.123.142
set transform-set myset
set isakmp-profile vpnprof
match address 100!
!
!
!
interface FastEthernet0/0
no ip address
duplex auto
speed auto
no cdp enable
!
interface FastEthernet0/0.1
encapsulation dot1Q 100
ip address 123.123.123.1 255.255.255.0
ip virtual-reassembly
no snmp trap link-status
no cdp enable
!
interface FastEthernet0/1
ip address 10.10.10.8 255.255.255.0
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
interface Serial0/3/0
no ip address
shutdown
clockrate 2000000
!
interface Virtual-Template1 type tunnel
ip unnumbered FastEthernet0/1
tunnel mode ipsec ipv4
tunnel protection ipsec profile myipsec
!
ip local pool vpnpool 192.168.1.1 192.168.1.100
ip classless
ip route 0.0.0.0 0.0.0.0 10.10.10.1
ip route 0.0.0.0 0.0.0.0 FastEthernet0/1
!
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 600 life 86400 requests 10000
!
access-list 100 remark ACL
access-list 100 permit ip any any
no cdp run
!
!
control-plane
!
!
voice-port 0/2/0
!
voice-port 0/2/1
!
voice-port 0/2/2
!
voice-port 0/2/3
!
!
!
line con 0
line aux 0
line vty 0 4
privilege level 15
transport input telnet ssh
!
ntp master 3
ntp update-calendar
ntp server 123.123.123.1
ntp server 123.123.123.1 source FastEthernet0/0 prefer
end