https://www.solaris.opennet.ru/openforum/vsluhforumID6/22413.html Привет всем!<br><br>Возникла небольшая необходимость настроить cisco как ipsec шлюз для нескольких удаленных устройств. <br><br>В качестве устройства выступает точка доступа, которая из vpn имеет только ipsec, причем в силу своей специфики не понимает preshare keys, а только RSA certificates.<br><br>Если на прешаред я бы еще смог разобраться, на ключах, не могу понять порядок настройки.<br><br>Схема сети:<br><br>IP адреса WAN <br>Cisco: FE/0.5 - 10.154.0.1/24<br>AP: 10.154.0.2/24<br><br>Адреса LAN<br>cisco<br>cisco: 192.168.168.0/24<br>AP: 192.168.169.0/24<br><br><br>Что я смог сделать.<br><br>Создал на cisco собственный самоподписанный CA.<br>Экспортировал root CA и импортировал на точку доступа.<br>Сгенерировал на точке доступа запрос, импортировал его в cisco, заацептил, и загрузил обратно в точку подписанный сертификат. Точка сертификат приняла.<br>Создал на cisco сертификат и подписал его своим же, цисковским CA.<br><br>точка видит рутовый сертификат:<br>ID: CA-0 <br>Issuer name: /CN=ortr <br>Subject: /NC=ortr<br><br>и подписаный циской сертификат:<br>ID: 1<br>Issuer nam https://www.solaris.opennet.ru/openforum/vsluhforumID6/22413.html#1 Thu, 31 Mar 2011 14:37:28 GMT <br>Спасибо что вы есть! <br>Хоть пожаловаться есть кому... ;)<br><br>В общем решил пока уйти от rsa чтобы убедиться что у меня хоть чтото работает. Оказывается не очень работает.<br><br>С прешаред кейs, у меня первая фаза закочилась удачно. <br><br>---------------cut---<br><br>Mar 31 14:41:00.563: ISAKMP: Trying to insert a peer 10.154.0.1/10.154.0.2/500/, and inserted successfully 46583508.<br>Mar 31 14:41:00.563: ISAKMP:(0:1:SW:1):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH<br>Mar 31 14:41:00.563: ISAKMP:(0:1:SW:1):Old State = IKE_I_MM5 New State = IKE_I_MM6 <br><br>Mar 31 14:41:00.563: ISAKMP:(0:1:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE<br>Mar 31 14:41:00.563: ISAKMP:(0:1:SW:1):Old State = IKE_I_MM6 New State = IKE_I_MM6 <br><br>Mar 31 14:41:00.567: ISAKMP:(0:1:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE<br>Mar 31 14:41:00.567: ISAKMP:(0:1:SW:1):Old State = IKE_I_MM6 New State = IKE_P1_COMPLETE <br><br>Mar 31 14:41:00.567: ISAKMP:(0:1:SW:1):beginning Quick Mode exchange, M-ID of -1088245112<br>Mar 31 14:41:00.567: ISAKMP: