- ezvpn клиент 871 роутер нехочет аутентифицироваться на pix ..., Val, 17:00 , 25-Май-07 (1)
>на 871 роутере >crypto ipsec ezvpnclient vpn > connect auto > group vpngrp key passwdgrp > mode network-extention > peer 1.2.3.4 > username uservpn password pssswd > xauth userid mode local > >софтварный клиент к пиксу цепляется и запрашивает имя пароль а этот замирает. >если на пиксе убрать аутентификацию(no crypto map mymap client authentication LOCAL) >тунель поднимается... >в дебаге isakmp pix останавливается на запросе XAUTH_USER XAUTH_PASSWORD идальше пошли повторы >запросов. >в чем беда? crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp key **** address *.*.*.* no-xauth
- ezvpn клиент 871 роутер нехочет аутентифицироваться на pix ..., shtopor, 14:34 , 26-Май-07 (2)
>crypto isakmp policy 1 > encr 3des > authentication pre-share > group 2 >crypto isakmp key **** address *.*.*.* no-xauth а что значит последняя строчка? отключить аутентификацию? хочется чтобы работала ... или я чегото не понимаю?
- ezvpn клиент 871 роутер нехочет аутентифицироваться на pix ..., Val, 22:14 , 29-Май-07 (3)
- ezvpn клиент 871 роутер нехочет аутентифицироваться на pix ..., shtopor, 23:21 , 30-Май-07 (4)
>> >>>crypto isakmp policy 1 >>> encr 3des >>> authentication pre-share >>> group 2 >>>crypto isakmp key **** address *.*.*.* no-xauth >> >>а что значит последняя строчка? отключить аутентификацию? хочется чтобы работала ... или >>я чегото не понимаю? > >Вообще, это из конфига 871 роутера, если он выступает сервером, а для >пикса посмотрите http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con... > >- там есть re-xauth disable; здесь я вас не понял вы предлагаете нафиг на пиксе отключить аутентификацию? если да то задача как раз обратная заставить ее работать. >да вообще, пройдитесь по > >http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/prod_c... > >там много интересного есть. первый документ читал и он мне очень помог с 871, там написано, в разделе где проверь себя при настройке xauth interactive должен выдать предложение логин пароля, куда выдать? на консоль? не разу невидел ни на сериальной ни на телнете. однако pix у меня 515 6.3 только счас заметил, что тему ограничитель обкусил :( отличия от 7 очень (радикально) сильные со второй ссылкой там есть в чем поковырять, тут возникла нежданно негадонно еще проблема 871 не поднимает тунель при перезагрузке пикса!!! пока не пройдет idletime как заставить его пользовать на isakmp соединении alive пакеты?
- ezvpn клиент 871 роутер нехочет аутентифицироваться на pix ..., Val, 18:04 , 31-Май-07 (5)
Похоже, Вы запутались в методах аутентификации. Софтварный клиент использует (обычно) xauth - eXtended Authentification - расширенную аутентификацию с вводом (интерактивным)имени/пароля. Если так настраивать роутер (и, соответственно - PIX), то на консоли роутера при ручном поднятии туннеля должен быть тот самый запрос (если и PIX настроен соотв. орбразом). Вам нужен, если я правильно понимаю, Site-to-Site VPN - а это немного по другому :)) И без xauth. >> еще проблема 871 не поднимает тунель при перезагрузке пикса Почитайте (поищите) про Dead Peer Detection. И в общем случае, если все настроено нормально, то при попытке доступа клиента из сети за роутером в сеть за пиксом туннель (Site-to-Site VPN)поднимается за пару секунд.
- ezvpn клиент 871 роутер нехочет аутентифицироваться на pix ..., shtopor, 18:37 , 31-Май-07 (6)
>Похоже, Вы запутались в методах аутентификации. Софтварный клиент использует (обычно) xauth - >eXtended Authentification - расширенную аутентификацию с вводом (интерактивным)имени/пароля. именно? >Если так настраивать роутер (и, соответственно - PIX), то на консоли роутера >при ручном поднятии туннеля должен быть тот самый запрос (если и >PIX настроен соотв. орбразом). настроена. в мануале написано: после того как вы сконфигурили оба девайса тунель попытается подняться автоматически и на терминале вы увидите xauth запрос, после ручного ввода имени ипароля все запустится. не вижу запроса:( как поднимать в ручную я еще не освоил занимаюсь с цисками 2 недели :( из которых три читаю cisco.com... >Вам нужен, если я правильно понимаю, Site-to-Site VPN - а это немного >по другому :)) И без xauth. тоесть xauth в режиме network-extension не работает? тогда зачем нужены параметры username USERNAME password PASSWORD xauth userid mode local > >>> еще проблема 871 не поднимает тунель при перезагрузке пикса >Почитайте (поищите) про Dead Peer Detection. >И в общем случае, если все настроено нормально, то при попытке доступа >клиента из сети за роутером в сеть за пиксом туннель (Site-to-Site >VPN)поднимается за пару секунд. незнаю изза чего начал оживать после пары перезагрузок... ничего не понимаю...
- ezvpn клиент 871 роутер нехочет аутентифицироваться на pix ..., Val, 18:50 , 31-Май-07 (7)
>тоесть xauth в режиме network-extension не работает? тогда зачем нужены параметры > >username USERNAME password PASSWORD >xauth userid mode local >> да не нужен Вам xauth ! Еще раз - читайте про Site-to-Site VPN. И методы аутентификации.
|