- ezvpn клиент 871 роутер нехочет аутентифицироваться на pix ...,
 Val, 17:00 , 25-Май-07 (1)>на 871 роутере
>crypto ipsec ezvpnclient vpn
> connect auto
> group vpngrp key passwdgrp
> mode network-extention
> peer 1.2.3.4
> username uservpn password pssswd
> xauth userid mode local
>
>софтварный клиент к пиксу цепляется и запрашивает имя пароль а этот замирает.
>если на пиксе убрать аутентификацию(no crypto map mymap client authentication LOCAL)
>тунель поднимается...
>в дебаге isakmp pix останавливается на запросе XAUTH_USER XAUTH_PASSWORD идальше пошли повторы
>запросов.
>в чем беда? crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key **** address *.*.*.* no-xauth
- ezvpn клиент 871 роутер нехочет аутентифицироваться на pix ..., shtopor, 14:34 , 26-Май-07 (2)
>crypto isakmp policy 1
> encr 3des
> authentication pre-share
> group 2
>crypto isakmp key **** address *.*.*.* no-xauth а что значит последняя строчка? отключить аутентификацию? хочется чтобы работала ... или я чегото не понимаю?
- ezvpn клиент 871 роутер нехочет аутентифицироваться на pix ..., Val, 22:14 , 29-Май-07 (3)
- ezvpn клиент 871 роутер нехочет аутентифицироваться на pix ..., shtopor, 23:21 , 30-Май-07 (4)
>>
>>>crypto isakmp policy 1
>>> encr 3des
>>> authentication pre-share
>>> group 2
>>>crypto isakmp key **** address *.*.*.* no-xauth
>>
>>а что значит последняя строчка? отключить аутентификацию? хочется чтобы работала ... или
>>я чегото не понимаю?
>
>Вообще, это из конфига 871 роутера, если он выступает сервером, а для
>пикса посмотрите http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...
>
>- там есть re-xauth disable;
здесь я вас не понял вы предлагаете нафиг на пиксе отключить аутентификацию? если да то задача как раз обратная заставить ее работать.
>да вообще, пройдитесь по
>
>http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/prod_c...
>
>там много интересного есть.
первый документ читал и он мне очень помог с 871, там написано, в разделе где проверь себя при настройке xauth interactive должен выдать предложение логин пароля, куда выдать? на консоль? не разу невидел ни на сериальной ни на телнете.
однако pix у меня 515 6.3 только счас заметил, что тему ограничитель обкусил :( отличия от 7 очень (радикально) сильные
со второй ссылкой там есть в чем поковырять,
тут возникла нежданно негадонно еще проблема 871 не поднимает тунель при перезагрузке пикса!!! пока не пройдет idletime как заставить его пользовать на isakmp соединении alive пакеты?
- ezvpn клиент 871 роутер нехочет аутентифицироваться на pix ..., Val, 18:04 , 31-Май-07 (5)
Похоже, Вы запутались в методах аутентификации. Софтварный клиент использует (обычно) xauth - eXtended Authentification - расширенную аутентификацию с вводом (интерактивным)имени/пароля.
Если так настраивать роутер (и, соответственно - PIX), то на консоли роутера при ручном поднятии туннеля должен быть тот самый запрос (если и PIX настроен соотв. орбразом).
Вам нужен, если я правильно понимаю, Site-to-Site VPN - а это немного по другому :)) И без xauth. >> еще проблема 871 не поднимает тунель при перезагрузке пикса
Почитайте (поищите) про Dead Peer Detection.
И в общем случае, если все настроено нормально, то при попытке доступа клиента из сети за роутером в сеть за пиксом туннель (Site-to-Site VPN)поднимается за пару секунд.
- ezvpn клиент 871 роутер нехочет аутентифицироваться на pix ..., shtopor, 18:37 , 31-Май-07 (6)
>Похоже, Вы запутались в методах аутентификации. Софтварный клиент использует (обычно) xauth -
>eXtended Authentification - расширенную аутентификацию с вводом (интерактивным)имени/пароля.
именно?
>Если так настраивать роутер (и, соответственно - PIX), то на консоли роутера
>при ручном поднятии туннеля должен быть тот самый запрос (если и
>PIX настроен соотв. орбразом).
настроена. в мануале написано: после того как вы сконфигурили оба девайса тунель попытается подняться автоматически и на терминале вы увидите xauth запрос, после ручного ввода имени ипароля все запустится.
не вижу запроса:(
как поднимать в ручную я еще не освоил занимаюсь с цисками 2 недели :( из которых три читаю cisco.com...
>Вам нужен, если я правильно понимаю, Site-to-Site VPN - а это немного
>по другому :)) И без xauth.
тоесть xauth в режиме network-extension не работает? тогда зачем нужены параметры
username USERNAME password PASSWORD
xauth userid mode local
>
>>> еще проблема 871 не поднимает тунель при перезагрузке пикса
>Почитайте (поищите) про Dead Peer Detection.
>И в общем случае, если все настроено нормально, то при попытке доступа
>клиента из сети за роутером в сеть за пиксом туннель (Site-to-Site
>VPN)поднимается за пару секунд.
незнаю изза чего начал оживать после пары перезагрузок... ничего не понимаю...
- ezvpn клиент 871 роутер нехочет аутентифицироваться на pix ..., Val, 18:50 , 31-Май-07 (7)
>тоесть xauth в режиме network-extension не работает? тогда зачем нужены параметры
>
>username USERNAME password PASSWORD
>xauth userid mode local
>>
да не нужен Вам xauth ! Еще раз - читайте про Site-to-Site VPN. И методы аутентификации.
|
Версия для распечатки
ezvpn клиент 871 роутер нехочет аутентифицироваться на pix 515, 
