The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Сервер сертификатов."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"Сервер сертификатов."  
Сообщение от teebot on 06-Июн-08, 16:31 
Здравствуйте.

Есть желание сделать, что бы IPSec работал через сертификаты а не через preshare key.
Для этого я хочу поднять на 2811 сервер сертификатов, а 871 что бы была клиентом. Очень может быть что просто не понимаю что делаю. Перечитал
http://www.cisco.com/en/US/docs/ios/security/configuration/g...
http://www.cisco.com/en/US/docs/ios/security/configuration/g...
http://www.cisco.com/en/US/docs/ios/security/configuration/g...

после чего на 2811 сотворил вот такое
crypto pki server с2811
grant auto rollover ca-cert
auto-rollover 25
!
crypto pki trustpoint с2811
revocation-check crl
rsakeypair с2811
!
!
crypto pki certificate chain с2811
certificate ca 01
  308201FF 30820168 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
  13311130 0F060355 04031308 67736D2D 636F7265 301E170D 30383036 30363131
  34373535 5A170D31 31303630 36313134 3735355A 30133111 300F0603 55040313
  0867736D 2D636F72 6530819F 300D0609 2A864886 F70D0101 01050003 818D0030
  81890281 8100DC11 BF556EEE 20E94F1F 29A50B0F 1712F086 FE945974 8D11D02E
  2F187964 83FD624F A3E2BF64 212EA2E8 C11CF2AC FC5AE0E7 808E8A30 835FA8C1
  393ECAB1 7AABFAD3 597AA036 447B40BE 7466E8FA 94440C9C 9950EC43 4395D606
  2971FC5F 7DA6D2C7 6C9B7E2E 699BCBC4 CC3C2EFB B746B7BF D38BF6A0 193DBE4D
  765D340B DED50203 010001A3 63306130 0F060355 1D130101 FF040530 030101FF
  300E0603 551D0F01 01FF0404 03020186 301F0603 551D2304 18301680 14945193
  0C7D0ECD 459A0B47 00CC121A 17A451AA B1301D06 03551D0E 04160414 9451930C
  7D0ECD45 9A0B4700 CC121A17 A451AAB1 300D0609 2A864886 F70D0101 04050003
  81810043 087526D4 B69A78AE 1A49C503 BA589C1C 5FE57BBE D06C716C CC56109C
  A866226B BA01C83F 1783B867 251BAFDA 8A831024 E4A09119 BDC8C169 AA4AE1E5
  F5F7272D E6CE3FBC 14362023 D6306563 EA614A90 C3846C1A 53F1864E 55545BEB
  23003657 3CDFAA43 11973431 C4CD6BC7 E013D2E6 CF4ECC27 0CF85985 66D43935 3A8824
  quit


sh crypto pki trustpoints status
Trustpoint с2811:
  Issuing CA certificate configured:
    Subject Name:
     cn=с2811
    Fingerprint MD5: AC15F9D3 5CFBBD39 D073B043 6BC24517
    Fingerprint SHA1: 868BD74E 84AE761E 146A5464 663744F1 D34F3424
  State:
    Keys generated ............. Yes (General Purpose, non-exportable)
    Issuing CA authenticated ....... Yes
    Certificate request(s) ..... None

#sh crypto pki server
Certificate Server с2811:
    Status: enabled
    State: enabled
    Server's configuration is locked  (enter "shut" to unlock it)
    Issuer name: CN=с2811
    CA cert fingerprint: AC15F9D3 5CFBBD39 D073B043 6BC24517
    Granting mode is: manual
    Last certificate issued serial number: 0x1
    CA certificate expiration timer: 14:47:55 EEST Jun 6 2011
    CRL NextUpdate timer: 20:47:56 EEST Jun 6 2008
    Current primary storage dir: nvram:
    Database Level: Minimum - no cert data written to storage
    Auto-Rollover configured, overlap period 25 days
    Autorollover timer: 14:47:54 EEST May 12 2011

#sh crypto key  mypubkey r
% Key pair was generated at: 14:47:52 EEST Jun 6 2008
Key name: с2811
Storage Device: not specified
Usage: General Purpose Key
Key is not exportable.
Key Data:
  30819F30 0D06092A 864886F7 0D010101 05000381 8D003081 89028181 00DC11BF
  556EEE20 E94F1F29 A50B0F17 12F086FE 9459748D 11D02E2F 18796483 FD624FA3
  E2BF6421 2EA2E8C1 1CF2ACFC 5AE0E780 8E8A3083 5FA8C139 3ECAB17A ABFAD359
  7AA03644 7B40BE74 66E8FA94 440C9C99 50EC4343 95D60629 71FC5F7D A6D2C76C
  9B7E2E69 9BCBC4CC 3C2EFBB7 46B7BFD3 8BF6A019 3DBE4D76 5D340BDE D5020301 0001
% Key pair was generated at: 14:47:53 EEST Jun 6 2008
Key name: с2811.server
Temporary key
Usage: Encryption Key
Key is not exportable.
Key Data:
  307C300D 06092A86 4886F70D 01010105 00036B00 30680261 00B75FBD F6FA398B
  B3C40F9A 200D1403 AB777423 EF7F2065 03BD09C3 F4565894 8C67A0B7 40656AF4
  D0F403EA 43B23B57 F09A54C2 8509283C 6992DB51 1474E21C 2DEE2E79 517A83A3
  4964533D 85C5B8F6 8CC30D80 C9EFFF29 B9C6940A 25AC8897 F5020301 0001


на 871 циске такое

crypto pki trustpoint 871k
enrollment retry period 10
enrollment url http://c2811:80
usage ike
query certificate
revocation-check crl
rsakeypair 817k
auto-enroll regenerate

(c2811 резолвится в ИП 192.168.1.2)

#sh crypto key m r
% Key pair was generated at: 00:12:58 UTC Mar 1 2002
Key name: TP-self-signed-2258430727
Storage Device: private-config
Usage: General Purpose Key
Key is not exportable.
Key Data:
  30819F30 0D06092A 864886F7 0D010101 05000381 8D003081 89028181 00C47EF2
  41BEC60B D566B99C 9EB99B7A 0009B42C 3778D8F4 0FCE9F38 8B481CEA A58C7770
  D54AF58A D1694754 70195CCA A0A72112 F75A8549 967F038B C3DC7DF2 BE3E3756
  41D09E4B 993AF5B7 9DB6BFCC 763C6E3F 5FE993E6 E47C7993 F0D7C07F 1BA1459A
  F8D16624 655FB3B7 A003F2DD D8391BFD 769CD6E5 36527579 12321212 07020301 0001
% Key pair was generated at: 04:37:18 UTC Mar 3 2002
Key name: 817k
Storage Device: not specified
Usage: General Purpose Key
Key is exportable.
Key Data:
  30819F30 0D06092A 864886F7 0D010101 05000381 8D003081 89028181 00A99CBC
  331CD671 6E964D3A 197009F6 245CB629 06EE7324 541FA502 0888A214 EAF2FB34
  CA25A6AE 2E9E939B 6213697C 3AB8E065 0791E0C7 4025AAFC 5B43FADD B143F0EA
  FDB9ED9C A1F1581A 2C6B5215 3A21A6C3 E61DE73A A4F7CD18 814427C4 739D4CC8
  8DC6FA2C E3CDB1B2 7D30D00D 7F2CE3E6 91B86D15 F7ABA394 115D6859 0F020301 0001
% Key pair was generated at: 04:53:30 UTC Mar 3 2002
Key name: TP-self-signed-2258430727.server
Temporary key
Usage: Encryption Key
Key is not exportable.
Key Data:
  307C300D 06092A86 4886F70D 01010105 00036B00 30680261 00FC4856 7083E8C7
  9C46D88E 804AD9CB C14BA0F2 E9F508BD F402BAB5 12C0F635 2AD343AD CAAB8F28
  0498084E B848C214 49AB2FF3 2DF48DEC C8FC4190 0DD7E56A 07723E98 BBAAC508
  3EC5A90D 4F09C054 C6BF4792 130357C8 BA41019C 6DD497D9 05020301 0001


#sh crypto pki trustpoints s
Trustpoint TP-self-signed-2258430727:
  Issuing CA certificate configured:
    Subject Name:
     cn=IOS-Self-Signed-Certificate-2258430727
    Fingerprint MD5: 0DBFBCF6 EAA09D73 4CD71244 1610D341
    Fingerprint SHA1: 3941D52D 4ADCCCDA 1A4169A1 18C20CCD 9B5A3C65
  Router General Purpose certificate configured:
    Subject Name:
     cn=IOS-Self-Signed-Certificate-2258430727
    Fingerprint MD5: 0DBFBCF6 EAA09D73 4CD71244 1610D341
    Fingerprint SHA1: 3941D52D 4ADCCCDA 1A4169A1 18C20CCD 9B5A3C65
  State:
    Keys generated ............. Yes (General Purpose, non-exportable)
    Issuing CA authenticated ....... Yes
    Certificate request(s) ..... None


Trustpoint 871k:
  Issuing CA certificate not configured.
  State:
    Keys generated ............. Yes (General Purpose, exportable)
    Issuing CA authenticated ....... No
    Certificate request(s) ..... None

(TP-self-signed-2258430727 сделано для SSH)

где я делаю глупость? если возможно помогите статейками (хочу понять все происходящее от а до я)
ну или на худой конец конфигом.

Зарание благодарен.

З.Ы. сейчас crypto map на интерфейсах отключены, обе циски видят друг-друга.

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Сервер сертификатов."  
Сообщение от ilya (ok) on 06-Июн-08, 16:43 
а вы CA сертификат получили ?
а "персональный" серитификат + его подписали на 2811?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Сервер сертификатов."  
Сообщение от teebot on 06-Июн-08, 17:18 
>а вы CA сертификат получили ?
>а "персональный" серитификат + его подписали на 2811?

помогите ссылочкой или растолкуйте.
судя по всему я ничегои з перечисленного не сделал.
в доке такого по-моему не было.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Сервер сертификатов."  
Сообщение от ilya (ok) on 06-Июн-08, 18:44 
>>а вы CA сертификат получили ?
>>а "персональный" серитификат + его подписали на 2811?
>
>помогите ссылочкой или растолкуйте.
>судя по всему я ничегои з перечисленного не сделал.
>в доке такого по-моему не было.

частично здесь
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...
#

Use the crypto ca authenticate cisco command (cisco is the trustpoint label) in order to retrieve the root certificate from the CA server:

    R2(config)#crypto ca authenticate cisco

#

Use the crypto ca enroll cisco command (cisco is the trustpoint label) in order to enroll and generate:

    R2(config)#crypto ca enroll cisco

после этого на 2811 вам нужно будет подписать сертификат
как то так (в доке на сервер это есть):
crypto pki server <> info req
crypto pki server <> gran #

и учтите что вам сертификаты для IPSEC нужно будет получать и на 2811 и на 870.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Сервер сертификатов."  
Сообщение от teebot on 06-Июн-08, 18:51 
>Use the crypto ca authenticate cisco command (cisco is the trustpoint label)
>in order to retrieve the root certificate from the CA server:
>
>
>    R2(config)#crypto ca authenticate cisco
>

я уже пробовал
% Error in receiving Certificate Authority certificate: status = FAIL, cert length = 0


>#
>
>Use the crypto ca enroll cisco command (cisco is the trustpoint label)
>in order to enroll and generate:
>
>    R2(config)#crypto ca enroll cisco
>

это не работает пока не не пройдет authenticate

>
>
>после этого на 2811 вам нужно будет подписать сертификат
>как то так (в доке на сервер это есть):
>crypto pki server <> info req
>crypto pki server <> gran #
>

там же вроди бы сервер настроен что делает все автоматчески

>и учтите что вам сертификаты для IPSEC нужно будет получать и на
>2811 и на 870.

вот тут я пытался создать еще один trustpoint на 2811, что бы сам сервер получил сертификат.
так после  crypto ca authenticate c2811

% Please delete your existing CA certificate first.
% You must use 'no crypto pki trustpoint <trustpoint-name>' to delete the CA certificate.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Сервер сертификатов."  
Сообщение от ilya (ok) on 07-Июн-08, 08:00 
>я уже пробовал
>% Error in receiving Certificate Authority certificate: status = FAIL, cert length
>= 0

смотреть дебаг почему не может получить сертификат
без полного конфига не понятно что у вас со списками доступа например.
или со временем на 871й.


>
>>    R2(config)#crypto ca enroll cisco
>>
>
>это не работает пока не не пройдет authenticate

угу.
>[оверквотинг удален]
>
>>и учтите что вам сертификаты для IPSEC нужно будет получать и на
>>2811 и на 870.
>
>вот тут я пытался создать еще один trustpoint на 2811, что бы
>сам сервер получил сертификат.
>так после  crypto ca authenticate c2811
>
>% Please delete your existing CA certificate first.
>% You must use 'no crypto pki trustpoint <trustpoint-name>' to delete the CA certificate.

да. правы. в такой конфигурации не нужно, обшибся.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Сервер сертификатов."  
Сообщение от teebot on 07-Июн-08, 10:40 
>смотреть дебаг почему не может получить сертификат
>без полного конфига не понятно что у вас со списками доступа например.
>
>или со временем на 871й.
>

со временем полный порядок. Я всетаки кое-что вынес из прочитанного. Настроил ntp, выставил часовую зону и т.д.
На 871 вообще нет списков доступа, на 2811 есть но я что-то не знаю в какую стороны смотреть какой порт искать...

>[оверквотинг удален]
>>>2811 и на 870.
>>
>>вот тут я пытался создать еще один trustpoint на 2811, что бы
>>сам сервер получил сертификат.
>>так после  crypto ca authenticate c2811
>>
>>% Please delete your existing CA certificate first.
>>% You must use 'no crypto pki trustpoint <trustpoint-name>' to delete the CA certificate.
>
>да. правы. в такой конфигурации не нужно, обшибся.

да не то что бы я прав, я просто попробовал  у меня полезла вот такая ошибка. я совсем не настаивал на том что кто-то ошибся :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Сервер сертификатов."  
Сообщение от teebot on 07-Июн-08, 11:14 
>>смотреть дебаг почему не может получить сертификат
>>без полного конфига не понятно что у вас со списками доступа например.
>>
>>или со временем на 871й.
>>
>
>со временем полный порядок. Я всетаки кое-что вынес из прочитанного. Настроил ntp,
>выставил часовую зону и т.д.
>На 871 вообще нет списков доступа, на 2811 есть но я что-то
>не знаю в какую стороны смотреть какой порт искать...

все верно!
действительно был акцес лист.
теперь 871 получает сертификаты :)
спасибо за своевременное вмешательство, потому что я уже начал зацикливаться и перестал видеть очевидные вещи.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Сервер сертификатов."  
Сообщение от teebot on 07-Июн-08, 13:20 
с сервером сертификатов все гуд, теперь вот ipsec не поднимается

Jun  7 12:17:00 192.168.1.2 69120: Jun  7 09:13:11.820: ISAKMP:(0): processing KE payload. message ID = 0
Jun  7 12:17:00 192.168.1.2 69121: Jun  7 09:13:11.876: ISAKMP:(0): processing NONCE payload. message ID = 0
Jun  7 12:17:00 192.168.1.2 69122: Jun  7 09:13:11.876: ISAKMP:(1093): processing CERT_REQ payload. message ID = 0
Jun  7 12:17:00 192.168.1.2 69123: Jun  7 09:13:11.880: ISAKMP:(1093): peer wants a CT_X509_SIGNATURE cert
Jun  7 12:17:00 192.168.1.2 69124: Jun  7 09:13:11.880: ISAKMP:(1093): peer wants cert issued by cn=c2811
Jun  7 12:17:00 192.168.1.2 69125: Jun  7 09:13:11.880: ISAKMP:(1093): issuer name is not a trusted root.

>>>>>>>>>я так понял проблема в этом месте<<<<<<<<<<<<<<<

Jun  7 12:17:00 192.168.1.2 69126: Jun  7 09:13:11.880: ISAKMP:(1093): processing vendor id payload
Jun  7 12:17:00 192.168.1.2 69127: Jun  7 09:13:11.880: ISAKMP:(1093): vendor ID is Unity
Jun  7 12:17:00 192.168.1.2 69128: Jun  7 09:13:11.880: ISAKMP:(1093): processing vendor id payload
Jun  7 12:17:00 192.168.1.2 69129: Jun  7 09:13:11.880: ISAKMP:(1093): vendor ID is DPD
Jun  7 12:17:00 192.168.1.2 69130: Jun  7 09:13:11.880: ISAKMP:(1093): processing vendor id payload
Jun  7 12:17:00 192.168.1.2 69131: Jun  7 09:13:11.880: ISAKMP:(1093): speaking to another IOS box!
Jun  7 12:17:00 192.168.1.2 69132: Jun  7 09:13:11.880: ISAKMP:(1093):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
Jun  7 12:17:00 192.168.1.2 69133: Jun  7 09:13:11.880: ISAKMP:(1093):Old State = IKE_I_MM4  New State = IKE_I_MM4
Jun  7 12:17:00 192.168.1.2 69134:
Jun  7 12:17:00 192.168.1.2 69135: Jun  7 09:13:11.884: ISAKMP:(1093):Send initial contact
Jun  7 12:17:00 192.168.1.2 69136: Jun  7 09:13:11.884: ISAKMP:(1093):Unable to get router cert or routerdoes not have a cert: needed to find D
N!

>>>>>>>>>єто скорее побочное от первой ошибки<<<<<<<<<<<<<<<

Jun  7 12:17:00 192.168.1.2 69137: Jun  7 09:13:11.884: ISAKMP:(1093):SA is doing RSA signature authentication using id type ID_IPV4_ADDR
Jun  7 12:17:00 192.168.1.2 69138: Jun  7 09:13:11.884: ISAKMP (0:1093): ID payload
Jun  7 12:17:00 192.168.1.2 69139:      next-payload : 6
Jun  7 12:17:00 192.168.1.2 69140:      type         : 1
Jun  7 12:17:00 192.168.1.2 69141:      address      : 192.168.1.2
Jun  7 12:17:00 192.168.1.2 69142:      protocol     : 17
Jun  7 12:17:00 192.168.1.2 69143:      port         : 500
Jun  7 12:17:00 192.168.1.2 69144:      length       : 12
Jun  7 12:17:00 192.168.1.2 69145: Jun  7 09:13:11.884: ISAKMP:(1093):Total payload length: 12
Jun  7 12:17:00 192.168.1.2 69146: Jun  7 09:13:11.884: ISAKMP:(1093): no valid cert found to return

>>>>>>>>>ну и вот<<<<<<<<<<<<<<<

Jun  7 12:17:00 192.168.1.2 69147: Jun  7 09:13:11.884: ISAKMP: set new node -1602224909 to QM_IDLE
Jun  7 12:17:00 192.168.1.2 69148: Jun  7 09:13:11.884: ISAKMP:(1093):Sending NOTIFY CERTIFICATE_UNAVAILABLE protocol 1
Jun  7 12:17:00 192.168.1.2 69149:      spi 0, message ID = -1602224909
Jun  7 12:17:00 192.168.1.2 69150: Jun  7 09:13:11.884: ISAKMP:(1093): sending packet to 192.168.1.33 my_port 500 peer_port 500 (I) MM_KEY_EXCH
Jun  7 12:17:00 192.168.1.2 69151: Jun  7 09:13:11.888: ISAKMP:(1093):purging node -1602224909
Jun  7 12:17:00 192.168.1.2 69152: Jun  7 09:13:11.888: ISAKMP (0:1093): FSM action returned error: 2
Jun  7 12:17:00 192.168.1.2 69153: Jun  7 09:13:11.888: ISAKMP:(1093):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
Jun  7 12:17:01 192.168.1.2 69154: Jun  7 09:13:11.888: ISAKMP:(1093):Old State = IKE_I_MM4  New State = IKE_I_MM5
Jun  7 12:17:01 192.168.1.2 69155:
Jun  7 12:17:10 192.168.1.2 69156: Jun  7 09:13:21.808: ISAKMP (0:1093): received packet from 192.168.1.33 dport 500 sport 500 Global (I) MM_KE
Y_EXCH
Jun  7 12:17:10 192.168.1.2 69157: Jun  7 09:13:21.812: ISAKMP:(1093): phase 1 packet is a duplicate of a previous packet.
Jun  7 12:17:10 192.168.1.2 69158: Jun  7 09:13:21.812: ISAKMP:(1093): retransmitting due to retransmit phase 1
Jun  7 12:17:10 192.168.1.2 69159: Jun  7 09:13:21.812: ISAKMP:(1093): no outgoing phase 1 packet to retransmit. MM_KEY_EXCH
Jun  7 12:17:20 192.168.1.2 69160: Jun  7 09:13:31.808: ISAKMP (0:1093): received packet from 192.168.1.33 dport 500 sport 500 Global (I) MM_KE
Y_EXCH
Jun  7 12:17:20 192.168.1.2 69161: Jun  7 09:13:31.808: ISAKMP:(1093): phase 1 packet is a duplicate of a previous packet.
Jun  7 12:17:20 192.168.1.2 69162: Jun  7 09:13:31.808: ISAKMP:(1093): retransmitting due to retransmit phase 1
Jun  7 12:17:20 192.168.1.2 69163: Jun  7 09:13:31.808: ISAKMP:(1093): no outgoing phase 1 packet to retransmit. MM_KEY_EXCH
Jun  7 12:17:29 192.168.1.2 69164: Jun  7 09:13:41.780: ISAKMP: set new node 0 to QM_IDLE
Jun  7 12:17:29 192.168.1.2 69165: Jun  7 09:13:41.780: ISAKMP:(1093):SA is still budding. Attached new ipsec request to it. (local 192.168.1.2
, remote 192.168.1.33)
Jun  7 12:17:29 192.168.1.2 69166: Jun  7 09:13:41.780: ISAKMP: Error while processing SA request: Failed to initialize SA
Jun  7 12:17:29 192.168.1.2 69167: Jun  7 09:13:41.780: ISAKMP: Error while processing KMI message 0, error 2.
Jun  7 12:17:29 192.168.1.2 69168: Jun  7 09:13:41.804: ISAKMP (0:1093): received packet from 192.168.1.33 dport 500 sport 500 Global (I) MM_KE
Y_EXCH
Jun  7 12:17:29 192.168.1.2 69169: Jun  7 09:13:41.804: ISAKMP:(1093): phase 1 packet is a duplicate of a previous packet.
Jun  7 12:17:29 192.168.1.2 69170: Jun  7 09:13:41.804: ISAKMP:(1093): retransmitting due to retransmit phase 1
Jun  7 12:17:30 192.168.1.2 69171: Jun  7 09:13:41.804: ISAKMP:(1093): no outgoing phase 1 packet to retransmit. MM_KEY_EXCH

пока что ума не приложу что ему надо

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Сервер сертификатов."  
Сообщение от teebot on 07-Июн-08, 13:22 
тоесть всетаки сервер тоже должен получить сертификат от самого себя и стать членом PKI
но как это сделать если:
#crypto ca authenticate c2811

% Please delete your existing CA certificate first.
% You must use 'no crypto pki trustpoint <trustpoint-name>' to delete the CA certificate.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Сервер сертификатов."  
Сообщение от ilya (??) on 07-Июн-08, 21:20 
>тоесть всетаки сервер тоже должен получить сертификат от самого себя и стать
>членом PKI
>но как это сделать если:
>#crypto ca authenticate c2811
>
>% Please delete your existing CA certificate first.
>% You must use 'no crypto pki trustpoint <trustpoint-name>' to delete the CA certificate.

а зачем вам са сертификат? сделайте енлолл.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Сервер сертификатов."  
Сообщение от teebot on 09-Июн-08, 10:02 
>а зачем вам са сертификат? сделайте енлолл.

crypto ca enroll с2811
% Trustpoint с2811 is used by the IOS CA. Manual enrollment not permitted.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Сервер сертификатов."  
Сообщение от ilya (ok) on 09-Июн-08, 10:23 
>>а зачем вам са сертификат? сделайте енлолл.
>
>crypto ca enroll с2811
>% Trustpoint с2811 is used by the IOS CA. Manual enrollment not
>permitted.

брр. погодите - сделайте отдельный трастпойнт. по аналогии с 870й.


crypto pki server CA
database level complete
issuer-name CN=CA-VPN,DC=****,DC=lan
lifetime crl 48
lifetime certificate 1095
lifetime ca-certificate 1825
cdp-url http://*********
database url flash:/CA/
!
crypto pki trustpoint CA
serial-number
revocation-check crl
rsakeypair CA-rsa-key
auto-enroll
!
crypto pki trustpoint CA-local
enrollment url http://local_ip:80
revocation-check none
!
CA-local у меня используется для IPSEC сертификатов.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Сервер сертификатов."  
Сообщение от teebot on 09-Июн-08, 10:46 
>[оверквотинг удален]
> serial-number
> revocation-check crl
> rsakeypair CA-rsa-key
> auto-enroll
>!
>crypto pki trustpoint CA-local
> enrollment url http://local_ip:80
> revocation-check none
>!
>CA-local у меня используется для IPSEC сертификатов.

мой пост номер 4
цитата:
---------------
вот тут я пытался создать еще один trustpoint на 2811, что бы сам сервер получил сертификат.
так после  crypto ca authenticate c2811

% Please delete your existing CA certificate first.
% You must use 'no crypto pki trustpoint <trustpoint-name>' to delete the CA certificate.
---------------

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Сервер сертификатов."  
Сообщение от teebot on 09-Июн-08, 10:49 
>crypto pki server CA
> issuer-name CN=CA-VPN,DC=****,DC=lan

это случайность или так и надо что сервер СА, а issuer-name CN=CA-VPN?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Сервер сертификатов."  
Сообщение от ilya (??) on 09-Июн-08, 17:54 
>>crypto pki server CA
>> issuer-name CN=CA-VPN,DC=****,DC=lan
>
>это случайность или так и надо что сервер СА, а issuer-name CN=CA-VPN?
>

да.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Сервер сертификатов."  
Сообщение от teebot on 09-Июн-08, 13:26 
последние новости такие.
сам роутер мне удалось зарегистрировать на сервере сертификатов
фишка была в том что при регистрации строка должна была выглядеть вот так
crypto ca auth CA-local, а не crypto ca auth с2811

crypto pki server c2811
grant auto
lifetime certificate 3
lifetime ca-certificate 1825
!
crypto pki trustpoint с2811
enrollment url http://с2811:80
revocation-check crl
rsakeypair с2811
!
crypto pki trustpoint CA-local
enrollment url http://192.168.1.2:80
serial-number
revocation-check none

теперь в логаз ipsec исчезли те ошибки которые были, зато появились другие, вот полный лог:


Jun  9 12:18:58 192.168.1.2 95534: Jun  9 09:15:08.386: ISAKMP:(1021):purging SA., sa=49E0E13C, delme=49E0E13C
Jun  9 12:18:58 192.168.1.2 95535: Jun  9 09:15:09.358: ISAKMP (0:0): received packet from 192.168.1.33 dport 500 sport 500 Global (N) NEW SA
Jun  9 12:18:58 192.168.1.2 95536: Jun  9 09:15:09.358: ISAKMP: Created a peer struct for 192.168.1.33, peer port 500
Jun  9 12:18:58 192.168.1.2 95537: Jun  9 09:15:09.358: ISAKMP: New peer created peer = 0x476B8514 peer_handle = 0x80001021
Jun  9 12:18:58 192.168.1.2 95538: Jun  9 09:15:09.362: ISAKMP: Locking peer struct 0x476B8514, refcount 1 for crypto_isakmp_process_block
Jun  9 12:18:58 192.168.1.2 95539: Jun  9 09:15:09.362: ISAKMP: local port 500, remote port 500
Jun  9 12:18:58 192.168.1.2 95540: Jun  9 09:15:09.362: ISAKMP: Find a dup sa in the avl tree during calling isadb_insert sa = 499C2A0C
Jun  9 12:18:58 192.168.1.2 95541: Jun  9 09:15:09.362: ISAKMP:(0):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
Jun  9 12:18:58 192.168.1.2 95542: Jun  9 09:15:09.362: ISAKMP:(0):Old State = IKE_READY  New State = IKE_R_MM1
Jun  9 12:18:58 192.168.1.2 95543:
Jun  9 12:18:58 192.168.1.2 95544: Jun  9 09:15:09.362: ISAKMP:(0): processing SA payload. message ID = 0
Jun  9 12:18:58 192.168.1.2 95545: Jun  9 09:15:09.362: ISAKMP:(0): processing vendor id payload
Jun  9 12:18:58 192.168.1.2 95546: Jun  9 09:15:09.362: ISAKMP:(0): vendor ID seems Unity/DPD but major 245 mismatch
Jun  9 12:18:58 192.168.1.2 95547: Jun  9 09:15:09.366: ISAKMP (0:0): vendor ID is NAT-T v7
Jun  9 12:18:58 192.168.1.2 95548: Jun  9 09:15:09.366: ISAKMP:(0): processing vendor id payload
Jun  9 12:18:58 192.168.1.2 95549: Jun  9 09:15:09.366: ISAKMP:(0): vendor ID seems Unity/DPD but major 157 mismatch
Jun  9 12:18:58 192.168.1.2 95550: Jun  9 09:15:09.366: ISAKMP:(0): vendor ID is NAT-T v3
Jun  9 12:18:58 192.168.1.2 95551: Jun  9 09:15:09.366: ISAKMP:(0): processing vendor id payload
Jun  9 12:18:58 192.168.1.2 95552: Jun  9 09:15:09.366: ISAKMP:(0): vendor ID seems Unity/DPD but major 123 mismatch
Jun  9 12:18:58 192.168.1.2 95553: Jun  9 09:15:09.366: ISAKMP:(0): vendor ID is NAT-T v2
Jun  9 12:18:58 192.168.1.2 95554: Jun  9 09:15:09.366: ISAKMP : Scanning profiles for xauth ...
Jun  9 12:18:58 192.168.1.2 95555: Jun  9 09:15:09.366: ISAKMP:(0):Checking ISAKMP transform 1 against priority 2 policy
Jun  9 12:18:58 192.168.1.2 95556: Jun  9 09:15:09.366: ISAKMP:      encryption 3DES-CBC
Jun  9 12:18:58 192.168.1.2 95557: Jun  9 09:15:09.366: ISAKMP:      hash MD5
Jun  9 12:18:58 192.168.1.2 95558: Jun  9 09:15:09.366: ISAKMP:      default group 2
Jun  9 12:18:58 192.168.1.2 95559: Jun  9 09:15:09.366: ISAKMP:      auth RSA sig
Jun  9 12:18:58 192.168.1.2 95560: Jun  9 09:15:09.366: ISAKMP:      life type in seconds
Jun  9 12:18:58 192.168.1.2 95561: Jun  9 09:15:09.366: ISAKMP:      life duration (VPI) of  0x0 0x1 0x51 0x80
Jun  9 12:18:58 192.168.1.2 95562: Jun  9 09:15:09.366: ISAKMP:(0):atts are acceptable. Next payload is 3
Jun  9 12:18:58 192.168.1.2 95563: Jun  9 09:15:09.366: ISAKMP:(0): processing vendor id payload
Jun  9 12:18:58 192.168.1.2 95564: Jun  9 09:15:09.366: ISAKMP:(0): vendor ID seems Unity/DPD but major 245 mismatch
Jun  9 12:18:58 192.168.1.2 95565: Jun  9 09:15:09.366: ISAKMP (0:0): vendor ID is NAT-T v7
Jun  9 12:18:58 192.168.1.2 95566: Jun  9 09:15:09.366: ISAKMP:(0): processing vendor id payload
Jun  9 12:18:58 192.168.1.2 95567: Jun  9 09:15:09.366: ISAKMP:(0): vendor ID seems Unity/DPD but major 157 mismatch
Jun  9 12:18:58 192.168.1.2 95568: Jun  9 09:15:09.366: ISAKMP:(0): vendor ID is NAT-T v3
Jun  9 12:18:58 192.168.1.2 95569: Jun  9 09:15:09.366: ISAKMP:(0): processing vendor id payload
Jun  9 12:18:58 192.168.1.2 95570: Jun  9 09:15:09.370: ISAKMP:(0): vendor ID seems Unity/DPD but major 123 mismatch
Jun  9 12:18:58 192.168.1.2 95571: Jun  9 09:15:09.370: ISAKMP:(0): vendor ID is NAT-T v2
Jun  9 12:18:58 192.168.1.2 95572: Jun  9 09:15:09.370: ISAKMP:(0):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
Jun  9 12:18:58 192.168.1.2 95573: Jun  9 09:15:09.370: ISAKMP:(0):Old State = IKE_R_MM1  New State = IKE_R_MM1
Jun  9 12:18:58 192.168.1.2 95574:
Jun  9 12:18:58 192.168.1.2 95575: Jun  9 09:15:09.374: ISAKMP:(0): constructed NAT-T vendor-07 ID
Jun  9 12:18:58 192.168.1.2 95576: Jun  9 09:15:09.374: ISAKMP:(0): sending packet to 192.168.1.33 my_port 500 peer_port 500 (R) MM_SA_SETUP
Jun  9 12:18:58 192.168.1.2 95577: Jun  9 09:15:09.374: ISAKMP:(0):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
Jun  9 12:18:59 192.168.1.2 95578: Jun  9 09:15:09.374: ISAKMP:(0):Old State = IKE_R_MM1  New State = IKE_R_MM2
Jun  9 12:18:59 192.168.1.2 95579:
Jun  9 12:18:59 192.168.1.2 95580: Jun  9 09:15:09.386: ISAKMP (0:0): received packet from 192.168.1.33 dport 500 sport 500 Global (R) MM_SA_SETUP
Jun  9 12:18:59 192.168.1.2 95581: Jun  9 09:15:09.386: ISAKMP:(0):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
Jun  9 12:18:59 192.168.1.2 95582: Jun  9 09:15:09.386: ISAKMP:(0):Old State = IKE_R_MM2  New State = IKE_R_MM3
Jun  9 12:18:59 192.168.1.2 95584: Jun  9 09:15:09.386: ISAKMP:(0): processing KE payload. message ID = 0
Jun  9 12:18:59 192.168.1.2 95585: Jun  9 09:15:09.458: ISAKMP:(0): processing NONCE payload. message ID = 0
Jun  9 12:18:59 192.168.1.2 95586: Jun  9 09:15:09.514: ISAKMP:(1023): processing CERT_REQ payload. message ID = 0
Jun  9 12:18:59 192.168.1.2 95587: Jun  9 09:15:09.514: ISAKMP:(1023): peer wants a CT_X509_SIGNATURE cert
Jun  9 12:18:59 192.168.1.2 95588: Jun  9 09:15:09.514: ISAKMP:(1023): peer wants cert issued by cn=c2811
Jun  9 12:18:59 192.168.1.2 95589: Jun  9 09:15:09.514:  Choosing trustpoint CA-local as issuer
Jun  9 12:18:59 192.168.1.2 95590: Jun  9 09:15:09.514: ISAKMP:(1023): processing vendor id payload
Jun  9 12:18:59 192.168.1.2 95591: Jun  9 09:15:09.514: ISAKMP:(1023): vendor ID is Unity
Jun  9 12:18:59 192.168.1.2 95592: Jun  9 09:15:09.514: ISAKMP:(1023): processing vendor id payload
Jun  9 12:18:59 192.168.1.2 95593: Jun  9 09:15:09.514: ISAKMP:(1023): vendor ID is DPD
Jun  9 12:18:59 192.168.1.2 95594: Jun  9 09:15:09.518: ISAKMP:(1023): processing vendor id payload
Jun  9 12:18:59 192.168.1.2 95595: Jun  9 09:15:09.518: ISAKMP:(1023): speaking to another IOS box!
Jun  9 12:18:59 192.168.1.2 95596: Jun  9 09:15:09.518: ISAKMP:(1023):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
Jun  9 12:18:59 192.168.1.2 95597: Jun  9 09:15:09.518: ISAKMP:(1023):Old State = IKE_R_MM3  New State = IKE_R_MM3
Jun  9 12:18:59 192.168.1.2 95598:
Jun  9 12:18:59 192.168.1.2 95599: Jun  9 09:15:09.518: ISAKMP (0:1023): constructing CERT_REQ for issuer cn=c2811
Jun  9 12:18:59 192.168.1.2 95600: Jun  9 09:15:09.522: ISAKMP:(1023): sending packet to 192.168.1.33 my_port 500 peer_port 500 (R) MM_KEY_EXCH
Jun  9 12:18:59 192.168.1.2 95601: Jun  9 09:15:09.522: ISAKMP:(1023):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
Jun  9 12:18:59 192.168.1.2 95602: Jun  9 09:15:09.522: ISAKMP:(1023):Old State = IKE_R_MM3  New State = IKE_R_MM4
Jun  9 12:18:59 192.168.1.2 95603:
Jun  9 12:18:59 192.168.1.2 95604: Jun  9 09:15:09.618: ISAKMP (0:1023): received packet from 192.168.1.33 dport 500 sport 500 Global (R) MM_KEY_EXCH
Jun  9 12:18:59 192.168.1.2 95605: Jun  9 09:15:09.622: ISAKMP:(1023):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
Jun  9 12:18:59 192.168.1.2 95606: Jun  9 09:15:09.622: ISAKMP:(1023):Old State = IKE_R_MM4  New State = IKE_R_MM5
Jun  9 12:18:59 192.168.1.2 95607:
Jun  9 12:18:59 192.168.1.2 95608: Jun  9 09:15:09.622: ISAKMP:(1023): processing ID payload. message ID = 0
Jun  9 12:18:59 192.168.1.2 95609: Jun  9 09:15:09.622: ISAKMP (0:1023): ID payload
Jun  9 12:18:59 192.168.1.2 95610:      next-payload : 6
Jun  9 12:18:59 192.168.1.2 95611:      type         : 2
Jun  9 12:18:59 192.168.1.2 95612:      FQDN name    : 871k.flowers.local
Jun  9 12:18:59 192.168.1.2 95613:
Jun  9 12:18:59 192.168.1.2 95614:      protocol     : 17
Jun  9 12:18:59 192.168.1.2 95615:      port         : 500
Jun  9 12:18:59 192.168.1.2 95616:      length       : 29
Jun  9 12:18:59 192.168.1.2 95617: Jun  9 09:15:09.622: ISAKMP:(0):: peer matches *none* of the profiles
>>>>>>>во-первых мне не нравится вот это ^^^^^^^^^^^^^^^^^^^^^^^^

Jun  9 12:18:59 192.168.1.2 95618: Jun  9 09:15:09.622: ISAKMP:(1023): processing CERT payload. message ID = 0
Jun  9 12:18:59 192.168.1.2 95619: Jun  9 09:15:09.622: ISAKMP:(1023): processing a CT_X509_SIGNATURE cert
Jun  9 12:18:59 192.168.1.2 95620: Jun  9 09:15:09.626: ISAKMP:(1023): peer's pubkey isn't cached
Jun  9 12:18:59 192.168.1.2 95621: Jun  9 09:15:09.638: ISAKMP:(1023): Unable to get DN from certificate!
>>>>>>>во-первых мне не нравится вот это ^^^^^^^^^^^^^^^^^^^^^^^^

Jun  9 12:18:59 192.168.1.2 95622: Jun  9 09:15:09.638: ISAKMP:(1023): Cert presented by peer contains no OU field.
Jun  9 12:18:59 192.168.1.2 95623: Jun  9 09:15:09.638: ISAKMP:(0):: peer matches *none* of the profiles
Jun  9 12:18:59 192.168.1.2 95624: Jun  9 09:15:09.638: ISAKMP:(1023): processing SIG payload. message ID = 0
Jun  9 12:18:59 192.168.1.2 95625: Jun  9 09:15:09.642: ISAKMP:(1023): processing NOTIFY INITIAL_CONTACT protocol 1
Jun  9 12:18:59 192.168.1.2 95626:      spi 0, message ID = 0, sa = 499C2A0C
Jun  9 12:18:59 192.168.1.2 95627: Jun  9 09:15:09.642: ISAKMP:(1023):SA authentication status:
Jun  9 12:18:59 192.168.1.2 95628:      authenticated
Jun  9 12:18:59 192.168.1.2 95629: Jun  9 09:15:09.642: ISAKMP:(1023):SA has been authenticated with 192.168.1.33
Jun  9 12:18:59 192.168.1.2 95630: Jun  9 09:15:09.642: ISAKMP:(1023):SA authentication status:
Jun  9 12:18:59 192.168.1.2 95631:      authenticated
Jun  9 12:18:59 192.168.1.2 95632: Jun  9 09:15:09.642: ISAKMP:(1023): Process initial contact,
Jun  9 12:18:59 192.168.1.2 95633: bring down existing phase 1 and 2 SA's with local 192.168.1.2 remote 192.168.1.33 remote port 500
Jun  9 12:18:59 192.168.1.2 95635: Jun  9 09:15:09.642: ISAKMP:(1023):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
Jun  9 12:18:59 192.168.1.2 95636: Jun  9 09:15:09.642: ISAKMP:(1023):Old State = IKE_R_MM5  New State = IKE_R_MM5
Jun  9 12:18:59 192.168.1.2 95638: Jun  9 09:15:09.650: ISAKMP:(1023):My ID configured as IPv4 Addr, but Addr not in Cert!
Jun  9 12:18:59 192.168.1.2 95639: Jun  9 09:15:09.650: ISAKMP:(1023):Using FQDN as My ID
Jun  9 12:18:59 192.168.1.2 95640: Jun  9 09:15:09.650: ISAKMP:(1023):SA is doing RSA signature authentication using id type ID_FQDN
Jun  9 12:18:59 192.168.1.2 95641: Jun  9 09:15:09.650: ISAKMP (0:1023): ID payload
Jun  9 12:18:59 192.168.1.2 95642:      next-payload : 6
Jun  9 12:18:59 192.168.1.2 95643:      type         : 2
Jun  9 12:18:59 192.168.1.2 95644:      FQDN name    : c2811.flowers.local
Jun  9 12:18:59 192.168.1.2 95645:      protocol     : 17
Jun  9 12:18:59 192.168.1.2 95646:      port         : 500
Jun  9 12:18:59 192.168.1.2 95647:      length       : 30
Jun  9 12:18:59 192.168.1.2 95648: Jun  9 09:15:09.650: ISAKMP:(1023):Total payload length: 30
Jun  9 12:18:59 192.168.1.2 95649: Jun  9 09:15:09.658: ISAKMP (0:1023): constructing CERT payload for serialNumber=FHK1117F16C+hostname=c2811.flowers.loc
al
Jun  9 12:18:59 192.168.1.2 95650: Jun  9 09:15:09.662: ISAKMP:(1023): using the CA-local trustpoint's keypair to sign
Jun  9 12:18:59 192.168.1.2 95651: Jun  9 09:15:09.686: ISAKMP:(1023): sending packet to 192.168.1.33 my_port 500 peer_port 500 (R) MM_KEY_EXCH
Jun  9 12:18:59 192.168.1.2 95652: Jun  9 09:15:09.686: ISAKMP: set new node 1733839686 to QM_IDLE
Jun  9 12:18:59 192.168.1.2 95653: Jun  9 09:15:09.686: ISAKMP:(1023):Sending NOTIFY RESPONDER_LIFETIME protocol 1
Jun  9 12:18:59 192.168.1.2 95654:      spi 1209941784, message ID = 1733839686
Jun  9 12:18:59 192.168.1.2 95655: Jun  9 09:15:09.686: ISAKMP:(1023): sending packet to 192.168.1.33 my_port 500 peer_port 500 (R) MM_KEY_EXCH
Jun  9 12:18:59 192.168.1.2 95656: Jun  9 09:15:09.686: ISAKMP:(1023):purging node 1733839686
Jun  9 12:18:59 192.168.1.2 95657: Jun  9 09:15:09.686: ISAKMP: Sending phase 1 responder lifetime 28800
Jun  9 12:18:59 192.168.1.2 95658:
Jun  9 12:18:59 192.168.1.2 95659: Jun  9 09:15:09.686: ISAKMP:(1023):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
Jun  9 12:18:59 192.168.1.2 95660: Jun  9 09:15:09.686: ISAKMP:(1023):Old State = IKE_R_MM5  New State = IKE_P1_COMPLETE
Jun  9 12:18:59 192.168.1.2 95661:
Jun  9 12:18:59 192.168.1.2 95662: Jun  9 09:15:09.694: ISAKMP:(1023):Input = IKE_MESG_INTERNAL, IKE_PHASE1_COMPLETE
Jun  9 12:18:59 192.168.1.2 95663: Jun  9 09:15:09.694: ISAKMP:(1023):Old State = IKE_P1_COMPLETE  New State = IKE_P1_COMPLETE
Jun  9 12:18:59 192.168.1.2 95664:
Jun  9 12:19:14 192.168.1.2 95665: Jun  9 09:15:24.470: ISAKMP: set new node 0 to QM_IDLE
Jun  9 12:19:14 192.168.1.2 95666: Jun  9 09:15:24.470: ISAKMP:(1023): sitting IDLE. Starting QM immediately (QM_IDLE      )
Jun  9 12:19:14 192.168.1.2 95667: Jun  9 09:15:24.470: ISAKMP:(1023):beginning Quick Mode exchange, M-ID of -1035258245
Jun  9 12:19:14 192.168.1.2 95668: Jun  9 09:15:24.470: ISAKMP:(1023):QM Initiator gets spi
Jun  9 12:19:14 192.168.1.2 95669: Jun  9 09:15:24.474: ISAKMP:(1023): sending packet to 192.168.1.33 my_port 500 peer_port 500 (R) QM_IDLE
Jun  9 12:19:14 192.168.1.2 95670: Jun  9 09:15:24.474: ISAKMP:(1023):Node -1035258245, Input = IKE_MESG_INTERNAL, IKE_INIT_QM
Jun  9 12:19:14 192.168.1.2 95671: Jun  9 09:15:24.474: ISAKMP:(1023):Old State = IKE_QM_READY  New State = IKE_QM_I_QM1
Jun  9 12:19:24 192.168.1.2 95672: Jun  9 09:15:34.474: ISAKMP:(1023): retransmitting phase 2 QM_IDLE       -1035258245 ...
>>>>>>>во-вторых вот это ^^^^^^^^^^^^^^^^^^^^^^^^

Jun  9 12:19:24 192.168.1.2 95673: Jun  9 09:15:34.474: ISAKMP (0:1023): incrementing error counter on node, attempt 1 of 5: retransmit phase 2
Jun  9 12:19:24 192.168.1.2 95674: Jun  9 09:15:34.474: ISAKMP (0:1023): incrementing error counter on sa, attempt 1 of 5: retransmit phase 2
Jun  9 12:19:24 192.168.1.2 95675: Jun  9 09:15:34.474: ISAKMP:(1023): retransmitting phase 2 -1035258245 QM_IDLE
Jun  9 12:19:24 192.168.1.2 95676: Jun  9 09:15:34.474: ISAKMP:(1023): sending packet to 192.168.1.33 my_port 500 peer_port 500 (R) QM_IDLE
Jun  9 12:19:28 192.168.1.2 95677: Jun  9 09:15:39.762: ISAKMP (0:1023): received packet from 192.168.1.33 dport 500 sport 500 Global (R) QM_IDLE
Jun  9 12:19:28 192.168.1.2 95678: Jun  9 09:15:39.762: ISAKMP: set new node 1939849356 to QM_IDLE
Jun  9 12:19:28 192.168.1.2 95679: Jun  9 09:15:39.762: ISAKMP: reserved not zero on HASH payload!
Jun  9 12:19:28 192.168.1.2 95680: Jun  9 09:15:39.762: %CRYPTO-4-IKMP_BAD_MESSAGE: IKE message from 192.168.1.33 failed its sanity check or is malformed
Jun  9 12:19:29 192.168.1.2 95681: Jun  9 09:15:39.762: ISAKMP:(1023):deleting node 1939849356 error TRUE reason "Invalid payload"
Jun  9 12:19:29 192.168.1.2 95682: Jun  9 09:15:40.762: ISAKMP (0:1023): received packet from 192.168.1.33 dport 500 sport 500 Global (R) QM_IDLE
Jun  9 12:19:29 192.168.1.2 95683: Jun  9 09:15:40.762: ISAKMP:(1023): phase 1 packet is a duplicate of a previous packet.
Jun  9 12:19:29 192.168.1.2 95684: Jun  9 09:15:40.762: ISAKMP:(1023): retransmitting due to retransmit phase 1
Jun  9 12:19:30 192.168.1.2 95685: Jun  9 09:15:41.266: ISAKMP:(1023): retransmitting phase 1 QM_IDLE      ...
Jun  9 12:19:30 192.168.1.2 95686: Jun  9 09:15:41.266: ISAKMP (0:1023): incrementing error counter on sa, attempt 2 of 5: retransmit phase 1
Jun  9 12:19:30 192.168.1.2 95687: Jun  9 09:15:41.266: ISAKMP:(1023): retransmitting phase 1 QM_IDLE
Jun  9 12:19:30 192.168.1.2 95688: Jun  9 09:15:41.270: ISAKMP:(1023): sending packet to 192.168.1.33 my_port 500 peer_port 500 (R) QM_IDLE
Jun  9 12:19:34 192.168.1.2 95689: Jun  9 09:15:44.474: ISAKMP:(1023): retransmitting phase 2 QM_IDLE       -1035258245 ...
Jun  9 12:19:34 192.168.1.2 95690: Jun  9 09:15:44.474: ISAKMP (0:1023): incrementing error counter on node, attempt 2 of 5: retransmit phase 2
Jun  9 12:19:34 192.168.1.2 95691: Jun  9 09:15:44.474: ISAKMP (0:1023): incrementing error counter on sa, attempt 3 of 5: retransmit phase 2
Jun  9 12:19:34 192.168.1.2 95692: Jun  9 09:15:44.474: ISAKMP:(1023): retransmitting phase 2 -1035258245 QM_IDLE

не знаю важно это или нет но крипто мапы у меня висят на тех интерфейсах на которых висит сервер и т.д. Может быть после включения криптомапов у меня пиры не могу договориться потому что ipsec не поднялся?


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Сервер сертификатов."  
Сообщение от teebot on 09-Июн-08, 15:21 
>не знаю важно это или нет но крипто мапы у меня висят
>на тех интерфейсах на которых висит сервер и т.д. Может быть
>после включения криптомапов у меня пиры не могу договориться потому что
>ipsec не поднялся?

я оказался прав после того как это недорозумение было иправлено тунел сразу заработал
спасибо ilya за участие.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру