форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение		[ Отслеживать ]

"Easy VPN Server"	+/–
Сообщение от Алексей (??) on 21-Янв-11, 15:32
Доброго дня всем. Ткните где можно почитать о настройке Easy VPN Server c аутентификацией не по паролю (этот метод работает замечательно), а по сертификатам. Пока что то как то мутно все... Спасибо
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Easy VPN Server"	+/–
Сообщение от vasyag on 25-Янв-11, 12:48
> Доброго дня всем. > Ткните где можно почитать о настройке Easy VPN Server c аутентификацией не > по паролю (этот метод работает замечательно), а по сертификатам. Пока что > то как то мутно все... > Спасибо простой инструкции я тоже не нашел ... у меня заработало так: 1. конфигуришь trustpoint, аутентифицируешь ее (т.е. либо ставишь ее public certificate, либо fingerprint) и енроллишь маршрутизатор с этой tp (посылаешь запрос на сертификат для маршрутизатора, получаешь его и устанавливаешь). на практике мне проще оказалось сделать CA на openssl, сгенерить ключи, cert request, подписать его и все экспортировать в pkcs12-файл, который потом импортировать на маршрутизатор: crypto pki trustpoint TP crypto pki import TP pkcs12 ftp... про СА на openssl читал тут: http://www.flatmtn.com/article/setting-openssl-create-certif... про cisco: http://www.cisco.com/en/US/docs/ios/sec_secure_connectivity/... 2. в isakmp policy в качестве аутетификации должен быть выбран метод аутетификации rsa-sig (это дефолтный вариант) 3. конфигуришь certificate map для проверки полей присылаемого сертификата и выбора соотв. isakmp profile: crypto pki certificate map certmap 10 subject-name co ou = ... issuer-name co ... 4. делаешь isakmp profile: нужно указать trustpoint, certificate map и группу для конфигурирования клиентов. crypto isakmp profile certprofile    ca trust-point TP    match certificate certmap    isakmp authorization list vpngrp    client configuration group grp1    ... все остальное как обычно: crypto isakmp client configuration group grp1 ... crypto ipsec transform-set ... crypto ipsec profile ... interface Virtual-Template1 type tunnel ... tunnel mode ipsec ipv4 tunnel protection ipsec profile ... примерно так, сорри, если не очень внятно.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Easy VPN Server"	+/–
	Сообщение от Алексей (??) on 02-Фев-11, 10:48
	>[оверквотинг удален] > все остальное как обычно: > crypto isakmp client configuration group grp1 >  ... > crypto ipsec transform-set ... > crypto ipsec profile ... > interface Virtual-Template1 type tunnel >  ... >  tunnel mode ipsec ipv4 >  tunnel protection ipsec profile ... > примерно так, сорри, если не очень внятно. Спасибо. Буду разбираться. У меня по сертам все работает на ура по схеме site-to-site.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема