forum.opennet.ru - "Cisco VPN Client к Cisco EasyVPN server через rsa-sig" (3)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Cisco VPN Client к Cisco EasyVPN server через rsa-sig"

Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Cisco VPN Client к Cisco EasyVPN server через rsa-sig"	+/–
Сообщение от RockerMan (ok) on 20-Июн-12, 11:57
Доброго времени суток В цисках новичек, помогите плз разобраться с подключением Cisco VPN Client к EasyVPN на роутере c2801 с использованием сертификата. Через pre-share способ аутентификации работает, но надо по сертификатам чтобы работало. Примерно в какую сторону надо копать, ссылки может какие наводящие подскажете. VPN Client не получает сертификат от VPN сервера, в этом загвоздка. Не знаю как настроить сервер, чтобы он выдавал сертификат при подключении клиента через rsa-sig аутентификацию... Вот конфиг роутера --- version 12.3 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname c2801 ! boot-start-marker boot-end-marker ! enable secret 5 $1$GawZ$a1xodhe5YijfnqpQRkcME1 ! aaa new-model ! ! aaa authentication login default local aaa authentication login userauthen local aaa authorization exec default local aaa authorization network groupauthor local ! aaa session-id common ! resource policy ! clock timezone MSK 4 mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero ip cef ! ! no ip dhcp use vrf connected ! ! ip domain name domain.ru ip name-server <dns> no ip ips deny-action ips-interface ! no ftp-server write-enable ! voice-card 0 ! ! crypto pki server c2801 database archive pem password 7 1511021F07257A767B grant auto cdp-url http://123.123.123.1:80 # адрес для примера ! crypto pki trustpoint c2801 revocation-check crl rsakeypair c2801 ! ! crypto pki certificate chain c2801 certificate ca 01 308202FE 308201E6 A0030201 02020101 300D0609 2A864886 F70D0101 04050030 ... A329174C D12664F9 7461EC99 F82DF97D E0204EBD 1E10B4F4 B44C6EF8 323B88B3 F05E quit username qwerty privilege 15 secret 5 $1$SEJM$rbsBfMDd6evn9f6fAV8U31 ! ! crypto isakmp policy 3 encr 3des authentication pre-share group 2 crypto isakmp key cisco123 hostname 123.123.123.1 no crypto isakmp ccm ! crypto isakmp client configuration group vpngrp key cisco123 domain domain.ru pool vpnpool_1 acl 100 netmask 255.255.255.0 crypto isakmp profile vpnprofile match identity group vpngrp client authentication list userauthen isakmp authorization list groupauthor client configuration address respond virtual-template 1 ! ! crypto ipsec transform-set myset esp-3des esp-sha-hmac ! crypto ipsec profile cisco_profile1 set transform-set myset set isakmp-profile vpnprofile ! ! crypto dynamic-map dynmap 10 set transform-set myset reverse-route ! ! crypto map clientmap client authentication list userauthen crypto map clientmap isakmp authorization list groupauthor crypto map clientmap client configuration address respond crypto map clientmap 10 ipsec-isakmp dynamic dynmap ! ! interface FastEthernet0/0 no ip address duplex auto speed auto no cdp enable ! interface FastEthernet0/0.1 encapsulation dot1Q 100 ip address 123.123.123.1 255.255.255.0 # адрес для примера ip nat inside ip virtual-reassembly no snmp trap link-status no cdp enable crypto map clientmap ! interface FastEthernet0/1 ip address 10.10.10.10 255.255.255.0 # адрес для примера ip nat outside ip virtual-reassembly duplex auto speed auto no cdp enable ! interface Serial0/3/0 no ip address shutdown clockrate 2000000 ! interface Virtual-Template1 type tunnel ip unnumbered FastEthernet0/1 tunnel mode ipsec ipv4 tunnel protection ipsec profile cisco_profile1 ! ! ip local pool vpnpool_1 192.168.1.2 192.168.1.100 ip classless ip route 0.0.0.0 0.0.0.0 10.10.10.1 ip route 0.0.0.0 0.0.0.0 FastEthernet0/1 ! ! ip http server ip http authentication local ip http secure-server ip http timeout-policy idle 600 life 86400 requests 10000 ip nat inside source list 10 interface FastEthernet0/1 overload ! ! access-list 10 permit 192.168.0.0 0.0.255.255 access-list 100 permit ip 192.168.0.0 0.0.255.255 any no cdp run ! ! control-plane ! ! ! voice-port 0/2/0 ! voice-port 0/2/1 ! voice-port 0/2/2 ! voice-port 0/2/3 ! ! line con 0 line aux 0 line vty 0 4 privilege level 15 transport input telnet ssh ! ntp clock-period 17179760 ntp server 62.117.76.142 ntp server 88.147.255.85 end
Ответить \| Правка \| Cообщить модератору

Оглавление

Cisco VPN Client к Cisco EasyVPN server через rsa-sig, GolDi, 13:38 , 20-Июн-12, (1)

Cisco VPN Client к Cisco EasyVPN server через rsa-sig, RockerMan, 16:11 , 20-Июн-12, (2)

Cisco VPN Client к Cisco EasyVPN server через rsa-sig, RockerMan, 09:25 , 05-Июл-12, (3)

Сообщения по теме [Сортировка по времени | RSS]

1. "Cisco VPN Client к Cisco EasyVPN server через rsa-sig" +/–

Сообщение от GolDi (??) on 20-Июн-12, 13:38

>[оверквотинг удален]
> line con 0
> line aux 0
> line vty 0 4
>  privilege level 15
>  transport input telnet ssh
> !
> ntp clock-period 17179760
> ntp server 62.117.76.142
> ntp server 88.147.255.85
> end
Читайте
http://www.socialit.ru/vopros-otvet/vopros-otvet_148.html
http://www.cisco.com/en/US/docs/ios/12_2t/12_2t15/feature/gu...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Cisco VPN Client к Cisco EasyVPN server через rsa-sig" +/–

Сообщение от RockerMan (ok) on 20-Июн-12, 16:11

>>[оверквотинг удален]
> Читайте
> http://www.socialit.ru/vopros-otvet/vopros-otvet_148.html
> http://www.cisco.com/en/US/docs/ios/12_2t/12_2t15/feature/gu...
делал примерно так же:
с2801(config)#crypto key generate rsa general-keys label с2801 exportable
после того как сгенерировалась пара exportable ключей, делаю экспорт
с2801(config)#crypto key export rsa с2801 pem url nvram: 3des cisco123
с2801#show crypto key mypubkey rsa
показывает что ключ экспортирован в nvram, он там есть
Key name: c2801
Usage: General Purpose Key
Key is exportable.
Key Data:
потом
с2801 (config)#crypto pki trustpoint c2801 и там добавил
enrollment url http://123.123.123.1:80
revocation-check crl
rsakeypair c2801
потом

c2801(config)#crypto pki server c2801, и в нем
grant auto
lifetime crl 336
lifetime certificate 1825
lifetime ca-certificate 1825
cdp-url http://123.123.123.1
no shut
exit
На Cisco VPN Client меню Certificates-Enroll и заполняю поля:
CA URL*: http://123.123.123.1/cgi-bin/pkiclient.exe
CA Domain: domain.ru
Challenge Password: cisco123
Next
Name [CN]*: c2801
Enroll
Сертификат с2801 появляется в меню Certificates.
Как вот только теперь подключатся к VPN серверу? или VPN Client должен после получения сертификата автоматом подключиться?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Cisco VPN Client к Cisco EasyVPN server через rsa-sig" +/–

Сообщение от RockerMan (ok) on 05-Июл-12, 09:25

>>>[оверквотинг удален]
Вопрос решился
Создал еще один trustpoint, для enroll сертификата, вдобавок к trustpoint самого СА сервера, потом проблема была в "длине" генерируемого ключа, он соотносится с группой, я не знал об этом. Генерил ключевую пару с длиной 2048, а группу ставил в политике group 2, а надо было group 5, group 2 для длины ключевой пары 1024. Потом не проходила вторая фаза IKE пока не поставил crypto isakmp identity dn вместо crypto isakmp identity hostname.
вот конфиг рутера, может пригодится кому:

Building configuration...
Current configuration : 10201 bytes
!
!
version 12.3
service timestamps debug datetime localtime
service timestamps log datetime msec
no service password-encryption
!
hostname c2801
!
boot-start-marker
boot-end-marker
!
logging buffered 52000 debugging
enable secret 5 $1$GawZ$a1xohwc5YijfnqpQRkcME1
!
aaa new-model
!
!
aaa authentication login vpnauth local
aaa authorization network vpngroup local
!
aaa session-id common
!
resource policy
!
clock timezone MSK 4
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
ip cef
!
!
no ip dhcp use vrf connected
!
!
ip domain name domain.ru
ip host c2801.domain.ru 123.123.123.1 # для примера
ip name-server 123.123.123.1
no ip ips deny-action ips-interface
!
no ftp-server write-enable
!
voice-card 0
!
!
!
crypto pki server c2801ca
database archive pem password 7 1511021F07257A767B
issuer-name OU=domain, CN=c2801, C=ru
grant auto
lifetime crl 336
lifetime certificate 1825
lifetime ca-certificate 1825
lifetime enrollment-request 1000
!
!
crypto pki trustpoint c2801ca
revocation-check crl
rsakeypair c2801ca
!
crypto pki trustpoint c2801rsa
enrollment url http://123.123.123.1:80
serial-number none
fqdn none
ip-address 123.123.123.1
password
subject-name OU=domain, CN=c2801, C=ru
revocation-check none
rsakeypair c2801rsa
auto-enroll
!
!
crypto pki certificate chain c2801ca
certificate ca 01
  30820237 308201A0 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
...
  13C12B35 87BE2B21 29FBBFAF 9EE66120 393295F5 1EDF51C0 E0D1D6
  quit
crypto pki certificate chain c2801rsa
certificate 03
  30820244 308201AD A0030201 02020103 300D0609 2A864886 F70D0101 04050030
...
  B00DC174 31A90888
  quit
certificate 02
  30820244 308201AD A0030201 02020102 300D0609 2A864886 F70D0101 04050030
...
  3FDAAA1F AA0133B7 DD3F6C9F A771644E BA1FD992 EB17055A 6C38D54D 2AC12975
  E72A5215 3629F9FB
  quit
certificate ca 01
  30820237 308201A0 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
...
  C9A84D62 7BBCA09D 3A2049C7 F9720E24 ED362A8A F9A70532 76A8C2A2 FD17D3D6
  13C12B35 87BE2B21 29FBBFAF 9EE66120 393295F5 1EDF51C0 E0D1D6
  quit
username asd privilege 15 secret 5 $1$SPVX$rbsBfd6evn9f6fAV8U31
username qwerty privilege 7 secret 5 $1$uQtR$OKrSAKxGRESjW6HtimJ/
!
!
!
crypto isakmp policy 3
encr aes 256
hash md5
group 2
crypto isakmp identity dn
crypto isakmp keepalive 120
no crypto isakmp ccm
crypto isakmp xauth timeout 15
!
crypto isakmp client configuration group domain
key cisco123
domain domain.ru
pool vpnpool
acl 100
pfs
crypto isakmp profile vpnprof
   match identity group domain
   client authentication list vpnauth
   isakmp authorization list vpngroup
   client configuration address respond
   virtual-template 1
!
!
crypto ipsec transform-set myset esp-aes 256 esp-md5-hmac
!
crypto ipsec profile myipsec
set security-association lifetime seconds 86400
set security-association idle-time 86400
set transform-set myset
set isakmp-profile vpnprof
!
!
!
crypto dynamic-map dynmap 1
set transform-set myset
reverse-route
!
!
!
crypto map mymap client authentication list vpnauth
crypto map mymap isakmp authorization list vpngroup
crypto map mymap client configuration address respond
crypto map mymap 1 ipsec-isakmp
set peer 123.123.123.85
set peer 123.123.123.142
set transform-set myset
set isakmp-profile vpnprof
match address 100
!
!
!
!
interface FastEthernet0/0
no ip address
duplex auto
speed auto
no cdp enable
!
interface FastEthernet0/0.1
encapsulation dot1Q 100
ip address 123.123.123.1 255.255.255.0
ip virtual-reassembly
no snmp trap link-status
no cdp enable
!
interface FastEthernet0/1
ip address 10.10.10.8 255.255.255.0
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
interface Serial0/3/0
no ip address
shutdown
clockrate 2000000
!
interface Virtual-Template1 type tunnel
ip unnumbered FastEthernet0/1
tunnel mode ipsec ipv4
tunnel protection ipsec profile myipsec
!
ip local pool vpnpool 192.168.1.1 192.168.1.100
ip classless
ip route 0.0.0.0 0.0.0.0 10.10.10.1
ip route 0.0.0.0 0.0.0.0 FastEthernet0/1
!
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 600 life 86400 requests 10000
!
access-list 100 remark ACL
access-list 100 permit ip any any
no cdp run
!
!
control-plane
!
!
voice-port 0/2/0
!
voice-port 0/2/1
!
voice-port 0/2/2
!
voice-port 0/2/3
!
!
!
line con 0
line aux 0
line vty 0 4
privilege level 15
transport input telnet ssh
!
ntp master 3
ntp update-calendar
ntp server 123.123.123.1
ntp server 123.123.123.1 source FastEthernet0/0 prefer
end

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Cisco VPN Client к Cisco EasyVPN server через rsa-sig"	+/–
Сообщение от GolDi (??) on 20-Июн-12, 13:38
>[оверквотинг удален] > line con 0 > line aux 0 > line vty 0 4 > privilege level 15 > transport input telnet ssh > ! > ntp clock-period 17179760 > ntp server 62.117.76.142 > ntp server 88.147.255.85 > end Читайте http://www.socialit.ru/vopros-otvet/vopros-otvet_148.html http://www.cisco.com/en/US/docs/ios/12_2t/12_2t15/feature/gu...
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Cisco VPN Client к Cisco EasyVPN server через rsa-sig"	+/–
	Сообщение от RockerMan (ok) on 20-Июн-12, 16:11
	>>[оверквотинг удален] > Читайте > http://www.socialit.ru/vopros-otvet/vopros-otvet_148.html > http://www.cisco.com/en/US/docs/ios/12_2t/12_2t15/feature/gu... делал примерно так же: с2801(config)#crypto key generate rsa general-keys label с2801 exportable после того как сгенерировалась пара exportable ключей, делаю экспорт с2801(config)#crypto key export rsa с2801 pem url nvram: 3des cisco123 с2801#show crypto key mypubkey rsa показывает что ключ экспортирован в nvram, он там есть Key name: c2801 Usage: General Purpose Key Key is exportable. Key Data: потом с2801 (config)#crypto pki trustpoint c2801 и там добавил enrollment url http://123.123.123.1:80 revocation-check crl rsakeypair c2801 потом c2801(config)#crypto pki server c2801, и в нем grant auto lifetime crl 336 lifetime certificate 1825 lifetime ca-certificate 1825 cdp-url http://123.123.123.1 no shut exit На Cisco VPN Client меню Certificates-Enroll и заполняю поля: CA URL: http://123.123.123.1/cgi-bin/pkiclient.exe CA Domain: domain.ru Challenge Password: cisco123 Next Name [CN]: c2801 Enroll Сертификат с2801 появляется в меню Certificates. Как вот только теперь подключатся к VPN серверу? или VPN Client должен после получения сертификата автоматом подключиться?
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Cisco VPN Client к Cisco EasyVPN server через rsa-sig"	+/–
	Сообщение от RockerMan (ok) on 05-Июл-12, 09:25
	>>>[оверквотинг удален] Вопрос решился Создал еще один trustpoint, для enroll сертификата, вдобавок к trustpoint самого СА сервера, потом проблема была в "длине" генерируемого ключа, он соотносится с группой, я не знал об этом. Генерил ключевую пару с длиной 2048, а группу ставил в политике group 2, а надо было group 5, group 2 для длины ключевой пары 1024. Потом не проходила вторая фаза IKE пока не поставил crypto isakmp identity dn вместо crypto isakmp identity hostname. вот конфиг рутера, может пригодится кому: Building configuration... Current configuration : 10201 bytes ! ! version 12.3 service timestamps debug datetime localtime service timestamps log datetime msec no service password-encryption ! hostname c2801 ! boot-start-marker boot-end-marker ! logging buffered 52000 debugging enable secret 5 $1$GawZ$a1xohwc5YijfnqpQRkcME1 ! aaa new-model ! ! aaa authentication login vpnauth local aaa authorization network vpngroup local ! aaa session-id common ! resource policy ! clock timezone MSK 4 mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero ip cef ! ! no ip dhcp use vrf connected ! ! ip domain name domain.ru ip host c2801.domain.ru 123.123.123.1 # для примера ip name-server 123.123.123.1 no ip ips deny-action ips-interface ! no ftp-server write-enable ! voice-card 0 ! ! ! crypto pki server c2801ca database archive pem password 7 1511021F07257A767B issuer-name OU=domain, CN=c2801, C=ru grant auto lifetime crl 336 lifetime certificate 1825 lifetime ca-certificate 1825 lifetime enrollment-request 1000 ! ! crypto pki trustpoint c2801ca revocation-check crl rsakeypair c2801ca ! crypto pki trustpoint c2801rsa enrollment url http://123.123.123.1:80 serial-number none fqdn none ip-address 123.123.123.1 password subject-name OU=domain, CN=c2801, C=ru revocation-check none rsakeypair c2801rsa auto-enroll ! ! crypto pki certificate chain c2801ca certificate ca 01 30820237 308201A0 A0030201 02020101 300D0609 2A864886 F70D0101 04050030 ... 13C12B35 87BE2B21 29FBBFAF 9EE66120 393295F5 1EDF51C0 E0D1D6 quit crypto pki certificate chain c2801rsa certificate 03 30820244 308201AD A0030201 02020103 300D0609 2A864886 F70D0101 04050030 ... B00DC174 31A90888 quit certificate 02 30820244 308201AD A0030201 02020102 300D0609 2A864886 F70D0101 04050030 ... 3FDAAA1F AA0133B7 DD3F6C9F A771644E BA1FD992 EB17055A 6C38D54D 2AC12975 E72A5215 3629F9FB quit certificate ca 01 30820237 308201A0 A0030201 02020101 300D0609 2A864886 F70D0101 04050030 ... C9A84D62 7BBCA09D 3A2049C7 F9720E24 ED362A8A F9A70532 76A8C2A2 FD17D3D6 13C12B35 87BE2B21 29FBBFAF 9EE66120 393295F5 1EDF51C0 E0D1D6 quit username asd privilege 15 secret 5 $1$SPVX$rbsBfd6evn9f6fAV8U31 username qwerty privilege 7 secret 5 $1$uQtR$OKrSAKxGRESjW6HtimJ/ ! ! ! crypto isakmp policy 3 encr aes 256 hash md5 group 2 crypto isakmp identity dn crypto isakmp keepalive 120 no crypto isakmp ccm crypto isakmp xauth timeout 15 ! crypto isakmp client configuration group domain key cisco123 domain domain.ru pool vpnpool acl 100 pfs crypto isakmp profile vpnprof match identity group domain client authentication list vpnauth isakmp authorization list vpngroup client configuration address respond virtual-template 1 ! ! crypto ipsec transform-set myset esp-aes 256 esp-md5-hmac ! crypto ipsec profile myipsec set security-association lifetime seconds 86400 set security-association idle-time 86400 set transform-set myset set isakmp-profile vpnprof ! ! ! crypto dynamic-map dynmap 1 set transform-set myset reverse-route ! ! ! crypto map mymap client authentication list vpnauth crypto map mymap isakmp authorization list vpngroup crypto map mymap client configuration address respond crypto map mymap 1 ipsec-isakmp set peer 123.123.123.85 set peer 123.123.123.142 set transform-set myset set isakmp-profile vpnprof match address 100 ! ! ! ! interface FastEthernet0/0 no ip address duplex auto speed auto no cdp enable ! interface FastEthernet0/0.1 encapsulation dot1Q 100 ip address 123.123.123.1 255.255.255.0 ip virtual-reassembly no snmp trap link-status no cdp enable ! interface FastEthernet0/1 ip address 10.10.10.8 255.255.255.0 ip virtual-reassembly duplex auto speed auto no cdp enable ! interface Serial0/3/0 no ip address shutdown clockrate 2000000 ! interface Virtual-Template1 type tunnel ip unnumbered FastEthernet0/1 tunnel mode ipsec ipv4 tunnel protection ipsec profile myipsec ! ip local pool vpnpool 192.168.1.1 192.168.1.100 ip classless ip route 0.0.0.0 0.0.0.0 10.10.10.1 ip route 0.0.0.0 0.0.0.0 FastEthernet0/1 ! ! ip http server ip http authentication local ip http secure-server ip http timeout-policy idle 600 life 86400 requests 10000 ! access-list 100 remark ACL access-list 100 permit ip any any no cdp run ! ! control-plane ! ! voice-port 0/2/0 ! voice-port 0/2/1 ! voice-port 0/2/2 ! voice-port 0/2/3 ! ! ! line con 0 line aux 0 line vty 0 4 privilege level 15 transport input telnet ssh ! ntp master 3 ntp update-calendar ntp server 123.123.123.1 ntp server 123.123.123.1 source FastEthernet0/0 prefer end
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору