Всем Здравствуйте!
Встала задача сделать remote access vpn на cisco 2921, так как лицензии на Anyconnect нету было принято решение сделать с использование ikev2 ipsec, использовал руководство от сюда
https://www.cisco.com/c/en/us/support/docs/security/flexvpn/115907-config-flexvpn-wcca-00.html, но возникли проблемы при попытки подключится вываливаются ошибки
Код:
Nov 15 16:28:22.864: IKEv2-ERROR:Optional profile description not updated in PSH
Nov 15 16:28:22.884: IKEv2-ERROR:IKEv2 responder - unsupported attrib unknown in cfg-req
Nov 15 16:28:22.884: IPSEC(ipsec_get_crypto_session_id):
Invalid Payload Id
Nov 15 16:28:22.888: insert of map into mapdb AVL failed, map + ace pair already exists on the mapdb
Nov 15 16:28:23.188: IPSEC(ipsec_get_crypto_session_id):
Invalid Payload Id
Сертификаты генирил с помощью Easy-RSA
Код:
crypto pki trustpoint IKEv2
enrollment pkcs12
fqdn gw-msk01.stsc.ru
subject-name C=RU, ST=Moscow,L=Moscow,O=STSC llc,OU=IT,CN=gw-msk01.stsc.ru/emailAddress=it@stsc.ru
revocation-check none
rsakeypair IKEv2
!
crypto pki certificate map win7_map 10
subject-name co ou = adm
!
crypto ikev2 authorization policy win7_author
pool mypool
!
crypto ikev2 proposal win7
encryption aes-cbc-256
integrity sha1
group 2
!
crypto ikev2 policy win7
proposal win7
!
!
crypto ikev2 profile win7-rsa
match certificate win7_map
identity local fqdn gw-msk01.stsc.ru
authentication remote rsa-sig
authentication local rsa-sig
pki trustpoint IKEv2
aaa authorization group cert list win7 win7_author
virtual-template 1
!
crypto ipsec transform-set aes256-sha1 esp-aes 256 esp-sha-hmac
mode tunnel
!
!
crypto ipsec profile win7_ikev2
set transform-set aes256-sha1
set ikev2-profile win7-rsa
!
interface Loopback0
ip address 172.16.0.50 255.255.255.0
!
interface Virtual-Template1 type tunnel
ip unnumbered Loopback0
tunnel mode ipsec ipv4
tunnel protection ipsec profile win7_ikev2
!
ip local pool mypool 172.16.0.101 172.16.0.250