Anticisco http://anticisco.ru/forum/ |
|
Что-то не понимаю по маршрутизации http://anticisco.ru/forum/viewtopic.php?f=2&t=10922 |
Страница 1 из 1 |
Автор: | MaxRAF [ 11 апр 2019, 06:28 ] |
Заголовок сообщения: | Что-то не понимаю по маршрутизации |
Всем привет. Центральная циска: Код: #sh ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is 31.2xxxxxx to network 0.0.0.0 D 192.168.8.0/24 [90/514560] via 10.1.123.8, 1d02h, Tunnel1 D 192.168.9.0/24 [90/514560] via 10.1.123.9, 4d17h, Tunnel1 D 192.168.10.0/24 [90/514560] via 10.1.123.10, 03:23:53, Tunnel1 172.16.0.0/24 is subnetted, 1 subnets C 172.16.100.0 is directly connected, Vlan1 D 192.168.4.0/24 [90/514560] via 10.1.123.4, 4d18h, Tunnel1 D 192.168.5.0/24 [90/514560] via 10.1.123.5, 23:37:43, Tunnel1 10.0.0.0/24 is subnetted, 3 subnets C 10.1.123.0 is directly connected, Tunnel1 C 10.3.123.0 is directly connected, Tunnel3 C 10.2.123.0 is directly connected, Tunnel2 D 192.168.6.0/24 [90/514560] via 10.1.123.2, 4d18h, Tunnel1 D 192.168.7.0/24 [90/514560] via 10.1.123.7, 21:15:43, Tunnel1 31.0.0.0/29 is subnetted, 1 subnets C 31.xxxxxx is directly connected, GigabitEthernet0/0 D 192.168.3.0/24 [90/514560] via 10.1.123.3, 4d18h, Tunnel1 S* 0.0.0.0/0 [1/0] via 31.2xxxxxx Филиальная циска: Код: #sh ip route Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, + - replicated route Gateway of last resort is 0.0.0.0 to network 0.0.0.0 S* 0.0.0.0/0 is directly connected, Dialer1 10.0.0.0/8 is variably subnetted, 6 subnets, 3 masks D 10.1.123.0/24 [90/4096000] via 10.1.123.1, 4d17h, Tunnel0 C 10.1.123.0/27 is directly connected, Tunnel0 L 10.1.123.2/32 is directly connected, Tunnel0 D 10.2.123.0/24 [90/28160000] via 10.1.123.1, 4d17h, Tunnel0 C 10.2.123.0/27 is directly connected, Tunnel1 L 10.2.123.2/32 is directly connected, Tunnel1 86.xxxxxx/32 is subnetted, 2 subnets C 86.xxxxxx is directly connected, Dialer1 C 86.xxxxxx is directly connected, Dialer1 172.16.0.0/24 is subnetted, 1 subnets D 172.16.100.0 [90/3842560] via 10.1.123.1, 4d17h, Tunnel0 D 192.168.3.0/24 [90/4098560] via 10.1.123.3, 4d17h, Tunnel0 D 192.168.4.0/24 [90/4098560] via 10.1.123.4, 4d17h, Tunnel0 D 192.168.5.0/24 [90/4098560] via 10.1.123.5, 23:24:37, Tunnel0 192.168.6.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.6.0/24 is directly connected, Vlan1 L 192.168.6.1/32 is directly connected, Vlan1 D 192.168.7.0/24 [90/4098560] via 10.1.123.7, 21:02:37, Tunnel0 D 192.168.8.0/24 [90/4098560] via 10.1.123.8, 1d01h, Tunnel0 D 192.168.9.0/24 [90/4098560] via 10.1.123.9, 4d17h, Tunnel0 D 192.168.10.0/24 [90/4098560] via 10.1.123.10, 03:10:47, Tunnel0 В данном случае подключился к Cisco на адресе 192.168.6.1, от нее делаю пинг в сеть 172.16.100.0 и пакеты не доходят. Если же с компа, который подключен к этой Cisco (филиальной), то пинг в сеть 172.16.100.0 без проблем. ACL никаких нет. Не могу понять, что здесь не так? Маршрут ведь есть Код: D 172.16.100.0 [90/3842560] via 10.1.123.1, 4d17h, Tunnel0 |
Автор: | _2e_ [ 11 апр 2019, 07:31 ] |
Заголовок сообщения: | Re: Что-то не понимаю по маршрутизации |
в пинге сорс укажи |
Автор: | MaxRAF [ 12 апр 2019, 04:28 ] |
Заголовок сообщения: | Re: Что-то не понимаю по маршрутизации |
Мне не нужен пинг через сорс. Проблема вот в чем. Добавил вторую Cisco в сеть 172.16.100.0. Цель второй Cisco: DMVPN через сертификаты, так как сейчас на основной Cisco DMVPN по паролю. То есть на второй Cisco 172.16.100.3 настраиваю DMVPN + сервер сертификатов, далее на споках настраиваю отдельный туннель и IPSEC, получаю сертификаты с Cisco 172.16.100.3, удаляю все старые туннели и вывожу основную Cisco из продакшена. Так вот. Настроил Cisco 172.16.100.3 в качестве сервера сертификатов, настроил GRE-туннель и на споке. Туннель установлен. Затем на споке пытаюсь получить сертификат CA-сервера Код: spoke(config)# crypto pki authenticate hub и получаю ошибку Код: % Error in receiving Certificate Authority certificate: status = FAIL, cert length = 0 При этом, если делаю пинг через туннель, то все ок Код: SPOKE#ping hub-cnt-01 source tunnel 10 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.100.3, timeout is 2 seconds: Packet sent with a source address of 10.10.123.2 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 4/7/8 ms Но стоит сделать пинг без сорца, то пинга нет. Следовательно я предполагаю, что при запросе Код: [code]spoke(config)# crypto pki authenticate hub[/code] по умолчанию используется какой-то другой интерфейс. В общем прошу помочь понять причину. |
Автор: | Lomax [ 12 апр 2019, 12:38 ] |
Заголовок сообщения: | Re: Что-то не понимаю по маршрутизации |
Код: crypto pki trustpoint hub source interface tunnel 10 |
Автор: | MaxRAF [ 16 апр 2019, 07:45 ] |
Заголовок сообщения: | Re: Что-то не понимаю по маршрутизации |
Два раза пробовал с нуля поднимать сервер сертификатов, но как только применю на хабе на туннельном интерфейсе IPSEC профиль так сразу сыпятся сообщения Код: Apr 16 14:26:34: %CRYPTO-5-IKMP_INVAL_CERT: Certificate received from 82.xxxxxxxx is bad: unknown error returned in certificate validation КОНФИГ ХАБА: Код: ip domain name corp.хххххх.ru ip host hub-cnt-01 172.16.100.3 ip cef login block-for 60 attempts 3 within 30 login delay 5 no ipv6 cef ! ! flow record nbar-appmon match ipv4 source address match ipv4 destination address match application name collect interface output collect counter bytes collect counter packets collect timestamp absolute first collect timestamp absolute last ! ! flow monitor application-mon cache timeout active 60 record nbar-appmon ! multilink bundle-name authenticated ! ! ! password encryption aes ! crypto pki server hub-cnt-01 no database archive lifetime crl 24 ! crypto pki trustpoint hub-cnt-01 enrollment url http://hub-cnt-01:80 revocation-check crl rsakeypair hub-cnt-01 ! ! crypto pki certificate chain hub-cnt-01 certificate ca 01 30820308 308201F0 A0030201 02020101 300D0609 2A864886 F70D0101 04050030 15311330 11060355 0403130A 6875622D 636E742D 3031301E 170D3139 30343136 30343036 31315A17 0D323230 34313530 34303631 315A3015 31133011 06035504 03130A68 75622D63 6E742D30 31308201 22300D06 092A8648 86F70D01 01010500 0382010F 00308201 0A028201 0100B2EC 829492E6 32FB6C64 F71DEE67 969A2218 2B66CE27 D1BD8D38 E1FB4AE2 E60478E8 154EFB35 0BA42113 DED3ED16 16523EAC F3F27CDA DBAC878C 2A97067C 227CABC3 2DCCB12E 0C4BC910 7A1DEF72 27A0AD4E 569A3E8C 1ECE5139 48FA3B1F DABA1B1C 14F0C18B C4FC53F5 7BDCF97A 9C688D36 375D3CAC CC7AC6CA 70F80A8B 5679C93B EF1E7625 18DD61E1 31DA9A4D 588F397B DCC38353 97F76135 F9C8F42A 87C9B29C 48C58241 45ED7D19 05005971 B84A29BB A73FC6BA FAC71406 E5C71D8F 2A9AB0E1 71F9B613 0D1FBC16 FA97B002 33AF1808 E3FC491D 6090B4C9 2AEF4BB4 6D1ED04B 21949361 2423BAE8 112AB6B6 C6160D2F 1902AE66 2EA00DC9 222EA968 44210203 010001A3 63306130 0F060355 1D130101 FF040530 030101FF 300E0603 551D0F01 01FF0404 03020186 301F0603 551D2304 18301680 1480228C 72DAE978 6019B365 9C216678 27FA7408 F8301D06 03551D0E 04160414 80228C72 DAE97860 19B3659C 21667827 FA7408F8 300D0609 2A864886 F70D0101 04050003 82010100 5E72D608 2268AEC9 9BF33648 8D623EB5 F2866ECA 3DD91AF0 9AD3AF04 9B9C69E8 40E31627 2F660E17 E8BA9F60 1B095CEB 7F46F1D5 DB69C6BF A74AE60B ABC7AF79 272D1703 EF81DC03 52E53B19 CFC664A7 B3BCCDBD B3C7763A 78591EAF 3852A915 F9DD6733 71C12147 988108BC 52CE5EA1 36A2CCE3 DA16E3B2 4A2F5AA7 149C23B8 7A8E8655 6CDD0ED3 EA83D15F 7BB44A6C 43C2EE18 1938EF86 A81BF31D 9834872F 08ED5DEF F20C5570 870E204F 47517FDA 8647E6BE 0126B8E9 90B80D0E 58934ADB 9DB08BAA 87F8A9DE CAFD9F20 9C0786E9 9D41ADC2 F44F387D F8AF8EC1 4B18696E C3E2E8B9 EB1B114B 3B38B2E1 B168E735 4C8DDB91 F4995819 32E054CE 85EDEF35 quit license udi pid CISCO2911/K9 sn FHK1452F1Q6 ! object-group network local_cws_net ! object-group network local_lan_subnets any ! object-group network vpn_remote_subnets any ! username admin secret 5 ххххххх ! redundancy ! ! ! ! ! zone security LAN zone security WAN zone security VPN zone security DMZ ! ! crypto isakmp policy 10 encr aes 256 hash md5 ! ! crypto ipsec transform-set TRANS_SET esp-aes 256 esp-md5-hmac mode transport ! crypto ipsec profile IPSEC_PROF set transform-set TRANS_SET ! ! ! ! ! ! ! interface Tunnel10 ip address 10.10.10.1 255.255.255.0 no ip redirects ip mtu 1416 no ip next-hop-self eigrp 10 no ip split-horizon eigrp 10 ip nhrp authentication ххххххх ip nhrp network-id 10 ip nhrp redirect ip tcp adjust-mss 1360 tunnel source GigabitEthernet0/1 tunnel mode gre multipoint tunnel key 10 tunnel protection ipsec profile IPSEC_PROF ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 no ip address shutdown duplex auto speed auto ! interface GigabitEthernet0/1 ip address 31.ххххххх 255.255.255.248 duplex auto speed auto ! interface GigabitEthernet0/2 no ip address shutdown duplex auto speed auto ! interface BRI0/1/0 no ip address encapsulation hdlc shutdown ! interface FastEthernet0/0/0 no ip address ! interface FastEthernet0/0/1 no ip address ! interface FastEthernet0/0/2 no ip address ! interface FastEthernet0/0/3 no ip address ! interface Vlan1 ip address 172.16.200.1 255.255.255.0 ! ! ! router eigrp 10 network 10.10.10.0 0.0.0.255 network 172.16.200.0 0.0.0.255 ! ip forward-protocol nd ! ip http server no ip http secure-server ! ip route 0.0.0.0 0.0.0.0 31.ххххххххх ip ssh logging events ip ssh version 2 ! ip access-list extended nat-list permit ip object-group local_lan_subnets any ! ipv6 ioam timestamp ! ! ! ! ! control-plane ! ! vstack ! line con 0 logging synchronous login authentication local_access line aux 0 line 2 no activation-character no exec transport preferred none transport output lat pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 privilege level 15 logging synchronous login authentication local_access transport input ssh ! scheduler allocate 20000 1000 ntp update-calendar ntp server 91.206.16.3 ntp server 89.109.251.23 ntp server 88.212.196.95 ! end hub-cnt-01# КОНФИГ СПОКА Код: test#sh run Building configuration... Current configuration : 6580 bytes ! ! Last configuration change at 14:32:54 VLAT Tue Apr 16 2019 by admin ! NVRAM config last updated at 13:40:01 VLAT Tue Apr 16 2019 by admin ! NVRAM config last updated at 13:40:01 VLAT Tue Apr 16 2019 by admin version 15.1 service timestamps debug datetime localtime service timestamps log datetime localtime no service password-encryption ! hostname test ! boot-start-marker boot-end-marker ! ! ! aaa new-model ! ! aaa authentication login default local aaa authentication login local_access local aaa authorization exec default local ! ! ! ! ! aaa session-id common ! clock timezone VLAT 10 0 clock calendar-valid crypto pki token default removal timeout 0 ! crypto pki trustpoint hub-cnt-01 enrollment url http://hub-cnt-01:80 revocation-check crl ! ! crypto pki certificate chain hub-cnt-01 certificate 02 30820302 308201EA A0030201 02020102 300D0609 2A864886 F70D0101 05050030 15311330 11060355 0403130A 6875622D 636E742D 3031301E 170D3139 30343136 30343139 30355A17 0D323030 34313530 34313930 355A3023 3121301F 06092A86 4886F70D 01090216 12746573 742E636F 72702E76 69616E67 2E727530 82012230 0D06092A 864886F7 0D010101 05000382 010F0030 82010A02 82010100 AF80ABA1 F26EB8D8 8690C358 D5A28C5F 965054B0 F8D8D06A 6E9F6A34 84B28051 2B1368F2 FBBAB00A 3B26119E F67518DA 997615BA C77A435B 1F08E352 548A714D AE6D6A6B 96048255 3675FBF9 1AF77D98 2343C053 29F65C06 8A0D6506 0706193F FB1D793A 0493F838 E5A96486 A2F1F006 3AB48C2B 6F003B02 B4A0BACB 277F75A7 0AC62B0C 24F27C51 88FBC97E 8461B228 4CAB09E6 C319E80F 8B3F2CBD 137AE3A3 7CD87C6F 815B322E 286BCA61 871D3749 32AD00CC 348EC402 AE478A54 BA31770E 462DE2EB 0FE89967 2223DF45 19D13B57 855A6274 C867CFF5 D803E20D F4F9DB4D A9748EF0 B759C808 3A7C59AA 4F887013 F434B75C 6FA01DF8 98C0A8C4 3E3640D3 02030100 01A34F30 4D300B06 03551D0F 04040302 05A0301F 0603551D 23041830 16801480 228C72DA E9786019 B3659C21 667827FA 7408F830 1D060355 1D0E0416 041460F7 2B53BF03 56E188E5 30CCDBFE A59A1427 D440300D 06092A86 4886F70D 01010505 00038201 01009E18 C3BE75A1 0BB99410 CEA5EC2D 9C477D84 EF4CF690 2C63B6B4 E16ED6A5 F8B08828 CFEC52C9 3934473E 8E036CD8 1DFECED6 BA88161C C43726F7 D3736DED 566F5F15 AE7060CB EC6CB54A B52E954C 9DE7388B 2333B077 B0DE640D 631472C5 7317F01E 4C8E8372 A5B6EC03 2576D240 75CAAF90 B1DC5375 B317133D 30D2760B EF7F102A A0F8C41C B352EACC CCD3FC31 C3A5A5A1 B58E960E 4646FB78 98355702 96D47F31 382AE2A3 01A00A59 D133C16F 33D8EAED 0F220DCC D52CB184 F7826E3F 2B610AF3 D1B46B91 162ED326 5E5AA5E4 6EDE7E93 8DD2D07B 4129AE3B CE84691C D9F5C74C 05B16794 266DBE52 13FE4F17 83B509CC 812E0D2F 2AEE443E 9CCCCA1A A456 quit certificate ca 01 30820308 308201F0 A0030201 02020101 300D0609 2A864886 F70D0101 04050030 15311330 11060355 0403130A 6875622D 636E742D 3031301E 170D3139 30343136 30343036 31315A17 0D323230 34313530 34303631 315A3015 31133011 06035504 03130A68 75622D63 6E742D30 31308201 22300D06 092A8648 86F70D01 01010500 0382010F 00308201 0A028201 0100B2EC 829492E6 32FB6C64 F71DEE67 969A2218 2B66CE27 D1BD8D38 E1FB4AE2 E60478E8 154EFB35 0BA42113 DED3ED16 16523EAC F3F27CDA DBAC878C 2A97067C 227CABC3 2DCCB12E 0C4BC910 7A1DEF72 27A0AD4E 569A3E8C 1ECE5139 48FA3B1F DABA1B1C 14F0C18B C4FC53F5 7BDCF97A 9C688D36 375D3CAC CC7AC6CA 70F80A8B 5679C93B EF1E7625 18DD61E1 31DA9A4D 588F397B DCC38353 97F76135 F9C8F42A 87C9B29C 48C58241 45ED7D19 05005971 B84A29BB A73FC6BA FAC71406 E5C71D8F 2A9AB0E1 71F9B613 0D1FBC16 FA97B002 33AF1808 E3FC491D 6090B4C9 2AEF4BB4 6D1ED04B 21949361 2423BAE8 112AB6B6 C6160D2F 1902AE66 2EA00DC9 222EA968 44210203 010001A3 63306130 0F060355 1D130101 FF040530 030101FF 300E0603 551D0F01 01FF0404 03020186 301F0603 551D2304 18301680 1480228C 72DAE978 6019B365 9C216678 27FA7408 F8301D06 03551D0E 04160414 80228C72 DAE97860 19B3659C 21667827 FA7408F8 300D0609 2A864886 F70D0101 04050003 82010100 5E72D608 2268AEC9 9BF33648 8D623EB5 F2866ECA 3DD91AF0 9AD3AF04 9B9C69E8 40E31627 2F660E17 E8BA9F60 1B095CEB 7F46F1D5 DB69C6BF A74AE60B ABC7AF79 272D1703 EF81DC03 52E53B19 CFC664A7 B3BCCDBD B3C7763A 78591EAF 3852A915 F9DD6733 71C12147 988108BC 52CE5EA1 36A2CCE3 DA16E3B2 4A2F5AA7 149C23B8 7A8E8655 6CDD0ED3 EA83D15F 7BB44A6C 43C2EE18 1938EF86 A81BF31D 9834872F 08ED5DEF F20C5570 870E204F 47517FDA 8647E6BE 0126B8E9 90B80D0E 58934ADB 9DB08BAA 87F8A9DE CAFD9F20 9C0786E9 9D41ADC2 F44F387D F8AF8EC1 4B18696E C3E2E8B9 EB1B114B 3B38B2E1 B168E735 4C8DDB91 F4995819 32E054CE 85EDEF35 quit dot11 syslog ip source-route ! ! ! ! ! ip cef ip domain name corp.xxxxx.ru ip host hub-cnt-01 172.16.200.1 no ipv6 cef ! multilink bundle-name authenticated ! ! ! license udi pid CISCO1812-J/K9 sn FHK1148271A object-group service DENY_PORTS_IN tcp eq 22 tcp eq www tcp eq telnet ! ! ! ip ssh version 2 ! ! crypto isakmp policy 10 encr aes 256 hash md5 ! ! crypto ipsec transform-set TRANS_SET esp-aes 256 esp-md5-hmac mode transport ! crypto ipsec profile IPSEC_PROF set transform-set TRANS_SET ! ! ! ! ! ! interface Tunnel10 ip address 10.10.10.2 255.255.255.0 no ip redirects ip nhrp authentication ххххх ip nhrp map multicast 31.хххххх ip nhrp map 10.10.10.1 31.ххххх ip nhrp network-id 10 ip nhrp nhs 10.10.10.1 ip nhrp registration no-unique ip nhrp shortcut tunnel source FastEthernet0 tunnel mode gre multipoint tunnel key 10 tunnel protection ipsec profile IPSEC_PROF shared ! interface BRI0 no ip address encapsulation hdlc shutdown ! interface FastEthernet0 ip address 82.хххххх 255.255.255.240 duplex auto speed auto ! interface FastEthernet1 no ip address shutdown duplex auto speed auto ! interface FastEthernet2 no ip address ! interface FastEthernet3 no ip address ! interface FastEthernet4 no ip address ! interface FastEthernet5 no ip address ! interface FastEthernet6 no ip address ! interface FastEthernet7 no ip address ! interface FastEthernet8 no ip address ! interface FastEthernet9 no ip address ! interface Vlan1 ip address 192.168.40.1 255.255.255.0 ! ! router eigrp 10 network 10.10.10.0 0.0.0.255 network 192.168.40.0 ! ip forward-protocol nd no ip http server no ip http secure-server ! ! ip route 0.0.0.0 0.0.0.0 82.ххххххх ! ip access-list extended DENY_PORTS_IN deny object-group DENY_PORTS_IN any any ! ! ! ! ! ! ! ! ! control-plane ! ! ! line con 0 line aux 0 line vty 0 4 privilege level 15 logging synchronous transport input ssh ! ntp server 185.68.101.10 ntp server 172.16.100.11 ntp server 89.109.251.21 end test# НА ХАБЕ Код: hub-cnt-01#sh cry pki cert CA Certificate Status: Available Certificate Serial Number (hex): 01 Certificate Usage: Signature Issuer: cn=hub-cnt-01 Subject: cn=hub-cnt-01 Validity Date: start date: 14:06:11 GMT Apr 16 2019 end date: 14:06:11 GMT Apr 15 2022 Associated Trustpoints: hub-cnt-01 Storage: nvram:hub-cnt-01#1CA.cer Код: hub-cnt-01#show crypto pki server Certificate Server hub-cnt-01: Status: enabled State: enabled Server's configuration is locked (enter "shut" to unlock it) Issuer name: CN=hub-cnt-01 CA cert fingerprint: 16048B03 65336E61 F861E4D3 C953FA22 Granting mode is: manual Last certificate issued serial number (hex): 2 CA certificate expiration timer: 14:06:11 GMT Apr 15 2022 CRL NextUpdate timer: 20:06:12 GMT Apr 16 2019 Current primary storage dir: nvram: Database Level: Minimum - no cert data written to storage Код: hub-cnt-01#show crypto pki trustpoints Trustpoint hub-cnt-01: Subject Name: cn=hub-cnt-01 Serial Number (hex): 01 Certificate configured. SCEP URL: http://hub-cnt-01:80/cgi-bin Код: hub-cnt-01#show crypto pki trustpoints Trustpoint hub-cnt-01: Subject Name: cn=hub-cnt-01 Serial Number (hex): 01 Certificate configured. SCEP URL: http://hub-cnt-01:80/cgi-bin НА СПОКЕ Код: test#sh crypto pki certificates Certificate Status: Available Certificate Serial Number (hex): 02 Certificate Usage: General Purpose Issuer: cn=hub-cnt-01 Subject: Name: test.corp.xxxxx.ru hostname=test.corp.xxxxx.ru Validity Date: start date: 14:19:05 VLAT Apr 16 2019 end date: 14:19:05 VLAT Apr 15 2020 Associated Trustpoints: hub-cnt-01 Код: CA Certificate Status: Available Certificate Serial Number (hex): 01 Certificate Usage: Signature Issuer: cn=hub-cnt-01 Subject:, потом cn=hub-cnt-01 Validity Date: start date: 14:06:11 VLAT Apr 16 2019 end date: 14:06:11 VLAT Apr 15 2022 Associated Trustpoints: hub-cnt-01 Погуглил и нашел, что у одного время не было синхронизировано. Синхронизировал везде, сделал перевыпуск сертификата, потом вообще заново все создал, но проблема осталась Apr 16 14:43:05: %CRYPTO-5-IKMP_INVAL_CERT: Certificate received from 82.ххххххх is bad: unknown error returned in certificate validation Какие еще могут быть причины? |
Автор: | Lomax [ 16 апр 2019, 09:28 ] |
Заголовок сообщения: | Re: Что-то не понимаю по маршрутизации |
Отключите CRL |
Автор: | MaxRAF [ 17 апр 2019, 09:14 ] |
Заголовок сообщения: | Re: Что-то не понимаю по маршрутизации |
Lomax писал(а): Отключите CRL Большое спасибо. Теперь работает. |
Автор: | MaxRAF [ 18 апр 2019, 03:19 ] |
Заголовок сообщения: | Re: Что-то не понимаю по маршрутизации |
Не могли бы вы прокомментировать такую ситуацию? При установлении туннеля единоразово получаю сообщение на хаба и споке hub-cnt-01(config-if)# Apr 18 10:17:21: %PKI-3-SOCKETSELECT: Failed to select the socket. hub-cnt-01(config-if)# Apr 18 10:17:33: %DUAL-5-NBRCHANGE: EIGRP-IPv4 10: Neighbor 10.10.10.2 (Tunnel10) is up: new adjacency Тем не менее всё работает. |
Автор: | MaxRAF [ 18 апр 2019, 04:41 ] |
Заголовок сообщения: | Re: Что-то не понимаю по маршрутизации |
И еще с такой ситуацией столкнулся. Перезагружаю хаб. После перезагрузки Код: hub-cnt-01(config)#do sh cry pki server hub-cnt-01 Certificate Server hub-cnt-01: Status: disabled, Wait for CA certificate availability State: check failed Server's configuration is locked (enter "shut" to unlock it) Issuer name: CN=hub-cnt-01 CA cert fingerprint: -Not found- Granting mode is: manual Last certificate issued serial number (hex): 0 CA certificate expiration timer: 10:00:00 GMT Jan 1 1970 CRL not present. Current primary storage dir: nvram: Database Level: Minimum - no cert data written to storage Приходится входит в режим конфигурирования CA, делать Код: no shut |
Автор: | MaxRAF [ 18 апр 2019, 05:32 ] |
Заголовок сообщения: | Re: Что-то не понимаю по маршрутизации |
Это какой-то кошмар. Снова перезагрузил хаб. Далее пытаюсь включить CA, но... Код: hub-cnt-01(cs-server)#no shut % Certificate with issuer-name - CN=hub-cnt-01 already present. Choose another issuer-name. % CA Server not enabled В конфиге только этот сервер: Код: ! crypto pki server hub-cnt-01 no database archive lifetime crl 24 shutdown ! |
Автор: | MaxRAF [ 18 апр 2019, 10:37 ] |
Заголовок сообщения: | Re: Что-то не понимаю по маршрутизации |
Вот что удалось выяснить. CA перестает быть доступным из-за Код: hub-cnt-01#sh cry pki trustpoints Trustpoint hub-cnt-01: Trustpoint hub-cnt-01-enroll: Subject Name: cn=hub-cnt-01 Serial Number (hex): 01 Certificate configured. SCEP URL: http://hub-cnt-01:80/cgi-bin Удалил этот трастпоинт и CA без проблем включил. Отсюда вопрос. Как тогда правильно создать трастпоинт для хаба? |
Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |