Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 16:19



Ответить на тему  [ Сообщений: 8 ] 
IPSec на сертификататах 
Автор Сообщение

Зарегистрирован: 04 фев 2014, 08:17
Сообщения: 13
Доброго времени суток!

Прошу подсказать, куда копать. Возникла непонятная ситуация с построением туннелей на сертификатах. Схема следующая.

1.Головной офис имеет 2 точки подключения к интернету на 2 разных маршрутизаторах: 2911 (1) и 2811 (2).
2. Удалённые офисы (Cisco 851 или 857) подключаются к обоим маршрутизаторам через Tunnel 1 и Tunnel 2 соответственно.
3. Для динамической маршрутизации используется протокол RIP (другого на них нет) с приоритетом. Tunnel 1 основной, Tunnel 2 - если отвалится Tunnel 1.
4. На PRESHARED-KEY всё работает. Без каких либо проблем.

Возникло желание вместо preshared-key использовать сертификаты. Каждый маршрутизатор имеет белый IP-адрес, каждому маршрутизатору введено соответствие
его IP-адреса и домена из серии router1.domain.com. Сертификаты выпускались через сервис https://www.startssl.com/. Для генерации ключей и запросов на сертификаты
использовал следующую статью: http://anticisco.ru/forum/viewtopic.php ... 988#p66275

В итоге, что получилось. На маршрутизаторе 2811 все работает, на 2911 - нет. Дебаг 2911 указывает на то, что не проходит 1 фаза IKE.

Конфиг 2911

sh run
Код:
!
crypto pki trustpoint **.domain.ru
 enrollment terminal
 fqdn **.domain.ru
 revocation-check none
 rsakeypair **.domain.ru
!
crypto pki certificate chain **.domain.ru
--More--
!
crypto isakmp policy 1
 encr aes
 group 2
!
crypto ipsec transform-set AES128SHA esp-aes esp-sha-hmac
 mode transport
!
crypto ipsec profile AES128SHA
 set transform-set AES128SHA
 set pfs group2
!
interface Tunnel1
 description RT857W-***
 bandwidth 2000
 ip address 10.63.70.1 255.255.255.252
 ip mtu 1400
 ip tcp adjust-mss 1360
 tunnel source Dialer0
 tunnel destination ***
 tunnel path-mtu-discovery
 tunnel protection ipsec profile AES128SHA
!

sh crypto pki certificates
Код:
Certificate
  Status: Available
  Certificate Serial Number (hex): 70B7754CCF1D847D
  Certificate Usage: General Purpose
  Issuer:
    cn=StartCom BR SSL ICA
    ou=StartCom Certification Authority
    o=StartCom CA
    c=ES
  Subject:
    Name:**.domain.ru
    cn=**.domain.ru
    c=RU
  CRL Distribution Points:
    http://crl.startcomca.com/sca-server1.crl
  Validity Date:
    start date: 07:49:43 SAMT Apr 20 2017
    end   date: 23:59:00 SAMT Apr 19 2019
  Associated Trustpoints: **.domain.ru
  Storage: nvram:StartComBRSS#847D.cer

CA Certificate
  Status: Available
  Certificate Serial Number (hex): 14C9792B2B1DA926
  Certificate Usage: Signature
  Issuer:
    cn=StartCom Certification Authority G3
    o=StartCom CA
    c=ES
  Subject:
    cn=StartCom BR SSL ICA
    ou=StartCom Certification Authority
    o=StartCom CA
    c=ES
  CRL Distribution Points:
    http://crl.startcomca.com/sfscabr.crl
  Validity Date:
    start date: 16:32:39 SAMT Apr 7 2017
    end   date: 04:49:42 SAMT Feb 14 1906
  Associated Trustpoints: **.domain.ru
  Storage: nvram:StartComCert#A926CA.cer

sh crypto isakmp sa
Код:
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status
***   ***   MM_NO_STATE       1164 ACTIVE (deleted)
***   ***   MM_NO_STATE       1169 ACTIVE (deleted)
***   ***  MM_KEY_EXCH       1172 ACTIVE
***   ***  MM_NO_STATE       1163 ACTIVE (deleted)
***   ***   MM_NO_STATE       1168 ACTIVE (deleted)
***   ***   MM_KEY_EXCH       1175 ACTIVE
***   ***    MM_NO_STATE       1167 ACTIVE (deleted)
***   ***   MM_NO_STATE       1170 ACTIVE (deleted)
***   ***   MM_NO_STATE       1166 ACTIVE (deleted)
***   ***   MM_KEY_EXCH       1174 ACTIVE
***   ***    MM_NO_STATE       1171 ACTIVE (deleted)
***   ***   MM_KEY_EXCH       1173 ACTIVE
***   ***   MM_NO_STATE       1165 ACTIVE (deleted)


Конфиг 2811

sh run
Код:
!
crypto pki trustpoint **.domain.ru
 enrollment terminal
 fqdn **.domain.ru
 revocation-check none
 rsakeypair **.domain.ru
!
crypto pki certificate chain **.domain.ru
--More--
!
crypto isakmp policy 1
 encr aes
 group 2
!
crypto ipsec transform-set AES128SHA esp-aes esp-sha-hmac
 mode transport
!
crypto ipsec profile AES128SHA
 set transform-set AES128SHA
 set pfs group2
!
interface Tunnel1
 description RT857W-***
 bandwidth 320
 ip address 10.63.70.33 255.255.255.252
 ip mtu 1400
 ip tcp adjust-mss 1360
 tunnel source FastEthernet0/0.94
 tunnel destination ***
 tunnel path-mtu-discovery
 tunnel protection ipsec profile AES128SHA
!

sh crypto pki certificates
Код:
Certificate
  Status: Available
  Certificate Serial Number (hex): 2600F357B41B7A4D
  Certificate Usage: General Purpose
  Issuer:
    cn=StartCom BR SSL ICA
    ou=StartCom Certification Authority
    o=StartCom CA
    c=ES
  Subject:
    Name: ***.domain.ru
    cn=***.domain.ru
    c=RU
  CRL Distribution Points:
    http://crl.startcomca.com/sca-server1.crl
  Validity Date:
    start date: 11:30:20 SAMT Apr 19 2017
    end   date: 03:39:00 SAMT Apr 19 2019
  Associated Trustpoints: ***.domain.ru
  Storage: nvram:StartComBRSS#7A7A.cer

CA Certificate
  Status: Available
  Certificate Serial Number (hex): 14C9792B2B1DA926
  Certificate Usage: Signature
  Issuer:
    cn=StartCom Certification Authority G3
    o=StartCom CA
    c=ES
  Subject:
    cn=StartCom BR SSL ICA
    ou=StartCom Certification Authority
    o=StartCom CA
    c=ES
  CRL Distribution Points:
    http://crl.startcomca.com/sfscabr.crl
  Validity Date:
    start date: 16:32:39 SAMT Apr 7 2017
    end   date: 04:49:42 SAMT Feb 14 1906
  Associated Trustpoints: CUS.VLMRK.RU
  Storage: nvram:StartComCert#A9A9CA.cer

sh crypto isakmp sa
Код:
*** ***    QM_IDLE           4893 ACTIVE
*** ***    QM_IDLE           4509 ACTIVE
*** ***    QM_IDLE           4624 ACTIVE
*** ***    QM_IDLE           4773 ACTIVE


Конфиг 857

sh run
Код:
!
crypto pki trustpoint **.domain.ru
 enrollment terminal
 fqdn **.domain.ru
 revocation-check none
 rsakeypair **.domain.ru
!
crypto pki certificate chain **.domain.ru
--More--
!
crypto isakmp policy 1
 encr aes
 group 2
!
crypto ipsec transform-set AES128SHA esp-aes esp-sha-hmac
 mode transport
!
crypto ipsec profile AES128SHA
 set transform-set AES128SHA
 set pfs group2
!
interface Tunnel1
 description RT2911
 bandwidth 2000
 ip address 10.63.70.2 255.255.255.252
 ip mtu 1400
 ip tcp adjust-mss 1360
 tunnel source Dialer0
 tunnel destination ***
 tunnel path-mtu-discovery
 tunnel protection ipsec profile AES128SHA
!
interface Tunnel2
 description RT2811
 bandwidth 320
 ip address 10.63.70.34 255.255.255.252
 ip mtu 1400
 ip tcp adjust-mss 1360
 tunnel source Dialer0
 tunnel destination ***
 tunnel path-mtu-discovery
 tunnel protection ipsec profile AES128SHA
!


sh crypto pki certificates
Код:
Certificate
  Status: Available
  Certificate Serial Number: 0xBCDC71F7B286124
  Certificate Usage: General Purpose
  Issuer:
    cn=StartCom BR SSL ICA
    ou=StartCom Certification Authority
    o=StartCom CA
    c=ES
  Subject:
    Name: ***.domain.ru
    cn=***.domain.ru
    c=RU
  CRL Distribution Points:
    http://crl.startcomca.com/sca-server1.crl
  Validity Date:
    start date: 10:56:14 SAMT Apr 19 2017
    end   date: 03:05:00 SAMT Apr 19 2019
  Associated Trustpoints: ***.domain.ru

CA Certificate
  Status: Available
  Certificate Serial Number: 0x14C9792B2B1DA926
  Certificate Usage: Signature
  Issuer:
    cn=StartCom Certification Authority G3
    o=StartCom CA
    c=ES
  Subject:
    cn=StartCom BR SSL ICA
    ou=StartCom Certification Authority
    o=StartCom CA
    c=ES
  CRL Distribution Points:
    http://crl.startcomca.com/sfscabr.crl
  Validity Date:
    start date: 16:32:39 SAMT Apr 7 2017
    end   date: 04:49:42 SAMT Feb 14 1906
  Associated Trustpoints: ***.domain.ru


sh crypto isakmp sa
Код:
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id slot status
*** ***    MM_NO_STATE       2188    0 ACTIVE (deleted)
*** ***    MM_KEY_EXCH       2189    0 ACTIVE
*** ***    QM_IDLE           2038    0 ACTIVE


На 2911 перепробовал все IOS'ы, заново генерировал ключи и запросы, даже пробовал другое доменное имя - бесполезно.
Какие-то возможно есть особенности настройки 2911 по сравнению с 2811 ?
Заранее спасибо за любые подсказки...


21 апр 2017, 09:54
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
stas115 писал(а):
В итоге, что получилось. На маршрутизаторе 2811 все работает, на 2911 - нет.
Дебаг 2911 указывает на то, что не проходит 1 фаза IKE.

Какие-то возможно есть особенности настройки 2911 по сравнению с 2811 ?
Заранее спасибо за любые подсказки...

Чисто как предположение:
Может быть дело в IKEv2 vs IKEv1?
Возможно в 2900 по дефолту уже IKEv2 и на IKEv1 нужно как-то явно переводить?
Может команда какая специальная есть?

_________________
Knowledge is Power


21 апр 2017, 13:22
Профиль

Зарегистрирован: 04 фев 2014, 08:17
Сообщения: 13
Я не думаю, что IKEv2 включена по умолчанию. По крайней мере, на PRESHARED-KEY всё работает.
Вот выдержка из дебага со стороны филиала (Cisco 857)
Код:
212493: Apr 21 15:57:29: ISAKMP:(2584):Input = IKE_MESG_INTERNAL, IKE_PHASE1_DEL
212494: Apr 21 15:57:29: ISAKMP:(2584):Old State = IKE_I_MM5  New State = IKE_DEST_SA

212495: Apr 21 15:57:29: ISAKMP (0:2584): received packet from *** dport 500 sport 500 Global (I) MM_NO_STATE
212496: Apr 21 15:57:51: ISAKMP:(0): SA request profile is (NULL)
212497: Apr 21 15:57:51: ISAKMP: Created a peer struct for ***, peer port 500
212498: Apr 21 15:57:51: ISAKMP: New peer created peer = 0x81FB0C8C peer_handle = 0x800013A0
212499: Apr 21 15:57:51: ISAKMP: Locking peer struct 0x81FB0C8C, refcount 1 for isakmp_initiator
212500: Apr 21 15:57:51: ISAKMP: local port 500, remote port 500
212501: Apr 21 15:57:51: ISAKMP: set new node 0 to QM_IDLE     
212502: Apr 21 15:57:51: ISAKMP: Find a dup sa in the avl tree during calling isadb_insert sa = 82D36920
212503: Apr 21 15:57:51: ISAKMP:(0):Can not start Aggressive mode, trying Main mode.
212504: Apr 21 15:57:51: ISAKMP:(0):No pre-shared key with ***!
212505: Apr 21 15:57:51: ISAKMP:(0): constructed NAT-T vendor-rfc3947 ID
212506: Apr 21 15:57:51: ISAKMP:(0): constructed NAT-T vendor-07 ID
212507: Apr 21 15:57:51: ISAKMP:(0): constructed NAT-T vendor-03 ID
212508: Apr 21 15:57:51: ISAKMP:(0): constructed NAT-T vendor-02 ID
212509: Apr 21 15:57:51: ISAKMP:(0):Input = IKE_MESG_FROM_IPSEC, IKE_SA_REQ_MM
212510: Apr 21 15:57:51: ISAKMP:(0):Old State = IKE_READY  New State = IKE_I_MM1

212511: Apr 21 15:57:51: ISAKMP:(0): beginning Main Mode exchange
212512: Apr 21 15:57:51: ISAKMP:(0): sending packet to *** my_port 500 peer_port 500 (I) MM_NO_STATE
212513: Apr 21 15:57:51: ISAKMP:(0):Sending an IKE IPv4 Packet.
212514: Apr 21 15:57:51: ISAKMP (0:0): received packet from *** dport 500 sport 500 Global (I) MM_NO_STATE
212515: Apr 21 15:57:51: ISAKMP:(0):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
212516: Apr 21 15:57:51: ISAKMP:(0):Old State = IKE_I_MM1  New State = IKE_I_MM2

212517: Apr 21 15:57:51: ISAKMP:(0): processing SA payload. message ID = 0
212518: Apr 21 15:57:51: ISAKMP:(0): processing vendor id payload
212519: Apr 21 15:57:51: ISAKMP:(0): vendor ID seems Unity/DPD but major 69 mismatch
212520: Apr 21 15:57:51: ISAKMP (0:0): vendor ID is NAT-T RFC 3947
212521: Apr 21 15:57:51: ISAKMP : Scanning profiles for xauth ...
212522: Apr 21 15:57:51: ISAKMP:(0):Checking ISAKMP transform 1 against priority 1 policy
212523: Apr 21 15:57:51: ISAKMP:      encryption AES-CBC
212524: Apr 21 15:57:51: ISAKMP:      keylength of 128
212525: Apr 21 15:57:51: ISAKMP:      hash SHA
212526: Apr 21 15:57:51: ISAKMP:      default group 2
212527: Apr 21 15:57:51: ISAKMP:      auth RSA sig
212528: Apr 21 15:57:51: ISAKMP:      life type in seconds
212529: Apr 21 15:57:51: ISAKMP:      life duration (VPI) of  0x0 0x1 0x51 0x80
212530: Apr 21 15:57:51: ISAKMP:(0):atts are acceptable. Next payload is 0
212531: Apr 21 15:57:51: ISAKMP:(0):Acceptable atts:actual life: 0
212532: Apr 21 15:57:51: ISAKMP:(0):Acceptable atts:life: 0
212533: Apr 21 15:57:51: ISAKMP:(0):Fill atts in sa vpi_length:4
212534: Apr 21 15:57:51: ISAKMP:(0):Fill atts in sa life_in_seconds:86400
212535: Apr 21 15:57:51: ISAKMP:(0):Returning Actual lifetime: 86400
212536: Apr 21 15:57:51: ISAKMP:(0)::Started lifetime timer: 86400.

212537: Apr 21 15:57:51: ISAKMP:(0): processing vendor id payload
212538: Apr 21 15:57:51: ISAKMP:(0): vendor ID seems Unity/DPD but major 69 mismatch
212539: Apr 21 15:57:51: ISAKMP (0:0): vendor ID is NAT-T RFC 3947
212540: Apr 21 15:57:51: ISAKMP:(0):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
212541: Apr 21 15:57:51: ISAKMP:(0):Old State = IKE_I_MM2  New State = IKE_I_MM2

212542: Apr 21 15:57:51: ISAKMP (0:0): constructing CERT_REQ for issuer cn=StartCom BR SSL ICA,ou=StartCom Certification Authority,o=StartCom CA,c=ES
212543: Apr 21 15:57:51: ISAKMP:(0): sending packet to *** my_port 500 peer_port 500 (I) MM_SA_SETUP
212544: Apr 21 15:57:51: ISAKMP:(0):Sending an IKE IPv4 Packet.
212545: Apr 21 15:57:51: ISAKMP:(0):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
212546: Apr 21 15:57:51: ISAKMP:(0):Old State = IKE_I_MM2  New State = IKE_I_MM3

212547: Apr 21 15:57:51: ISAKMP (0:0): received packet from *** dport 500 sport 500 Global (I) MM_SA_SETUP
212548: Apr 21 15:57:51: ISAKMP:(0):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
212549: Apr 21 15:57:51: ISAKMP:(0):Old State = IKE_I_MM3  New State = IKE_I_MM4

212550: Apr 21 15:57:51: ISAKMP:(0): processing KE payload. message ID = 0
212551: Apr 21 15:57:51: ISAKMP:(0): processing NONCE payload. message ID = 0
212552: Apr 21 15:57:51: ISAKMP:(2585): processing CERT_REQ payload. message ID = 0
212553: Apr 21 15:57:51: ISAKMP:(2585): peer wants a CT_X509_SIGNATURE cert
212554: Apr 21 15:57:51: ISAKMP:(2585): peer wants cert issued by cn=StartCom BR SSL ICA,ou=StartCom Certification Authority,o=StartCom CA,c=ES
212555: Apr 21 15:57:51:  Choosing trustpoint *** as issuer
212556: Apr 21 15:57:51: ISAKMP:(2585): processing vendor id payload
212557: Apr 21 15:57:51: ISAKMP:(2585): vendor ID is Unity
212558: Apr 21 15:57:51: ISAKMP:(2585): processing vendor id payload
212559: Apr 21 15:57:51: ISAKMP:(2585): vendor ID is DPD
212560: Apr 21 15:57:51: ISAKMP:(2585): processing vendor id payload
212561: Apr 21 15:57:51: ISAKMP:(2585): speaking to another IOS box!
212562: Apr 21 15:57:51: ISAKMP:received payload type 20
212563: Apr 21 15:57:51: ISAKMP:received payload type 20
212564: Apr 21 15:57:51: ISAKMP:(2585):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
212565: Apr 21 15:57:51: ISAKMP:(2585):Old State = IKE_I_MM4  New State = IKE_I_MM4

212566: Apr 21 15:57:51: ISAKMP:(2585):Send initial contact
212567: Apr 21 15:57:51: ISAKMP:(2585):My ID configured as IPv4 Addr, but Addr not in Cert!
212568: Apr 21 15:57:51: ISAKMP:(2585):Using FQDN as My ID
212569: Apr 21 15:57:51: ISAKMP:(2585):SA is doing RSA signature authentication using id type ID_FQDN
212570: Apr 21 15:57:51: ISAKMP (0:2585): ID payload
   next-payload : 6
   type         : 2
   FQDN name    : ***
   protocol     : 17
   port         : 500
   length       : 21
212571: Apr 21 15:57:51: ISAKMP:(2585):Total payload length: 21
212572: Apr 21 15:57:51: ISAKMP (0:2585): constructing CERT payload for cn=***,c=RU
212573: Apr 21 15:57:51: ISKAMP: growing send buffer from 1024 to 3072
212574: Apr 21 15:57:51: ISAKMP:(2585): using the *** trustpoint's keypair to sign
212575: Apr 21 15:57:51: ISAKMP:(2585): sending packet to *** my_port 500 peer_port 500 (I) MM_KEY_EXCH
212576: Apr 21 15:57:51: ISAKMP:(2585):Sending an IKE IPv4 Packet.
212577: Apr 21 15:57:51: ISAKMP:(2585):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
212578: Apr 21 15:57:51: ISAKMP:(2585):Old State = IKE_I_MM4  New State = IKE_I_MM5
212579: Apr 21 15:58:01: ISAKMP:(2585): retransmitting phase 1 MM_KEY_EXCH...
212580: Apr 21 15:58:01: ISAKMP (0:2585): incrementing error counter on sa, attempt 1 of 5: retransmit phase 1
212581: Apr 21 15:58:01: ISAKMP:(2585): retransmitting phase 1 MM_KEY_EXCH
212582: Apr 21 15:58:01: ISAKMP:(2585): sending packet to *** my_port 500 peer_port 500 (I) MM_KEY_EXCH
212583: Apr 21 15:58:01: ISAKMP:(2585):Sending an IKE IPv4 Packet.
212584: Apr 21 15:58:11: ISAKMP:(2585): retransmitting phase 1 MM_KEY_EXCH...
212585: Apr 21 15:58:11: ISAKMP (0:2585): incrementing error counter on sa, attempt 2 of 5: retransmit phase 1
212586: Apr 21 15:58:11: ISAKMP:(2585): retransmitting phase 1 MM_KEY_EXCH
212587: Apr 21 15:58:11: ISAKMP:(2585): sending packet to *** my_port 500 peer_port 500 (I) MM_KEY_EXCH
212588: Apr 21 15:58:11: ISAKMP:(2585):Sending an IKE IPv4 Packet.
212589: Apr 21 15:58:19: ISAKMP:(2584):purging node -457097971
212590: Apr 21 15:58:19: ISAKMP:(2584):purging node 253655779
212591: Apr 21 15:58:19: ISAKMP:(2583):purging SA., sa=81FADA28, delme=81FADA28
212592: Apr 21 15:58:19: ISAKMP (0:2585): received packet from *** dport 500 sport 500 Global (I) MM_KEY_EXCH
212593: Apr 21 15:58:21: ISAKMP:(2585): retransmitting phase 1 MM_KEY_EXCH...
212594: Apr 21 15:58:21: ISAKMP (0:2585): incrementing error counter on sa, attempt 3 of 5: retransmit phase 1
212595: Apr 21 15:58:21: ISAKMP:(2585): retransmitting phase 1 MM_KEY_EXCH
212596: Apr 21 15:58:21: ISAKMP:(2585): sending packet to *** my_port 500 peer_port 500 (I) MM_KEY_EXCH
212597: Apr 21 15:58:21: ISAKMP:(2585):Sending an IKE IPv4 Packet.
212598: Apr 21 15:58:29: ISAKMP:(2584):purging SA., sa=81FAB1B4, delme=81FAB1B4
212599: Apr 21 15:58:29: ISAKMP (0:2585): received packet from *** dport 500 sport 500 Global (I) MM_KEY_EXCH
212600: Apr 21 15:58:31: ISAKMP:(2585): retransmitting phase 1 MM_KEY_EXCH...
212601: Apr 21 15:58:31: ISAKMP (0:2585): incrementing error counter on sa, attempt 4 of 5: retransmit phase 1
212602: Apr 21 15:58:31: ISAKMP:(2585): retransmitting phase 1 MM_KEY_EXCH
212603: Apr 21 15:58:31: ISAKMP:(2585): sending packet to *** my_port 500 peer_port 500 (I) MM_KEY_EXCH
212604: Apr 21 15:58:31: ISAKMP:(2585):Sending an IKE IPv4 Packet.
212605: Apr 21 15:58:39: ISAKMP (0:2585): received packet from *** dport 500 sport 500 Global (I) MM_KEY_EXCH
212606: Apr 21 15:58:41: ISAKMP: set new node 0 to QM_IDLE     
212607: Apr 21 15:58:41: ISAKMP:(2585):SA is still budding. Attached new ipsec request to it. (local ***, remote ***)
212608: Apr 21 15:58:41: ISAKMP: Error while processing SA request: Failed to initialize SA
212609: Apr 21 15:58:41: ISAKMP: Error while processing KMI message 0, error 2.
212610: Apr 21 15:58:41: ISAKMP:(2585): retransmitting phase 1 MM_KEY_EXCH...
212611: Apr 21 15:58:41: ISAKMP (0:2585): incrementing error counter on sa, attempt 5 of 5: retransmit phase 1
212612: Apr 21 15:58:41: ISAKMP:(2585): retransmitting phase 1 MM_KEY_EXCH
212613: Apr 21 15:58:41: ISAKMP:(2585): sending packet to *** my_port 500 peer_port 500 (I) MM_KEY_EXCH
212614: Apr 21 15:58:41: ISAKMP:(2585):Sending an IKE IPv4 Packet.
212615: Apr 21 15:58:49: ISAKMP (0:2585): received packet from *** dport 500 sport 500 Global (I) MM_KEY_EXCH
212616: Apr 21 15:58:49: ISAKMP (0:2585): received packet from *** dport 500 sport 500 Global (I) MM_KEY_EXCH
212617: Apr 21 15:58:49: ISAKMP: set new node -419110334 to QM_IDLE     
212618: Apr 21 15:58:49: ISAKMP (0:2585): received packet from *** dport 500 sport 500 Global (I) MM_KEY_EXCH
212619: Apr 21 15:58:49: ISAKMP (0:2585): received packet from *** dport 500 sport 500 Global (I) MM_KEY_EXCH
212620: Apr 21 15:58:49: ISAKMP (0:2585): received packet from *** dport 500 sport 500 Global (I) MM_KEY_EXCH
212621: Apr 21 15:58:49: ISAKMP (0:2585): received packet from *** dport 500 sport 500 Global (I) MM_KEY_EXCH
212622: Apr 21 15:58:49: ISAKMP: Info Notify message requeue retry counter exceeded sa request from *** to ***.
212623: Apr 21 15:58:51: ISAKMP:(2585): retransmitting phase 1 MM_KEY_EXCH...
212624: Apr 21 15:58:51: ISAKMP:(2585):peer does not do paranoid keepalives.

212625: Apr 21 15:58:51: ISAKMP:(2585):deleting SA reason "Death by retransmission P1" state (I) MM_KEY_EXCH (peer ***)
212626: Apr 21 15:58:51: ISAKMP:(2585):deleting SA reason "Death by retransmission P1" state (I) MM_KEY_EXCH (peer ***)
212627: Apr 21 15:58:51: ISAKMP: Unlocking peer struct 0x81FB0C8C for isadb_mark_sa_deleted(), count 0
212628: Apr 21 15:58:51: ISAKMP: Deleting peer node by peer_reap for ***: 81FB0C8C
212629: Apr 21 15:58:51: ISAKMP:(2585):deleting node 1880244737 error FALSE reason "IKE deleted"
212630: Apr 21 15:58:51: ISAKMP:(2585):deleting node 1284288999 error FALSE reason "IKE deleted"
212631: Apr 21 15:58:51: ISAKMP:(2585):deleting node -419110334 error FALSE reason "IKE deleted"
212632: Apr 21 15:58:51: ISAKMP:(2585):Input = IKE_MESG_INTERNAL, IKE_PHASE1_DEL
212633: Apr 21 15:58:51: ISAKMP:(2585):Old State = IKE_I_MM5  New State = IKE_DEST_SA


21 апр 2017, 15:15
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1834
попробуйте
crypto isakmp identity hostname


21 апр 2017, 16:00
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1834
Имхо этот СА для цисок кривой:

Validity Date:
start date: 16:32:39 SAMT Apr 7 2017
end date: 04:49:42 SAMT Feb 14 1906


21 апр 2017, 16:15
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1834
И довольно странную схему защиты вы выбрали, для MITM атаки достаточно получить сертификат от StartSSL.


21 апр 2017, 16:40
Профиль

Зарегистрирован: 04 фев 2014, 08:17
Сообщения: 13
Lomax писал(а):
Имхо этот СА для цисок кривой:
end date: 04:49:42 SAMT Feb 14 1906

1. Я обращал внимание на это. Но в дебаге нет никаких ругательств на Invalid Certificate.
2. Я попробую использовать самоподписанные сертификаты. О результатах сообщу.

Lomax писал(а):
И довольно странную схему защиты вы выбрали, для MITM атаки достаточно получить сертификат от StartSSL.

Ну в построении туннеля в destination явно указывается IP-адрес. Туннель не построится с другим маршрутизатором.
А какие есть "best practices" для построение IPSec? Preshared-Key?


22 апр 2017, 10:26
Профиль

Зарегистрирован: 04 фев 2014, 08:17
Сообщения: 13
stas115 писал(а):
2. Я попробую использовать самоподписанные сертификаты. О результатах сообщу.


Поднял ЦС на базе Cisco 871. Выдал сертификаты всем маршрутизаторам, участвующим в работе.
Всё работает, всё прекрасно. Видимо, всё-таки дело в кривом сертификате от StartSSL.


02 май 2017, 12:46
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 8 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и гости: 37


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB