Сообщения без ответов | Активные темы Текущее время: 17 июн 2019, 17:46



Ответить на тему  [ Сообщений: 11 ] 
Что-то не понимаю по маршрутизации 
Автор Сообщение

Зарегистрирован: 30 сен 2013, 02:47
Сообщения: 43
Всем привет.

Центральная циска:
Код:
#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is 31.2xxxxxx to network 0.0.0.0

D    192.168.8.0/24 [90/514560] via 10.1.123.8, 1d02h, Tunnel1
D    192.168.9.0/24 [90/514560] via 10.1.123.9, 4d17h, Tunnel1
D    192.168.10.0/24 [90/514560] via 10.1.123.10, 03:23:53, Tunnel1
     172.16.0.0/24 is subnetted, 1 subnets
C       172.16.100.0 is directly connected, Vlan1
D    192.168.4.0/24 [90/514560] via 10.1.123.4, 4d18h, Tunnel1
D    192.168.5.0/24 [90/514560] via 10.1.123.5, 23:37:43, Tunnel1
     10.0.0.0/24 is subnetted, 3 subnets
C       10.1.123.0 is directly connected, Tunnel1
C       10.3.123.0 is directly connected, Tunnel3
C       10.2.123.0 is directly connected, Tunnel2
D    192.168.6.0/24 [90/514560] via 10.1.123.2, 4d18h, Tunnel1
D    192.168.7.0/24 [90/514560] via 10.1.123.7, 21:15:43, Tunnel1
     31.0.0.0/29 is subnetted, 1 subnets
C       31.xxxxxx is directly connected, GigabitEthernet0/0
D    192.168.3.0/24 [90/514560] via 10.1.123.3, 4d18h, Tunnel1
S*   0.0.0.0/0 [1/0] via 31.2xxxxxx


Филиальная циска:
Код:
#sh ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, + - replicated route

Gateway of last resort is 0.0.0.0 to network 0.0.0.0

S*    0.0.0.0/0 is directly connected, Dialer1
      10.0.0.0/8 is variably subnetted, 6 subnets, 3 masks
D        10.1.123.0/24 [90/4096000] via 10.1.123.1, 4d17h, Tunnel0
C        10.1.123.0/27 is directly connected, Tunnel0
L        10.1.123.2/32 is directly connected, Tunnel0
D        10.2.123.0/24 [90/28160000] via 10.1.123.1, 4d17h, Tunnel0
C        10.2.123.0/27 is directly connected, Tunnel1
L        10.2.123.2/32 is directly connected, Tunnel1
      86.xxxxxx/32 is subnetted, 2 subnets
C        86.xxxxxx is directly connected, Dialer1
C        86.xxxxxx is directly connected, Dialer1
      172.16.0.0/24 is subnetted, 1 subnets
D        172.16.100.0 [90/3842560] via 10.1.123.1, 4d17h, Tunnel0
D     192.168.3.0/24 [90/4098560] via 10.1.123.3, 4d17h, Tunnel0
D     192.168.4.0/24 [90/4098560] via 10.1.123.4, 4d17h, Tunnel0
D     192.168.5.0/24 [90/4098560] via 10.1.123.5, 23:24:37, Tunnel0
      192.168.6.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.6.0/24 is directly connected, Vlan1
L        192.168.6.1/32 is directly connected, Vlan1
D     192.168.7.0/24 [90/4098560] via 10.1.123.7, 21:02:37, Tunnel0
D     192.168.8.0/24 [90/4098560] via 10.1.123.8, 1d01h, Tunnel0
D     192.168.9.0/24 [90/4098560] via 10.1.123.9, 4d17h, Tunnel0
D     192.168.10.0/24 [90/4098560] via 10.1.123.10, 03:10:47, Tunnel0


В данном случае подключился к Cisco на адресе 192.168.6.1, от нее делаю пинг в сеть 172.16.100.0 и пакеты не доходят. Если же с компа, который подключен к этой Cisco (филиальной), то пинг в сеть 172.16.100.0 без проблем.

ACL никаких нет.

Не могу понять, что здесь не так? Маршрут ведь есть
Код:
D        172.16.100.0 [90/3842560] via 10.1.123.1, 4d17h, Tunnel0


11 апр 2019, 06:28
Профиль Отправить email

Зарегистрирован: 14 май 2009, 12:57
Сообщения: 1952
Откуда: Волгоград
в пинге сорс укажи


11 апр 2019, 07:31
Профиль ICQ

Зарегистрирован: 30 сен 2013, 02:47
Сообщения: 43
Мне не нужен пинг через сорс. Проблема вот в чем.

Добавил вторую Cisco в сеть 172.16.100.0. Цель второй Cisco: DMVPN через сертификаты, так как сейчас на основной Cisco DMVPN по паролю.
То есть на второй Cisco 172.16.100.3 настраиваю DMVPN + сервер сертификатов, далее на споках настраиваю отдельный туннель и IPSEC, получаю сертификаты с Cisco 172.16.100.3, удаляю все старые туннели и вывожу основную Cisco из продакшена.

Так вот. Настроил Cisco 172.16.100.3 в качестве сервера сертификатов, настроил GRE-туннель и на споке. Туннель установлен. Затем на споке пытаюсь получить сертификат CA-сервера
Код:
spoke(config)# crypto pki authenticate hub

и получаю ошибку
Код:
% Error in receiving Certificate Authority certificate: status = FAIL, cert length = 0


При этом, если делаю пинг через туннель, то все ок
Код:
SPOKE#ping hub-cnt-01 source tunnel 10

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.100.3, timeout is 2 seconds:
Packet sent with a source address of 10.10.123.2
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/7/8 ms


Но стоит сделать пинг без сорца, то пинга нет. Следовательно я предполагаю, что при запросе
Код:
[code]spoke(config)# crypto pki authenticate hub[/code]

по умолчанию используется какой-то другой интерфейс.

В общем прошу помочь понять причину.


12 апр 2019, 04:28
Профиль Отправить email

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1822
Код:
crypto pki trustpoint hub
 source interface tunnel 10


12 апр 2019, 12:38
Профиль ICQ

Зарегистрирован: 30 сен 2013, 02:47
Сообщения: 43
Два раза пробовал с нуля поднимать сервер сертификатов, но как только применю на хабе на туннельном интерфейсе IPSEC профиль так сразу сыпятся сообщения

Код:
Apr 16 14:26:34: %CRYPTO-5-IKMP_INVAL_CERT: Certificate received from 82.xxxxxxxx is bad: unknown error returned in certificate validation


КОНФИГ ХАБА:

Код:
ip domain name corp.хххххх.ru
ip host hub-cnt-01 172.16.100.3
ip cef
login block-for 60 attempts 3 within 30
login delay 5
no ipv6 cef
!
!
flow record nbar-appmon
 match ipv4 source address
 match ipv4 destination address
 match application name
 collect interface output
 collect counter bytes
 collect counter packets
 collect timestamp absolute first
 collect timestamp absolute last
!
!
flow monitor application-mon
 cache timeout active 60
 record nbar-appmon
!
multilink bundle-name authenticated
!
!
!
password encryption aes
!
crypto pki server hub-cnt-01
 no database archive
 lifetime crl 24
!
crypto pki trustpoint hub-cnt-01
 enrollment url http://hub-cnt-01:80
 revocation-check crl
 rsakeypair hub-cnt-01
!
!
crypto pki certificate chain hub-cnt-01
 certificate ca 01
  30820308 308201F0 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
  15311330 11060355 0403130A 6875622D 636E742D 3031301E 170D3139 30343136
  30343036 31315A17 0D323230 34313530 34303631 315A3015 31133011 06035504
  03130A68 75622D63 6E742D30 31308201 22300D06 092A8648 86F70D01 01010500
  0382010F 00308201 0A028201 0100B2EC 829492E6 32FB6C64 F71DEE67 969A2218
  2B66CE27 D1BD8D38 E1FB4AE2 E60478E8 154EFB35 0BA42113 DED3ED16 16523EAC
  F3F27CDA DBAC878C 2A97067C 227CABC3 2DCCB12E 0C4BC910 7A1DEF72 27A0AD4E
  569A3E8C 1ECE5139 48FA3B1F DABA1B1C 14F0C18B C4FC53F5 7BDCF97A 9C688D36
  375D3CAC CC7AC6CA 70F80A8B 5679C93B EF1E7625 18DD61E1 31DA9A4D 588F397B
  DCC38353 97F76135 F9C8F42A 87C9B29C 48C58241 45ED7D19 05005971 B84A29BB
  A73FC6BA FAC71406 E5C71D8F 2A9AB0E1 71F9B613 0D1FBC16 FA97B002 33AF1808
  E3FC491D 6090B4C9 2AEF4BB4 6D1ED04B 21949361 2423BAE8 112AB6B6 C6160D2F
  1902AE66 2EA00DC9 222EA968 44210203 010001A3 63306130 0F060355 1D130101
  FF040530 030101FF 300E0603 551D0F01 01FF0404 03020186 301F0603 551D2304
  18301680 1480228C 72DAE978 6019B365 9C216678 27FA7408 F8301D06 03551D0E
  04160414 80228C72 DAE97860 19B3659C 21667827 FA7408F8 300D0609 2A864886
  F70D0101 04050003 82010100 5E72D608 2268AEC9 9BF33648 8D623EB5 F2866ECA
  3DD91AF0 9AD3AF04 9B9C69E8 40E31627 2F660E17 E8BA9F60 1B095CEB 7F46F1D5
  DB69C6BF A74AE60B ABC7AF79 272D1703 EF81DC03 52E53B19 CFC664A7 B3BCCDBD
  B3C7763A 78591EAF 3852A915 F9DD6733 71C12147 988108BC 52CE5EA1 36A2CCE3
  DA16E3B2 4A2F5AA7 149C23B8 7A8E8655 6CDD0ED3 EA83D15F 7BB44A6C 43C2EE18
  1938EF86 A81BF31D 9834872F 08ED5DEF F20C5570 870E204F 47517FDA 8647E6BE
  0126B8E9 90B80D0E 58934ADB 9DB08BAA 87F8A9DE CAFD9F20 9C0786E9 9D41ADC2
  F44F387D F8AF8EC1 4B18696E C3E2E8B9 EB1B114B 3B38B2E1 B168E735 4C8DDB91
  F4995819 32E054CE 85EDEF35
        quit
license udi pid CISCO2911/K9 sn FHK1452F1Q6
!
object-group network local_cws_net
!
object-group network local_lan_subnets
 any
!
object-group network vpn_remote_subnets
 any
!
username admin secret 5 ххххххх
!
redundancy
!
!
!
!
!
zone security LAN
zone security WAN
zone security VPN
zone security DMZ
!
!
crypto isakmp policy 10
 encr aes 256
 hash md5
!
!
crypto ipsec transform-set TRANS_SET esp-aes 256 esp-md5-hmac
 mode transport
!
crypto ipsec profile IPSEC_PROF
 set transform-set TRANS_SET
!
!
!
!
!
!
!
interface Tunnel10
 ip address 10.10.10.1 255.255.255.0
 no ip redirects
 ip mtu 1416
 no ip next-hop-self eigrp 10
 no ip split-horizon eigrp 10
 ip nhrp authentication ххххххх
 ip nhrp network-id 10
 ip nhrp redirect
 ip tcp adjust-mss 1360
 tunnel source GigabitEthernet0/1
 tunnel mode gre multipoint
 tunnel key 10
 tunnel protection ipsec profile IPSEC_PROF

!
interface Embedded-Service-Engine0/0
 no ip address
 shutdown
!
interface GigabitEthernet0/0
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface GigabitEthernet0/1
 ip address 31.ххххххх 255.255.255.248
 duplex auto
 speed auto
!
interface GigabitEthernet0/2
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface BRI0/1/0
 no ip address
 encapsulation hdlc
 shutdown
!
interface FastEthernet0/0/0
 no ip address
!
interface FastEthernet0/0/1
 no ip address
!
interface FastEthernet0/0/2
 no ip address
!
interface FastEthernet0/0/3
 no ip address
!
interface Vlan1
 ip address 172.16.200.1 255.255.255.0
!
!
!
router eigrp 10
 network 10.10.10.0 0.0.0.255
 network 172.16.200.0 0.0.0.255
!
ip forward-protocol nd
!
ip http server
no ip http secure-server
!
ip route 0.0.0.0 0.0.0.0 31.ххххххххх
ip ssh logging events
ip ssh version 2
!
ip access-list extended nat-list
 permit ip object-group local_lan_subnets any
!
ipv6 ioam timestamp
!
!
!
!
!
control-plane
!
!
 vstack
!
line con 0
 logging synchronous
 login authentication local_access
line aux 0
line 2
 no activation-character
 no exec
 transport preferred none
 transport output lat pad telnet rlogin lapb-ta mop udptn v120 ssh
 stopbits 1
line vty 0 4
 privilege level 15
 logging synchronous
 login authentication local_access
 transport input ssh
!
scheduler allocate 20000 1000
ntp update-calendar
ntp server 91.206.16.3
ntp server 89.109.251.23
ntp server 88.212.196.95
!
end

hub-cnt-01#




КОНФИГ СПОКА

Код:
test#sh run
Building configuration...

Current configuration : 6580 bytes
!
! Last configuration change at 14:32:54 VLAT Tue Apr 16 2019 by admin
! NVRAM config last updated at 13:40:01 VLAT Tue Apr 16 2019 by admin
! NVRAM config last updated at 13:40:01 VLAT Tue Apr 16 2019 by admin
version 15.1
service timestamps debug datetime localtime
service timestamps log datetime localtime
no service password-encryption
!
hostname test
!
boot-start-marker
boot-end-marker
!
!
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication login local_access local
aaa authorization exec default local
!
!
!
!
!
aaa session-id common
!
clock timezone VLAT 10 0
clock calendar-valid
crypto pki token default removal timeout 0
!
crypto pki trustpoint hub-cnt-01
 enrollment url http://hub-cnt-01:80
 revocation-check crl
!
!
crypto pki certificate chain hub-cnt-01
 certificate 02
  30820302 308201EA A0030201 02020102 300D0609 2A864886 F70D0101 05050030
  15311330 11060355 0403130A 6875622D 636E742D 3031301E 170D3139 30343136
  30343139 30355A17 0D323030 34313530 34313930 355A3023 3121301F 06092A86
  4886F70D 01090216 12746573 742E636F 72702E76 69616E67 2E727530 82012230
  0D06092A 864886F7 0D010101 05000382 010F0030 82010A02 82010100 AF80ABA1
  F26EB8D8 8690C358 D5A28C5F 965054B0 F8D8D06A 6E9F6A34 84B28051 2B1368F2
  FBBAB00A 3B26119E F67518DA 997615BA C77A435B 1F08E352 548A714D AE6D6A6B
  96048255 3675FBF9 1AF77D98 2343C053 29F65C06 8A0D6506 0706193F FB1D793A
  0493F838 E5A96486 A2F1F006 3AB48C2B 6F003B02 B4A0BACB 277F75A7 0AC62B0C
  24F27C51 88FBC97E 8461B228 4CAB09E6 C319E80F 8B3F2CBD 137AE3A3 7CD87C6F
  815B322E 286BCA61 871D3749 32AD00CC 348EC402 AE478A54 BA31770E 462DE2EB
  0FE89967 2223DF45 19D13B57 855A6274 C867CFF5 D803E20D F4F9DB4D A9748EF0
  B759C808 3A7C59AA 4F887013 F434B75C 6FA01DF8 98C0A8C4 3E3640D3 02030100
  01A34F30 4D300B06 03551D0F 04040302 05A0301F 0603551D 23041830 16801480
  228C72DA E9786019 B3659C21 667827FA 7408F830 1D060355 1D0E0416 041460F7
  2B53BF03 56E188E5 30CCDBFE A59A1427 D440300D 06092A86 4886F70D 01010505
  00038201 01009E18 C3BE75A1 0BB99410 CEA5EC2D 9C477D84 EF4CF690 2C63B6B4
  E16ED6A5 F8B08828 CFEC52C9 3934473E 8E036CD8 1DFECED6 BA88161C C43726F7
  D3736DED 566F5F15 AE7060CB EC6CB54A B52E954C 9DE7388B 2333B077 B0DE640D
  631472C5 7317F01E 4C8E8372 A5B6EC03 2576D240 75CAAF90 B1DC5375 B317133D
  30D2760B EF7F102A A0F8C41C B352EACC CCD3FC31 C3A5A5A1 B58E960E 4646FB78
  98355702 96D47F31 382AE2A3 01A00A59 D133C16F 33D8EAED 0F220DCC D52CB184
  F7826E3F 2B610AF3 D1B46B91 162ED326 5E5AA5E4 6EDE7E93 8DD2D07B 4129AE3B
  CE84691C D9F5C74C 05B16794 266DBE52 13FE4F17 83B509CC 812E0D2F 2AEE443E
  9CCCCA1A A456
        quit
 certificate ca 01
  30820308 308201F0 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
  15311330 11060355 0403130A 6875622D 636E742D 3031301E 170D3139 30343136
  30343036 31315A17 0D323230 34313530 34303631 315A3015 31133011 06035504
  03130A68 75622D63 6E742D30 31308201 22300D06 092A8648 86F70D01 01010500
  0382010F 00308201 0A028201 0100B2EC 829492E6 32FB6C64 F71DEE67 969A2218
  2B66CE27 D1BD8D38 E1FB4AE2 E60478E8 154EFB35 0BA42113 DED3ED16 16523EAC
  F3F27CDA DBAC878C 2A97067C 227CABC3 2DCCB12E 0C4BC910 7A1DEF72 27A0AD4E
  569A3E8C 1ECE5139 48FA3B1F DABA1B1C 14F0C18B C4FC53F5 7BDCF97A 9C688D36
  375D3CAC CC7AC6CA 70F80A8B 5679C93B EF1E7625 18DD61E1 31DA9A4D 588F397B
  DCC38353 97F76135 F9C8F42A 87C9B29C 48C58241 45ED7D19 05005971 B84A29BB
  A73FC6BA FAC71406 E5C71D8F 2A9AB0E1 71F9B613 0D1FBC16 FA97B002 33AF1808
  E3FC491D 6090B4C9 2AEF4BB4 6D1ED04B 21949361 2423BAE8 112AB6B6 C6160D2F
  1902AE66 2EA00DC9 222EA968 44210203 010001A3 63306130 0F060355 1D130101
  FF040530 030101FF 300E0603 551D0F01 01FF0404 03020186 301F0603 551D2304
  18301680 1480228C 72DAE978 6019B365 9C216678 27FA7408 F8301D06 03551D0E
  04160414 80228C72 DAE97860 19B3659C 21667827 FA7408F8 300D0609 2A864886
  F70D0101 04050003 82010100 5E72D608 2268AEC9 9BF33648 8D623EB5 F2866ECA
  3DD91AF0 9AD3AF04 9B9C69E8 40E31627 2F660E17 E8BA9F60 1B095CEB 7F46F1D5
  DB69C6BF A74AE60B ABC7AF79 272D1703 EF81DC03 52E53B19 CFC664A7 B3BCCDBD
  B3C7763A 78591EAF 3852A915 F9DD6733 71C12147 988108BC 52CE5EA1 36A2CCE3
  DA16E3B2 4A2F5AA7 149C23B8 7A8E8655 6CDD0ED3 EA83D15F 7BB44A6C 43C2EE18
  1938EF86 A81BF31D 9834872F 08ED5DEF F20C5570 870E204F 47517FDA 8647E6BE
  0126B8E9 90B80D0E 58934ADB 9DB08BAA 87F8A9DE CAFD9F20 9C0786E9 9D41ADC2
  F44F387D F8AF8EC1 4B18696E C3E2E8B9 EB1B114B 3B38B2E1 B168E735 4C8DDB91
  F4995819 32E054CE 85EDEF35
        quit
dot11 syslog
ip source-route
!
!
!
!
!
ip cef
ip domain name corp.xxxxx.ru
ip host hub-cnt-01 172.16.200.1
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
license udi pid CISCO1812-J/K9 sn FHK1148271A
object-group service DENY_PORTS_IN
 tcp eq 22
 tcp eq www
 tcp eq telnet
!

!
!
ip ssh version 2
!
!
crypto isakmp policy 10
 encr aes 256
 hash md5
!
!
crypto ipsec transform-set TRANS_SET esp-aes 256 esp-md5-hmac
 mode transport
!
crypto ipsec profile IPSEC_PROF
 set transform-set TRANS_SET
!
!
!
!
!
!
interface Tunnel10
 ip address 10.10.10.2 255.255.255.0
 no ip redirects
 ip nhrp authentication ххххх
 ip nhrp map multicast 31.хххххх
 ip nhrp map 10.10.10.1 31.ххххх
 ip nhrp network-id 10
 ip nhrp nhs 10.10.10.1
 ip nhrp registration no-unique
 ip nhrp shortcut
 tunnel source FastEthernet0
 tunnel mode gre multipoint
 tunnel key 10
 tunnel protection ipsec profile IPSEC_PROF shared
!
interface BRI0
 no ip address
 encapsulation hdlc
 shutdown
!
interface FastEthernet0
 ip address 82.хххххх 255.255.255.240
 duplex auto
 speed auto
!
interface FastEthernet1
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface FastEthernet2
 no ip address
!
interface FastEthernet3
 no ip address
!
interface FastEthernet4
 no ip address
!
interface FastEthernet5
 no ip address
!
interface FastEthernet6
 no ip address
!
interface FastEthernet7
 no ip address
!
interface FastEthernet8
 no ip address
!
interface FastEthernet9
 no ip address
!
interface Vlan1
 ip address 192.168.40.1 255.255.255.0
!
!
router eigrp 10
 network 10.10.10.0 0.0.0.255
 network 192.168.40.0
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip route 0.0.0.0 0.0.0.0 82.ххххххх
!
ip access-list extended DENY_PORTS_IN
 deny   object-group DENY_PORTS_IN any any
!
!
!
!
!
!
!
!
!
control-plane
!
!
!
line con 0
line aux 0
line vty 0 4
 privilege level 15
 logging synchronous
 transport input ssh
!
ntp server 185.68.101.10
ntp server 172.16.100.11
ntp server 89.109.251.21
end

test#



НА ХАБЕ

Код:
hub-cnt-01#sh cry pki cert
CA Certificate
  Status: Available
  Certificate Serial Number (hex): 01
  Certificate Usage: Signature
  Issuer:
    cn=hub-cnt-01
  Subject:
    cn=hub-cnt-01
  Validity Date:
    start date: 14:06:11 GMT Apr 16 2019
    end   date: 14:06:11 GMT Apr 15 2022
  Associated Trustpoints: hub-cnt-01
  Storage: nvram:hub-cnt-01#1CA.cer



Код:
hub-cnt-01#show crypto pki server
Certificate Server hub-cnt-01:
    Status: enabled
    State: enabled
    Server's configuration is locked  (enter "shut" to unlock it)
    Issuer name: CN=hub-cnt-01
    CA cert fingerprint: 16048B03 65336E61 F861E4D3 C953FA22
    Granting mode is: manual
    Last certificate issued serial number (hex): 2
    CA certificate expiration timer: 14:06:11 GMT Apr 15 2022
    CRL NextUpdate timer: 20:06:12 GMT Apr 16 2019
    Current primary storage dir: nvram:
    Database Level: Minimum - no cert data written to storage



Код:
hub-cnt-01#show crypto pki trustpoints
Trustpoint hub-cnt-01:
    Subject Name:
    cn=hub-cnt-01
          Serial Number (hex): 01
    Certificate configured.
    SCEP URL: http://hub-cnt-01:80/cgi-bin


Код:
hub-cnt-01#show crypto pki trustpoints
Trustpoint hub-cnt-01:
    Subject Name:
    cn=hub-cnt-01
          Serial Number (hex): 01
    Certificate configured.
    SCEP URL: http://hub-cnt-01:80/cgi-bin




НА СПОКЕ

Код:
test#sh crypto pki certificates
Certificate
  Status: Available
  Certificate Serial Number (hex): 02
  Certificate Usage: General Purpose
  Issuer:
    cn=hub-cnt-01
  Subject:
    Name: test.corp.xxxxx.ru
    hostname=test.corp.xxxxx.ru
  Validity Date:
    start date: 14:19:05 VLAT Apr 16 2019
    end   date: 14:19:05 VLAT Apr 15 2020
  Associated Trustpoints: hub-cnt-01


Код:
CA Certificate
  Status: Available
  Certificate Serial Number (hex): 01
  Certificate Usage: Signature
  Issuer:
    cn=hub-cnt-01
  Subject:, потом
    cn=hub-cnt-01
  Validity Date:
    start date: 14:06:11 VLAT Apr 16 2019
    end   date: 14:06:11 VLAT Apr 15 2022
  Associated Trustpoints: hub-cnt-01


Погуглил и нашел, что у одного время не было синхронизировано. Синхронизировал везде, сделал перевыпуск сертификата, потом вообще заново все создал, но проблема осталась

Apr 16 14:43:05: %CRYPTO-5-IKMP_INVAL_CERT: Certificate received from 82.ххххххх is bad: unknown error returned in certificate validation

Какие еще могут быть причины?


16 апр 2019, 07:45
Профиль Отправить email

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1822
Отключите CRL


16 апр 2019, 09:28
Профиль ICQ

Зарегистрирован: 30 сен 2013, 02:47
Сообщения: 43
Lomax писал(а):
Отключите CRL


Большое спасибо. Теперь работает.


17 апр 2019, 09:14
Профиль Отправить email

Зарегистрирован: 30 сен 2013, 02:47
Сообщения: 43
Не могли бы вы прокомментировать такую ситуацию?

При установлении туннеля единоразово получаю сообщение на хаба и споке

hub-cnt-01(config-if)#
Apr 18 10:17:21: %PKI-3-SOCKETSELECT: Failed to select the socket.
hub-cnt-01(config-if)#
Apr 18 10:17:33: %DUAL-5-NBRCHANGE: EIGRP-IPv4 10: Neighbor 10.10.10.2 (Tunnel10) is up: new adjacency

Тем не менее всё работает.


18 апр 2019, 03:19
Профиль Отправить email

Зарегистрирован: 30 сен 2013, 02:47
Сообщения: 43
И еще с такой ситуацией столкнулся.

Перезагружаю хаб. После перезагрузки

Код:
hub-cnt-01(config)#do sh cry pki server hub-cnt-01
Certificate Server hub-cnt-01:
    Status: disabled, Wait for CA certificate availability
    State: check failed
    Server's configuration is locked  (enter "shut" to unlock it)
    Issuer name: CN=hub-cnt-01
    CA cert fingerprint: -Not found-
    Granting mode is: manual
    Last certificate issued serial number (hex): 0
    CA certificate expiration timer: 10:00:00 GMT Jan 1 1970
    CRL not present.
    Current primary storage dir: nvram:
    Database Level: Minimum - no cert data written to storage


Приходится входит в режим конфигурирования CA, делать
Код:
no shut
и вводить passphrase. Можно ли настроить, чтобы после перезагрузки (свет выключат) CA включался автоматически?


18 апр 2019, 04:41
Профиль Отправить email

Зарегистрирован: 30 сен 2013, 02:47
Сообщения: 43
Это какой-то кошмар.

Снова перезагрузил хаб.

Далее пытаюсь включить CA, но...
Код:
hub-cnt-01(cs-server)#no shut
% Certificate with issuer-name - CN=hub-cnt-01 already present. Choose another issuer-name.
% CA Server not enabled


В конфиге только этот сервер:
Код:
!
crypto pki server hub-cnt-01
 no database archive
 lifetime crl 24
 shutdown
!


18 апр 2019, 05:32
Профиль Отправить email

Зарегистрирован: 30 сен 2013, 02:47
Сообщения: 43
Вот что удалось выяснить. CA перестает быть доступным из-за

Код:
hub-cnt-01#sh cry pki trustpoints
Trustpoint hub-cnt-01:

Trustpoint hub-cnt-01-enroll:
    Subject Name:
    cn=hub-cnt-01
          Serial Number (hex): 01
    Certificate configured.
    SCEP URL: http://hub-cnt-01:80/cgi-bin



Удалил этот трастпоинт и CA без проблем включил.

Отсюда вопрос. Как тогда правильно создать трастпоинт для хаба?


18 апр 2019, 10:37
Профиль Отправить email
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 11 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: Bessmertniy, Google Adsense [Bot], Google [Bot] и гости: 17


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB