|
|
Страница 1 из 1
|
[ Сообщений: 4 ] |
|
Установка сертификата на рутер для EASY VPN
Автор |
Сообщение |
P@ve1
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 2111
|
Добрый день. Пытаюсь сделать EASY VPN на базе сертификатов. Сертификат пытаюсь накатить в ручную, через терминал. Протокол SCEP не подходит в иду специфики, и т.к. CA вне сетевой доступности.
Соответсвенно делаю следующее: 1.) crypto ca trustpoint *** enrollment terminal 2.) Далее накатываю рутовый сертификат: crypto ca authenticate *** делаю copy paste - сертификат успешно принимается. 3.) Далее генерирую certificate requeas: crypto ca enroll name Делаю copy paste запроса, захожу на веб морду используемого майкросовтовского центра сертификации, и на базе полученого запроса получаю требуемый сертификат *.cer. При этом СА выдает по данному запросу выдает сертификат без закрытых ключей. 4.) Накатываю полученный сертификат с помощью crypto ca import name certificate Сертификат принимается.
Но в результате EASY VPN не работает. Говорит следующее: (дебаг isakmp) Jul 28 07:30:23.237: ISAKMP: encryption AES-CBC Jul 28 07:30:23.237: ISAKMP: hash SHA Jul 28 07:30:23.237: ISAKMP: default group 5 Jul 28 07:30:23.237: ISAKMP: auth XAUTHInitRSA Jul 28 07:30:23.237: ISAKMP: life type in seconds Jul 28 07:30:23.237: ISAKMP: life duration (VPI) of 0x0 0x20 0xC4 0x9B Jul 28 07:30:23.237: ISAKMP: keylength of 128 Jul 28 07:30:23.241: ISAKMP:(0:0:N/A:0):atts are acceptable. Next payload is 3 Jul 28 07:30:23.293: ISAKMP:(0:8:SW:1): vendor ID is NAT-T v2 Jul 28 07:30:23.293: ISAKMP:(0:8:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE Jul 28 07:30:23.293: ISAKMP:(0:8:SW:1):Old State = IKE_R_MM1 New State = IKE_R_MM1
Jul 28 07:30:23.293: ISAKMP:(0:8:SW:1): constructed NAT-T vendor-02 ID Jul 28 07:30:23.293: ISAKMP:(0:8:SW:1): sending packet to 194.186.144.10 my_port 500 peer_port 2243 (R) MM_SA_SETUP Jul 28 07:30:23.293: ISAKMP:(0:8:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE Jul 28 07:30:23.293: ISAKMP:(0:8:SW:1):Old State = IKE_R_MM1 New State = IKE_R_MM2
Jul 28 07:30:26.121: ISAKMP (0:134217736): received packet from 194.186.144.10 dport 500 sport 2243 Global (R) MM_SA_SETUP Jul 28 07:30:26.121: ISAKMP:(0:8:SW:1):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH Jul 28 07:30:26.121: ISAKMP:(0:8:SW:1):Old State = IKE_R_MM2 New State = IKE_R_MM3
Jul 28 07:30:26.121: ISAKMP:(0:7:SW:1): retransmitting phase 1 MM_KEY_EXCH... Jul 28 07:30:26.121: ISAKMP (0:134217735): incrementing error counter on sa, attempt 2 of 5: retransmit phase 1 Jul 28 07:30:26.121: ISAKMP:(0:7:SW:1): retransmitting phase 1 MM_KEY_EXCH Jul 28 07:30:26.121: ISAKMP:(0:7:SW:1): sending packet to 194.186.144.10 my_port 4500 peer_port 2241 (R) MM_KEY_EXCH Jul 28 07:30:26.125: ISAKMP:(0:8:SW:1): processing KE payload. message ID = 0 Jul 28 07:30:26.193: ISAKMP:(0:8:SW:1): processing NONCE payload. message ID = 0 Jul 28 07:30:27.849: ISAKMP:(0:8:SW:1):SKEYID state generated Jul 28 07:30:27.849: ISAKMP:received payload type 20 Jul 28 07:30:27.849: ISAKMP:received payload type 20 Jul 28 07:30:27.849: ISAKMP (0:134217736): NAT found, the node outside NAT Jul 28 07:30:27.853: ISAKMP:(0:8:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE Jul 28 07:30:27.853: ISAKMP:(0:8:SW:1):Old State = IKE_R_MM3 New State = IKE_R_MM3
Jul 28 07:30:27.853: ISAKMP (0:134217736): constructing CERT_REQ for issuer cn=****,dc=****,dc=local Jul 28 07:30:27.853: ISAKMP:(0:8:SW:1): sending packet to 194.186.144.10 my_port 500 peer_port 2243 (R) MM_KEY_EXCH Jul 28 07:30:27.853: ISAKMP:(0:8:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE Jul 28 07:30:27.853: ISAKMP:(0:8:SW:1):Old State = IKE_R_MM3 New State = IKE_R_MM4
Jul 28 07:30:28.013: ISAKMP (0:134217736): received packet from 194.186.144.10 dport 4500 sport 2244 Global (R) MM_KEY_EXCH Jul 28 07:30:28.013: ISAKMP:(0:8:SW:1):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH Jul 28 07:30:28.013: ISAKMP:(0:8:SW:1):Old State = IKE_R_MM4 New State = IKE_R_MM5
Jul 28 07:30:28.017: ISAKMP:(0:8:SW:1): processing ID payload. message ID = 0 Jul 28 07:30:28.017: ISAKMP (0:134217736): ID payload next-payload : 6 type : 9 Dist. name : ea=*****@****.ru,cn=PP>P?P? PP0P2P5P; PP=P4QP5P5P2P8Q,ou=****,ou=***,ou=****,dc=****,dc=local protocol : 17 port : 0 length : 194 Jul 28 07:30:28.017: ISAKMP:(0:8:SW:1):: UNITY's identity group: OU = **** Jul 28 07:30:28.017: ISAKMP:(0:8:SW:1):: peer matches VPN profile Jul 28 07:30:28.017: ISAKMP:(0:8:SW:1): processing CERT payload. message ID = 0 Jul 28 07:30:28.017: ISAKMP:(0:8:SW:1): processing a CT_X509_SIGNATURE cert Jul 28 07:30:28.029: ISAKMP:(0:8:SW:1): peer's pubkey isn't cached Jul 28 07:30:58.064: %CRYPTO-5-IKMP_INVAL_CERT: Certificate received from 194.186.144.10 is bad: CA request failed! Jul 28 07:30:58.064: ISAKMP:(0:8:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE Jul 28 07:30:58.064: ISAKMP:(0:8:SW:1):Old State = IKE_R_MM5 New State = IKE_R_MM5
Jul 28 07:30:58.064: ISAKMP:(0:3:SW:1):purging node -364432423 Jul 28 07:30:58.068: ISAKMP:(0:6:SW:1):purging node 310400333
На сколько я понимаю - суть проблемы скорее всего в том, что сертификат на рутере без закрытых ключей. И рутер не может подтвердить свою идентичность. Если я прав, и нужны ключи - как я могу их накатить на рутер? Как я понимаю - рутер кушает сертификаты только в формате *.cer и кодировке Base64. C помощью майкросовтовского решения я могу получить ключи либо в виде *.pvk файла, либо *.pfx - но как это накатить на роутер? В формате *.cer получить сертификат с ключами, на сколько я знаю, - нельзся.
Или я не прав, и проблема не в закрытых ключах - для Easy VPN они не требуются? Куда в этом случае копать?
Сами сертификаты вроде нормальные, для других целей успешно использовались.
Заранее благодарю за ответы.
|
28 июл 2010, 11:17 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Вы НЕ правы: закрытых ключей в сертификате нет и никогда не было: там только открытый
При генерировании ключевой пары вы уже создали себе закрытый ключ. Потом по открытому ключу сделали запрос, получили ответ и поместили его на рутер. Если он съел (что грит команда sh cry ca cert?) значит все Ок
И проблема вероятнее всего в том, что он не может проверить CRL или время сбито
Отключите для проверки CRL revocation-check none
и проверьте, что время жизни сертификата правильное.
|
28 июл 2010, 14:11 |
|
|
P@ve1
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 2111
|
Fedia писал(а): Вы НЕ правы: закрытых ключей в сертификате нет и никогда не было: там только открытый
При генерировании ключевой пары вы уже создали себе закрытый ключ. Потом по открытому ключу сделали запрос, получили ответ и поместили его на рутер. Если он съел (что грит команда sh cry ca cert?) значит все Ок
Спасибо большое за объяснение. Нигде не видел, чтобы это было описано и долго удивлялся - зачем в приведенных примерах сначала генерятся rsa ключи самой циской. Fedia писал(а): И проблема вероятнее всего в том, что он не может проверить CRL или время сбито
Отключите для проверки CRL revocation-check none
и проверьте, что время жизни сертификата правильное. В проверке CRL - действительно был косяк. Я ее отключил и процесс пошел дальше, но не до конца) Со временем вроде все хорошо. Теперь затыкается так: Jul 28 11:55:55.846: ISAKMP:(0:11:SW:1):Input = IKE_MESG_INTERNAL, IKE_PHASE1_COMPLETE Jul 28 11:55:55.846: ISAKMP:(0:11:SW:1):Old State = IKE_P1_COMPLETE New State = IKE_XAUTH_REQ_SENT
Jul 28 11:55:57.538: ISAKMP (0:134217739): received packet from 194.186.144.10 dport 4500 sport 2852 Global (R) CONF_XAUTH Jul 28 11:55:57.542: ISAKMP: set new node -1278524793 to CONF_XAUTH Jul 28 11:55:57.542: ISAKMP:(0:11:SW:1): processing HASH payload. message ID = -1278524793 Jul 28 11:55:57.542: ISAKMP:received payload type 18 Jul 28 11:55:57.542: ISAKMP:(0:11:SW:1): processing DELETE_WITH_REASON payload, message ID = -1278524793, reason: DELETE_BY_USER_COMMAND Jul 28 11:55:57.542: ISAKMP:(0:11:SW:1):peer does not do paranoid keepalives.
Jul 28 11:55:57.542: ISAKMP:(0:11:SW:1):peer does not do paranoid keepalives.
Jul 28 11:55:57.542: ISAKMP:(0:11:SW:1):deleting SA reason "BY user command" state (R) CONF_XAUTH (peer 194.186.144.10) Jul 28 11:55:57.542: ISAKMP:(0:11:SW:1):deleting node -1278524793 error FALSE reason "Informational (in) state 1" Jul 28 11:55:57.570: ISAKMP: set new node -998583792 to CONF_XAUTH Jul 28 11:55:57.570: ISAKMP:(0:11:SW:1): sending packet to 194.186.144.10 my_port 4500 peer_port 2852 (R) CONF_XAUTH Jul 28 11:55:57.570: ISAKMP:(0:11:SW:1):purging node -998583792 Jul 28 11:55:57.570: ISAKMP:(0:11:SW:1):Input = IKE_MESG_INTERNAL, IKE_PHASE1_DEL Jul 28 11:55:57.570: ISAKMP:(0:11:SW:1):Old State = IKE_XAUTH_REQ_SENT New State = IKE_DEST_SA
Jul 28 11:55:57.574: ISAKMP:(0:11:SW:1):deleting SA reason "No reason" state (R) CONF_XAUTH (peer 194.186.144.10) Jul 28 11:55:57.574: ISAKMP:(0:0:N/A:0):Can't decrement IKE Call Admisstion Control stat incoming_active since it's already 0. Jul 28 11:55:57.574: ISAKMP: Unlocking IKE struct 0x6395CE28 for isadb_mark_sa_deleted(), count 0 Jul 28 11:55:57.574: ISAKMP: Deleting peer node by peer_reap for 194.186.144.10: 6395CE28 Jul 28 11:55:57.574: ISAKMP:(0:11:SW:1):deleting node 537110060 error FALSE reason "IKE deleted" Jul 28 11:55:57.574: ISAKMP:(0:11:SW:1):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH Jul 28 11:55:57.574: ISAKMP:(0:11:SW:1):Old State = IKE_DEST_SA New State = IKE_DEST_SA
Jul 28 11:55:58.930: ISAKMP:(0:5:SW:1):purging node 880978444 Jul 28 11:55:58.930: ISAKMP:(0:5:SW:1):purging node -647180776termКлиент пишет следующее: 16 16:37:42.358 07/28/10 Sev=Info/4 IPSEC/0x63700008 IPSec driver successfully started
17 16:37:42.358 07/28/10 Sev=Info/4 IPSEC/0x63700014 Deleted all keys
18 16:37:42.421 07/28/10 Sev=Info/5 IKE/0x6300002F Received ISAKMP packet: peer = 194.186.222.218
19 16:37:42.421 07/28/10 Sev=Info/4 IKE/0x63000014 RECEIVING <<< ISAKMP OAK MM (SA, VID(Nat-T)) from 194.186.222.218
20 16:37:42.421 07/28/10 Sev=Info/5 IKE/0x63000001 Peer supports NAT-T
21 16:37:42.421 07/28/10 Sev=Info/6 IKE/0x63000001 IOS Vendor ID Contruction successful
22 16:37:42.421 07/28/10 Sev=Info/4 IKE/0x63000013 SENDING >>> ISAKMP OAK MM (KE, NON, NAT-D, NAT-D, VID(?), VID(Unity)) to 194.186.222.218
23 16:37:43.717 07/28/10 Sev=Info/5 IKE/0x6300002F Received ISAKMP packet: peer = 194.186.222.218
24 16:37:43.717 07/28/10 Sev=Info/4 IKE/0x63000014 RECEIVING <<< ISAKMP OAK MM (KE, NON, CERT_REQ, VID(Unity), VID(dpd), VID(?), VID(Xauth), NAT-D, NAT-D) from 194.186.222.218
25 16:37:43.717 07/28/10 Sev=Info/5 IKE/0x63000001 Peer is a Cisco-Unity compliant peer
26 16:37:43.717 07/28/10 Sev=Info/5 IKE/0x63000001 Peer supports DPD
27 16:37:43.717 07/28/10 Sev=Info/5 IKE/0x63000001 Peer supports DWR Code and DWR Text
28 16:37:43.717 07/28/10 Sev=Info/5 IKE/0x63000001 Peer supports XAUTH
29 16:37:43.858 07/28/10 Sev=Info/4 CERT/0x6360001B No smart card readers with cards inserted found.
30 16:37:43.858 07/28/10 Sev=Info/4 IKE/0x63000013 SENDING >>> ISAKMP OAK MM *(ID, CERT, CERT_REQ, SIG, NOTIFY:STATUS_INITIAL_CONTACT) to 194.186.222.218
31 16:37:44.967 07/28/10 Sev=Info/5 IKE/0x6300002F Received ISAKMP packet: peer = 194.186.222.218
32 16:37:44.967 07/28/10 Sev=Info/4 IKE/0x63000084 Out of Order Packet Processing - Queuing a packet (Informational) received out of order
33 16:37:44.967 07/28/10 Sev=Info/5 IKE/0x6300002F Received ISAKMP packet: peer = 194.186.222.218
34 16:37:44.967 07/28/10 Sev=Info/4 IKE/0x63000014 RECEIVING <<< ISAKMP OAK MM *(ID, CERT, SIG) from 194.186.222.218
35 16:37:45.092 07/28/10 Sev=Info/4 CERT/0x63600015 Cert (cn=vpn_router,ou=_special,ou=Tescom,ou=Users,ou=OPTIMA,dc=optima,dc=local) verification succeeded.
36 16:37:45.092 07/28/10 Sev=Warning/3 IKE/0xE3000082 Invalid remote certificate id: ID_FQDN: ID = vpn_router.optima.local, Certificate = local + optima
37 16:37:45.092 07/28/10 Sev=Warning/3 IKE/0xE3000059 The peer's certificate doesn't match Phase 1 ID
38 16:37:45.092 07/28/10 Sev=Warning/2 IKE/0xE30000A7 Unexpected SW error occurred while processing Identity Protection (Main Mode) negotiator:(Navigator:2238)
39 16:37:45.092 07/28/10 Sev=Info/4 IKE/0x63000017 Marking IKE SA for deletion (I_Cookie=1AB585468B297A4C R_Cookie=B4E8CFB4761AFE98) reason = DEL_REASON_IKE_NEG_FAILED
40 16:37:45.092 07/28/10 Sev=Info/4 IKE/0x63000013 SENDING >>> ISAKMP OAK INFO *(HASH, DWR) to 194.186.222.218
41 16:37:45.092 07/28/10 Sev=Info/5 IKE/0x6300002F Received ISAKMP packet: peer = 194.186.222.218
42 16:37:45.092 07/28/10 Sev=Info/4 IKE/0x63000058 Received an ISAKMP message for a non-active SA, I_Cookie=1AB585468B297A4C R_Cookie=B4E8CFB4761AFE98
43 16:37:45.092 07/28/10 Sev=Info/4 IKE/0x63000014 RECEIVING <<< ISAKMP OAK TRANS *(Dropped) from 194.186.222.218
44 16:37:45.858 07/28/10 Sev=Info/4 IKE/0x6300004B Discarding IKE SA negotiation (I_Cookie=1AB585468B297A4C R_Cookie=B4E8CFB4761AFE98) reason = DEL_REASON_IKE_NEG_FAILED
45 16:37:45.858 07/28/10 Sev=Info/4 CM/0x63100014 Unable to establish Phase 1 SA with server "194.186.222.218" because of "DEL_REASON_IKE_NEG_FAILED"
46 16:37:45.858 07/28/10 Sev=Info/5 CM/0x63100025 Initializing CVPNDrv
47 16:37:45.858 07/28/10 Sev=Info/6 CM/0x63100046 Set tunnel established flag in registry to 0.
48 16:37:45.858 07/28/10 Sev=Info/4 IKE/0x63000001 IKE received signal to terminate VPN connection
49 16:37:45.858 07/28/10 Sev=Info/4 IPSEC/0x63700014 Deleted all keys
50 16:37:45.858 07/28/10 Sev=Info/4 IPSEC/0x63700014 Deleted all keys
51 16:37:45.858 07/28/10 Sev=Info/4 IPSEC/0x63700014 Deleted all keys
52 16:37:45.858 07/28/10 Sev=Info/4 IPSEC/0x6370000A IPSec driver successfully stopped
|
28 июл 2010, 16:01 |
|
|
P@ve1
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 2111
|
Проблема рещена следующими действиями.
1.) revocation-check none - что в общем понятно. CA у меня не доступен по сети для рутера)))
2.) Была создана группа юзеров с названием идентичным имени группы в сертификате. Сразу сделать это не догадался. Различались они из-за того - что там исторически была другая группа с preshared-key.
3.) crypto isakmp identity dn
Сергей, спасибо вам большое! Благодарю за очень оперативную помощь.
Проблему полагаю стоит перевести в решенные.
|
28 июл 2010, 16:42 |
|
|
|
Страница 1 из 1
|
[ Сообщений: 4 ] |
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 8 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|