Добрый день!
Пытаюсь настроить сервер EasyVPN на Cisco 871. Поднял CA, настроил truspoint:
!
crypto pki trustpoint LeoCA-local
enrollment url http://212.74.240.XXX:80
fqdn none
ip-address 212.74.240.XXX
revocation-check none
auto-enroll
!
Получил сертификат от этой truspoint с идентификацией по ip-адресу (вводил его ручками в процессе получения). При попытке соединиться на клиенте CiscoVPN влогах следующее:
...
14 17:18:17.622 02/05/10 Sev=Info/4 CERT/0x63600015
Cert (1.2.840.113549.1.9.8=#130e3231322e37342e3234302e313934) verification succeeded.15 17:18:17.622 02/05/10 Sev=Warning/3 IKE/0xE3000081
Invalid remote certificate id: ID_IPV4_ADDR: ID = 0xB2F04AD4, Certificate = 0x0000000016 17:18:17.622 02/05/10 Sev=Warning/3 IKE/0xE3000059
The peer's certificate doesn't match Phase 1 ID17 17:18:17.622 02/05/10 Sev=Warning/2 IKE/0xE30000A7
Unexpected SW error occurred while processing Identity Protection (Main Mode) negotiator:(Navigator:2263)
...
Почему в сертификате вместо ip-адреса значится 0x00000000 ? Что не так делаю?
Друзья, неужели никто не имел дела с PKI на цисках? Может кто поделиться работающим куском конфига? Пример, который нашел на cisco.com (http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...) не подходит, т.к. там описана ситуация с одним EasyVPN, а у меня ещё и каналы IPsec site-to-site.
>Друзья, неужели никто не имел дела с PKI на цисках? Может кто
>поделиться работающим куском конфига? Пример, который нашел на cisco.com (http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...) не
>подходит, т.к. там описана ситуация с одним EasyVPN, а у меня
>ещё и каналы IPsec site-to-site.Попробуйте добавить
crypto isakmp identity dn
>
>Попробуйте добавить
>crypto isakmp identity dn
>Спасибо, точно помогло, теперь 1-я фаза устанавливается, в логах клиента:
= Established Phase 1 SA. 1 Crypto Active IKE SA, 1 User Authenticated IKE SA in the system
Однако возникла следующая проблема, почему-то клиент не получает адреса:
= No private IP address was assigned by the peer
= Failed to process ModeCfg Reply (NavigatorTM:175)В конфиге вроде все по мануалу сделано:
...
crypto isakmp client configuration group LeoHome
domain leo.ru
pool vpnpool
acl 101
netmask 255.255.255.0ip local pool vpnpool 192.168.100.10 192.168.100.50
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.100.0 0.0.0.255interface Vlan1
ip address 192.168.1.254 255.255.255.0
...В чем может быть трабл?
>
>Однако возникла следующая проблема, почему-то клиент не получает адреса:
>
>= No private IP address was assigned by the peer
>= Failed to process ModeCfg Reply (NavigatorTM:175)
>
>
>В чем может быть трабл?Все, разобрался. Просто пытался связать клиента из подсети офиса, который уже имеет ipsec канал site-to-site с этой циской. Из дома сразу соединился.
Спасибо за первую подсказку, теперь сам разобрался как удобно использовать "crypto isakmp identity dn". Эта настройка указывает использовать для заполнения поля identity имя dn (distinguished name) из сертификата роутера. Т.к. клиент всегда получает сертификат роутера при переговорах ISAKMP, то ему не составляет труда прочитать из него имя dn и сравнить его с содержимым поля identity.
Кстати с "crypto isakmp identity address" думаю тоже бы заработало, если бы сертификат роутера изначально был создан с использованием ip-адреса (нужно как-нить проверить).
Добрый день, похожая ситуация, не могли бы скинуть конфиг.