The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"ezvpn клиент  871 роутер нехочет аутентифицироваться на pix ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [Проследить за развитием треда]

"ezvpn клиент  871 роутер нехочет аутентифицироваться на pix ..."  
Сообщение от shtopor (ok) on 25-Май-07, 10:54 
на 871 роутере
crypto ipsec ezvpnclient vpn
  connect auto
  group vpngrp key passwdgrp
  mode network-extention
  peer 1.2.3.4
  username uservpn password pssswd
  xauth userid mode local

софтварный клиент к пиксу цепляется и запрашивает имя пароль а этот замирает. если на пиксе убрать аутентификацию(no crypto map mymap client authentication LOCAL) тунель поднимается...
в дебаге isakmp pix останавливается на запросе XAUTH_USER XAUTH_PASSWORD идальше пошли повторы запросов.
в чем беда?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "ezvpn клиент  871 роутер нехочет аутентифицироваться на pix ..."  
Сообщение от Val email(??) on 25-Май-07, 17:00 
>на 871 роутере
>crypto ipsec ezvpnclient vpn
>  connect auto
>  group vpngrp key passwdgrp
>  mode network-extention
>  peer 1.2.3.4
>  username uservpn password pssswd
>  xauth userid mode local
>
>софтварный клиент к пиксу цепляется и запрашивает имя пароль а этот замирает.
>если на пиксе убрать аутентификацию(no crypto map mymap client authentication LOCAL)
>тунель поднимается...
>в дебаге isakmp pix останавливается на запросе XAUTH_USER XAUTH_PASSWORD идальше пошли повторы
>запросов.
>в чем беда?

crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key **** address *.*.*.* no-xauth

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "ezvpn клиент  871 роутер нехочет аутентифицироваться на pix ..."  
Сообщение от shtopor (ok) on 26-Май-07, 14:34 

>crypto isakmp policy 1
> encr 3des
> authentication pre-share
> group 2
>crypto isakmp key **** address *.*.*.* no-xauth

а что значит последняя строчка? отключить аутентификацию? хочется чтобы работала ... или я чегото не понимаю?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "ezvpn клиент  871 роутер нехочет аутентифицироваться на pix ..."  
Сообщение от Val email(??) on 29-Май-07, 22:14 
>
>>crypto isakmp policy 1
>> encr 3des
>> authentication pre-share
>> group 2
>>crypto isakmp key **** address *.*.*.* no-xauth
>
>а что значит последняя строчка? отключить аутентификацию? хочется чтобы работала ... или
>я чегото не понимаю?

Вообще, это из конфига 871 роутера, если он выступает сервером, а для пикса посмотрите http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a0080809222.shtml

- там есть re-xauth disable;
да вообще, пройдитесь по

http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/prod_configuration_examples_list.html#anchor9

там много интересного есть.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "ezvpn клиент  871 роутер нехочет аутентифицироваться на pix ..."  
Сообщение от shtopor (ok) on 30-Май-07, 23:21 
>>
>>>crypto isakmp policy 1
>>> encr 3des
>>> authentication pre-share
>>> group 2
>>>crypto isakmp key **** address *.*.*.* no-xauth
>>
>>а что значит последняя строчка? отключить аутентификацию? хочется чтобы работала ... или
>>я чегото не понимаю?
>
>Вообще, это из конфига 871 роутера, если он выступает сервером, а для
>пикса посмотрите http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a0080809222.shtml
>
>- там есть re-xauth disable;
здесь я вас не понял вы предлагаете нафиг на пиксе отключить аутентификацию? если да то задача как раз обратная заставить ее работать.
>да вообще, пройдитесь по
>
>http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/prod_configuration_examples_list.html#anchor9
>
>там много интересного есть.
первый документ читал и он мне очень помог с  871, там написано, в разделе где проверь себя при настройке xauth interactive должен выдать предложение логин пароля, куда выдать? на консоль? не разу невидел ни на сериальной ни на телнете.
однако pix у меня 515 6.3 только счас заметил, что тему ограничитель обкусил :( отличия от 7 очень (радикально) сильные
со второй ссылкой там есть в чем поковырять,
тут возникла нежданно негадонно еще проблема 871 не поднимает тунель при перезагрузке пикса!!! пока не пройдет idletime как заставить его пользовать на isakmp соединении alive пакеты?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "ezvpn клиент  871 роутер нехочет аутентифицироваться на pix ..."  
Сообщение от Val email(??) on 31-Май-07, 18:04 
Похоже, Вы запутались в методах аутентификации. Софтварный клиент использует (обычно) xauth - eXtended Authentification - расширенную аутентификацию с вводом (интерактивным)имени/пароля.
Если так настраивать роутер (и, соответственно - PIX), то на консоли роутера при ручном поднятии туннеля должен быть тот самый запрос (если и PIX настроен соотв. орбразом).
Вам нужен, если я правильно понимаю, Site-to-Site VPN - а это немного по другому :)) И без xauth.

>> еще проблема 871 не поднимает тунель при перезагрузке пикса
Почитайте (поищите) про Dead Peer Detection.
И в общем случае, если все настроено нормально, то при попытке доступа клиента из сети за роутером в сеть за пиксом туннель (Site-to-Site VPN)поднимается за пару секунд.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "ezvpn клиент  871 роутер нехочет аутентифицироваться на pix ..."  
Сообщение от shtopor (ok) on 31-Май-07, 18:37 
>Похоже, Вы запутались в методах аутентификации. Софтварный клиент использует (обычно) xauth -
>eXtended Authentification - расширенную аутентификацию с вводом (интерактивным)имени/пароля.
именно?
>Если так настраивать роутер (и, соответственно - PIX), то на консоли роутера
>при ручном поднятии туннеля должен быть тот самый запрос (если и
>PIX настроен соотв. орбразом).
настроена. в мануале написано: после того как вы сконфигурили оба девайса тунель попытается подняться автоматически и на терминале вы увидите xauth запрос, после ручного ввода имени ипароля все запустится.
не вижу запроса:(
как поднимать в ручную я еще не освоил занимаюсь с цисками  2 недели :( из которых три читаю cisco.com...
>Вам нужен, если я правильно понимаю, Site-to-Site VPN - а это немного
>по другому :)) И без xauth.
тоесть xauth  в режиме network-extension не работает? тогда зачем нужены параметры
username USERNAME password PASSWORD
xauth userid mode local
>
>>> еще проблема 871 не поднимает тунель при перезагрузке пикса
>Почитайте (поищите) про Dead Peer Detection.
>И в общем случае, если все настроено нормально, то при попытке доступа
>клиента из сети за роутером в сеть за пиксом туннель (Site-to-Site
>VPN)поднимается за пару секунд.
незнаю изза чего начал оживать после пары перезагрузок... ничего не понимаю...


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "ezvpn клиент  871 роутер нехочет аутентифицироваться на pix ..."  
Сообщение от Val email(??) on 31-Май-07, 18:50 
>тоесть xauth  в режиме network-extension не работает? тогда зачем нужены параметры
>
>username USERNAME password PASSWORD
>xauth userid mode local
>>
да не нужен Вам xauth ! Еще раз - читайте про Site-to-Site VPN. И методы аутентификации.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру