форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"ezvpn клиент  871 роутер нехочет аутентифицироваться на pix ..."

Сообщение от shtopor (ok) on 25-Май-07, 10:54

на 871 роутере crypto ipsec ezvpnclient vpn   connect auto   group vpngrp key passwdgrp   mode network-extention   peer 1.2.3.4   username uservpn password pssswd   xauth userid mode local софтварный клиент к пиксу цепляется и запрашивает имя пароль а этот замирает. если на пиксе убрать аутентификацию(no crypto map mymap client authentication LOCAL) тунель поднимается... в дебаге isakmp pix останавливается на запросе XAUTH_USER XAUTH_PASSWORD идальше пошли повторы запросов. в чем беда?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени, UBB]

1. "ezvpn клиент  871 роутер нехочет аутентифицироваться на pix ..."

Сообщение от Val (??) on 25-Май-07, 17:00

>на 871 роутере >crypto ipsec ezvpnclient vpn >  connect auto >  group vpngrp key passwdgrp >  mode network-extention >  peer 1.2.3.4 >  username uservpn password pssswd >  xauth userid mode local > >софтварный клиент к пиксу цепляется и запрашивает имя пароль а этот замирает. >если на пиксе убрать аутентификацию(no crypto map mymap client authentication LOCAL) >тунель поднимается... >в дебаге isakmp pix останавливается на запросе XAUTH_USER XAUTH_PASSWORD идальше пошли повторы >запросов. >в чем беда? crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp key **** address *.*.*.* no-xauth

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "ezvpn клиент  871 роутер нехочет аутентифицироваться на pix ..."
	Сообщение от shtopor (ok) on 26-Май-07, 14:34
	>crypto isakmp policy 1 > encr 3des > authentication pre-share > group 2 >crypto isakmp key **** address *.*.*.* no-xauth а что значит последняя строчка? отключить аутентификацию? хочется чтобы работала ... или я чегото не понимаю?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "ezvpn клиент  871 роутер нехочет аутентифицироваться на pix ..."
	Сообщение от Val (??) on 29-Май-07, 22:14
	> >>crypto isakmp policy 1 >> encr 3des >> authentication pre-share >> group 2 >>crypto isakmp key **** address *.*.*.* no-xauth > >а что значит последняя строчка? отключить аутентификацию? хочется чтобы работала ... или >я чегото не понимаю? Вообще, это из конфига 871 роутера, если он выступает сервером, а для пикса посмотрите http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a0080809222.shtml - там есть re-xauth disable; да вообще, пройдитесь по http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/prod_configuration_examples_list.html#anchor9 там много интересного есть.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "ezvpn клиент  871 роутер нехочет аутентифицироваться на pix ..."
	Сообщение от shtopor (ok) on 30-Май-07, 23:21
	>> >>>crypto isakmp policy 1 >>> encr 3des >>> authentication pre-share >>> group 2 >>>crypto isakmp key **** address *.*.*.* no-xauth >> >>а что значит последняя строчка? отключить аутентификацию? хочется чтобы работала ... или >>я чегото не понимаю? > >Вообще, это из конфига 871 роутера, если он выступает сервером, а для >пикса посмотрите http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a0080809222.shtml > >- там есть re-xauth disable; здесь я вас не понял вы предлагаете нафиг на пиксе отключить аутентификацию? если да то задача как раз обратная заставить ее работать. >да вообще, пройдитесь по > >http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/prod_configuration_examples_list.html#anchor9 > >там много интересного есть. первый документ читал и он мне очень помог с  871, там написано, в разделе где проверь себя при настройке xauth interactive должен выдать предложение логин пароля, куда выдать? на консоль? не разу невидел ни на сериальной ни на телнете. однако pix у меня 515 6.3 только счас заметил, что тему ограничитель обкусил :( отличия от 7 очень (радикально) сильные со второй ссылкой там есть в чем поковырять, тут возникла нежданно негадонно еще проблема 871 не поднимает тунель при перезагрузке пикса!!! пока не пройдет idletime как заставить его пользовать на isakmp соединении alive пакеты?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "ezvpn клиент  871 роутер нехочет аутентифицироваться на pix ..."
	Сообщение от Val (??) on 31-Май-07, 18:04
	Похоже, Вы запутались в методах аутентификации. Софтварный клиент использует (обычно) xauth - eXtended Authentification - расширенную аутентификацию с вводом (интерактивным)имени/пароля. Если так настраивать роутер (и, соответственно - PIX), то на консоли роутера при ручном поднятии туннеля должен быть тот самый запрос (если и PIX настроен соотв. орбразом). Вам нужен, если я правильно понимаю, Site-to-Site VPN - а это немного по другому :)) И без xauth. >> еще проблема 871 не поднимает тунель при перезагрузке пикса Почитайте (поищите) про Dead Peer Detection. И в общем случае, если все настроено нормально, то при попытке доступа клиента из сети за роутером в сеть за пиксом туннель (Site-to-Site VPN)поднимается за пару секунд.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "ezvpn клиент  871 роутер нехочет аутентифицироваться на pix ..."
	Сообщение от shtopor (ok) on 31-Май-07, 18:37
	>Похоже, Вы запутались в методах аутентификации. Софтварный клиент использует (обычно) xauth - >eXtended Authentification - расширенную аутентификацию с вводом (интерактивным)имени/пароля. именно? >Если так настраивать роутер (и, соответственно - PIX), то на консоли роутера >при ручном поднятии туннеля должен быть тот самый запрос (если и >PIX настроен соотв. орбразом). настроена. в мануале написано: после того как вы сконфигурили оба девайса тунель попытается подняться автоматически и на терминале вы увидите xauth запрос, после ручного ввода имени ипароля все запустится. не вижу запроса:( как поднимать в ручную я еще не освоил занимаюсь с цисками  2 недели :( из которых три читаю cisco.com... >Вам нужен, если я правильно понимаю, Site-to-Site VPN - а это немного >по другому :)) И без xauth. тоесть xauth  в режиме network-extension не работает? тогда зачем нужены параметры username USERNAME password PASSWORD xauth userid mode local > >>> еще проблема 871 не поднимает тунель при перезагрузке пикса >Почитайте (поищите) про Dead Peer Detection. >И в общем случае, если все настроено нормально, то при попытке доступа >клиента из сети за роутером в сеть за пиксом туннель (Site-to-Site >VPN)поднимается за пару секунд. незнаю изза чего начал оживать после пары перезагрузок... ничего не понимаю...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "ezvpn клиент  871 роутер нехочет аутентифицироваться на pix ..."
	Сообщение от Val (??) on 31-Май-07, 18:50
	>тоесть xauth  в режиме network-extension не работает? тогда зачем нужены параметры > >username USERNAME password PASSWORD >xauth userid mode local >> да не нужен Вам xauth ! Еще раз - читайте про Site-to-Site VPN. И методы аутентификации.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]