D-Link • Просмотр темы - Помогите настроить ipsec между DFL-2500 и DFL-210

Сообщения без ответов | Активные темы

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

Помогите настроить ipsec между DFL-2500 и DFL-210

Модераторы: Sergei Asmankin, Sergik, Vitaliy Korkunov

Страница 1 из 1

[ Сообщений: 6 ]

Предыдущая тема | Следующая тема

Автор

Сообщение

ipsec

Заголовок сообщения: Помогите настроить ipsec между DFL-2500 и DFL-210

Добавлено: Пт апр 10, 2009 22:20

Зарегистрирован: Пт апр 10, 2009 21:51
Сообщений: 3

пробую настроить ipsec используя сертификаты,
но в процесе создания тоннеля появляється ошибка связанная с XAUTH. хост к которому соединяюсь ( dfl-2500 ) шлет XAUTH-USER-NAME/XAUTH-USER-PASSWORD. Xauth выключен ( Off ) в настройках тоннеля как на 2500 так и на 210.

лог ikesnoop -on -verbose

Код:

2009-04-10 21:23:20: IkeSnoop: Sending IKE packet to 222.222.222.222:500
Exchange type  : CFG mode
ISAKMP Version : 1.0
Flags          : E (encryption)
Cookies        : 0x1517c41a1d47192 -> 0xbd7aa9e9952defc3
Message ID     : 0x600cd1dc
Packet length  : 68 bytes
# payloads     : 2
Payloads:
  HASH (Hash)
    Payload data length : 20 bytes
  CfgMode Attribute
    Payload data length : 12 bytes
    Message type        : Cfg Request
    Identifier          : 1
    Attributes
      Attribute type : XAUTH-USER-NAME
      Attribute type : XAUTH-USER-PASSWORD

2009-04-10 21:23:20: IkeSnoop: Received IKE packet from 111.111.111.111:500
2009-04-10 21:23:20: IkeSnoop: Received IKE packet from 111.111.111.111:500
Exchange type  : CFG mode
ISAKMP Version : 1.0
Flags          : E (encryption)
Cookies        : 0x1517c41a1d47192 -> 0xbd7aa9e9952defc3
Message ID     : 0x600cd1dc
Packet length  : 64 bytes
# payloads     : 2
Payloads:
  HASH (Hash)
    Payload data length : 20 bytes
  CfgMode Attribute
    Payload data length : 8 bytes
    Message type        : Cfg Reply
    Identifier          : 1
    Attributes
      Attribute type : XAUTH-STATUS
      Attribute value: FAIL

Лог с web-ui

Код:

2009-04-10
21:44:36 Info IPSEC
1802708   
 
 
 ike_sa_destroyed
ike_sa_killed 
ike_sa=" Initiator SPI ESP=0xdcaf5a18, AH=0xf8e66b48, IPComp=0x6e3f96c"  
2009-04-10
21:44:36 Info IPSEC
1803021   
 
 
 ipsec_sa_statistics
 
done=998 success=0 failed=998  
2009-04-10
21:44:36 Warning IPSEC
1800109   
 
 
 ike_quickmode_failed
 
local_ip=222.222.222.222 remote_ip=111.111.111.111 cookies=185aafdc486be6f8cc963f6e8f25d8e1 reason="Aborted notification"  
2009-04-10
21:44:36 Warning IPSEC
1803020   
 
 
 ipsec_sa_failed
no_ipsec_sa 
statusmsg="Aborted notification"  
2009-04-10
21:44:36 Info IPSEC
1802703   
 
 
 ike_sa_negotiation_completed
ike_sa_completed 
local_peer="222.222.222.222 ID der_asn1_dn(any:0,[0..146]=CN=qwerty" remote_peer="111.111.111.111 ID der_asn1_dn(any:0,[0..137]=CN=qwerty" initiator_spi="185aafdc 486be6f8" responder_spi="cc963f6e 8f25d8e1" int_severity=6  
2009-04-10
21:44:36 Info IPSEC
1800102   
 
 
 ipsec_event
 
message="IPSec SA [Responder] negotiation failed:"  
2009-04-10
21:44:36 Warning IPSEC
1802715   
 
 
 event_on_ike_sa
 
side=Responder msg="authorization failed" int_severity=6  
2009-04-10
21:44:36 Info IPSEC
1803024   
 
 
 xauth_exchange_done
 
statusmsg="Authentication failed"  
2009-04-10
21:44:36 Info IPSEC
1802703   
 
 
 ike_sa_negotiation_completed
ike_sa_completed 
local_peer="222.222.222.222 ID der_asn1_dn(any:0,[0..146]=CN=qwerty" remote_peer="111.111.111.111 ID der_asn1_dn(any:0,[0..137]=CN=qwerty" initiator_spi="185aafdc 486be6f8" responder_spi="cc963f6e 8f25d8e1" 

Вернуться наверх

Cranium

Заголовок сообщения:

Добавлено: Сб апр 11, 2009 01:20

Зарегистрирован: Чт янв 17, 2008 16:37
Сообщений: 478

а если задать XAUTH на обоих девайсах - соединяются?

p/s ID list в сертифкатах используете?

Вернуться наверх

ipsec

Заголовок сообщения:

Добавлено: Сб апр 11, 2009 09:31

Зарегистрирован: Пт апр 10, 2009 21:51
Сообщений: 3

Id lists есть, по email

в настройках xauth есть 3 варианта
1. Off
2. Require IKE XAuth user authentication for inbound IPsec tunnels
3. Pass username and password to peer via IKE XAuth, if the remote gateway requires it.

я попробовал каждый (чтобы хоть как то поднять), соответсвенно добавлялись пользователи в LocalUserDB, права использования ( XAuth )

но дело в том, что XAuth стоит в Off на обоих концах, а оно почему-то шлет.

Вернуться наверх

Cranium

Заголовок сообщения:

Добавлено: Пн апр 13, 2009 08:38

Зарегистрирован: Чт янв 17, 2008 16:37
Сообщений: 478

ipsec писал(а):

переделайте ID list на "Distinguished name" , но впишите тока email.
У меня такой же косяк был ), чисто Id с type Email only - не корректно отрабатывает - 100%.
ошибку не вспомнию но кажется имеено и ругался Xauth меня это тоже в ступор ставило. а оказалось совсем другой "Xuath...".
В любом случае можете прост оотключить использования ID для теста, я думаю у вас всё сразу соединится, если никаких других косяков с сертификатом нет.

Вернуться наверх

ipsec

Заголовок сообщения:

Добавлено: Пн апр 13, 2009 15:40

Зарегистрирован: Пт апр 10, 2009 21:51
Сообщений: 3

спасибо. пошло!!!

Вернуться наверх

Cranium

Заголовок сообщения:

Добавлено: Вт апр 14, 2009 13:01

Зарегистрирован: Чт янв 17, 2008 16:37
Сообщений: 478

ipsec писал(а):

спасибо. пошло!!!

=)

p/s а сертификаты чем генерили? и как заливали - " локально" или удалось через внешний CA заставить DFL забирать\опрашивать CRL?
или просто 2 self-signed сертификата?

Вернуться наверх

Страница 1 из 1

[ Сообщений: 6 ]

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 287

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения