セキュリティと VPN : IPSec ネゴシエーション/IKE プロトコル

拡張認証を使った、IPSec - PIX からの Cisco VPN クライアント ワイルド カード、事前共有、モードの設定

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2003 年 2 月 14 日) | 英語版 (2015 年 8 月 24 日) | フィードバック


目次


概要

この設定例はワイルドカード、mode-config、sysopt connection permit-ipsec コマンドおよび拡大認証 (XAUTH)を使用して PIXファイアウォールに VPN クライアントを接続する方法を示します。

TACACS+ および RADIUSコンフィギュレーションを PIX 6.3 およびそれ以降については見るために、PIX 6.3 および PIX/ASA 7.x 設定例のための TACACS+ および RADIUS を参照して下さい。

VPN クライアントは Cisco VPN Client リリース 3.6.1 およびそれ以降のおよび PIXファイアウォール 6.3 の暗号化アルゴリズムとして Advanced Encryption Standard (AES)をサポートします。 VPN クライアントは 128 ビットだけおよび 256 ビットのキーサイズをサポートします。 AES を設定する方法に関する詳細については AES で PIX に Cisco VPN Client を設定する方法を参照して下さい。

Microsoft Windows 2003 Internet Authentication Service (IAS) RADIUSサーバを使用して Cisco VPN Client (Windows のための 4.x)と PIX 500 シリーズ セキュリティ アプライアンス モデル 7.x 間のリモートアクセスVPN接続を設定するために Microsoft Windows 2003 IAS RADIUS認証 設定例の Windows のための PIX/ASA 7.x および Cisco VPN Client 4.x を参照して下さい。

ユーザ認証とアカウンティングに RADIUS を使用して Cisco VPN 3000 コンセントレータと Cisco VPN Client 4.x for Windows の間に IPSec トンネルを確立する方法については、『ユーザ認証とアカウンティングに RADIUS を使用した VPN 3000 コンセントレータと VPN Client 4.x for Windows 間の IPSec 設定例』を参照してください。

ユーザ認証に RADIUS を使用してルータと Cisco VPN Client 4.x の間の接続を設定する方法については、『RADIUS を使用した Cisco IOS ルータと Cisco VPN Client 4.x for Windows 間の IPSec の設定』を参照してください。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco VPN Client 4.x。 この製品には Cisco Secure VPN Client 1.x にはない、高度な VPN 機能が搭載されています。

  • PIXファイアウォール 515E バージョン 6.3(3)。

暗号化テクノロジーは輸出規制の対象になります。 暗号化テクノロジーの輸出に関連する法規を理解することは、お客様の責任となります。 詳細については、輸出管理局 Webサイトを参照して下さいleavingcisco.com 。 輸出規制に関する詳細については、電子メールで export@cisco.com までお問い合わせください。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

関連する access-listコンジット、または IPSec接続を access-group コマンドのチェックをバイパスすることを IPSecトンネルから来る sysopt connection permit-ipsec コマンドは自動的にパケットを許可します。 Xauth は外部 TACACS+ か RADIUSサーバに IPSecユーザを認証します。 ワイルドカード事前共有キーに加えて、ユーザは username/password を提供する必要があります。

VPN クライアントのユーザは ISP から IP アドレスを受け取ります。 これは PIX の IP アドレス プールからの IP アドレスと取替えられます。 ユーザはファイアウォールの内部にあるすべて(ネットワークを含む)にアクセスできます。 VPN クライアントを実行しないユーザは静的割り当てによって提供される外部アドレスを使用して Webサーバにだけ接続できます。

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

このドキュメントで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク図

このドキュメントでは、次のネットワーク構成を使用しています。

b-1.gif

ネットワーク ダイアグラムに関する注記

  • グローバルIPアドレス 192.168.1.1 を使用して Webサーバにアクセスするインターネットホストは VPN 接続が確立されなくても認証されます。 このトラフィックは暗号化されません。

  • VPN クライアントは IPSecトンネルが確立されれば内部ネットワーク(10.89.129.128 /25)のすべてのホストにアクセスできます。 VPN クライアントからの PIXファイアウォールへのすべてのトラフィックは暗号化されます。 IPSecトンネルなしで、彼らがグローバルIPアドレスによって Webサーバだけにアクセスできますが、まだ認証するために必要となります。

  • VPN Client はインターネットから到達するので、IP アドレスは事前にはわかりません。

設定

このドキュメントでは、次の設定を使用します。

PIX 設定 6.3(3)
pixfirewall#show run
: Saved
:
PIX Version 6.3(3)
interface ethernet0 100full
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names

!--- Do not use Network Address Translation (NAT) for inside-to-pool
!--- traffic. This should not go through NAT.

access-list 101 permit ip 10.89.129.128 255.255.255.240 10.89.129.192 255.255.255.240

!--- Permits Internet Control Message Protocol (ICMP)
!--- Transmission Control Protocol (TCP) and User Datagram Protocol (UDP)
!--- traffic from any host on the Internet (non-VPN) to the web server.

access-list 120 permit icmp any host 10.89.129.131
access-list 120 permit tcp any host 10.89.129.131
access-list 120 permit udp any host 10.89.129.131

pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside 192.168.1.1 255.255.255.0
ip address inside 10.89.129.194 255.255.255.240
ip audit info action alarm
ip audit attack action alarm

!--- Specifies the inside IP address range to be assigned
!--- to the VPN Clients.

ip local pool VPNpool 10.89.129.200-10.89.129.204
no failover
failover timeout 0:00:00
failover poll 15
no failover ip address outside
no failover ip address inside
pdm history enable
arp timeout 14400

!--- Defines a pool of global addresses to be used by NAT.

global (outside) 1 192.168.1.6-192.168.1.10

nat (inside) 0 access-list 101
nat (inside) 1 0.0.0.0 0.0.0.0 0 0

!--- Specifies which outside IP address to apply to the web server.

static (inside,outside) 192.168.1.11 10.89.129.131 netmask 255.255.255.255 0 0

!--- Apply ACL 120 to the outside interface in the inbound direction.

access-group 120 in interface outside

!--- Defines a default route for the PIX.

route outside 0.0.0.0 0.0.0.0 192.168.1.3 1

!--- Defines a route for traffic within the PIX's
!--- subnet to reach other inside hosts.

route inside 10.89.129.128 255.255.255.128 10.89.129.193 1

timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local


!--- Authentication, authorization, and accounting (AAA) statements 
!--- for authentication.
!--- Use either of these statements to define the protocol of the group AuthInbound.
!--- You cannot use both.

aaa-server AuthInbound protocol tacacs+


!--- OR

aaa-server AuthInbound protocol radius


!--- After you define the protocol of the group AuthInbound, define 
!--- a server of the same type.
!--- In this case we specify the TACACS+ server and key of "secretkey".

aaa-server AuthInbound (inside) host 10.89.129.134 secretkey timeout 10


!--- Authenticate HTTP, FTP, and Telnet traffic to the web server.

aaa authentication include http outside 
10.89.129.131 255.255.255.255 0.0.0.0 0.0.0.0 AuthInbound

aaa authentication include ftp outside
 10.89.129.131 255.255.255.255 0.0.0.0 0.0.0.0 AuthInbound

aaa authentication include telnet outside 
10.89.129.131 255.255.255.255 0.0.0.0 0.0.0.0 AuthInbound

no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable

!--- Trust IPsec traffic and avoid going through ACLs/NAT.

sysopt connection permit-ipsec

!--- IPsec and dynamic map configuration.

crypto ipsec transform-set myset esp-des esp-md5-hmac
crypto dynamic-map dynmap 10 set transform-set myset
crypto map mymap 10 ipsec-isakmp dynamic dynmap

!--- Assign IP address for VPN 1.1 Clients.

crypto map mymap client configuration address initiate
crypto map mymap client configuration address respond

!--- Use the AAA server for authentication (AuthInbound).

crypto map mymap client authentication AuthInbound

!--- Apply the IPsec/AAA/ISAKMP configuration to the outside interface.

crypto map mymap interface outside
isakmp enable outside

!--- Pre-shared key for VPN 1.1 Clients.

isakmp key ******** address 0.0.0.0 netmask 0.0.0.0
isakmp identity address

!--- Assign address from "VPNpool" pool for VPN 1.1 Clients.

isakmp client configuration address-pool local VPNpool outside

!--- ISAKMP configuration for VPN Client 3.x/4.x.

isakmp policy 10 authentication pre-share
isakmp policy 10 encryption des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400

!--- ISAKMP configuration for VPN Client 1.x.

isakmp policy 20 authentication pre-share
isakmp policy 20 encryption des
isakmp policy 20 hash md5
isakmp policy 20 group 1
isakmp policy 20 lifetime 86400

!--- Assign addresses from "VPNpool" for VPN Client 3.x/4.x.

vpngroup vpn3000 address-pool VPNpool

vpngroup vpn3000 idle-time 1800


!--- Group password for VPN Client 3.x/4.x (not shown in configuration).

vpngroup vpn3000 password ********
telnet timeout 5
ssh timeout 5
console timeout 0
terminal width 80
Cryptochecksum:ba54c063d94989cbd79076955dbfeefc
: end
pixfirewall#

VPN クライアント 4.0.5 設定

VPN クライアント 4.0.5 を設定するためにこれらのステップを完了して下さい。

  1. [Start] > [Programs] > [Cisco Systems VPN Client] > [VPN Client] の順に選択します。

  2. [New] をクリックして、[Create New VPN Connection Entry] ウィンドウを開きます。

    /image/gif/paws/10967/b-2.gif

  3. 接続エントリの名前と説明を入力します。 Host ボックスに PIX Firewall の Outside の IP アドレスを入力します。 次に、VPN グループ名とパスワードを入力し、[Save] をクリックします。

    /image/gif/paws/10967/b-3.gif

  4. VPN クライアント メイン ウィンドウから、Connect ボタンを使用し、クリックすることを望む接続をクリックして下さい。

    /image/gif/paws/10967/b-4.gif

  5. ダイアログボックスが表示されたら、Xauth のユーザ名とパスワード情報を入力して [OK] をクリックし、リモート ネットワークに接続します。

    /image/gif/paws/10967/b-5.gif

VPN Client 3.5 の設定

VPN Client 3.5 設定を設定するためにこれらのステップを完了して下さい。

  1. Start > Programs > Cisco Systems VPN Client > VPN Dialer の順に選択 して下さい。

  2. New をクリックして New Connection Entry Wizard を起動します。

  3. 新しい接続エントリの名前を入力して Next をクリックします。

    /image/gif/paws/10967/b-6.gif

  4. リモートサーバに接続し、『Next』 をクリック するのに使用する IP アドレスかサーバのホスト名を入力して下さい。

    /image/gif/paws/10967/b-7.gif

  5. リモートサーバにアクセスを認証するのに使用する名前をおよびパスワードを『Group Access Information』 を選択 し、入力して下さい。 [Next] をクリックします。

    b-8.gif

  6. Finish をクリックして新しいエントリを保存します。

    /image/gif/paws/10967/b-9.gif

  7. ダイヤラで Connection Entry を選択し、Connect をクリックします。

    b-10.gif

  8. ダイアログボックスが表示されたら、Xauth のユーザ名とパスワード情報を入力して [OK] をクリックし、リモート ネットワークに接続します。

    /image/gif/paws/10967/b-11.gif

VPN Client 1.1 設定
Network Security policy: 
 1- TACconn
     My Identity
          Connection security: Secure
          Remote Party Identity and addressing
          ID Type: IP subnet
          10.89.129.128
          255.255.255.128
          Port all Protocol all


     Connect using secure tunnel

          ID Type: IP address
          192.168.1.1


     Pre-shared Key=cisco1234


     Authentication (Phase 1)

     Proposal 1
         Authentication method: pre-shared key
         Encryp Alg: DES
         Hash Alg: MD5
         SA life: Unspecified
         Key Group: DH 1

     Key exchange (Phase 2)

     Proposal 1
         Encapsulation ESP
         Encrypt Alg: DES
         Hash Alg: MD5
         Encap: tunnel
         SA life: Unspecified
         no AH

 2- Other Connections
        Connection security: Non-secure
        Local Network Interface
          Name: Any
          IP Addr: Any
          Port: All

アカウンティングの追加

アカウンティングを追加するためのコマンドの構文は次のとおりです。

aaa accounting include acctg_service
   inbound|outbound l_ip l_mask [f_ip f_mask] server_tag
 

たとえば、PIX 設定で、このコマンドは追加されます:

aaa accounting include any inbound 
0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 AuthInbound

xauth アカウンティングが動作するには、sysopt ipsec pl-compatible コマンドではなく、sysopt connection permit-ipsec コマンドが必要です。 Xauth アカウンティングは、sysopt ipsec pl-compatible コマンドだけでは動作しません。 Xauth アカウンティングは TCP 接続に有効です。ICMP または UDP には有効ではありません。

この出力は TACACS+ アカウンティング レコードの例です:

07/27/2004 15:17:54 cisco_customer Default Group 10.89.129.200 stop 15 .. 99 1879 .. .. 
   0x5 .. PIX 10.89.129.194 telnet 
07/27/2004 15:17:39 cisco_customer Default Group 10.89.129.200 start .. .. .. .. .. .. 
   0x5 .. PIX 10.89.129.194 telnet

確認

ここでは、設定が正常に動作していることを確認します。

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

クライアント側のデバッグを参照することを Ciscoセキュアログビューアが可能にして下さい。

  • debug crypto ipsec — フェーズ2 の IPSec ネゴシエーションを見るのに使用しました。

  • debug crypto isakmp — フェーズ1 の ISAKMP ネゴシエーションを見るのに使用しました。

トラブルシューティング

ここでは、設定のトラブルシューティングに役立つ情報について説明します。 デバッグ出力例も紹介しています。

トラブルシューティングのためのコマンド

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

  • debug crypto engine - 暗号化エンジン プロセスのデバッグを行います。

PIX のデバッグ例

pixfirewall#show debug
debug crypto ipsec 1
debug crypto isakmp 1
debug crypto engine
debug fover status
     tx      Off
     rx      Off
     open    Off
     cable   Off
     txdmp   Off
     rxdmp   Off
     ifc     Off
     rxip    Off
     txip    Off
     get     Off
     put     Off
     verify  Off
     switch  Off
     fail    Off
     fmsg    Off

VPN クライアント 4.x のデバッグ

pixfirewall#
crypto_isakmp_process_block: src 192.168.1.2, dest 192.168.1.1
VPN Peer: ISAKMP: Added new peer: ip:192.168.1.2
Total VPN Peers:1
VPN Peer: ISAKMP: Peer ip:192.168.1.2 Ref cnt incremented 
to:1 Total VPN Peers:1
OAK_AG exchange
ISAKMP (0): processing SA payload. message ID = 0

ISAKMP (0): Checking ISAKMP transform 1 against priority 10 policy
ISAKMP:    encryption 3DES-CBC
ISAKMP:      hash SHA
ISAKMP:      default group 2
ISAKMP:      extended auth pre-share
ISAKMP:      life type in seconds
ISAKMP:      life duration (VPI) of 0x0 0x20 0xc4 0x9b
ISAKMP (0): atts are not acceptable. Next payload is 3
ISAKMP (0): Checking ISAKMP transform 2 against priority 10 policy
ISAKMP:      encryption 3DES-CBC
ISAKMP:      hash MD5
ISAKMP:      default group 2
ISAKMP:      extended auth pre-share
ISAKMP:      life type in seconds
ISAKMP:      life duration (VPI) of 0x0 0x20 0xc4 0x9b
ISAKMP (0): atts are not acceptable. Next payload is 3
ISAKMP (0): Checking ISAKMP transform 3 against priority 10 policy
ISAKMP:      encryption 3DES-CBC
ISAKMP:      hash SHA
ISAKMP:      default group 2
ISAKMP:      auth pre-shared
ISAKMP:      life type in seconds
ISAKMP:      life duration (VPI) of 0x0 0x20 0xc4 0x9b
ISAKMP (0): atts are not acceptable. Next payload is 3
ISAKMP (0): Checking ISAKMP transform 4 against priority 10 policy
ISAKMP:      encryption 3DES-CBC
ISAKMP:      hash MD5
ISAKMP:      default group 2
ISAKMP:      auth pre-share
ISAKMP:      life type in seconds
ISAKMP:      life duration (VPI) of 0x0 0x20 0xc4 0x9b
ISAKMP (0): atts are not acceptable. Next payload is 3
ISAKMP (0): Checking ISAKMP transform 5 against priority 10 policy
ISAKMP:      encryption DES-CBC
ISAKMP:      hash SHA
ISAKMP:      default group 2
ISAKMP:      extended auth pre-share
ISAKMP:      life type in seconds
ISAKMP:      life duration (VPI) of 0x0 0x20 0xc4 0x9b
ISAKMP (0): atts are not acceptable. Next payload is 3
ISAKMP (0): Checking ISAKMP transform 6 against priority 10 policy
ISAKMP:      encryption DES-CBC
ISAKMP:      hash MD5
ISAKMP:      default group 2
ISAKMP:      extended auth pre-share
ISAKMP:      life type in seconds
ISAKMP:      life duration (VPI) of 0x0 0x20 0xc4 0x9b
ISAKMP (0): atts are acceptable. Next payload is 3

!--- Attributes offered by the VPN Client are accepted by the PIX.

ISAKMP (0): processing KE payload. message ID = 0

ISAKMP (0): processing NONCE payload. message ID = 0

ISAKMP (0): processing ID payload. message ID = 0
ISAKMP (0): processing vendor id payload

ISAKMP (0): processing vendor id payload

ISAKMP (0): remote peer supports dead peer detection

ISAKMP (0): processing vendor id payload

ISAKMP (0): speaking to a Unity client

ISAKMP (0): ID payload
        next-payload: 10
        type        : 1
        protocol    : 17
        port        : 500
        length      : 8
        ISAKMP (0)  : Total payload length: 12
return status is IKMP_NO_ERROR
crypto_isakmp_process_block: src 192.168.1.2, dest 192.168.1.1 OAK_AG exchange
ISAKMP (0): processing HASH payload. message ID = 0
ISAKMP (0): processing NOTIFY payload 24578 protocol 1
        spi 0, message ID = 0
ISAKMP (0): processing notify INITIAL_CONTACT
   IPSEC(key_engine): got a queue event...
IPSEC(key_engine_delete_sas): rec'd delete notify from ISAKMP
IPSEC(key_engine_delete_sas): delete all SAs
shared with      192.168.1.2

ISAKMP (0): SA has been authenticated
return status is IKMP_NO_ERROR
ISAKMP/xauth: request attribute XAUTH_TYPE
ISAKMP/xauth: request attribute XAUTH_USER_NAME
ISAKMP/xauth: request attribute XAUTH_USER_PASSWORD
ISAKMP (0:0): initiating peer config to 192.168.1.2.
ID = 1623347510 (0x60c25136) crypto_isakmp_process_block: src 192.168.1.2,
dest 192.168.1.1
ISAKMP_TRANSACTION exchange
ISAKMP (0:0): processing transaction payload
from 192.168.1.2. message ID = 84
ISAKMP: Config payload CFG_REPLY
return status is IKMP_ERR_NO_RETRANS
ISAKMP (0:0): initiating peer config to 192.168.1.2.
ID = 2620656926 (0x9c340d1e) crypto_isakmp_process_block: src 192.168.1.2,
dest 192.168.1.1
ISAKMP_TRANSACTION exchange
ISAKMP (0:0): processing transaction payload
from 192.168.1.2. message ID = 60
ISAKMP: Config payload CFG_ACK
return status is IKMP_NO_ERROR
crypto_isakmp_process_block: src 192.168.1.2, dest 192.168.1.1
ISAKMP_TRANSACTION exchange
ISAKMP (0:0): processing transaction payload
from 192.168.1.2. message ID = 0
ISAKMP: Config payload CFG_REQUEST
ISAKMP (0:0): checking request:
ISAKMP: attribute    IP4_ADDRESS (1)
ISAKMP: attribute    IP4_NETMASK (2)
ISAKMP: attribute    IP4_DNS (3)
ISAKMP: attribute    IP4_NBNS (4)
ISAKMP: attribute    ADDRESS_EXPIRY (5)
        Unsupported Attr: 5
ISAKMP: attribute    APPLICATION_VERSION (7)
        Unsupported Attr: 7
ISAKMP: attribute    UNKNOWN (28672)
        Unsupported Attr: 28672
ISAKMP: attribute    UNKNOWN (28673)
        Unsupported Attr: 28673
ISAKMP: attribute    UNKNOWN (28674)
ISAKMP: attribute    UNKNOWN (28676)
ISAKMP: attribute    UNKNOWN (28679)
        Unsupported Attr: 28679
ISAKMP: attribute    UNKNOWN (28680)
        Unsupported Attr: 28680
ISAKMP: attribute    UNKNOWN (28677)
        Unsupported Attr: 28677
ISAKMP (0:0): responding to peer config from 192.168.1.2. ID = 177917346
return status is IKMP_NO_ERROR
crypto_isakmp_process_block: src 192.168.1.2, dest 192.168.1.1
OAK_QM exchange
oakley_process_quick_mode:
OAK_QM_IDLE
ISAKMP (0): processing SA payload. message ID = 942875080

ISAKMP : Checking IPSec proposal 1

ISAKMP: transform 1, ESP_3DES
ISAKMP:   attributes in transform:
ISAKMP:      authenticator is HMAC-MD5
ISAKMP:      encaps is 1
ISAKMP:      SA life type in seconds
ISAKMP:      SA life duration (VPI) of 0x0 0x20 0xc4 0x9b 
IPSEC(validate_proposal): transform
proposal (prot 3, trans 3, hmac_alg 1) not supported

ISAKMP (0): atts not acceptable. Next payload is 0
ISAKMP (0): skipping next ANDed proposal (1)
ISAKMP : Checking IPSec proposal 2

ISAKMP: transform 1, ESP_3DES
ISAKMP:   attributes in transform:
ISAKMP:      authenticator is HMAC-SHA
ISAKMP:      encaps is 1
ISAKMP:      SA life type in seconds
ISAKMP:      SA life duration (VPI) of 0x0 0x20 0xc4 0x9b 
IPSEC(validate_proposal): transform
proposal (prot 3, trans 3, hmac_alg 2) not supported

ISAKMP (0): atts not acceptable. Next payload is 0
ISAKMP (0): skipping next ANDed proposal (2)
ISAKMP: Checking IPSec proposal 3

ISAKMP: transform 1, ESP_3DES
ISAKMP:   attributes in transform:
ISAKMP:      authenticator is HMAC-MD5
ISAKMP:      encaps is 1
ISAKMP:      SA life type in seconds
ISAKMP:      SA life duration (VPI) of 0x0 0x20 0xc4 0x9b 
IPSEC(validate_proposal): transform
proposal (prot 3, trans 3, hmac_alg 1) not supported

ISAKMP (0): atts not acceptable. Next payload is 0
ISAKMP: Checking IPSec proposal 4

ISAKMP: transform 1, ESP_3DES
ISAKMP:   attributes in transform:
ISAKMP:      authenticator is HMAC-SHA
ISAKMP:      encaps is 1
ISAKMP:      SA life type in seconds
ISAKMP:      SA life duration (VPI) of 0x0 0x20 0xc4 0x9b 
IPSEC(validate_proposal): transform
proposal (prot 3, trans 3, hmac_alg 2) not supported

ISAKMP (0): atts not acceptable. Next payload is 0
ISAKMP : Checking IPSec proposal 5

ISAKMP: transform 1, ESP_DES
ISAKMP:   attributes in transform:
ISAKMP:      authenticator is HMAC-MD5
ISAKMP:      encaps is 1
ISAKMP:      SA life type in seconds
ISAKMP:      SA life duration (VPI) of 0x0 0x20 0xc4 0x9b
ISAKMP (0): atts are acceptable.
ISAKMP (0): bad SPI size of 2 octets!
ISAKMP: Checking IPSec proposal 6

ISAKMP: transform 1, ESP_DES
ISAKMP:   attributes in transform:
ISAKMP:      authenticator is HMAC-SHA
ISAKMP:      encaps is 1
ISAKMP:      SA life type in seconds
ISAKMP:      SA life duration (VPI) of 0x0 0x20 0xc4 0x9b 
IPSEC(validate_proposal): transform
proposal (prot 3, trans 2, hmac_alg 2) not supported

ISAKMP (0): atts not acceptable. Next payload is 0
ISAKMP (0): skipping next ANDed proposal (6)
ISAKMP : Checking IPSec proposal 7

ISAKMP: transform 1, ESP_DES
ISAKMP:   attributes in transform:
ISAKMP:      authenticator is HMAC-MD5
ISAKMP:      encaps is 1
ISAKMP:      SA life type in seconds
ISAKMP:      SA life duration (VPI) of 0x0 0x20 0xc4 0x9b
ISAKMP (0): atts are acceptable.IPSEC(validate_proposal_request):
proposal part #1,
  (key eng. msg.) dest= 192.168.1.1, src=
192.168.1.2,
    dest_proxy= 192.168.1.1/255.255.255.255/0/0 (type=1),
    src_proxy= 10.89.129.200/255.255.255.255/0/0 (type=1),
    protocol= ESP, transform= esp-des esp-md5-hmac ,
    lifedur= 0s and 0kb,
    spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4

ISAKMP (0): processing NONCE payload. message ID = 942875080

ISAKMP (0): processing ID payload. message ID = 942875080
ISAKMP (0): ID_IPV4_ADDR src 10.89.129.200 prot 0 port 0
ISAKMP (0): processing ID payload. message ID = 942875080
ISAKMP (0): ID_IPV4_ADDR dst 192.168.1.1 prot 0
port 0IPSEC(key_engine): got a queue event...
IPSEC(spi_response): getting spi 0x64d7a518(1691854104) for SA
        from      192.168.1.2 to      192.168.1.1 for prot 3

return status is IKMP_NO_ERROR
crypto_isakmp_process_block: src 192.168.1.2, dest 192.168.1.1
OAK_QM exchange
oakley_process_quick_mode:
OAK_QM_IDLE
ISAKMP (0): processing SA payload. message ID = 3008609960

ISAKMP: Checking IPSec proposal 1

ISAKMP: transform 1, ESP_3DES
ISAKMP:   attributes in transform:
ISAKMP:      authenticator is HMAC-MD5
crypto_isakmp_process_block: src 192.168.1.2, dest 192.168.1.1
OAK_QM exchange
oakley_process_quick_mode:
OAK_QM_AUTH_AWAITmap_alloc_entry: allocating entry 2
map_alloc_entry: allocating entry 1

ISAKMP (0): Creating IPSec SAs
        inbound SA from 192.168.1.2 to 192.168.1.1 
          (proxy 10.89.129.200 to 192.168.1.1)
        has spi 1691854104 and conn_id 2 and flags 4
        lifetime of 2147483 seconds
        outbound SA from 192.168.1.1 to 192.168.1.2 
          (proxy 192.168.1.1 to 10.89.129.200)
        has spi 1025193431 and conn_id 1 and flags 4
        lifetime of 2147483 seconds
IPSEC(key_engine): got a queue event...
IPSEC(initialize_sas): ,(key eng. msg.) dest= 192.168.1.1, src= 192.168.1.2,
    dest_proxy= 192.168.1.1/0.0.0.0/0/0 (type=1),
    src_proxy= 10.89.129.200/0.0.0.0/0/0 (type=1),
    protocol= ESP, transform= esp-des esp-md5-hmac ,
    lifedur= 2147483s and 0kb,
    spi= 0x64d7a518(1691854104),conn_id= 2, keysize= 0, flags= 0x4
IPSEC(initialize_sas): ,
  (key eng. msg.) src= 192.168.1.1, dest=192.168.1.2,
    src_proxy= 192.168.1.1/0.0.0.0/0/0 (type=1),
    dest_proxy= 10.89.129.200/0.0.0.0/0/0 (type=1),
    protocol= ESP, transform=esp-des esp-md5-hmac ,
    lifedur= 2147483s and 0kb,
    spi= 0x3d1b35d7(1025193431),conn_id= 1, keysize= 0, flags= 0x4

VPN Peer: IPSEC: Peer ip:192.168.1.2 Ref cnt incremented to:2 Total VPN Peers:1
VPN Peer: IPSEC: Peer ip:192.168.1.2 Ref cnt incremented to:3 Total VPN Peers:1
return status is IKMP_NO_ERROR
crypto_isakmp_process_block: src 192.168.1.2, dest 192.168.1.1
OAK_QM exchange
oakley_process_quick_mode:
OAK_QM_AUTH_AWAITmap_alloc_entry: allocating entry 4
map_alloc_entry: allocating entry 3

ISAKMP (0): Creating IPSec SAs
        inbound SA from 192.168.1.2 to 192.168.1.1 (proxy 10.89.129.200 to 0.0.0.0)
        has spi 3415657865 and conn_id 4 and flags 4
        lifetime of 2147483 seconds
        outbound SA from 192.168.1.1 to 192.168.1.2 (proxy 0.0.0.0 to 10.89.129.200)
        has spi 2383969893 and conn_id 3 and flags 4
        lifetime of 2147483 secondsIPSEC(key_engine): got a queue event...
IPSEC(initialize_sas): ,
  (key eng. msg.) dest= 192.168.1.1, src=192.168.1.2,
    dest_proxy= 0.0.0.0/0.0.0.0/0/0 (type=4),
    src_proxy= 10.89.129.200/0.0.0.0/0/0 (type=1),
    protocol= ESP, transform=esp-des esp-md5-hmac ,
    lifedur= 2147483s and 0kb,
    spi= 0xcb96cd89(3415657865),conn_id= 4, keysize= 0, flags= 0x4
IPSEC(initialize_sas): ,
  (key eng. msg.) src= 192.168.1.1, dest=192.168.1.2,
    src_proxy= 0.0.0.0/0.0.0.0/0/0 (type=4),
    dest_proxy= 10.89.129.200/0.0.0.0/0/0 (type=1),
    protocol= ESP, transform=esp-des esp-md5-hmac ,
    lifedur= 2147483s and 0kb,
    spi= 0x8e187e65(2383969893),conn_id= 3, keysize= 0, flags= 0x4

VPN Peer: IPSEC: Peer ip:192.168.1.2 Ref cnt incremented 
to:4 Total VPN Peers:1
VPN Peer: IPSEC: Peer ip:192.168.1.2 Ref cnt incremented
to:5 Total VPN Peers:1
return status is IKMP_NO_ERROR

pixfirewall#show uauth
Current      Most Seen
Authenticated Users
1              1
Authen In Progress
0              1
ipsec user 'cisco_customer' at 10.89.129.200, authenticated
pixfirewall#

VPN クライアント1.1 のデバッグ

crypto_isakmp_process_block: src 192.168.1.3, dest 192.168.1.1
VPN Peer: ISAKMP: Added new peer: ip:192.168.1.3
Total VPN Peers:1
VPN Peer: ISAKMP: Peer ip:192.168.1.3 Ref cnt incremented to:1 
Total VPN Peers:1
OAK_MM exchange
ISAKMP (0): processing SA payload. message ID = 0

ISAKMP (0): Checking ISAKMP transform 1 against priority 10 policy
      encryption DES-CBC
ISAKMP:      hash MD5
ISAKMP:      default group 1
ISAKMP:      auth pre-share
ISAKMP (0): atts are not acceptable. Next payload is 0
ISAKMP (0): Checking ISAKMP transform 1 against priority 20 policy
ISAKMP:      encryption DES-CBC
ISAKMP:      hash MD5
ISAKMP:      default group 1
ISAKMP:      auth pre-share
ISAKMP (0): atts are acceptable. Next payload is 0
ISAKMP (0): SA is doing pre-shared key authentication
using id type ID_IPV4_ADDR
return status is IKMP_NO_ERROR
crypto_isakmp_process_block: src 192.168.1.3, dest 192.168.1.1
OAK_MM exchange
ISAKMP (0): processing KE payload. message ID = 0

ISAKMP (0): processing NONCE payload. message ID = 0

ISAKMP (0): processing vendor id payload

ISAKMP (0): processing vendor id payload

return status is IKMP_NO_ERROR
crypto_isakmp_process_block: src 192.168.1.3, dest 192.168.1.1
OAK_MM exchange
ISAKMP (0): processing ID payload. message ID = 0
ISAKMP (0): processing HASH payload. message ID = 0
ISAKMP (0): processing NOTIFY payload 24578 protocol 1
 spi 0, message ID = 0
ISAKMP (0): SA has been authenticated

ISAKMP (0): ID payload
 next-payload : 8
 type         : 1
 protocol     : 17
 port         : 500
 length       : 8
ISAKMP (0): Total payload length: 12
return status is IKMP_NO_ERROR
crypto_isakmp_process_block: src 192.168.1.3, dest 192.168.1.1
ISAKMP: Created a peer node for 192.168.1.3
OAK_QM exchange
ISAKMP (0:0): Need XAUTH
ISAKMP/xauth: request attribute XAUTH_TYPE
ISAKMP/xauth: request attribute XAUTH_USER_NAME
ISAKMP/xauth: request attribute XAUTH_USER_PASSWORD
ISAKMP (0:0): initiating peer config to 192.168.1.3.
ID = 3196940891 (0xbe8d725b)
return status is IKMP_NO_ERROR
crypto_isakmp_process_block: src 192.168.1.3, dest 192.168.1.1
ISAKMP_TRANSACTION exchange
ISAKMP (0:0): processing transaction payload
from 192.168.1.3. message ID = 84
ISAKMP: Config payload CFG_REPLY
return status is IKMP_ERR_NO_RETRANS
ISAKMP (0:0): initiating peer config to 192.168.1.3.
ID = 3196940891 (0xbe8d725b)
crypto_isakmp_process_block: src 192.168.1.3, dest 192.168.1.1
ISAKMP_TRANSACTION exchange
ISAKMP (0:0): processing transaction payload
from 192.168.1.3. message ID = 60
ISAKMP: Config payload CFG_ACK
ISAKMP (0:0): initiating peer config to 192.168.1.3.
ID = 1647424595 (0x6231b453)
return status is IKMP_NO_ERROR
crypto_isakmp_process_block: src 192.168.1.3, dest 192.168.1.1
ISAKMP_TRANSACTION exchange
ISAKMP (0:0): processing transaction payload
from 192.168.1.3. message ID = 60
ISAKMP: Config payload CFG_ACK
ISAKMP (0:0): peer accepted the address!
return status is IKMP_NO_ERROR
crypto_isakmp_process_block: src 192.168.1.3, dest 192.168.1.1
OAK_QM exchange
oakley_process_quick_mode:
OAK_QM_IDLE
ISAKMP (0): processing SA payload. message ID = 802013669

ISAKMP : Checking IPSec proposal 1

ISAKMP: transform 1, ESP_DES
ISAKMP:   attributes in transform:
ISAKMP:      authenticator is HMAC-MD5
ISAKMP:      encaps is 1
ISAKMP (0): atts are acceptable.IPSEC(validate_proposal_request)
:proposal part #1,
  (key eng. msg.) dest= 192.168.1.1, src = 192.168.1.3,
    dest_proxy= 10.89.129.128/255.255.255.128/0/0 (type=4),
    src_proxy= 10.89.129.200/255.255.255.255/0/0 (type=1),
    protocol= ESP, transform=esp-des esp-md5-hmac ,
    lifedur= 0s and 0kb,
    spi= 0x0(0), conn_id= 0, keysize=0, flags= 0x4

ISAKMP (0): processing NONCE payload. message ID = 802013669

ISAKMP (0): processing ID payload. message ID = 802013669
ISAKMP (0): ID_IPV4_ADDR src 10.89.129.200 prot 0 port 0
ISAKMP (0): processing ID payload. message ID = 802013669
ISAKMP (0): ID_IPV4_ADDR_SUBNET dst 10.89.129.128/255.255.255.128
prot 0 port 0IPSEC(key_engine): got a queue event...
IPSEC(spi_response): getting spi 0xd7cef5ba(3620664762)for SA
 from 192.168.1.3 to 192.168.1.1 for prot 3

return status is IKMP_NO_ERROR
crypto_isakmp_process_block: src 192.168.1.3, dest 192.168.1.1
OAK_QM exchange
oakley_process_quick_mode:
OAK_QM_AUTH_AWAITmap_alloc_entry: allocating entry 1
map_alloc_entry: allocating entry 2

ISAKMP (0): Creating IPSec SAs
        inbound SA from 192.168.1.3 to 192.168.1.1 
          (proxy 10.89.129.200 to 10.89.129.128)
        has spi 3620664762 and conn_id 1 and flags 4
        outbound SA from 192.168.1.1 to 192.168.1.3 
          (proxy 10.89.129.128 to 10.89.129.200)
        has spi 541375266 and conn_id 2 and flags 4
IPSEC(key_engine): got a queue event...

IPSEC(initialize_sas): ,
  (key eng. msg.) dest= 192.168.1.1, src=192.168.1.3,
    dest_proxy= 10.89.129.128/255.255.255.128/0/0 (type=4),
    src_proxy= 10.89.129.200/0.0.0.0/0/0 (type=1),
    protocol= ESP, transform=esp-des esp-md5-hmac ,
    lifedur= 0s and 0kb,
    spi= 0xd7cef5ba(3620664762),conn_id= 1, keysize= 0, flags= 0x4
IPSEC(initialize_sas): ,
  (key eng. msg.) src= 192.168.1.1, dest=192.168.1.3,
    src_proxy= 10.89.129.128/255.255.255.128/0/0 (type=4),
    dest_proxy= 10.89.129.200/0.0.0.0/0/0 (type=1),
    protocol= ESP, transform=esp-des esp-md5-hmac ,
    lifedur= 0s and 0kb,
    spi= 0x2044bb22(541375266),conn_id= 2, keysize= 0, flags= 0x4

VPN Peer: IPSEC: Peer ip:192.168.1.3 Ref cnt incremented
to:2 Total VPN Peers:1
VPN Peer: IPSEC: Peer ip:192.168.1.3 Ref cnt incremented
to:3 Total VPN Peers:1
return status is IKMP_NO_ERROR

関連情報


Document ID: 10967