セキュリティと VPN : IPSec ネゴシエーション/IKE プロトコル

拡張認証による IPSec - PIX から Cisco Secure VPN クライアントへのワイルドカード、事前共有、モード設定

2003 年 2 月 14 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2008 年 9 月 26 日) | フィードバック

目次

概要
はじめに
     表記法
     前提条件
     使用するコンポーネント
     背景理論
設定
     ネットワーク ダイアグラム
     設定例
確認
トラブルシューティング
     トラブルシューティング用のコマンド
     PIX のデバッグの例
     VPN Client 3.5 のデバッグ
     VPN Client 1.1 のデバッグ
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

この設定は、ワイルドカード、モード設定、sysopt connection permit-ipsec コマンド、および拡張認証(Xauth)を使用して、Virtual Private Network(VPN; 仮想私設ネットワーク)クライアントを PIX ファイアウォールに接続する方法を示したものです。

はじめに

表記法

文書の表記法の詳細は、「シスコ テクニカル ティップスの表記法」を参照してください。

前提条件

この文書に関する特別な前提条件はありません。

使用するコンポーネント

これらの設定には、次の製品を使用することを強く推奨します。

  • Cisco VPN Client 3.x

この製品には Cisco Secure VPN Client 1.x にはない、高度な VPN 機能が搭載されています。

注:暗号化テクノロジーは輸出規制の対象です。暗号化テクノロジーの輸出に関する法律については、お客様の責任でご確認ください。詳細は、輸出管理局の Web サイト /images/exit.gifを参照してください。輸出規制に関するご質問につきましては、電子メールで export@cisco.com にお問い合せください。

この文書の情報は、特定のラボ環境にあるデバイスに基づいて作成されています。 また、この文書で使用するデバイスは、すべて初期(デフォルト)の設定で起動しています。コマンドを実行する前に、実働しているネットワークに与える影響について理解しておいてください。

背景理論

sysopt connection permit-ipsec コマンドは、IP Security(IPSec)トンネルから到達した任意のパケットが、IPSec 接続用に関連付けられた access-listconduit、または access-group コマンドのチェックをバイパスすることを暗黙的に許可します。Xauth は、IPSec ユーザを外部の TACACS+ または RADIUS サーバに対して認証します。したがって、ワイルドカード事前共有キーの他に、ユーザはユーザ名/パスワードを提供する必要があります。

VPN クライアントを実行するユーザは、Internet Service Provider(ISP; インターネット サービス プロバイダー)に接続して IP アドレスを受け取ります。このアドレスは、PIX のモード設定プールからの IP アドレスによって置き換えられます。ユーザはファイアウォールの内部にあるすべて(ネットワークを含む)にアクセスできます。クライアントを実行していないユーザは、静的な割り当てによって提供されたアドレスを使用して Web サーバに接続できます。内部ユーザがインターネットに接続するとき、そのユーザのトラフィックは IPSec トンネルを通過しません。

設定

この項では、この文書で説明する機能の設定に必要な情報を提供します。

注:この文書で使用するコマンドに関するその他の情報を検索するには、IOS Command Lookup ツールを使用してください。

ネットワーク ダイアグラム

B.gif

ネットワーク ダイアグラムに関する注記

  • インターネット マシンは、グローバル IP アドレス 200.1.1.1 を使用して内部の Web ホストにアクセスし、接続が確立される前に認証されます。このトラフィックは暗号化されません

  • VPN Client は、内部にあるすべてのマシンにすべてのポート(10.48.66.0 255.255.254.0)を使用してアクセスし、IPSec トンネルが確立される前に認証されます。このトラフィックは暗号化されます。(ping -t 10.48.66.99 などにより)トンネルの始動を試みると、VPN Client 3.5 にグレーのユーザ名/パスワードのウィンドウが表示されます。

  • VPN Client はインターネットから到達するので、IP アドレスは事前にはわかりません。

設定例

この文書で使用する設定例を下記に示します。

PIX の設定

PIX Version 6.1(1)
   nameif ethernet0 outside security0
   nameif ethernet1 inside security100
   nameif ethernet2 intf2 security10
   nameif ethernet3 intf3 security15
   enable password 8Ry2YjIyt7RRXU24 encrypted
   passwd 2KFQnbNIdI.2KYOU encrypted
   hostname pixfirewall
   domain-name cisco.com
   fixup protocol ftp 21
   fixup protocol http 80
   fixup protocol h323 1720
   fixup protocol rsh 514
   fixup protocol rtsp 554
   fixup protocol smtp 25
   fixup protocol sqlnet 1521
   fixup protocol sip 5060
   fixup protocol skinny 2000
   names
   
   !--- 内部からプールへのトラフィックには Network Address Translation(NAT; ネットワーク アドレス変換)
   !--- 変換を実行すべきでないので、NAT は使用しないでください。
   
   access-list 101 permit ip 10.48.66.0 255.255.254.0
   10.48.67.0 255.255.255.0
   
   !--- インターネット(VPN 以外)上の
   !--- 任意のホストからの ICMP、TCP、および UDP 
   !--- トラフィックを Web サーバへ許可します。
   
   access-list 120 permit icmp any host 200.1.1.99
   access-list 120 permit tcp any host 200.1.1.99
   access-list 120 permit udp any host 200.1.1.99
   pager lines 24
   interface ethernet0 10full
   interface ethernet1 10full
   interface ethernet2 auto shutdown
   interface ethernet3 auto shutdown
   mtu outside 1500
   mtu inside 1500
   mtu intf2 1500
   mtu intf3 1500
   ip address outside 200.1.1.1 255.255.255.0
   ip address inside 10.48.66.18 255.255.254.0
   ip address intf2 127.0.0.1 255.255.255.255
   ip address intf3 127.0.0.1 255.255.255.255
   ip audit info action alarm
   ip audit attack action alarm
   ip local pool ippool 10.48.67.1-10.48.67.20
   no failover
   failover timeout 0:00:00
   failover poll 15
   failover ip address outside 0.0.0.0
   failover ip address inside 0.0.0.0
   failover ip address intf2 0.0.0.0
   failover ip address intf3 0.0.0.0
   pdm history enable
   arp timeout 14400
   global (outside) 1 200.1.1.100-200.1.1.110
   
   !--- VPN トラフィックが NAT をバイパスするための ACL
   
   nat (inside) 0 access-list 101
   nat (inside) 1 0.0.0.0 0.0.0.0 0 0
   static (inside,outside) 200.1.1.99 10.48.66.99
   netmask 255.255.255.255 0 0
   access-group 120 in interface outside
   route outside 0.0.0.0 0.0.0.0 200.1.1.3 1
   timeout xlate 3:00:00
   timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323
   0:05:00 sip 0:30:00 sip_media 0:02:00
   timeout uauth 0:05:00 absolute
   aaa-server TACACS+ protocol tacacs+
   aaa-server RADIUS protocol radius
   aaa-server AuthInbound protocol tacacs+
   
   !--- 認証用の Authentication, Authorization, and Accounting
   !---(AAA; 認証、認可、アカウンティング)文。
   
   aaa-server AuthInbound (inside) host 10.48.66.102
   cisco timeout 10
   aaa authentication include http outside 10.48.66.99
   255.255.255.255 0.0.0.0 0.0.0.0 AuthInbound
   aaa authentication include ftp outside 10.48.66.99
   255.255.255.255 0.0.0.0 0.0.0.0 AuthInbound
   aaa authentication include telnet outside 10.48.66.99
   255.255.255.255 0.0.0.0 0.0.0.0 AuthInbound
   no snmp-server location
   no snmp-server contact
   snmp-server community public
   no snmp-server enable traps
   floodguard enable
   
   !--- IPSec トラフィックを信頼し、ACL/NAT 処理を回避します。
   
   sysopt connection permit-ipsec
   no sysopt route dnat
   
   !--- IPSec の設定。
   
   crypto ipsec transform-set myset esp-des esp-md5-hmac
   crypto dynamic-map dynmap 10 set transform-set myset
   crypto map mymap 10 ipsec-isakmp dynamic dynmap
   
   !--- 1.1 クライアントに IP アドレスを割り当てます。
   
   crypto map mymap client configuration address initiate
   crypto map mymap client configuration address respond
   crypto map mymap client authentication AuthInbound
   crypto map mymap interface outside
   isakmp enable outside
   
   !--- 1.1 クライアント用の事前共有キー。.
   
   isakmp key ******** address 0.0.0.0 netmask 0.0.0.0
   isakmp identity address
   
   !--- VPN 1.1 クライアントに「ippool」プールからのアドレスを割り当てます。
   
   isakmp client configuration address-pool local ippool outside
   
   !--- VPN クライアント 3.x 用の ISAKMP 設定。
   
   isakmp policy 10 authentication pre-share
   isakmp policy 10 encryption des
   isakmp policy 10 hash md5
   isakmp policy 10 group 2
   isakmp policy 10 lifetime 86400
   
   !--- VPN クライアント 1.x 用の ISAKMP 設定。
   
   isakmp policy 20 authentication pre-share
   isakmp policy 20 encryption des
   isakmp policy 20 hash md5
   isakmp policy 20 group 1
   isakmp policy 20 lifetime 86400
   
   !--- 3.5 クライアントに「ippool」プールからのアドレスを割り当てます。
   
   vpngroup vpn3000 address-pool ippool
   
   !---- 3.5 クライアントに DNS/WINS/domain サーバを割り当てます。
   
   vpngroup vpn3000 dns-server 10.48.66.7
   vpngroup vpn3000 wins-server 10.48.66.100
   vpngroup vpn3000 default-domain cisco.com
   vpngroup vpn3000 idle-time 1800
   
   !--- 3.5 クライアント用のグループ パスワード。
   
   vpngroup vpn3000 password cisco
   telnet timeout 5
   ssh timeout 5
   terminal width 80
   Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
   : end
   [OK]
   pixfirewall#
   

VPN Client 3.5 の設定

  1. Start > Programs > Cisco Systems VPN Client > VPN Dialer の順に選択します。

  2. New をクリックして New Connection Entry Wizard を起動します。

  3. 新しい接続エントリの名前を入力して Next をクリックします。

    b-1.gif

  4. リモート サーバへの接続に使用されるサーバのホスト名または IP アドレスを入力し、Next をクリックします。

    b-2.gif

  5. Group Access Information を選択し、リモート サーバへのアクセスの認証に使用される名前とパスワードを入力します。Next をクリックします。

    b-3.gif

  6. Finish をクリックして新しいエントリを保存します。

    b-4.gif

  7. ダイヤラで Connection Entry を選択し、Connect をクリックします。

    b-5.gif

  8. プロンプトが表示されたら Xauth 用のユーザ名とパスワードの情報を入力して OK をクリックし、リモート ネットワークに接続します。

    b-6.gif

VPN Client 1.1 の設定

Network Security policy:
    1- TACconn
        My Identity
             Connection security: Secure
             Remote Party Identity and addressing
             ID Type: IP subnet
             10.48.66.0
             255.255.254.0
             Port all Protocol all
   
   
        Connect using secure tunnel
   
             ID Type: IP address
             200.1.1.1
   
   
        Pre-shared Key=cisco1234
   
   
        Authentication (Phase 1)
   
        Proposal 1
            Authentication method: pre-shared key
            Encryp Alg: DES
            Hash Alg: MD5
            SA life: Unspecified
            Key Group: DH 1
   
        Key exchange (Phase 2)
   
        Proposal 1
            Encapsulation ESP
            Encrypt Alg: DES
            Hash Alg: MD5
            Encap: tunnel
            SA life: Unspecified
            no AH
   
    2- Other Connections
           Connection security: Non-secure
           Local Network Interface
             Name: Any
             IP Addr: Any
             Port: All

アカウンティングの追加

アカウンティングを追加するためのコマンドの構文は次のとおりです。

   aaa accounting include acctg_service inbound|outbound l_ip l_mask [f_ip f_mask] server_tag
   

たとえば、PIX の設定では、次のコマンドが追加されます。

   aaa accounting include any inbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 AuthInbound
   

注:Xauth アカウンティングが動作するためには、sysopt ipsec pl-compatible コマンドではなく sysopt connection permit-ipsec コマンドが必要です。Xauth アカウンティングは、sysopt ipsec pl-compatible コマンドだけでは動作しません。Xauth アカウンティングは TCP 接続に有効です。ICMP または UDP には有効ではありません。

次に TACACS+ のアカウンティング レコードの例を示します。

03/09/2002 15:17:54 fadi Default Group 10.48.67.1 stop 15 .. 99 1879 .. .. 0x5 .. PIX 10.48.66.18 telnet
   03/09/2002 15:17:39 fadi Default Group 10.48.67.1 start .. .. .. .. .. .. 0x5 .. PIX 10.48.66.18 telnet
   

確認

この項では、設定が正常に動作しているかどうかを確認するために使用する情報を示します。

特定の show コマンドは、Output Interpreter tool によってサポートされており、show コマンドの出力の分析を表示できます。

注:debug コマンドを発行する前に、「debug コマンドに関する重要な情報」を参照してください。

クライアント側のデバッグを表示するには、Cisco Secure Log Viewer をイネーブルにします。

  • debug crypto ipsec - フェーズ 2 の IPSec ネゴシエーションを表示します。

  • debug crypto isakmp - フェーズ 1 の ISAKMP ネゴシエーションを表示します。

トラブルシューティング

この項では、設定のトラブルシューティングに使用する情報を説明します。デバッグ出力例は下記のとおりです。

トラブルシューティング用のコマンド

特定の show コマンドはアウトプット インターフェイス ツールでサポートされており、show コマンド出力の分析を表示できます。

注:debug コマンドを発行する前に、「debug コマンドに関する重要な情報」を参照してください。

  • debug crypto engine - 暗号化エンジン プロセスのデバッグを行います。

PIX デバッグ例

pixfirewall# show debug
   debug crypto ipsec 1
   debug crypto isakmp 1
   debug crypto engine
   debug fover status
        tx      Off
        rx      Off
        open    Off
        cable   Off
        txdmp   Off
        rxdmp   Off
        ifc     Off
        rxip    Off
        txip    Off
        get     Off
        put     Off
        verify  Off
        switch  Off
        fail    Off
        fmsg    Off

VPN Client 3.5 のデバッグ

pixfirewall#
   crypto_isakmp_process_block: src 200.1.1.2, dest 200.1.1.1
   VPN Peer: ISAKMP: Added new peer: ip:200.1.1.2
   Total VPN Peers:1
   VPN Peer: ISAKMP: Peer ip:200.1.1.2 Ref cnt incremented
   to:1 Total VPN Peers:1
   OAK_AG exchange
   ISAKMP (0): processing SA payload. message ID = 0
   
   ISAKMP (0): Checking ISAKMP transform 1 against priority 10 policy
   ISAKMP:    encryption 3DES-CBC
   ISAKMP:      hash SHA
   ISAKMP:      default group 2
   ISAKMP:      extended auth pre-share
   ISAKMP:      life type in seconds
   ISAKMP:      life duration (VPI) of 0x0 0x20 0xc4 0x9b
   ISAKMP (0): atts are not acceptable. Next payload is 3
   ISAKMP (0): Checking ISAKMP transform 2 against priority 10 policy
   ISAKMP:      encryption 3DES-CBC
   ISAKMP:      hash MD5
   ISAKMP:      default group 2
   ISAKMP:      extended auth pre-share
   ISAKMP:      life type in seconds
   ISAKMP:      life duration (VPI) of 0x0 0x20 0xc4 0x9b
   ISAKMP (0): atts are not acceptable. Next payload is 3
   ISAKMP (0): Checking ISAKMP transform 3 against priority 10 policy
   ISAKMP:      encryption 3DES-CBC
   ISAKMP:      hash SHA
   ISAKMP:      default group 2
   ISAKMP:      auth pre-shared
   ISAKMP:      life type in seconds
   ISAKMP:      life duration (VPI) of 0x0 0x20 0xc4 0x9b
   ISAKMP (0): atts are not acceptable. Next payload is 3
   ISAKMP (0): Checking ISAKMP transform 4 against priority 10 policy
   ISAKMP:      encryption 3DES-CBC
   ISAKMP:      hash MD5
   ISAKMP:      default group 2
   ISAKMP:      auth pre-share
   ISAKMP:      life type in seconds
   ISAKMP:      life duration (VPI) of 0x0 0x20 0xc4 0x9b
   ISAKMP (0): atts are not acceptable. Next payload is 3
   ISAKMP (0): Checking ISAKMP transform 5 against priority 10 policy
   ISAKMP:      encryption DES-CBC
   ISAKMP:      hash SHA
   ISAKMP:      default group 2
   ISAKMP:      extended auth pre-share
   ISAKMP:      life type in seconds
   ISAKMP:      life duration (VPI) of 0x0 0x20 0xc4 0x9b
   ISAKMP (0): atts are not acceptable. Next payload is 3
   ISAKMP (0): Checking ISAKMP transform 6 against priority 10 policy
   ISAKMP:      encryption DES-CBC
   ISAKMP:      hash MD5
   ISAKMP:      default group 2
   ISAKMP:      extended auth pre-share
   ISAKMP:      life type in seconds
   ISAKMP:      life duration (VPI) of 0x0 0x20 0xc4 0x9b
   ISAKMP (0): atts are acceptable. Next payload is 3
   ISAKMP (0): processing KE payload. message ID = 0
   
   ISAKMP (0): processing NONCE payload. message ID = 0
   
   ISAKMP (0): processing ID payload. message ID = 0
   ISAKMP (0): processing vendor id payload
   
   ISAKMP (0): processing vendor id payload
   
   ISAKMP (0): remote peer supports dead peer detection
   
   ISAKMP (0): processing vendor id payload
   
   ISAKMP (0): speaking to a Unity client
   
   ISAKMP (0): ID payload
           next-payload: 10
           type        : 1
           protocol    : 17
           port        : 500
           length      : 8
           ISAKMP (0)  : Total payload length: 12
   return status is IKMP_NO_ERROR
   crypto_isakmp_process_block: src 200.1.1.2, dest 200.1.1.1 OAK_AG exchange
   ISAKMP (0): processing HASH payload. message ID = 0
   ISAKMP (0): processing NOTIFY payload 24578 protocol 1
           spi 0, message ID = 0
   ISAKMP (0): processing notify INITIAL_CONTACTIPSEC(key_engine): got a queue event...
   IPSEC(key_engine_delete_sas): rec'd delete notify from ISAKMP
   IPSEC(key_engine_delete_sas): delete all SAs
   shared with      200.1.1.2
   
   ISAKMP (0): SA has been authenticated
   return status is IKMP_NO_ERROR
   ISAKMP/xauth: request attribute XAUTH_TYPE
   ISAKMP/xauth: request attribute XAUTH_USER_NAME
   ISAKMP/xauth: request attribute XAUTH_USER_PASSWORD
   ISAKMP (0:0): initiating peer config to 200.1.1.2.
   ID = 1623347510 (0x60c25136) crypto_isakmp_process_block: src 200.1.1.2,
   dest 200.1.1.1
   ISAKMP_TRANSACTION exchange
   ISAKMP (0:0): processing transaction payload
   from 200.1.1.2. message ID = 84
   ISAKMP: Config payload CFG_REPLY
   return status is IKMP_ERR_NO_RETRANS
   ISAKMP (0:0): initiating peer config to 200.1.1.2.
   ID = 2620656926 (0x9c340d1e) crypto_isakmp_process_block: src 200.1.1.2,
   dest 200.1.1.1
   ISAKMP_TRANSACTION exchange
   ISAKMP (0:0): processing transaction payload
   from 200.1.1.2. message ID = 60
   ISAKMP: Config payload CFG_ACK
   return status is IKMP_NO_ERROR
   crypto_isakmp_process_block: src 200.1.1.2, dest 200.1.1.1
   ISAKMP_TRANSACTION exchange
   ISAKMP (0:0): processing transaction payload
   from 200.1.1.2. message ID = 0
   ISAKMP: Config payload CFG_REQUEST
   ISAKMP (0:0): checking request:
   ISAKMP: attribute    IP4_ADDRESS (1)
   ISAKMP: attribute    IP4_NETMASK (2)
   ISAKMP: attribute    IP4_DNS (3)
   ISAKMP: attribute    IP4_NBNS (4)
   ISAKMP: attribute    ADDRESS_EXPIRY (5)
           Unsupported Attr: 5
   ISAKMP: attribute    APPLICATION_VERSION (7)
           Unsupported Attr: 7
   ISAKMP: attribute    UNKNOWN (28672)
           Unsupported Attr: 28672
   ISAKMP: attribute    UNKNOWN (28673)
           Unsupported Attr: 28673
   ISAKMP: attribute    UNKNOWN (28674)
   ISAKMP: attribute    UNKNOWN (28676)
   ISAKMP: attribute    UNKNOWN (28679)
           Unsupported Attr: 28679
   ISAKMP: attribute    UNKNOWN (28680)
           Unsupported Attr: 28680
   ISAKMP: attribute    UNKNOWN (28677)
           Unsupported Attr: 28677
   ISAKMP (0:0): responding to peer config from 200.1.1.2. ID = 177917346
   return status is IKMP_NO_ERROR
   crypto_isakmp_process_block: src 200.1.1.2, dest 200.1.1.1
   OAK_QM exchange
   oakley_process_quick_mode:
   OAK_QM_IDLE
   ISAKMP (0): processing SA payload. message ID = 942875080
   
   ISAKMP : Checking IPSec proposal 1
   
   ISAKMP: transform 1, ESP_3DES
   ISAKMP:   attributes in transform:
   ISAKMP:      authenticator is HMAC-MD5
   ISAKMP:      encaps is 1
   ISAKMP:      SA life type in seconds
   ISAKMP:      SA life duration (VPI) of 0x0 0x20 0xc4 0x9b
   IPSEC(validate_proposal): transform
   proposal (prot 3, trans 3, hmac_alg 1) not supported
   
   ISAKMP (0): atts not acceptable. Next payload is 0
   ISAKMP (0): skipping next ANDed proposal (1)
   ISAKMP : Checking IPSec proposal 2
   
   ISAKMP: transform 1, ESP_3DES
   ISAKMP:   attributes in transform:
   ISAKMP:      authenticator is HMAC-SHA
   ISAKMP:      encaps is 1
   ISAKMP:      SA life type in seconds
   ISAKMP:      SA life duration (VPI) of 0x0 0x20 0xc4 0x9b
   IPSEC(validate_proposal): transform
   proposal (prot 3, trans 3, hmac_alg 2) not supported
   
   ISAKMP (0): atts not acceptable. Next payload is 0
   ISAKMP (0): skipping next ANDed proposal (2)
   ISAKMP: Checking IPSec proposal 3
   
   
   ISAKMP: transform 1, ESP_3DES
   ISAKMP:   attributes in transform:
   ISAKMP:      authenticator is HMAC-MD5
   ISAKMP:      encaps is 1
   ISAKMP:      SA life type in seconds
   ISAKMP:      SA life duration (VPI) of 0x0 0x20 0xc4 0x9b
   IPSEC(validate_proposal): transform
   proposal (prot 3, trans 3, hmac_alg 1) not supported
   
   ISAKMP (0): atts not acceptable. Next payload is 0
   ISAKMP: Checking IPSec proposal 4
   
   ISAKMP: transform 1, ESP_3DES
   ISAKMP:   attributes in transform:
   ISAKMP:      authenticator is HMAC-SHA
   ISAKMP:      encaps is 1
   ISAKMP:      SA life type in seconds
   ISAKMP:      SA life duration (VPI) of 0x0 0x20 0xc4 0x9b
   IPSEC(validate_proposal): transform
   proposal (prot 3, trans 3, hmac_alg 2) not supported
   
   ISAKMP (0): atts not acceptable. Next payload is 0
   ISAKMP : Checking IPSec proposal 5
   
   ISAKMP: transform 1, ESP_DES
   ISAKMP:   attributes in transform:
   ISAKMP:      authenticator is HMAC-MD5
   ISAKMP:      encaps is 1
   ISAKMP:      SA life type in seconds
   ISAKMP:      SA life duration (VPI) of 0x0 0x20 0xc4 0x9b
   ISAKMP (0): atts are acceptable.
   ISAKMP (0): bad SPI size of 2 octets!
   ISAKMP: Checking IPSec proposal 6
   
   ISAKMP: transform 1, ESP_DES
   ISAKMP:   attributes in transform:
   ISAKMP:      authenticator is HMAC-SHA
   ISAKMP:      encaps is 1
   ISAKMP:      SA life type in seconds
   ISAKMP:      SA life duration (VPI) of 0x0 0x20 0xc4 0x9b
   IPSEC(validate_proposal): transform
   proposal (prot 3, trans 2, hmac_alg 2) not supported
   
   ISAKMP (0): atts not acceptable. Next payload is 0
   ISAKMP (0): skipping next ANDed proposal (6)
   ISAKMP : Checking IPSec proposal 7
   
   ISAKMP: transform 1, ESP_DES
   ISAKMP:   attributes in transform:
   ISAKMP:      authenticator is HMAC-MD5
   ISAKMP:      encaps is 1
   ISAKMP:      SA life type in seconds
   ISAKMP:      SA life duration (VPI) of 0x0 0x20 0xc4 0x9b
   ISAKMP (0): atts are acceptable.IPSEC(validate_proposal_request):
   proposal part #1,
     (key eng. msg.) dest= 200.1.1.1, src=
   200.1.1.2,
       dest_proxy= 200.1.1.1/255.255.255.255/0/0 (type=1),
       src_proxy= 10.48.67.1/255.255.255.255/0/0 (type=1),
       protocol= ESP, transform= esp-des esp-md5-hmac ,
       lifedur= 0s and 0kb,
       spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4
   
   ISAKMP (0): processing NONCE payload. message ID = 942875080
   
   ISAKMP (0): processing ID payload. message ID = 942875080
   ISAKMP (0): ID_IPV4_ADDR src 10.48.67.1 prot 0 port 0
   ISAKMP (0): processing ID payload. message ID = 942875080
   ISAKMP (0): ID_IPV4_ADDR dst 200.1.1.1 prot 0
   port 0IPSEC(key_engine): got a queue event...
   IPSEC(spi_response): getting spi 0x64d7a518(1691854104) for SA
           from      200.1.1.2 to      200.1.1.1 for prot 3
   
   return status is IKMP_NO_ERROR
   crypto_isakmp_process_block: src 200.1.1.2, dest 200.1.1.1
   OAK_QM exchange
   oakley_process_quick_mode:
   OAK_QM_IDLE
   ISAKMP (0): processing SA payload. message ID = 3008609960
   
   ISAKMP: Checking IPSec proposal 1
   
   ISAKMP: transform 1, ESP_3DES
   ISAKMP:   attributes in transform:
   ISAKMP:      authenticator is HMAC-MD5
   crypto_isakmp_process_block: src 200.1.1.2, dest 200.1.1.1
   OAK_QM exchange
   oakley_process_quick_mode:
   OAK_QM_AUTH_AWAITmap_alloc_entry: allocating entry 2
   map_alloc_entry: allocating entry 1
   
   ISAKMP (0): Creating IPSec SAs
           inbound SA from 200.1.1.2 to 200.1.1.1 (proxy 10.48.67.1 to 200.1.1.1)
           has spi 1691854104 and conn_id 2 and flags 4
           lifetime of 2147483 seconds
           outbound SA from 200.1.1.1 to 200.1.1.2 (proxy 200.1.1.1 to 10.48.67.1)
           has spi 1025193431 and conn_id 1 and flags 4
           lifetime of 2147483 secondsIPSEC(key_engine): got a queue event...
   IPSEC(initialize_sas): ,(key eng. msg.) dest= 200.1.1.1, src= 200.1.1.2,
       dest_proxy= 200.1.1.1/0.0.0.0/0/0 (type=1),
       src_proxy= 10.48.67.1/0.0.0.0/0/0 (type=1),
       protocol= ESP, transform= esp-des esp-md5-hmac ,
       lifedur= 2147483s and 0kb,
       spi= 0x64d7a518(1691854104),conn_id= 2, keysize= 0, flags= 0x4
   IPSEC(initialize_sas): ,
     (key eng. msg.) src= 200.1.1.1, dest=200.1.1.2,
       src_proxy= 200.1.1.1/0.0.0.0/0/0 (type=1),
       dest_proxy= 10.48.67.1/0.0.0.0/0/0 (type=1),
       protocol= ESP, transform=esp-des esp-md5-hmac ,
       lifedur= 2147483s and 0kb,
       spi= 0x3d1b35d7(1025193431),conn_id= 1, keysize= 0, flags= 0x4
   
   VPN Peer: IPSEC: Peer ip:200.1.1.2 Ref cnt incremented to:2 Total VPN Peers:1
   VPN Peer: IPSEC: Peer ip:200.1.1.2 Ref cnt incremented to:3 Total VPN Peers:1
   return status is IKMP_NO_ERROR
   crypto_isakmp_process_block: src 200.1.1.2, dest 200.1.1.1
   OAK_QM exchange
   oakley_process_quick_mode:
   OAK_QM_AUTH_AWAITmap_alloc_entry: allocating entry 4
   map_alloc_entry: allocating entry 3
   
   ISAKMP (0): Creating IPSec SAs
           inbound SA from 200.1.1.2 to 200.1.1.1 (proxy 10.48.67.1 to 0.0.0.0)
           has spi 3415657865 and conn_id 4 and flags 4
           lifetime of 2147483 seconds
           outbound SA from 200.1.1.1 to 200.1.1.2 (proxy 0.0.0.0 to 10.48.67.1)
           has spi 2383969893 and conn_id 3 and flags 4
           lifetime of 2147483 secondsIPSEC(key_engine): got a queue event...
   IPSEC(initialize_sas): ,
     (key eng. msg.) dest= 200.1.1.1, src=200.1.1.2,
       dest_proxy= 0.0.0.0/0.0.0.0/0/0 (type=4),
       src_proxy= 10.48.67.1/0.0.0.0/0/0 (type=1),
       protocol= ESP, transform=esp-des esp-md5-hmac ,
       lifedur= 2147483s and 0kb,
       spi= 0xcb96cd89(3415657865),conn_id= 4, keysize= 0, flags= 0x4
   IPSEC(initialize_sas): ,
     (key eng. msg.) src= 200.1.1.1, dest=200.1.1.2,
       src_proxy= 0.0.0.0/0.0.0.0/0/0 (type=4),
       dest_proxy= 10.48.67.1/0.0.0.0/0/0 (type=1),
       protocol= ESP, transform=esp-des esp-md5-hmac ,
       lifedur= 2147483s and 0kb,
       spi= 0x8e187e65(2383969893),conn_id= 3, keysize= 0, flags= 0x4
   
   VPN Peer: IPSEC: Peer ip:200.1.1.2 Ref cnt incremented
   to:4 Total VPN Peers:1
   VPN Peer: IPSEC: Peer ip:200.1.1.2 Ref cnt incremented
   to:5 Total VPN Peers:1
   return status is IKMP_NO_ERROR
   
   pixfirewall# show uauth
   Current      Most Seen
   Authenticated Users
   1              1
   Authen In Progress
   0              1
   ipsec user 'fadi' at 10.48.67.1, authenticated
   pixfirewall#

VPN Client 1.1 のデバッグ

crypto_isakmp_process_block: src 200.1.1.3, dest 200.1.1.1
   VPN Peer: ISAKMP: Added new peer: ip:200.1.1.3
   Total VPN Peers:1
   VPN Peer: ISAKMP: Peer ip:200.1.1.3 Ref cnt incremented to:1
   Total VPN Peers:1
   OAK_MM exchange
   ISAKMP (0): processing SA payload. message ID = 0
   
   ISAKMP (0): Checking ISAKMP transform 1 against priority 10 policy
         encryption DES-CBC
   ISAKMP:      hash MD5
   ISAKMP:      default group 1
   ISAKMP:      auth pre-share
   ISAKMP (0): atts are not acceptable. Next payload is 0
   ISAKMP (0): Checking ISAKMP transform 1 against priority 20 policy
   ISAKMP:      encryption DES-CBC
   ISAKMP:      hash MD5
   ISAKMP:      default group 1
   ISAKMP:      auth pre-share
   ISAKMP (0): atts are acceptable. Next payload is 0
   ISAKMP (0): SA is doing pre-shared key authentication
   using id type ID_IPV4_ADDR
   return status is IKMP_NO_ERROR
   crypto_isakmp_process_block: src 200.1.1.3, dest 200.1.1.1
   OAK_MM exchange
   ISAKMP (0): processing KE payload. message ID = 0
   
   ISAKMP (0): processing NONCE payload. message ID = 0
   
   ISAKMP (0): processing vendor id payload
   
   ISAKMP (0): processing vendor id payload
   
   return status is IKMP_NO_ERROR
   crypto_isakmp_process_block: src 200.1.1.3, dest 200.1.1.1
   OAK_MM exchange
   ISAKMP (0): processing ID payload. message ID = 0
   ISAKMP (0): processing HASH payload. message ID = 0
   ISAKMP (0): processing NOTIFY payload 24578 protocol 1
    spi 0, message ID = 0
   ISAKMP (0): SA has been authenticated
   
   ISAKMP (0): ID payload
    next-payload : 8
    type         : 1
    protocol     : 17
    port         : 500
    length       : 8
   ISAKMP (0): Total payload length: 12
   return status is IKMP_NO_ERROR
   crypto_isakmp_process_block: src 200.1.1.3, dest 200.1.1.1
   ISAKMP: Created a peer node for 200.1.1.3
   OAK_QM exchange
   ISAKMP (0:0): Need XAUTH
   ISAKMP/xauth: request attribute XAUTH_TYPE
   ISAKMP/xauth: request attribute XAUTH_USER_NAME
   ISAKMP/xauth: request attribute XAUTH_USER_PASSWORD
   ISAKMP (0:0): initiating peer config to 200.1.1.3.
   ID = 3196940891 (0xbe8d725b)
   return status is IKMP_NO_ERROR
   crypto_isakmp_process_block: src 200.1.1.3, dest 200.1.1.1
   ISAKMP_TRANSACTION exchange
   ISAKMP (0:0): processing transaction payload
   from 200.1.1.3. message ID = 84
   ISAKMP: Config payload CFG_REPLY
   return status is IKMP_ERR_NO_RETRANS
   ISAKMP (0:0): initiating peer config to 200.1.1.3.
   ID = 3196940891 (0xbe8d725b)
   crypto_isakmp_process_block: src 200.1.1.3, dest 200.1.1.1
   ISAKMP_TRANSACTION exchange
   ISAKMP (0:0): processing transaction payload
   from 200.1.1.3. message ID = 60
   ISAKMP: Config payload CFG_ACK
   ISAKMP (0:0): initiating peer config to 200.1.1.3.
   ID = 1647424595 (0x6231b453)
   return status is IKMP_NO_ERROR
   crypto_isakmp_process_block: src 200.1.1.3, dest 200.1.1.1
   ISAKMP_TRANSACTION exchange
   ISAKMP (0:0): processing transaction payload
   from 200.1.1.3. message ID = 60
   ISAKMP: Config payload CFG_ACK
   ISAKMP (0:0): peer accepted the address!
   return status is IKMP_NO_ERROR
   crypto_isakmp_process_block: src 200.1.1.3, dest 200.1.1.1
   OAK_QM exchange
   oakley_process_quick_mode:
   OAK_QM_IDLE
   ISAKMP (0): processing SA payload. message ID = 802013669
   
   ISAKMP : Checking IPSec proposal 1
   
   ISAKMP: transform 1, ESP_DES
   ISAKMP:   attributes in transform:
   ISAKMP:      authenticator is HMAC-MD5
   ISAKMP:      encaps is 1
   ISAKMP (0): atts are acceptable.IPSEC(validate_proposal_request)
   :proposal part #1,
     (key eng. msg.) dest= 200.1.1.1, src = 200.1.1.3,
       dest_proxy= 10.48.66.0/255.255.254.0/0/0 (type=4),
       src_proxy= 10.48.67.1/255.255.255.255/0/0 (type=1),
       protocol= ESP, transform=esp-des esp-md5-hmac ,
       lifedur= 0s and 0kb,
       spi= 0x0(0), conn_id= 0, keysize=0, flags= 0x4
   
   ISAKMP (0): processing NONCE payload. message ID = 802013669
   
   ISAKMP (0): processing ID payload. message ID = 802013669
   ISAKMP (0): ID_IPV4_ADDR src 10.48.67.1 prot 0 port 0
   ISAKMP (0): processing ID payload. message ID = 802013669
   ISAKMP (0): ID_IPV4_ADDR_SUBNET dst 10.48.66.0/255.255.254.0
   prot 0 port 0IPSEC(key_engine): got a queue event...
   IPSEC(spi_response): getting spi 0xd7cef5ba(3620664762)for SA
    from 200.1.1.3 to 200.1.1.1 for prot 3
   
   return status is IKMP_NO_ERROR
   crypto_isakmp_process_block: src 200.1.1.3, dest 200.1.1.1
   OAK_QM exchange
   oakley_process_quick_mode:
   OAK_QM_AUTH_AWAITmap_alloc_entry: allocating entry 1
   map_alloc_entry: allocating entry 2
   
   ISAKMP (0): Creating IPSec SAs
           inbound SA from 200.1.1.3 to 200.1.1.1 (proxy 10.48.67.1 to 10.48.66.0)
           has spi 3620664762 and conn_id 1 and flags 4
           outbound SA from 200.1.1.1 to 200.1.1.3 (proxy 10.48.66.0 to 10.48.67.1)
           has spi 541375266 and conn_id 2 and flags 4IPSEC(key_engine): got a queue event...
   
   IPSEC(initialize_sas): ,
     (key eng. msg.) dest= 200.1.1.1, src=200.1.1.3,
       dest_proxy= 10.48.66.0/255.255.254.0/0/0 (type=4),
       src_proxy= 10.48.67.1/0.0.0.0/0/0 (type=1),
       protocol= ESP, transform=esp-des esp-md5-hmac ,
       lifedur= 0s and 0kb,
       spi= 0xd7cef5ba(3620664762),conn_id= 1, keysize= 0, flags= 0x4
   IPSEC(initialize_sas): ,
     (key eng. msg.) src= 200.1.1.1, dest=200.1.1.3,
       src_proxy= 10.48.66.0/255.255.254.0/0/0 (type=4),
       dest_proxy= 10.48.67.1/0.0.0.0/0/0 (type=1),
       protocol= ESP, transform=esp-des esp-md5-hmac ,
       lifedur= 0s and 0kb,
       spi= 0x2044bb22(541375266),conn_id= 2, keysize= 0, flags= 0x4
   
   VPN Peer: IPSEC: Peer ip:200.1.1.3 Ref cnt incremented
   to:2 Total VPN Peers:1
   VPN Peer: IPSEC: Peer ip:200.1.1.3 Ref cnt incremented
   to:3 Total VPN Peers:1
   return status is IKMP_NO_ERROR
   

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 10967