In diesem Dokument wird beschrieben, wie Sie die Debugging auf der Cisco Adaptive Security Appliance (ASA) verstehen, wenn Internet Key Exchange Version 2 (IKEv2) mit einem Cisco AnyConnect Secure Mobility Client verwendet wird. Dieses Dokument enthält auch Informationen zum Übersetzen bestimmter Debug-Zeilen in einer ASA-Konfiguration.
In diesem Dokument wird weder beschrieben, wie Datenverkehr nach der Einrichtung eines VPN-Tunnels an die ASA weitergeleitet wird, noch werden grundlegende Konzepte von IPSec oder IKE behandelt.
Cisco empfiehlt, über Kenntnisse des Paketaustauschs für IKEv2 zu verfügen. Weitere Informationen finden Sie unter IKEv2-Paketaustausch und Debuggen auf Protokollebene.
Die Informationen in diesem Dokument basieren auf den folgenden Software- und Hardwareversionen:
Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.
Das Cisco Technical Assistance Center (TAC) verwendet häufig IKE- und IPSec-Debugbefehle, um zu ermitteln, wo ein Problem mit der Einrichtung eines IPSec-VPN-Tunnels besteht. Die Befehle können jedoch kryptisch sein.
debug crypto ikev2 protocol 127
debug crypto ikev2 platform 127
debug aggregate-auth xml 5
Diese ASA-Konfiguration ist absolut grundlegend und ohne Verwendung externer Server.
interface Ethernet0/1
nameif outside
security-level 0
ip address 10.0.0.1 255.255.255.0
ip local pool webvpn1 10.2.2.1-10.2.2.10
crypto ipsec ikev2 ipsec-proposal 3des
protocol esp encryption aes-256 aes 3des des
protocol esp integrity sha-1
crypto dynamic-map dynmap 1000 set ikev2 ipsec-proposal 3des
crypto map crymap 10000 ipsec-isakmp dynamic dynmap
crypto map crymap interface outside
crypto ca trustpoint Anu-ikev2
enrollment self
crl configure
crypto ikev2 policy 10
encryption aes-192
integrity sha
group 2
prf sha
lifetime seconds 86400
crypto ikev2 enable outside client-services port 443
crypto ikev2 remote-access trustpoint Anu-ikev2
ssl encryption 3des-sha1 aes128-sha1 aes256-sha1 des-sha1
ssl trust-point Anu-ikev2 outside
webvpn
enable outside
anyconnect image disk0:/anyconnect-win-3.0.1047-k9.pkg 1
anyconnect profiles Anyconnect-ikev2 disk0:/anyconnect-ikev2.xml
anyconnect enable
tunnel-group-list enable
group-policy ASA-IKEV2 internal
group-policy ASA-IKEV2 attributes
wins-server none
dns-server none
vpn-tunnel-protocol ikev2
default-domain none
webvpn
anyconnect modules value dart
anyconnect profiles value Anyconnect-ikev2 type user
username Anu password lAuoFgF7KmB3D0WI encrypted privilege 15
tunnel-group ASA-IKEV2 type remote-access
tunnel-group ASA-IKEV2 general-attributes
address-pool webvpn1
default-group-policy ASA-IKEV2
tunnel-group ASA-IKEV2 webvpn-attributes
group-alias ASA-IKEV2 enable
<ServerList>
<HostEntry>
<HostName>Anu-IKEV2</HostName>
<HostAddress>10.0.0.1</HostAddress>
<UserGroup>ASA-IKEV2</UserGroup>
<PrimaryProtocol>IPsec</PrimaryProtocol>
</HostEntry>
</ServerList>
Beschreibung der Servernachricht |
Debugger |
Client-Nachrichtenbeschreibung |
|
Datum: 23.04.2013 *********************************************** *********************************************** |
Der Client initiiert den VPN-Tunnel zur ASA. | ||
—IKE_SA_INIT Exchange beginnt— | |||
Die ASA erhält die Meldung IKE_SA_INIT vom Client. |
IKEv2-PLAT-4: RECV PKT [IKE_SA_INIT] [192.168.1.1]:25170->[10.0.0.1]:500 InitSPI=0x58aff71141ba436b RespSPI=0x0 000000000000000 MID=000000000 IKEv2-PROTO-3: Rx [L 10.0.0.1:500/R 192.168.1.1:25170/VRF i0:f0] m_id: 0 x 0 |
||
Das erste Nachrichtenpaar ist der IKE_SA_INIT-Austausch. Diese Nachrichten handeln Kryptografiealgorithmen aus, tauschen Nonces aus und tauschen einen Diffie-Hellman (DH)-Austausch aus. Die vom Client erhaltene Meldung IKE_SA_INIT enthält folgende Felder:
|
IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: 00000000000000000] IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi: 0000000000000000 IKEv2-PROTO-4: Nächste Nutzlast: SA, Version: 2,0 IKEv2-PROTO-4: Exchange-Typ: IKE_SA_INIT, Flaggen: INITIATOR IKEv2-PROTO-4: Nachrichten-ID: 0x0, Länge: 528 SA Next-Payload: KE, reserviert: 0x0, Länge: 168 IKEv2-PROTO-4: letzter Vorschlag: 0x0, reserviert: 0x0, Länge: 164 Angebot: 1, Protokoll-ID: IKE, SPI-Größe: 0, #trans: 18 IKEv2-PROTO-4: letzte Umwandlung: 0x3, reserviert: 0x0: Länge: 12 Typ: 1, vorbehalten: 0x0, ID: AES-CBC IKEv2-PROTO-4: letzte Umwandlung: 0x3, reserviert: 0x0: Länge: 12 Typ: 1, vorbehalten: 0x0, ID: AES-CBC IKEv2-PROTO-4: letzte Umwandlung: 0x3, reserviert: 0x0: Länge: 12 Typ: 1, vorbehalten: 0x0, ID: AES-CBC IKEv2-PROTO-4: letzte Umwandlung: 0x3, reserviert: 0x0: Länge: 8 Typ: 1, vorbehalten: 0x0, ID: 3DES IKEv2-PROTO-4: letzte Umwandlung: 0x3, reserviert: 0x0: Länge: 8 Typ: 1, vorbehalten: 0x0, ID: DES IKEv2-PROTO-4: letzte Umwandlung: 0x3, reserviert: 0x0: Länge: 8 Typ: 2, vorbehalten: 0x0, ID: SHA512 IKEv2-PROTO-4: letzte Umwandlung: 0x3, reserviert: 0x0: Länge: 8 Typ: 2, vorbehalten: 0x0, ID: SHA384 IKEv2-PROTO-4: letzte Umwandlung: 0x3, reserviert: 0x0: Länge: 8 Typ: 2, vorbehalten: 0x0, ID: SHA256 IKEv2-PROTO-4: letzte Umwandlung: 0x3, reserviert: 0x0: Länge: 8 Typ: 2, vorbehalten: 0x0, ID: SHA1 IKEv2-PROTO-4: letzte Umwandlung: 0x3, reserviert: 0x0: Länge: 8 Typ: 2, vorbehalten: 0x0, ID: MD5 IKEv2-PROTO-4: letzte Umwandlung: 0x3, reserviert: 0x0: Länge: 8 Typ: 3, reserviert: 0x0, ID: SHA512 IKEv2-PROTO-4: letzte Umwandlung: 0x3, reserviert: 0x0: Länge: 8 Typ: 3, reserviert: 0x0, ID: SHA384 IKEv2-PROTO-4: letzte Umwandlung: 0x3, reserviert: 0x0: Länge: 8 Typ: 3, reserviert: 0x0, ID: SHA256 IKEv2-PROTO-4: letzte Umwandlung: 0x3, reserviert: 0x0: Länge: 8 Typ: 3, reserviert: 0x0, ID: SHA96 IKEv2-PROTO-4: letzte Umwandlung: 0x3, reserviert: 0x0: Länge: 8 Typ: 3, reserviert: 0x0, ID: MD596 IKEv2-PROTO-4: letzte Umwandlung: 0x3, reserviert: 0x0: Länge: 8 Typ: 4, reserviert: 0x0, ID: DH_GROUP_1536_MODP/Gruppe 5 IKEv2-PROTO-4: letzte Umwandlung: 0x3, reserviert: 0x0: Länge: 8 Typ: 4, reserviert: 0x0, ID: DH_GROUP_1024_MODP/Gruppe 2 IKEv2-PROTO-4: letzte Umwandlung: 0x0, reserviert: 0x0: Länge: 8 Typ: 4, reserviert: 0x0, ID: DH_GROUP_768_MODP/Gruppe 1 KE Nächste Payload: N, reserviert: 0x0, Länge: 104 DH-Gruppe: 1, Reserviert: 0 x 0 eb 5e 29 fe cb 2e d1 28 ed 4a 54 b1 13 7c b8 89 f7 62 13 6b df 95 88 28 b5 97 ba 52 ef e4 1d 28 ca 06 d1 36 b6 67 32 9a c2 dd 4e d8 c7 80 de 20 36 34 c5 b3 3e 1d 83 1a c7 fb 9d b8 c5 f5 ba ba 4f b6 b2 e2 2d 43 4f a0 b6 90 9a 11 3f 7d 0a 21 c3 4d3 0a d2 1e 33 43 d3 5e cc 4b 38 e0 N Nächste Nutzlast: VID, reserviert: 0x0, Länge: 24 20 12 8f 22 7b 16 23 52 e4 29 4d 98 c7 fd a8 77 ce 7c 0b4 IKEv2-PROTO-5: Herstellerspezifische Payload analysieren: CISCO-LÖSCHEN-GRÜNDE VID Nächste Payload: VID, reserviert: 0x0, Länge: 23 |
||
Die ASA überprüft und verarbeitet die
Relevante Konfiguration: crypto ikev2 policy 10 |
Entschlüsseltes Paket:Daten: 528 Byte IKEv2-PLAT-3: Benutzerdefinierte VID-Payloads verarbeiten IKEv2-PLAT-3: Cisco Copyright-VID von Peer erhalten IKEv2-PLAT-3: Von Peer erhaltene AnyConnect EAP-VID IKEv2-PROTO-5: 6. SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: IDLE-Veranstaltung: EV_RECV_INIT IKEv2-PROTO-3: 6. NAT-Erkennung prüfen IKEv2-PROTO-5: 6. SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: IDLE-Veranstaltung: EV_CHK_REDIRECT IKEv2-PROTO-5: 6. Redirect Check ist nicht erforderlich, überspringen IKEv2-PROTO-5: 6. SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: IDLE-Veranstaltung: EV_CHK_CAC IKEv2-PLAT-5: New ikev2 als Anforderung zugelassen IKEv2-PLAT-5: Erhöhung der Anzahl der eingehenden Verhandlungen um eins IKEv2-PLAT-5: UNGÜLTIGER PSH-HANDLE IKEv2-PLAT-5: UNGÜLTIGER PSH-HANDLE IKEv2-PROTO-5: 6. SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: IDLE-Veranstaltung: EV_CHK_COOKIE IKEv2-PROTO-5: 6. SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: IDLE-Veranstaltung: EV_CHK4_COOKIE_NOTIFY IKEv2-PROTO-5: 6. SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT-Veranstaltung: EV_VERIFY_MSG IKEv2-PROTO-3: 6. SA-Initnachricht überprüfen IKEv2-PROTO-5: 6. SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT-Veranstaltung: EV_INSERT_SA IKEv2-PROTO-3: 6. SA einfügen IKEv2-PROTO-5: 6. SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT-Veranstaltung: EV_GET_IKE_RICHTLINIE IKEv2-PROTO-3: 6. Konfigurieren von Richtlinien IKEv2-PROTO-5: 6. SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT-Veranstaltung: EV_PROC_MSG IKEv2-PROTO-2: 6. Verarbeiten der ersten Nachricht IKEv2-PROTO-5: 6. SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT-Veranstaltung: EV_DETECT_NAT IKEv2-PROTO-3: 6. Prozess-NAT-Erkennungsbenachrichtigung IKEv2-PROTO-5: 6. Verarbeitung von nat detect src notify IKEv2-PROTO-5: 6. Remote-Adresse nicht zugeordnet IKEv2-PROTO-5: 6. Verarbeitung von nat detect dnotify IKEv2-PROTO-5: 6. Lokale Adresse zugeordnet IKEv2-PROTO-5: 6. Der Host befindet sich außerhalb von NAT. IKEv2-PROTO-5: 6. SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT-Veranstaltung: EV_CHK_CONFIG_MODE IKEv2-PROTO-3: 6. Gültige Konfigurationsmodusdaten empfangen IKEv2-PROTO-5: 6. SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT-Veranstaltung: EV_SET_RECD_CONFIG_MODE IKEv2-PROTO-3: 6. Daten zum empfangenen Konfigurationsmodus festlegen IKEv2-PROTO-5: 6. SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT-Veranstaltung: EV_SET_POLICY IKEv2-PROTO-3: 6. Festlegen konfigurierter Richtlinien IKEv2-PROTO-5: 6. SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT-Veranstaltung: EV_CHK_AUTH4PKI IKEv2-PROTO-5: 6. SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT-Veranstaltung: EV_PKI_SESH_OPEN IKEv2-PROTO-3: 6. Öffnen einer PKI-Sitzung IKEv2-PROTO-5: 6. SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT-Veranstaltung: EV_GEN_DH_KEY IKEv2-PROTO-3: 6. Öffentlicher DH-Schlüssel für Computing IKEv2-PROTO-3: 6. IKEv2-PROTO-5: 6. SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT-Veranstaltung: EV_NO_EVENT IKEv2-PROTO-5: 6. SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT-Veranstaltung: EV_OK_RECD_DH_PUBKEY_RESP IKEv2-PROTO-5: 6. Aktion: Aktion_Null IKEv2-PROTO-5: 6. SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT-Veranstaltung: EV_GEN_DH_SECRET IKEv2-PROTO-3: 6. geheimer DH-Schlüssel für Computing IKEv2-PROTO-3: 6. IKEv2-PROTO-5: 6. SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT-Veranstaltung: EV_NO_EVENT IKEv2-PROTO-5: 6. SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT-Veranstaltung: EV_OK_RECD_DH_SECRET_RESP IKEv2-PROTO-5: 6. Aktion: Aktion_Null IKEv2-PROTO-5: 6. SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT-Veranstaltung: EV_GEN_SKEYID IKEv2-PROTO-3: 6. skeyid generieren IKEv2-PROTO-5: 6. SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT-Veranstaltung: EV_GET_CONFIG_MODE |
||
Die ASA erstellt die Antwortmeldung für den IKE_SA_INIT-Austausch. Dieses Paket enthält:
|
IKEv2-PROTO-5: 6. SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT-Veranstaltung: EV_BLD_MSG IKEv2-PROTO-2: 6. Erste Nachricht senden IKEv2-PROTO-3: IKE-Angebot: 1, SPI-Größe: 0 (erste Aushandlung), Anzahl Veränderungen: 4 AES-CBC SHA1 SHA96 DH_GROUP_768_MODP/Gruppe 1 IKEv2-PROTO-5: anbieterspezifische Payload erstellen: LÖSCHEN-REASONIKEv2-PROTO-5: anbieterspezifische Payload erstellen: (BENUTZERDEFINIERT)IKEv2-PROTO-5: anbieterspezifische Payload erstellen: (BENUTZERDEFINIERT)IKEv2-PROTO-5: Benachrichtigungs-Payload erstellen: NAT_DETECTION_SOURCE_IPIKEv2-PROTO-5: Benachrichtigungs-Payload erstellen: NAT_DETECTION_DESTINATION_IPIKEv2-PLAT-2: Abrufen der Hashes vertrauenswürdiger Emittenten fehlgeschlagen oder keine verfügbar IKEv2-PROTO-5: anbieterspezifische Payload erstellen: FRAGMENTATIONIKEv2-PROTO-3: Tx [L 10.0.0.1:500/R 192.168.1.1:25170/VRF i0:f0] m_id: 0 x 0 IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi: FC69630E6B94D7F IKEv2-PROTO-4: Nächste Nutzlast: SA, Version: 2,0 IKEv2-PROTO-4: Exchange-Typ: IKE_SA_INIT, Flaggen: ANTWORT DER MSG-REAKTION IKEv2-PROTO-4: Nachrichten-ID: 0x0, Länge: 386 SA Next-Payload: KE, reserviert: 0x0, Länge: 48 IKEv2-PROTO-4: letzter Vorschlag: 0x0, reserviert: 0x0, Länge: 44 Angebot: 1, Protokoll-ID: IKE, SPI-Größe: 0, #trans: 4 IKEv2-PROTO-4: letzte Umwandlung: 0x3, reserviert: 0x0: Länge: 12 Typ: 1, vorbehalten: 0x0, ID: AES-CBC IKEv2-PROTO-4: letzte Umwandlung: 0x3, reserviert: 0x0: Länge: 8 Typ: 2, vorbehalten: 0x0, ID: SHA1 IKEv2-PROTO-4: letzte Umwandlung: 0x3, reserviert: 0x0: Länge: 8 Typ: 3, reserviert: 0x0, ID: SHA96 IKEv2-PROTO-4: letzte Umwandlung: 0x0, reserviert: 0x0: Länge: 8 Typ: 4, reserviert: 0x0, ID: DH_GROUP_768_MODP/Gruppe 1 KE Nächste Payload: N, reserviert: 0x0, Länge: 104 DH-Gruppe: 1, Reserviert: 0 x 0 c9 30 f9 32 d4 7c d1 a7 5b 71 72 09 6e 7e 91 0c e1 ce b4 a4 3c f2 8b 74 4e 20 59 b4 0b a1 ff 65 37 88 cc4 a4 b6 fa 4a 63 03 93 89 e1 7e bd 6a 64 9a 38 24 e2 a8 40 f5 a3 d6 ef f7 1a df 33 cc a1 8e fa dc 9c 34 45 79 1a 7c 29 05 87 8a ac 02 98 2e 7d cb 41 51 d6 fe fc c7 76 83 1d 03 b0 d7 N Nächste Nutzlast: VID, reserviert: 0x0, Länge: 24 c2 28 7f 8c 7d b3 1e 51 fc eb f1 97 ec 97 b8 67 d5 e7 c2 f5 VID Nächste Nutzlast: VID, reserviert: 0x0, Länge: 23 |
||
Die ASA sendet die Antwortmeldung für den IKE_SA_INIT-Austausch aus. Der Austausch IKE_SA_INIT ist nun abgeschlossen. Die ASA startet den Timer für den Authentifizierungsprozess. | IKEv2-PLAT-4: GESENDETE PKT [IKE_SA_INIT] [10.0.0.1]:500->[192.168.1.1]:25170 InitSPI=0x58aff71141ba436b RespSPI=0xfc 696330e6b94d7f MID=0000000 IKEv2-PROTO-5: 6. SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: INIT_DONE-Veranstaltung: EV_DONE IKEv2-PROTO-3: 6. Fragmentierung ist aktiviert IKEv2-PROTO-3: 6. Cisco DeleteReason Notification ist aktiviert IKEv2-PROTO-3: 6. Vollständiger SA-Initaustausch IKEv2-PROTO-5: 6. SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: INIT_DONE-Veranstaltung: EV_CHK4_ROLE IKEv2-PROTO-5: 6. SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: INIT_DONE-Veranstaltung: EV_START_TMR IKEv2-PROTO-3: 6. Starter Timer zum Warten auf die Authentifizierungsmeldung (30 Sek.) IKEv2-PROTO-5: 6. SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_WAIT_AUTH-Ereignis: EV_NO_EVENT |
*********************************************** Datum: 23.04.2013 Uhrzeit: 16:25:02 Uhr Typ: Informationen Quelle: Acvpnant Beschreibung: Funktion: CIPsecProtocol::initiativeTunnel Datei: .\IPsecProtocol.cpp Leitung: 345 IPsec-Tunnel initiiert *********************************************** |
Der Client zeigt den IPSec-Tunnel als 'Initiating' an. |
—IKE_SA_INIT abgeschlossen— | |||
— IKE_AUTH beginnt— | |||
*********************************************** Datum: 23.04.2013 Uhrzeit: 16:25:00 Uhr Typ: Informationen Quelle: Acvpnant Beschreibung: Parameter für sichere Gateways: IP-Adresse: 10.0.0.1 Port: 443 URL: "10.0.0.1" Auth-Methode: IKE - EAP-AnyConnect IKE-Identität: *********************************************** Datum: 23.04.2013 Uhrzeit: 16:25:00 Uhr Typ: Informationen Quelle: Acvpnant Beschreibung: Initiierung der Cisco AnyConnect Secure Mobility Client-Verbindung, Version 3.0.1047 *********************************************** Datum: 23.04.2013 |
Der Client lässt die AUTH-Payload aus Nachricht 3 aus, um anzuzeigen, dass eine erweiterbare Authentifizierung verwendet werden soll. Wenn die Extensible Authentication Protocol (EAP)-Authentifizierung vom Clientprofil angegeben oder impliziert wird und das Profil das <IKEIdentity>-Element nicht enthält, sendet der Client eine ID_GROUP-Typ-IDi-Payload mit der festen Zeichenfolge *$AnyConnectClient$*. Der Client initiiert eine Verbindung zur ASA an Port 4500. | ||
Die Authentifizierung erfolgt über EAP. Im Rahmen einer EAP-Konversation ist nur eine einzige EAP-Authentifizierungsmethode zulässig. Die ASA erhält die Meldung IKE_AUTH vom Client. |
IKEv2-PLAT-4: RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.1]:4500 InitSPI=0x58aff71141ba436b Resp SPI=0xfc696330e6b94d7f MID=0000001 IKEv2-PROTO-3: Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x1 |
||
Wenn der Client eine IDi-Payload enthält Das Initiatorpaket IKE_AUTH enthält:
Attribute, die der Client bereitstellen muss * Relevante Profilkonfiguration: <ServerList> |
IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4: IKEV2 HDR-ISPI: 58AFF71141BA436B - rspi: FC69630E6B94D7F IKEv2-PROTO-4: Nächste Nutzlast: ENCR, Version: 2,0 IKEv2-PROTO-4: Exchange-Typ: IKE_AUTH, Flaggen: INITIATOR IKEv2-PROTO-4: Nachrichten-ID: 0x1, Länge: 540 IKEv2-PROTO-5: 6. Die Anforderung hat mess_id 1. Erwartete 1 bis 1 ECHTES entschlüsseltes Paket:Daten: 465 Byte IKEv2-PROTO-5: Herstellerspezifische Payload analysieren: (BENUTZERDEFINIERT) VID Nächste Payload: IDi, reserviert: 0x0, Länge: 20 58 af f6 11 52 8d b0 2c b8 da 30 46 BE 91 56 fa IDi Nächste Payload: CERTREQ, vorbehalten: 0x0, Länge: 28 ID-Typ: Gruppenname, Reserviert: 0x0 0x0 2a 24 41 6e 79 43 6f 6e 6e 65 63 74 43 6c 69 65 6e 74 24 2a CERTREQ Nächste Payload: CFG, reserviert: 0x0, Länge: 25 Zertifikatcodierung X.509 - Signatur CertReq-Daten und -Doppelpunkte; 20 Byte CFG Nächste Payload: SA, reserviert: 0x0, Länge: 196 cfg-Typ: CFG_REQUEST, reserviert: 0x0, reserviert: 0 x 0 Attributtyp: interne IP4-Adresse, Länge: 0 Attributtyp: interne IP4-Netzmaske, Länge: 0 Attributtyp: Interner IP4-DNS, Länge: 0 Attributtyp: internes IP4-NBNS, Länge: 0 Attributtyp: interne Adresse, Gültigkeitsdauer: 0 Attributtyp: Anwendungsversion, Länge: 27 41 6e 79 43 6f 6e 6e 65 63 74 20 57 69 6e 64 6f 77 73 20 33 2e 30 2e 31 30 34 37 Attributtyp: interne IP6-Adresse, Länge: 0 Attributtyp: internes IP4-Subnetz, Länge: 0 Attributtyp: Unbekannt - 28682, Länge: 15 77 69 6e 78 70 36 34 74 65 65 60 61 74 65 Attributtyp: Unbekannt - 28704, Länge: 0 Attributtyp: Unbekannt - 28705, Länge: 0 Attributtyp: Unbekannt - 28706, Länge: 0 Attributtyp: Unbekannt - 28707, Länge: 0 Attributtyp: Unbekannt - 28708, Länge: 0 Attributtyp: Unbekannt - 28709, Länge: 0 Attributtyp: Unbekannt - 28710, Länge: 0 Attributtyp: Unbekannt - 28672, Länge: 0 Attributtyp: Unbekannt - 28684, Länge: 0 Attributtyp: Unbekannt - 28711, Länge: 2 05 7e Attributtyp: Unbekannt - 28674, Länge: 0 Attributtyp: Unbekannt - 28712, Länge: 0 Attributtyp: Unbekannt - 28675, Länge: 0 Attributtyp: Unbekannt - 28679, Länge: 0 Attributtyp: Unbekannt - 28683, Länge: 0 Attributtyp: Unbekannt - 28717, Länge: 0 Attributtyp: Unbekannt - 28718, Länge: 0 Attributtyp: Unbekannt - 28719, Länge: 0 Attributtyp: Unbekannt - 28720, Länge: 0 Attributtyp: Unbekannt - 28721, Länge: 0 Attributtyp: Unbekannt - 28722, Länge: 0 Attributtyp: Unbekannt - 28723, Länge: 0 Attributtyp: Unbekannt - 28724, Länge: 0 Attributtyp: Unbekannt - 28725, Länge: 0 Attributtyp: Unbekannt - 28726, Länge: 0 Attributtyp: Unbekannt - 28727, Länge: 0 Attributtyp: Unbekannt - 28729, Länge: 0 SA Next-Payload: TSi, reserviert: 0x0, Länge: 124 IKEv2-PROTO-4: letzter Vorschlag: 0x0, reserviert: 0x0, Länge: 120 Angebot: 1, Protokoll-ID: ESP, SPI-Größe: 4, #trans: 12 IKEv2-PROTO-4: letzte Umwandlung: 0x3, reserviert: 0x0: Länge: 12 Typ: 1, vorbehalten: 0x0, ID: AES-CBC IKEv2-PROTO-4: letzte Umwandlung: 0x3, reserviert: 0x0: Länge: 12 Typ: 1, vorbehalten: 0x0, ID: AES-CBC IKEv2-PROTO-4: letzte Umwandlung: 0x3, reserviert: 0x0: Länge: 12 Typ: 1, vorbehalten: 0x0, ID: AES-CBC IKEv2-PROTO-4: letzte Umwandlung: 0x3, reserviert: 0x0: Länge: 8 Typ: 1, vorbehalten: 0x0, ID: 3DES IKEv2-PROTO-4: letzte Umwandlung: 0x3, reserviert: 0x0: Länge: 8 Typ: 1, vorbehalten: 0x0, ID: DES IKEv2-PROTO-4: letzte Umwandlung: 0x3, reserviert: 0x0: Länge: 8 Typ: 1, vorbehalten: 0x0, ID: NULL IKEv2-PROTO-4: letzte Umwandlung: 0x3, reserviert: 0x0: Länge: 8 Typ: 3, reserviert: 0x0, ID: SHA512 IKEv2-PROTO-4: letzte Umwandlung: 0x3, reserviert: 0x0: Länge: 8 Typ: 3, reserviert: 0x0, ID: SHA384 IKEv2-PROTO-4: letzte Umwandlung: 0x3, reserviert: 0x0: Länge: 8 Typ: 3, reserviert: 0x0, ID: SHA256 IKEv2-PROTO-4: letzte Umwandlung: 0x3, reserviert: 0x0: Länge: 8 Typ: 3, reserviert: 0x0, ID: SHA96 IKEv2-PROTO-4: letzte Umwandlung: 0x3, reserviert: 0x0: Länge: 8 Typ: 3, reserviert: 0x0, ID: MD596 IKEv2-PROTO-4: letzte Umwandlung: 0x0, reserviert: 0x0: Länge: 8 Typ: 5, reserviert: 0x0, ID: TSi Nächste Payload: TSr, reserviert: 0x0, Länge: 24 Anzahl der TSs: 1, reserviert 0x0, reserviert 0x0 TS-Typ: TS_IPV4_ADDR_RANGE, Proto-ID: 0, Länge: 16 Startport: 0, Endport: 65535 Startanschrift: 0.0.0.0, Endadresse: 255 255 255 255 255 TSr Nächste Payload: BENACHRICHTIGUNG, reserviert: 0x0, Länge: 24 Anzahl der TSs: 1, reserviert 0x0, reserviert 0x0 TS-Typ: TS_IPV4_ADDR_RANGE, Proto-ID: 0, Länge: 16 Startport: 0, Endport: 65535 Startanschrift: 0.0.0.0, Endadresse: 255 255 255 255 255 |
||
Die ASA generiert eine Antwort auf die Meldung IKE_AUTH und bereitet sich auf die Authentifizierung für den Client vor. |
Entschlüsseltes Paket:Data: 540 Byte Erstellter Elementname config-auth-Wert |
||
Die ASA sendet die AUTH-Payload, um Benutzeranmeldeinformationen vom Client anzufordern. Die ASA sendet die AUTH-Methode als 'RSA', sodass sie ein eigenes Zertifikat an den Client sendet, sodass der Client den ASA-Server authentifizieren kann. Da die ASA bereit ist, eine erweiterbare Authentifizierungsmethode zu verwenden, platziert sie eine EAP-Payload in Nachricht 4 und verzögert das Senden von SAr2, TSi und TSr, bis die Initiatorauthentifizierung in einem nachfolgenden IKE_AUTH-Austausch abgeschlossen ist. Daher sind diese drei Payloads nicht im Debugger vorhanden. Das EAP-Paket enthält:
|
IDr. Nächste Nutzlast: CERT, reserviert: 0x0, Länge: 36 ID-Typ: DER ASN1 DN, reserviert: 0x0 0x0 30 1a 31 18 30 16 06 09 2a 86 48 86 f7 0d 01 09 02 16 09 41 53 41 2d 49 4b 45 56 32 CERT Next-Payload: CERT, reserviert: 0x0, Länge: 436 Zertifikatcodierung X.509-Zertifikat - Signatur Cert data: 431 Byte CERT Next-Payload: AUTH, reserviert: 0x0, Länge: 436 Zertifikatcodierung X.509 - Signatur Cert data: 431 Byte AUTH Next Payload: EAP, reserviert: 0x0, Länge: 136 Auth-Methode RSA, reserviert: 0x0, reserviert 0x0 Auth data: 128 Byte EAP Next Payload: KEINE, reserviert: 0x0, Länge: 154 Code: Anforderung: ID: 1, Länge: 150 Typ: Unbekannt - 254 EAP-Daten: 145 Byte IKEv2-PROTO-3: Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x1 IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4: IKEV2 HDR ISPI: 58AFF71141BA436B - rspi: FC69630E6B94D7F IKEv2-PROTO-4: Nächste Nutzlast: ENCR, Version: 2,0 IKEv2-PROTO-4: Exchange-Typ: IKE_AUTH, Flaggen: ANTWORT DER MSG-REAKTION IKEv2-PROTO-4: Nachrichten-ID: 0x1, Länge: 1292 ENCR Next-Payload: VID, reserviert: 0x0, Länge: 1264 Verschlüsselte Daten und Doppelpunkte; 1260 Byte |
||
Eine Fragmentierung kann auftreten, wenn die Zertifikate groß sind oder Zertifikatsketten enthalten sind. Sowohl Initiator- als auch Responder-KE-Payloads können auch große Schlüssel enthalten, was zu Fragmentierung beitragen kann. |
IKEv2-PROTO-5: 6. Fragmentiertes Paket, Fragment-MTU: 544, Anzahl der Fragmente: 3, Fragment-ID: 1 IKEv2-PLAT-4: GESENDETE PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc 696330e6b94d7f MID=0000001 IKEv2-PLAT-4: GESENDETE PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc 696330e6b94d7f MID=0000001 IKEv2-PLAT-4: GESENDETE PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc 696330e6b94d7f MID=0000001 |
||
*********************************************** |
Das von der ASA gesendete Zertifikat wird dem Benutzer vorgelegt. Das Zertifikat ist nicht vertrauenswürdig. Der EAP-Typ ist EAP-ANYCONNECT. | ||
Der Client antwortet auf die EAP-Anfrage mit einer Antwort. Das EAP-Paket enthält:
Die ASA entschlüsselt diese Antwort, und der Client gibt an, dass er die AUTH-Payload im vorherigen Paket (mit dem Zertifikat) erhalten und das erste EAP-Anforderungspaket von der ASA erhalten hat. Das ist das, was das "init"-EAP-Antwortpaket enthält. |
IKEv2-PLAT-4: RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0b xfc696330e6b94d7f MID=0000002 Entschlüsseltes Paket:Data: 332 Byte IKEv2-PROTO-5: 6. SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState: R_PROC_EAP_RESP-Ereignis: EV_PROC_MSG Unten vom Client erhaltene XML-Nachricht IKEv2-PROTO-5: 6. Aktion: Aktion_Null |
||
Dies ist die zweite Anfrage, die von der ASA an den Client gesendet wird. Das EAP-Paket enthält:
ENCR-Payload: Diese Nutzlast wird entschlüsselt, und ihr Inhalt wird als zusätzliche Nutzlasten analysiert. |
IKEv2-PROTO-2: 6. EAP-Anforderung senden Generierte XML-Nachricht unten |
*********************************************** Datum: 23.04.2013 Uhrzeit: 16:25:04 Uhr Typ: Informationen Quelle: Acvpnui Beschreibung: Funktion: SDIMgr::ProcessPromptData Datei: .\SDIMgr.cpp Leitung: 281 Der Authentifizierungstyp ist kein SDI. *********************************************** Datum: 23.04.2013 Uhrzeit: 16:25:07 Uhr Typ: Informationen Quelle: Acvpnui Beschreibung: Funktion: ConnectManager::userResponse Datei: .\ConnectMgr.cpp Leitung: 985 Verarbeitung der Benutzerantwort. *********************************************** |
Der Client fordert eine Benutzerauthentifizierung an und sendet diese als EAP-Antwort im nächsten Paket ("auth-reply") an die ASA. |
Der Client sendet eine weitere IKE_AUTH-Initiatormeldung mit der EAP-Nutzlast. Das EAP-Paket enthält:
|
IKEv2-PLAT-4: RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc 696330e6b94d7f MID=0000003 IKEv2-PROTO-3: Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0 x 3 IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4: IKEV2 HDR ISPI: 58AFF71141BA436B - rspi: FC69630E6B94D7F IKEv2-PROTO-4: Nächste Nutzlast: ENCR, Version: 2,0 IKEv2-PROTO-4: Exchange-Typ: IKE_AUTH, Flaggen: INITIATOR IKEv2-PROTO-4: Nachrichten-ID: 0x3, Länge: 492 IKEv2-PROTO-5: 6. Die Anforderung hat mess_id 1. Erwartete 3 bis 3 ECHTES entschlüsseltes Paket:Daten: 424 Byte EAP Next Payload: KEINE, reserviert: 0x0, Länge: 424 Code: Antwort: ID: 2, Länge: 420 Typ: Unbekannt - 254 EAP-Daten: 415 Byte |
||
Die ASA verarbeitet diese Antwort. Der Client hatte angefordert, dass der Benutzer Anmeldeinformationen eingibt. Diese EAP-Antwort hat den 'config-auth'-Typ 'auth-reply'. Dieses Paket enthält die Anmeldeinformationen, die der Benutzer eingegeben hat. |
Entschlüsseltes Paket:Daten: 492 Byte Unten vom Client erhaltene XML-Nachricht |
||
Die ASA erstellt im Austausch eine dritte EAP-Anforderung. Das EAP-Paket enthält:
ENCR-Payload: Diese Nutzlast wird entschlüsselt, und ihr Inhalt wird als zusätzliche Nutzlasten analysiert. |
IKEv2-PROTO-5: 6. SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_BLD_EAP_REQ-Ereignis: EV_RECV_EAP_REQ Generierte XML-Nachricht unten
IKEv2-PROTO-5: 6. Fragmentiertes Paket, Fragment-MTU: 544, Anzahl der Fragmente: 9, Fragment-ID: 2 |
||
*********************************************** Datum: 23.04.2013 Uhrzeit: 16:25:07 Uhr Typ: Informationen Quelle: Acvpnant Beschreibung: Aktuelles Profil: Anyconnect-IKEv2.xml Einstellungen für die Konfiguration der empfangenen VPN-Sitzung: Installieren Sie weiter: aktiviert Proxy-Einstellung: nicht ändern Proxyserver: Keine Proxy-PAC-URL: Keine Proxyausnahmen: Keine Proxy-Sperrung: aktiviert Aufteilen ausschließen: Die lokale LAN-Zugriffspräferenz ist deaktiviert. Aufteilen: deaktiviert DNS aufteilen: deaktiviert LAN-Platzhalter: Die lokale LAN-Zugriffspräferenz ist deaktiviert. Firewall-Regeln: Keine Client-Adresse: 10.2.2.1 Client-Maske: 255.0.0.0 Client-IPv6-Adresse: unbekannt Client-IPv6-Maske: unbekannt MTU: 1406 IKE-Verbindung aufrecht erhalten: 20 Sekunden IKE-DPD: 30 Sekunden Sitzungs-Timeout: 0 Sekunden Trennungs-Timeout: 1800 Sekunden Leerlaufzeitüberschreitung: 1800 Sekunden Server: unbekannt MUS-Host: unbekannt DAP-Benutzermeldung: Keine Quarantänestatus: deaktiviert Stets verfügbares VPN: Nicht deaktiviert Leasingdauer: 0 Sekunden Standarddomäne: unbekannt Startseite: unbekannt Entfernen der Smartcard: aktiviert Lizenzantwort: unbekannt *********************************************** |
Die ASA sendet die VPN-Konfigurationseinstellungen in der 'vollständigen' Nachricht an den Client und weist dem Client eine IP-Adresse aus dem VPN-Pool zu. | ||
Der Client sendet das Initiator-Paket mit der EAP-Nutzlast. Das EAP-Paket enthält:
|
IKEv2-PLAT-4: RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=1 0xfc696330e6b94d7f MID=0000004 IKEv2-PROTO-3: Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x4 IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4: IKEV2 HDR ISPI: 58AFF71141BA436B - rspi: FC69630E6B94D7F IKEv2-PROTO-4: Nächste Nutzlast: ENCR, Version: 2,0 IKEv2-PROTO-4: Exchange-Typ: IKE_AUTH, Flaggen: INITIATOR IKEv2-PROTO-4: Nachrichten-ID: 0x4, Länge: 252 IKEv2-PROTO-5: 6. Die Anforderung hat mess_id 4. Erwartete 4 bis 4 ECHTES entschlüsseltes Paket:Daten: 177 Byte EAP Next Payload: KEINE, reserviert: 0x0, Länge: 177 Code: Antwort: ID: 3, Länge: 173 Typ: Unbekannt - 254 EAP-Daten: 168 Byte |
||
Die ASA verarbeitet dieses Paket. Die Relevante Konfiguration: tunnel-group ASA-IKEV2 Der EAP-Austausch ist nun erfolgreich. Das EAP-Paket enthält:
|
Entschlüsseltes Paket:Daten:252 Byte Unten vom Client erhaltene XML-Nachricht IKEv2-PROTO-5: 6. SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_PROC_EAP_RESP-Ereignis: EV_START_TMR |
||
Da der EAP-Austausch erfolgreich war, sendet der Client das IKE_AUTH-Initiatorpaket mit der AUTH-Nutzlast. Die AUTH-Nutzlast wird aus dem gemeinsamen geheimen Schlüssel generiert. | IKEv2-PLAT-4: RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc 696330e6b94d7f MID=0000005 IKEv2-PROTO-3: Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0 x 5 IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4: IKEV2 HDR ISPI: 58AFF71141BA436B - rspi: FC69630E6B94D7F IKEv2-PROTO-4: Nächste Nutzlast: ENCR, Version: 2,0 IKEv2-PROTO-4: Exchange-Typ: IKE_AUTH, Flaggen: INITIATOR IKEv2-PROTO-4: Nachrichten-ID: 0x5, Länge: 92 IKEv2-PROTO-5: 6. Die Anforderung hat chess_id 5. Erwartete 5 bis 5 ECHTES entschlüsseltes Paket:Daten:28 Byte AUTH Next Payload: KEINE, reserviert: 0x0, Länge: 28 Auth-Methode PSK, reserviert: 0x0, reserviert 0x0 Auth-Daten: 20 Byte |
||
Bei Angabe der EAP-Authentifizierung oder Die ASA verarbeitet diese Nachricht. Relevante Konfiguration: crypto dynamic-map dynmap 1000 |
Entschlüsseltes Paket:Daten: 92 Byte IKEv2-PROTO-2: 6. Verarbeitungsauthentifizierungsmeldung |
||
Die ASA erstellt die IKE_AUTH-Antwortnachricht mit den SA-, TSi- und TSr-Payloads. Das IKE_AUTH-Responder-Paket enthält:
ENCR-Payload: Diese Nutzlast wird entschlüsselt, und ihr Inhalt wird als zusätzliche Nutzlasten analysiert. |
IKEv2-PROTO-5: 6. SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_BLD_AUTH-Ereignis: EV_MY_AUTH_METHODE IKEv2-PROTO-3: Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0 x 5 |
||
Die ASA sendet diese IKE_AUTH-Antwortmeldung, die in neun Pakete aufgeteilt ist. Der Austausch IKE_AUTH ist abgeschlossen. | IKEv2-PROTO-5: 6. Fragmentiertes Paket, Fragment-MTU: 544, Anzahl der Fragmente: 9, Fragment-ID: 1 IKEv2-PLAT-4: GESENDETE PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc 696330e6b94d7f MID=0000005 IKEv2-PLAT-4: GESENDETE PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc 696330e6b94d7f MID=0000005 IKEv2-PLAT-4: GESENDETE PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc 696330e6b94d7f MID=0000005 IKEv2-PLAT-4: GESENDETE PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc 696330e6b94d7f MID=0000005 IKEv2-PLAT-4: GESENDETE PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc 696330e6b94d7f MID=0000005 IKEv2-PLAT-4: GESENDETE PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc 696330e6b94d7f MID=0000005 IKEv2-PLAT-4: GESENDETE PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc 696330e6b94d7f MID=0000005 IKEv2-PLAT-4: GESENDETE PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc 696330e6b94d7f MID=0000005 IKEv2-PLAT-4: GESENDETE PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc 696330e6b94d7f MID=0000005 IKEv2-PROTO-5: 6. SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE-Veranstaltung: EV_OK IKEv2-PROTO-5: 6. Aktion: Aktion_Null IKEv2-PROTO-5: 6. SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE-Ereignis: EV_PKI_SESH_CLOSE |
||
*********************************************** Datum: 23.04.2013 Uhrzeit: 16:25:07 Uhr Typ: Informationen Quelle: Acvpnant Beschreibung: Funktion: ikev2_log Datei: .\ikev2_anyconnect_osal.cpp Leitung: 2730 Die IPsec-Verbindung wurde hergestellt. *********************************************** Datum: 23.04.2013 Uhrzeit: 16:25:07 Uhr Typ: Informationen Quelle: Acvpnant Beschreibung: IPsec-Sitzungsregistrierung: Verschlüsselung: AES-CBC PRF: SHA1 HMAC: SHA96 Lokale Authentifizierungsmethode: PSK Remote-Authentifizierungsmethode: PSK Sequence-ID: 0 Schlüsselgröße: 192 DH-Gruppe: 1 Uhrzeit neu eingeben: 4294967 Sekunden Lokale Adresse: 192.168.1.1 Remote-Adresse: 10.0.0.1 Lokaler Port: 4500 Remote-Port: 4500 Sitzungs-ID: 1 *********************************************** Datum: 23.04.2013 Uhrzeit: 16:25:07 Uhr Typ: Informationen Quelle: Acvpnui Beschreibung: Das Profil, das auf dem sicheren Gateway konfiguriert wurde, lautet: Anyconnect-IKEv2.xml *********************************************** Datum: 23.04.2013 Uhrzeit: 16:25:07 Uhr Typ: Informationen Quelle: Acvpnui Beschreibung: An den Benutzer gesendete Informationen zum Meldungstyp: VPN-Sitzung wird eingerichtet.. *********************************************** |
Der Client meldet die IPSec-Verbindung wie eingerichtet. Der Client erkennt auch das Benutzerprofil auf der ASA. | ||
—IKE_AUTH Exchange ends— | |||
*********************************************** *********************************************** |
XML-Profil wird auf den Client geladen. Da der Client nun über eine IP-Adresse von der ASA verfügt, aktiviert der Client den VPN-Adapter. | ||
Die Verbindung wird in die Datenbank der Security Association (SA) eingegeben, und der Status ist REGISTRIERT. Die ASA führt außerdem Prüfungen wie CAC-Statistiken (Common Access Card), Vorhandensein doppelter SAs durch und legt Werte wie Dead Peer Detection (DPD) usw. fest. |
IKEv2-PROTO-5: 6. SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE-Veranstaltung: EV_INSERT_IKE IKEv2-PROTO-2: 6. SA erstellt; SA in Datenbank einfügen IKEv2-PLAT-3: VERBINDUNGSSTATUS: UP... Peer: 192.168.1.1:25171, Phase1_ID: *$AnyConnectClient$* IKEv2-PROTO-5: 6. SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE-Veranstaltung: EV_REGISTER_SESSION IKEv2-PLAT-3: (6) Der Benutzername ist auf Folgendes festgelegt: Anu IKEv2-PLAT-3: VERBINDUNGSSTATUS: REGISTRIERT.. Peer: 192.168.1.1:25171, Phase1_ID: *$AnyConnectClient$* IKEv2-PROTO-3: 6. DPD initialisieren, für 10 Sekunden konfiguriert IKEv2-PLAT-3: (6) mib_index auf: 4501 IKEv2-PROTO-5: 6. SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE-Veranstaltung: EV_GEN_LOAD_IPSEC IKEv2-PROTO-3: 6. IPSEC-Schlüsselmaterial laden IKEv2-PLAT-3: Crypto Map: Match auf dynamische Karte dynmap seq 1000 IKEv2-PLAT-3: (6) DPD-Max. Zeit: 30 IKEv2-PLAT-3: (6) DPD-Max. Zeit: 30 IKEv2-PROTO-5: 6. SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE-Veranstaltung: EV_START_ACCT IKEv2-PROTO-5: 6. SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE-Veranstaltung: EV_CHECK_DUPE IKEv2-PROTO-3: 6. Suche nach doppeltem SA IKEv2-PROTO-5: 6. SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE-Veranstaltung: EV_CHK4_ROLE IKEv2-PROTO-5: 6. SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: READY-Veranstaltung: EV_R_UPDATE_CAC_STATS IKEv2-PLAT-5: Neuer IKV2 als Anforderung aktiviert IKEv2-PLAT-5: Dezimalzahl für eingehende Verhandlungen IKEv2-PROTO-5: 6. SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: READY-Veranstaltung: EV_R_OK IKEv2-PROTO-3: 6. Starten des Timers zum Löschen des Verhandlungskontexts IKEv2-PROTO-5: 6. SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: READY-Veranstaltung: EV_NO_EVENT IKEv2-PLAT-2: PFKEY Add SA für SPI 0x77EE5348 erhalten, Fehler FALSE IKEv2-PLAT-2: PFKEY-Update-SA für SPI 0x30B848A4 erhalten, Fehler FALSE |
||
*********************************************** Datum: 23.04.2013 Uhrzeit: 16:25:08 Uhr Typ: Informationen Quelle: Acvpnant Beschreibung: Die VPN-Verbindung wurde eingerichtet und kann jetzt Daten weiterleiten. *********************************************** Datum: 23.04.2013 Uhrzeit: 16:25:08 Uhr Typ: Informationen Quelle: Acvpnui Beschreibung: An den Benutzer gesendete Informationen zum Meldungstyp: VPN einrichten - System wird konfiguriert.. *********************************************** Datum: 23.04.2013 Uhrzeit: 16:25:08 Uhr Typ: Informationen Quelle: Acvpnui Beschreibung: An den Benutzer gesendete Informationen zum Meldungstyp: VPN einrichten... *********************************************** Datum: 23.04.2013 Uhrzeit: 16:25:37 Uhr Typ: Informationen Quelle: Acvpnant Datei: .\IPsecProtocol.cpp Leitung: 945 IPsec-Tunnel ist eingerichtet *********************************************** |
Der Client meldet den Tunnel als betriebsbereit und bereit für die Weiterleitung des Datenverkehrs. |
Beispielausgabe des Befehls show vpn-sessiondb detail anyconnect lautet:
Session Type: AnyConnect Detailed
Username : Anu Index : 2
Assigned IP : 10.2.2.1 Public IP : 192.168.1.1
Protocol : IKEv2 IPsecOverNatT AnyConnect-Parent
License : AnyConnect Premium
Encryption : AES192 AES256 Hashing : none SHA1 SHA1
Bytes Tx : 0 Bytes Rx : 11192
Pkts Tx : 0 Pkts Rx : 171
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : ASA-IKEV2 Tunnel Group : ASA-IKEV2
Login Time : 22:06:24 UTC Mon Apr 22 2013
Duration : 0h:02m:26s
Inactivity : 0h:00m:00s
NAC Result : Unknown
VLAN Mapping : N/A VLAN : none
IKEv2 Tunnels: 1
IPsecOverNatT Tunnels: 1
AnyConnect-Parent Tunnels: 1
AnyConnect-Parent:
Tunnel ID : 2.1
Public IP : 192.168.1.1
Encryption : none Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 27 Minutes
Client Type : AnyConnect
Client Ver : 3.0.1047
IKEv2:
Tunnel ID : 2.2
UDP Src Port : 25171 UDP Dst Port : 4500
Rem Auth Mode: userPassword
Loc Auth Mode: rsaCertificate
Encryption : AES192 Hashing : SHA1
Rekey Int (T): 86400 Seconds Rekey Left(T): 86254 Seconds
PRF : SHA1 D/H Group : 1
Filter Name :
Client OS : Windows
IPsecOverNatT:
Tunnel ID : 2.3
Local Addr : 0.0.0.0/0.0.0.0/0/0
Remote Addr : 10.2.2.1/255.255.255.255/0/0
Encryption : AES256 Hashing : SHA1
Encapsulation: Tunnel
Rekey Int (T): 28800 Seconds Rekey Left(T): 28654 Seconds
Rekey Int (D): 4608000 K-Bytes Rekey Left(D): 4607990 K-Bytes
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Bytes Tx : 0 Bytes Rx : 11192
Pkts Tx : 0 Pkts Rx : 171
NAC:
Reval Int (T): 0 Seconds Reval Left(T): 0 Seconds
SQ Int (T) : 0 Seconds EoU Age(T) : 146 Seconds
Hold Left (T): 0 Seconds Posture Token:
Redirect URL :
Beispielausgabe des Befehls show crypto ikev2 sa lautet:
ASA-IKEV2# show crypto ikev2 sa
IKEv2 SAs:
Session-id:2, Status:UP-ACTIVE, IKE count:1, CHILD count:1
Tunnel-id Local Remote Status Role
55182129 10.0.0.1/4500 192.168.1.1/25171 READY RESPONDER
Encr: AES-CBC, keysize: 192, Hash: SHA96, DH Grp:1, Auth sign: RSA, Auth verify: EAP
Life/Active Time: 86400/112 sec
Child sa: local selector 0.0.0.0/0 - 255.255.255.255/65535
remote selector 10.2.2.1/0 - 10.2.2.1/65535
ESP spi in/out: 0x30b848a4/0x77ee5348
Beispielausgabe des Befehls show crypto ikev2 sa detail lautet:
ASA-IKEV2# show crypto ikev2 sa detail
IKEv2 SAs:
Session-id:2, Status:UP-ACTIVE, IKE count:1, CHILD count:1
Tunnel-id Local Remote Status Role
55182129 10.0.0.1/4500 192.168.1.1/25171 READY RESPONDER
Encr: AES-CBC, keysize: 192, Hash: SHA96, DH Grp:1, Auth sign: RSA, Auth verify: EAP
Life/Active Time: 86400/98 sec
Session-id: 2
Status Description: Negotiation done
Local spi: FC696330E6B94D7F Remote spi: 58AFF71141BA436B
Local id: hostname=ASA-IKEV2
Remote id: *$AnyConnectClient$*
Local req mess id: 0 Remote req mess id: 9
Local next mess id: 0 Remote next mess id: 9
Local req queued: 0 Remote req queued: 9 Local window: 1 Remote window: 1
DPD configured for 10 seconds, retry 2
NAT-T is detected outside
Assigned host addr: 10.2.2.1
Child sa: local selector 0.0.0.0/0 - 255.255.255.255/65535
remote selector 10.2.2.1/0 - 10.2.2.1/65535
ESP spi in/out: 0x30b848a4/0x77ee5348
AH spi in/out: 0x0/0x0
CPI in/out: 0x0/0x0
Encr: AES-CBC, keysize: 256, esp_hmac: SHA96
ah_hmac: None, comp: IPCOMP_NONE, mode tunnel
Beispielausgabe des Befehls show crypto ipsec sa lautet:
ASA-IKEV2# show crypto ipsec sa
interface: outside
Crypto map tag: dynmap, seq num: 1000, local addr: 10.0.0.1
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (10.2.2.1/255.255.255.255/0/0)
current_peer: 192.168.1.1, username: Anu
dynamic allocated peer ip: 10.2.2.1
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 163, #pkts decrypt: 108, #pkts verify: 108
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#send errors: 0, #recv errors: 55
local crypto endpt.: 10.0.0.1/4500, remote crypto endpt.: 192.168.1.1/25171
path mtu 1488, ipsec overhead 82, media mtu 1500
current outbound spi: 77EE5348
current inbound spi : 30B848A4
inbound esp sas:
spi: 0x30B848A4 (817383588)
transform: esp-aes-256 esp-sha-hmac no compression
in use settings ={RA, Tunnel, NAT-T-Encaps, }
slot: 0, conn_id: 8192, crypto-map: dynmap
sa timing: remaining key lifetime (sec): 28685
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0xFFAD6BED 0x7ABFD5BF
outbound esp sas:
spi: 0x77EE5348 (2012107592)
transform: esp-aes-256 esp-sha-hmac no compression
in use settings ={RA, Tunnel, NAT-T-Encaps, }
slot: 0, conn_id: 8192, crypto-map: dynmap
sa timing: remaining key lifetime (sec): 28685
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
09-Oct-2013 |
Erstveröffentlichung |