Guest

IPSec - PIX al Wild-card del Cliente Cisco VPN, Pre-shared, configuración de modo con la autenticación ampliada

Opciones de descarga

  • PDF     (402.5 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (84.1 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (95.2 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:26 de septiembre de 2008
ID del documento:10967
Acerca de la traducción

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este ejemplo de configuración demuestra cómo conectar a un cliente VPN con un firewall PIX usando los comodines, la configuración de modo, el comando sysopt connection permit-ipsec, y el Autenticación ampliada (Xauth).

Para ver el TACACS+ y la configuración de RADIUS para PIX 6.3 y posterior, refiera al TACACS+ y al RADIUS para el ejemplo de configuración PIX 6.3 y del PIX/ASA 7.x.

El cliente VPN soporta el Advanced Encryption Standard (AES) como algoritmo de encripción en la versión de Cliente Cisco VPN 3.6.1 y posterior y con el firewall PIX 6.3. El cliente VPN soporta los tamaños de clave de los bits 128 y de los bits 256 solamente. Para más información sobre cómo configurar el AES, refiérase a cómo configurar al Cliente Cisco VPN al PIX con el AES.

Refiera al PIX/ASA 7.x y al Cliente Cisco VPN 4.x para Windows con el ejemplo de configuración de la autenticación de RADIUS de Microsoft Windows 2003 IAS para configurar la conexión VPN de acceso remoto entre un Cliente Cisco VPN (4.x para Windows) y el dispositivo de seguridad 7.x de la serie PIX 500 usando un servidor de RADIUS del Internet Authentication Service de Microsoft Windows 2003 (IAS).

Refiera al IPSec entre un concentrador VPN 3000 y un cliente VPN 4.x para Windows usando el RADIUS para el ejemplo de configuración de la autenticación de usuario y de las estadísticas para establecer un túnel IPsec entre un Cisco VPN 3000 Concentrator y un Cliente Cisco VPN 4.x para Windows usando el RADIUS para la autenticación de usuario y las estadísticas.

Refiera a configurar el IPSec entre un router y un Cliente Cisco VPN 4.x del Cisco IOS para Windows usando el RADIUS para que la autenticación de usuario configure una conexión entre un router y el Cliente Cisco VPN 4.x usando el RADIUS para la autenticación de usuario.

prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Cliente Cisco VPN 4.x. Este producto cuenta con funciones avanzadas de VPN, a diferencia de Cisco Secure VPN Client 1.x.

  • Versión 6.3(3) del firewall PIX 515E.

Nota: La tecnología de encripción está sujeta a los controles de exportación. Es su responsabilidad conocer la ley con respecto a la exportación de tecnología de encripción. Para más información, refiera al sitio web de la oficina de administración de exportaciónleavingcisco.com . Si tiene alguna pregunta acerca del control de las exportaciones, envíe un correo electrónico a export@cisco.com.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Antecedentes

El comando sysopt connection permit-ipsec permite implícito cualquier paquete que venga de un túnel IPsec desviar marcar de un comando access-list, conduit, o access-group asociado para las conexiones del IPSec. El Xauth autentica el usuario IPsec a un externo TACACS+ o al servidor de RADIUS. Además de la clave comodín previamente compartida, el usuario debe proporcionar un nombre de usuario/una contraseña.

Un usuario con un cliente VPN recibe una dirección IP de su ISP. Esto es substituida por una dirección IP del pool de la dirección IP en el PIX. El usuario puede acceder a todo el contenido del escudo de protección, incluidas las redes. Los usuarios que no funcionan con al cliente VPN pueden conectar solamente con el servidor Web que usa a la dirección externa proporcionada por la asignación estática.

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Use la herramienta Command Lookup Tool (clientes registrados solamente) para encontrar más información sobre los comandos usados en este documento.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

b-1.gif

Notas del diagrama de la red

  • Se autentican los host de Internet que acceden al servidor Web que usa el IP Address global 192.168.1.1 incluso si una conexión VPN no se establece. Este tráfico no se cifra.

  • Los clientes VPN pueden acceder todos los host en la red interna (10.89.129.128 /25) una vez que se establece su túnel IPsec. Todo el tráfico del cliente VPN al firewall PIX se cifra. Sin un túnel IPsec, pueden solamente acceder al servidor Web vía su IP Address global pero todavía se requieren para autenticar.

  • Los clientes VPN vienen de Internet y sus direcciones IP no se conocen de antemano.

Configuraciones

Este documento usa estas configuraciones.

Configuración PIX 6.3(3) 
pixfirewall#show run: Saved:PIX Version 6.3(3)interface ethernet0 100fullinterface ethernet1 100fullnameif ethernet0 outside security0nameif ethernet1 inside security100enable password 8Ry2YjIyt7RRXU24 encryptedpasswd 2KFQnbNIdI.2KYOU encryptedhostname pixfirewallfixup protocol dns maximum-length 512fixup protocol ftp 21fixup protocol h323 h225 1720fixup protocol h323 ras 1718-1719fixup protocol http 80fixup protocol rsh 514fixup protocol rtsp 554fixup protocol sip 5060fixup protocol sip udp 5060fixup protocol skinny 2000fixup protocol smtp 25fixup protocol sqlnet 1521fixup protocol tftp 69names!--- Do not use Network Address Translation (NAT) for inside-to-pool !--- traffic. This should not go through NAT.access-list 101 permit ip 10.89.129.128 255.255.255.240 10.89.129.192 255.255.255.240!--- Permits Internet Control Message Protocol (ICMP) !--- Transmission Control Protocol (TCP) and User Datagram Protocol (UDP) !--- traffic from any host on the Internet (non-VPN) to the web server.access-list 120 permit icmp any host 10.89.129.131access-list 120 permit tcp any host 10.89.129.131access-list 120 permit udp any host 10.89.129.131pager lines 24mtu outside 1500mtu inside 1500ip address outside 192.168.1.1 255.255.255.0ip address inside 10.89.129.194 255.255.255.240ip audit info action alarmip audit attack action alarm!--- Specifies the inside IP address range to be assigned !--- to the VPN Clients.ip local pool VPNpool 10.89.129.200-10.89.129.204no failoverfailover timeout 0:00:00failover poll 15no failover ip address outsideno failover ip address insidepdm history enablearp timeout 14400!--- Defines a pool of global addresses to be used by NAT.global (outside) 1 192.168.1.6-192.168.1.10nat (inside) 0 access-list 101nat (inside) 1 0.0.0.0 0.0.0.0 0 0!--- Specifies which outside IP address to apply to the web server.static (inside,outside) 192.168.1.11 10.89.129.131 netmask 255.255.255.255 0 0!--- Apply ACL 120 to the outside interface in the inbound direction.access-group 120 in interface outside!--- Defines a default route for the PIX.route outside 0.0.0.0 0.0.0.0 192.168.1.3 1!--- Defines a route for traffic within the PIX's !--- subnet to reach other inside hosts.route inside 10.89.129.128 255.255.255.128 10.89.129.193 1timeout xlate 3:00:00timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00timeout uauth 0:05:00 absoluteaaa-server TACACS+ protocol tacacs+aaa-server RADIUS protocol radiusaaa-server LOCAL protocol local!--- Authentication, authorization, and accounting (AAA) statements !--- for authentication. !--- Use either of these statements to define the protocol of the group AuthInbound. !--- You cannot use both. aaa-server AuthInbound protocol tacacs+!--- ORaaa-server AuthInbound protocol radius!--- After you define the protocol of the group AuthInbound, define !--- a server of the same type. !--- In this case we specify the TACACS+ server and key of "secretkey".aaa-server AuthInbound (inside) host 10.89.129.134 secretkey timeout 10!--- Authenticate HTTP, FTP, and Telnet traffic to the web server.aaa authentication include http outside 10.89.129.131 255.255.255.255 0.0.0.0 0.0.0.0 AuthInboundaaa authentication include ftp outside 10.89.129.131 255.255.255.255 0.0.0.0 0.0.0.0 AuthInboundaaa authentication include telnet outside 10.89.129.131 255.255.255.255 0.0.0.0 0.0.0.0 AuthInboundno snmp-server locationno snmp-server contactsnmp-server community publicno snmp-server enable trapsfloodguard enable!--- Trust IPsec traffic and avoid going through ACLs/NAT.sysopt connection permit-ipsec!--- IPsec and dynamic map configuration.crypto ipsec transform-set myset esp-des esp-md5-hmaccrypto dynamic-map dynmap 10 set transform-set mysetcrypto map mymap 10 ipsec-isakmp dynamic dynmap!--- Assign IP address for VPN 1.1 Clients.crypto map mymap client configuration address initiatecrypto map mymap client configuration address respond!--- Use the AAA server for authentication (AuthInbound).crypto map mymap client authentication AuthInbound!--- Apply the IPsec/AAA/ISAKMP configuration to the outside interface.crypto map mymap interface outsideisakmp enable outside!--- Pre-shared key for VPN 1.1 Clients.isakmp key ******** address 0.0.0.0 netmask 0.0.0.0isakmp identity address!--- Assign address from "VPNpool" pool for VPN 1.1 Clients.isakmp client configuration address-pool local VPNpool outside!--- ISAKMP configuration for VPN Client 3.x/4.x.isakmp policy 10 authentication pre-shareisakmp policy 10 encryption desisakmp policy 10 hash md5isakmp policy 10 group 2isakmp policy 10 lifetime 86400!--- ISAKMP configuration for VPN Client 1.x.isakmp policy 20 authentication pre-shareisakmp policy 20 encryption desisakmp policy 20 hash md5isakmp policy 20 group 1isakmp policy 20 lifetime 86400!--- Assign addresses from "VPNpool" for VPN Client 3.x/4.x.vpngroup vpn3000 address-pool VPNpoolvpngroup vpn3000 idle-time 1800!--- Group password for VPN Client 3.x/4.x (not shown in configuration).vpngroup vpn3000 password ********telnet timeout 5ssh timeout 5console timeout 0terminal width 80Cryptochecksum:ba54c063d94989cbd79076955dbfeefc: endpixfirewall#

Configuración del cliente VPN 4.0.5

Complete estos pasos para configurar al cliente VPN 4.0.5.

  1. Seleccione el Start (Inicio) > Programs (Programas) > Cisco Systems VPN Client (VPN Client de Cisco Systems) > al cliente VPN.

  2. Tecleo nuevo iniciar la nueva ventana de entrada de la conexión VPN del crear.

    b-2.gif

  3. Ingrese el nombre del Entrada de conexión junto con una descripción. Ingrese el IP Address externo del firewall PIX en el rectángulo del host. Después ingrese el nombre del grupo VPN y la contraseña y haga clic la salvaguardia.

    b-3.gif

  4. De la ventana principal del cliente VPN, haga clic en la conexión que usted quisiera utilizar y hacer clic el botón connect.

    b-4.gif

  5. Cuando aparezca el mensaje, ingrese la información de su nombre de usuario y contraseña para Xauth y haga clic en OK (Aceptar) para conectarse a la red remota.

    b-5.gif

Configuración de VPN Client 3.5

Complete estos pasos para configurar la configuración del cliente VPN 3.5.

  1. Seleccione el Start (Inicio) > Programs (Programas) > Cisco Systems VPN Client (Cliente VPN de Cisco Systems) > VPN dialer (marcador VPN).

  2. Haga clic en Nuevo para iniciar el Asistente de una nueva entrada de conexión.

  3. Ingrese el nombre de la nueva entrada de conexión y haga clic en Next (Siguiente).

    b-6.gif

  4. Ingrese el nombre del host o el IP Address del servidor que se utiliza para conectar con el servidor remoto y para hacer clic después.

    b-7.gif

  5. Seleccione la información de acceso a grupo y ingrese el nombre y la contraseña que se utiliza para autenticar su acceso al servidor remoto. Haga clic en Next (Siguiente).

    b-8.gif

  6. Haga clic en Finish (Finalizar) para guardar la nueva entrada.

    b-9.gif

  7. Seleccione la entrada de conexión en el marcador y haga clic en Connect (Conectar).

    b-10.gif

  8. Cuando aparezca el mensaje, ingrese la información de su nombre de usuario y contraseña para Xauth y haga clic en OK (Aceptar) para conectarse a la red remota.

    b-11.gif

Configuración del cliente VPN 1.1 
Network Security policy:  1- TACconn     My Identity          Connection security: Secure          Remote Party Identity and addressing          ID Type: IP subnet          10.89.129.128          255.255.255.128          Port all Protocol all     Connect using secure tunnel          ID Type: IP address          192.168.1.1     Pre-shared Key=cisco1234     Authentication (Phase 1)     Proposal 1         Authentication method: pre-shared key         Encryp Alg: DES         Hash Alg: MD5         SA life: Unspecified         Key Group: DH 1     Key exchange (Phase 2)     Proposal 1         Encapsulation ESP         Encrypt Alg: DES         Hash Alg: MD5         Encap: tunnel         SA life: Unspecified         no AH 2- Other Connections        Connection security: Non-secure        Local Network Interface          Name: Any          IP Addr: Any          Port: All

Agregar contabilidad

La sintaxis del comando para agregar contabilidad es:

aaa accounting include acctg_service   inbound|outbound l_ip l_mask [f_ip f_mask] server_tag

Por ejemplo, en la configuración PIX, se agrega este comando:

aaa accounting include any inbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 AuthInbound

Nota: El comando sysopt connection permit-ipsec, no el sysopt ipsec pl-compatible, es necesario para que la contabilidad Xauth funcione. La cuenta Xauth no funciona sólo con el comando sysopt ipsec pl-compatible. La contabilidad de Xauth es válida para las conexiones TCP, no ICMP o UDP.

Esta salida es un ejemplo de los registros de contabilidad TACACS+: 

07/27/2004 15:17:54 cisco_customer Default Group 10.89.129.200 stop 15 .. 99 1879 .. ..    0x5 .. PIX 10.89.129.194 telnet 07/27/2004 15:17:39 cisco_customer Default Group 10.89.129.200 start .. .. .. .. .. ..    0x5 .. PIX 10.89.129.194 telnet

Verificación

Use esta sección para confirmar que su configuración funciona correctamente.

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

Nota: Consulte Información Importante sobre Comandos de Debug antes de usar un comando debug.

Habilite visualizador de registro seguro de Cisco para ver los client-side debug.

  • ¿IPSec del debug crypto? Utilizado para ver los IPSec Negotiations de la fase 2.

  • ¿isakmp del debug crypto? Utilizado para ver negociaciones ISAKMP de la fase 1.

Troubleshooting

En esta sección encontrará información que puede utilizar para solucionar problemas de configuración. También se muestra un ejemplo de salida del debug .

Comandos para resolución de problemas

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

Nota: Consulte Información Importante sobre Comandos de Debug antes de usar un comando debug.

  • ¿motor del debug crypto? Utilizado para hacer el debug del proceso del motor de criptografía.

Ejemplo de depuración PIX 

pixfirewall#show debugdebug crypto ipsec 1debug crypto isakmp 1debug crypto enginedebug fover status     tx      Off     rx      Off     open    Off     cable   Off     txdmp   Off     rxdmp   Off     ifc     Off     rxip    Off     txip    Off     get     Off     put     Off     verify  Off     switch  Off     fail    Off     fmsg    Off

Debugs con el cliente VPN 4.x 

pixfirewall#crypto_isakmp_process_block: src 192.168.1.2, dest 192.168.1.1VPN Peer: ISAKMP: Added new peer: ip:192.168.1.2Total VPN Peers:1VPN Peer: ISAKMP: Peer ip:192.168.1.2 Ref cnt incremented to:1 Total VPN Peers:1OAK_AG exchangeISAKMP (0): processing SA payload. message ID = 0ISAKMP (0): Checking ISAKMP transform 1 against priority 10 policyISAKMP:    encryption 3DES-CBCISAKMP:      hash SHAISAKMP:      default group 2ISAKMP:      extended auth pre-shareISAKMP:      life type in secondsISAKMP:      life duration (VPI) of 0x0 0x20 0xc4 0x9bISAKMP (0): atts are not acceptable. Next payload is 3ISAKMP (0): Checking ISAKMP transform 2 against priority 10 policyISAKMP:      encryption 3DES-CBCISAKMP:      hash MD5ISAKMP:      default group 2ISAKMP:      extended auth pre-shareISAKMP:      life type in secondsISAKMP:      life duration (VPI) of 0x0 0x20 0xc4 0x9bISAKMP (0): atts are not acceptable. Next payload is 3ISAKMP (0): Checking ISAKMP transform 3 against priority 10 policyISAKMP:      encryption 3DES-CBCISAKMP:      hash SHAISAKMP:      default group 2ISAKMP:      auth pre-sharedISAKMP:      life type in secondsISAKMP:      life duration (VPI) of 0x0 0x20 0xc4 0x9bISAKMP (0): atts are not acceptable. Next payload is 3ISAKMP (0): Checking ISAKMP transform 4 against priority 10 policyISAKMP:      encryption 3DES-CBCISAKMP:      hash MD5ISAKMP:      default group 2ISAKMP:      auth pre-shareISAKMP:      life type in secondsISAKMP:      life duration (VPI) of 0x0 0x20 0xc4 0x9bISAKMP (0): atts are not acceptable. Next payload is 3ISAKMP (0): Checking ISAKMP transform 5 against priority 10 policyISAKMP:      encryption DES-CBCISAKMP:      hash SHAISAKMP:      default group 2ISAKMP:      extended auth pre-shareISAKMP:      life type in secondsISAKMP:      life duration (VPI) of 0x0 0x20 0xc4 0x9bISAKMP (0): atts are not acceptable. Next payload is 3ISAKMP (0): Checking ISAKMP transform 6 against priority 10 policyISAKMP:      encryption DES-CBCISAKMP:      hash MD5ISAKMP:      default group 2ISAKMP:      extended auth pre-shareISAKMP:      life type in secondsISAKMP:      life duration (VPI) of 0x0 0x20 0xc4 0x9bISAKMP (0): atts are acceptable. Next payload is 3!--- Attributes offered by the VPN Client are accepted by the PIX.ISAKMP (0): processing KE payload. message ID = 0ISAKMP (0): processing NONCE payload. message ID = 0ISAKMP (0): processing ID payload. message ID = 0ISAKMP (0): processing vendor id payloadISAKMP (0): processing vendor id payloadISAKMP (0): remote peer supports dead peer detectionISAKMP (0): processing vendor id payloadISAKMP (0): speaking to a Unity clientISAKMP (0): ID payload        next-payload: 10        type        : 1        protocol    : 17        port        : 500        length      : 8        ISAKMP (0)  : Total payload length: 12return status is IKMP_NO_ERRORcrypto_isakmp_process_block: src 192.168.1.2, dest 192.168.1.1 OAK_AG exchangeISAKMP (0): processing HASH payload. message ID = 0ISAKMP (0): processing NOTIFY payload 24578 protocol 1        spi 0, message ID = 0ISAKMP (0): processing notify INITIAL_CONTACT   IPSEC(key_engine): got a queue event...IPSEC(key_engine_delete_sas): rec'd delete notify from ISAKMPIPSEC(key_engine_delete_sas): delete all SAsshared with      192.168.1.2ISAKMP (0): SA has been authenticatedreturn status is IKMP_NO_ERRORISAKMP/xauth: request attribute XAUTH_TYPEISAKMP/xauth: request attribute XAUTH_USER_NAMEISAKMP/xauth: request attribute XAUTH_USER_PASSWORDISAKMP (0:0): initiating peer config to 192.168.1.2.ID = 1623347510 (0x60c25136) crypto_isakmp_process_block: src 192.168.1.2,dest 192.168.1.1ISAKMP_TRANSACTION exchangeISAKMP (0:0): processing transaction payloadfrom 192.168.1.2. message ID = 84ISAKMP: Config payload CFG_REPLYreturn status is IKMP_ERR_NO_RETRANSISAKMP (0:0): initiating peer config to 192.168.1.2.ID = 2620656926 (0x9c340d1e) crypto_isakmp_process_block: src 192.168.1.2,dest 192.168.1.1ISAKMP_TRANSACTION exchangeISAKMP (0:0): processing transaction payloadfrom 192.168.1.2. message ID = 60ISAKMP: Config payload CFG_ACKreturn status is IKMP_NO_ERRORcrypto_isakmp_process_block: src 192.168.1.2, dest 192.168.1.1ISAKMP_TRANSACTION exchangeISAKMP (0:0): processing transaction payloadfrom 192.168.1.2. message ID = 0ISAKMP: Config payload CFG_REQUESTISAKMP (0:0): checking request:ISAKMP: attribute    IP4_ADDRESS (1)ISAKMP: attribute    IP4_NETMASK (2)ISAKMP: attribute    IP4_DNS (3)ISAKMP: attribute    IP4_NBNS (4)ISAKMP: attribute    ADDRESS_EXPIRY (5)        Unsupported Attr: 5ISAKMP: attribute    APPLICATION_VERSION (7)        Unsupported Attr: 7ISAKMP: attribute    UNKNOWN (28672)        Unsupported Attr: 28672ISAKMP: attribute    UNKNOWN (28673)        Unsupported Attr: 28673ISAKMP: attribute    UNKNOWN (28674)ISAKMP: attribute    UNKNOWN (28676)ISAKMP: attribute    UNKNOWN (28679)        Unsupported Attr: 28679ISAKMP: attribute    UNKNOWN (28680)        Unsupported Attr: 28680ISAKMP: attribute    UNKNOWN (28677)        Unsupported Attr: 28677ISAKMP (0:0): responding to peer config from 192.168.1.2. ID = 177917346return status is IKMP_NO_ERRORcrypto_isakmp_process_block: src 192.168.1.2, dest 192.168.1.1OAK_QM exchangeoakley_process_quick_mode:OAK_QM_IDLEISAKMP (0): processing SA payload. message ID = 942875080ISAKMP : Checking IPSec proposal 1ISAKMP: transform 1, ESP_3DESISAKMP:   attributes in transform:ISAKMP:      authenticator is HMAC-MD5ISAKMP:      encaps is 1ISAKMP:      SA life type in secondsISAKMP:      SA life duration (VPI) of 0x0 0x20 0xc4 0x9b IPSEC(validate_proposal): transformproposal (prot 3, trans 3, hmac_alg 1) not supportedISAKMP (0): atts not acceptable. Next payload is 0ISAKMP (0): skipping next ANDed proposal (1)ISAKMP : Checking IPSec proposal 2ISAKMP: transform 1, ESP_3DESISAKMP:   attributes in transform:ISAKMP:      authenticator is HMAC-SHAISAKMP:      encaps is 1ISAKMP:      SA life type in secondsISAKMP:      SA life duration (VPI) of 0x0 0x20 0xc4 0x9b IPSEC(validate_proposal): transformproposal (prot 3, trans 3, hmac_alg 2) not supportedISAKMP (0): atts not acceptable. Next payload is 0ISAKMP (0): skipping next ANDed proposal (2)ISAKMP: Checking IPSec proposal 3ISAKMP: transform 1, ESP_3DESISAKMP:   attributes in transform:ISAKMP:      authenticator is HMAC-MD5ISAKMP:      encaps is 1ISAKMP:      SA life type in secondsISAKMP:      SA life duration (VPI) of 0x0 0x20 0xc4 0x9b IPSEC(validate_proposal): transformproposal (prot 3, trans 3, hmac_alg 1) not supportedISAKMP (0): atts not acceptable. Next payload is 0ISAKMP: Checking IPSec proposal 4ISAKMP: transform 1, ESP_3DESISAKMP:   attributes in transform:ISAKMP:      authenticator is HMAC-SHAISAKMP:      encaps is 1ISAKMP:      SA life type in secondsISAKMP:      SA life duration (VPI) of 0x0 0x20 0xc4 0x9b IPSEC(validate_proposal): transformproposal (prot 3, trans 3, hmac_alg 2) not supportedISAKMP (0): atts not acceptable. Next payload is 0ISAKMP : Checking IPSec proposal 5ISAKMP: transform 1, ESP_DESISAKMP:   attributes in transform:ISAKMP:      authenticator is HMAC-MD5ISAKMP:      encaps is 1ISAKMP:      SA life type in secondsISAKMP:      SA life duration (VPI) of 0x0 0x20 0xc4 0x9bISAKMP (0): atts are acceptable.ISAKMP (0): bad SPI size of 2 octets!ISAKMP: Checking IPSec proposal 6ISAKMP: transform 1, ESP_DESISAKMP:   attributes in transform:ISAKMP:      authenticator is HMAC-SHAISAKMP:      encaps is 1ISAKMP:      SA life type in secondsISAKMP:      SA life duration (VPI) of 0x0 0x20 0xc4 0x9b IPSEC(validate_proposal): transformproposal (prot 3, trans 2, hmac_alg 2) not supportedISAKMP (0): atts not acceptable. Next payload is 0ISAKMP (0): skipping next ANDed proposal (6)ISAKMP : Checking IPSec proposal 7ISAKMP: transform 1, ESP_DESISAKMP:   attributes in transform:ISAKMP:      authenticator is HMAC-MD5ISAKMP:      encaps is 1ISAKMP:      SA life type in secondsISAKMP:      SA life duration (VPI) of 0x0 0x20 0xc4 0x9bISAKMP (0): atts are acceptable.IPSEC(validate_proposal_request):proposal part #1,  (key eng. msg.) dest= 192.168.1.1, src=192.168.1.2,    dest_proxy= 192.168.1.1/255.255.255.255/0/0 (type=1),    src_proxy= 10.89.129.200/255.255.255.255/0/0 (type=1),    protocol= ESP, transform= esp-des esp-md5-hmac ,    lifedur= 0s and 0kb,    spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x4ISAKMP (0): processing NONCE payload. message ID = 942875080ISAKMP (0): processing ID payload. message ID = 942875080ISAKMP (0): ID_IPV4_ADDR src 10.89.129.200 prot 0 port 0ISAKMP (0): processing ID payload. message ID = 942875080ISAKMP (0): ID_IPV4_ADDR dst 192.168.1.1 prot 0port 0IPSEC(key_engine): got a queue event...IPSEC(spi_response): getting spi 0x64d7a518(1691854104) for SA        from      192.168.1.2 to      192.168.1.1 for prot 3return status is IKMP_NO_ERRORcrypto_isakmp_process_block: src 192.168.1.2, dest 192.168.1.1OAK_QM exchangeoakley_process_quick_mode:OAK_QM_IDLEISAKMP (0): processing SA payload. message ID = 3008609960ISAKMP: Checking IPSec proposal 1ISAKMP: transform 1, ESP_3DESISAKMP:   attributes in transform:ISAKMP:      authenticator is HMAC-MD5crypto_isakmp_process_block: src 192.168.1.2, dest 192.168.1.1OAK_QM exchangeoakley_process_quick_mode:OAK_QM_AUTH_AWAITmap_alloc_entry: allocating entry 2map_alloc_entry: allocating entry 1ISAKMP (0): Creating IPSec SAs        inbound SA from 192.168.1.2 to 192.168.1.1           (proxy 10.89.129.200 to 192.168.1.1)        has spi 1691854104 and conn_id 2 and flags 4        lifetime of 2147483 seconds        outbound SA from 192.168.1.1 to 192.168.1.2           (proxy 192.168.1.1 to 10.89.129.200)        has spi 1025193431 and conn_id 1 and flags 4        lifetime of 2147483 secondsIPSEC(key_engine): got a queue event...IPSEC(initialize_sas): ,(key eng. msg.) dest= 192.168.1.1, src= 192.168.1.2,    dest_proxy= 192.168.1.1/0.0.0.0/0/0 (type=1),    src_proxy= 10.89.129.200/0.0.0.0/0/0 (type=1),    protocol= ESP, transform= esp-des esp-md5-hmac ,    lifedur= 2147483s and 0kb,    spi= 0x64d7a518(1691854104),conn_id= 2, keysize= 0, flags= 0x4IPSEC(initialize_sas): ,  (key eng. msg.) src= 192.168.1.1, dest=192.168.1.2,    src_proxy= 192.168.1.1/0.0.0.0/0/0 (type=1),    dest_proxy= 10.89.129.200/0.0.0.0/0/0 (type=1),    protocol= ESP, transform=esp-des esp-md5-hmac ,    lifedur= 2147483s and 0kb,    spi= 0x3d1b35d7(1025193431),conn_id= 1, keysize= 0, flags= 0x4VPN Peer: IPSEC: Peer ip:192.168.1.2 Ref cnt incremented to:2 Total VPN Peers:1VPN Peer: IPSEC: Peer ip:192.168.1.2 Ref cnt incremented to:3 Total VPN Peers:1return status is IKMP_NO_ERRORcrypto_isakmp_process_block: src 192.168.1.2, dest 192.168.1.1OAK_QM exchangeoakley_process_quick_mode:OAK_QM_AUTH_AWAITmap_alloc_entry: allocating entry 4map_alloc_entry: allocating entry 3ISAKMP (0): Creating IPSec SAs        inbound SA from 192.168.1.2 to 192.168.1.1 (proxy 10.89.129.200 to 0.0.0.0)        has spi 3415657865 and conn_id 4 and flags 4        lifetime of 2147483 seconds        outbound SA from 192.168.1.1 to 192.168.1.2 (proxy 0.0.0.0 to 10.89.129.200)        has spi 2383969893 and conn_id 3 and flags 4        lifetime of 2147483 secondsIPSEC(key_engine): got a queue event...IPSEC(initialize_sas): ,  (key eng. msg.) dest= 192.168.1.1, src=192.168.1.2,    dest_proxy= 0.0.0.0/0.0.0.0/0/0 (type=4),    src_proxy= 10.89.129.200/0.0.0.0/0/0 (type=1),    protocol= ESP, transform=esp-des esp-md5-hmac ,    lifedur= 2147483s and 0kb,    spi= 0xcb96cd89(3415657865),conn_id= 4, keysize= 0, flags= 0x4IPSEC(initialize_sas): ,  (key eng. msg.) src= 192.168.1.1, dest=192.168.1.2,    src_proxy= 0.0.0.0/0.0.0.0/0/0 (type=4),    dest_proxy= 10.89.129.200/0.0.0.0/0/0 (type=1),    protocol= ESP, transform=esp-des esp-md5-hmac ,    lifedur= 2147483s and 0kb,    spi= 0x8e187e65(2383969893),conn_id= 3, keysize= 0, flags= 0x4VPN Peer: IPSEC: Peer ip:192.168.1.2 Ref cnt incremented to:4 Total VPN Peers:1VPN Peer: IPSEC: Peer ip:192.168.1.2 Ref cnt incrementedto:5 Total VPN Peers:1return status is IKMP_NO_ERRORpixfirewall#show uauthCurrent      Most SeenAuthenticated Users1              1Authen In Progress0              1ipsec user 'cisco_customer' at 10.89.129.200, authenticatedpixfirewall#

Depuraciones con el cliente VPN 1.1 

crypto_isakmp_process_block: src 192.168.1.3, dest 192.168.1.1VPN Peer: ISAKMP: Added new peer: ip:192.168.1.3Total VPN Peers:1VPN Peer: ISAKMP: Peer ip:192.168.1.3 Ref cnt incremented to:1 Total VPN Peers:1OAK_MM exchangeISAKMP (0): processing SA payload. message ID = 0ISAKMP (0): Checking ISAKMP transform 1 against priority 10 policy      encryption DES-CBCISAKMP:      hash MD5ISAKMP:      default group 1ISAKMP:      auth pre-shareISAKMP (0): atts are not acceptable. Next payload is 0ISAKMP (0): Checking ISAKMP transform 1 against priority 20 policyISAKMP:      encryption DES-CBCISAKMP:      hash MD5ISAKMP:      default group 1ISAKMP:      auth pre-shareISAKMP (0): atts are acceptable. Next payload is 0ISAKMP (0): SA is doing pre-shared key authenticationusing id type ID_IPV4_ADDRreturn status is IKMP_NO_ERRORcrypto_isakmp_process_block: src 192.168.1.3, dest 192.168.1.1OAK_MM exchangeISAKMP (0): processing KE payload. message ID = 0ISAKMP (0): processing NONCE payload. message ID = 0ISAKMP (0): processing vendor id payloadISAKMP (0): processing vendor id payloadreturn status is IKMP_NO_ERRORcrypto_isakmp_process_block: src 192.168.1.3, dest 192.168.1.1OAK_MM exchangeISAKMP (0): processing ID payload. message ID = 0ISAKMP (0): processing HASH payload. message ID = 0ISAKMP (0): processing NOTIFY payload 24578 protocol 1 spi 0, message ID = 0ISAKMP (0): SA has been authenticatedISAKMP (0): ID payload next-payload : 8 type         : 1 protocol     : 17 port         : 500 length       : 8ISAKMP (0): Total payload length: 12return status is IKMP_NO_ERRORcrypto_isakmp_process_block: src 192.168.1.3, dest 192.168.1.1ISAKMP: Created a peer node for 192.168.1.3OAK_QM exchangeISAKMP (0:0): Need XAUTHISAKMP/xauth: request attribute XAUTH_TYPEISAKMP/xauth: request attribute XAUTH_USER_NAMEISAKMP/xauth: request attribute XAUTH_USER_PASSWORDISAKMP (0:0): initiating peer config to 192.168.1.3.ID = 3196940891 (0xbe8d725b)return status is IKMP_NO_ERRORcrypto_isakmp_process_block: src 192.168.1.3, dest 192.168.1.1ISAKMP_TRANSACTION exchangeISAKMP (0:0): processing transaction payloadfrom 192.168.1.3. message ID = 84ISAKMP: Config payload CFG_REPLYreturn status is IKMP_ERR_NO_RETRANSISAKMP (0:0): initiating peer config to 192.168.1.3.ID = 3196940891 (0xbe8d725b)crypto_isakmp_process_block: src 192.168.1.3, dest 192.168.1.1ISAKMP_TRANSACTION exchangeISAKMP (0:0): processing transaction payloadfrom 192.168.1.3. message ID = 60ISAKMP: Config payload CFG_ACKISAKMP (0:0): initiating peer config to 192.168.1.3.ID = 1647424595 (0x6231b453)return status is IKMP_NO_ERRORcrypto_isakmp_process_block: src 192.168.1.3, dest 192.168.1.1ISAKMP_TRANSACTION exchangeISAKMP (0:0): processing transaction payloadfrom 192.168.1.3. message ID = 60ISAKMP: Config payload CFG_ACKISAKMP (0:0): peer accepted the address!return status is IKMP_NO_ERRORcrypto_isakmp_process_block: src 192.168.1.3, dest 192.168.1.1OAK_QM exchangeoakley_process_quick_mode:OAK_QM_IDLEISAKMP (0): processing SA payload. message ID = 802013669ISAKMP : Checking IPSec proposal 1ISAKMP: transform 1, ESP_DESISAKMP:   attributes in transform:ISAKMP:      authenticator is HMAC-MD5ISAKMP:      encaps is 1ISAKMP (0): atts are acceptable.IPSEC(validate_proposal_request):proposal part #1,  (key eng. msg.) dest= 192.168.1.1, src = 192.168.1.3,    dest_proxy= 10.89.129.128/255.255.255.128/0/0 (type=4),    src_proxy= 10.89.129.200/255.255.255.255/0/0 (type=1),    protocol= ESP, transform=esp-des esp-md5-hmac ,    lifedur= 0s and 0kb,    spi= 0x0(0), conn_id= 0, keysize=0, flags= 0x4ISAKMP (0): processing NONCE payload. message ID = 802013669ISAKMP (0): processing ID payload. message ID = 802013669ISAKMP (0): ID_IPV4_ADDR src 10.89.129.200 prot 0 port 0ISAKMP (0): processing ID payload. message ID = 802013669ISAKMP (0): ID_IPV4_ADDR_SUBNET dst 10.89.129.128/255.255.255.128prot 0 port 0IPSEC(key_engine): got a queue event...IPSEC(spi_response): getting spi 0xd7cef5ba(3620664762)for SA from 192.168.1.3 to 192.168.1.1 for prot 3return status is IKMP_NO_ERRORcrypto_isakmp_process_block: src 192.168.1.3, dest 192.168.1.1OAK_QM exchangeoakley_process_quick_mode:OAK_QM_AUTH_AWAITmap_alloc_entry: allocating entry 1map_alloc_entry: allocating entry 2ISAKMP (0): Creating IPSec SAs        inbound SA from 192.168.1.3 to 192.168.1.1           (proxy 10.89.129.200 to 10.89.129.128)        has spi 3620664762 and conn_id 1 and flags 4        outbound SA from 192.168.1.1 to 192.168.1.3           (proxy 10.89.129.128 to 10.89.129.200)        has spi 541375266 and conn_id 2 and flags 4IPSEC(key_engine): got a queue event...IPSEC(initialize_sas): ,  (key eng. msg.) dest= 192.168.1.1, src=192.168.1.3,    dest_proxy= 10.89.129.128/255.255.255.128/0/0 (type=4),    src_proxy= 10.89.129.200/0.0.0.0/0/0 (type=1),    protocol= ESP, transform=esp-des esp-md5-hmac ,    lifedur= 0s and 0kb,    spi= 0xd7cef5ba(3620664762),conn_id= 1, keysize= 0, flags= 0x4IPSEC(initialize_sas): ,  (key eng. msg.) src= 192.168.1.1, dest=192.168.1.3,    src_proxy= 10.89.129.128/255.255.255.128/0/0 (type=4),    dest_proxy= 10.89.129.200/0.0.0.0/0/0 (type=1),    protocol= ESP, transform=esp-des esp-md5-hmac ,    lifedur= 0s and 0kb,    spi= 0x2044bb22(541375266),conn_id= 2, keysize= 0, flags= 0x4VPN Peer: IPSEC: Peer ip:192.168.1.3 Ref cnt incrementedto:2 Total VPN Peers:1VPN Peer: IPSEC: Peer ip:192.168.1.3 Ref cnt incrementedto:3 Total VPN Peers:1return status is IKMP_NO_ERROR

Información Relacionada

Con la colaboración de ingenieros de Cisco

¿Resultó útil este documento?

Comentarios

Déjenos ayudarlo

Este documento se aplica a estos productos