L2TP sobre o IPsec entre o Windows 2000 e o VPN 3000 concentrator usando o exemplo de configuração dos Certificados digitais

Introdução

Este documento mostra o procedimento passo a passo usado para conectar a um VPN 3000 concentrator de um cliente do Windows 2000 que usa o cliente do acessório do L2TP/IPSec. Supõe-se que você usa os Certificados digitais (autoridade de certificação da raiz autônoma (CA) sem protocolo do certificado de registro (o CEP)) para autenticar sua conexão ao concentrador VPN. Este documento usa o Microsoft Certificate Service para a ilustração. Refira a site do microsoft para a documentação em como configurar-la.

Nota: Este é um exemplo somente porque a aparência das telas do Windows 2000 pode mudar.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

A informação neste documento é para a Cisco VPN 3000 Concentrator Series.

Objetivos

Neste procedimento, você termina estas etapas:

1. Obtenha um certificado de raiz.

2. Obtenha um certificado de identidade para o cliente.

3. Crie uma conexão ao VPN3000 com a ajuda do wizard de conexão de rede.

4. Configurar o VPN 3000 concentrator.

Convenções

For more information on document conventions, refer to the Cisco Technical Tips Conventions.

Obtenha um certificado de raiz

Termine estas instruções a fim obter um certificado de raiz:

1. Abra uma janela de navegador e datilografe dentro a URL para o Microsoft Certificate Authority (geralmente http://servername ou o endereço IP de Um ou Mais Servidores Cisco ICM NT de CA/certsrv).

   O indicador bem-vindo para recuperações de certificado e pede indicadores.

2. No indicador bem-vindo abaixo selecione uma tarefa, escolha-a recuperam o certificado de CA ou a lista de revogação de certificado e clicam-nos em seguida.

   

3. Da recuperação o indicador do certificado de CA ou da lista de revogação de certificado, clique instala este caminho de certificação de CA no canto esquerdo.

   Isto adiciona o certificado de CA à loja das autoridades de certificação do root confiável. Isto significa que todos os Certificados que este CA emitir a este cliente estão confiados.

   

Obtenha um certificado de identidade para o cliente

Termine estas etapas a fim obter um certificado de identidade para o cliente:

1. Abra uma janela de navegador e incorpore a URL para o Microsoft Certificate Authority (geralmente http://servername ou endereço IP de Um ou Mais Servidores Cisco ICM NT de CA/certsrv).

   O indicador bem-vindo para recuperações de certificado e pede indicadores.

2. Do indicador bem-vindo, abaixo selecione uma tarefa, escolha o pedido um certificado, e clique-o em seguida.

   

3. Do tipo indicador, pedido avançado seleto e clique do pedido da escolha em seguida.

   

4. Do indicador avançado dos pedidos do certificado, seleto submeta um pedido de certificado para este CA usando um formulário.

   

5. Preencha os campos como neste exemplo.

   O valor para o departamento (unidade organizacional) precisa de combinar o grupo configurado no concentrador VPN. Não especifique um tamanho chave maior de 1024. Seja certo selecionar a caixa de seleção para a loja de máquina local do uso. Quando você finalizar, clique em Next.

   

   Baseado em como o server de CA é configurado, este indicador aparece às vezes. Se faz, para contactar o administrador de CA.

   

6. HOME do clique a receber de volta à tela principal, verificação seleta no certificado pendente, e a clicar em seguida.

   

7. No certificado emitido o indicador, clique instala este certificado.

   

8. A fim ver seu certificado de cliente, selecione o Iniciar > Executar, e execute o Microsoft Management Console (MMC).

9. Clique o console e escolha-o adicionam/removem Pressão-em.

10. O clique adiciona e escolhe o certificado da lista.

11. Quando um indicador aparece que lhe peça o espaço do certificado, escolha a conta do computador.

12. Verifique que o certificado do server de CA está ficado situado sob as Autoridades de certificação de raiz confiável. Igualmente verifique que você tem um certificado selecionando o fundamento de console > o certificado (computador local) > pessoal > Certificados, segundo as indicações desta imagem.

    

Crie uma conexão ao VPN3000 usando o wizard de conexão de rede

Termine este procedimento a fim criar uma conexão ao VPN3000 com a ajuda do wizard de conexão de rede:

1. Clicar com o botão direito My Network Places, escolha propriedades e clique o Make New Connection.

2. Do tipo de conexão de rede indicador, escolha conectam a uma rede privada através do Internet e clicam então em seguida.

   

3. Incorpore o nome de host ou o endereço IP de Um ou Mais Servidores Cisco ICM NT da interface pública do concentrador VPN, e clique-os em seguida.

   

4. Na Disponibilidade do indicador da conexão, selecione somente para mim mesmo e clique em seguida.

   

5. No indicador da rede pública, selecione se discar automaticamente a conexão inicial (a conta ISP).

   

6. Na tela do endereço de destino, incorpore o nome de host ou o endereço IP de Um ou Mais Servidores Cisco ICM NT do VPN 3000 concentrator, e clique-os em seguida.

   

7. No indicador do wizard de conexão de rede, dê entrada com um nome para a conexão e clique o revestimento.

   Neste exemplo, a conexão é nomeada “Cisco VPN corporativo.”

   

8. No indicador da conexão privada virtual, propriedades do clique.

   

9. Na janela de propriedades, selecione a ABA de rede de comunicação.

10. Sob o tipo de servidor de VPN que eu estou chamando, escolho o L2TP do menu de destruição, destaco o protocolo de internet TCP/IP, e clico propriedades.

    

11. Selecione o avançado > opções > propriedades

12. No indicador da Segurança IP, escolha o uso esta política de Segurança IP.

    

13. Escolha a política do cliente (responda somente) do menu de destruição, e clique a APROVAÇÃO diversas vezes até que você retorne à tela da conexão.

14. A fim iniciar uma conexão, para incorporar seu nome de usuário e senha, e clique conecta.

Configurar o VPN 3000 Concentrator

Obtenha um certificado de raiz

Termine estas etapas a fim obter um certificado de raiz para o VPN 3000 concentrator:

1. Aponte seu navegador a seu CA (geralmente algo tal como http://ip_add_of_ca/certsrv/), recupera o certificado de CA ou a lista de revogação de certificado, e os clica em seguida.

2. Clique o certificado de CA da transferência e salvar o arquivo em algum lugar em seu disco local.

3. No VPN 3000 concentrator, o administração > gerenciamento de certificado seleto, e o clique clicam aqui para instalar um certificado e para instalar o certificado de CA.

4. Arquivo da transferência de arquivo pela rede do clique da estação de trabalho.

5. Clique consultam e selecionam o arquivo de certificado de CA que você apenas transferiu.

6. Destaque o nome de arquivo e o clique instala.

   

Obtenha um certificado de identidade para o VPN 3000 concentrator

Termine estas etapas a fim obter um certificado de identidade para o VPN 3000 concentrator:

1. O > gerenciamento de certificado seleto de ConfAdministration > registra-se > certificado de identidade, a seguir clica-se registra-se através do pedido PKCS10 (manual). Complete o formulário como mostrado aqui e o clique registra-se.

   

   Uma janela de navegador estala acima com o pedido do certificado. Precisa de conter o texto similar a esta saída:

   -----BEGIN NEW CERTIFICATE REQUEST----- 
   MIIBPDCB5wIBADBQMRUwEwYDVQQDEwx2cG4zMDAwLW5hbWUxDDAKBgNVBAsTA3Nu 
   czEOMAwGA1UEChMFY2lzY28xDDAKBgNVBAcTA2J4bDELMAkGA1UEBhMCYmUwWjAN 
   BgkqhkiG9w0BAQEFAANJADBGAkEAx7K+pvE004qILNNw3kPVWXrdlqZV4yeOIPdh 
   C8/V5Yuqq5tMWY3L1W6DC0p256bvGqzd5fhqSkOhBVnNJ1Y/KQIBA6A0MDIGCSqG 
   SIb3DQEJDjElMCMwIQYDVR0RBBowGIIWdnBuMzAwMC1uYW1lLmNpc2NvLmNvbTAN 
   BgkqhkiG9w0BAQQFAANBABzcG3IKaWnDLFtrNf1QDi+D7w8dxPu74b/BRHn9fsKI 
   X6+X0ed0EuEgm1/2nfj8Ux0nV5F/c5wukUfysMmJ/ak= 
   -----END NEW CERTIFICATE REQUEST-----

2. Aponte seu navegador a seu server de CA, verifique o pedido um certificado, e clique-o em seguida.

3. Verifique o pedido avançado, clique-o em seguida, e seleto submeta um pedido do certificado usando base64 um arquivo do PKCS codificado #10 ou uma requisição de renovação usando base64 um arquivo do PKCS codificado #7.

4. Clique em Next. Cortare-col o texto do pedido do certificado mostrado previamente na área de texto. Clique em Submit.

5. Baseado em como o server de CA é configurado, você pode clicar o certificado de CA da transferência. Ou como o certificado foi emitido logo por CA, vá para trás a seu server de CA e verifique a verificação em um certificado pendente.

6. Clique seguinte, selecione seu pedido, e clique-o em seguida outra vez.

7. Clique o certificado de CA da transferência, e salvar o arquivo no disco local.

8. No VPN 3000 concentrator, o administração > gerenciamento de certificado seleto > instala, e o clique instala o certificado obtido através do registro.

   Você vê então seu pedido pendente com um estado de “em andamento,” como nesta imagem.

   

9. O clique instala, seguido pelo arquivo da transferência de arquivo pela rede da estação de trabalho.

10. Clique consultam e selecionam o arquivo que contém seu certificado emitido por CA.

11. Destaque o nome de arquivo e o clique instala.

12. Selecione o administração > gerenciamento de certificado. Uma tela similar a esta imagem aparece.

    

Configurar um pool para os clientes

Termine este procedimento a fim configurar um pool para os clientes:

1. A fim atribuir uma escala disponível dos endereços IP de Um ou Mais Servidores Cisco ICM NT, aponte um browser à interface interna do VPN 3000 concentrator e selecione o Configuração > Sistema > Gerenciamento de Endereço > Pools > Adicionar.

2. Especifique uma escala dos endereços IP de Um ou Mais Servidores Cisco ICM NT que não opõem a nenhuns outros dispositivos na rede interna, e o clique adiciona.

   

3. A fim dizer o VPN 3000 concentrator para usar o pool, o configuração > sistema > gerenciamento de endereço > atribuição seleto, para verificar a caixa dos conjuntos de endereços do uso, e o clique aplicam-se, como nesta imagem.

   

Configurar uma proposta IKE

Termine estas etapas a fim configurar uma proposta IKE:

1. Selecione o configuração > sistema > protocolos de tunelamento > IPSEC > propostas de IKE, clique adicionam e selecionam os parâmetros, segundo as indicações desta imagem.

   

2. O clique adiciona, destaca a proposta nova na coluna direita, e o clique ativa.

Configurar o SA

Termine este procedimento a fim configurar a associação de segurança (SA):

1. Selecione o configuração > gerenciamento de política > gerenciamento de tráfego > o SA e clique o ESP-L2TP-TRANSPORT.

   Se este SA não está disponível ou se você o usa para alguma outra finalidade, crie um SA novo similar a este. Os ajustes diferentes para o SA são aceitáveis. Mude este parâmetro baseado em sua política de segurança.

2. Selecione o certificado digital que você tem configurado previamente sob o menu de destruição do certificado digital. Selecione a proposta do Internet Key Exchange (IKE) IKE-for-win2k.

   Nota: Isto não é imperativo. Quando o cliente do L2TP/IPSec conecta ao concentrador VPN, todas as propostas IKE configuradas sob a coluna ativa do configuração > sistema > protocolos de tunelamento > IPSEC > propostas de IKE da página estão tentadas em ordem.

   Esta imagem mostra a configuração necessária para o SA:

   

Configurar o grupo e o usuário

Termine este procedimento a fim configurar o grupo e o usuário:

1. Selecione o configuration > user management > o grupo base.

2. Sob o tab geral, certifique-se de que o L2TP sobre o IPsec está verificado.

3. Sob a aba do IPsec, selecione ESP-L2TP-TRANSPORT SA.

4. Sob a aba PPTP/L2TP, desmarcar todas as opções de criptografia L2TP.

5. Selecione o configuration > user management > os usuários e o clique adiciona.

6. Incorpore o nome e a senha que você se usa para conectar de seu cliente do Windows 2000. Certifique-se de que você seleciona o grupo base sob a seleção de grupo.

7. Sob o tab geral, verifique o L2TP sobre o protocolo do tunelamento de IPSec.

8. Sob a aba do IPsec, selecione ESP-L2TP-TRANSPORT SA.

9. Sob a aba PPTP/L2TP, desmarcar todas as opções de criptografia L2TP, e o clique adiciona.

   Você pode agora conectar com a ajuda do cliente do Windows 2000 do L2TP/IPSec.

   Nota: Você escolheu configurar o grupo base para aceitar a conexão remota do L2TP/IPSec. É igualmente possível configurar um grupo que combine o campo do organization unit (OU) do SA para aceitar a conexão recebida. A configuração é idêntica.

Informações de debug

269 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3868 10.48.66.76 
  Mismatched attr types for class DH Group: 
    Rcv'd: Oakley Group 2 
    Cfg'd: Oakley Group 7 

271 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3869 10.48.66.76 
  Phase 1 failure against global IKE proposal # 16: 
  Mismatched attr types for class DH Group: 
    Rcv'd: Oakley Group 2 
    Cfg'd: Oakley Group 1 

274 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3870 10.48.66.76 
Proposal # 1, Transform # 2, Type ISAKMP, Id IKE 
Parsing received transform: 
  Phase 1 failure against global IKE proposal # 1: 
  Mismatched attr types for class Encryption Alg: 
    Rcv'd: DES-CBC 
    Cfg'd: Triple-DES 

279 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3871 10.48.66.76 
  Phase 1 failure against global IKE proposal # 2: 
  Mismatched attr types for class Encryption Alg: 
    Rcv'd: DES-CBC 
    Cfg'd: Triple-DES 

282 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3872 10.48.66.76 
  Phase 1 failure against global IKE proposal # 3: 
  Mismatched attr types for class Encryption Alg: 
    Rcv'd: DES-CBC 
    Cfg'd: Triple-DES 

285 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3873 10.48.66.76 
  Phase 1 failure against global IKE proposal # 4: 
  Mismatched attr types for class DH Group: 
    Rcv'd: Oakley Group 2 
    Cfg'd: Oakley Group 1 

288 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3874 10.48.66.76 
  Phase 1 failure against global IKE proposal # 5: 
  Mismatched attr types for class DH Group: 
    Rcv'd: Oakley Group 2 
    Cfg'd: Oakley Group 1 

291 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3875 10.48.66.76 
  Phase 1 failure against global IKE proposal # 6: 
  Mismatched attr types for class Encryption Alg: 
    Rcv'd: DES-CBC 
    Cfg'd: Triple-DES 

294 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3876 10.48.66.76 
  Phase 1 failure against global IKE proposal # 7: 
  Mismatched attr types for class Encryption Alg: 
    Rcv'd: DES-CBC 
    Cfg'd: Triple-DES 

297 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3877 10.48.66.76 
  Phase 1 failure against global IKE proposal # 8: 
  Mismatched attr types for class Encryption Alg: 
    Rcv'd: DES-CBC 
    Cfg'd: Triple-DES 

300 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3878 10.48.66.76 
  Phase 1 failure against global IKE proposal # 9: 
  Mismatched attr types for class Encryption Alg: 
    Rcv'd: DES-CBC 
    Cfg'd: Triple-DES 

303 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3879 10.48.66.76 
  Phase 1 failure against global IKE proposal # 10: 
  Mismatched attr types for class DH Group: 
    Rcv'd: Oakley Group 2 
    Cfg'd: Oakley Group 1 

306 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3880 10.48.66.76 
  Phase 1 failure against global IKE proposal # 11: 
  Mismatched attr types for class DH Group: 
    Rcv'd: Oakley Group 2 
    Cfg'd: Oakley Group 1 

309 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3881 10.48.66.76 
  Phase 1 failure against global IKE proposal # 12: 
  Mismatched attr types for class Encryption Alg: 
    Rcv'd: DES-CBC 
    Cfg'd: Triple-DES 

312 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3882 10.48.66.76 
  Phase 1 failure against global IKE proposal # 13: 
  Mismatched attr types for class Encryption Alg: 
    Rcv'd: DES-CBC 
    Cfg'd: Triple-DES 

315 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3883 10.48.66.76 
  Phase 1 failure against global IKE proposal # 14: 
  Mismatched attr types for class DH Group: 
    Rcv'd: Oakley Group 2 
    Cfg'd: Oakley Group 1 

318 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3884 10.48.66.76 
  Phase 1 failure against global IKE proposal # 15: 
  Mismatched attr types for class DH Group: 
    Rcv'd: Oakley Group 2 
    Cfg'd: Oakley Group 7 

321 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3885 10.48.66.76 
  Phase 1 failure against global IKE proposal # 16: 
  Mismatched attr types for class DH Group: 
    Rcv'd: Oakley Group 2 
    Cfg'd: Oakley Group 1 

324 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3886 10.48.66.76 
Proposal # 1, Transform # 3, Type ISAKMP, Id IKE 
Parsing received transform: 
  Phase 1 failure against global IKE proposal # 1: 
  Mismatched attr types for class DH Group: 
    Rcv'd: Oakley Group 1 
    Cfg'd: Oakley Group 2 

329 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3887 10.48.66.76 
  Phase 1 failure against global IKE proposal # 2: 
  Mismatched attr types for class DH Group: 
    Rcv'd: Oakley Group 1 
    Cfg'd: Oakley Group 2 

332 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3888 10.48.66.76 
  Phase 1 failure against global IKE proposal # 3: 
  Mismatched attr types for class DH Group: 
    Rcv'd: Oakley Group 1 
    Cfg'd: Oakley Group 2 

335 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3889 10.48.66.76 
  Phase 1 failure against global IKE proposal # 4: 
  Mismatched attr types for class Encryption Alg: 
    Rcv'd: DES-CBC 
    Cfg'd: Triple-DES 

338 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3890 10.48.66.76 
  Phase 1 failure against global IKE proposal # 5: 
  Mismatched attr types for class Encryption Alg: 
    Rcv'd: DES-CBC 
    Cfg'd: Triple-DES 

341 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3891 10.48.66.76 
  Phase 1 failure against global IKE proposal # 6: 
  Mismatched attr types for class DH Group: 
    Rcv'd: Oakley Group 1 
    Cfg'd: Oakley Group 2 

344 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3892 10.48.66.76 
  Phase 1 failure against global IKE proposal # 7: 
  Mismatched attr types for class DH Group: 
    Rcv'd: Oakley Group 1 
    Cfg'd: Oakley Group 2 

347 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3893 10.48.66.76 
  Phase 1 failure against global IKE proposal # 8: 
  Mismatched attr types for class DH Group: 
    Rcv'd: Oakley Group 1 
    Cfg'd: Oakley Group 2 

350 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3894 10.48.66.76 
  Phase 1 failure against global IKE proposal # 9: 
  Mismatched attr types for class DH Group: 
    Rcv'd: Oakley Group 1 
    Cfg'd: Oakley Group 2 

353 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3895 10.48.66.76 
  Phase 1 failure against global IKE proposal # 10: 
  Mismatched attr types for class Encryption Alg: 
    Rcv'd: DES-CBC 
    Cfg'd: Triple-DES 

356 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3896 10.48.66.76 
  Phase 1 failure against global IKE proposal # 11: 
  Mismatched attr types for class Hash Alg: 
    Rcv'd: SHA 
    Cfg'd: MD5 

358 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3897 10.48.66.76 
  Phase 1 failure against global IKE proposal # 12: 
  Mismatched attr types for class DH Group: 
    Rcv'd: Oakley Group 1 
    Cfg'd: Oakley Group 2 

361 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3898 10.48.66.76 
  Phase 1 failure against global IKE proposal # 13: 
  Mismatched attr types for class DH Group: 
    Rcv'd: Oakley Group 1 
    Cfg'd: Oakley Group 2 

364 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3899 10.48.66.76 
  Phase 1 failure against global IKE proposal # 14: 
  Mismatched attr types for class Encryption Alg: 
    Rcv'd: DES-CBC 
    Cfg'd: Triple-DES 

367 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3900 10.48.66.76 
  Phase 1 failure against global IKE proposal # 15: 
  Mismatched attr types for class DH Group: 
    Rcv'd: Oakley Group 1 
    Cfg'd: Oakley Group 7 

370 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3901 10.48.66.76 
  Phase 1 failure against global IKE proposal # 16: 
  Mismatched attr types for class Hash Alg: 
    Rcv'd: SHA 
    Cfg'd: MD5 

372 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3902 10.48.66.76 
Proposal # 1, Transform # 4, Type ISAKMP, Id IKE 
Parsing received transform: 
  Phase 1 failure against global IKE proposal # 1: 
  Mismatched attr types for class DH Group: 
    Rcv'd: Oakley Group 1 
    Cfg'd: Oakley Group 2 

377 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3903 10.48.66.76 
  Phase 1 failure against global IKE proposal # 2: 
  Mismatched attr types for class DH Group: 
    Rcv'd: Oakley Group 1 
    Cfg'd: Oakley Group 2 

380 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3904 10.48.66.76 
  Phase 1 failure against global IKE proposal # 3: 
  Mismatched attr types for class DH Group: 
    Rcv'd: Oakley Group 1 
    Cfg'd: Oakley Group 2 

383 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3905 10.48.66.76 
  Phase 1 failure against global IKE proposal # 4: 
  Mismatched attr types for class Encryption Alg: 
    Rcv'd: DES-CBC 
    Cfg'd: Triple-DES 

386 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3906 10.48.66.76 
  Phase 1 failure against global IKE proposal # 5: 
  Mismatched attr types for class Encryption Alg: 
    Rcv'd: DES-CBC 
    Cfg'd: Triple-DES 

389 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3907 10.48.66.76 
  Phase 1 failure against global IKE proposal # 6: 
  Mismatched attr types for class DH Group: 
    Rcv'd: Oakley Group 1 
    Cfg'd: Oakley Group 2 

392 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3908 10.48.66.76 
  Phase 1 failure against global IKE proposal # 7: 
  Mismatched attr types for class DH Group: 
    Rcv'd: Oakley Group 1 
    Cfg'd: Oakley Group 2 

395 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3909 10.48.66.76 
  Phase 1 failure against global IKE proposal # 8: 
  Mismatched attr types for class DH Group: 
    Rcv'd: Oakley Group 1 
    Cfg'd: Oakley Group 2 

398 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3910 10.48.66.76 
  Phase 1 failure against global IKE proposal # 9: 
  Mismatched attr types for class DH Group: 
    Rcv'd: Oakley Group 1 
    Cfg'd: Oakley Group 2 

401 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3911 10.48.66.76 
  Phase 1 failure against global IKE proposal # 10: 
  Mismatched attr types for class Encryption Alg: 
    Rcv'd: DES-CBC 
    Cfg'd: Triple-DES 

404 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3912 10.48.66.76 
  Phase 1 failure against global IKE proposal # 11: 
  Mismatched attr types for class Auth Method: 
    Rcv'd: RSA signature with Certificates 
    Cfg'd: Preshared Key 

407 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3913 10.48.66.76 
  Phase 1 failure against global IKE proposal # 12: 
  Mismatched attr types for class DH Group: 
    Rcv'd: Oakley Group 1 
    Cfg'd: Oakley Group 2 

410 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3914 10.48.66.76 
  Phase 1 failure against global IKE proposal # 13: 
  Mismatched attr types for class DH Group: 
    Rcv'd: Oakley Group 1 
    Cfg'd: Oakley Group 2 

413 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3915 10.48.66.76 
  Phase 1 failure against global IKE proposal # 14: 
  Mismatched attr types for class Encryption Alg: 
    Rcv'd: DES-CBC 
    Cfg'd: Triple-DES 

416 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3916 10.48.66.76 
  Phase 1 failure against global IKE proposal # 15: 
  Mismatched attr types for class DH Group: 
    Rcv'd: Oakley Group 1 
    Cfg'd: Oakley Group 7 

419 02/15/2002 12:47:24.430 SEV=7 IKEDBG/28 RPT=20 10.48.66.76 
IKE SA Proposal # 1, Transform # 4 acceptable 
Matches global IKE entry # 16 

420 02/15/2002 12:47:24.440 SEV=9 IKEDBG/0 RPT=3917 10.48.66.76 
constructing ISA_SA for isakmp 

421 02/15/2002 12:47:24.490 SEV=8 IKEDBG/0 RPT=3918 10.48.66.76 
SENDING Message (msgid=0) with payloads : 
HDR + SA (1) + NONE (0) ... total length : 80 

423 02/15/2002 12:47:24.540 SEV=8 IKEDBG/0 RPT=3919 10.48.66.76 
RECEIVED Message (msgid=0) with payloads : 
HDR + KE (4) + NONCE (10) + NONE (0) ... total length : 152 

425 02/15/2002 12:47:24.540 SEV=8 IKEDBG/0 RPT=3920 10.48.66.76 
RECEIVED Message (msgid=0) with payloads : 
HDR + KE (4) + NONCE (10) + NONE (0) ... total length : 152 

427 02/15/2002 12:47:24.540 SEV=9 IKEDBG/0 RPT=3921 10.48.66.76 
processing ke payload 

428 02/15/2002 12:47:24.540 SEV=9 IKEDBG/0 RPT=3922 10.48.66.76 
processing ISA_KE 

429 02/15/2002 12:47:24.540 SEV=9 IKEDBG/1 RPT=104 10.48.66.76 
processing nonce payload 

430 02/15/2002 12:47:24.600 SEV=9 IKEDBG/0 RPT=3923 10.48.66.76 
constructing ke payload 

431 02/15/2002 12:47:24.600 SEV=9 IKEDBG/1 RPT=105 10.48.66.76 
constructing nonce payload 

432 02/15/2002 12:47:24.600 SEV=9 IKEDBG/0 RPT=3924 10.48.66.76 
constructing certreq payload 

433 02/15/2002 12:47:24.600 SEV=9 IKEDBG/0 RPT=3925 10.48.66.76 
Using initiator's certreq payload data 

434 02/15/2002 12:47:24.600 SEV=9 IKEDBG/46 RPT=61 10.48.66.76 
constructing Cisco Unity VID payload 

435 02/15/2002 12:47:24.600 SEV=9 IKEDBG/46 RPT=62 10.48.66.76 
constructing xauth V6 VID payload 

436 02/15/2002 12:47:24.600 SEV=9 IKEDBG/48 RPT=39 10.48.66.76 
Send IOS VID 

437 02/15/2002 12:47:24.600 SEV=9 IKEDBG/38 RPT=20 10.48.66.76 
Constructing VPN 3000 spoofing IOS Vendor ID payload
(version: 1.0.0, capabilities: 20000001) 

439 02/15/2002 12:47:24.600 SEV=9 IKEDBG/46 RPT=63 10.48.66.76 
constructing VID payload 

440 02/15/2002 12:47:24.600 SEV=9 IKEDBG/48 RPT=40 10.48.66.76 
Send Altiga GW VID 

441 02/15/2002 12:47:24.600 SEV=9 IKEDBG/0 RPT=3926 10.48.66.76 
Generating keys for Responder... 

442 02/15/2002 12:47:24.610 SEV=8 IKEDBG/0 RPT=3927 10.48.66.76 
SENDING Message (msgid=0) with payloads : 
HDR + KE (4) + NONCE (10) + CERT_REQ (7) + VENDOR (13) + VENDOR (13)
+ VENDOR (13) + VENDOR (13) + NONE (0) ... total length : 229 

445 02/15/2002 12:47:24.640 SEV=8 IKEDBG/0 RPT=3928 10.48.66.76 
RECEIVED Message (msgid=0) with payloads : 
HDR + ID (5) + CERT (6) + SIG (9) + CERT_REQ (7) + NONE (0)
... total length : 1186 

448 02/15/2002 12:47:24.640 SEV=9 IKEDBG/1 RPT=106 10.48.66.76 
Processing ID 

449 02/15/2002 12:47:24.640 SEV=9 IKEDBG/0 RPT=3929 10.48.66.76 
processing cert payload 

450 02/15/2002 12:47:24.640 SEV=9 IKEDBG/1 RPT=107 10.48.66.76 
processing RSA signature 

451 02/15/2002 12:47:24.640 SEV=9 IKEDBG/0 RPT=3930 10.48.66.76 
computing hash 

452 02/15/2002 12:47:24.650 SEV=9 IKEDBG/0 RPT=3931 10.48.66.76 
processing cert request payload 

453 02/15/2002 12:47:24.650 SEV=9 IKEDBG/0 RPT=3932 10.48.66.76 
Storing cert request payload for use in MM msg 4 

454 02/15/2002 12:47:24.650 SEV=9 IKEDBG/23 RPT=20 10.48.66.76 
Starting group lookup for peer 10.48.66.76 

455 02/15/2002 12:47:24.650 SEV=9 IKE/21 RPT=12 10.48.66.76 
No Group found by matching IP Address of Cert peer 10.48.66.76 

456 02/15/2002 12:47:24.650 SEV=9 IKE/20 RPT=12 10.48.66.76 
No Group found by matching OU(s) from ID payload: 
 ou=sns, 

457 02/15/2002 12:47:24.650 SEV=9 IKE/0 RPT=12 10.48.66.76 
Group [VPNC_Base_Group] 
No Group name for IKE Cert session, defaulting to BASE GROUP 

459 02/15/2002 12:47:24.750 SEV=7 IKEDBG/0 RPT=3933 10.48.66.76 
Group [VPNC_Base_Group] 
Found Phase 1 Group (VPNC_Base_Group) 

460 02/15/2002 12:47:24.750 SEV=7 IKEDBG/14 RPT=20 10.48.66.76 
Group [VPNC_Base_Group] 
Authentication configured for Internal 

461 02/15/2002 12:47:24.750 SEV=9 IKEDBG/19 RPT=20 10.48.66.76 
Group [VPNC_Base_Group] 
IKEGetUserAttributes: default domain = fenetwork.com 

462 02/15/2002 12:47:24.770 SEV=5 IKE/79 RPT=4 10.48.66.76 
Group [VPNC_Base_Group] 
Validation of certificate successful 
(CN=my_name, SN=6102861F000000000005) 

464 02/15/2002 12:47:24.770 SEV=7 IKEDBG/0 RPT=3934 10.48.66.76 
Group [VPNC_Base_Group] 
peer ID type 9 received (DER_ASN1_DN) 

465 02/15/2002 12:47:24.770 SEV=9 IKEDBG/1 RPT=108 10.48.66.76 
Group [VPNC_Base_Group] 
constructing ID 

466 02/15/2002 12:47:24.770 SEV=9 IKEDBG/0 RPT=3935 10.48.66.76 
Group [VPNC_Base_Group] 
constructing cert payload 

467 02/15/2002 12:47:24.770 SEV=9 IKEDBG/1 RPT=109 10.48.66.76 
Group [VPNC_Base_Group] 
constructing RSA signature 

468 02/15/2002 12:47:24.770 SEV=9 IKEDBG/0 RPT=3936 10.48.66.76 
Group [VPNC_Base_Group] 
computing hash 

469 02/15/2002 12:47:24.800 SEV=9 IKEDBG/46 RPT=64 10.48.66.76 
Group [VPNC_Base_Group] 
constructing dpd vid payload 

470 02/15/2002 12:47:24.800 SEV=8 IKEDBG/0 RPT=3937 10.48.66.76 
SENDING Message (msgid=0) with payloads : 
HDR + ID (5) + CERT (6) + SIG (9) + VENDOR (13) + NONE (0)
... total length : 1112 

473 02/15/2002 12:47:24.800 SEV=4 IKE/119 RPT=4 10.48.66.76 
Group [VPNC_Base_Group] 
PHASE 1 COMPLETED 

474 02/15/2002 12:47:24.800 SEV=6 IKE/121 RPT=4 10.48.66.76 
Keep-alive type for this connection: None 

475 02/15/2002 12:47:24.800 SEV=6 IKE/122 RPT=4 10.48.66.76 
Keep-alives configured on but peer does not support keep-alives (type = None) 

476 02/15/2002 12:47:24.800 SEV=7 IKEDBG/0 RPT=3938 10.48.66.76 
Group [VPNC_Base_Group] 
Starting phase 1 rekey timer: 21600000 (ms) 

477 02/15/2002 12:47:24.810 SEV=8 IKEDBG/0 RPT=3939 10.48.66.76 
RECEIVED Message (msgid=781ceadc) with payloads : 
HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NONE (0)
... total length : 1108 

480 02/15/2002 12:47:24.810 SEV=9 IKEDBG/0 RPT=3940 10.48.66.76 
Group [VPNC_Base_Group] 
processing hash 

481 02/15/2002 12:47:24.810 SEV=9 IKEDBG/0 RPT=3941 10.48.66.76 
Group [VPNC_Base_Group] 
processing SA payload 

482 02/15/2002 12:47:24.810 SEV=9 IKEDBG/1 RPT=110 10.48.66.76 
Group [VPNC_Base_Group] 
processing nonce payload 

483 02/15/2002 12:47:24.810 SEV=9 IKEDBG/1 RPT=111 10.48.66.76 
Group [VPNC_Base_Group] 
Processing ID 

484 02/15/2002 12:47:24.810 SEV=5 IKE/25 RPT=4 10.48.66.76 
Group [VPNC_Base_Group] 
Received remote Proxy Host data in ID Payload: 
Address 10.48.66.76, Protocol 17, Port 1701 

487 02/15/2002 12:47:24.810 SEV=9 IKEDBG/1 RPT=112 10.48.66.76 
Group [VPNC_Base_Group] 
Processing ID 

488 02/15/2002 12:47:24.810 SEV=5 IKE/24 RPT=4 10.48.66.76 
Group [VPNC_Base_Group] 
Received local Proxy Host data in ID Payload: 
Address 10.48.66.109, Protocol 17, Port 0 

491 02/15/2002 12:47:24.810 SEV=8 IKEDBG/0 RPT=3942 
QM IsRekeyed old sa not found by addr 

492 02/15/2002 12:47:24.810 SEV=5 IKE/66 RPT=4 10.48.66.76 
Group [VPNC_Base_Group] 
IKE Remote Peer configured for SA: ESP-L2TP-TRANSPORT 

493 02/15/2002 12:47:24.810 SEV=9 IKEDBG/0 RPT=3943 10.48.66.76 
Group [VPNC_Base_Group] 
processing IPSEC SA 

494 02/15/2002 12:47:24.810 SEV=7 IKEDBG/27 RPT=4 10.48.66.76 
Group [VPNC_Base_Group] 
IPSec SA Proposal # 1, Transform # 1 acceptable 

495 02/15/2002 12:47:24.810 SEV=7 IKEDBG/0 RPT=3944 10.48.66.76 
Group [VPNC_Base_Group] 
IKE: requesting SPI! 

496 02/15/2002 12:47:24.810 SEV=8 IKEDBG/6 RPT=4 
IKE got SPI from key engine: SPI = 0x10d19e33 

497 02/15/2002 12:47:24.810 SEV=9 IKEDBG/0 RPT=3945 10.48.66.76 
Group [VPNC_Base_Group] 
oakley constucting quick mode 

498 02/15/2002 12:47:24.810 SEV=9 IKEDBG/0 RPT=3946 10.48.66.76 
Group [VPNC_Base_Group] 
constructing blank hash 

499 02/15/2002 12:47:24.820 SEV=9 IKEDBG/0 RPT=3947 10.48.66.76 
Group [VPNC_Base_Group] 
constructing ISA_SA for ipsec 

500 02/15/2002 12:47:24.820 SEV=9 IKEDBG/1 RPT=113 10.48.66.76 
Group [VPNC_Base_Group] 
constructing ipsec nonce payload 

501 02/15/2002 12:47:24.820 SEV=9 IKEDBG/1 RPT=114 10.48.66.76 
Group [VPNC_Base_Group] 
constructing proxy ID 

502 02/15/2002 12:47:24.820 SEV=7 IKEDBG/0 RPT=3948 10.48.66.76 
Group [VPNC_Base_Group] 
Transmitting Proxy Id: 
  Remote host: 10.48.66.76  Protocol 17  Port 1701 
  Local host:  10.48.66.109  Protocol 17  Port 0 

506 02/15/2002 12:47:24.820 SEV=9 IKEDBG/0 RPT=3949 10.48.66.76 
Group [VPNC_Base_Group] 
constructing qm hash 

507 02/15/2002 12:47:24.820 SEV=8 IKEDBG/0 RPT=3950 10.48.66.76 
SENDING Message (msgid=781ceadc) with payloads : 
HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NONE (0)
... total length : 156 

510 02/15/2002 12:47:24.820 SEV=8 IKEDBG/0 RPT=3951 10.48.66.76 
RECEIVED Message (msgid=781ceadc) with payloads : 
HDR + HASH (8) + NONE (0) ... total length : 48 

512 02/15/2002 12:47:24.830 SEV=9 IKEDBG/0 RPT=3952 10.48.66.76 
Group [VPNC_Base_Group] 
processing hash 

513 02/15/2002 12:47:24.830 SEV=9 IKEDBG/0 RPT=3953 10.48.66.76 
Group [VPNC_Base_Group] 
loading all IPSEC SAs 

514 02/15/2002 12:47:24.830 SEV=9 IKEDBG/1 RPT=115 10.48.66.76 
Group [VPNC_Base_Group] 
Generating Quick Mode Key! 

515 02/15/2002 12:47:24.830 SEV=9 IKEDBG/1 RPT=116 10.48.66.76 
Group [VPNC_Base_Group] 
Generating Quick Mode Key! 

516 02/15/2002 12:47:24.830 SEV=7 IKEDBG/0 RPT=3954 10.48.66.76 
Group [VPNC_Base_Group] 
Loading host: 
  Dst: 10.48.66.109 
  Src: 10.48.66.76 

517 02/15/2002 12:47:24.830 SEV=4 IKE/49 RPT=4 10.48.66.76 
Group [VPNC_Base_Group] 
Security negotiation complete for User () 
Responder, Inbound SPI = 0x10d19e33, Outbound SPI = 0x15895ab9 

520 02/15/2002 12:47:24.830 SEV=8 IKEDBG/7 RPT=4 
IKE got a KEY_ADD msg for SA: SPI = 0x15895ab9 

521 02/15/2002 12:47:24.830 SEV=8 IKEDBG/0 RPT=3955 
pitcher: rcv KEY_UPDATE, spi 0x10d19e33 

522 02/15/2002 12:47:24.830 SEV=4 IKE/120 RPT=4 10.48.66.76 
Group [VPNC_Base_Group] 
PHASE 2 COMPLETED (msgid=781ceadc) 

523 02/15/2002 12:47:24.840 SEV=8 IKEDBG/0 RPT=3956 
pitcher: recv KEY_SA_ACTIVE spi 0x10d19e33 

524 02/15/2002 12:47:24.840 SEV=8 IKEDBG/0 RPT=3957 
KEY_SA_ACTIVE no old rekey centry found with new spi 0x10d19e33, mess_id 0x0

Pesquise defeitos a informação

Esta seção ilustra alguns problemas comuns e os métodos de Troubleshooting para cada um.

• O server não pode ser ligado.

  

  Muito provavelmente, o serviço IPSec não é enfiado. Selecione o iniciar > programas > ferramentas administrativas > o serviço e certifique-se de que o serviço IPSec está permitido.

• Erro 786: Nenhum certificado da máquina válido.

  

  1. Este erro indica um problema com o certificado na máquina local. A fim olhar facilmente seu certificado, selecione o Iniciar > Executar, e execute o MMC. Clique o console e escolha-o adicionam/removem Pressão-em. O clique adiciona e escolhe o certificado da lista. Quando um indicador aparece que lhe peça o espaço do certificado, escolha a conta do computador.

     Agora você pode verificar que o certificado do server de CA está ficado situado sob as Autoridades de certificação de raiz confiável. Você pode igualmente verificar que você tem um certificado selecionando o fundamento de console > o certificado (computador local) > pessoal > Certificados, segundo as indicações desta imagem.

     

  2. Clique o certificado. Verifique que tudo está correto. Neste exemplo, há uma chave privada associada com o certificado. Contudo, este certificado expirou. Esta é a causa do problema.

     

• Erro 792: Intervalo da negociação de segurança.

  Esta mensagem aparece após um período longo.

  

  Gire sobre o relevante debuga como explicado no Cisco VPN 3000 Concentrator FAQ. Leia através deles. Você precisa de ver algo similar a esta saída:

  9337 02/15/2002 15:06:13.500 SEV=8 IKEDBG/0 RPT=7002 10.48.66.76 
    Phase 1 failure against global IKE proposal # 6: 
    Mismatched attr types for class DH Group: 
      Rcv'd: Oakley Group 1 
      Cfg'd: Oakley Group 2 
   
  9340 02/15/2002 15:06:13.510 SEV=8 IKEDBG/0 RPT=7003 10.48.66.76 
    Phase 1 failure against global IKE proposal # 7: 
    Mismatched attr types for class Auth Method: 
      Rcv'd: RSA signature with Certificates 
      Cfg'd: Preshared Key 
   
  9343 02/15/2002 15:06:13.510 SEV=8 IKEDBG/0 RPT=7004 10.48.66.76 
    Phase 1 failure against global IKE proposal # 8: 
    Mismatched attr types for class DH Group: 
      Rcv'd: Oakley Group 1 
      Cfg'd: Oakley Group 7 
   
  9346 02/15/2002 15:06:13.510 SEV=7 IKEDBG/0 RPT=7005 10.48.66.76 
  All SA proposals found unacceptable 
   
  9347 02/15/2002 15:06:13.510 SEV=4 IKE/48 RPT=37 10.48.66.76 
  Error processing payload: Payload ID: 1 
   
  9348 02/15/2002 15:06:13.510 SEV=9 IKEDBG/0 RPT=7006 10.48.66.76 
  IKE SA MM:261e40dd terminating: 
  flags 0x01000002, refcnt 0, tuncnt 0 
   
  9349 02/15/2002 15:06:13.510 SEV=9 IKEDBG/0 RPT=7007 
  sending delete message

  Isto indica que a proposta IKE não esteve configurada corretamente. Verifique a informação de configurar uma seção da proposta IKE deste documento.

• Erro 789: A camada da Segurança encontra um erro de processamento.

  

  Gire sobre o relevante debuga como explicado no Cisco VPN 3000 Concentrator FAQ. Leia através deles. Você precisa de ver algo similar a esta saída:

  11315 02/15/2002 15:36:32.030 SEV=8 IKEDBG/0 RPT=7686 
  Proposal # 1, Transform # 2, Type ESP, Id DES-CBC 
  Parsing received transform: 
    Phase 2 failure: 
    Mismatched attr types for class Encapsulation: 
      Rcv'd: Transport 
      Cfg'd: Tunnel 
   
  11320 02/15/2002 15:36:32.030 SEV=5 IKEDBG/0 RPT=7687 
  AH proposal not supported 
   
  11321 02/15/2002 15:36:32.030 SEV=4 IKE/0 RPT=27 10.48.66.76 
  Group [VPNC_Base_Group] 
  All IPSec SA proposals found unacceptable!

• Versão usada

  Selecione o monitoramento > status de sistema para ver esta saída:

  VPN Concentrator Type: 3005 
  Bootcode Rev: Altiga Networks/VPN Concentrator Version 2.2.int_9 Jan 19 2000 05:36:41 
  Software Rev: Cisco Systems, Inc./VPN 3000 Concentrator Version 3.5.Rel Nov 27 2001 13:35:16 
  Up For: 44:39:48 
  Up Since: 02/13/2002 15:49:59 
  RAM Size: 32 MB

Informações Relacionadas

• Sustentação do produto da Negociação IPSec/Protocolos IKE
• Suporte Técnico - Cisco Systems