Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1722 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  IPSEC Authentification RSA-encr CISCO

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

IPSEC Authentification RSA-encr CISCO

n°38040
firmanous
Posté le 22-05-2008 à 15:13:04  profilanswer
 

Bonjour à tous
 
Je desire mettre en place un VPN IPSEC entre 2 routeurs Cisco 1841 (IOS Adv Security)
 
Pour cela j'ai choisi d'utiliser l'algorithme AES 256 avec une authentification RSA.
Je suis donc les procédures sur la documentation Cisco
 
Mais ça ne fonctionne pas, je tiens a preciser que lorsque j'utilise des clé partagées c'est opérationnel.
 
Avec le RSA j'obtiens ce message d'erreur :  
 
%CRYPTO-6-IKMP_CRYPT_FAILURE: IKE (connection id 134217729) unable to encrypt (w/peers RSA public key) packet
 
J'ai fait un réseau de test donc la configuration est la suivante
           
       ------------------ fa0/0 : 10.1.0.1                  fa0/0 : 10.1.0.2  --------------------  fa0/1 163.105.31.0
       |    Routeur A      |--------------------------------------------|      Routeur B       |-------------
       ------------------                                                               --------------------
fa0/1 : 192.168.1.0
 
Et voici une conf utilisé :
!
!
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname PlateformeA
!
boot-start-marker
boot-end-marker
!
logging buffered 4096 debugging
!
no aaa new-model
!
resource policy
!
clock timezone UTC 1
clock summer-time UTC recurring last Sun Mar 2:00 last Sun Oct 3:00
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
ip cef
!
!
!
!
!
!
!
!
!
crypto key pukey-chain rsa
addressed-key 10.1.0.2
 address 10.1.0.2
 key-string
  30819F30 0D06092A 864886F7 0D010101 05000381 8D003081 89028181 00D608FB
  6242D652 65014782 8004585C 5672E319 F71B3316 27A94338 30E2F088 A7114FA4
  47A2F4CE BF7D2D5D 769A397D AFB84F1E B9F4E1EE F1A7A0F5 0A3FF9D5 D848C1A5
  B88B701F 10C2E1B7 A0333366 5EE4F947 4E48DF50 16389C77 C737C2F2 E4D4F860
  78919B9C 6A46A7B6 317CF70B 3AB20F3D CE806EDC BA26A7FE 53D04286 27020301 0001  
 quit
!
!  
!
crypto isakmp policy 150
 hash sha
 encr aes 256
 authentication rsa-encr
crypto isakmp keepalive 10
!
!
crypto ipsec transform-set ionos-transformset ah-sha-hmac esp-aes 256 esp-sha-hmac  
!
crypto map ionos-map 10 ipsec-isakmp  
 set peer 10.1.0.2
 set transform-set ionos-transformset  
 match address 150
 reverse-route
!
!
!
!
interface FastEthernet0/0
 ip address 10.1.0.1 255.255.255.0
 speed 10
 half-duplex
 no cdp enable
 crypto map ionos-map
 ip access-group 100 in
 no shutdown
!
interface FastEthernet0/1
 ip address 192.168.1.1 255.255.255.0
 speed 100
 full-duplex
 no cdp enable
 no shutdown
!
!
no ip classless
ip route 163.105.31.0 255.255.255.224 10.1.0.2
!
no ip http server
ip http authentication local
ip http secure-server
!
logging 163.105.31.4
access-list 100 permit esp any any
access-list 100 permit udp any any eq isakmp
access-list 150 permit ip 192.168.1.0 0.0.0.255 163.105.31.0 0.0.0.31
 
no cdp run
!
!
control-plane
!
!
line con 0
 login local
line aux 0
line vty 0 4
 login local
!
end
!
 
 
Si quelqu'un a une solution   :ange:  
 
Merci d'avance

mood
Publicité
Posté le 22-05-2008 à 15:13:04  profilanswer
 

n°38070
trictrac
Posté le 22-05-2008 à 19:01:31  profilanswer
 

"w/peers RSA public key"
verifie que tu as bien entré la clé publique du peer sur chacun des routeurs.
Sinon, si tes routeurs sont pas en prod, il te reste plus qu'à activer les debug relatifs à ipsec / crypto ...

n°38146
firmanous
Posté le 23-05-2008 à 21:25:20  profilanswer
 

Oui je copie bien les clefs publiques,
Pour cela je tape la commande suivante dans chacun des routeurs : crypto key generate key rsa  
 
Ensuite je les copie dans un bloc note et je les colle dans les routeurs opposés
 
Pour ce qui est du debug, il me retourne une unknow error
 
May 20 15:19:48.227: ISAKMP:(0:0:N/A:0): beginning Main Mode exchange
*May 20 15:19:48.227: ISAKMP:(0:0:N/A:0): sending packet to 10.1.0.2 my_port 500 peer_port 500 (I) MM_NO_STATE
*May 20 15:19:48.423: ISAKMP (0:134217729): received packet from 10.1.0.2 dport 500 sport 500 Global (I) MM_NO_STATE
*May 20 15:19:48.427: ISAKMP (0:0): received packet from 10.1.0.2 dport 500 sport 500 Global (I) MM_NO_STATE
*May 20 15:19:48.427: ISAKMP:(0:0:N/A:0):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
*May 20 15:19:48.427: ISAKMP:(0:0:N/A:0):Old State = IKE_I_MM1  New State = IKE_I_MM2
 
*May 20 15:19:48.427: ISAKMP:(0:0:N/A:0): processing SA payload. message ID = 0
*May 20 15:19:48.427: ISAKMP:(0:0:N/A:0): processing vendor id payload
*May 20 15:19:48.427: ISAKMP:(0:0:N/A:0): vendor ID seems Unity/DPD but major 245 mismatch
*May 20 15:19:48.427: ISAKMP (0:0): vendor ID is NAT-T v7
*May 20 15:19:48.427: ISAKMP : Scanning profiles for xauth ...
*May 20 15:19:48.427: ISAKMP:(0:0:N/A:0):Checking ISAKMP transform 1 against priority 150 policy
*May 20 15:19:48.427: ISAKMP:      encryption AES-CBC
*May 20 15:19:48.427: ISAKMP:      keylength of 256
*May 20 15:19:48.427: ISAKMP:      hash SHA
*May 20 15:19:48.427: ISAKMP:      default group 2
*May 20 15:19:48.427: ISAKMP:      auth RSA encr
*May 20 15:19:48.427: ISAKMP:      life type in seconds
*May 20 15:19:48.427: ISAKMP:      life duration (basic) of 7200
*May 20 15:19:48.427: ISAKMP:(0:0:N/A:0):atts are acceptable. Next payload is 0
*May 20 15:19:48.427: CryptoEngine0: generating alg parameter for connid 2
*May 20 15:19:48.483: CRYPTO_ENGINE: Dh phase 1 status: 0
*May 20 15:19:48.483: CRYPTO_ENGINE: Dh phase 1 status: OK
*May 20 15:19:48.483: ISAKMP:(0:2:SW:1): processing vendor id payload
*May 20 15:19:48.483: ISAKMP:(0:2:SW:1): vendor ID seems Unity/DPD but major 245 mismatch
*May 20 15:19:48.483: ISAKMP (0:134217730): vendor ID is NAT-T v7
*May 20 15:19:48.483: ISAKMP:(0:2:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
*May 20 15:19:48.483: ISAKMP:(0:2:SW:1):Old State = IKE_I_MM2  New State = IKE_I_MM2
 
*May 20 15:19:48.483: ISAKMP:(0:2:SW:1):Unable to get router cert or routerdoes not have a cert: needed to find DN!
*May 20 15:19:48.483: ISAKMP:(0:2:SW:1):SA is doing RSA encryption authentication using id type ID_IPV4_ADDR
*May 20 15:19:48.483: ISAKMP (0:134217730): ID payload
        next-payload : 10
        type         : 1
        address      : 10.1.0.1
        protocol     : 17
        port         : 500
        length       : 12
*May 20 15:19:48.487: crypto_engine: public key encrypt
*May 20 15:19:48.495: crypto_engine: public key encrypt, got error unknown error
*May 20 15:19:48.495: %CRYPTO-6-IKMP_CRYPT_FAILURE: IKE (connection id 134217730) unable to encrypt (w/peers RSA public key) packet
*May 20 15:19:48.495: ISAKMP (0:134217730): FSM action returned error: 2
*May 20 15:19:48.495: ISAKMP:(0:2:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
*May 20 15:19:48.495: ISAKMP:(0:2:SW:1):Old State = IKE_I_MM2  New State = IKE_I_MM3
 
 
Voila voila alors je ne sais pas quoi faire  :pt1cable:  

n°61154
nostracosa
Dans le doute.... Reboot!!!
Posté le 08-12-2009 à 11:57:48  profilanswer
 

essaie de renseigner ton host name distant... qui fera office de NS...
 
""May 20 15:19:48.483: ISAKMP0:2:SW:1):Unable to get router cert or routerdoes not have a cert: needed to find DN! ""
 
ip host TON_HOST avec l'IP distante
 
Je trouve bizar que tu utilise deux acl différente réuni tout dans la 150, comme ca tu évite tout problème d'ACL en tout cas pour débuguer...
 
Pour le NS:
 
AV:
crypto key pukey-chain rsa  
addressed-key 10.1.0.2  
 address 10.1.0.2  
 
Après:
 
ip host ROUT1 address 10.1.0.2  
 
crypto key pukey-chain rsa  
named-key ROUT1  
 address 10.1.0.2  
 
En ésperant que ca puisse te mettre sur un piste...
 
 

n°61155
nostracosa
Dans le doute.... Reboot!!!
Posté le 08-12-2009 à 12:02:19  profilanswer
 

j'oubliais un petit lien quio peut t'aider :http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a008023ce5b.shtml
 
et j'ai boulié tu dois rajouter la ligne  
crypto isakmp identity hostname
 
 
;)


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  IPSEC Authentification RSA-encr CISCO

 

Sujets relatifs
chercher une IP sur switch CiscoVPN IPSEC
IPSEC Ciscotechnologie ipsec
[Cisco] Redistribute sous packet tracer 4.11Multicast sur un switch Cisco
cisco rancid cvswebRécupération des log d'un Cisco ASA 5540
Freeradius - Authentification filaire windows 
Plus de sujets relatifs à : IPSEC Authentification RSA-encr CISCO


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR