IPSEC Authentification RSA-encr CISCO - Sécurité - Systèmes & Réseaux Pro
Marsh Posté le 22-05-2008 à 19:01:31
"w/peers RSA public key"
verifie que tu as bien entré la clé publique du peer sur chacun des routeurs.
Sinon, si tes routeurs sont pas en prod, il te reste plus qu'à activer les debug relatifs à ipsec / crypto ...
Marsh Posté le 23-05-2008 à 21:25:20
Oui je copie bien les clefs publiques,
Pour cela je tape la commande suivante dans chacun des routeurs : crypto key generate key rsa
Ensuite je les copie dans un bloc note et je les colle dans les routeurs opposés
Pour ce qui est du debug, il me retourne une unknow error
May 20 15:19:48.227: ISAKMP0:0:N/A:0): beginning Main Mode exchange
*May 20 15:19:48.227: ISAKMP0:0:N/A:0): sending packet to 10.1.0.2 my_port 500 peer_port 500 (I) MM_NO_STATE
*May 20 15:19:48.423: ISAKMP (0:134217729): received packet from 10.1.0.2 dport 500 sport 500 Global (I) MM_NO_STATE
*May 20 15:19:48.427: ISAKMP (0:0): received packet from 10.1.0.2 dport 500 sport 500 Global (I) MM_NO_STATE
*May 20 15:19:48.427: ISAKMP0:0:N/A:0):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
*May 20 15:19:48.427: ISAKMP0:0:N/A:0):Old State = IKE_I_MM1 New State = IKE_I_MM2
*May 20 15:19:48.427: ISAKMP0:0:N/A:0): processing SA payload. message ID = 0
*May 20 15:19:48.427: ISAKMP0:0:N/A:0): processing vendor id payload
*May 20 15:19:48.427: ISAKMP0:0:N/A:0): vendor ID seems Unity/DPD but major 245 mismatch
*May 20 15:19:48.427: ISAKMP (0:0): vendor ID is NAT-T v7
*May 20 15:19:48.427: ISAKMP : Scanning profiles for xauth ...
*May 20 15:19:48.427: ISAKMP0:0:N/A:0):Checking ISAKMP transform 1 against priority 150 policy
*May 20 15:19:48.427: ISAKMP: encryption AES-CBC
*May 20 15:19:48.427: ISAKMP: keylength of 256
*May 20 15:19:48.427: ISAKMP: hash SHA
*May 20 15:19:48.427: ISAKMP: default group 2
*May 20 15:19:48.427: ISAKMP: auth RSA encr
*May 20 15:19:48.427: ISAKMP: life type in seconds
*May 20 15:19:48.427: ISAKMP: life duration (basic) of 7200
*May 20 15:19:48.427: ISAKMP0:0:N/A:0):atts are acceptable. Next payload is 0
*May 20 15:19:48.427: CryptoEngine0: generating alg parameter for connid 2
*May 20 15:19:48.483: CRYPTO_ENGINE: Dh phase 1 status: 0
*May 20 15:19:48.483: CRYPTO_ENGINE: Dh phase 1 status: OK
*May 20 15:19:48.483: ISAKMP0:2:SW:1): processing vendor id payload
*May 20 15:19:48.483: ISAKMP0:2:SW:1): vendor ID seems Unity/DPD but major 245 mismatch
*May 20 15:19:48.483: ISAKMP (0:134217730): vendor ID is NAT-T v7
*May 20 15:19:48.483: ISAKMP0:2:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
*May 20 15:19:48.483: ISAKMP0:2:SW:1):Old State = IKE_I_MM2 New State = IKE_I_MM2
*May 20 15:19:48.483: ISAKMP0:2:SW:1):Unable to get router cert or routerdoes not have a cert: needed to find DN!
*May 20 15:19:48.483: ISAKMP0:2:SW:1):SA is doing RSA encryption authentication using id type ID_IPV4_ADDR
*May 20 15:19:48.483: ISAKMP (0:134217730): ID payload
next-payload : 10
type : 1
address : 10.1.0.1
protocol : 17
port : 500
length : 12
*May 20 15:19:48.487: crypto_engine: public key encrypt
*May 20 15:19:48.495: crypto_engine: public key encrypt, got error unknown error
*May 20 15:19:48.495: %CRYPTO-6-IKMP_CRYPT_FAILURE: IKE (connection id 134217730) unable to encrypt (w/peers RSA public key) packet
*May 20 15:19:48.495: ISAKMP (0:134217730): FSM action returned error: 2
*May 20 15:19:48.495: ISAKMP0:2:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
*May 20 15:19:48.495: ISAKMP0:2:SW:1):Old State = IKE_I_MM2 New State = IKE_I_MM3
Voila voila alors je ne sais pas quoi faire
Marsh Posté le 08-12-2009 à 11:57:48
essaie de renseigner ton host name distant... qui fera office de NS...
""May 20 15:19:48.483: ISAKMP0:2:SW:1):Unable to get router cert or routerdoes not have a cert: needed to find DN! ""
ip host TON_HOST avec l'IP distante
Je trouve bizar que tu utilise deux acl différente réuni tout dans la 150, comme ca tu évite tout problème d'ACL en tout cas pour débuguer...
Pour le NS:
AV:
crypto key pukey-chain rsa
addressed-key 10.1.0.2
address 10.1.0.2
Après:
ip host ROUT1 address 10.1.0.2
crypto key pukey-chain rsa
named-key ROUT1
address 10.1.0.2
En ésperant que ca puisse te mettre sur un piste...
Marsh Posté le 08-12-2009 à 12:02:19
j'oubliais un petit lien quio peut t'aider //www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a008023ce5b.shtml
et j'ai boulié tu dois rajouter la ligne
crypto isakmp identity hostname
Marsh Posté le 22-05-2008 à 15:13:04
Bonjour à tous
Je desire mettre en place un VPN IPSEC entre 2 routeurs Cisco 1841 (IOS Adv Security)
Pour cela j'ai choisi d'utiliser l'algorithme AES 256 avec une authentification RSA.
Je suis donc les procédures sur la documentation Cisco
Mais ça ne fonctionne pas, je tiens a preciser que lorsque j'utilise des clé partagées c'est opérationnel.
Avec le RSA j'obtiens ce message d'erreur :
%CRYPTO-6-IKMP_CRYPT_FAILURE: IKE (connection id 134217729) unable to encrypt (w/peers RSA public key) packet
J'ai fait un réseau de test donc la configuration est la suivante
------------------ fa0/0 : 10.1.0.1 fa0/0 : 10.1.0.2 -------------------- fa0/1 163.105.31.0
| Routeur A |--------------------------------------------| Routeur B |-------------
------------------ --------------------
fa0/1 : 192.168.1.0
Et voici une conf utilisé :
!
!
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname PlateformeA
!
boot-start-marker
boot-end-marker
!
logging buffered 4096 debugging
!
no aaa new-model
!
resource policy
!
clock timezone UTC 1
clock summer-time UTC recurring last Sun Mar 2:00 last Sun Oct 3:00
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
ip cef
!
!
!
!
!
!
!
!
!
crypto key pukey-chain rsa
addressed-key 10.1.0.2
address 10.1.0.2
key-string
30819F30 0D06092A 864886F7 0D010101 05000381 8D003081 89028181 00D608FB
6242D652 65014782 8004585C 5672E319 F71B3316 27A94338 30E2F088 A7114FA4
47A2F4CE BF7D2D5D 769A397D AFB84F1E B9F4E1EE F1A7A0F5 0A3FF9D5 D848C1A5
B88B701F 10C2E1B7 A0333366 5EE4F947 4E48DF50 16389C77 C737C2F2 E4D4F860
78919B9C 6A46A7B6 317CF70B 3AB20F3D CE806EDC BA26A7FE 53D04286 27020301 0001
quit
!
!
!
crypto isakmp policy 150
hash sha
encr aes 256
authentication rsa-encr
crypto isakmp keepalive 10
!
!
crypto ipsec transform-set ionos-transformset ah-sha-hmac esp-aes 256 esp-sha-hmac
!
crypto map ionos-map 10 ipsec-isakmp
set peer 10.1.0.2
set transform-set ionos-transformset
match address 150
reverse-route
!
!
!
!
interface FastEthernet0/0
ip address 10.1.0.1 255.255.255.0
speed 10
half-duplex
no cdp enable
crypto map ionos-map
ip access-group 100 in
no shutdown
!
interface FastEthernet0/1
ip address 192.168.1.1 255.255.255.0
speed 100
full-duplex
no cdp enable
no shutdown
!
!
no ip classless
ip route 163.105.31.0 255.255.255.224 10.1.0.2
!
no ip http server
ip http authentication local
ip http secure-server
!
logging 163.105.31.4
access-list 100 permit esp any any
access-list 100 permit udp any any eq isakmp
access-list 150 permit ip 192.168.1.0 0.0.0.255 163.105.31.0 0.0.0.31
no cdp run
!
!
control-plane
!
!
line con 0
login local
line aux 0
line vty 0 4
login local
!
end
!
Si quelqu'un a une solution
Merci d'avance