Комментарии: Настройка Cisco VPN Client и Cisco IOS на использование сертификатов, хранящихся на eToken http://dreamcatcher.ru/2009/12/18/%d0%9d%d0%b0%d1%81%d1%82%d1%80%d0%be%d0%b9%d0%ba%d0%b0-cisco-vpn-client-%d0%b8-cisco-ios-%d0%bd%d0%b0-%d0%b8%d1%81%d0%bf%d0%be%d0%bb%d1%8c%d0%b7%d0%be%d0%b2%d0%b0%d0%bd%d0%b8%d0%b5-%d1%81%d0%b5%d1%80/ Fri, 03 Feb 2012 13:51:41 +0000 hourly 1 http://wordpress.org/?v=3.3.1 Автор: Дмитрий http://dreamcatcher.ru/2009/12/18/%d0%9d%d0%b0%d1%81%d1%82%d1%80%d0%be%d0%b9%d0%ba%d0%b0-cisco-vpn-client-%d0%b8-cisco-ios-%d0%bd%d0%b0-%d0%b8%d1%81%d0%bf%d0%be%d0%bb%d1%8c%d0%b7%d0%be%d0%b2%d0%b0%d0%bd%d0%b8%d0%b5-%d1%81%d0%b5%d1%80/comment-page-1/#comment-124 Дмитрий Mon, 17 Oct 2011 13:12:41 +0000 http://dreamcatcher.ru/?p=119#comment-124 Не согласитесь помочь (за плату) в настройке описанной Вами связки? Не согласитесь помочь (за плату) в настройке описанной Вами связки?

]]> Автор: Bear http://dreamcatcher.ru/2009/12/18/%d0%9d%d0%b0%d1%81%d1%82%d1%80%d0%be%d0%b9%d0%ba%d0%b0-cisco-vpn-client-%d0%b8-cisco-ios-%d0%bd%d0%b0-%d0%b8%d1%81%d0%bf%d0%be%d0%bb%d1%8c%d0%b7%d0%be%d0%b2%d0%b0%d0%bd%d0%b8%d0%b5-%d1%81%d0%b5%d1%80/comment-page-1/#comment-119 Bear Thu, 13 Oct 2011 13:52:11 +0000 http://dreamcatcher.ru/?p=119#comment-119 Сразу оговорюсь: опыт настройки Cisco - 4 дня :( Настраиваю Cisco 2821 Если я пишу: <code> test(config)#crypto isakmp client configuration group VPNClients test(config-isakmp-group)#crypto isakmp profile Remote-VPN </code> То получаю сообщение: <code>a profile is deemed incomplete until it has match identity statements<code> И в результате, моя конфа выглядит так: <code> crypto isakmp client configuration group VPNClients dns 10.1.5.2 10.1.2.1 domain alatus.co acl split firewall are-u-there include-local-lan split-dns alatus.co crypto isakmp profile Remote-VPN match identity group VPNClients </code> Так и должно быть? Сразу оговорюсь: опыт настройки Cisco — 4 дня :( Настраиваю Cisco 2821
Если я пишу:

test(config)#crypto isakmp client configuration group VPNClients
test(config-isakmp-group)#crypto isakmp profile Remote-VPN

То получаю сообщение:
a profile is deemed incomplete until it has match identity statements
И в результате, моя конфа выглядит так:

crypto isakmp client configuration group VPNClients
dns 10.1.5.2 10.1.2.1
domain alatus.co
acl split
firewall are-u-there
include-local-lan
split-dns alatus.co
crypto isakmp profile Remote-VPN
match identity group VPNClients

Так и должно быть?

]]> Автор: J http://dreamcatcher.ru/2009/12/18/%d0%9d%d0%b0%d1%81%d1%82%d1%80%d0%be%d0%b9%d0%ba%d0%b0-cisco-vpn-client-%d0%b8-cisco-ios-%d0%bd%d0%b0-%d0%b8%d1%81%d0%bf%d0%be%d0%bb%d1%8c%d0%b7%d0%be%d0%b2%d0%b0%d0%bd%d0%b8%d0%b5-%d1%81%d0%b5%d1%80/comment-page-1/#comment-118 J Tue, 11 Oct 2011 11:52:46 +0000 http://dreamcatcher.ru/?p=119#comment-118 добавили в конфигурацию Cisco настройку: crypto ipsec security-association idle-time 600 и проблема решилась. еще раз спасибо за статью! добавили в конфигурацию Cisco настройку:

crypto ipsec security-association idle-time 600

и проблема решилась.

еще раз спасибо за статью!

]]> Автор: Mixa http://dreamcatcher.ru/2009/12/18/%d0%9d%d0%b0%d1%81%d1%82%d1%80%d0%be%d0%b9%d0%ba%d0%b0-cisco-vpn-client-%d0%b8-cisco-ios-%d0%bd%d0%b0-%d0%b8%d1%81%d0%bf%d0%be%d0%bb%d1%8c%d0%b7%d0%be%d0%b2%d0%b0%d0%bd%d0%b8%d0%b5-%d1%81%d0%b5%d1%80/comment-page-1/#comment-114 Mixa Sun, 09 Oct 2011 06:33:37 +0000 http://dreamcatcher.ru/?p=119#comment-114 Добрый день! Мне кажется, у Вас чего-то не хватает в самом сертификате, смотрите его свойства. Добрый день! Мне кажется, у Вас чего-то не хватает в самом сертификате, смотрите его свойства.

]]> Автор: J http://dreamcatcher.ru/2009/12/18/%d0%9d%d0%b0%d1%81%d1%82%d1%80%d0%be%d0%b9%d0%ba%d0%b0-cisco-vpn-client-%d0%b8-cisco-ios-%d0%bd%d0%b0-%d0%b8%d1%81%d0%bf%d0%be%d0%bb%d1%8c%d0%b7%d0%be%d0%b2%d0%b0%d0%bd%d0%b8%d0%b5-%d1%81%d0%b5%d1%80/comment-page-1/#comment-107 J Wed, 05 Oct 2011 11:11:58 +0000 http://dreamcatcher.ru/?p=119#comment-107 Добрый день Михаил, статья интересная, спасибо! применили ваш конфиг на своей Cisco 1841. к сожалению пока не работает. В deb сообщает: Oct 5 17:02:54 PERM: ISAKMP:(0:49:HW:2): processing a CT_X509_SIGNATURE cert Oct 5 17:02:55 PERM: ISAKMP:(0:49:HW:2): peer's pubkey is cached Oct 5 17:02:55 PERM: ISAKMP:(0:49:HW:2): failed to find usage restriction in ext. Oct 5 17:02:55 PERM: ISAKMP (0:268435505): Unable to get subject name from certificate! В это время на Cisco VPN Client в логах: Unexpected payload type found Failed to validate the payloads Marking IKE for deletion DEL_REASON_IKE_NEG_FAILED по советам из Инет 1. cинхронизировали время на Cisco и СА 2. выключили firewall 3. исключили NAT 4. используется Cisco VPN Client 5.0.0.7 Посоветуйте пожалуйста что еще сделать, чтоб схема заработала!! Удачного дня! Добрый день Михаил,

статья интересная, спасибо!

применили ваш конфиг на своей Cisco 1841.
к сожалению пока не работает.
В deb сообщает:
Oct 5 17:02:54 PERM: ISAKMP:(0:49:HW:2): processing a CT_X509_SIGNATURE cert
Oct 5 17:02:55 PERM: ISAKMP:(0:49:HW:2): peer’s pubkey is cached
Oct 5 17:02:55 PERM: ISAKMP:(0:49:HW:2): failed to find usage restriction in ext.
Oct 5 17:02:55 PERM: ISAKMP (0:268435505): Unable to get subject name from certificate!

В это время на Cisco VPN Client в логах:
Unexpected payload type found
Failed to validate the payloads
Marking IKE for deletion
DEL_REASON_IKE_NEG_FAILED

по советам из Инет
1. cинхронизировали время на Cisco и СА
2. выключили firewall
3. исключили NAT
4. используется Cisco VPN Client 5.0.0.7

Посоветуйте пожалуйста что еще сделать, чтоб схема заработала!!

Удачного дня!

]]>