Anticisco
http://www.anticisco.ru/forum/

IPSec ликбез
http://www.anticisco.ru/forum/viewtopic.php?f=2&t=11090
Страница 1 из 1

Автор:  ShyLion [ 11 сен 2019, 14:26 ]
Заголовок сообщения:  IPSec ликбез

Коллеги. Давно интересует такой вопрос - должны ли совпадать алгоритмы фазы 1 в crypto isakmp policy с алгоритмами фазы 2 в crypto ipsec transform-set ?
Конкретно в разрезе L2TP/IPsec сервиса, когда используется crypto dynamic-map.

Автор:  Silent_D [ 11 сен 2019, 14:50 ]
Заголовок сообщения:  Re: IPSec ликбез

ShyLion писал(а):
должны ли совпадать алгоритмы фазы 1 в crypto isakmp policy с алгоритмами фазы 2 в crypto ipsec transform-set?

Вопрос интересный. Вообще там Phase 2 Negotiations, и формально вроде нет требований
о совпадении алгоритмов с Phase 1. Да и логически непонятно зачем это может быть нужно.
А так все зависит от конкретной реализации конечно.

About IPSec VPN Negotiations
https://www.watchguard.com/help/docs/he ... ons_c.html

Автор:  ShyLion [ 11 сен 2019, 15:01 ]
Заголовок сообщения:  Re: IPSec ликбез

Буквально недавно "женил" микрот с циской, к которой вся контора из подо всех виндов подключается по l2tp/ipsec.
Вроде куча алгоритмов в списке, а удалось только 3des+sha1+modp1024.
Вот в примере следующий aes128+sha1+modp1024, но нет, хрен там, не подключается.
Возможно что я чего-то недогоняю и использую несовместимые механизмы?

Код:
crypto dynamic-map L2TP_IPSec 1
 set nat demux
 set transform-set 3DES_SHA_tr
crypto ipsec transform-set 3DES_SHA_tr esp-3des esp-sha-hmac
 mode transport
crypto isakmp policy 60
 encr 3des
 authentication pre-share
 group 2




crypto dynamic-map L2TP_IPSec 2
 set nat demux
 set transform-set AES_SHA_tr
crypto ipsec transform-set AES_SHA_tr esp-aes esp-sha-hmac
 mode transport
crypto isakmp policy 50
 encr aes
 authentication pre-share
 group 2




crypto dynamic-map L2TP_IPSec 3
 set nat demux
 set transform-set AES_256_SHA_tr
crypto ipsec transform-set AES_256_SHA_tr esp-aes 256 esp-sha-hmac
 mode transport
crypto isakmp policy 10
 encr aes 256
 authentication pre-share
 group 2



crypto dynamic-map L2TP_IPSec 4
 set transform-set 3DES_SHA_tr
crypto ipsec transform-set 3DES_SHA_tr esp-3des esp-sha-hmac
 mode transport
crypto isakmp policy 60
 encr 3des
 authentication pre-share
 group 2


crypto dynamic-map L2TP_IPSec 5
 set transform-set AES_SHA_tr
crypto ipsec transform-set AES_SHA_tr esp-aes esp-sha-hmac
 mode transport
crypto isakmp policy 50
 encr aes
 authentication pre-share
 group 2


crypto dynamic-map L2TP_IPSec 6
 set transform-set aes256-sha512_tr
crypto ipsec transform-set aes256-sha512_tr esp-aes 256 esp-sha512-hmac
 mode transport
crypto isakmp policy 80
 encr aes 256
 hash sha512
 authentication pre-share
 group 2


Автор:  Silent_D [ 11 сен 2019, 15:30 ]
Заголовок сообщения:  Re: IPSec ликбез

ShyLion писал(а):
Вроде куча алгоритмов в списке, а удалось только 3des+sha1+modp1024.
Вот в примере следующий aes128+sha1+modp1024, но нет, хрен там, не подключается.
Возможно что я чего-то недогоняю и использую несовместимые механизмы?

Да, есть такое.
Несколько параметров по несколько вариантов дают приличное количество комбинаций.
А используются только несколько. Proposals должны пересекаться.

Поскольку на Cisco можно выставить любую комбинацию, то нужно в дебаге
посмотреть какие варианты прилетают с той стороны и добавить один из них со своей.

Страница 1 из 1 Часовой пояс: UTC + 3 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/