Anticisco http://www.anticisco.ru/forum/ |
|
IPSec ликбез http://www.anticisco.ru/forum/viewtopic.php?f=2&t=11090 |
Страница 1 из 1 |
Автор: | ShyLion [ 11 сен 2019, 14:26 ] |
Заголовок сообщения: | IPSec ликбез |
Коллеги. Давно интересует такой вопрос - должны ли совпадать алгоритмы фазы 1 в crypto isakmp policy с алгоритмами фазы 2 в crypto ipsec transform-set ? Конкретно в разрезе L2TP/IPsec сервиса, когда используется crypto dynamic-map. |
Автор: | Silent_D [ 11 сен 2019, 14:50 ] |
Заголовок сообщения: | Re: IPSec ликбез |
ShyLion писал(а): должны ли совпадать алгоритмы фазы 1 в crypto isakmp policy с алгоритмами фазы 2 в crypto ipsec transform-set? Вопрос интересный. Вообще там Phase 2 Negotiations, и формально вроде нет требований о совпадении алгоритмов с Phase 1. Да и логически непонятно зачем это может быть нужно. А так все зависит от конкретной реализации конечно. About IPSec VPN Negotiations https://www.watchguard.com/help/docs/he ... ons_c.html |
Автор: | ShyLion [ 11 сен 2019, 15:01 ] |
Заголовок сообщения: | Re: IPSec ликбез |
Буквально недавно "женил" микрот с циской, к которой вся контора из подо всех виндов подключается по l2tp/ipsec. Вроде куча алгоритмов в списке, а удалось только 3des+sha1+modp1024. Вот в примере следующий aes128+sha1+modp1024, но нет, хрен там, не подключается. Возможно что я чего-то недогоняю и использую несовместимые механизмы? Код: crypto dynamic-map L2TP_IPSec 1 set nat demux set transform-set 3DES_SHA_tr crypto ipsec transform-set 3DES_SHA_tr esp-3des esp-sha-hmac mode transport crypto isakmp policy 60 encr 3des authentication pre-share group 2 crypto dynamic-map L2TP_IPSec 2 set nat demux set transform-set AES_SHA_tr crypto ipsec transform-set AES_SHA_tr esp-aes esp-sha-hmac mode transport crypto isakmp policy 50 encr aes authentication pre-share group 2 crypto dynamic-map L2TP_IPSec 3 set nat demux set transform-set AES_256_SHA_tr crypto ipsec transform-set AES_256_SHA_tr esp-aes 256 esp-sha-hmac mode transport crypto isakmp policy 10 encr aes 256 authentication pre-share group 2 crypto dynamic-map L2TP_IPSec 4 set transform-set 3DES_SHA_tr crypto ipsec transform-set 3DES_SHA_tr esp-3des esp-sha-hmac mode transport crypto isakmp policy 60 encr 3des authentication pre-share group 2 crypto dynamic-map L2TP_IPSec 5 set transform-set AES_SHA_tr crypto ipsec transform-set AES_SHA_tr esp-aes esp-sha-hmac mode transport crypto isakmp policy 50 encr aes authentication pre-share group 2 crypto dynamic-map L2TP_IPSec 6 set transform-set aes256-sha512_tr crypto ipsec transform-set aes256-sha512_tr esp-aes 256 esp-sha512-hmac mode transport crypto isakmp policy 80 encr aes 256 hash sha512 authentication pre-share group 2 |
Автор: | Silent_D [ 11 сен 2019, 15:30 ] |
Заголовок сообщения: | Re: IPSec ликбез |
ShyLion писал(а): Вроде куча алгоритмов в списке, а удалось только 3des+sha1+modp1024. Вот в примере следующий aes128+sha1+modp1024, но нет, хрен там, не подключается. Возможно что я чего-то недогоняю и использую несовместимые механизмы? Да, есть такое. Несколько параметров по несколько вариантов дают приличное количество комбинаций. А используются только несколько. Proposals должны пересекаться. Поскольку на Cisco можно выставить любую комбинацию, то нужно в дебаге посмотреть какие варианты прилетают с той стороны и добавить один из них со своей. |
Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |