Сообщения без ответов | Активные темы Текущее время: 20 сен 2019, 19:15



Ответить на тему  [ Сообщений: 4 ] 
IPSec ликбез 
Автор Сообщение

Зарегистрирован: 31 янв 2017, 12:21
Сообщения: 16
Коллеги. Давно интересует такой вопрос - должны ли совпадать алгоритмы фазы 1 в crypto isakmp policy с алгоритмами фазы 2 в crypto ipsec transform-set ?
Конкретно в разрезе L2TP/IPsec сервиса, когда используется crypto dynamic-map.


11 сен 2019, 14:26
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 225
Откуда: Moscow
ShyLion писал(а):
должны ли совпадать алгоритмы фазы 1 в crypto isakmp policy с алгоритмами фазы 2 в crypto ipsec transform-set?

Вопрос интересный. Вообще там Phase 2 Negotiations, и формально вроде нет требований
о совпадении алгоритмов с Phase 1. Да и логически непонятно зачем это может быть нужно.
А так все зависит от конкретной реализации конечно.

About IPSec VPN Negotiations
https://www.watchguard.com/help/docs/he ... ons_c.html

_________________
Knowledge is Power


11 сен 2019, 14:50
Профиль

Зарегистрирован: 31 янв 2017, 12:21
Сообщения: 16
Буквально недавно "женил" микрот с циской, к которой вся контора из подо всех виндов подключается по l2tp/ipsec.
Вроде куча алгоритмов в списке, а удалось только 3des+sha1+modp1024.
Вот в примере следующий aes128+sha1+modp1024, но нет, хрен там, не подключается.
Возможно что я чего-то недогоняю и использую несовместимые механизмы?

Код:
crypto dynamic-map L2TP_IPSec 1
 set nat demux
 set transform-set 3DES_SHA_tr
crypto ipsec transform-set 3DES_SHA_tr esp-3des esp-sha-hmac
 mode transport
crypto isakmp policy 60
 encr 3des
 authentication pre-share
 group 2




crypto dynamic-map L2TP_IPSec 2
 set nat demux
 set transform-set AES_SHA_tr
crypto ipsec transform-set AES_SHA_tr esp-aes esp-sha-hmac
 mode transport
crypto isakmp policy 50
 encr aes
 authentication pre-share
 group 2




crypto dynamic-map L2TP_IPSec 3
 set nat demux
 set transform-set AES_256_SHA_tr
crypto ipsec transform-set AES_256_SHA_tr esp-aes 256 esp-sha-hmac
 mode transport
crypto isakmp policy 10
 encr aes 256
 authentication pre-share
 group 2



crypto dynamic-map L2TP_IPSec 4
 set transform-set 3DES_SHA_tr
crypto ipsec transform-set 3DES_SHA_tr esp-3des esp-sha-hmac
 mode transport
crypto isakmp policy 60
 encr 3des
 authentication pre-share
 group 2


crypto dynamic-map L2TP_IPSec 5
 set transform-set AES_SHA_tr
crypto ipsec transform-set AES_SHA_tr esp-aes esp-sha-hmac
 mode transport
crypto isakmp policy 50
 encr aes
 authentication pre-share
 group 2


crypto dynamic-map L2TP_IPSec 6
 set transform-set aes256-sha512_tr
crypto ipsec transform-set aes256-sha512_tr esp-aes 256 esp-sha512-hmac
 mode transport
crypto isakmp policy 80
 encr aes 256
 hash sha512
 authentication pre-share
 group 2



11 сен 2019, 15:01
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 225
Откуда: Moscow
ShyLion писал(а):
Вроде куча алгоритмов в списке, а удалось только 3des+sha1+modp1024.
Вот в примере следующий aes128+sha1+modp1024, но нет, хрен там, не подключается.
Возможно что я чего-то недогоняю и использую несовместимые механизмы?

Да, есть такое.
Несколько параметров по несколько вариантов дают приличное количество комбинаций.
А используются только несколько. Proposals должны пересекаться.

Поскольку на Cisco можно выставить любую комбинацию, то нужно в дебаге
посмотреть какие варианты прилетают с той стороны и добавить один из них со своей.

_________________
Knowledge is Power


11 сен 2019, 15:30
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 4 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и гости: 9


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB