Привет, а кто-нибудь когда-нибудь учил кошку быть EAP-MSCHAPv2 клиентом? По стандартной схеме - в рамках IKEv2 происходит аутентификация на основе username/password с использованием публичного ключа сервера, как это реализовано в винде, макоси? У меня не получается - кошка пишет в дебаге следующее: Oct 1 13:48:32.459: IKEv2:(SESSION ID = 1,SA ID = 1):Constructing IDi payload: '10.10.10.117' of type 'IPv4 address' Oct 1 13:48:32.459: IKEv2:(SA ID = 1):[IKEv2 -> PKI] Retrieve configured trustpoint(s) Oct 1 13:48:32.459: IKEv2:(SA ID = 1):[PKI -> IKEv2] Retrieved trustpoint(s): NONE Oct 1 13:48:32.459: IKEv2:Failed to retrieve Certificate Issuer list Oct 1 13:48:32.459: IKEv2-ERROR:(SESSION ID = 1,SA ID = 1):: Failed to build or process a certificate request Oct 1 13:48:32.459: IKEv2:(SESSION ID = 1,SA ID = 1):Auth exchange failed ключи сервера получены у letsencrypt. Я полагаю, надо каким-то образом на кошке сконфигурировать trustpoint (?) в который записать что-то, что позволит валидировать сертификат, полученный от сервера. И вот это у меня не получается. * конфигурация PKI сделана вот так: crypto pki trustpoint DST-X3 enrollment terminal pem usage ike revocation-check none ! ! ! crypto pki certificate chain DST-X3 certificate ca S/N [ ... CERT DATA ... ] * сертификат, который присылает сервер: issuer=C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3 subject=CN = myfqdn * соответственно, "crypto pki authenticate DST-X3" наполнялся вот таким: issuer=O = Digital Signature Trust Co., CN = DST Root CA X3 subject=C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3 * если это имеет значение, то вот конфигурация собственно IKEv2 (proposals exchange в соответствии с этой конфигурацией происходит корректно) : crypto ikev2 proposal QLD-pro encryption aes-gcm-128 prf sha256 group 14 ! crypto ikev2 policy QLD-policy match fvrf any proposal QLD-pro ! crypto ikev2 profile QLD-prof match identity remote fqdn myfqdn authentication local eap mschapv2 username user password p123456 authentication remote rsa-sig ! crypto ipsec transform-set QLD-ts esp-aes esp-sha256-hmac mode tunnel ! crypto map QLD-map 10 ipsec-isakmp set peer remote-ip set transform-set QLD-ts set ikev2-profile QLD-prof match address cryptoacl ! ip access-list extended cryptoacl permit ip 10.10.10.0 0.0.0.255 25.0.0.0 0.255.255.255 На стороне сервера - strongswan и он работает: OSX, например, коннектится к нему успешно, в полной мере реализовывая EAP-MSCHAPv2 :) В общем, кто-то пробовал делать что-то подобное с кошками? Спасибо. -- Volodymyr Litovka "Vision without Execution is Hallucination." -- Thomas Edison
participants (1)
-
Volodymyr Litovka