L2TP عبر IPsec بين مركز Windows 2000 و VPN 3000 باستخدام مثال تكوين الشهادات الرقمية
المحتويات
المقدمة
يوضح هذا المستند الإجراء بالتفصيل المستخدم للاتصال بمركز VPN 3000 من عميل Windows 2000 باستخدام العميل المدمج L2TP/IPSec. من المفترض أن تستخدم الشهادات الرقمية (المرجع المصدق الجذر المستقل (CA) بدون بروتوكول تسجيل الشهادة (CEP)) لمصادقة إتصالك بموجه الشبكة الخاصة الظاهرية (VPN). يستخدم هذا المستند خدمة ترخيص Microsoft للتوضيح. 
ارجع إلى موقع Microsoft على الويب للحصول على وثائق حول كيفية تكوينه.
ملاحظة: هذا مثال فقط لأن مظهر شبكات Windows 2000 يمكن أن يتغير.
المتطلبات الأساسية
المتطلبات
لا توجد متطلبات خاصة لهذا المستند.
المكونات المستخدمة
المعلومات الواردة في هذا المستند خاصة بسلسلة مركز VPN 3000 من Cisco.
الأهداف
في هذا الإجراء، تكمل الخطوات التالية:
-
الحصول على شهادة جذر.
-
الحصول على شهادة هوية للعميل.
-
قم بإنشاء اتصال ب VPN 3000 بمساعدة معالج اتصال الشبكة.
-
قم بتكوين مركز VPN 3000.
الاصطلاحات
للحصول على مزيد من المعلومات حول اصطلاحات المستندات، ارجع إلى اصطلاحات تلميحات Cisco التقنية.
الحصول على شهادة جذر
أكمل هذه التعليمات للحصول على شهادة جذر:
-
افتح نافذة مستعرض واكتب في عنوان URL لهيئة شهادة Microsoft (عادة http://servername أو عنوان IP الخاص ب CA/certsrv).
نافذة الترحيب الخاصة باسترداد الشهادات وطلبات العرض.
-
في نافذة الترحيب ضمن تحديد مهمة، أختر إسترداد شهادة CA أو قائمة إلغاء الشهادة وانقر فوق التالي.
-
من نافذة قائمة إسترداد شهادة المرجع المصدق أو إبطال الشهادة، انقر على تثبيت مسار شهادة المرجع المصدق هذا في الركن الأيسر.
يؤدي ذلك إلى إضافة شهادة المرجع المصدق إلى مخزن مراجع الشهادات الجذر الموثوق بها. هذا يعني أن أي شهادات تصدر عن هذا المرجع المصدق لهذا العميل موثوق بها.
الحصول على شهادة هوية للعميل
أكمل الخطوات التالية للحصول على شهادة هوية للعميل:
-
افتح نافذة متصفح وأدخل عنوان URL لهيئة شهادة Microsoft (عادة http://servername أو عنوان IP الخاص ب CA/CERTSRV).
نافذة الترحيب الخاصة باسترداد الشهادات وطلبات العرض.
-
من نافذة الترحيب، تحت تحديد مهمة، أختر طلب شهادة، وانقر بعد ذلك.
-
من نافذة إختيار نوع الطلب ، حدد طلب متقدم وانقر بعد ذلك.
-
من نافذة طلبات الشهادات المتقدمة، حدد إرسال طلب شهادة إلى المرجع المصدق هذا باستخدام نموذج.
-
تعبئة الحقول كما في هذا المثال.
يجب أن تتوافق قيمة الوكالة (الوحدة التنظيمية) مع المجموعة المكونة على مركز الشبكة الخاصة الظاهرية (VPN). لا تحدد حجم مفتاح أكبر من 1024. تأكد من تحديد خانة الاختيار لاستخدام مخزن الجهاز المحلي. عندما تنتهي، انقر التالي.
بناء على كيفية تكوين خادم CA، تظهر هذه النافذة أحيانا. إذا كان كذلك، اتصل بمسؤول CA.
-
انقر على منزل للعودة إلى الشاشة الرئيسية، وحدد التحقق من الشهادة المعلقة، وانقر على التالي.
-
في الإطار "إصدار الشهادة"، انقر على تثبيت هذه الشهادة.
-
لعرض شهادة العميل الخاصة بك، حدد Start > Run، وقم بتنفيذ وحدة تحكم الإدارة (MMC) من Microsoft.
-
انقر فوق وحدة التحكم واختر إضافة/إزالة الأداة الإضافية.
-
انقر على إضافة واختر شهادة من القائمة.
-
عندما تظهر نافذة تسألك عن نطاق الشهادة، أختر حساب الكمبيوتر.
-
تحقق من وجود شهادة خادم CA تحت مراجع التصديق الجذر الموثوق بها. تحقق أيضا من أن لديك شهادة عن طريق تحديد جذر وحدة التحكم > شهادة (كمبيوتر محلي) > شخصي>شهادات، كما هو موضح في هذه الصورة.
إنشاء اتصال ب VPN 3000 باستخدام معالج اتصال الشبكة
أتمت هذا إجراء in order to خلقت توصيل إلى ال VPN 3000 مع مساعدة من الشبكة توصيل مرشد:
-
انقر بزر الماوس الأيمن على مواضع شبكتي، واختر خصائص، ثم انقر على إجراء توصيل جديد.
-
من نافذة "نوع اتصال الشبكة"، أختر الاتصال بشبكة خاصة من خلال الإنترنت ثم انقر على التالي.
-
دخلت المضيف إسم أو عنوان من القارن عام من ال VPN مركز، وطقطقة بعد ذلك.
-
في إطار "توفر الاتصال"، حدد لنفسي فقط وانقر فوق التالي.
-
في نافذة الشبكة العامة، حدد ما إذا كنت تريد طلب الاتصال الأولي (حساب ISP) تلقائيا.
-
دخلت على الغاية عنوان شاشة، المضيف إسم أو عنوان من ال VPN 3000 مركز، وطقطقة بعد ذلك.
-
في إطار "معالج توصيل الشبكة"، أدخل اسما للاتصال ثم انقر على إنهاء.
في هذا المثال، يسمى الاتصال "Cisco Corporate VPN."
-
في إطار "الاتصال الخاص الظاهري"، انقر فوق خصائص.
-
في إطار الخصائص، حدد علامة تبويب الشبكة.
-
تحت نوع خادم VPN الذي أتصل به، أختر L2TP من القائمة المنسدلة، وقم بإبراز بروتوكول الإنترنت TCP/IP، وانقر فوق خصائص.
-
حدد متقدم > خيارات > خصائص.
-
في نافذة أمان IP، أختر إستخدام سياسة أمان IP هذه.
-
أختر نهج العميل (الاستجابة فقط) من القائمة المنسدلة، ثم انقر فوق موافق عدة مرات حتى تعود إلى شاشة الاتصال.
-
دخلت in order to بدأت توصيل، username وكلمة، وطقطقة توصيل.
تكوين مركز VPN 3000
الحصول على شهادة جذر
أتمت هذا steps in order to نلت شهادة جذر ل ال VPN 3000 مركز:
-
قم بتوجيه المستعرض إلى المرجع المصدق (عادة ما يكون http://ip_add_of_ca/certsrv/)، واسترد شهادة المرجع المصدق أو قائمة إلغاء الشهادة، وانقر فوق التالي.
-
انقر على تنزيل شهادة المرجع المصدق واحفظ الملف في مكان ما على القرص المحلي.
-
على مركز VPN 3000، حدد إدارة > إدارة الشهادات، وانقر هنا لتثبيت شهادة وتثبيت شهادة CA.
-
انقر فوق تحميل الملف من محطة العمل.
-
انقر تصفح وحدد ملف شهادة CA الذي قمت بتنزيله للتو.
-
قم بتمييز اسم الملف وانقر تثبيت.
الحصول على شهادة هوية مركز VPN 3000
أتمت هذا steps in order to نلت شهادة هوية ل VPN 3000 Concentrator:
-
حدد ConfAdministration > إدارة الشهادات > تسجيل > شهادة الهوية، ثم انقر تسجيل عبر طلب PKCS10 (يدوي). املأ النموذج كما هو موضح هنا وانقر فوق تسجيل.
تظهر نافذة المستعرض مع طلب الشهادة. يجب أن يحتوي على نص مشابه لهذا المخرج:
-----BEGIN NEW CERTIFICATE REQUEST----- MIIBPDCB5wIBADBQMRUwEwYDVQQDEwx2cG4zMDAwLW5hbWUxDDAKBgNVBAsTA3Nu czEOMAwGA1UEChMFY2lzY28xDDAKBgNVBAcTA2J4bDELMAkGA1UEBhMCYmUwWjAN BgkqhkiG9w0BAQEFAANJADBGAkEAx7K+pvE004qILNNw3kPVWXrdlqZV4yeOIPdh C8/V5Yuqq5tMWY3L1W6DC0p256bvGqzd5fhqSkOhBVnNJ1Y/KQIBA6A0MDIGCSqG SIb3DQEJDjElMCMwIQYDVR0RBBowGIIWdnBuMzAwMC1uYW1lLmNpc2NvLmNvbTAN BgkqhkiG9w0BAQQFAANBABzcG3IKaWnDLFtrNf1QDi+D7w8dxPu74b/BRHn9fsKI X6+X0ed0EuEgm1/2nfj8Ux0nV5F/c5wukUfysMmJ/ak= -----END NEW CERTIFICATE REQUEST-----
-
قم بتوجيه المستعرض إلى خادم CA الخاص بك، وفحص طلب شهادة، وانقر فوق التالي.
-
تحقق من الطلب المتقدم، انقر التالي، وحدد إرسال طلب شهادة باستخدام ملف PKCS #10 مرمز للأساس64 أو طلب تجديد باستخدام ملف PKCS #7 مرمز للأساس 64.
-
انقر فوق Next (التالي). قص ولصق نص طلب الشهادة الظاهر سابقا في منطقة النص. انقر على إرسال.
-
استنادا إلى كيفية تكوين خادم CA، يمكنك النقر فوق تنزيل شهادة CA. أو بمجرد إصدار الشهادة من المرجع المصدق، ارجع إلى خادم المرجع المصدق وتحقق من الشهادة المعلقة.
-
انقر فوق التالي، ثم حدد طلبك، ثم انقر فوق التالي مرة أخرى.
-
انقر على تنزيل شهادة المرجع المصدق، واحفظ الملف على القرص المحلي.
-
على مركز VPN 3000، حدد إدارة > إدارة الشهادات > تثبيت، وانقر تثبيت الشهادة التي تم الحصول عليها من خلال التسجيل.
يمكنك عندئذ عرض طلبك المعلق بالحالة "قيد التقدم" كما هو الحال في هذه الصورة.
-
انقر فوق تثبيت، يتبعه تحميل الملف من محطة العمل.
-
انقر على إستعراض وحدد الملف الذي يحتوي على شهادتك التي تم إصدارها من قبل المرجع المصدق.
-
قم بتمييز اسم الملف وانقر تثبيت.
-
حدد إدارة > إدارة الشهادات. تظهر شاشة مماثلة لهذه الصورة.
تكوين تجمع للعملاء
أتمت هذا إجراء in order to شكلت بركة للعملاء:
-
من أجل تخصيص نطاق متاح من عناوين IP، قم بتوجيه متصفح إلى الواجهة الداخلية لمركز VPN 3000 وحدد تكوين > نظام > إدارة العناوين > تجمعات > إضافة.
-
حدد نطاق من عناوين IP لا تتعارض مع أي أجهزة أخرى على الشبكة الداخلية، وانقر فوق إضافة.
-
لتبليغ مركز VPN 3000 لاستخدام التجمع، حدد التكوين > النظام > إدارة العناوين > التعيين، حدد مربع إستخدام تجمعات العناوين، وانقر تطبيق، كما هو الحال في هذه الصورة.
تكوين اقتراح IKE
أكمل الخطوات التالية لتكوين اقتراح IKE:
-
حدد تكوين > نظام > بروتوكولات الاتصال النفقي > IPSec > مقترحات IKE، انقر فوق إضافة وحدد المعلمات، كما هو موضح في هذه الصورة.
-
انقر فوق إضافة، قم بتمييز العرض الجديد في العمود الأيمن، وانقر فوق تنشيط.
تكوين SA
أكمل هذا الإجراء لتكوين اقتران الأمان (SA):
-
حدد تشكيل > إدارة السياسة > إدارة حركة المرور > SA وانقر ESP-L2TP-TRANSPORT.
إذا لم تكن sa هذه متوفرة أو إذا كنت تستخدمها لغرض آخر، فقم بإنشاء sa جديد مماثل لهذا الغرض. الإعدادات المختلفة ل SA مقبولة. قم بتغيير هذه المعلمة استنادا إلى نهج الأمان.
-
حدد الشهادة الرقمية التي قمت بتكوينها سابقا تحت القائمة المنسدلة الشهادة الرقمية. حدد مقترح تبادل مفتاح الإنترنت (IKE-for-win2k).
ملاحظة: هذا غير إلزامي. عند اتصال عميل L2TP/IPSec بموجه تركيز الشبكة الخاصة الظاهرية (VPN)، يتم تجربة جميع اقتراحات IKE التي تم تكوينها أسفل العمود النشط لتكوين الصفحة > النظام > بروتوكولات الاتصال النفقي > IPSec > مقترحات IKE بالترتيب.
تظهر هذه الصورة التكوين المطلوب ل SA:
تكوين المجموعة والمستخدم
أكمل هذا الإجراء لتكوين المجموعة والمستخدم:
-
حدد تكوين > إدارة المستخدم > مجموعة أساسية.
-
تحت علامة التبويب "عام"، تأكد من التحقق من L2TP عبر IPSec.
-
تحت علامة التبويب IPSec، حدد ESP-L2TP-Transport SA.
-
تحت علامة التبويب PPTP/L2TP، قم بإلغاء تحديد جميع خيارات تشفير L2TP.
-
حدد تشكيل > إدارة المستخدم > مستخدمون وانقر إضافة.
-
أدخل الاسم وكلمة المرور اللذين تستخدمهما للاتصال من عميل Windows 2000. تأكد من تحديد مجموعة أساسية ضمن تحديد المجموعة.
-
تحت علامة التبويب "عام"، تحقق من بروتوكول L2TP عبر بروتوكول IPSec للاتصال النفقي.
-
تحت علامة التبويب IPSec، حدد ESP-L2TP-Transport SA.
-
تحت علامة التبويب PPTP/L2TP، قم بإلغاء تحديد جميع خيارات تشفير L2TP، وانقر إضافة.
يمكنك الآن الاتصال باستخدام تعليمات عميل Windows 2000 من L2TP/IPSec.
ملاحظة: لقد أخترت تكوين المجموعة الأساسية لقبول اتصال L2TP/IPSec البعيد. كما يمكن تكوين مجموعة تتطابق مع حقل الوحدة التنظيمية (OU) في SA لقبول الاتصال الوارد. التكوين مماثل.
معلومات التصحيح
269 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3868 10.48.66.76
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 2
Cfg'd: Oakley Group 7
271 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3869 10.48.66.76
Phase 1 failure against global IKE proposal # 16:
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 2
Cfg'd: Oakley Group 1
274 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3870 10.48.66.76
Proposal # 1, Transform # 2, Type ISAKMP, Id IKE
Parsing received transform:
Phase 1 failure against global IKE proposal # 1:
Mismatched attr types for class Encryption Alg:
Rcv'd: DES-CBC
Cfg'd: Triple-DES
279 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3871 10.48.66.76
Phase 1 failure against global IKE proposal # 2:
Mismatched attr types for class Encryption Alg:
Rcv'd: DES-CBC
Cfg'd: Triple-DES
282 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3872 10.48.66.76
Phase 1 failure against global IKE proposal # 3:
Mismatched attr types for class Encryption Alg:
Rcv'd: DES-CBC
Cfg'd: Triple-DES
285 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3873 10.48.66.76
Phase 1 failure against global IKE proposal # 4:
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 2
Cfg'd: Oakley Group 1
288 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3874 10.48.66.76
Phase 1 failure against global IKE proposal # 5:
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 2
Cfg'd: Oakley Group 1
291 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3875 10.48.66.76
Phase 1 failure against global IKE proposal # 6:
Mismatched attr types for class Encryption Alg:
Rcv'd: DES-CBC
Cfg'd: Triple-DES
294 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3876 10.48.66.76
Phase 1 failure against global IKE proposal # 7:
Mismatched attr types for class Encryption Alg:
Rcv'd: DES-CBC
Cfg'd: Triple-DES
297 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3877 10.48.66.76
Phase 1 failure against global IKE proposal # 8:
Mismatched attr types for class Encryption Alg:
Rcv'd: DES-CBC
Cfg'd: Triple-DES
300 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3878 10.48.66.76
Phase 1 failure against global IKE proposal # 9:
Mismatched attr types for class Encryption Alg:
Rcv'd: DES-CBC
Cfg'd: Triple-DES
303 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3879 10.48.66.76
Phase 1 failure against global IKE proposal # 10:
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 2
Cfg'd: Oakley Group 1
306 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3880 10.48.66.76
Phase 1 failure against global IKE proposal # 11:
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 2
Cfg'd: Oakley Group 1
309 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3881 10.48.66.76
Phase 1 failure against global IKE proposal # 12:
Mismatched attr types for class Encryption Alg:
Rcv'd: DES-CBC
Cfg'd: Triple-DES
312 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3882 10.48.66.76
Phase 1 failure against global IKE proposal # 13:
Mismatched attr types for class Encryption Alg:
Rcv'd: DES-CBC
Cfg'd: Triple-DES
315 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3883 10.48.66.76
Phase 1 failure against global IKE proposal # 14:
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 2
Cfg'd: Oakley Group 1
318 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3884 10.48.66.76
Phase 1 failure against global IKE proposal # 15:
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 2
Cfg'd: Oakley Group 7
321 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3885 10.48.66.76
Phase 1 failure against global IKE proposal # 16:
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 2
Cfg'd: Oakley Group 1
324 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3886 10.48.66.76
Proposal # 1, Transform # 3, Type ISAKMP, Id IKE
Parsing received transform:
Phase 1 failure against global IKE proposal # 1:
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 1
Cfg'd: Oakley Group 2
329 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3887 10.48.66.76
Phase 1 failure against global IKE proposal # 2:
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 1
Cfg'd: Oakley Group 2
332 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3888 10.48.66.76
Phase 1 failure against global IKE proposal # 3:
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 1
Cfg'd: Oakley Group 2
335 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3889 10.48.66.76
Phase 1 failure against global IKE proposal # 4:
Mismatched attr types for class Encryption Alg:
Rcv'd: DES-CBC
Cfg'd: Triple-DES
338 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3890 10.48.66.76
Phase 1 failure against global IKE proposal # 5:
Mismatched attr types for class Encryption Alg:
Rcv'd: DES-CBC
Cfg'd: Triple-DES
341 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3891 10.48.66.76
Phase 1 failure against global IKE proposal # 6:
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 1
Cfg'd: Oakley Group 2
344 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3892 10.48.66.76
Phase 1 failure against global IKE proposal # 7:
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 1
Cfg'd: Oakley Group 2
347 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3893 10.48.66.76
Phase 1 failure against global IKE proposal # 8:
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 1
Cfg'd: Oakley Group 2
350 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3894 10.48.66.76
Phase 1 failure against global IKE proposal # 9:
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 1
Cfg'd: Oakley Group 2
353 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3895 10.48.66.76
Phase 1 failure against global IKE proposal # 10:
Mismatched attr types for class Encryption Alg:
Rcv'd: DES-CBC
Cfg'd: Triple-DES
356 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3896 10.48.66.76
Phase 1 failure against global IKE proposal # 11:
Mismatched attr types for class Hash Alg:
Rcv'd: SHA
Cfg'd: MD5
358 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3897 10.48.66.76
Phase 1 failure against global IKE proposal # 12:
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 1
Cfg'd: Oakley Group 2
361 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3898 10.48.66.76
Phase 1 failure against global IKE proposal # 13:
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 1
Cfg'd: Oakley Group 2
364 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3899 10.48.66.76
Phase 1 failure against global IKE proposal # 14:
Mismatched attr types for class Encryption Alg:
Rcv'd: DES-CBC
Cfg'd: Triple-DES
367 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3900 10.48.66.76
Phase 1 failure against global IKE proposal # 15:
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 1
Cfg'd: Oakley Group 7
370 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3901 10.48.66.76
Phase 1 failure against global IKE proposal # 16:
Mismatched attr types for class Hash Alg:
Rcv'd: SHA
Cfg'd: MD5
372 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3902 10.48.66.76
Proposal # 1, Transform # 4, Type ISAKMP, Id IKE
Parsing received transform:
Phase 1 failure against global IKE proposal # 1:
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 1
Cfg'd: Oakley Group 2
377 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3903 10.48.66.76
Phase 1 failure against global IKE proposal # 2:
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 1
Cfg'd: Oakley Group 2
380 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3904 10.48.66.76
Phase 1 failure against global IKE proposal # 3:
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 1
Cfg'd: Oakley Group 2
383 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3905 10.48.66.76
Phase 1 failure against global IKE proposal # 4:
Mismatched attr types for class Encryption Alg:
Rcv'd: DES-CBC
Cfg'd: Triple-DES
386 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3906 10.48.66.76
Phase 1 failure against global IKE proposal # 5:
Mismatched attr types for class Encryption Alg:
Rcv'd: DES-CBC
Cfg'd: Triple-DES
389 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3907 10.48.66.76
Phase 1 failure against global IKE proposal # 6:
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 1
Cfg'd: Oakley Group 2
392 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3908 10.48.66.76
Phase 1 failure against global IKE proposal # 7:
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 1
Cfg'd: Oakley Group 2
395 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3909 10.48.66.76
Phase 1 failure against global IKE proposal # 8:
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 1
Cfg'd: Oakley Group 2
398 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3910 10.48.66.76
Phase 1 failure against global IKE proposal # 9:
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 1
Cfg'd: Oakley Group 2
401 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3911 10.48.66.76
Phase 1 failure against global IKE proposal # 10:
Mismatched attr types for class Encryption Alg:
Rcv'd: DES-CBC
Cfg'd: Triple-DES
404 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3912 10.48.66.76
Phase 1 failure against global IKE proposal # 11:
Mismatched attr types for class Auth Method:
Rcv'd: RSA signature with Certificates
Cfg'd: Preshared Key
407 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3913 10.48.66.76
Phase 1 failure against global IKE proposal # 12:
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 1
Cfg'd: Oakley Group 2
410 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3914 10.48.66.76
Phase 1 failure against global IKE proposal # 13:
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 1
Cfg'd: Oakley Group 2
413 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3915 10.48.66.76
Phase 1 failure against global IKE proposal # 14:
Mismatched attr types for class Encryption Alg:
Rcv'd: DES-CBC
Cfg'd: Triple-DES
416 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3916 10.48.66.76
Phase 1 failure against global IKE proposal # 15:
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 1
Cfg'd: Oakley Group 7
419 02/15/2002 12:47:24.430 SEV=7 IKEDBG/28 RPT=20 10.48.66.76
IKE SA Proposal # 1, Transform # 4 acceptable
Matches global IKE entry # 16
420 02/15/2002 12:47:24.440 SEV=9 IKEDBG/0 RPT=3917 10.48.66.76
constructing ISA_SA for isakmp
421 02/15/2002 12:47:24.490 SEV=8 IKEDBG/0 RPT=3918 10.48.66.76
SENDING Message (msgid=0) with payloads :
HDR + SA (1) + NONE (0) ... total length : 80
423 02/15/2002 12:47:24.540 SEV=8 IKEDBG/0 RPT=3919 10.48.66.76
RECEIVED Message (msgid=0) with payloads :
HDR + KE (4) + NONCE (10) + NONE (0) ... total length : 152
425 02/15/2002 12:47:24.540 SEV=8 IKEDBG/0 RPT=3920 10.48.66.76
RECEIVED Message (msgid=0) with payloads :
HDR + KE (4) + NONCE (10) + NONE (0) ... total length : 152
427 02/15/2002 12:47:24.540 SEV=9 IKEDBG/0 RPT=3921 10.48.66.76
processing ke payload
428 02/15/2002 12:47:24.540 SEV=9 IKEDBG/0 RPT=3922 10.48.66.76
processing ISA_KE
429 02/15/2002 12:47:24.540 SEV=9 IKEDBG/1 RPT=104 10.48.66.76
processing nonce payload
430 02/15/2002 12:47:24.600 SEV=9 IKEDBG/0 RPT=3923 10.48.66.76
constructing ke payload
431 02/15/2002 12:47:24.600 SEV=9 IKEDBG/1 RPT=105 10.48.66.76
constructing nonce payload
432 02/15/2002 12:47:24.600 SEV=9 IKEDBG/0 RPT=3924 10.48.66.76
constructing certreq payload
433 02/15/2002 12:47:24.600 SEV=9 IKEDBG/0 RPT=3925 10.48.66.76
Using initiator's certreq payload data
434 02/15/2002 12:47:24.600 SEV=9 IKEDBG/46 RPT=61 10.48.66.76
constructing Cisco Unity VID payload
435 02/15/2002 12:47:24.600 SEV=9 IKEDBG/46 RPT=62 10.48.66.76
constructing xauth V6 VID payload
436 02/15/2002 12:47:24.600 SEV=9 IKEDBG/48 RPT=39 10.48.66.76
Send IOS VID
437 02/15/2002 12:47:24.600 SEV=9 IKEDBG/38 RPT=20 10.48.66.76
Constructing VPN 3000 spoofing IOS Vendor ID payload
(version: 1.0.0, capabilities: 20000001)
439 02/15/2002 12:47:24.600 SEV=9 IKEDBG/46 RPT=63 10.48.66.76
constructing VID payload
440 02/15/2002 12:47:24.600 SEV=9 IKEDBG/48 RPT=40 10.48.66.76
Send Altiga GW VID
441 02/15/2002 12:47:24.600 SEV=9 IKEDBG/0 RPT=3926 10.48.66.76
Generating keys for Responder...
442 02/15/2002 12:47:24.610 SEV=8 IKEDBG/0 RPT=3927 10.48.66.76
SENDING Message (msgid=0) with payloads :
HDR + KE (4) + NONCE (10) + CERT_REQ (7) + VENDOR (13) + VENDOR (13)
+ VENDOR (13) + VENDOR (13) + NONE (0) ... total length : 229
445 02/15/2002 12:47:24.640 SEV=8 IKEDBG/0 RPT=3928 10.48.66.76
RECEIVED Message (msgid=0) with payloads :
HDR + ID (5) + CERT (6) + SIG (9) + CERT_REQ (7) + NONE (0)
... total length : 1186
448 02/15/2002 12:47:24.640 SEV=9 IKEDBG/1 RPT=106 10.48.66.76
Processing ID
449 02/15/2002 12:47:24.640 SEV=9 IKEDBG/0 RPT=3929 10.48.66.76
processing cert payload
450 02/15/2002 12:47:24.640 SEV=9 IKEDBG/1 RPT=107 10.48.66.76
processing RSA signature
451 02/15/2002 12:47:24.640 SEV=9 IKEDBG/0 RPT=3930 10.48.66.76
computing hash
452 02/15/2002 12:47:24.650 SEV=9 IKEDBG/0 RPT=3931 10.48.66.76
processing cert request payload
453 02/15/2002 12:47:24.650 SEV=9 IKEDBG/0 RPT=3932 10.48.66.76
Storing cert request payload for use in MM msg 4
454 02/15/2002 12:47:24.650 SEV=9 IKEDBG/23 RPT=20 10.48.66.76
Starting group lookup for peer 10.48.66.76
455 02/15/2002 12:47:24.650 SEV=9 IKE/21 RPT=12 10.48.66.76
No Group found by matching IP Address of Cert peer 10.48.66.76
456 02/15/2002 12:47:24.650 SEV=9 IKE/20 RPT=12 10.48.66.76
No Group found by matching OU(s) from ID payload:
ou=sns,
457 02/15/2002 12:47:24.650 SEV=9 IKE/0 RPT=12 10.48.66.76
Group [VPNC_Base_Group]
No Group name for IKE Cert session, defaulting to BASE GROUP
459 02/15/2002 12:47:24.750 SEV=7 IKEDBG/0 RPT=3933 10.48.66.76
Group [VPNC_Base_Group]
Found Phase 1 Group (VPNC_Base_Group)
460 02/15/2002 12:47:24.750 SEV=7 IKEDBG/14 RPT=20 10.48.66.76
Group [VPNC_Base_Group]
Authentication configured for Internal
461 02/15/2002 12:47:24.750 SEV=9 IKEDBG/19 RPT=20 10.48.66.76
Group [VPNC_Base_Group]
IKEGetUserAttributes: default domain = fenetwork.com
462 02/15/2002 12:47:24.770 SEV=5 IKE/79 RPT=4 10.48.66.76
Group [VPNC_Base_Group]
Validation of certificate successful
(CN=my_name, SN=6102861F000000000005)
464 02/15/2002 12:47:24.770 SEV=7 IKEDBG/0 RPT=3934 10.48.66.76
Group [VPNC_Base_Group]
peer ID type 9 received (DER_ASN1_DN)
465 02/15/2002 12:47:24.770 SEV=9 IKEDBG/1 RPT=108 10.48.66.76
Group [VPNC_Base_Group]
constructing ID
466 02/15/2002 12:47:24.770 SEV=9 IKEDBG/0 RPT=3935 10.48.66.76
Group [VPNC_Base_Group]
constructing cert payload
467 02/15/2002 12:47:24.770 SEV=9 IKEDBG/1 RPT=109 10.48.66.76
Group [VPNC_Base_Group]
constructing RSA signature
468 02/15/2002 12:47:24.770 SEV=9 IKEDBG/0 RPT=3936 10.48.66.76
Group [VPNC_Base_Group]
computing hash
469 02/15/2002 12:47:24.800 SEV=9 IKEDBG/46 RPT=64 10.48.66.76
Group [VPNC_Base_Group]
constructing dpd vid payload
470 02/15/2002 12:47:24.800 SEV=8 IKEDBG/0 RPT=3937 10.48.66.76
SENDING Message (msgid=0) with payloads :
HDR + ID (5) + CERT (6) + SIG (9) + VENDOR (13) + NONE (0)
... total length : 1112
473 02/15/2002 12:47:24.800 SEV=4 IKE/119 RPT=4 10.48.66.76
Group [VPNC_Base_Group]
PHASE 1 COMPLETED
474 02/15/2002 12:47:24.800 SEV=6 IKE/121 RPT=4 10.48.66.76
Keep-alive type for this connection: None
475 02/15/2002 12:47:24.800 SEV=6 IKE/122 RPT=4 10.48.66.76
Keep-alives configured on but peer does not support keep-alives (type = None)
476 02/15/2002 12:47:24.800 SEV=7 IKEDBG/0 RPT=3938 10.48.66.76
Group [VPNC_Base_Group]
Starting phase 1 rekey timer: 21600000 (ms)
477 02/15/2002 12:47:24.810 SEV=8 IKEDBG/0 RPT=3939 10.48.66.76
RECEIVED Message (msgid=781ceadc) with payloads :
HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NONE (0)
... total length : 1108
480 02/15/2002 12:47:24.810 SEV=9 IKEDBG/0 RPT=3940 10.48.66.76
Group [VPNC_Base_Group]
processing hash
481 02/15/2002 12:47:24.810 SEV=9 IKEDBG/0 RPT=3941 10.48.66.76
Group [VPNC_Base_Group]
processing SA payload
482 02/15/2002 12:47:24.810 SEV=9 IKEDBG/1 RPT=110 10.48.66.76
Group [VPNC_Base_Group]
processing nonce payload
483 02/15/2002 12:47:24.810 SEV=9 IKEDBG/1 RPT=111 10.48.66.76
Group [VPNC_Base_Group]
Processing ID
484 02/15/2002 12:47:24.810 SEV=5 IKE/25 RPT=4 10.48.66.76
Group [VPNC_Base_Group]
Received remote Proxy Host data in ID Payload:
Address 10.48.66.76, Protocol 17, Port 1701
487 02/15/2002 12:47:24.810 SEV=9 IKEDBG/1 RPT=112 10.48.66.76
Group [VPNC_Base_Group]
Processing ID
488 02/15/2002 12:47:24.810 SEV=5 IKE/24 RPT=4 10.48.66.76
Group [VPNC_Base_Group]
Received local Proxy Host data in ID Payload:
Address 10.48.66.109, Protocol 17, Port 0
491 02/15/2002 12:47:24.810 SEV=8 IKEDBG/0 RPT=3942
QM IsRekeyed old sa not found by addr
492 02/15/2002 12:47:24.810 SEV=5 IKE/66 RPT=4 10.48.66.76
Group [VPNC_Base_Group]
IKE Remote Peer configured for SA: ESP-L2TP-TRANSPORT
493 02/15/2002 12:47:24.810 SEV=9 IKEDBG/0 RPT=3943 10.48.66.76
Group [VPNC_Base_Group]
processing IPSEC SA
494 02/15/2002 12:47:24.810 SEV=7 IKEDBG/27 RPT=4 10.48.66.76
Group [VPNC_Base_Group]
IPSec SA Proposal # 1, Transform # 1 acceptable
495 02/15/2002 12:47:24.810 SEV=7 IKEDBG/0 RPT=3944 10.48.66.76
Group [VPNC_Base_Group]
IKE: requesting SPI!
496 02/15/2002 12:47:24.810 SEV=8 IKEDBG/6 RPT=4
IKE got SPI from key engine: SPI = 0x10d19e33
497 02/15/2002 12:47:24.810 SEV=9 IKEDBG/0 RPT=3945 10.48.66.76
Group [VPNC_Base_Group]
oakley constucting quick mode
498 02/15/2002 12:47:24.810 SEV=9 IKEDBG/0 RPT=3946 10.48.66.76
Group [VPNC_Base_Group]
constructing blank hash
499 02/15/2002 12:47:24.820 SEV=9 IKEDBG/0 RPT=3947 10.48.66.76
Group [VPNC_Base_Group]
constructing ISA_SA for ipsec
500 02/15/2002 12:47:24.820 SEV=9 IKEDBG/1 RPT=113 10.48.66.76
Group [VPNC_Base_Group]
constructing ipsec nonce payload
501 02/15/2002 12:47:24.820 SEV=9 IKEDBG/1 RPT=114 10.48.66.76
Group [VPNC_Base_Group]
constructing proxy ID
502 02/15/2002 12:47:24.820 SEV=7 IKEDBG/0 RPT=3948 10.48.66.76
Group [VPNC_Base_Group]
Transmitting Proxy Id:
Remote host: 10.48.66.76 Protocol 17 Port 1701
Local host: 10.48.66.109 Protocol 17 Port 0
506 02/15/2002 12:47:24.820 SEV=9 IKEDBG/0 RPT=3949 10.48.66.76
Group [VPNC_Base_Group]
constructing qm hash
507 02/15/2002 12:47:24.820 SEV=8 IKEDBG/0 RPT=3950 10.48.66.76
SENDING Message (msgid=781ceadc) with payloads :
HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NONE (0)
... total length : 156
510 02/15/2002 12:47:24.820 SEV=8 IKEDBG/0 RPT=3951 10.48.66.76
RECEIVED Message (msgid=781ceadc) with payloads :
HDR + HASH (8) + NONE (0) ... total length : 48
512 02/15/2002 12:47:24.830 SEV=9 IKEDBG/0 RPT=3952 10.48.66.76
Group [VPNC_Base_Group]
processing hash
513 02/15/2002 12:47:24.830 SEV=9 IKEDBG/0 RPT=3953 10.48.66.76
Group [VPNC_Base_Group]
loading all IPSEC SAs
514 02/15/2002 12:47:24.830 SEV=9 IKEDBG/1 RPT=115 10.48.66.76
Group [VPNC_Base_Group]
Generating Quick Mode Key!
515 02/15/2002 12:47:24.830 SEV=9 IKEDBG/1 RPT=116 10.48.66.76
Group [VPNC_Base_Group]
Generating Quick Mode Key!
516 02/15/2002 12:47:24.830 SEV=7 IKEDBG/0 RPT=3954 10.48.66.76
Group [VPNC_Base_Group]
Loading host:
Dst: 10.48.66.109
Src: 10.48.66.76
517 02/15/2002 12:47:24.830 SEV=4 IKE/49 RPT=4 10.48.66.76
Group [VPNC_Base_Group]
Security negotiation complete for User ()
Responder, Inbound SPI = 0x10d19e33, Outbound SPI = 0x15895ab9
520 02/15/2002 12:47:24.830 SEV=8 IKEDBG/7 RPT=4
IKE got a KEY_ADD msg for SA: SPI = 0x15895ab9
521 02/15/2002 12:47:24.830 SEV=8 IKEDBG/0 RPT=3955
pitcher: rcv KEY_UPDATE, spi 0x10d19e33
522 02/15/2002 12:47:24.830 SEV=4 IKE/120 RPT=4 10.48.66.76
Group [VPNC_Base_Group]
PHASE 2 COMPLETED (msgid=781ceadc)
523 02/15/2002 12:47:24.840 SEV=8 IKEDBG/0 RPT=3956
pitcher: recv KEY_SA_ACTIVE spi 0x10d19e33
524 02/15/2002 12:47:24.840 SEV=8 IKEDBG/0 RPT=3957
KEY_SA_ACTIVE no old rekey centry found with new spi 0x10d19e33, mess_id 0x0
معلومات أستكشاف الأخطاء وإصلاحها
يوضح هذا القسم بعض المشاكل الشائعة وأساليب أستكشاف الأخطاء وإصلاحها لكل منها.
-
يتعذر بدء تشغيل الخادم.
من المرجح أن خدمة IPSec لم تبدأ. حدد ابدأ > برامج > أدوات إدارية > الخدمة وتأكد من تمكين خدمة IPSec.
-
خطأ 786: لا توجد شهادة جهاز صالحة.
-
يشير هذا الخطأ إلى وجود مشكلة في الشهادة الموجودة على الجهاز المحلي. من أجل النظر إلى ترخيصك بسهولة، حدد ابدأ > تشغيل، وقم بتنفيذ MMC. انقر فوق وحدة التحكم واختر إضافة/إزالة الأداة الإضافية. انقر على إضافة واختر شهادة من القائمة. عندما تظهر نافذة تسألك عن نطاق الشهادة، أختر حساب الكمبيوتر.
الآن يمكنك التحقق من أن شهادة خادم CA موجودة تحت مراجع التصديق الجذر الموثوق فيها. يمكنك أيضا التحقق من أن لديك شهادة بتحديد جذر وحدة التحكم > الترخيص (كمبيوتر محلي) > شخصي > شهادات، كما هو موضح في هذه الصورة.
-
انقر على الشهادة. تحقق من صحة كل شيء. في هذا المثال، هناك مفتاح خاص مرتبط بالشهادة. ومع ذلك، انتهت صلاحية هذه الشهادة. هذا هو سبب المشكلة.
-
-
خطأ 792: مهلة مفاوضات الأمان.
تظهر هذه الرسالة بعد فترة طويلة.
قم بتشغيل تصحيح الأخطاء ذات الصلة كما هو موضح في الأسئلة المتداولة حول مركز Cisco VPN 3000. اقرأوا من خلالها. تحتاج أن ترى شيئا مشابها لهذا الناتج:
9337 02/15/2002 15:06:13.500 SEV=8 IKEDBG/0 RPT=7002 10.48.66.76 Phase 1 failure against global IKE proposal # 6: Mismatched attr types for class DH Group: Rcv'd: Oakley Group 1 Cfg'd: Oakley Group 2 9340 02/15/2002 15:06:13.510 SEV=8 IKEDBG/0 RPT=7003 10.48.66.76 Phase 1 failure against global IKE proposal # 7: Mismatched attr types for class Auth Method: Rcv'd: RSA signature with Certificates Cfg'd: Preshared Key 9343 02/15/2002 15:06:13.510 SEV=8 IKEDBG/0 RPT=7004 10.48.66.76 Phase 1 failure against global IKE proposal # 8: Mismatched attr types for class DH Group: Rcv'd: Oakley Group 1 Cfg'd: Oakley Group 7 9346 02/15/2002 15:06:13.510 SEV=7 IKEDBG/0 RPT=7005 10.48.66.76 All SA proposals found unacceptable 9347 02/15/2002 15:06:13.510 SEV=4 IKE/48 RPT=37 10.48.66.76 Error processing payload: Payload ID: 1 9348 02/15/2002 15:06:13.510 SEV=9 IKEDBG/0 RPT=7006 10.48.66.76 IKE SA MM:261e40dd terminating: flags 0x01000002, refcnt 0, tuncnt 0 9349 02/15/2002 15:06:13.510 SEV=9 IKEDBG/0 RPT=7007 sending delete messageوهذا يشير إلى أن اقتراح IKE لم يتم تكوينه بشكل صحيح. تحقق من المعلومات الواردة من قسم تكوين مقترح IKE في هذا المستند.
-
خطأ 789: تواجه طبقة الأمان خطأ معالجة.
قم بتشغيل تصحيح الأخطاء ذات الصلة كما هو موضح في الأسئلة المتداولة حول مركز Cisco VPN 3000. اقرأوا من خلالها. تحتاج أن ترى شيئا مشابها لهذا الناتج:
11315 02/15/2002 15:36:32.030 SEV=8 IKEDBG/0 RPT=7686 Proposal # 1, Transform # 2, Type ESP, Id DES-CBC Parsing received transform: Phase 2 failure: Mismatched attr types for class Encapsulation: Rcv'd: Transport Cfg'd: Tunnel 11320 02/15/2002 15:36:32.030 SEV=5 IKEDBG/0 RPT=7687 AH proposal not supported 11321 02/15/2002 15:36:32.030 SEV=4 IKE/0 RPT=27 10.48.66.76 Group [VPNC_Base_Group] All IPSec SA proposals found unacceptable! -
الإصدار المستخدم
حدد مراقبة > حالة النظام لعرض هذا الإخراج:
VPN Concentrator Type: 3005 Bootcode Rev: Altiga Networks/VPN Concentrator Version 2.2.int_9 Jan 19 2000 05:36:41 Software Rev: Cisco Systems, Inc./VPN 3000 Concentrator Version 3.5.Rel Nov 27 2001 13:35:16 Up For: 44:39:48 Up Since: 02/13/2002 15:49:59 RAM Size: 32 MB
معلومات ذات صلة
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
19-Jan-2006 |
الإصدار الأولي |
التعليقات