Esempio di configurazione L2TP over IPsec tra Windows 2000 e VPN 3000 Concentrator con certificati digitali
Sommario
Introduzione
In questo documento viene illustrata la procedura dettagliata utilizzata per connettersi a un concentratore VPN 3000 da un client Windows 2000 utilizzando il client L2TP/IPSec incorporato. Si presuppone che per autenticare la connessione al concentratore VPN vengano utilizzati i certificati digitali (CA radice autonoma senza il protocollo CEP). In questo documento viene utilizzato il servizio certificati Microsoft a scopo illustrativo. Per la documentazione su come configurarlo, consultare il sito Web Microsoft 
.
Nota: questo è un esempio solo perché l'aspetto delle schermate di Windows 2000 può cambiare.
Prerequisiti
Requisiti
Nessun requisito specifico previsto per questo documento.
Componenti usati
Le informazioni di questo documento sono relative alla serie Cisco VPN 3000 Concentrator.
Obiettivi
In questa procedura, effettuare le seguenti operazioni:
-
Ottenere un certificato radice.
-
Ottenere un certificato di identità per il client.
-
Creare una connessione a VPN 3000 con l'aiuto della Connessione guidata di rete.
-
Configurare VPN 3000 Concentrator.
Convenzioni
Per ulteriori informazioni sulle convenzioni usate, consultare il documento Cisco sulle convenzioni nei suggerimenti tecnici.
Ottenere un certificato radice
Per ottenere un certificato radice, completare le istruzioni seguenti:
-
Aprire una finestra del browser e digitare l'URL di Microsoft Certificate Authority (in genere http://servername o l'indirizzo IP di CA/certsrv).
Viene visualizzata la finestra iniziale per il recupero e la richiesta dei certificati.
-
Nella finestra Benvenuti in Selezionare un'operazione, scegliere Recupera il certificato CA o l'elenco di revoche di certificati e fare clic su Avanti.
-
Nella finestra Recupera il certificato CA o l'elenco di revoche di certificati fare clic su Installa il percorso di certificazione CA nell'angolo sinistro.
Il certificato CA verrà aggiunto all'archivio Autorità di certificazione radice attendibili. Tutti i certificati rilasciati da questa CA al client sono pertanto attendibili.
Ottenere un certificato di identità per il client
Per ottenere un certificato di identità per il client, completare i seguenti passaggi:
-
Aprire una finestra del browser e immettere l'URL di Microsoft Certificate Authority (in genere http://servername o l'indirizzo IP di CA/certsrv).
Viene visualizzata la finestra iniziale per il recupero e la richiesta dei certificati.
-
Nella finestra Benvenuti, in Selezionare un'operazione, scegliere Richiedi un certificato, quindi fare clic su Avanti.
-
Dalla finestra Scegli tipo di richiesta, selezionare Richiesta avanzata e fare clic su Avanti.
-
Nella finestra Richieste avanzate di certificati selezionare Invia una richiesta di certificato alla CA utilizzando un modulo.
-
Compilare i campi come in questo esempio.
Il valore di Reparto (unità organizzativa) deve corrispondere al gruppo configurato nel concentratore VPN. Non specificare una dimensione della chiave maggiore di 1024. Assicurarsi di selezionare la casella di controllo Usa archivio computer locale. Al termine, fare clic su Avanti.
A seconda della configurazione del server CA, questa finestra viene talvolta visualizzata. In caso affermativo, contattare l'amministratore della CA.
-
Fare clic su Home page per tornare alla schermata principale, selezionare Controlla certificato in sospeso e fare clic su Avanti.
-
Nella finestra Certificato rilasciato fare clic su Installa il certificato.
-
Per visualizzare il certificato client, selezionare Start > Esegui ed eseguire Microsoft Management Console (MMC).
-
Fare clic su Console e scegliere Aggiungi/Rimuovi snap-in.
-
Fare clic su Add (Aggiungi) e selezionare Certificate (Certificato) dall'elenco.
-
Quando viene visualizzata una finestra in cui viene richiesto l'ambito del certificato, scegliere Account computer.
-
Verificare che il certificato del server CA si trovi nelle Autorità di certificazione radice attendibili. Verificare inoltre di disporre di un certificato selezionando Console Root > Certificate (Local Computer) > Personal > Certificates (Radice console > Certificato (Computer locale) > Personal > Certificates), come mostrato nell'immagine.
Creare una connessione a VPN 3000 utilizzando la Connessione guidata alla rete
Completare questa procedura per creare una connessione alla VPN 3000 con l'aiuto della connessione guidata di rete:
-
Fare clic con il pulsante destro del mouse su Risorse di rete, scegliere Proprietà e fare clic su Crea nuova connessione.
-
Nella finestra Tipo di connessione di rete scegliere Connetti a una rete privata tramite Internet e quindi fare clic su Avanti.
-
Immettere il nome host o l'indirizzo IP dell'interfaccia pubblica del concentratore VPN e fare clic su Avanti.
-
Nella finestra Disponibilità connessione selezionare Personale e fare clic su Avanti.
-
Nella finestra Rete pubblica, selezionare se comporre automaticamente la connessione iniziale (l'account ISP).
-
Nella schermata Indirizzo di destinazione, immettere il nome host o l'indirizzo IP del concentratore VPN 3000 e fare clic su Avanti.
-
Nella finestra Connessione guidata di rete, immettere un nome per la connessione e fare clic su Fine.
Nell'esempio, la connessione è denominata "Cisco corporate VPN".
-
Nella finestra Connessione privata virtuale fare clic su Proprietà.
-
Nella finestra Proprietà selezionare la scheda Rete.
-
In Tipo di server VPN chiamato scegliere L2TP dal menu a discesa, selezionare Protocollo Internet TCP/IP, quindi fare clic su Proprietà.
-
Selezionare Avanzate > Opzioni > Proprietà.
-
Nella finestra Protezione IP scegliere Utilizza questo criterio di protezione IP.
-
Scegliere il criterio Client (solo risposta) dal menu a discesa e fare clic su OK più volte fino a tornare alla schermata Connetti.
-
Per avviare una connessione, immettere il nome utente e la password e fare clic su Connetti.
Configurazione di VPN 3000 Concentrator
Ottenere un certificato radice
Completare questi passaggi per ottenere un certificato radice per VPN 3000 Concentrator:
-
Posizionare il browser sulla CA, ad esempio http://ip_add_of_ca/certsrv/, Recuperare il certificato CA o l'elenco di revoche di certificati e fare clic su Avanti.
-
Fare clic su Scarica certificato CA e salvare il file nel disco locale.
-
Sul concentratore VPN 3000, selezionare Amministrazione > Gestione certificati, quindi fare clic su Fare clic qui per installare un certificato e Installare un certificato CA.
-
Fare clic su Upload File from Workstation.
-
Fare clic su Sfoglia e selezionare il file del certificato CA appena scaricato.
-
Evidenziare il nome del file e fare clic su Installa.
Ottenere un certificato di identità per VPN 3000 Concentrator
Completare questi passaggi per ottenere un certificato di identità per VPN 3000 Concentrator:
-
Selezionare ConfAdministration > Certificate Management > Enroll > Identity Certificate, quindi fare clic su Enroll via PKCS10 Request (Manual). Compilare il modulo come mostrato di seguito e fare clic su Registra.
Viene visualizzata una finestra del browser con la richiesta di certificato. Deve contenere testo simile a questo output:
-----BEGIN NEW CERTIFICATE REQUEST----- MIIBPDCB5wIBADBQMRUwEwYDVQQDEwx2cG4zMDAwLW5hbWUxDDAKBgNVBAsTA3Nu czEOMAwGA1UEChMFY2lzY28xDDAKBgNVBAcTA2J4bDELMAkGA1UEBhMCYmUwWjAN BgkqhkiG9w0BAQEFAANJADBGAkEAx7K+pvE004qILNNw3kPVWXrdlqZV4yeOIPdh C8/V5Yuqq5tMWY3L1W6DC0p256bvGqzd5fhqSkOhBVnNJ1Y/KQIBA6A0MDIGCSqG SIb3DQEJDjElMCMwIQYDVR0RBBowGIIWdnBuMzAwMC1uYW1lLmNpc2NvLmNvbTAN BgkqhkiG9w0BAQQFAANBABzcG3IKaWnDLFtrNf1QDi+D7w8dxPu74b/BRHn9fsKI X6+X0ed0EuEgm1/2nfj8Ux0nV5F/c5wukUfysMmJ/ak= -----END NEW CERTIFICATE REQUEST-----
-
Posizionare il browser sul server CA, selezionare Richiedi certificato, quindi fare clic su Avanti.
-
Selezionare Advanced Request, fare clic su Next, quindi selezionare Submit a certificate request using a base64 encoded PKCS #10 file or a RENEWATE REQUEST using a base64 encoded PKCS #7 file.
-
Fare clic su Next (Avanti). Tagliare e incollare il testo della richiesta di certificato visualizzato in precedenza nell'area di testo. Fare clic su Invia.
-
In base alla configurazione del server CA, è possibile fare clic su Scarica certificato CA. Oppure, non appena il certificato è stato rilasciato dalla CA, tornare al server CA e selezionare Controlla un certificato in sospeso.
-
Fare clic su Avanti, selezionare la richiesta e fare di nuovo clic su Avanti.
-
Fare clic su Scarica certificato CA e salvare il file sul disco locale.
-
Sul concentratore VPN 3000, selezionare Amministrazione > Gestione certificati > Installa e fare clic su Installa certificato ottenuto tramite registrazione.
La richiesta in sospeso verrà visualizzata con lo stato "In corso", come illustrato in questa immagine.
-
Fare clic su Installa, quindi su Carica file dalla workstation.
-
Fare clic su Sfoglia e selezionare il file contenente il certificato rilasciato dalla CA.
-
Evidenziare il nome del file e fare clic su Installa.
-
Selezionare Amministrazione > Gestione certificati. Verrà visualizzata una schermata simile all'immagine.
Configurare un pool per i client
Completare questa procedura per configurare un pool per i client:
-
Per assegnare un intervallo disponibile di indirizzi IP, puntare un browser all'interfaccia interna di VPN 3000 Concentrator e selezionare Configurazione > Sistema > Gestione indirizzi > Pool > Aggiungi.
-
Specificare un intervallo di indirizzi IP che non sia in conflitto con altri dispositivi nella rete interna e fare clic su Aggiungi.
-
Per indicare a VPN 3000 Concentrator di utilizzare il pool, selezionare Configurazione > Sistema > Gestione indirizzi > Assegnazione, selezionare la casella Usa pool di indirizzi e fare clic su Applica, come in questa immagine.
Configurare una proposta IKE
Per configurare una proposta IKE, completare i seguenti passaggi:
-
Selezionare Configurazione > Sistema > Protocolli di tunneling > IPSec > Proposte IKE, fare clic su Aggiungi e selezionare i parametri, come mostrato nell'immagine.
-
Fare clic su Aggiungi, evidenziare la nuova proposta nella colonna di destra e fare clic su Attiva.
Configurazione dell'associazione di protezione
Completare questa procedura per configurare l'associazione di sicurezza (SA):
-
Selezionare Configurazione > Gestione delle policy > Gestione del traffico > SA e fare clic su ESP-L2TP-TRANSPORT.
Se l'associazione di protezione non è disponibile o viene utilizzata per altri scopi, crearne una nuova simile a questa. Sono accettabili impostazioni diverse per l'associazione di protezione. Modificare questo parametro in base ai criteri di protezione.
-
Selezionare il certificato digitale configurato in precedenza nel menu a discesa Certificato digitale. Selezionare la proposta IKE (Internet Key Exchange) IKE-for-win2k.
Nota: non è obbligatorio. Quando il client L2TP/IPSec si connette al concentratore VPN, tutte le proposte IKE configurate nella colonna attiva della pagina Configurazione > Sistema > Protocolli di tunneling > IPSec > Proposte IKE vengono tentate in ordine.
L'immagine mostra la configurazione necessaria per l'associazione di protezione:
Configurare il gruppo e l'utente
Completare questa procedura per configurare il gruppo e l'utente:
-
Selezionare Configurazione > Gestione utente > Gruppo base.
-
Nella scheda General (Generale), verificare che L2TP over IPSec sia selezionato.
-
Nella scheda IPSec, selezionare la scheda ESP-L2TP-TRANSPORT SA.
-
Nella scheda PPTP/L2TP, deselezionare tutte le opzioni di crittografia L2TP.
-
Selezionare Configurazione > Gestione utente > Utenti e fare clic su Aggiungi.
-
Immettere il nome e la password utilizzati per la connessione dal client Windows 2000. Assicurarsi di selezionare Gruppo base in Selezione gruppo.
-
Nella scheda General (Generale), controllare il protocollo di tunneling L2TP over IPSec.
-
Nella scheda IPSec, selezionare la scheda ESP-L2TP-TRANSPORT SA.
-
Nella scheda PPTP/L2TP, deselezionare tutte le opzioni di crittografia L2TP, quindi fare clic su Aggiungi.
È ora possibile connettersi con l'aiuto del client L2TP/IPSec Windows 2000.
Nota: si è scelto di configurare il gruppo di base per accettare la connessione L2TP/IPSec remota. È inoltre possibile configurare un gruppo che corrisponda al campo Unità organizzativa (OU, Organization Unit) dell'associazione di sicurezza per accettare la connessione in ingresso. La configurazione è identica.
Informazioni di debug
269 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3868 10.48.66.76
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 2
Cfg'd: Oakley Group 7
271 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3869 10.48.66.76
Phase 1 failure against global IKE proposal # 16:
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 2
Cfg'd: Oakley Group 1
274 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3870 10.48.66.76
Proposal # 1, Transform # 2, Type ISAKMP, Id IKE
Parsing received transform:
Phase 1 failure against global IKE proposal # 1:
Mismatched attr types for class Encryption Alg:
Rcv'd: DES-CBC
Cfg'd: Triple-DES
279 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3871 10.48.66.76
Phase 1 failure against global IKE proposal # 2:
Mismatched attr types for class Encryption Alg:
Rcv'd: DES-CBC
Cfg'd: Triple-DES
282 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3872 10.48.66.76
Phase 1 failure against global IKE proposal # 3:
Mismatched attr types for class Encryption Alg:
Rcv'd: DES-CBC
Cfg'd: Triple-DES
285 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3873 10.48.66.76
Phase 1 failure against global IKE proposal # 4:
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 2
Cfg'd: Oakley Group 1
288 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3874 10.48.66.76
Phase 1 failure against global IKE proposal # 5:
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 2
Cfg'd: Oakley Group 1
291 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3875 10.48.66.76
Phase 1 failure against global IKE proposal # 6:
Mismatched attr types for class Encryption Alg:
Rcv'd: DES-CBC
Cfg'd: Triple-DES
294 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3876 10.48.66.76
Phase 1 failure against global IKE proposal # 7:
Mismatched attr types for class Encryption Alg:
Rcv'd: DES-CBC
Cfg'd: Triple-DES
297 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3877 10.48.66.76
Phase 1 failure against global IKE proposal # 8:
Mismatched attr types for class Encryption Alg:
Rcv'd: DES-CBC
Cfg'd: Triple-DES
300 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3878 10.48.66.76
Phase 1 failure against global IKE proposal # 9:
Mismatched attr types for class Encryption Alg:
Rcv'd: DES-CBC
Cfg'd: Triple-DES
303 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3879 10.48.66.76
Phase 1 failure against global IKE proposal # 10:
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 2
Cfg'd: Oakley Group 1
306 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3880 10.48.66.76
Phase 1 failure against global IKE proposal # 11:
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 2
Cfg'd: Oakley Group 1
309 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3881 10.48.66.76
Phase 1 failure against global IKE proposal # 12:
Mismatched attr types for class Encryption Alg:
Rcv'd: DES-CBC
Cfg'd: Triple-DES
312 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3882 10.48.66.76
Phase 1 failure against global IKE proposal # 13:
Mismatched attr types for class Encryption Alg:
Rcv'd: DES-CBC
Cfg'd: Triple-DES
315 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3883 10.48.66.76
Phase 1 failure against global IKE proposal # 14:
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 2
Cfg'd: Oakley Group 1
318 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3884 10.48.66.76
Phase 1 failure against global IKE proposal # 15:
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 2
Cfg'd: Oakley Group 7
321 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3885 10.48.66.76
Phase 1 failure against global IKE proposal # 16:
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 2
Cfg'd: Oakley Group 1
324 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3886 10.48.66.76
Proposal # 1, Transform # 3, Type ISAKMP, Id IKE
Parsing received transform:
Phase 1 failure against global IKE proposal # 1:
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 1
Cfg'd: Oakley Group 2
329 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3887 10.48.66.76
Phase 1 failure against global IKE proposal # 2:
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 1
Cfg'd: Oakley Group 2
332 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3888 10.48.66.76
Phase 1 failure against global IKE proposal # 3:
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 1
Cfg'd: Oakley Group 2
335 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3889 10.48.66.76
Phase 1 failure against global IKE proposal # 4:
Mismatched attr types for class Encryption Alg:
Rcv'd: DES-CBC
Cfg'd: Triple-DES
338 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3890 10.48.66.76
Phase 1 failure against global IKE proposal # 5:
Mismatched attr types for class Encryption Alg:
Rcv'd: DES-CBC
Cfg'd: Triple-DES
341 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3891 10.48.66.76
Phase 1 failure against global IKE proposal # 6:
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 1
Cfg'd: Oakley Group 2
344 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3892 10.48.66.76
Phase 1 failure against global IKE proposal # 7:
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 1
Cfg'd: Oakley Group 2
347 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3893 10.48.66.76
Phase 1 failure against global IKE proposal # 8:
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 1
Cfg'd: Oakley Group 2
350 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3894 10.48.66.76
Phase 1 failure against global IKE proposal # 9:
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 1
Cfg'd: Oakley Group 2
353 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3895 10.48.66.76
Phase 1 failure against global IKE proposal # 10:
Mismatched attr types for class Encryption Alg:
Rcv'd: DES-CBC
Cfg'd: Triple-DES
356 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3896 10.48.66.76
Phase 1 failure against global IKE proposal # 11:
Mismatched attr types for class Hash Alg:
Rcv'd: SHA
Cfg'd: MD5
358 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3897 10.48.66.76
Phase 1 failure against global IKE proposal # 12:
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 1
Cfg'd: Oakley Group 2
361 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3898 10.48.66.76
Phase 1 failure against global IKE proposal # 13:
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 1
Cfg'd: Oakley Group 2
364 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3899 10.48.66.76
Phase 1 failure against global IKE proposal # 14:
Mismatched attr types for class Encryption Alg:
Rcv'd: DES-CBC
Cfg'd: Triple-DES
367 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3900 10.48.66.76
Phase 1 failure against global IKE proposal # 15:
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 1
Cfg'd: Oakley Group 7
370 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3901 10.48.66.76
Phase 1 failure against global IKE proposal # 16:
Mismatched attr types for class Hash Alg:
Rcv'd: SHA
Cfg'd: MD5
372 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3902 10.48.66.76
Proposal # 1, Transform # 4, Type ISAKMP, Id IKE
Parsing received transform:
Phase 1 failure against global IKE proposal # 1:
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 1
Cfg'd: Oakley Group 2
377 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3903 10.48.66.76
Phase 1 failure against global IKE proposal # 2:
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 1
Cfg'd: Oakley Group 2
380 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3904 10.48.66.76
Phase 1 failure against global IKE proposal # 3:
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 1
Cfg'd: Oakley Group 2
383 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3905 10.48.66.76
Phase 1 failure against global IKE proposal # 4:
Mismatched attr types for class Encryption Alg:
Rcv'd: DES-CBC
Cfg'd: Triple-DES
386 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3906 10.48.66.76
Phase 1 failure against global IKE proposal # 5:
Mismatched attr types for class Encryption Alg:
Rcv'd: DES-CBC
Cfg'd: Triple-DES
389 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3907 10.48.66.76
Phase 1 failure against global IKE proposal # 6:
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 1
Cfg'd: Oakley Group 2
392 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3908 10.48.66.76
Phase 1 failure against global IKE proposal # 7:
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 1
Cfg'd: Oakley Group 2
395 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3909 10.48.66.76
Phase 1 failure against global IKE proposal # 8:
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 1
Cfg'd: Oakley Group 2
398 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3910 10.48.66.76
Phase 1 failure against global IKE proposal # 9:
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 1
Cfg'd: Oakley Group 2
401 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3911 10.48.66.76
Phase 1 failure against global IKE proposal # 10:
Mismatched attr types for class Encryption Alg:
Rcv'd: DES-CBC
Cfg'd: Triple-DES
404 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3912 10.48.66.76
Phase 1 failure against global IKE proposal # 11:
Mismatched attr types for class Auth Method:
Rcv'd: RSA signature with Certificates
Cfg'd: Preshared Key
407 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3913 10.48.66.76
Phase 1 failure against global IKE proposal # 12:
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 1
Cfg'd: Oakley Group 2
410 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3914 10.48.66.76
Phase 1 failure against global IKE proposal # 13:
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 1
Cfg'd: Oakley Group 2
413 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3915 10.48.66.76
Phase 1 failure against global IKE proposal # 14:
Mismatched attr types for class Encryption Alg:
Rcv'd: DES-CBC
Cfg'd: Triple-DES
416 02/15/2002 12:47:24.430 SEV=8 IKEDBG/0 RPT=3916 10.48.66.76
Phase 1 failure against global IKE proposal # 15:
Mismatched attr types for class DH Group:
Rcv'd: Oakley Group 1
Cfg'd: Oakley Group 7
419 02/15/2002 12:47:24.430 SEV=7 IKEDBG/28 RPT=20 10.48.66.76
IKE SA Proposal # 1, Transform # 4 acceptable
Matches global IKE entry # 16
420 02/15/2002 12:47:24.440 SEV=9 IKEDBG/0 RPT=3917 10.48.66.76
constructing ISA_SA for isakmp
421 02/15/2002 12:47:24.490 SEV=8 IKEDBG/0 RPT=3918 10.48.66.76
SENDING Message (msgid=0) with payloads :
HDR + SA (1) + NONE (0) ... total length : 80
423 02/15/2002 12:47:24.540 SEV=8 IKEDBG/0 RPT=3919 10.48.66.76
RECEIVED Message (msgid=0) with payloads :
HDR + KE (4) + NONCE (10) + NONE (0) ... total length : 152
425 02/15/2002 12:47:24.540 SEV=8 IKEDBG/0 RPT=3920 10.48.66.76
RECEIVED Message (msgid=0) with payloads :
HDR + KE (4) + NONCE (10) + NONE (0) ... total length : 152
427 02/15/2002 12:47:24.540 SEV=9 IKEDBG/0 RPT=3921 10.48.66.76
processing ke payload
428 02/15/2002 12:47:24.540 SEV=9 IKEDBG/0 RPT=3922 10.48.66.76
processing ISA_KE
429 02/15/2002 12:47:24.540 SEV=9 IKEDBG/1 RPT=104 10.48.66.76
processing nonce payload
430 02/15/2002 12:47:24.600 SEV=9 IKEDBG/0 RPT=3923 10.48.66.76
constructing ke payload
431 02/15/2002 12:47:24.600 SEV=9 IKEDBG/1 RPT=105 10.48.66.76
constructing nonce payload
432 02/15/2002 12:47:24.600 SEV=9 IKEDBG/0 RPT=3924 10.48.66.76
constructing certreq payload
433 02/15/2002 12:47:24.600 SEV=9 IKEDBG/0 RPT=3925 10.48.66.76
Using initiator's certreq payload data
434 02/15/2002 12:47:24.600 SEV=9 IKEDBG/46 RPT=61 10.48.66.76
constructing Cisco Unity VID payload
435 02/15/2002 12:47:24.600 SEV=9 IKEDBG/46 RPT=62 10.48.66.76
constructing xauth V6 VID payload
436 02/15/2002 12:47:24.600 SEV=9 IKEDBG/48 RPT=39 10.48.66.76
Send IOS VID
437 02/15/2002 12:47:24.600 SEV=9 IKEDBG/38 RPT=20 10.48.66.76
Constructing VPN 3000 spoofing IOS Vendor ID payload
(version: 1.0.0, capabilities: 20000001)
439 02/15/2002 12:47:24.600 SEV=9 IKEDBG/46 RPT=63 10.48.66.76
constructing VID payload
440 02/15/2002 12:47:24.600 SEV=9 IKEDBG/48 RPT=40 10.48.66.76
Send Altiga GW VID
441 02/15/2002 12:47:24.600 SEV=9 IKEDBG/0 RPT=3926 10.48.66.76
Generating keys for Responder...
442 02/15/2002 12:47:24.610 SEV=8 IKEDBG/0 RPT=3927 10.48.66.76
SENDING Message (msgid=0) with payloads :
HDR + KE (4) + NONCE (10) + CERT_REQ (7) + VENDOR (13) + VENDOR (13)
+ VENDOR (13) + VENDOR (13) + NONE (0) ... total length : 229
445 02/15/2002 12:47:24.640 SEV=8 IKEDBG/0 RPT=3928 10.48.66.76
RECEIVED Message (msgid=0) with payloads :
HDR + ID (5) + CERT (6) + SIG (9) + CERT_REQ (7) + NONE (0)
... total length : 1186
448 02/15/2002 12:47:24.640 SEV=9 IKEDBG/1 RPT=106 10.48.66.76
Processing ID
449 02/15/2002 12:47:24.640 SEV=9 IKEDBG/0 RPT=3929 10.48.66.76
processing cert payload
450 02/15/2002 12:47:24.640 SEV=9 IKEDBG/1 RPT=107 10.48.66.76
processing RSA signature
451 02/15/2002 12:47:24.640 SEV=9 IKEDBG/0 RPT=3930 10.48.66.76
computing hash
452 02/15/2002 12:47:24.650 SEV=9 IKEDBG/0 RPT=3931 10.48.66.76
processing cert request payload
453 02/15/2002 12:47:24.650 SEV=9 IKEDBG/0 RPT=3932 10.48.66.76
Storing cert request payload for use in MM msg 4
454 02/15/2002 12:47:24.650 SEV=9 IKEDBG/23 RPT=20 10.48.66.76
Starting group lookup for peer 10.48.66.76
455 02/15/2002 12:47:24.650 SEV=9 IKE/21 RPT=12 10.48.66.76
No Group found by matching IP Address of Cert peer 10.48.66.76
456 02/15/2002 12:47:24.650 SEV=9 IKE/20 RPT=12 10.48.66.76
No Group found by matching OU(s) from ID payload:
ou=sns,
457 02/15/2002 12:47:24.650 SEV=9 IKE/0 RPT=12 10.48.66.76
Group [VPNC_Base_Group]
No Group name for IKE Cert session, defaulting to BASE GROUP
459 02/15/2002 12:47:24.750 SEV=7 IKEDBG/0 RPT=3933 10.48.66.76
Group [VPNC_Base_Group]
Found Phase 1 Group (VPNC_Base_Group)
460 02/15/2002 12:47:24.750 SEV=7 IKEDBG/14 RPT=20 10.48.66.76
Group [VPNC_Base_Group]
Authentication configured for Internal
461 02/15/2002 12:47:24.750 SEV=9 IKEDBG/19 RPT=20 10.48.66.76
Group [VPNC_Base_Group]
IKEGetUserAttributes: default domain = fenetwork.com
462 02/15/2002 12:47:24.770 SEV=5 IKE/79 RPT=4 10.48.66.76
Group [VPNC_Base_Group]
Validation of certificate successful
(CN=my_name, SN=6102861F000000000005)
464 02/15/2002 12:47:24.770 SEV=7 IKEDBG/0 RPT=3934 10.48.66.76
Group [VPNC_Base_Group]
peer ID type 9 received (DER_ASN1_DN)
465 02/15/2002 12:47:24.770 SEV=9 IKEDBG/1 RPT=108 10.48.66.76
Group [VPNC_Base_Group]
constructing ID
466 02/15/2002 12:47:24.770 SEV=9 IKEDBG/0 RPT=3935 10.48.66.76
Group [VPNC_Base_Group]
constructing cert payload
467 02/15/2002 12:47:24.770 SEV=9 IKEDBG/1 RPT=109 10.48.66.76
Group [VPNC_Base_Group]
constructing RSA signature
468 02/15/2002 12:47:24.770 SEV=9 IKEDBG/0 RPT=3936 10.48.66.76
Group [VPNC_Base_Group]
computing hash
469 02/15/2002 12:47:24.800 SEV=9 IKEDBG/46 RPT=64 10.48.66.76
Group [VPNC_Base_Group]
constructing dpd vid payload
470 02/15/2002 12:47:24.800 SEV=8 IKEDBG/0 RPT=3937 10.48.66.76
SENDING Message (msgid=0) with payloads :
HDR + ID (5) + CERT (6) + SIG (9) + VENDOR (13) + NONE (0)
... total length : 1112
473 02/15/2002 12:47:24.800 SEV=4 IKE/119 RPT=4 10.48.66.76
Group [VPNC_Base_Group]
PHASE 1 COMPLETED
474 02/15/2002 12:47:24.800 SEV=6 IKE/121 RPT=4 10.48.66.76
Keep-alive type for this connection: None
475 02/15/2002 12:47:24.800 SEV=6 IKE/122 RPT=4 10.48.66.76
Keep-alives configured on but peer does not support keep-alives (type = None)
476 02/15/2002 12:47:24.800 SEV=7 IKEDBG/0 RPT=3938 10.48.66.76
Group [VPNC_Base_Group]
Starting phase 1 rekey timer: 21600000 (ms)
477 02/15/2002 12:47:24.810 SEV=8 IKEDBG/0 RPT=3939 10.48.66.76
RECEIVED Message (msgid=781ceadc) with payloads :
HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NONE (0)
... total length : 1108
480 02/15/2002 12:47:24.810 SEV=9 IKEDBG/0 RPT=3940 10.48.66.76
Group [VPNC_Base_Group]
processing hash
481 02/15/2002 12:47:24.810 SEV=9 IKEDBG/0 RPT=3941 10.48.66.76
Group [VPNC_Base_Group]
processing SA payload
482 02/15/2002 12:47:24.810 SEV=9 IKEDBG/1 RPT=110 10.48.66.76
Group [VPNC_Base_Group]
processing nonce payload
483 02/15/2002 12:47:24.810 SEV=9 IKEDBG/1 RPT=111 10.48.66.76
Group [VPNC_Base_Group]
Processing ID
484 02/15/2002 12:47:24.810 SEV=5 IKE/25 RPT=4 10.48.66.76
Group [VPNC_Base_Group]
Received remote Proxy Host data in ID Payload:
Address 10.48.66.76, Protocol 17, Port 1701
487 02/15/2002 12:47:24.810 SEV=9 IKEDBG/1 RPT=112 10.48.66.76
Group [VPNC_Base_Group]
Processing ID
488 02/15/2002 12:47:24.810 SEV=5 IKE/24 RPT=4 10.48.66.76
Group [VPNC_Base_Group]
Received local Proxy Host data in ID Payload:
Address 10.48.66.109, Protocol 17, Port 0
491 02/15/2002 12:47:24.810 SEV=8 IKEDBG/0 RPT=3942
QM IsRekeyed old sa not found by addr
492 02/15/2002 12:47:24.810 SEV=5 IKE/66 RPT=4 10.48.66.76
Group [VPNC_Base_Group]
IKE Remote Peer configured for SA: ESP-L2TP-TRANSPORT
493 02/15/2002 12:47:24.810 SEV=9 IKEDBG/0 RPT=3943 10.48.66.76
Group [VPNC_Base_Group]
processing IPSEC SA
494 02/15/2002 12:47:24.810 SEV=7 IKEDBG/27 RPT=4 10.48.66.76
Group [VPNC_Base_Group]
IPSec SA Proposal # 1, Transform # 1 acceptable
495 02/15/2002 12:47:24.810 SEV=7 IKEDBG/0 RPT=3944 10.48.66.76
Group [VPNC_Base_Group]
IKE: requesting SPI!
496 02/15/2002 12:47:24.810 SEV=8 IKEDBG/6 RPT=4
IKE got SPI from key engine: SPI = 0x10d19e33
497 02/15/2002 12:47:24.810 SEV=9 IKEDBG/0 RPT=3945 10.48.66.76
Group [VPNC_Base_Group]
oakley constucting quick mode
498 02/15/2002 12:47:24.810 SEV=9 IKEDBG/0 RPT=3946 10.48.66.76
Group [VPNC_Base_Group]
constructing blank hash
499 02/15/2002 12:47:24.820 SEV=9 IKEDBG/0 RPT=3947 10.48.66.76
Group [VPNC_Base_Group]
constructing ISA_SA for ipsec
500 02/15/2002 12:47:24.820 SEV=9 IKEDBG/1 RPT=113 10.48.66.76
Group [VPNC_Base_Group]
constructing ipsec nonce payload
501 02/15/2002 12:47:24.820 SEV=9 IKEDBG/1 RPT=114 10.48.66.76
Group [VPNC_Base_Group]
constructing proxy ID
502 02/15/2002 12:47:24.820 SEV=7 IKEDBG/0 RPT=3948 10.48.66.76
Group [VPNC_Base_Group]
Transmitting Proxy Id:
Remote host: 10.48.66.76 Protocol 17 Port 1701
Local host: 10.48.66.109 Protocol 17 Port 0
506 02/15/2002 12:47:24.820 SEV=9 IKEDBG/0 RPT=3949 10.48.66.76
Group [VPNC_Base_Group]
constructing qm hash
507 02/15/2002 12:47:24.820 SEV=8 IKEDBG/0 RPT=3950 10.48.66.76
SENDING Message (msgid=781ceadc) with payloads :
HDR + HASH (8) + SA (1) + NONCE (10) + ID (5) + ID (5) + NONE (0)
... total length : 156
510 02/15/2002 12:47:24.820 SEV=8 IKEDBG/0 RPT=3951 10.48.66.76
RECEIVED Message (msgid=781ceadc) with payloads :
HDR + HASH (8) + NONE (0) ... total length : 48
512 02/15/2002 12:47:24.830 SEV=9 IKEDBG/0 RPT=3952 10.48.66.76
Group [VPNC_Base_Group]
processing hash
513 02/15/2002 12:47:24.830 SEV=9 IKEDBG/0 RPT=3953 10.48.66.76
Group [VPNC_Base_Group]
loading all IPSEC SAs
514 02/15/2002 12:47:24.830 SEV=9 IKEDBG/1 RPT=115 10.48.66.76
Group [VPNC_Base_Group]
Generating Quick Mode Key!
515 02/15/2002 12:47:24.830 SEV=9 IKEDBG/1 RPT=116 10.48.66.76
Group [VPNC_Base_Group]
Generating Quick Mode Key!
516 02/15/2002 12:47:24.830 SEV=7 IKEDBG/0 RPT=3954 10.48.66.76
Group [VPNC_Base_Group]
Loading host:
Dst: 10.48.66.109
Src: 10.48.66.76
517 02/15/2002 12:47:24.830 SEV=4 IKE/49 RPT=4 10.48.66.76
Group [VPNC_Base_Group]
Security negotiation complete for User ()
Responder, Inbound SPI = 0x10d19e33, Outbound SPI = 0x15895ab9
520 02/15/2002 12:47:24.830 SEV=8 IKEDBG/7 RPT=4
IKE got a KEY_ADD msg for SA: SPI = 0x15895ab9
521 02/15/2002 12:47:24.830 SEV=8 IKEDBG/0 RPT=3955
pitcher: rcv KEY_UPDATE, spi 0x10d19e33
522 02/15/2002 12:47:24.830 SEV=4 IKE/120 RPT=4 10.48.66.76
Group [VPNC_Base_Group]
PHASE 2 COMPLETED (msgid=781ceadc)
523 02/15/2002 12:47:24.840 SEV=8 IKEDBG/0 RPT=3956
pitcher: recv KEY_SA_ACTIVE spi 0x10d19e33
524 02/15/2002 12:47:24.840 SEV=8 IKEDBG/0 RPT=3957
KEY_SA_ACTIVE no old rekey centry found with new spi 0x10d19e33, mess_id 0x0
Informazioni sulla risoluzione dei problemi
In questa sezione vengono illustrati alcuni problemi comuni e i relativi metodi di risoluzione.
-
Impossibile avviare il server.
È molto probabile che il servizio IPSec non sia stato avviato. Selezionare Start > Programmi > Strumenti di amministrazione > Servizio e verificare che il servizio IPSec sia abilitato.
-
Errore 786: Nessun certificato computer valido.
-
Questo errore indica un problema con il certificato nel computer locale. Per esaminare facilmente il certificato, selezionare Start > Esegui ed eseguire MMC. Fare clic su Console e scegliere Aggiungi/Rimuovi snap-in. Fare clic su Add (Aggiungi) e selezionare Certificate (Certificato) dall'elenco. Quando viene visualizzata una finestra in cui viene richiesto l'ambito del certificato, scegliere Account computer.
A questo punto è possibile verificare che il certificato del server CA si trovi nelle Autorità di certificazione radice attendibili. È inoltre possibile verificare di disporre di un certificato selezionando Directory principale della console > Certificato (computer locale) > Personale > Certificati, come illustrato in questa immagine.
-
Fare clic sul certificato. Verificare che tutto sia corretto. In questo esempio è presente una chiave privata associata al certificato. Il certificato è scaduto. Questa è la causa del problema.
-
-
Errore 792: Timeout della negoziazione di sicurezza.
Questo messaggio viene visualizzato dopo un lungo periodo.
Attivare i relativi debug come spiegato nelle domande frequenti su Cisco VPN 3000 Concentrator. Leggete attraverso di loro. È necessario visualizzare un risultato simile a questo:
9337 02/15/2002 15:06:13.500 SEV=8 IKEDBG/0 RPT=7002 10.48.66.76 Phase 1 failure against global IKE proposal # 6: Mismatched attr types for class DH Group: Rcv'd: Oakley Group 1 Cfg'd: Oakley Group 2 9340 02/15/2002 15:06:13.510 SEV=8 IKEDBG/0 RPT=7003 10.48.66.76 Phase 1 failure against global IKE proposal # 7: Mismatched attr types for class Auth Method: Rcv'd: RSA signature with Certificates Cfg'd: Preshared Key 9343 02/15/2002 15:06:13.510 SEV=8 IKEDBG/0 RPT=7004 10.48.66.76 Phase 1 failure against global IKE proposal # 8: Mismatched attr types for class DH Group: Rcv'd: Oakley Group 1 Cfg'd: Oakley Group 7 9346 02/15/2002 15:06:13.510 SEV=7 IKEDBG/0 RPT=7005 10.48.66.76 All SA proposals found unacceptable 9347 02/15/2002 15:06:13.510 SEV=4 IKE/48 RPT=37 10.48.66.76 Error processing payload: Payload ID: 1 9348 02/15/2002 15:06:13.510 SEV=9 IKEDBG/0 RPT=7006 10.48.66.76 IKE SA MM:261e40dd terminating: flags 0x01000002, refcnt 0, tuncnt 0 9349 02/15/2002 15:06:13.510 SEV=9 IKEDBG/0 RPT=7007 sending delete messageCiò indica che la proposta IKE non è stata configurata correttamente. Verificare le informazioni nella sezione Configurazione di una proposta IKE di questo documento.
-
Errore 789: Il livello di protezione rileva un errore di elaborazione.
Attivare i relativi debug come spiegato nelle domande frequenti su Cisco VPN 3000 Concentrator. Leggete attraverso di loro. È necessario visualizzare un risultato simile a questo:
11315 02/15/2002 15:36:32.030 SEV=8 IKEDBG/0 RPT=7686 Proposal # 1, Transform # 2, Type ESP, Id DES-CBC Parsing received transform: Phase 2 failure: Mismatched attr types for class Encapsulation: Rcv'd: Transport Cfg'd: Tunnel 11320 02/15/2002 15:36:32.030 SEV=5 IKEDBG/0 RPT=7687 AH proposal not supported 11321 02/15/2002 15:36:32.030 SEV=4 IKE/0 RPT=27 10.48.66.76 Group [VPNC_Base_Group] All IPSec SA proposals found unacceptable! -
Versione utilizzata
Selezionare Monitoraggio > Stato sistema per visualizzare questo output:
VPN Concentrator Type: 3005 Bootcode Rev: Altiga Networks/VPN Concentrator Version 2.2.int_9 Jan 19 2000 05:36:41 Software Rev: Cisco Systems, Inc./VPN 3000 Concentrator Version 3.5.Rel Nov 27 2001 13:35:16 Up For: 44:39:48 Up Since: 02/13/2002 15:49:59 RAM Size: 32 MB
Informazioni correlate
Cronologia delle revisioni
| Revisione | Data di pubblicazione | Commenti |
|---|---|---|
1.0 |
19-Jan-2006 |
Versione iniziale |
Feedback