ASA IKEv2 Debugs voor Remote Access VPN-probleemoplossing

Downloadopties

PDF (348.8 KB)
Met Adobe Reader op diverse apparaten bekijken
ePub (105.2 KB)
Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
Mobi (Kindle) (117.8 KB)
Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken

Bijgewerkt:9 oktober 2013

Document-id:116158

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inhoud

Inleiding

Voorwaarden

Vereisten

Gebruikte componenten

Belangrijkste probleem

Scenario

Opdrachten voor debugging

ASA-configuratie

XML-bestand

Debug logbestanden en beschrijvingen

Tunnelverificatie

AnyConnect

ISAKMP

IPSEC

Gerelateerde informatie

Inleiding

Dit document beschrijft hoe u debugs in de Cisco adaptieve security applicatie (ASA) kunt begrijpen wanneer Internet Key Exchange versie 2 (IKEv2) wordt gebruikt met een Cisco AnyConnect Secure Mobility Client. Dit document bevat ook informatie over de manier waarop bepaalde debug-regels in een ASA-configuratie moeten worden vertaald.

Dit document beschrijft niet hoe verkeer moet worden doorgegeven nadat een VPN-tunnel tot stand is gebracht naar de ASA, noch bevat het basisconcepten van IPSec of IKE.

Voorwaarden

Vereisten

Cisco raadt u aan kennis te hebben van de pakketuitwisseling voor IKEv2. Raadpleeg IKEv2 Packet Exchange en Protocolniveau debuggen voor meer informatie.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

Internet Key Exchange, versie 2 (IKEv2)
Cisco adaptieve security applicatie (ASA) versie 8.4 of hoger

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Belangrijkste probleem

Het Cisco Technical Assistance Center (TAC) maakt vaak gebruik van IKE- en IPSec-debugopdrachten om te begrijpen waar er een probleem is met de installatie van IPSec VPN-tunnels, maar de opdrachten kunnen cryptisch zijn.

Scenario

Opdrachten voor debugging

debug crypto ikev2 protocol 127
debug crypto ikev2 platform 127
debug aggregate-auth xml 5

ASA-configuratie

Deze ASA configuratie is strikt basic, zonder gebruik van externe servers.

interface Ethernet0/1
 nameif outside
 security-level 0
 ip address 10.0.0.1 255.255.255.0

ip local pool webvpn1 10.2.2.1-10.2.2.10

crypto ipsec ikev2 ipsec-proposal 3des
 protocol esp encryption aes-256 aes 3des des
 protocol esp integrity sha-1
crypto dynamic-map dynmap 1000 set ikev2 ipsec-proposal 3des
crypto map crymap 10000 ipsec-isakmp dynamic dynmap
crypto map crymap interface outside

crypto ca trustpoint Anu-ikev2
 enrollment self
 crl configure

crypto ikev2 policy 10
 encryption aes-192
 integrity sha
 group 2
 prf sha
 lifetime seconds 86400

crypto ikev2 enable outside client-services port 443
crypto ikev2 remote-access trustpoint Anu-ikev2
ssl encryption 3des-sha1 aes128-sha1 aes256-sha1 des-sha1
ssl trust-point Anu-ikev2 outside

webvpn
 enable outside
 anyconnect image disk0:/anyconnect-win-3.0.1047-k9.pkg 1
 anyconnect profiles Anyconnect-ikev2 disk0:/anyconnect-ikev2.xml
 anyconnect enable
 tunnel-group-list enable

group-policy ASA-IKEV2 internal
group-policy ASA-IKEV2 attributes
 wins-server none
 dns-server none
 vpn-tunnel-protocol ikev2 
 default-domain none
 webvpn
  anyconnect modules value dart
  anyconnect profiles value Anyconnect-ikev2 type user

username Anu password lAuoFgF7KmB3D0WI encrypted privilege 15

tunnel-group ASA-IKEV2 type remote-access
tunnel-group ASA-IKEV2 general-attributes
 address-pool webvpn1
 default-group-policy ASA-IKEV2
tunnel-group ASA-IKEV2 webvpn-attributes
 group-alias ASA-IKEV2 enable

XML-bestand

<ServerList>
        <HostEntry>
                <HostName>Anu-IKEV2</HostName>
                <HostAddress>10.0.0.1</HostAddress>
                <UserGroup>ASA-IKEV2</UserGroup>
                <PrimaryProtocol>IPsec</PrimaryProtocol>
        </HostEntry>
</ServerList>

Opmerking: de gebruikersnaam in het XML-clientprofiel moet dezelfde zijn als de naam van de tunnelgroep op de ASA. Anders, de foutmelding 'Ongeldige Host Entry. Voer 'opnieuw in' is te zien op de AnyConnect-client.

Debug logbestanden en beschrijvingen

Opmerking: Logs uit de Diagnostics and Reporting Tool (DART) zijn over het algemeen erg tactisch, dus bepaalde DART-logbestanden zijn in dit voorbeeld weggelaten vanwege onbeduidendheid.

Beschrijving van serverbericht	Debugs		Beschrijving clientbericht
	Datum : 23-04-2013 Tijd: 16:24:55 Type : Informatie Bron: acvpnui Beschrijving: Functie: ClientIfcBase::connect Bestand: .\ClientIfcBase.cpp Lijn: 964 De gebruiker heeft gevraagd om een VPN-verbinding met Anu-IKEV2. ************************************** Datum : 23-04-2013 Tijd: 16:24:55 Type : Informatie Bron: acvpnui Beschrijving : Aan de gebruiker verzonden informatie over het soort bericht: Contact opnemen met Anu-IKEV2. ************************************ Datum : 23-04-2013 Tijd: 16:24:55 Type : Informatie Bron: acvpnui Beschrijving: Functie: ApiCert::getCertList Bestand: .\apiCert.cpp Lijn: 259 Aantal gevonden certificaten: 0 ************************************ Datum : 23-04-2013 Tijd : 16:25:00 Type : Informatie Bron: acvpnui Beschrijving: Initiating VPN-verbinding naar de beveiligde gateway https://10.0.0.1/ASA-IKEV2 ************************************ Datum : 23-04-2013 Tijd : 16:25:00 Type : Informatie Bron: acvpnagent Beschrijving: Tunnel gestart door GUI-client. ************************************ Datum : 23-04-2013 Tijd : 16:25:02 Type : Informatie Bron: acvpnagent Beschrijving: Functie: CIPsec Protocol::connectTransport Bestand: .\IPsecProtocol.cpp Lijn: 1629 Geopende IKE-aansluiting van 192.168.1.1:25170 tot 10.0.0.1:500 **************************************		De client start de VPN-tunnel naar de ASA.
	---------------------------------IKE_SA_INIT Exchange start------------------------------
ASA ontvangt het IKE_SA_INIT bericht van de cliënt.	IKEv2-PLAT-4: RECV PKT [IKE_SA_INIT] [192.168.1.1]:25170->[10.0.0.1]:500 InitSPI=0x58aff71141ba436b RespSPI=0x0000000000000000 MID=00000000 IKEv2-PROTO-3: Rx [L 10.0.0.1:500/R 192.168.1.1:25170/VRF i0:f0] m_id: 0x0
Het eerste paar berichten is de IKE_SA_INIT uitwisseling. Deze berichten onderhandelen over cryptografische algoritmen, ruilen nonces uit en doen een Diffie-Hellman (DH) uitwisseling. Het IKE_SA_INIT bericht ontvangen van de client bevat de volgende velden: ISAKMP-header - SPI/versie/vlaggen. SAi1 - Cryptografisch algoritme dat IKE initiator ondersteunt. KEi - DH openbare sleutelwaarde van de initiator. N - Initiator Nonce.	IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r:0000000000000000] IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi: 0000000000000000 IKEv2-PROTO-4: Volgende payload: SA, versie: 2.0 IKEv2-PROTO-4: Exchange type: IKE_SA_INIT, vlaggen: INITIATOR IKEv2-PROTO-4: Berichtnummer: 0x0, lengte: 528 SA Volgende payload: KE, gereserveerd: 0x0, lengte: 168 IKEv2-PROTO-4: laatste voorstel: 0x0, gereserveerd: 0x0, lengte: 164 Voorstel: 1, Protocol id: IKE, grootte van SPI: 0, #trans: 18 IKEv2-PROTO-4: laatste transformatie: 0x3, gereserveerd: 0x0: lengte: 12 type: 1, gereserveerd: 0x0, id: AES-CBC IKEv2-PROTO-4: laatste transformatie: 0x3, gereserveerd: 0x0: lengte: 12 type: 1, gereserveerd: 0x0, id: AES-CBC IKEv2-PROTO-4: laatste transformatie: 0x3, gereserveerd: 0x0: lengte: 12 type: 1, gereserveerd: 0x0, id: AES-CBC IKEv2-PROTO-4: laatste transformatie: 0x3, gereserveerd: 0x0: lengte: 8 type: 1, gereserveerd: 0x0, id: 3DES IKEv2-PROTO-4: laatste transformatie: 0x3, gereserveerd: 0x0: lengte: 8 type: 1, gereserveerd: 0x0, id: DES IKEv2-PROTO-4: laatste transformatie: 0x3, gereserveerd: 0x0: lengte: 8 type: 2, gereserveerd: 0x0, id: SHA512 IKEv2-PROTO-4: laatste transformatie: 0x3, gereserveerd: 0x0: lengte: 8 type: 2, gereserveerd: 0x0, id: SHA384 IKEv2-PROTO-4: laatste transformatie: 0x3, gereserveerd: 0x0: lengte: 8 type: 2, gereserveerd: 0x0, id: SHA256 IKEv2-PROTO-4: laatste transformatie: 0x3, gereserveerd: 0x0: lengte: 8 type: 2, gereserveerd: 0x0, id: SHA1 IKEv2-PROTO-4: laatste transformatie: 0x3, gereserveerd: 0x0: lengte: 8 type: 2, gereserveerd: 0x0, id: MD5 IKEv2-PROTO-4: laatste transformatie: 0x3, gereserveerd: 0x0: lengte: 8 type: 3, gereserveerd: 0x0, id: SHA512 IKEv2-PROTO-4: laatste transformatie: 0x3, gereserveerd: 0x0: lengte: 8 type: 3, gereserveerd: 0x0, id: SHA384 IKEv2-PROTO-4: laatste transformatie: 0x3, gereserveerd: 0x0: lengte: 8 type: 3, gereserveerd: 0x0, id: SHA256 IKEv2-PROTO-4: laatste transformatie: 0x3, gereserveerd: 0x0: lengte: 8 type: 3, gereserveerd: 0x0, id: SHA96 IKEv2-PROTO-4: laatste transformatie: 0x3, gereserveerd: 0x0: lengte: 8 type: 3, gereserveerd: 0x0, id: MD596 IKEv2-PROTO-4: laatste transformatie: 0x3, gereserveerd: 0x0: lengte: 8 type: 4, gereserveerd: 0x0, id: DH_GROUP_1536_MODP/groep 5 IKEv2-PROTO-4: laatste transformatie: 0x3, gereserveerd: 0x0: lengte: 8 type: 4, gereserveerd: 0x0, id: DH_GROUP_1024_MODP/groep 2 IKEv2-PROTO-4: laatste transformatie: 0x0, gereserveerd: 0x0: lengte: 8 type: 4, gereserveerd: 0x0, id: DH_GROUP_768_MODP/Group 1 KE Volgende payload: N, gereserveerd: 0x0, lengte: 104 DH groep: 1, Gereserveerd: 0x0 reg 4a 54 b1 13 7c b8 89 f7 62 13 6b pdf 95 88 b5 97 ba 52 ef e4 1d 28 ca 06 d1 36 b6 67 32 9a c2 dd 4e d8 c7 80 de 20 36 34 c5 b3 3e 1d 83 1a c7 fb 9d b8 c5 f5 ed 5f ba ba 4f b6 b2 e2 2d 43 4f a0 b6 90 9a 11 3f 7d 0a 21 c3 4d d3 0a d2 1e 33 43 d3 5e cc 4b 38 e0 N Volgende payload: VID, gereserveerd: 0x0, lengte: 24 20 12 8f 22 7b 16 23 52 e4 29 4d 98 c7 fd a8 77 ce 7c 0b4 IKEv2-PROTO-5: Parse-leverancier-specifieke payload: Cisco-Delete-ratio VID Volgende payload: VID, gereserveerd: 0x0, lengte: 23
De ASA verifieert en verwerkt de IKE_INIT bericht. ASA: Kies de crypto suite van die welke door de initiatiefnemer worden aangeboden. Berekent zijn eigen DH geheime sleutel. Berekent een SKEYID-waarde van waarvoor alle sleutels kunnen worden afgeleid deze IKE_SA De kopregels van alle volgende berichten worden versleuteld en geverifieerd. Het de sleutels die voor de encryptie en integriteitsbescherming wordt afgeleid van SKEYID en zijn bekend als: SK_e - Versleuteling. SK_a - Verificatie. SK_d - Afgeleid en gebruikt voor de afleiding sleutelmateriaal voor CHILD_SA Een afzonderlijke SK_e en SK_a zijn berekend voor elke richting. Relevante configuratie: crypto ikev2 policy 10 encryption aes-192 integrity sha group 2 prf sha lifetime seconds 86400 crypto ikev2 enable outside	Gedecrypteerd pakket:Gegevens: 528 bytes IKEv2-PLAT-3: Aangepaste VID-payloads verwerken IKEv2-PLAT-3: Cisco Copyright VID ontvangen van peer IKEv2-PLAT-3: AnyConnect EAP VID ontvangen van peer IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: IDLE Event: EV_RECV_INIT IKEv2-PROTO-3: (6): Controleer NAT-detectie IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: IDLE Event: EV_CHK_REDIRECT IKEv2-PROTO-5: (6): Omleiding controle is niet nodig, overslaan IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: IDLE Event: EV_CHK_CAC IKEv2-PLAT-5: Nieuwe ikev2 als verzoek toegelaten IKEv2-PLAT-5: Het verhogen van inkomende onderhandelingen als teller door één IKEv2-PLAT-5: ONGELDIGE PSH-HANDLE IKEv2-PLAT-5: ONGELDIGE PSH-HANDLE IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: IDLE Event: EV_CHK_COOKIE IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: IDLE Event: EV_CHK4_COOKIE_NOTIFY IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT Event: EV_VERIFY_MSG IKEv2-PROTO-3: (6): Controleer SA in bericht IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT Event: EV_INSERT_SA IKEv2-PROTO-3: (6): invoegen SA IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT Event: EV_GET_IKE_POLICY IKEv2-PROTO-3: (6): Het krijgen van gevormd beleid IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT Event: EV_PROC_MSG IKEv2-PROTO-2: (6): Verwerking eerste bericht IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT Event: EV_DEdetect_NAT IKEv2-PROTO-3: (6): De ontdekking van het proces NAT deelt mee IKEv2-PROTO-5: (6): Verwerking nat detectie src IKEv2-PROTO-5: (6): Afstandsadres niet gevonden IKEv2-PROTO-5: (6): Verwerking nat detecteren dst IKEv2-PROTO-5: (6): Lokaal adres gekoppeld IKEv2-PROTO-5: (6): Host bevindt zich buiten NAT IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT Event: EV_CHK_CONFIG_MODE IKEv2-PROTO-3: (6): Ontvangen geldige configuratiegegevens IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT Event: EV_SET_RECD_CONFIG_MODE IKEv2-PROTO-3: (6): Stel ontvangen configuratiegegevens in IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Event: EV_SET_POLICY IKEv2-PROTO-3: (6): Configureerbaar beleid instellen IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Event: EV_CHK_AUTH4PKI IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Event: EV_PKI_SESH_OPEN IKEv2-PROTO-3: (6): Openen van een PKI-sessie IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Event: EV_GEN_DH_KEY IKEv2-PROTO-3: (6): Computing DH openbare sleutel IKEv2-PROTO-3: (6): IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Event: EV_NO_EVENT IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Event: EV_OK_RECD_DH_PUBKEY_RESP IKEv2-PROTO-5: (6): Actie: Action_Null IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Event: EV_GEN_DH_SECRET IKEv2-PROTO-3: (6): Computing DH geheime sleutel IKEv2-PROTO-3: (6): IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Event: EV_NO_EVENT IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Event: EV_OK_RECD_DH_SECRET_RESP IKEv2-PROTO-5: (6): Actie: Action_Null IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Event: EV_GEN_SKEYID IKEv2-PROTO-3: (6): Generate skeyid IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Event: EV_GET_CONFIG_MODE
ASA construeert het antwoordbericht voor de uitwisseling IKE_SA_INIT. Dit pakket bevat: ISAKMP-header - SPI/versie/vlaggen. SAr1 - Cryptografisch algoritme dat IKE responder kiest. KEr - Openbare DH-sleutelwaarde van de responder. N - Responder Nonce.	IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Event: EV_BLD_MSG IKEv2-PROTO-2: (6): Eerste bericht verzenden IKEv2-PROTO-3: IKE-voorstel: 1, SPI-grootte: 0 (eerste onderhandeling), Aantal transformaties: 4 AES-CBC SHA1 SHA96 DH_GROUP_768_MODP/groep 1 IKEv2-PROTO-5: Construct Verkoper Specifieke payload: Delete-REDENIKEv2-PROTO-5: Construct Verkoper Specifieke payload: (AANGEPAST)IKEv2-PROTO-5: Construct Verkoper Specifieke payload: (AANGEPAST)IKEv2-PROTO-5: Construct Notify payload: NAT_DETECTION_IPIKEv2-PROTO-5: Construct Notify Payload: NAT_DETECTION_BESTEMMING_IPIKEv2-PLAT-2: Kan geen vertrouwde emiteurs hashes ophalen beschikbaar IKEv2-PROTO-5: Construct Vendor Specific Payload: FRAGMENTATIONIKEv2-PROTO-3: Tx [L 10.0.0.1:500/R 192.168.1.1:25170/VRF i0:f0] m_id: 0x0 IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi: FC696330E6B94D7F IKEv2-PROTO-4: Volgende payload: SA, versie: 2.0 IKEv2-PROTO-4: Exchange type: IKE_SA_INIT, vlaggen: RESPONDER MSG-RESPONSE IKEv2-PROTO-4: Berichtnummer: 0x0, lengte: 386 SA Volgende payload: KE, gereserveerd: 0x0, lengte: 48 IKEv2-PROTO-4: laatste voorstel: 0x0, gereserveerd: 0x0, lengte: 44 Voorstel: 1, Protocol-id: IKE, SPI-grootte: 0, #trans: 4 IKEv2-PROTO-4: laatste transformatie: 0x3, gereserveerd: 0x0: lengte: 12 type: 1, gereserveerd: 0x0, id: AES-CBC IKEv2-PROTO-4: laatste transformatie: 0x3, gereserveerd: 0x0: lengte: 8 type: 2, gereserveerd: 0x0, id: SHA1 IKEv2-PROTO-4: laatste transformatie: 0x3, gereserveerd: 0x0: lengte: 8 type: 3, gereserveerd: 0x0, id: SHA96 IKEv2-PROTO-4: laatste transformatie: 0x0, gereserveerd: 0x0: lengte: 8 type: 4, gereserveerd: 0x0, id: DH_GROUP_768_MODP/Group 1 KE Volgende payload: N, gereserveerd: 0x0, lengte: 104 DH groep: 1, Gereserveerd: 0x0 c9 30 f9 32 d4 7c d1 a7 5b 71 72 09 6e 7e 91 0c e1 ce b4 a4 3c f2 8b 74 4e 20 59 b4 0b a1 ff 65 37 88 c4 a4 b6 fa4 4a 63 03 93 89 e1 7e bd 6a 64 9a 38 24 e2 a8 40 f5 a3 d6 ef f7 1a df 33 cc a1 8e fa dc 9c 34 45 79 1a 7c 29 05 87 8a ac 02 98 2e 7d cb 41 51 d6 fe fc c7 76 83 1d 03 b0 d7 N Volgende payload: VID, gereserveerd: 0x0, lengte: 24 c2 28 7f 8c 7d b3 1e 51 fc eb f1 97 ec 97 b8 67 d5 e7 c2 f5 VID Volgende payload: VID, gereserveerd: 0x0, lengte: 23
ASA stuurt het antwoordbericht naar IKE_SA_INIT exchange. De IKE_SA_INIT uitwisseling is nu voltooid. ASA begint de timer voor het verificatieproces.	IKEv2-PLAT-4: VERZONDEN PKT [IKE_SA_INIT] [10.0.0.1]:500->[192.168.1.1]:25170 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000000 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: INIT_DON Gebeurtenis: EV_DON IKEv2-PROTO-3: (6): Fragmentation is ingeschakeld IKEv2-PROTO-3: (6): Cisco DeleteReason Notify is ingeschakeld IKEv2-PROTO-3: (6): Complete SA init exchange IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: INIT_DON Gebeurtenis: EV_CHK4_ROL IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: INIT_DID Event: EV_START_TMR. IKEv2-PROTO-3: (6): Starttimer om te wachten op het bericht (30 seconden) IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_wait_AUTH Event: EV_NO_EVENT	************************************** Datum : 23-04-2013 Tijd : 16:25:02 Type : Informatie Bron: acvpnagent Beschrijving: Functie: CIPsec Protocol::InitiateTunnel Bestand: .\IPsecProtocol.cpp Lijn: 345 IPsec-tunnel start **************************************	De client toont de IPSec-tunnel als 'initiërend'.
	-----------------------------------IKE_SA_INIT Compleet---------------------------------
	------------------------------------- IKE_AUTH begint-------------------------------------
	************************************** Datum : 23-04-2013 Tijd : 16:25:00 Type : Informatie Bron: acvpnagent Beschrijving: Secure Gateway-parameters: IP-adres: 10.0.0.1 Poort: 443 URL: "10.0.0.1" Autorisatiemethode: IKE - EAP-AnyConnect IKE-identiteit: ************************************ Datum : 23-04-2013 Tijd : 16:25:00 Type : Informatie Bron: acvpnagent Beschrijving: Initiating Cisco AnyConnect Secure Mobility Clientverbinding, versie 3.0.1047 ************************************ Datum : 23-04-2013 Tijd : 16:25:02 Type : Informatie Bron: acvpnagent Beschrijving: Functie: ikev2_log Bestand: .\ikev2_anyconnect_osal.cpp Lijn: 2730 Ontvangen verzoek om een IPsec-tunnel tot stand te brengen; lokale verkeerskiezer = adresbereik: 0.0.0.0-255.255.255.255 Protocol: 0 poortbereik: 0-65535; externe verkeerskiezer = adresbereik: 0.0.0.0-255.255.255.255 Protocol: 0 poortbereik: 0-65535 ************************************ Datum : 23-04-2013 Tijd : 16:25:02 Type : Informatie Bron: acvpnagent Beschrijving: Functie: CIPsec Protocol::connectTransport Bestand: .\IPsecProtocol.cpp Lijn: 1629 Geopende IKE-aansluiting van 192.168.1.1:25171 tot 10.0.0.1:4500 **************************************		De client laat de AUTH-payload van bericht 3 weg om aan te geven dat men een verlengbare authenticatie wil gebruiken. Wanneer EAP-verificatie (Extensible Verification Protocol) is gespecificeerd of geïmpliceerd door het clientprofiel en het profiel geen <IKEIdentity>-element bevat, stuurt de client een ID_GROUP-type IDi-payload met de vaste string $AnyConnectClient$. De client start een verbinding met de ASA op poort 4500.
Verificatie vindt plaats met EAP. Binnen een EAP-gesprek is slechts één EAP-verificatiemethode toegestaan. ASA ontvangt het IKE_AUTH-bericht van de client.	IKEv2-PLAT-4: RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f=00000001 IKEv2-PROTO-3: Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x1
Wanneer de client een IDi-payload bevat maar niet een AUTH-lading, dit geeft aan de cliënt heeft een identiteit verklaard, maar niet bewezen. In de debugs, de AUTH payload is niet aanwezig in IKE_AUTH pakket verzonden door de client. De client de AUTH-payload pas verstuurt nadat de EAP-uitwisseling is geslaagd. Indien de ASA is bereid een verlengbaar verificatiemethode, wordt een EAP payload in bericht 4 en defers verzenden SAr2, TSi en TSr tot de initiator de authenticatie is in een daaropvolgende IKE_AUTH-uitwisseling. Het IKE_AUTH initiatorpakket bevat: ISAKMP-header - SPI/versie/vlaggen. IDi - De tunnelgroepnaam die de klant wenst verbinding te maken met kan door de IDi worden geleverd payload van type ID_KEY_ID in het eerste bericht van de IKE_AUTH-uitwisseling. Dit treedt op wanneer het clientprofiel* is Vooraf geconfigureerd met een groepsnaam of, na een eerdere geslaagde verificatie heeft de client de groepsnaam in de cache voorkeursbestand. ASA pogingen om een tunnelgroep aan te passen naam met de inhoud van de IKE IDi-payload. Na de eerste succesvolle IPSec VPN wordt de cliënt de groepsnaam (groepsalias) waaraan de gebruiker is geverifieerd. Deze groep naam wordt geleverd in de IDi lading van de volgende verbinding poging om de waarschijnlijke groep gewenst door de gebruiker. Als EAP-verificatie is ingesteld door de cliënt gespecificeerd of geïmpliceerd profiel en het profiel niet <IKEIdentity> bevatten element, de client een ID_GROUP type IDi payload met de vaste string $AnyConnect-client$. CERTREQ - De klant is de ASA verzoeken om een geprefereerd certificaat. Certificaat kan payloads van aanvragen worden opgenomen in ruil wanneer de afzender moet het certificaat van de ontvanger. De certificaataanvraag payload wordt verwerkt door Controle van de 'Cert-codering' veld om te bepalen of de verwerker certificaten van dit type. Zo ja, dan Het veld 'Certificeringsinstantie' wordt gecontroleerd om te bepalen of de verwerker over certificaten beschikt die kan worden gevalideerd tot één van de gespecificeerde certificering autoriteiten. Dit kan een keten van certificaten. CFG - CFG_REQUEST/ CFG_RERESPONSE maakt een IKE mogelijk endpoint om informatie te vragen van zijn vakgenoten. Als een kenmerk in de Configuratie CFG_REQUEST lading niet op nul-lengte is, is het als een suggestie daarvoor attribuut.The CFG_RERESPONSE configuratie payload kan terugkeren of een nieuwe waarde. Zij kan voeg ook nieuwe eigenschappen toe en niet bevat enkele aangevraagde documenten. Aanvragers negeren teruggezonden kenmerken waaraan zij niet voldoen herkennen. In deze debugs de client vraagt om de tunnel configuratie in de CFG_REQUEST. ASA antwoorden hierop en verstuurt de tunnel configuratie-eigenschappen alleen na de EAP-uitwisseling is geslaagd. SAi2 - SAi2 leidt de SA in, dat vergelijkbaar is met fase 2 transformatie set-exchange in IKEv1. TSi en TSr - De initiatiefnemer en Responder Traffic Selectors bevatten, respectievelijk de bron en het bestemmingsadres van de initiatiefnemer en antwoordapparaat om Versleuteld doorsturen en ontvangen verkeer. Het adresbereik specificeert dat al het verkeer van en naar die reeks is getunneld. Indien de voorstel is aanvaardbaar voor de antwoordapparaat, stuurt het identieke TS nuttige ladingen terug. De eigenschappen die de client moet leveren voor groepsverificatie opgeslagen in een Profielbestand voor AnyConnect Relevante profielconfiguratie: <ServerList> <HostEntry> <HostName>Anu-IKEV2 </HostName> <HostAddress>10.0.0.1 </HostAddress> ASA-IKEV2* <PrimaryProtocol>IPsec </PrimaryProtocol> </HostEntry> </ServerList>	IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi: FC696330E6B94D7F IKEv2-PROTO-4: Volgende lading: ENCR, versie: 2.0 IKEv2-PROTO-4: Exchange type: IKE_AUTH, vlaggen: INITIATOR IKEv2-PROTO-4: Berichtnummer: 0x1, lengte: 540 IKEv2-PROTO-5: (6): Verzoek heeft mess_id 1; verwacht 1 tot 1 REAL-decrypted pakket:Gegevens: 465 bytes IKEv2-PROTO-5: Parse Verkoper Specifieke payload: (AANGEPASTE) VID Volgende payload: IDi, gereserveerd: 0x0, lengte: 20 58 af f6 11 52 8d b0 2c b8 da 30 46 be 91 56 fa IDi Volgende payload: CERTREQ, gereserveerd: 0x0, lengte: 28 ID type: Groepsnaam, gereserveerd: 0x0 0x0 2a 24 41 6e 79 43 6f 6e 65 63 74 43 6c 69 65 6 sexies 74 24 2 bis CERTREQ Volgende payload: CFG, gereserveerd: 0x0, lengte: 25 Cert encoding X.509 certificaat - handtekening CertReq data&colon; 20 bytes CFG Volgende payload: SA, gereserveerd: 0x0, lengte: 196 cfg type: CFG_REQUEST, gereserveerd: 0x0, gereserveerd: 0x0 attrib type: intern IP4 adres, lengte: 0 attrib type: interne IP4 netmasker, lengte: 0 attribtype: interne IP4 DNS, lengte: 0 attribtype: interne IP4 NBNS, lengte: 0 attrib type: intern adres verlopen, lengte: 0 attrib type: applicatie versie, lengte: 27 41 6e 79 43 6f 6e 65 63 74 20 57 69 6e 64 6f 77 73 20 33 2e 30 2e 31 30 34 37 attrib type: intern IP6 adres, lengte: 0 attribtype: interne IP4-subnetverbinding, lengte: 0 attrib type: Onbekend - 28682, lengte: 15 77 69 6e 78 70 36 34 74 65 6d 70 6c 61 74 65 attrib type: Onbekend - 28704, lengte: 0 attrib type: Onbekend - 28705, lengte: 0 attrib type: Onbekend - 28706, lengte: 0 attrib type: Onbekend - 28707, lengte: 0 attrib type: Onbekend - 28708, lengte: 0 attrib type: Onbekend - 28709, lengte: 0 attrib type: Onbekend - 28710, lengte: 0 attrib type: Onbekend - 28672, lengte: 0 attrib type: Onbekend - 28684, lengte: 0 attrib type: Onbekend - 28711, lengte: 2 05 7 sexies attrib type: Onbekend - 28674, lengte: 0 attrib type: Onbekend - 28712, lengte: 0 attrib type: Onbekend - 28675, lengte: 0 attrib type: Onbekend - 28679, lengte: 0 attrib type: Onbekend - 28683, lengte: 0 attrib type: Onbekend - 28717, lengte: 0 attrib type: Onbekend - 28718, lengte: 0 attrib type: Onbekend - 28719, lengte: 0 attrib type: Onbekend - 28720, lengte: 0 attrib type: Onbekend - 28721, lengte: 0 attrib type: Onbekend - 28722, lengte: 0 attrib type: Onbekend - 28723, lengte: 0 attrib type: Onbekend - 28724, lengte: 0 attrib type: Onbekend - 28725, lengte: 0 attrib type: Onbekend - 28726, lengte: 0 attrib type: Onbekend - 28727, lengte: 0 attrib type: Onbekend - 28729, lengte: 0 SA Volgende payload: TSi, gereserveerd: 0x0, lengte: 124 IKEv2-PROTO-4: laatste voorstel: 0x0, gereserveerd: 0x0, lengte: 120 Voorstel: 1, Protocol id: ESP, grootte van SPI: 4, #trans: 12 IKEv2-PROTO-4: laatste transformatie: 0x3, gereserveerd: 0x0: lengte: 12 type: 1, gereserveerd: 0x0, id: AES-CBC IKEv2-PROTO-4: laatste transformatie: 0x3, gereserveerd: 0x0: lengte: 12 type: 1, gereserveerd: 0x0, id: AES-CBC IKEv2-PROTO-4: laatste transformatie: 0x3, gereserveerd: 0x0: lengte: 12 type: 1, gereserveerd: 0x0, id: AES-CBC IKEv2-PROTO-4: laatste transformatie: 0x3, gereserveerd: 0x0: lengte: 8 type: 1, gereserveerd: 0x0, id: 3DES IKEv2-PROTO-4: laatste transformatie: 0x3, gereserveerd: 0x0: lengte: 8 type: 1, gereserveerd: 0x0, id: DES IKEv2-PROTO-4: laatste transformatie: 0x3, gereserveerd: 0x0: lengte: 8 type: 1, gereserveerd: 0x0, id: NULL IKEv2-PROTO-4: laatste transformatie: 0x3, gereserveerd: 0x0: lengte: 8 type: 3, gereserveerd: 0x0, id: SHA512 IKEv2-PROTO-4: laatste transformatie: 0x3, gereserveerd: 0x0: lengte: 8 type: 3, gereserveerd: 0x0, id: SHA384 IKEv2-PROTO-4: laatste transformatie: 0x3, gereserveerd: 0x0: lengte: 8 type: 3, gereserveerd: 0x0, id: SHA256 IKEv2-PROTO-4: laatste transformatie: 0x3, gereserveerd: 0x0: lengte: 8 type: 3, gereserveerd: 0x0, id: SHA96 IKEv2-PROTO-4: laatste transformatie: 0x3, gereserveerd: 0x0: lengte: 8 type: 3, gereserveerd: 0x0, id: MD596 IKEv2-PROTO-4: laatste transformatie: 0x0, gereserveerd: 0x0: lengte: 8 type: 5, gereserveerd: 0x0, id: TSi Volgende payload: TSr, gereserveerd: 0x0, lengte: 24 Aantal TS'en: 1, gereserveerd 0x0, gereserveerd 0x0 TS type: TS_IPV4_ADDR_RANGE, proto id: 0, lengte: 16 beginhaven: 0, eindhaven: 65535 begindatum: 0.0.0.0, einddatum: 255.255.255.255.255 TSr Volgende payload: MELDEN, gereserveerd: 0x0, lengte: 24 Aantal TS'en: 1, gereserveerd 0x0, gereserveerd 0x0 TS type: TS_IPV4_ADDR_RANGE, proto id: 0, lengte: 16 beginhaven: 0, eindhaven: 65535 begindatum: 0.0.0.0, einddatum: 255.255.255.255.255
ASA genereert een reactie op het IKE_AUTH-bericht en bereidt zich voor op verificatie aan de client.	Gedecrypteerd pakket:Data&Colon; 540 bytes IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_wait_AUTH Event: EV_RECV_AUTH IKEv2-PROTO-3: (6): Het stoppen van tijdopnemer om op auth bericht te wachten IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_wait_AUTH Event: EV_CHK_NAT_T IKEv2-PROTO-3: (6): Controleer NAT-detectie IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_wait_AUTH Event: EV_CHG_NAT_T_PORT IKEv2-PROTO-2: (6): NAT gedetecteerd float to init poort 25171, resp poort 4500 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_wait_AUTH Event: EV_PROC_ID IKEv2-PROTO-2: (6): Ontvangen geldige parameters in procesid IKEv2-PLAT-3: (6) peer auth methode ingesteld op: 0 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_wait_AUTH Event: EV_CHK_IF_PEER_CERT_needs_TO_BE_FETCHED_FOR_PROF_SEL IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_wait_AUTH Event: EV_GET_POLICY_BY_PEERID IKEv2-PROTO-3: (6): Het krijgen van gevormd beleid IKEv2-PLAT-3: nieuwe AnyConnect-clientverbinding gedetecteerd op basis van id-payload IKEv2-PLAT-3: my_auth_method = 1 IKEv2-PLAT-3: (6) peer auth methode ingesteld op: 256 IKEv2-PLAT-3: ondersteunde_peers_auth_method = 16 IKEv2-PLAT-3: (6) tp_name ingesteld op: Anu-ikev2 IKEv2-PLAT-3: vertrouwenspunt ingesteld op: Anu-ikev2 IKEv2-PLAT-3: P1 ID = 0 IKEv2-PLAT-3: Vertalen van IKE_ID_AUTO naar = 9 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_wait_AUTH Event: EV_SET_POLICY IKEv2-PROTO-3: (6): Configureerbaar beleid instellen IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_wait_AUTH Event: EV_VERIFY_POLICY_BY_PEERID IKEv2-PROTO-3: (6): Controleer het beleid van peer IKEv2-PROTO-3: (6): Overeenkomend certificaat gevonden IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_wait_AUTH Event: EV_CHK_CONFIG_MODE IKEv2-PROTO-3: (6): Ontvangen geldige configuratiegegevens IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_wait_AUTH Event: EV_SET_RECD_CONFIG_MODE IKEv2-PLAT-3: (6) DHCP-hostnaam voor DDNS is ingesteld op: winxp64template IKEv2-PROTO-3: (6): Stel ontvangen configuratiegegevens in IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_wait_AUTH Event: EV_CHK_AUTH4EAP IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_wait_AUTH Event: EV_CHK_EAP IKEv2-PROTO-3: (6): Controleer op EAP-uitwisseling IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_AUTH Gebeurtenis: EV_GEN_AUTH IKEv2-PROTO-3: (6): Genereer mijn verificatiegegevens IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_AUTH Event: EV_CHK4_Sign IKEv2-PROTO-3: (6): Mijn verificatiemethode verkrijgen IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_AUTH Gebeurtenis: EV_TEKEN IKEv2-PROTO-3: (6): Teken auth data IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_AUTH Event: EV_OK_AUTH_GEN IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_EAP_AUTH_REQ Gebeurtenis: EV_AUTHEN_REQ IKEv2-PROTO-2: (6): De verificator vragen EAP-aanvraag te verzenden Naam van het gemaakte element in configuratie-waarde Toegevoegd attributen naam client waarde vpn aan element configuratie-auth Toegevoegde attributen naam type waarde hello aan element config-auth Naam van gemaakt element, versie waarde 9.0(2)8 Naam van toegevoegd element versie waarde 9.0(2)8 aan element config-auth Toegevoegd attribuut naam die waarde sg aan element versie Gegenereerd XML-bericht hieronder <?xml version="1.0" encoding="UTF-8"?> <config-auth client="vpn" type="hello"> <versie who="sg">9.0(2)8</versie> </configuratie-auth> IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_EAP_AUTH_REQ Gebeurtenis: EV_RECV_EAP_AUTH IKEv2-PROTO-5: (6): Actie: Action_Null IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_EAP_AUTH_REQ Event: EV_CHK_REDIRECT IKEv2-PROTO-3: (6): Redirect controle met platform voor taakverdeling IKEv2-PLAT-3: Redirect-controle op platform IKEv2-PLAT-3: ikev2_osal_redirect: Sessie geaccepteerd door 10.0.0.1 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000001 CurState: R_BLD_EAP_AUTH_REQ Gebeurtenis: EV_SEND_EAP_AUTH_REQ IKEv2-PROTO-2: (6): Verzenden van EAP-aanvraag IKEv2-PROTO-5: specifieke payload voor constructieverkopers: CISCO-GRANITEIKEv2-PROTO-3: (6): Bouwen
ASA verstuurt de AUTH-payload om gebruikersreferenties bij de client aan te vragen. ASA stuurt de AUTH-methode als 'RSA', zodat de client zijn eigen certificaat naar de client stuurt, zodat de client de ASA-server kan authenticeren. Aangezien ASA bereid is een uitbreidbare verificatiemethode te gebruiken, plaatst het een EAP-payload in bericht 4 en stelt het verzenden van SAr2, TSi en TSr uit totdat de initiatorverificatie is voltooid in een volgende IKE_AUTH-uitwisseling. Dus, die drie payloads zijn niet aanwezig in de debugs. Het EAP-pakket bevat: Code: aanvraag - Deze code wordt door de authenticator naar de peer gestuurd. id: 1 - De id helpt om de EAP-antwoorden aan te passen aan de verzoeken. Hier is de waarde 1, wat aangeeft dat het het eerste pakket is in de EAP-uitwisseling. Dit EAP-verzoek heeft het 'configuratie-auth'-type van 'hallo'; het wordt door de ASA naar de client verzonden om de EAP-uitwisseling te initiëren. Lengte: 150 - Lengte van het EAP-pakket omvat de code, id, lengte en EAP-gegevens. EAP-gegevens.	IDr. Volgende payload: CERT, gereserveerd: 0x0, lengte: 36 ID type: DER ASN1 DN, Gereserveerd: 0x0 0x0 30 1a 31 18 30 16 06 09 2a 86 48 86 f7 0d 01 09 02 16 09 41 53 41 2d 49 4b 45 56 32 CERT Volgende payload: CERT, gereserveerd: 0x0, lengte: 436 Cert encoding X.509 certificaat - handtekening Cert data&colon; 431 bytes CERT Volgende payload: AUTH, gereserveerd: 0x0, lengte: 436 Cert encoding X.509 certificaat - handtekening Cert data&colon; 431 bytes AUTH Volgende payload: EAP, gereserveerd: 0x0, lengte: 136 Autorisatiemethode RSA, gereserveerd: 0x0, gereserveerd 0x0 Automatisch data&colon; 128 bytes EAP Volgende payload: NONE, gereserveerd: 0x0, lengte: 154 Code: aanvraag: id: 1, lengte: 150 Type: Onbekend - 254 EAP-gegevens: 145 bytes IKEv2-PROTO-3: Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x1 IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi: FC696330E6B94D7F IKEv2-PROTO-4: Volgende lading: ENCR, versie: 2.0 IKEv2-PROTO-4: Exchange type: IKE_AUTH, vlaggen: RESPONDER MSG-RESPONSE IKEv2-PROTO-4: Berichtnummer: 0x1, lengte: 1292 ENCR Volgende payload: VID, gereserveerd: 0x0, lengte: 1264 Versleutelde data&colon; 1260 bytes
Fragmentation kan resulteren als de certificaten groot zijn of als de certificaatketens worden omvat. Zowel initiator als responder KE payloads kunnen ook grote sleutels bevatten, die ook kunnen bijdragen aan fragmentatie.	IKEv2-PROTO-5: (6): Fragmentatiepakket, Fragment MTU: 544, Aantal fragmenten: 3, Fragment-ID: 1 IKEv2-PLAT-4: VERZONDEN PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000001 IKEv2-PLAT-4: VERZONDEN PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000001 IKEv2-PLAT-4: VERZONDEN PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000001
	************************************** Datum : 23-04-2013 Tijd : 16:25:02 Type : Informatie Bron: acvpnagent Beschrijving: Functie: ikev2_verify_X509_SIG_certs Bestand: .\ikev2_anyconnect_osal.cpp Regeling: 2077 Certificaataanvaarding aanvragen van gebruiker ************************************ Datum : 23-04-2013 Tijd : 16:25:02 Type : Fout Bron: acvpnui Beschrijving: Functie: CCapiCertificate::verifyChainPolicy Bestand: .\Certificates\CapiCertificate.cpp Lijn: 2032 Aangeroepen functie: Certverifycertificaatketenbeleid Retourcode: -2146762487 (0x800B0109) Beschrijving: Een certificaatketting verwerkt, maar afgesloten in een basiscertificaat dat niet wordt vertrouwd door de trustprovider. ************************************ Datum : 23-04-2013 Tijd : 16:25:04 Type : Informatie Bron: acvpnagent Beschrijving: Functie: CEAPMgr::datarequestCB Bestand: .\EAPMgr.cpp Lijn: 400 Voorgesteld EAP-type: EAP-ANYCONNECT **************************************		Het door de ASA verzonden certificaat wordt aan de gebruiker voorgelegd. Het certificaat is niet vertrouwd. Het EAP-type is EAP-ANYCONNECT.
De client reageert op de EAP-aanvraag met een antwoord. Het EAP-pakket bevat: Code: antwoord - Deze code wordt door de peer naar de verificator gestuurd in antwoord op de EAP-aanvraag. id: 1 - De id helpt om de EAP-antwoorden aan te passen aan de verzoeken. Hier is de waarde 1, wat aangeeft dat dit een reactie is op het eerder door de ASA verzonden verzoek (authenticator). Dit EAP-antwoord heeft het 'configuratie-auth'-type 'init'; de client initialiseert de EAP-uitwisseling en wacht op de ASA om het verificatieverzoek te genereren. Lengte: 252 - Lengte van het EAP-pakket omvat de code, id, lengte en EAP-gegevens. EAP-gegevens. ASA decrypteert deze reactie, en de client zegt dat hij de AUTH-payload in het vorige pakket (met het certificaat) heeft ontvangen en het eerste EAP-aanvraagpakket van de ASA heeft ontvangen. Dit is wat het EAP-reactiepakket bevat.	IKEv2-PLAT-4: RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000002 IKEv2-PROTO-3: Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x2 IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi: FC696330E6B94D7F IKEv2-PROTO-4: Volgende lading: ENCR, versie: 2.0 IKEv2-PROTO-4: Exchange type: IKE_AUTH, vlaggen: INITIATOR IKEv2-PROTO-4: Berichtnummer: 0x2, lengte: 332 IKEv2-PROTO-5: (6): Verzoek heeft mess_id 2; verwacht 2 tot 2 REAL-decrypted pakket:Gegevens: 256 bytes EAP Volgende payload: NONE, gereserveerd: 0x0, lengte: 256 Code: antwoord: id: 1, lengte: 252 Type: Onbekend - 254 EAP-gegevens:247 bytes Gedecrypteerd pakket:Data&Colon; 332 bytes IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState: R_wait_EAP_RESP Gebeurtenis: EV_RECV_AUTH IKEv2-PROTO-3: (6): Het stoppen van tijdopnemer om op auth bericht te wachten IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState: R_wait_EAP_RESP Event: EV_RECV_EAP_RESP IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState: R_PROC_EAP_RESP Gebeurtenis: EV_PROC_MSG IKEv2-PROTO-2: (6) Verwerking EAP-respons Ontvangen XML bericht hieronder van de client <?xml version="1.0" encoding="UTF-8"?> <config-auth client="vpn" type="init"> <apparaat-id>win</apparaat-id> <versie wie="vpn">3.0.1047</versie> <group-select>ASA-IKEV2</group-select> <group-access>ASA-IKEV2</group-access> </configuratie-auth> IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState: R_PROC_EAP_RESP Gebeurtenis: EV_RECV_EAP_AUTH IKEv2-PROTO-5: (6): Actie: Action_Null IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState: R_BLD_EAP_REQ Gebeurtenis: EV_RECV_EAP_REQ
Dit is het tweede verzoek dat door de ASA aan de cliënt wordt verzonden. Het EAP-pakket bevat: Code: aanvraag - Deze code wordt door de authenticator naar de peer gestuurd. id: 2 - De id helpt om de EAP-antwoorden aan te passen aan de verzoeken. Hier is de waarde 2, wat aangeeft dat het het tweede pakket in de uitwisseling is. Dit verzoek heeft het 'configuratie-auth' type van 'auth-request'; ASA vraagt de client om de gebruikersverificatie-referenties te versturen. Lengte: 457 - Lengte van het EAP-pakket omvat de code, id, lengte en EAP-gegevens. EAP-gegevens. ENCR-lading: Deze payload wordt gedecrypteerd, en de inhoud wordt geparsed als extra payloads.	IKEv2-PROTO-2: (6): Verzenden van EAP-verzoek Gegenereerd XML-bericht hieronder <?xml version="1.0" encoding="UTF-8"?> <config-auth client="vpn" type="auth-request"> <versie who="sg">9.0(2)8</versie> <ondoorzichtig is-for="sg"> <tunnel-group>ASA-IKEV2</tunnel-group> <configuratie-hash>1367268141499</configuratie-hash> </ondoorzichtig> <csport>443</csport> <auth="main"> <formulier> <input type="text" name="username" label="UserName:"></input> <input type="password" name="password" label="Password:"></input> </formulier> </auth> </configuratie-auth> IKEv2-PROTO-3: (6): Het bouwpakket voor encryptie; de inhoud is: EAP Volgende payload: NONE, gereserveerd: 0x0, lengte: 461 Code: aanvraag: id: 2, lengte: 457 Type: Onbekend - 254 EAP-gegevens: 452 bytes IKEv2-PROTO-3: Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x2 IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi: FC696330E6B94D7F IKEv2-PROTO-4: Volgende lading: ENCR, versie: 2.0 IKEv2-PROTO-4: Exchange type: IKE_AUTH, vlaggen: RESPONDER MSG-RESPONSE IKEv2-PROTO-4: Berichtnummer: 0x2, lengte: 524 ENCR Volgende payload: EAP, gereserveerd: 0x0, lengte: 496 Versleutelde data&colon; 492 bytes IKEv2-PLAT-4: VERZONDEN PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000002 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState: R_BLD_EAP_REQ Event: EV_START_TMR. IKEv2-PROTO-3: (6): Begintimer om te wachten op gebruikersbericht (120 sec) IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState: R_wait_EAP_RESP Event: EV_NO_EVENT	************************************** Datum : 23-04-2013 Tijd : 16:25:04 Type : Informatie Bron: acvpnui Beschrijving : Functie: SDIMgr::ProcesPromptData Bestand: .\SDIMgr.cpp Lijn: 281 Het verificatietype is niet SDI. ************************************ Datum : 23-04-2013 Tijd : 16:25:07 Type : Informatie Bron: acvpnui Beschrijving: Functie: ConnectMgr::userResponse Bestand: .\ConnectMgr.cpp Lijn: 985 Reactie van gebruiker verwerken. **************************************	De client vraagt om gebruikersverificatie en stuurt deze als EAP-respons naar de ASA in het volgende pakket ('auth-reply').
De client stuurt een ander IKE_AUTH-initiatorbericht met de EAP-payload. Het EAP-pakket bevat: Code: antwoord - Deze code wordt door de peer naar de verificator gestuurd in antwoord op de EAP-aanvraag. id: 2 - De id helpt om de EAP-antwoorden aan te passen aan de verzoeken. Hier is de waarde 2, wat aangeeft dat dit een reactie is op het eerder door de ASA verzonden verzoek (authenticator). Lengte: 420 - Lengte van het EAP-pakket omvat de code, id, lengte en EAP-gegevens. EAP-gegevens.	IKEv2-PLAT-4: RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PROTO-3: Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x3 IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi: FC696330E6B94D7F IKEv2-PROTO-4: Volgende lading: ENCR, versie: 2.0 IKEv2-PROTO-4: Exchange type: IKE_AUTH, vlaggen: INITIATOR IKEv2-PROTO-4: Berichtnummer: 0x3, lengte: 492 IKEv2-PROTO-5: (6): Verzoek heeft mess_id 3; verwacht 3 tot 3 REAL-decrypted pakket:Gegevens: 424 bytes EAP Volgende payload: NONE, gereserveerd: 0x0, lengte: 424 Code: antwoord: id: 2, lengte: 420 Type: Onbekend - 254 EAP-gegevens: 415 bytes
De ASA verwerkt deze respons. De client had de gebruiker gevraagd om referenties in te voeren. Dit EAP-antwoord heeft het 'configuratie-auth'-type 'auth-antwoord'. Dit pakket bevat de referenties die door de gebruiker zijn ingevoerd.	Gedecrypteerd pakket:Gegevens: 492 bytes IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_wait_EAP_RESP Gebeurtenis: EV_RECV_AUTH IKEv2-PROTO-3: (6): Het stoppen van tijdopnemer om op auth bericht te wachten IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_wait_EAP_RESP Event: EV_RECV_EAP_RESP IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_PROC_EAP_RESP Gebeurtenis: EV_PROC_MSG IKEv2-PROTO-2: (6) Verwerking EAP-respons Ontvangen XML bericht hieronder van de client <?xml version="1.0" encoding="UTF-8"?> <config-auth client="vpn" type="auth-reply"> <apparaat-id>win</apparaat-id> <versie wie="vpn">3.0.1047</versie> <sessie-token></sessie-token> <sessie-id></sessie-id> <ondoorzichtig is-for="sg"> <tunnel-groep>ASA-IKEV2</tunnel-group> <configuratie-hash>1367268141499</configuratie-hash></opaak> <auth> <wachtwoord>cisco123</password> <gebruikersnaam>Anu</gebruikersnaam></auth> </configuratie-auth> IKEv2-PLAT-1: EAP:Geïnitieerde gebruikersverificatie IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_PROC_EAP_RESP Event: EV_NO_EVENT IKEv2-PLAT-5: EAP:In AAA-callback Cert-overzicht voor opgehaalde servers: DACE1C274785F28BA11D64453096BAE294A3172E IKEv2-PLAT-5: EAP:succes in AAA-callback IKEv2-PROTO-3: Ontvangen antwoord van authenticator IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_PROC_EAP_RESP Gebeurtenis: EV_RECV_EAP_AUTH IKEv2-PROTO-5: (6): Actie: Action_Null
De ASA bouwt een derde EAP-verzoek in de uitwisseling. Het EAP-pakket bevat: Code: aanvraag - Deze code wordt door de authenticator naar de peer gestuurd. id: 3 - De id helpt om de EAP-antwoorden aan te passen aan de verzoeken. Hier is de waarde 3, wat aangeeft dat het het derde pakket in de uitwisseling is. Dit pakket heeft het 'configuratie-auth'-type 'compleet'; de ASA heeft een antwoord ontvangen en de EAP-uitwisseling is voltooid. Lengte: 4235 - Lengte van het EAP-pakket bevat de code, id, lengte en EAP-gegevens. EAP-gegevens. ENCR-lading: Deze payload wordt gedecrypteerd, en de inhoud wordt geparsed als extra payloads.	IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_BLD_EAP_REQ Event: EV_RECV_EAP_REQ IKEv2-PROTO-2: (6): Verzenden van EAP-verzoek Gegenereerd XML-bericht hieronder <?xml version="1.0" encoding="UTF-8"?> <config-auth client="vpn" type="compleet"> <versie who="sg">9.0(2)8</versie> <sessie-id>32768</sessie-id> <sessie-token>18wA0TgmDxPKPQCJywC7fB7EWLCEgz-ZtjYPAyXX2YJH0H3G3H8t5xpBOx3Ixag</sessie-token> <auth="succes"> <bericht id="0" param1=" param2="></message> </auth> IKEv2-PROTO-3: (6): Het bouwpakket voor encryptie; de inhoud is: EAP Volgende payload: NONE, gereserveerd: 0x0, lengte: 4239 Code: aanvraag: id: 3, lengte: 4235 Type: Onbekend - 254 EAP-gegevens: 4230 bytes IKEv2-PROTO-3: Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x3 IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi: FC696330E6B94D7F IKEv2-PROTO-4: Volgende lading: ENCR, versie: 2.0 IKEv2-PROTO-4: Exchange type: IKE_AUTH, vlaggen: RESPONDER MSG-RESPONSE IKEv2-PROTO-4: Berichtnummer: 0x3, lengte: 4300 ENCR Volgende payload: EAP, gereserveerd: 0x0, lengte: 4272 Versleutelde gegevens&dubbele punt;4268 bytes IKEv2-PROTO-5: (6): Fragmentatiepakket, Fragment MTU: 544, Aantal fragmenten: 9, Fragment ID: 2 IKEv2-PLAT-4: VERZONDEN PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PLAT-4: VERZONDEN PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PLAT-4: VERZONDEN PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PLAT-4: VERZONDEN PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PLAT-4: VERZONDEN PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PLAT-4: VERZONDEN PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PLAT-4: VERZONDEN PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PLAT-4: VERZONDEN PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PLAT-4: VERZONDEN PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_BLD_EAP_REQ Event: EV_START_TMR. IKEv2-PROTO-3: (6): Starttimer om te wachten op gebruikersbericht (120 sec) IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_wait_EAP_RESP Event: EV_NO_EVENT
	************************************** Datum : 23-04-2013 Tijd : 16:25:07 Type : Informatie Bron: acvpnagent Beschrijving: Huidig profiel: AnyConnect-ikev2.xml Instellingen configuratie VPN-sessie ontvangen: Geïnstalleerd houden: ingeschakeld Proxy-instelling: niet wijzigen Proxyserver: geen Proxy PAC URL: geen Proxy-uitzonderingen: geen Proxy Lockdown: ingeschakeld Split Exclude: voorkeur voor lokale LAN-toegang is uitgeschakeld Split Inclusief: uitgeschakeld Split-DNS: uitgeschakeld Lokale LAN-jokerteken: voorkeur voor lokale LAN-toegang is uitgeschakeld Firewallregels: geen Klantadres: 10.2.2.1 Clientmasker: 25.0.0.0 IPv6-adres client: onbekend IPv6-masker voor client: onbekend MTU: 1406 IKE levendig houden: 20 seconden IKE DPD: 30 seconden Sessietime-out: 0 seconden Time-out bij verbroken verbinding: 1800 seconden Time-out tijdens inactivatie: 1800 seconden Server: onbekend MUS-host: onbekend DAP-gebruikersbericht: geen Quarantainestaat: gehandicapt Altijd op VPN: niet uitgeschakeld Looptijd: 0 seconden Standaarddomein: onbekend Home page: onbekend Smart Card Verwijdering Disconnect: ingeschakeld Licentiereactie: onbekend **************************************		De ASA stuurt de VPN-instellingen in het 'complete' bericht naar de client en kent een IP-adres toe aan de client vanuit de VPN-pool.
De client verzendt het initiatorpakket met de EAP-payload. Het EAP-pakket bevat: Code: antwoord - Deze code wordt door de peer naar de verificator gestuurd in antwoord op de EAP-aanvraag. id: 3 - De id helpt om de EAP-antwoorden aan te passen aan de verzoeken. Hier is de waarde 3, wat aangeeft dat dit een reactie is op het eerder door de ASA verzonden verzoek (authenticator). De ASA ontvangt nu het reactiepakket van de client, die het 'config-auth'-type 'ack' heeft; in deze reactie wordt het EAP 'complete' bericht bevestigd dat eerder door de ASA is verstuurd. Lengte: 173 - Lengte van het EAP-pakket omvat de code, id, lengte en EAP-gegevens. EAP-gegevens.	IKEv2-PLAT-4: RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000004 IKEv2-PROTO-3: Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x4 IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi: FC696330E6B94D7F IKEv2-PROTO-4: Volgende lading: ENCR, versie: 2.0 IKEv2-PROTO-4: Exchange type: IKE_AUTH, vlaggen: INITIATOR IKEv2-PROTO-4: Berichtnummer: 0x4, lengte: 252 IKEv2-PROTO-5: (6): Verzoek heeft mess_id 4; verwacht 4 tot en met 4 REAL-decrypted pakket:Gegevens: 177 bytes EAP Volgende payload: NONE, gereserveerd: 0x0, lengte: 177 Code: antwoord: id: 3, lengte: 173 Type: Onbekend - 254 EAP-gegevens: 168 bytes
ASA verwerkt dit pakket. Het EAP-uitwisseling is geslaagd. ASA bereidt zich voor op het verzenden van de tunnelgroep configuratie in het volgende pakket, dat eerder door de klant gevraagd in de IDi-payload. ASA ontvangt de antwoordpakket van de client, dat heeft het "config-auth" type van "ack". Dit antwoord erkent het EAP "compleet" bericht dat door de ASA voorheen. Relevante configuratie: tunnel-group ASA-IKEV2 type remote-access tunnel-group ASA-IKEV2 general-attributes address-pool webvpn1 authorization-server-group LOCAL default-group-policy ASA-IKEV2 tunnel-group ASA-IKEV2 webvpn-attributes group-alias ASA-IKEV2 enable De EAP-uitwisseling is nu geslaagd. Het EAP-pakket bevat: Code: succes - Deze code is die door de verificator aan de peer na voltooiing van een EAP verificatiemethode. Dit geeft aan dat de peer met succes geauthenticeerd aan de verificateur. id: 3 - De id helpt bij het matchen van de EAP-antwoorden met de verzoeken. Hier is de waarde 3, die geeft aan dat dit een antwoord is op het eerder door de ASA (verificator). De derde set van pakketten in de ruil werd en de uitwisseling van EAP's is geslaagd. Lengte: 4 - Lengte van de EAP het pakket bevat de code, id, lengte en EAP-gegevens. EAP-gegevens.	Gedecrypteerd pakket:Gegevens:252 bytes IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000004 CurState: R_wait_EAP_RESP Gebeurtenis: EV_RECV_AUTH IKEv2-PROTO-3: (6): Het stoppen van tijdopnemer om op auth bericht te wachten IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000004 CurState: R_wait_EAP_RESP Event: EV_RECV_EAP_RESP IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000004 CurState: R_PROC_EAP_RESP Gebeurtenis: EV_PROC_MSG IKEv2-PROTO-2: (6) Verwerking EAP-respons Ontvangen XML bericht hieronder van de client <?xml version="1.0" encoding="UTF-8"?> <config-auth client="vpn" type="ack"> <apparaat-id>win</apparaat-id> <versie wie="vpn">3.0.1047</versie> </configuratie-auth> IKEv2-PLAT-3: (6) aggrAuthHdl ingesteld op 0x2000 IKEv2-PLAT-3: (6) tg_name ingesteld op: ASA-IKEV2 IKEv2-PLAT-3: (6) tunn grp type ingesteld op: RA IKEv2-PLAT-1: EAP:Verificatie geslaagd IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000004 CurState: R_PROC_EAP_RESP Gebeurtenis: EV_RECV_EAP_SUCCESS IKEv2-PROTO-2: (6): Verzenden van EAP-statusbericht IKEv2-PROTO-3: (6): Het bouwpakket voor encryptie; de inhoud is: EAP Volgende payload: NONE, gereserveerd: 0x0, lengte: 8 Code: succes: id: 3, lengte: 4 IKEv2-PROTO-3: Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x4 IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi: FC696330E6B94D7F IKEv2-PROTO-4: Volgende lading: ENCR, versie: 2.0 IKEv2-PROTO-4: Exchange type: IKE_AUTH, vlaggen: RESPONDER MSG-RESPONSE IKEv2-PROTO-4: Berichtnummer: 0x4, lengte: 76 ENCR Volgende payload: EAP, gereserveerd: 0x0, lengte: 48 Versleutelde gegevens&dubbele punt;44 bytes IKEv2-PLAT-4: VERZONDEN PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000004 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000004 CurState: R_PROC_EAP_RESP Event: EV_START_TMR. IKEv2-PROTO-3: (6): Starttimer om te wachten op het bericht (30 seconden) IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000004 CurState: R_wait_EAP_AUTH_VERIFY Event: EV_NO_EVENT
Aangezien de EAP-uitwisseling is geslaagd, verstuurt de client het IKE_AUTH-initiatorpakket met de AUTH-payload. De AUTH-payload wordt gegenereerd door de gedeelde geheime sleutel.	IKEv2-PLAT-4: RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PROTO-3: Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x5 IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi: FC696330E6B94D7F IKEv2-PROTO-4: Volgende lading: ENCR, versie: 2.0 IKEv2-PROTO-4: Exchange type: IKE_AUTH, vlaggen: INITIATOR IKEv2-PROTO-4: Berichtnummer: 0x5, lengte: 92 IKEv2-PROTO-5: (6): Verzoek heeft mess_id 5; verwacht 5 tot 5 REAL-decrypted pakket:Gegevens:28 bytes AUTH Volgende lading: GEEN, gereserveerd: 0x0, lengte: 28 Autorisatiemethode PSK, gereserveerd: 0x0, gereserveerd 0x0 Autorisatiegegevens: 20 bytes
Als EAP-verificatie is opgegeven, of van het clientprofiel en de het profiel bevat niet de <IKEIdentity>-element verstuurt de client een ID_GROUP type IDi payload met het vaste snoer $AnyConnectClient$. De ASA verwerkt dit bericht. Relevante configuratie: crypto dynamic-map dynmap 1000 set ikev2 ipsec-proposal 3des crypto map crymap 10000 ipsec-isakmp dynamic dynmap crypto map crymap interface outside	Gedecrypteerd pakket:Gegevens: 92 bytes IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_wait_EAP_AUTH_VERIFY Gebeurtenis: EV_RECV_AUTH IKEv2-PROTO-3: (6): Het stoppen van tijdopnemer om op auth bericht te wachten IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH Event: EV_GET_EAP_KEY IKEv2-PROTO-2: (6): Verzend AUTH, om peer na EAP-uitwisseling te verifiëren IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH Gebeurtenis: EV_VERIFY_AUTH IKEv2-PROTO-3: (6): Controleer de verificatiegegevens IKEv2-PROTO-3: (6): *Gebruik de vooraf gedeelde sleutel voor id $AnyConnectClient$, sleutel len 20* IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH Gebeurtenis: EV_GET_CONFIG_MODE IKEv2-PLAT-3: antwoord op configuratie-modus in wachtrij IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH Event: EV_NO_EVENT IKEv2-PLAT-3: PSH: client=AnyConnect client-versie=3.0.1047 client-os=Windows client-os-versie= IKEv2-PLAT-3: antwoord op configuratie-modus voltooid IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH Event: EV_OK_GET_CONFIG IKEv2-PROTO-3: (6): Hebben configuratie modus gegevens te verzenden IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH Event: EV_CHK4_IC IKEv2-PROTO-3: (6): Verwerking van het eerste contact IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH Event: EV_CHK_REDIRECT IKEv2-PROTO-5: (6): Redirect controle is al gedaan voor deze sessie, het overslaan IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH Event: EV_PROC_SA_TS IKEv2-PROTO-2: (6): Verwerking auth bericht IKEv2-PLAT-1: Crypto Kaart: Kaart dynmap seq 1000. Aangepaste selector met toegewezen IP IKEv2-PLAT-3: Crypto Kaart: match op dynamische kaart dynmap seq 1000 IKEv2-PLAT-3: PFS uitgeschakeld voor RA-verbinding IKEv2-PROTO-3: (6): IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH Event: EV_NO_EVENT IKEv2-PLAT-2: Ontvangen PFKEY SPI-callback voor SPI 0x30B848A4, fout FALSE IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_VERIFY_AUTH Event: EV_OK_RECD_IPSEC_RESP IKEv2-PROTO-2: (6): Verwerking auth bericht
ASA bouwt het IKE_AUTH-responsbericht met de payloads van SA, TSi en TSr. Het IKE_AUTH-responderpakket bevat: ISAKMP-header - SPI/versie/vlaggen. AUTH payload - Met de gekozen authenticatiemethode. CFG - CFG_REQUEST/ CFG_RERESPONSE staat een IKE-eindpunt toe om informatie op te vragen bij zijn peer. Als een attribuut in de CFG_REQUEST configuratie payload niet nul-length is, wordt dit als een suggestie voor dat attribuut genomen. De configuratie-payload van de CFG_RERESPONSE kan die waarde of een nieuwe waarde retourneren. Het kan ook nieuwe eigenschappen toevoegen en sommige gevraagde niet omvatten. De aanvragers negeren geretourneerde eigenschappen die zij niet herkennen. ASA antwoordt op de client met de tunnelconfiguratiekenmerken in het CFG_REPLISpakket. SAr2 - SAr2 initieert de SA, die vergelijkbaar is met de fase 2 transformatie set exchange in IKEv1. TSi en TSr - De initiator en de selecteurs van het antwoordverkeer bevatten, respectievelijk, het bron- en het bestemmingsadres van de initiator en de antwoordapparaat om gecodeerd verkeer door te sturen en te ontvangen. Het adresbereik specificeert dat al het verkeer naar en van dat bereik wordt getunneld. Als het voorstel acceptabel is voor de respondent, stuurt het identieke TS-payloads terug. ENCR-lading: Deze payload wordt gedecrypteerd, en de inhoud wordt geparsed als extra payloads.	IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_BLD_AUTH Event: EV_MY_AUTH_method IKEv2-PROTO-3: (6): Mijn verificatiemethode verkrijgen IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_BLD_AUTH Event: EV_GET_PRESHR_KEY IKEv2-PROTO-3: (6): Krijg de vooraf gedeelde sleutel van peer voor $AnyConnectClient$ IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_BLD_AUTH Event: EV_GEN_AUTH IKEv2-PROTO-3: (6): Genereer mijn verificatiegegevens IKEv2-PROTO-3: (6): Gebruik preshared sleutel voor id hostname=ASA-IKEV2, key len 20 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_BLD_AUTH Event: EV_CHK4_Sign IKEv2-PROTO-3: (6): Mijn verificatiemethode verkrijgen IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_BLD_AUTH Event: EV_OK_AUTH_GEN IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_BLD_EAP_AUTH_VERIFY Gebeurtenis: EV_GEN_AUTH IKEv2-PROTO-3: (6): Genereer mijn verificatiegegevens IKEv2-PROTO-3: (6): Gebruik preshared sleutel voor id hostname=ASA-IKEV2, key len 20 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_BLD_EAP_AUTH_VERIFY Gebeurtenis: EV_SEND_AUTH IKEv2-PROTO-2: (6): Verzend AUTH, om peer na EAP-uitwisseling te verifiëren IKEv2-PROTO-3: ESP-voorstel: 1, SPI-grootte: 4 (IPSec-onderhandeling), Aantal transformaties: 3 AES-CBC SHA96 router IKEv2-PROTO-5: Construct Notify payload: ESP_TFC_NO_SUPPORTIKEv2-PROTO-5: Construct Notify payload: NON_FIRST_FRAGSIKEv2-PROTO-3: (6): Bouwpakket voor encryptie; inhoud zijn: AUTH Volgende payload: CFG, gereserveerd: 0x0, lengte: 28 Autorisatiemethode PSK, gereserveerd: 0x0, gereserveerd 0x0 Automatisch data&colon; 20 bytes CFG Volgende lading: SA, gereserveerd: 0x0, lengte: 4196 cfg type: CFG_RERESPONSE, gereserveerd: 0x0, gereserveerd: 0x0 attrib type: intern IP4 adres, lengte: 4 01 01 01 01 attrib type: intern IP4 netmasker, lengte: 4 00 00 00 00 attrib type: intern adres verlopen, lengte: 4 00 00 00 00 attrib type: applicatie versie, lengte: 16 41 53 41 20 31 30 30 2e 37 28 36 29 31 31 36 00 attrib type: Onbekend - 28704, lengte: 4 00 00 00 00 attrib type: Onbekend - 28705, lengte: 4 00 00 07 08 attrib type: Onbekend - 28706, lengte: 4 00 00 07 08 attrib type: Onbekend - 28707, lengte: 1 01 attrib type: Onbekend - 28709, lengte: 4 00 00 00 1 sexies attrib type: Onbekend - 28710, lengte: 4 00 00 00 14 attrib type: Onbekend - 28684, lengte: 1 01 attrib type: Onbekend - 28711, lengte: 2 05 7 sexies attrib type: Onbekend - 28679, lengte: 1 00 attrib type: Onbekend - 28683, lengte: 4 80 0b 00 01 attrib type: Onbekend - 28725, lengte: 1 00 attrib type: Onbekend - 28726, lengte: 1 00 attrib type: Onbekend - 28727, lengte: 4056 3c 3f 78 6d 6c 20 76 65 72 73 69 6f 6e 3d 22 31 2e 30 22 20 65 6e 63 6f 64 69 6e 67 3d 22 55 54 46 2d 38 22 3f 3e 3c 63 6f 6e 66 69 67 2d 61 75 74 68 20 63 6c 69 65 6e 74 3d 22 76 70 6e 22 20 74 79 70 65 3d 22 63 6f 6d 70 6c 65 74 65 22 3e 3c 76 65 72 73 69 6f 6e 20 77 68 6f 3d 22 73 67 22 3e 31 30 3e 37 28 36 29 31 31 36 3c 2f 76 65 72 73 69 6f 6e 3e 3c 73 65 73 73 69 6f 6e 2d 69 64 3e 38 31 39 32 3c 2f 73 65 73 73 69 6f 6e <knip> 72 6f 66 69 6c 65 2d 6d 61 6e 69 66 65 73 74 3e 3c 2f 63 6f 6e 66 69 67 3e 3c 2f 63 6f 6e 66 69 67 2d 61 75 74 68 3e 00 attrib type: Onbekend - 28729, lengte: 1 00 SA Volgende payload: TSi, gereserveerd: 0x0, lengte: 44 IKEv2-PROTO-4: laatste voorstel: 0x0, gereserveerd: 0x0, lengte: 40 Voorstel: 1, Protocol id: ESP, grootte van SPI: 4, #trans: 3 IKEv2-PROTO-4: laatste transformatie: 0x3, gereserveerd: 0x0: lengte: 12 type: 1, gereserveerd: 0x0, id: AES-CBC IKEv2-PROTO-4: laatste transformatie: 0x3, gereserveerd: 0x0: lengte: 8 type: 3, gereserveerd: 0x0, id: SHA96 IKEv2-PROTO-4: laatste transformatie: 0x0, gereserveerd: 0x0: lengte: 8 type: 5, gereserveerd: 0x0, id: TSi Volgende payload: TSr, gereserveerd: 0x0, lengte: 24 Aantal TS'en: 1, gereserveerd 0x0, gereserveerd 0x0 TS type: TS_IPV4_ADDR_RANGE, proto id: 0, lengte: 16 beginhaven: 0, eindhaven: 65535 beginpunt: 10.2.2.1, eindpunt: 10.2.2.1 TSr Volgende payload: MELDEN, gereserveerd: 0x0, lengte: 24 Aantal TS'en: 1, gereserveerd 0x0, gereserveerd 0x0 TS type: TS_IPV4_ADDR_RANGE, proto id: 0, lengte: 16 beginhaven: 0, eindhaven: 65535 begindatum: 0.0.0.0, einddatum: 255.255.255.255.255 IKEv2-PROTO-3: Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x5 IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4: IKEV2 HDR ispi: 58AFF71141BA436B - rspi: FC696330E6B94D7F IKEv2-PROTO-4: Volgende lading: ENCR, versie: 2.0 IKEv2-PROTO-4: Exchange type: IKE_AUTH, vlaggen: RESPONDER MSG-RESPONSE IKEv2-PROTO-4: Berichtnummer: 0x5, lengte: 4396 ENCR Volgende payload: AUTH, gereserveerd: 0x0, lengte: 4368 Versleutelde data&colon; 4364 bytes
ASA stuurt dit IKE_AUTH-antwoordbericht, dat in negen pakketten gefragmenteerd is. De uitwisseling IKE_AUTH is voltooid.	IKEv2-PROTO-5: (6): Fragmentatiepakket, Fragment MTU: 544, Aantal fragmenten: 9, Fragment ID: 3 IKEv2-PLAT-4: VERZONDEN PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4: VERZONDEN PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4: VERZONDEN PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4: VERZONDEN PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4: VERZONDEN PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4: VERZONDEN PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4: VERZONDEN PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4: VERZONDEN PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4: VERZONDEN PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DID Event: EV_OK IKEv2-PROTO-5: (6): Actie: Action_Null IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DON Event: EV_PKI_SESH_CLOSE
	************************************** Datum : 23-04-2013 Tijd : 16:25:07 Type : Informatie Bron: acvpnagent Beschrijving: Functie: ikev2_log Bestand: .\ikev2_anyconnect_osal.cpp Lijn: 2730 De IPsec-verbinding is tot stand gebracht. ************************************ Datum : 23-04-2013 Tijd : 16:25:07 Type : Informatie Bron: acvpnagent Beschrijving: IPsec-sessieregistratie: Encryptie: AES-CBC PRF: SHA1 HMAC: SHA96 Lokale controlemethode: PSK Afstandscontrolemethode: PSK Volgnummer: 0 Sleutelgrootte: 192 DH-groep: 1 Rekey time: 4294967 seconden Lokaal adres: 192.168.1.1 Afstandsadres: 10.0.0.1 Lokale poort: 4500 Remote-poort: 4500 Sessie-id: 1 ************************************ Datum : 23-04-2013 Tijd : 16:25:07 Type : Informatie Bron: acvpnui Beschrijving: Het profiel dat op de beveiligde gateway is geconfigureerd is: AnyConnect-ikev2.xml ************************************ Datum : 23-04-2013 Tijd : 16:25:07 Type : Informatie Bron: acvpnui Beschrijving : Aan de gebruiker verzonden informatie over het soort bericht: VPN-sessie instellen... **************************************		De client rapporteert de IPsec-verbinding zoals deze tot stand is gebracht. De client detecteert ook het gebruikersprofiel op de ASA.
	----------------------------IKE_AUTH uitwisseling eindigt-----------------------------------
	************************************** Datum : 23-04-2013 Tijd : 16:25:07 Type : Informatie Bron: acvpndownloader Beschrijving: Functie: ProfileMgr::loadProfiles Bestand: ..\api\ProfileMgr.cpp Lijn: 148 Geladen profielen: C:\Documents and Settings\All Gebruikers\Application Data\Cisco\AnyConnect Secure Mobility Client\Profile\anyconnect-ikev2.xml ************************************ ************************************ Datum : 23-04-2013 Tijd : 16:25:07 Type : Informatie Bron: acvpndownloader Beschrijving: Huidige voorkeursinstellingen: ServiceDisable: onjuist CertificateStoreOverride: fout CertificaatStore: Alle Presentatiebericht tonen: onjuist AutoConnectOnStart: onjuist MinimizeOnConnect: waar LocalLAN Access: onjuist AutoConnect: waar AutoConnectGedrag: Verbinding verbrekenOpschorting StartBeforeLogon gebruiken: fout AutoUpdate: waar RSASecurIDIntegratie: Automatisch WindowsLogonEnforcement: SingleLocalLogon Windows VPN-instelling: alleen lokale gebruikers Proxy-instellingen: native AllowLocalProxyConnections: true PPExclusie: uitschakelen IP van de PoE-uitsluitingsserver: Automatisch VPN-beleid: onjuist Trusted Network Policy: verbinding verbreken Onbetrouwbaar netwerkbeleid: verbinding maken TrustedDNSD-domeinen: Trusted DNS-servers: AlwaysOn: onjuist ConnectFailurePolicy: gesloten AllowCaptivePortalRemediation: onjuist CaptivePortalOplossingTime-out: 5 ApplyLastVPNLocalResourceRules: onjuist AllowVPNDisconnect: true Scripting inschakelen: onjuist TerminateScriptOnNextEvent: onjuist EnablePostSBLOnConnectScript inschakelen: waar Automatische certSelectie: waar VPNonLogoff behouden: onjuist Handhaving van gebruiker: alleen dezelfde gebruiker Automatische serverselectie inschakelen: onjuist Verbetering in automatische serverselectie: 20 AutoServerSelectieOpschortingTijd: 4 Time-out verificatie: 12 SafeWordSofTokenIntegration: onjuist AllowIPsecOverSSL: onjuist ClearSmartcardPin: waar ************************************ Datum : 23-04-2013 Tijd : 16:25:07 Type : Informatie Bron: acvpnui Beschrijving : Aan de gebruiker verzonden informatie over het soort bericht: VPN instellen - Systeem onderzoeken... ************************************ Datum : 23-04-2013 Tijd : 16:25:07 Type : Informatie Bron: acvpnui Beschrijving : Aan de gebruiker verzonden informatie over het soort bericht: VPN instellen - VPN-adapter activeren... ************************************ Datum : 23-04-2013 Tijd : 16:25:07 Type : Informatie Bron: acvpnagent Beschrijving: Functie: CVirtualAdapter::DoRegistryRepair Bestand: .\WindowsVirtualAdapter.cpp Lijn: 1869 Found VA Control-toets: SYSTEM\CurrentControlSet\ENUM\ROOT\NET\0000\Control ************************************ Datum : 23-04-2013 Tijd : 16:25:07 Type : Informatie Bron: acvpnagent Beschrijving: Er is een nieuwe netwerkinterface gedetecteerd. ************************************ Datum : 23-04-2013 Tijd : 16:25:07 Type : Informatie Bron: acvpnagent Beschrijving: Functie: CRouteMgr::logInterfaces Bestand: .\RouteMgr.cpp Lijn: 2076 Aangeroepen functie: logInterfaces Retourcode: 0 (0x00000000) Beschrijving: IP-adresinterfacelijst: 10.2.2.1 192.168.1.1 ************************************ Datum : 23-04-2013 Tijd : 16:25:08 Type : Informatie Bron: acvpnagent Beschrijving: Host Configuration: Openbare adres: 192.168.1.1 Openbaar masker: 255.255.255.0 Privé-adres: 10.2.2.1 Privémasker: 255.0.0.0 Private IPv6-adres: niet beschikbaar Private IPv6-masker: niet beschikbaar Remote-peers: 10.0.0.1 (TCP-poort 443, UDP-poort 500), 10.0.0.1 (UDP-poort 4500) Private netwerken: geen Openbare netwerken: geen Tunnelmodus: ja **************************************		XML-profiel wordt op de client geladen. Aangezien de client nu een IP-adres van de ASA heeft, activeert de client de VPN-adapter.
De verbinding wordt ingevoerd in de database van de Security Association (SA) en de status wordt geregistreerd. De ASA voert ook enkele controles uit zoals de status van de Common Access Card (CAC), aanwezigheid van dubbele SA's en stelt waarden in zoals 'dead peer detectie (DPD)' enzovoort.	IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DID Event: EV_INSERT_IKE IKEv2-PROTO-2: (6): SA gecreëerd; SA in database inbrengen IKEv2-PLAT-3: VERBINDINGSSTATUS: UP... peer: 192.168.1.1:25171, fase1_id: $AnyConnectClient$ IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DON Gebeurtenis: EV_REGISTER_SESSION IKEv2-PLAT-3: (6) gebruikersnaam ingesteld op: Anu IKEv2-PLAT-3: VERBINDINGSSTATUS: GEREGISTREERD... peer: 192.168.1.1:25171, fase1_id: $AnyConnectClient$ IKEv2-PROTO-3: (6): Initialiseren DPD, ingesteld voor 10 seconden IKEv2-PLAT-3: (6) mib_index ingesteld op: 4501 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DID Event: EV_GEN_LOAD_IPSEC IKEv2-PROTO-3: (6): Laad IPSEC-sleutelmateriaal IKEv2-PLAT-3: Crypto Kaart: match op dynamische kaart dynmap seq 1000 IKEv2-PLAT-3: (6) DPD Max Tijd zal zijn: 30 IKEv2-PLAT-3: (6) DPD Max Tijd zal zijn: 30 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DON Gebeurtenis: EV_START_ACCT IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DID Event: EV_CHECK_DUPE IKEv2-PROTO-3: (6): Controle op duplicaat SA IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DON Gebeurtenis: EV_CHK4_ROL IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: Ready Event: EV_R_UPDATE_CAC_STATS IKEv2-PLAT-5: Nieuwe ikev2 als aanvraag geactiveerd IKEv2-PLAT-5: decrement count voor inkomende onderhandelingen IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: Ready Event: EV_R_OK IKEv2-PROTO-3: (6): Starttimer om onderhandelingscontext te verwijderen IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: Ready Event: EV_NO_EVENT IKEv2-PLAT-2: Ontvangen PFKEY voegt SA toe voor SPI 0x77E5348, fout FALSE IKEv2-PLAT-2: Ontvangen PFKEY update SA voor SPI 0x30B848A4, fout FALSE
	************************************** Datum : 23-04-2013 Tijd : 16:25:08 Type : Informatie Bron: acvpnagent Beschrijving: De VPN-verbinding is tot stand gebracht en kan nu gegevens doorgeven. ************************************ Datum : 23-04-2013 Tijd : 16:25:08 Type : Informatie Bron: acvpnui Beschrijving : Aan de gebruiker verzonden informatie over het soort bericht: VPN instellen - Systeem configureren... ************************************ Datum : 23-04-2013 Tijd : 16:25:08 Type : Informatie Bron: acvpnui Beschrijving : Aan de gebruiker verzonden informatie over het soort bericht: VPN instellen... ************************************ Datum : 23-04-2013 Tijd : 16:25:37 Type : Informatie Bron: acvpnagent Bestand: .\IPsecProtocol.cpp Lijn: 945 IPsec-tunnel tot stand gebracht **************************************		De client meldt de tunnel als omhoog en klaar om het verkeer te passeren.

Tunnelverificatie

AnyConnect

De output van de steekproef van het show vpn-sessiondb detail om het even welke verbindingsbevel is:

Session Type: AnyConnect Detailed

   Username     : Anu                    Index        : 2
   Assigned IP  : 10.2.2.1                Public IP    : 192.168.1.1
   Protocol     : IKEv2 IPsecOverNatT AnyConnect-Parent
   License      : AnyConnect Premium
   Encryption   : AES192 AES256          Hashing      : none SHA1 SHA1
   Bytes Tx     : 0                      Bytes Rx     : 11192
   Pkts Tx      : 0                      Pkts Rx      : 171
   Pkts Tx Drop : 0                      Pkts Rx Drop : 0
   Group Policy : ASA-IKEV2              Tunnel Group : ASA-IKEV2
   Login Time   : 22:06:24 UTC Mon Apr 22 2013
   Duration     : 0h:02m:26s
   Inactivity   : 0h:00m:00s
   NAC Result   : Unknown
   VLAN Mapping : N/A                    VLAN         : none

   IKEv2 Tunnels: 1
   IPsecOverNatT Tunnels: 1
   AnyConnect-Parent Tunnels: 1 

   AnyConnect-Parent:
     Tunnel ID    : 2.1
     Public IP    : 192.168.1.1
     Encryption   : none                   Auth Mode    : userPassword
   Idle Time Out: 30 Minutes             Idle TO Left : 27 Minutes
   Client Type  : AnyConnect
   Client Ver   : 3.0.1047 
    IKEv2:
     Tunnel ID    : 2.2
     UDP Src Port : 25171                  UDP Dst Port : 4500
     Rem Auth Mode: userPassword
     Loc Auth Mode: rsaCertificate
     Encryption   : AES192                 Hashing      : SHA1
     Rekey Int (T): 86400 Seconds          Rekey Left(T): 86254 Seconds
     PRF          : SHA1                   D/H Group    : 1
     Filter Name  :
     Client OS    : Windows
    IPsecOverNatT:
     Tunnel ID    : 2.3
     Local Addr   : 0.0.0.0/0.0.0.0/0/0
     Remote Addr  : 10.2.2.1/255.255.255.255/0/0
     Encryption   : AES256                 Hashing      : SHA1
   Encapsulation: Tunnel
   Rekey Int (T): 28800 Seconds          Rekey Left(T): 28654 Seconds
   Rekey Int (D): 4608000 K-Bytes        Rekey Left(D): 4607990 K-Bytes
   Idle Time Out: 30 Minutes             Idle TO Left : 29 Minutes 
   Bytes Tx     : 0                      Bytes Rx     : 11192
   Pkts Tx      : 0                      Pkts Rx      : 171
    NAC:
     Reval Int (T): 0 Seconds              Reval Left(T): 0 Seconds
     SQ Int (T)   : 0 Seconds              EoU Age(T)   : 146 Seconds
     Hold Left (T): 0 Seconds              Posture Token:    
    Redirect URL :

ISAKMP

De voorbeelduitvoer van de opdracht show crypto ikev2 sa is:

ASA-IKEV2#  show crypto ikev2 sa

      IKEv2 SAs:

      Session-id:2, Status:UP-ACTIVE, IKE count:1, CHILD count:1

      Tunnel-id                 Local                Remote     Status         Role
       55182129    10.0.0.1/4500         192.168.1.1/25171      READY    RESPONDER
            Encr: AES-CBC, keysize: 192, Hash: SHA96, DH Grp:1, Auth sign: RSA, Auth verify: EAP
            Life/Active Time: 86400/112 sec
      Child sa: local selector  0.0.0.0/0 - 255.255.255.255/65535   
                remote selector 10.2.2.1/0 - 10.2.2.1/65535
              ESP spi in/out: 0x30b848a4/0x77ee5348

De output van de steekproef van show crypto ikev2 aangezien het detailbevel is:

ASA-IKEV2# show crypto ikev2 sa detail

    IKEv2 SAs:

    Session-id:2, Status:UP-ACTIVE, IKE count:1, CHILD count:1

    Tunnel-id                 Local                Remote     Status         Role
     55182129    10.0.0.1/4500         192.168.1.1/25171      READY    RESPONDER
       Encr: AES-CBC, keysize: 192, Hash: SHA96, DH Grp:1, Auth sign: RSA, Auth verify: EAP
         Life/Active Time: 86400/98 sec
         Session-id: 2
         Status Description: Negotiation done
         Local spi: FC696330E6B94D7F       Remote spi: 58AFF71141BA436B
         Local id: hostname=ASA-IKEV2
         Remote id: *$AnyConnectClient$*
         Local req mess id: 0              Remote req mess id: 9
         Local next mess id: 0             Remote next mess id: 9
         Local req queued: 0               Remote req queued: 9
         Local window: 1                   Remote window: 1
         DPD configured for 10 seconds, retry 2
         NAT-T is detected  outside
         Assigned host addr: 10.2.2.1
   Child sa: local selector  0.0.0.0/0 - 255.255.255.255/65535
             remote selector 10.2.2.1/0 - 10.2.2.1/65535
             ESP spi in/out: 0x30b848a4/0x77ee5348
          AH spi in/out: 0x0/0x0
          CPI in/out: 0x0/0x0
            Encr: AES-CBC, keysize: 256, esp_hmac: SHA96
            ah_hmac: None, comp: IPCOMP_NONE, mode tunnel

IPSEC

De voorbeelduitvoer van de opdracht show crypto ipsec sa is:

ASA-IKEV2# show crypto ipsec sa
   interface: outside
       Crypto map tag: dynmap, seq num: 1000, local addr: 10.0.0.1

     local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
        remote ident (addr/mask/prot/port): (10.2.2.1/255.255.255.255/0/0)
        current_peer: 192.168.1.1, username: Anu
        dynamic allocated peer ip: 10.2.2.1

      #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
         #pkts decaps: 163, #pkts decrypt: 108, #pkts verify: 108
         #pkts compressed: 0, #pkts decompressed: 0
         #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
         #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
         #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
         #send errors: 0, #recv errors: 55

      local crypto endpt.: 10.0.0.1/4500, remote crypto endpt.: 192.168.1.1/25171
         path mtu 1488, ipsec overhead 82, media mtu 1500
         current outbound spi: 77EE5348
         current inbound spi : 30B848A4

     inbound esp sas:
         spi: 0x30B848A4 (817383588)
            transform: esp-aes-256 esp-sha-hmac no compression
            in use settings ={RA, Tunnel,  NAT-T-Encaps, }
            slot: 0, conn_id: 8192, crypto-map: dynmap
            sa timing: remaining key lifetime (sec): 28685
            IV size: 16 bytes
            replay detection support: Y
            Anti replay bitmap:
            0xFFAD6BED 0x7ABFD5BF
       outbound esp sas:
         spi: 0x77EE5348 (2012107592)
            transform: esp-aes-256 esp-sha-hmac no compression
            in use settings ={RA, Tunnel,  NAT-T-Encaps, }
            slot: 0, conn_id: 8192, crypto-map: dynmap
            sa timing: remaining key lifetime (sec): 28685
            IV size: 16 bytes
            replay detection support: Y
            Anti replay bitmap:
           0x00000000 0x00000001

Gerelateerde informatie

Revisiegeschiedenis

Revisie	Publicatiedatum	Opmerkingen
1.0	04-May-2013	Eerste vrijgave

Bijgedragen door Cisco-engineers

Anu M. Chacko, Jay Young, and Atri Basu
Cisco TAC Engineers.

Was dit document nuttig?

Feedback

Contact Cisco

Een ondersteuningscase openen
(Vereist een Cisco-servicecontract)

ASA IKEv2 Debugs voor Remote Access VPN-probleemoplossing

Downloadopties

Inclusief taalgebruik

Over deze vertaling

Inhoud

Inleiding

Voorwaarden

Vereisten

Gebruikte componenten

Belangrijkste probleem

Scenario

Opdrachten voor debugging

ASA-configuratie

XML-bestand

Debug logbestanden en beschrijvingen

Tunnelverificatie

AnyConnect

ISAKMP

IPSEC

Gerelateerde informatie

Revisiegeschiedenis

Bijgedragen door Cisco-engineers

Was dit document nuttig?

Contact Cisco

Dit document is van toepassing op deze producten