The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"isakmp policy"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Безопасность)
Изначальное сообщение [ Отслеживать ]

"isakmp policy"  +/
Сообщение от RET email(ok) on 28-Апр-09, 17:46 
Есть следующая проблема: имеется несколько роутеров(часть принадлежит одному доменну часть другому) соединёных GRE тунелями и защищеных профилем IPSec. Решили сделать аутентификацию туннелей на сертификатах полученых с Microsoft Server 2003. Роутеры из первого домена получают получают сертификаты от сервера в своем домене, а те соответственно от другого. Так вот как соеденить тунелями  роутеры разных доменнов? Получается такая ситуация что роутеры на стыке доменов пытаются использовать каждый свой сертификат и соответственно туннель не поднимается. Есть вариант использовать pre-shared auth policy, но как указать каким тунелям использовать определенную isakmp policy ума не приложу.
Вот вырезки из конфига:


crypto isakmp policy 50
encr aes 256
!
crypto isakmp policy 100
encr aes 256
authentication pre-share
crypto isakmp key supper_secret_key address 0.0.0.0 0.0.0.0
crypto isakmp keepalive 30 10 periodic
!
crypto ipsec security-association lifetime seconds 86400
crypto ipsec security-association replay window-size 256
!
crypto ipsec transform-set SEC esp-aes 256 esp-sha-hmac
!
crypto ipsec profile Tunnel_crypt
set transform-set SEC

crypto pki trustpoint domain1-cert
enrollment mode ra
enrollment url http://SRV-1.domain1.com:80/certsrv/mscep/mscep.dll
usage ike
password 7 154C9E2E567D8F727A126C0145514E5129
revocation-check crl

Ответить | Правка | Cообщить модератору

Оглавление

  • isakmp policy, zxc, 18:02 , 28-Апр-09, (1)  
    • isakmp policy, RET, 18:05 , 28-Апр-09, (2)  
  • isakmp policy, zigli, 08:31 , 02-Дек-11, (3)  

Сообщения по теме [Сортировка по времени | RSS]


1. "isakmp policy"  +/
Сообщение от zxc (??) on 28-Апр-09, 18:02 
Ответ дать не могу, так как сертификаты не пользовал на маршрутизаторах.
Хочу только спросить: зачем такие сложности и использовать сторонние сертификаты?
У вас корпоративная политика такая?

Ведь если секретные данные на какой-нибудь стороне и будут скомпрометированы, то уже ничего не поможет.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "isakmp policy"  +/
Сообщение от RET email(ok) on 28-Апр-09, 18:05 
>Ответ дать не могу, так как сертификаты не пользовал на маршрутизаторах.
>Хочу только спросить: зачем такие сложности и использовать сторонние сертификаты?
>У вас корпоративная политика такая?
>
>Ведь если секретные данные на какой-нибудь стороне и будут скомпрометированы, то уже
>ничего не поможет.

ну вообщем, да - политика партии

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "isakmp policy"  +/
Сообщение от zigli (ok) on 02-Дек-11, 08:31 
>[оверквотинг удален]
> crypto ipsec transform-set SEC esp-aes 256 esp-sha-hmac
> !
> crypto ipsec profile Tunnel_crypt
>  set transform-set SEC
> crypto pki trustpoint domain1-cert
>  enrollment mode ra
>  enrollment url http://SRV-1.domain1.com:80/certsrv/mscep/mscep.dll
>  usage ike
>  password 7 154C9E2E567D8F727A126C0145514E5129
>  revocation-check crl

Вроде как перебирать должен все полиси...

http://www.cisco.com/en/US/docs/security/pix/pix52/ipsec/con...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру