[uanog] Cisco IOS EAP-MSCHAPv2 client

Volodymyr Litovka doka.ua at gmail.com
Mon Oct 1 17:49:00 EEST 2018 

Привет,

а кто-нибудь когда-нибудь учил кошку быть EAP-MSCHAPv2 клиентом? По 
стандартной схеме - в рамках IKEv2 происходит аутентификация на основе 
username/password с использованием публичного ключа сервера, как это 
реализовано в винде, макоси?

У меня не получается - кошка пишет в дебаге следующее:

Oct  1 13:48:32.459: IKEv2:(SESSION ID = 1,SA ID = 1):Constructing IDi 
payload: '10.10.10.117' of type 'IPv4 address'
Oct  1 13:48:32.459: IKEv2:(SA ID = 1):[IKEv2 -> PKI] Retrieve 
configured trustpoint(s)
Oct  1 13:48:32.459: IKEv2:(SA ID = 1):[PKI -> IKEv2] Retrieved 
trustpoint(s): NONE
Oct  1 13:48:32.459: IKEv2:Failed to retrieve Certificate Issuer list
Oct  1 13:48:32.459: IKEv2-ERROR:(SESSION ID = 1,SA ID = 1):: Failed to 
build or process a certificate request
Oct  1 13:48:32.459: IKEv2:(SESSION ID = 1,SA ID = 1):Auth exchange failed

ключи сервера получены у letsencrypt. Я полагаю, надо каким-то образом 
на кошке сконфигурировать trustpoint (?) в который записать что-то, что 
позволит валидировать сертификат, полученный от сервера. И вот это у 
меня не получается.

* конфигурация PKI сделана вот так:

crypto pki trustpoint DST-X3
  enrollment terminal pem
  usage ike
  revocation-check none
!
!
!
crypto pki certificate chain DST-X3
  certificate ca S/N
   [ ... CERT DATA ... ]

* сертификат, который присылает сервер:

issuer=C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
subject=CN = myfqdn

* соответственно, "crypto pki authenticate DST-X3" наполнялся вот таким:

issuer=O = Digital Signature Trust Co., CN = DST Root CA X3
subject=C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3

* если это имеет значение, то вот конфигурация собственно IKEv2 
(proposals exchange в соответствии с этой конфигурацией происходит 
корректно) :

crypto ikev2 proposal QLD-pro
  encryption aes-gcm-128
  prf sha256
  group 14
!
crypto ikev2 policy QLD-policy
  match fvrf any
  proposal QLD-pro
!
crypto ikev2 profile QLD-prof
  match identity remote fqdn myfqdn
  authentication local eap mschapv2 username user password p123456
  authentication remote rsa-sig
!
crypto ipsec transform-set QLD-ts esp-aes esp-sha256-hmac
  mode tunnel
!
crypto map QLD-map 10 ipsec-isakmp
  set peer remote-ip
  set transform-set QLD-ts
  set ikev2-profile QLD-prof
  match address cryptoacl
!
ip access-list extended cryptoacl
  permit ip 10.10.10.0 0.0.0.255 25.0.0.0 0.255.255.255

На стороне сервера - strongswan и он работает: OSX, например, 
коннектится к нему успешно, в полной мере реализовывая EAP-MSCHAPv2 :)

В общем, кто-то пробовал делать что-то подобное с кошками?

Спасибо.

-- 
Volodymyr Litovka
   "Vision without Execution is Hallucination." -- Thomas Edison

More information about the uanog mailing list