[uanog] Cisco IOS EAP-MSCHAPv2 client
Volodymyr Litovka
doka.ua at gmail.com
Mon Oct 1 17:49:00 EEST 2018
Привет,
а кто-нибудь когда-нибудь учил кошку быть EAP-MSCHAPv2 клиентом? По
стандартной схеме - в рамках IKEv2 происходит аутентификация на основе
username/password с использованием публичного ключа сервера, как это
реализовано в винде, макоси?
У меня не получается - кошка пишет в дебаге следующее:
Oct 1 13:48:32.459: IKEv2:(SESSION ID = 1,SA ID = 1):Constructing IDi
payload: '10.10.10.117' of type 'IPv4 address'
Oct 1 13:48:32.459: IKEv2:(SA ID = 1):[IKEv2 -> PKI] Retrieve
configured trustpoint(s)
Oct 1 13:48:32.459: IKEv2:(SA ID = 1):[PKI -> IKEv2] Retrieved
trustpoint(s): NONE
Oct 1 13:48:32.459: IKEv2:Failed to retrieve Certificate Issuer list
Oct 1 13:48:32.459: IKEv2-ERROR:(SESSION ID = 1,SA ID = 1):: Failed to
build or process a certificate request
Oct 1 13:48:32.459: IKEv2:(SESSION ID = 1,SA ID = 1):Auth exchange failed
ключи сервера получены у letsencrypt. Я полагаю, надо каким-то образом
на кошке сконфигурировать trustpoint (?) в который записать что-то, что
позволит валидировать сертификат, полученный от сервера. И вот это у
меня не получается.
* конфигурация PKI сделана вот так:
crypto pki trustpoint DST-X3
enrollment terminal pem
usage ike
revocation-check none
!
!
!
crypto pki certificate chain DST-X3
certificate ca S/N
[ ... CERT DATA ... ]
* сертификат, который присылает сервер:
issuer=C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
subject=CN = myfqdn
* соответственно, "crypto pki authenticate DST-X3" наполнялся вот таким:
issuer=O = Digital Signature Trust Co., CN = DST Root CA X3
subject=C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
* если это имеет значение, то вот конфигурация собственно IKEv2
(proposals exchange в соответствии с этой конфигурацией происходит
корректно) :
crypto ikev2 proposal QLD-pro
encryption aes-gcm-128
prf sha256
group 14
!
crypto ikev2 policy QLD-policy
match fvrf any
proposal QLD-pro
!
crypto ikev2 profile QLD-prof
match identity remote fqdn myfqdn
authentication local eap mschapv2 username user password p123456
authentication remote rsa-sig
!
crypto ipsec transform-set QLD-ts esp-aes esp-sha256-hmac
mode tunnel
!
crypto map QLD-map 10 ipsec-isakmp
set peer remote-ip
set transform-set QLD-ts
set ikev2-profile QLD-prof
match address cryptoacl
!
ip access-list extended cryptoacl
permit ip 10.10.10.0 0.0.0.255 25.0.0.0 0.255.255.255
На стороне сервера - strongswan и он работает: OSX, например,
коннектится к нему успешно, в полной мере реализовывая EAP-MSCHAPv2 :)
В общем, кто-то пробовал делать что-то подобное с кошками?
Спасибо.
--
Volodymyr Litovka
"Vision without Execution is Hallucination." -- Thomas Edison
More information about the uanog
mailing list