Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    IPsec IKEv2 Mutual RSA +cisco ? нужен совет.

    Scheduled Pinned Locked Moved Russian
    18 Posts 4 Posters 1.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • G
      guff007 @viktor_g
      last edited by

      @viktor_g said in IPsec IKEv2 Mutual RSA +cisco ? нужен совет.:

      настройках IPsec Phase 1.

      Спасибо за совет, но в Сертификате сервера CA который мне прислали, отсутствует IP
      т. е. поле Alternative Names где указывается IP. видимо для cisco указание IP не обязательно в сертификате. В случае с pfsense, без этого не обойтись?

      1 Reply Last reply Reply Quote 0
      • viktor_gV
        viktor_g Netgate
        last edited by

        В сертификате сервера (не CA) должен быть IP,

        https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/configuring-rsa-authentication-for-ipsec.html:

        Create a Certificate for Firewall A. Set the Common Name to the hostname of Firewall A, add an Alternative Names entry with a Type of IP and the Value set to the IP address of the WAN interface on Firewall A.

        Create a Certificate for Firewall B. Set the Common Name to the hostname of Firewall B, add an Alternative Names entry with a Type of IP and the Value set to the IP address of the WAN interface on Firewall B.

        1 Reply Last reply Reply Quote 0
        • viktor_gV
          viktor_g Netgate
          last edited by

          ещё попробуйте указать "Peer ID = Any"

          см. https://wiki.strongswan.org/issues/949

          1 Reply Last reply Reply Quote 0
          • G
            guff007
            last edited by

            Благодарю за советы, был невнимателен. Перевыпущу сертификат и попробую.

            K 1 Reply Last reply Reply Quote 0
            • K
              Konstanti @guff007
              last edited by Konstanti

              @guff007
              Здр
              ip адрес не всегда обязателен в сертификате
              надо четко знать , как настроена фаза -1 на cisco

              Судя по логам , у Вас проблема начинается тут
              12165148-7fa1-4c9f-9493-d0ba0bfa22be-image.png

              к сожалению , не видно как выглядит эта строка , это важно

              Возможно Вам нужно грамотно заполнить поле SAN при выпуске сертификата ( Атрибуты сертификата ) = FQDN . Обычно оно имеет такое же значение как и поле CN .
              Тогда настройка фазы 1 будет выглядеть так

              2fb61fb2-c332-4279-a74c-3027bad16c13-image.png

              и все прекрасно соединяется

              G 1 Reply Last reply Reply Quote 0
              • G
                guff007 @Konstanti
                last edited by

                @Konstanti identity - внешний адрес cisco

                1 Reply Last reply Reply Quote 0
                • K
                  Konstanti
                  last edited by

                  @guff007
                  Попробуйте добавить ip адрес в качестве subjectAltName , как Вам написали выше , в сертификат клиента

                  1 Reply Last reply Reply Quote 1
                  • G
                    guff007
                    last edited by

                    добрый день, прошли фазу с сертификатами, но все не пошло так гладко как хотелось

                    Aug 20 10:24:40 charon: 08[IKE] <con1000|1> nothing to initiate
                    Aug 20 10:24:40 charon: 08[IKE] <con1000|1> activating new tasks
                    Aug 20 10:24:40 charon: 08[CHD] <con1000|1> CHILD_SA con1000{2} state change: CREATED => DESTROYING
                    Aug 20 10:24:40 charon: 08[IKE] <con1000|1> failed to establish CHILD_SA, keeping IKE_SA
                    Aug 20 10:24:40 charon: 08[IKE] <con1000|1> received TS_UNACCEPTABLE notify, no CHILD_SA built
                    Aug 20 10:24:40 charon: 08[IKE] <con1000|1> maximum IKE_SA lifetime 4607981s
                    Aug 20 10:24:40 charon: 08[IKE] <con1000|1> scheduling reauthentication in 4607441s
                    Aug 20 10:24:40 charon: 08[IKE] <con1000|1> IKE_SA con1000[1] state change: CONNECTING => ESTABLISHED

                    K 1 Reply Last reply Reply Quote 0
                    • K
                      Konstanti @guff007
                      last edited by Konstanti

                      @guff007 said in IPsec IKEv2 Mutual RSA +cisco ? нужен совет.:

                      Aug 20 10:24:40 charon: 08[IKE] <con1000|1> received TS_UNACCEPTABLE notify, no CHILD_SA built

                      Здр

                      Aug 20 10:24:40 charon: 08[IKE] <con1000|1> received TS_UNACCEPTABLE notify, no CHILD_SA built

                      надо разбираться с селекторами трафика фазы-2 , с какой-то стороны неверные настройки ( подозреваю , что с Вашей )
                      или надо проверить правильность ACL со стороны Cisco

                      G 2 Replies Last reply Reply Quote 0
                      • G
                        guff007 @Konstanti
                        last edited by

                        @Konstanti победил, туннель поднимается, но трафик не ходит, пойду смотреть далее, спасибо за советы.

                        K 1 Reply Last reply Reply Quote 0
                        • K
                          Konstanti @guff007
                          last edited by Konstanti

                          @guff007 дальше правила проверяйте на ipsec интерфейсе
                          и на lan тоже
                          PS . Совет , включайте бесконечный ping в сторону cisco

                          и tcpdump-ом мониторьте , что происходит с Вашей стороны
                          уходят ли esp пакеты в сторону cisco , и приходят ли ответы

                          G 1 Reply Last reply Reply Quote 1
                          • G
                            guff007 @Konstanti
                            last edited by

                            @Konstanti спасибо за совет, коллеги со стороны циски, попросили как раз пинги, и все завершилось успешным соединением без ошибок, fqdn в виде,ip адреса не потребовался. Пф скушал атрибуты сертификата стандартные. Завтра скину сюда пример, вдруг кому пригигодится

                            1 Reply Last reply Reply Quote 1
                            • werterW
                              werter
                              last edited by

                              @guff007
                              Можно краткий how-to с картинками? Заранее благодарен.

                              G 1 Reply Last reply Reply Quote 0
                              • G
                                guff007 @werter
                                last edited by

                                @werter
                                я вам скажу так -
                                https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/configuring-a-site-to-site-ipsec-vpn.html#:~:text=IPsec%20(IP%20security)%20is%20a,and%20remote%20access%20(mobile).
                                делаете все по инструкции от и до.
                                Если будут вопросы или ошибки надо все равно смотреть логи.
                                Но, у меня заработало без указаний FQDN как в мануале
                                важно.png

                                1 Reply Last reply Reply Quote 0
                                • G
                                  guff007 @Konstanti
                                  last edited by

                                  @Konstanti эту ошибку вызывал PFS key group не указанный.

                                  1 Reply Last reply Reply Quote 0
                                  • werterW
                                    werter
                                    last edited by werter

                                    @guff007
                                    Спасибо

                                    Зы. “No NAT” List on Cisco IOS" может пригодиться , чтобы в правилах fw\логах были видны адреса машин из обоих сетей, а не адреса концов туннелей https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/connecting-to-cisco-ios-devices-with-ipsec.html

                                    1 Reply Last reply Reply Quote 1
                                    • First post
                                      Last post
                                    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.