Ipsec con mutual rsa + xauth no me conecta



  • Hola a todos, estoy intentando crear una vpn para poder acceder a la red de la oficina. La estoy configurando con ipsec y tengo intención de conectar con un cliente cisco ( estoy probando en un mac mini).  He probado a realizar la configuración con mutual psk + xauth y funciona perfectamente. Mi problema viene cuando intento realizar la configuración con los certificados. Mi intención es utilizar un certificado valido que ya tenemos pero para probar estoy generando los certificados yo mismo con pfsense. He seguido esta guia para realizar la configuracion:

    http://forum.pfsense.org/index.php/topic,47106.msg247453.html

    He creado mi C.A tal y como viene en el tutorial, una vez tengo mi C.A me creo mi certificado, cuyo Common Name es la ip publica en la que tengo conectado mi pfsense. Aqui empiezan a sugirme las dudas, a la hora de crear el certificado para el usuario, el common name tiene que ser diferente al del certificado del servidor?. Yo me he creado un certificado para el usuario que tiene un Common Name diferente pero no estoy seguro. En la fase 1 de la vpn  tanto en el my identifier como el peer identifier lo tengo puesto en ASN.1 Distinguished Name. Aqui viene mi segunda duda, cuando configuro el cliente ipsec cisco en el mac me pregunta el nombre del grupo, que se supone que corresponde al campo peer identifier en la configuración. Entonces el grupo sería el Common Name del certificado del usuario?, no tengo muy claro como pilla los datos del cliente.

    Si me podeis aclarar un poco el tema os lo agradeceria. Mi version de pfsense es la 2.0.2

    Gracias y un saludo.



  • He optado al final por crear un dominio que apunte a la ip que estoy utilizando para hacer la conexion a mi vpn. Una vez hecho esto he creado mi CA y mi certificado apuntando a vpn.midomio.com. He pasado al cliente ( un iphone 4 ) el .crt de mi CA y el .p12 ( creado a partir de openssl con el .crt y el .key del certificado del usuario ) y configurado la conexion vpn. Si lo hago desde el movil me funciona correctamente, el cliente cisco del mac mini se diferencia del cliente del iphone en que pide un campo mas denominado "Nombre del Grupo". Aqui es donde radica mi problema. No se cual es exactamente el valor que tiene que tener dicho campo. Si lo dejo en blanco no me deja conectar con la vp:

    "la identidad del certificado del servidor es incorrecta"

    si le pongo al campo el dominio, tras esperar unos segundos me dice error al negociar con el servidor VPN y en el log de pfsense se pueden ver errores:

    racoon: ERROR: Inpropper ID type passed: KEY_ID.
    racoon: DEBUG: Discarding CERT: does not match ID.
    racoon: ERROR: no peer's CERT payload found.

    si me podéis dar alguna orientación os lo agradecería.

    Un saludo.


Log in to reply