Pix icm MS Certificates

Pagina: 1
Acties:
  • 153 views sinds 30-01-2008
  • Reageer

  • richard_kraal
  • Registratie: September 2001
  • Laatst online: 24-03-2025
mja, lang verhaal, ff in het kort uitleggen

het is de bedoeling dat VPN Sessies wordt geregeld met certificaten, op dit moment gebeurd het door middel van Shared Keys, werkt perfect.

Nu is het zo dat ik wil overstappen naar Certificates, dus ik al hier en daar info opgezocht op MS.com en Cisco websites. Hier en daar wat gegoogled. Vervolgens de volgende stappen ondernomen

-Clean Install 2003 Server + Domain + Enterprise CA installatie
-Mscep geinstalleerd (basis) + getest, de website werkt

Pix config:

-ca zeroize rsa
-ca gen rsa key 512
-ca ident vpnca 10.40.60.12:/certsrv/mscep/mscep.dll (10.40.60.12 = ip server)
-ca conf vpnca ra 1 20 crlopt
-ca auth vpnca

en dan gaat het fout

je moet hierna het volgende commande gebruiken

-ca enroll vpnca

vervolgens krijg ik de volgende foutmelding

% No CA root cert exists. Use "ca authenticate"


ik heb mezelf al kapot gezocht, maar kan er geen oplossing voor vinden :(


iemand dit werkend gekregen op een pix?

mis ik ergens een stap misschien?

  • paulhekje
  • Registratie: Maart 2001
  • Laatst online: 25-01 15:50
misschien heb je wat aan dit voorbeeld: http://groups.google.nl/g...s&rnum=1#79c9caede145cea6

|=|=|=||=|=|=||=|=|=| http://www.vanwijck.com |=|=|=||=|=|=||=|=|=||=|=|=||=|=|=||=|=|=||=|=|=|


  • richard_kraal
  • Registratie: September 2001
  • Laatst online: 24-03-2025
dat artikel had ik ook al gevonden, helaas boodt dit geen oplossing en geeft de pix dezelfde foutmelding

ik heb net een andere pix/windows/domain installatie gebruikt en die geeft precies hetzelfde probleem

:(

  • Sundead
  • Registratie: Februari 2001
  • Laatst online: 27-04-2024
Hier wordt nog gesproken over de samenwerking van Windows 2000 CA services i.c.m. Cisco IOS, allicht dat de genoemde punten daar nog voor controle geschikt zijn?

Tevens ben ik benieuwd wat de "ca authenticate" in debug modus aan informatie op ratelt?
Zou dat hier gepost kunnen worden?

Komt het root certificate van de CA wel door op de Cisco?

  • richard_kraal
  • Registratie: September 2001
  • Laatst online: 24-03-2025
Sundead schreef op woensdag 04 januari 2006 @ 18:10:
Hier wordt nog gesproken over de samenwerking van Windows 2000 CA services i.c.m. Cisco IOS, allicht dat de genoemde punten daar nog voor controle geschikt zijn?

Tevens ben ik benieuwd wat de "ca authenticate" in debug modus aan informatie op ratelt?
Zou dat hier gepost kunnen worden?

Komt het root certificate van de CA wel door op de Cisco?
debug of ca auth kobe ->
pix(config)# ca auth kobe

CI thread sleeps!
Crypto CA thread wakes up!
pix(config)# ttp connection opened
CRYPTO_PKI: status = 266: failed to verify
CRYPTO_PKI: transaction GetCACert completed
Crypto CA thread sleeps!
CI thread wakes up!
wat ook opvalt is dat je niet naar http://10.40.60.12/certsrv/mscep/mscep.dll kan gaan voor een cerf, daar vraagt hij op een gebruikers naam en wachtwoord

al ik er http://test/certsrv/mscep/mscep.dll van maak, dan krijg ik wel een webpagina met o.a. een CA certificate's thumbprint / challenge password

(ca server = 10.40.60.12 / naam = test)

  • richard_kraal
  • Registratie: September 2001
  • Laatst online: 24-03-2025
ok inmiddels een stapje verder, de key size stond te groot op de certificate server en daardoor begrijp de pix het niet meer

nu zit ik het met volgende, bij het aanmelden met het certificaat lukt nog niet echt

debug pix firewall
pix(config)#
ISAKMP (0): deleting SA: src 10.40.50.105, dst 10.40.50.3
ISADB: reaper checking SA 0xf57ad4, conn_id = 0 DELETE IT!

VPN Peer:ISAKMP: Peer Info for 10.40.50.105/500 not found - peers:0

crypto_isakmp_process_block:src:10.40.50.105, dest:10.40.50.3 spt:500 dpt:500
OAK_MM exchange
ISAKMP (0): processing SA payload. message ID = 0

ISAKMP (0): Checking ISAKMP transform 1 against priority 20 policy
ISAKMP: encryption AES-CBC
ISAKMP: hash SHA
ISAKMP: default group 5
ISAKMP: extended auth RSA sig (init)
ISAKMP: life type in seconds
ISAKMP: life duration (VPI) of 0x0 0x20 0xc4 0x9b
ISAKMP: keylength of 256
ISAKMP (0): atts are not acceptable. Next payload is 3
ISAKMP (0): Checking ISAKMP transform 2 against priority 20 policy
ISAKMP: encryption AES-CBC
ISAKMP: hash MD5
ISAKMP: default group 5
ISAKMP: extended auth RSA sig (init)
ISAKMP: life type in seconds
ISAKMP: life duration (VPI) of 0x0 0x20 0xc4 0x9b
ISAKMP: keylength of 256
ISAKMP (0): atts are not acceptable. Next payload is 3
ISAKMP (0): Checking ISAKMP transform 3 against priority 20 policy
ISAKMP: encryption AES-CBC
ISAKMP: hash SHA
ISAKMP: default group 5
ISAKMP: auth RSA sig
ISAKMP: life type in seconds
ISAKMP: life duration (VPI) of 0x0 0x20 0xc4 0x9b
ISAKMP: keylength of 256
ISAKMP (0): atts are not acceptable. Next payload is 3
ISAKMP (0): Checking ISAKMP transform 4 against priority 20 policy
ISAKMP: encryption AES-CBC
ISAKMP: hash MD5
ISAKMP: default group 5
ISAKMP: auth RSA sig
ISAKMP: life type in seconds
ISAKMP: life duration (VPI) of 0x0 0x20 0xc4 0x9b
ISAKMP: keylength of 256
ISAKMP (0): atts are not acceptable. Next payload is 3
ISAKMP (0): Checking ISAKMP transform 5 against priority 20 policy
ISAKMP: encryption AES-CBC
ISAKMP: hash SHA
ISAKMP: default group 2
ISAKMP: extended auth RSA sig (init)
ISAKMP: life type in seconds
ISAKMP: life duration (VPI) of 0x0 0x20 0xc4 0x9b
ISAKMP: keylength of 256
ISAKMP (0): atts are not acceptable. Next payload is 3
ISAKMP (0): Checking ISAKMP transform 6 against priority 20 policy
ISAKMP: encryption AES-CBC
ISAKMP: hash MD5
ISAKMP: default group 2
ISAKMP: extended auth RSA sig (init)
ISAKMP: life type in seconds
ISAKMP: life duration (VPI) of 0x0 0x20 0xc4 0x9b
ISAKMP: keylength of 256
ISAKMP (0): atts are not acceptable. Next payload is 3
ISAKMP (0): Checking ISAKMP transform 7 against priority 20 policy
ISAKMP: encryption AES-CBC
ISAKMP: hash SHA
ISAKMP: default group 2
ISAKMP: auth RSA sig
ISAKMP: life type in seconds
ISAKMP: life duration (VPI) of 0x0 0x20 0xc4 0x9b
ISAKMP: keylength of 256
ISAKMP (0): atts are not acceptable. Next payload is 3
ISAKMP (0): Checking ISAKMP transform 8 against priority 20 policy
ISAKMP: encryption AES-CBC
ISAKMP: hash MD5
ISAKMP: default group 2
ISAKMP: auth RSA sig
ISAKMP: life type in seconds
ISAKMP: life duration (VPI) of 0x0 0x20 0xc4 0x9b
ISAKMP: keylength of 256
ISAKMP (0): atts are not acceptable. Next payload is 3
ISAKMP (0): Checking ISAKMP transform 9 against priority 20 policy
ISAKMP: encryption AES-CBC
ISAKMP: hash SHA
ISAKMP: default group 5
ISAKMP: extended auth RSA sig (init)
ISAKMP: life type in seconds
ISAKMP: life duration (VPI) of 0x0 0x20 0xc4 0x9b
ISAKMP: keylength of 128
crypto_isakmp_process_block:src:10.40.50.105, dest:10.40.50.3 spt:500 dpt:500
VPN Peer:ISAKMP: Peer Info for 10.40.50.105/500 not found - peers:0

ISAKMP: larval sa found
crypto_isakmp_process_block:src:10.40.50.105, dest:10.40.50.3 spt:500 dpt:500
VPN Peer:ISAKMP: Peer Info for 10.40.50.105/500 not found - peers:0

ISAKMP: larval sa found
crypto_isakmp_process_block:src:10.40.50.105, dest:10.40.50.3 spt:500 dpt:500
VPN Peer:ISAKMP: Peer Info for 10.40.50.105/500 not found - peers:0

ISAKMP: larval sa found
ISAKMP (0): deleting SA: src 10.40.50.105, dst 10.40.50.3
ISADB: reaper checking SA 0xf57ad4, conn_id = 0 DELETE IT!

VPN Peer:ISAKMP: Peer Info for 10.40.50.105/500 not found - peers:0
Cisco VPN Client 4.6
Cisco Systems VPN Client Version 4.6.03.0021
Copyright (C) 1998-2005 Cisco Systems, Inc. All Rights Reserved.
Client Type(s): Windows, WinNT
Running on: 5.1.2600 Service Pack 2

27 22:54:41.850 01/04/06 Sev=Info/4 CERT/0x63600013
Cert (cn=richard,cn=Users,dc=zaadje,dc=nl) verification succeeded.

28 22:54:43.242 01/04/06 Sev=Info/4 CERT/0x63600013
Cert (cn=richard,cn=Users,dc=zaadje,dc=nl) verification succeeded.

29 22:54:43.242 01/04/06 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK MM (SA, VID(Xauth), VID(dpd), VID(Nat-T), VID(Frag), VID(Unity)) to 10.40.50.3

30 22:54:43.252 01/04/06 Sev=Warning/2 IKE/0xE3000099
Invalid SPI size (PayloadNotify:116)

31 22:54:43.252 01/04/06 Sev=Info/4 IKE/0xE30000A4
Invalid payload: Stated payload length, 1032, is not sufficient for Notification:(PayloadList:149)

32 22:54:43.252 01/04/06 Sev=Warning/3 IKE/0xA3000058
Received malformed message or negotiation no longer active (message id: 0x00000000)

33 22:54:48.479 01/04/06 Sev=Info/4 IKE/0x63000021
Retransmitting last packet!

34 22:54:48.479 01/04/06 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK MM (Retransmission) to 10.40.50.3

35 22:54:53.486 01/04/06 Sev=Info/4 IKE/0x63000021
Retransmitting last packet!

36 22:54:53.486 01/04/06 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK MM (Retransmission) to 10.40.50.3

37 22:54:58.494 01/04/06 Sev=Info/4 IKE/0x63000021
Retransmitting last packet!

38 22:54:58.494 01/04/06 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK MM (Retransmission) to 10.40.50.3

39 22:55:03.501 01/04/06 Sev=Info/4 IKE/0x63000017
Marking IKE SA for deletion (I_Cookie=86EA605328518640 R_Cookie=28280A716EA19D67) reason = DEL_REASON_PEER_NOT_RESPONDING

40 22:55:04.002 01/04/06 Sev=Info/4 IKE/0x6300004B
Discarding IKE SA negotiation (I_Cookie=86EA605328518640 R_Cookie=28280A716EA19D67) reason = DEL_REASON_PEER_NOT_RESPONDING

41 22:55:04.022 01/04/06 Sev=Info/4 IKE/0x63000001
IKE received signal to terminate VPN connection

42 22:55:04.032 01/04/06 Sev=Info/4 IKE/0x63000086
Microsoft IPSec Policy Agent service started successfully
tot slot de pix config voor het geval nodig is
interface ethernet0 auto
interface ethernet1 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pix
domain-name zaadje.nl
clock timezone CEST 1
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
name 10.40.60.12 test
access-list outside_access_in permit icmp any any
access-list inside_outbound_nat0_acl permit ip 10.40.60.0 255.255.255.0 10.1.1.0 255.255.255.240
access-list outside_cryptomap_dyn_20 permit ip any 10.1.1.0 255.255.255.240
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside 10.40.50.3 255.255.255.0
ip address inside 10.40.60.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
ip local pool zwembad 10.1.1.1-10.1.1.11
pdm location 10.40.60.0 255.255.255.0 inside
pdm location 192.168.14.0 255.255.255.0 inside
pdm location test 255.255.255.255 inside
pdm location 10.1.1.0 255.255.255.240 outside
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list inside_outbound_nat0_acl
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
access-group outside_access_in in interface outside
route outside 0.0.0.0 0.0.0.0 10.40.50.1 1
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
ntp server 193.67.79.202 source outside prefer
http server enable
http 192.168.14.0 255.255.255.0 inside
http 10.40.60.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-SHA
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
isakmp enable outside
isakmp keepalive 20 20
isakmp nat-traversal 20
isakmp policy 20 authentication rsa-sig
isakmp policy 20 encryption 3des
isakmp policy 20 hash sha
isakmp policy 20 group 2
isakmp policy 20 lifetime 86400
vpngroup test address-pool zwembad
vpngroup test idle-time 1800
ca identity kobe 10.40.60.9:/certsrv/mscep/mscep.dll
ca configure kobe ra 1 20 crloptional
telnet 10.40.60.0 255.255.255.0 inside
telnet timeout 5
ssh timeout 5
console timeout 0
terminal width 80
ik snap het niet helemaal, maar het aantal mensen dat een pix gebruikt is best groot, maar de combi pix - certificaten kom je bijna niet tegen, of heb ik gewoon zoveel pech dat ik het niet voor elkaar krijg :( hahaha

goed, mocht iemand een idee hebben, let mee know!

  • Sundead
  • Registratie: Februari 2001
  • Laatst online: 27-04-2024
bij Experts Exchange was iemand die na het wijzigen van het hash protocol van sha naar md5 resultaat boekte, tis een beetje een losse flodder, maar meer kan ik even niet opduikelen.

Verwijderd

Ik zie dat je in je pix heel veel crypto regels heb. Volgens de cisco site heb je alleen de volgende nodig:

crypto ipsec transform-set myset esp-3des esp-md5-hmac
crypto dynamic-map dynmap 10 set transform-set myset
crypto map mymap 10 ipsec-isakmp dynamic dynmap
crypto map mymap interface outside


Verder heb ik nog een MS walkthrough gevonden, misschien heb je er wat aan:
http://www.microsoft.com/...04/plan/ipsecvpn.mspx#EAC

  • richard_kraal
  • Registratie: September 2001
  • Laatst online: 24-03-2025
kan het niet zo zijn dat ik iets met radius moet gaan doen?

  • Sundead
  • Registratie: Februari 2001
  • Laatst online: 27-04-2024
Euh...had je dat nog niet gedaan dan? :P

Lijkt mij in ieder geval een verstandige keus.

Verwijderd

mij ook, maar dan heb je die certificaten niet nodig lijkt me (of is dat een beslissing van hogerhand genomen?)

Voor PIX icm met een Radius server zijn voldoende voorbeelden te vinden op het web.

[ Voor 1% gewijzigd door Verwijderd op 06-01-2006 11:55 . Reden: spelfoutje :o ]


  • richard_kraal
  • Registratie: September 2001
  • Laatst online: 24-03-2025
goed, inmiddels wel werkend gekregen, je hebt dus Radius niet nodig om het werkend te krijgen....

alleen nu wil ik ook het volgende proberen

authenticatie via Radius

heb een gebruiker aan gemaakt in de activedirectory en deze user heeft op het dail-in tabblad "allow access" rechten, dan werkt mijn VPN verbinding

zodra ik deze op control by remote access policy zet, dan werkt het niet meer, en dit is juist iets wat ik wel wil, ik wil een group rechten kunnen geven op cisco vpn client, ik heb al een paar keer geprobeerd een nieuwe groep aan te maken maar het lukt me niet om het geheel werken te krijgen met een policy

dit zou een configuratie in de rras policies moeten zijn, maar hoe?

iemand een idee?

ps: krijg het ook niet werkend met de RRAS PPTP verbinding, dus het ligt niet aan de PIX Firewall

  • richard_kraal
  • Registratie: September 2001
  • Laatst online: 24-03-2025
tsja, never mind, m'n RRAS/AD/IAS was gewoon flink over de thee, na een herstart deed alles het weer :(

ik laat nog wel ff weten of de combi Certificaten en Radius werkt
Pagina: 1