Форум программистов, компьютерный форум, киберфорум
Cisco
Форум программистов и сисадминов Киберфорум > Компьютерный форум > Сети и средства коммуникаций > Сетевое оборудование > Cisco
Войти
Регистрация
Восстановить пароль
Блоги Социальные группы Поиск Сообщения за день Заказать работу  
 
Рейтинг 4.85/13: Рейтинг темы: голосов - 13, средняя оценка - 4.85
 Аватар для gurlov
3 / 3 / 3
Регистрация: 27.05.2014
Сообщений: 373

CISCO Site-to-Site VPN по сертификатам

15.06.2015, 12:55. Показов 2389. Ответов 4
Метки нет (Все метки)
Студворк — интернет-сервис помощи студентам
Здравствуйте.
Пытаюсь разобраться с VPN на CISCO ASA, который мне достался в наследство. Ни как не могу до конца осознать две вещи (см. конфиг ниже):
  1. certificate 0080a2d13912e6ca69 и certificate ca 01 - это открытые или закрытые ключи? и чьи это ключи: моей ASA? удалённого peer-а или CA-сервера?
  2. как понять кто в данном работающем VPN выполняет роль CA-сервера?
Конфиг:
Кликните здесь для просмотра всего текста
Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44

ASA Version 7.2(4) 
!
crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac 
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
crypto ipsec df-bit clear-df intranet
crypto map intranet_map 3 match address intranet_3_cryptomap
crypto map intranet_map 3 set pfs 
crypto map intranet_map 3 set peer 10.10.53.1 
crypto map intranet_map 3 set transform-set ESP-AES-128-SHA
crypto map intranet_map 3 set trustpoint GP_REMOTE chain
crypto map intranet_map interface intranet
crypto ca trustpoint GP_REMOTE
 enrollment terminal
 crl configure
crypto ca certificate chain GP_REMOTE
 certificate 0080a2d13912e6ca69
    30820483 3082036b a0030201 02020900 80a2d139 12e6ca69 300d0609 2a864886 
    f70d0101 05050030 82012c31 0b300906 03550406 13025255 31263024 06035504 
    ... ... ... 
    c9640cc5 4771e370 8c1de4df c0d678d9 fe796818 1f795504 8c015923 9dd11d2c 
    cca922a7 cb7a8a25 e201c082 e49a52b3 47dec595 ce361e4c 10697a8a 56cfa34d 
    1c68f7d9 b14101
  quit
 certificate ca 01
    3082058f 30820477 a0030201 02020101 300d0609 2a864886 f70d0101 05050030 
    82012c31 0b300906 03550406 13025255 31263024 06035504 070c1dd0 a1d0b0d0 
    ... ... ... 
    3b33d2d8 13114452 8e7f00f7 b725b6c7 d726ea50 e0e2b9bc 4aa12f34 e077f4ad 
    f8ed9c27 bec6e9b1 a934ed92 d719a064 b6a62d
  quit
crypto isakmp enable intranet
 
crypto isakmp policy 50
 authentication rsa-sig
 encryption aes
 hash sha
 group 2
 lifetime 86400
 
tunnel-group 10.10.53.1 type ipsec-l2l
tunnel-group 10.10.53.1 ipsec-attributes
 peer-id-validate cert
 chain
 trust-point GP_REMOTE

Буду признателен за подсказку.
0
Лучшие ответы (1)
Сообщение: #7774871
Programming
Эксперт
39485 / 9562 / 3019
Регистрация: 12.04.2006
Сообщений: 41,671
Блог
 15.06.2015, 12:55
Ответы с готовыми решениями:

Site to Site IPSec VPN CISCO891-K9 & Cisco RV120W Wireless-N VPN Firewall
Добрый день. Есть роутер CISCO891-K9 на котором есть один site to site vpn туннель с таким же роутером CISCO891-K9 в другой...

Site to Site IPSec VPN CIsco 800 & Cisco SRP 500 series
Доброго времени суток. Есть филиал на котором установлена Cisco 881 и есть удаленная точка на которой стоит Cisco SRP 527W. Задача...

Не могу создать vpn site to site на cisco asa 5506-x
Ребята нужна помощь в создании vpn на firewall cisco asa 5506-x, в гугле нет ничего обэтом, несколько сайтов нашел но некоторые команды не...

4
 Аватар для gurlov
3 / 3 / 3
Регистрация: 27.05.2014
Сообщений: 373
17.06.2015, 09:34  [ТС]
Граждане, не оставляйте в беде ....
0
25 / 25 / 14
Регистрация: 29.09.2014
Сообщений: 165
17.06.2015, 20:26
Лучший ответ Сообщение было отмечено gurlov как решение

Решение

давно настраивал gre over ipsec но без сертификатов а через pre-shared-key давайте попробуем понять что у Вас)

В crypto isakmp policy у Вас перечислены параметры первой фазы
затем в tunnel-group указаны параметры для аутентификации на первой фазе у вас указанно trust-point это аутентификация по сертификату GP_REMOTE
в transform-set описаны параметры второй фазы
в crypto map описаны наборы правил для туннеля вот тут у вас описан acl который заворачивает трафик в туннель crypto map intranet_map 3 match address intranet_3_cryptomap
затем полез сюда что бы понять что у Вас тут
crypto ca trustpoint GP_REMOTE этой командой как я понял мы переходим в настройки где указываем как произойдет получения сертификата
enrollment terminal терминал регистрации хз хз хз )
crl configure параметры конфигурации crl значение команды я вобще не понял
crypto ca certificate chain GP_REMOTE как я понял ты у Вас определяются доверенные сертификаты для цепочки GP_REMOTE

ЗЫ из ходя из того что GP_REMOTE участвует в первой вазе ike можно сказать что это открытые ключи ващей ASA но я могу ошибаться так как большого опыта в подобных настроек почти нет
1
 Аватар для gurlov
3 / 3 / 3
Регистрация: 27.05.2014
Сообщений: 373
18.06.2015, 10:14  [ТС]
Цитата Сообщение от CurrentUser Посмотреть сообщение
ЗЫ из ходя из того что GP_REMOTE участвует в первой вазе ike можно сказать что это открытые ключи ващей ASA но я могу ошибаться так как большого опыта в подобных настроек почти нет
Огромное спасибо!!!
получается certificate 0080a2d13912e6ca69 это сертификат открытого ключа моей ASA, а certificate ca 01 сертификат открытого ключа удостоверяющего центра. А можно ли как-то выципить информацию о том кто является удостоверяющим центром?
0
25 / 25 / 14
Регистрация: 29.09.2014
Сообщений: 165
19.06.2015, 17:40
Цитата Сообщение от gurlov Посмотреть сообщение
А можно ли как-то выципить информацию о том кто является удостоверяющим центром?
вот тут не подскажу... обычно имея сертификат всегда можно посмотреть информацию о владельце , наименование удостоверяющего центра который выдал сертификат и даты начала и окончания его действия
0
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
inter-admin
Эксперт
29715 / 6470 / 2152
Регистрация: 06.03.2009
Сообщений: 28,500
Блог
 19.06.2015, 17:40
Помогаю со студенческими работами здесь

Cisco ASA, отваливается Site-to-Site VPN
Добрый день. Предыстория: На бранч офисе был установлен роутер D-link, который держал Site-to-Site VPN с мэин офисом. Сотрудники бранча...

Cisco ASA, 2 site-to-site vpn
Здравствуйте! У меня вопросик.. А можно ли будет сделать так, чтобы между двумя ASA держалось 2 VPN'а? Нужно это для того, чтобы...

Cisco VPN Site-to-Site
Всем доброго вечера! Возникла проблема с настройкой VPN SitetoSite! Схема, ...

Пересекающиеся сети туннеля site-to-site между Cisco ASA и TMG
Всем добрый день! Необходимо реализовать следующую схему. Есть главный и удаленный офис, связь через интернет, на границах стоят ISA и...

Доступ в интернет через Site-to-Site VPN?
Доброго времени суток всем! Меня интересует один вопросик.. есть основной офис и удаленный офис. Соединены они с помощью Site-to-Site...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
5
Ответ Создать тему
Опции темы

Новые блоги и статьи
Мастер-класс по микросервисам на Node.js
Reangularity 21.06.2025
Node. js стал одной из самых популярных платформ для микросервисной архитектуры не случайно. Его неблокирующая однопоточная модель и событийно-ориентированный подход делают его идеальным для. . .
Управление Arduino из WPF приложения
Wired 21.06.2025
Зачем вообще связывать Arduino с WPF-приложением? Казалось бы, у Arduino есть собственная среда разработки, своя экосистема, свои способы управления. Однако при создании серьезных проектов. . .
Звёздная пыль
kumehtar 20.06.2025
Я просто это себе представляю: как создавался этот мир. Как энергия слипалась в маленькие частички. Как они собирались в первые звёзды, как во вселенной впервые появился Свет. Как эти звёзды. . .
Создание нейросети с PyTorch
AI_Generated 19.06.2025
Ключевое преимущество PyTorch — его питоновская натура. В отличие от TensorFlow, который изначально был построен как статический вычислительный граф, PyTorch предлагает динамический подход. Это. . .
JWT аутентификация в ASP.NET Core
UnmanagedCoder 18.06.2025
Разрабатывая веб-приложения, я постоянно сталкиваюсь с дилеммой: как обеспечить надежную аутентификацию пользователей без ущерба для производительности и масштабируемости? Классические подходы на. . .
Краткий курс по С#
aaLeXAA 18.06.2025
Здесь вы найдете все необходимые функции чтоб написать програму на C# Задание 1: КЛАСС FORM 1 public partial class Form1 : Form { Spisok listin = new Spisok(); . . .
50 самых полезных примеров кода Python для частых задач
py-thonny 17.06.2025
Эффективность работы разработчика часто измеряется не количеством написаных строк, а скоростью решения задач. Готовые сниппеты значительно ускоряют разработку, помогают избежать типичных ошибок и. . .
C# и продвинутые приемы работы с БД
stackOverflow 17.06.2025
Каждый . NET разработчик рано или поздно сталкивается с ситуацией, когда привычные методы работы с базами данных превращаются в источник бессонных ночей. Я сам неоднократно попадал в такие ситуации,. . .
Angular: Вопросы и ответы на собеседовании
Reangularity 15.06.2025
Готовишься к техническому интервью по Angular? Я собрал самые распространенные вопросы, с которыми сталкиваются разработчики на собеседованиях в этом году. От базовых концепций до продвинутых. . .
Архитектура Onion в ASP.NET Core MVC
stackOverflow 15.06.2025
Что такое эта "луковая" архитектура? Термин предложил Джеффри Палермо (Jeffrey Palermo) в 2008 году, и с тех пор подход только набирал обороты. Суть проста - представьте себе лук с его. . .
КиберФорум - форум программистов, компьютерный форум, программирование
Поддержать - Реклама - Условия использования - Обратная связь
Powered by vBulletin
Copyright ©2000 - 2025, CyberForum.ru