The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"не могу подружить XPи циско по  L2TP IPSec"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"не могу подружить XPи циско по  L2TP IPSec"  
Сообщение от teebot on 26-Май-08, 17:45 
Здравствуйте.

Подскажите если кому удавалось соединить циску и ХР по L2TP IPSec, в чем может быть у меня проблема. Есть 2811 на нем уже работал ВПН по РРТР. РРТР был настроен через vpdn. При конекте ХР клиентов по РРТР радиус им выдавал ИП. Эта сеточка которую раздавал радиус имеет определенные права и привилегии. Теперь есть необходимость к 2811 по ВПН подключить 871 циску. Так как  циска не может быть РРТР клиентом то решено было соеденить 2 циски по L2TP IPsec. Здача состоит в том что бы как и раньше радиус выдавал ИП L2TP клиентам. Для этого опять я подлючил vpdn. Так как циска 871 еще не куплена я хотел попробовать эту схему с ХР, но застрял вот на этом:

May 26 16:39:31 192.168.1.2 13647: *May 26 13:45:59.541: IPSEC(crypto_ipsec_process_proposal): invalid transform proposal flags -- 0x4
May 26 16:39:31 192.168.1.2 13648: *May 26 13:45:59.541: ISAKMP:(1013): IPSec policy invalidated proposal with error 1024
May 26 16:39:31 192.168.1.2 13649: *May 26 13:45:59.541: IPSEC(crypto_ipsec_process_proposal): transform proposal not supported for identity:
May 26 16:39:31 192.168.1.2 13650:     {esp-3des esp-sha-hmac }
May 26 16:39:31 192.168.1.2 13651: *May 26 13:45:59.541: ISAKMP:(1013): IPSec policy invalidated proposal with error 256
May 26 16:39:31 192.168.1.2 13652: *May 26 13:45:59.541: IPSEC(crypto_ipsec_process_proposal): transform proposal not supported for identity:
May 26 16:39:31 192.168.1.2 13653:     {ah-sha-hmac esp-3des }
May 26 16:39:31 192.168.1.2 13654: *May 26 13:45:59.541: ISAKMP:(1013): IPSec policy invalidated proposal with error 256
May 26 16:39:31 192.168.1.2 13655: *May 26 13:45:59.541: IPSEC(crypto_ipsec_process_proposal): invalid transform proposal flags -- 0x4
May 26 16:39:31 192.168.1.2 13656: *May 26 13:45:59.541: ISAKMP:(1013): IPSec policy invalidated proposal with error 1024
May 26 16:39:31 192.168.1.2 13657: *May 26 13:45:59.541: IPSEC(crypto_ipsec_process_proposal): transform proposal not supported for identity:
May 26 16:39:31 192.168.1.2 13658:     {ah-sha-hmac esp-3des esp-sha-hmac }
May 26 16:39:31 192.168.1.2 13659: *May 26 13:45:59.541: ISAKMP:(1013): IPSec policy invalidated proposal with error 256
May 26 16:39:31 192.168.1.2 13660: *May 26 13:45:59.541: IPSEC(crypto_ipsec_process_proposal): transform proposal not supported for identity:
May 26 16:39:31 192.168.1.2 13661:     {ah-md5-hmac esp-3des esp-md5-hmac }
May 26 16:39:31 192.168.1.2 13662: *May 26 13:45:59.541: ISAKMP:(1013): IPSec policy invalidated proposal with error 256
May 26 16:39:31 192.168.1.2 13663: *May 26 13:45:59.541: IPSEC(crypto_ipsec_process_proposal): transform proposal not supported for identity:
May 26 16:39:31 192.168.1.2 13664:     {esp-des esp-md5-hmac }
May 26 16:39:31 192.168.1.2 13665: *May 26 13:45:59.541: ISAKMP:(1013): IPSec policy invalidated proposal with error 256
May 26 16:39:31 192.168.1.2 13666: *May 26 13:45:59.541: IPSEC(crypto_ipsec_process_proposal): transform proposal not supported for identity:
May 26 16:39:31 192.168.1.2 13667:     {esp-des esp-sha-hmac }
May 26 16:39:31 192.168.1.2 13668: *May 26 13:45:59.541: ISAKMP:(1013): IPSec policy invalidated proposal with error 256
May 26 16:39:31 192.168.1.2 13669: *May 26 13:45:59.545: IPSEC(crypto_ipsec_process_proposal): transform proposal not supported for identity:
May 26 16:39:31 192.168.1.2 13670:     {ah-sha-hmac esp-des }
May 26 16:39:31 192.168.1.2 13671: *May 26 13:45:59.545: ISAKMP:(1013): IPSec policy invalidated proposal with error 256
May 26 16:39:31 192.168.1.2 13672: *May 26 13:45:59.545: IPSEC(crypto_ipsec_process_proposal): transform proposal not supported for identity:
May 26 16:39:31 192.168.1.2 13673:     {ah-md5-hmac esp-des }
May 26 16:39:31 192.168.1.2 13674: *May 26 13:45:59.545: ISAKMP:(1013): IPSec policy invalidated proposal with error 256
May 26 16:39:31 192.168.1.2 13675: *May 26 13:45:59.545: IPSEC(crypto_ipsec_process_proposal): transform proposal not supported for identity:
May 26 16:39:31 192.168.1.2 13676:     {ah-sha-hmac esp-des esp-sha-hmac }
May 26 16:39:31 192.168.1.2 13677: *May 26 13:45:59.545: ISAKMP:(1013): IPSec policy invalidated proposal with error 256
May 26 16:39:31 192.168.1.2 13678: *May 26 13:45:59.545: IPSEC(crypto_ipsec_process_proposal): transform proposal not supported for identity:
May 26 16:39:31 192.168.1.2 13679:     {ah-md5-hmac esp-des esp-md5-hmac }
May 26 16:39:31 192.168.1.2 13680: *May 26 13:45:59.545: ISAKMP:(1013): IPSec policy invalidated proposal with error 256
May 26 16:39:31 192.168.1.2 13681: *May 26 13:45:59.545: IPSEC(crypto_ipsec_process_proposal): transform proposal not supported for identity:
May 26 16:39:31 192.168.1.2 13682:     {esp-null esp-sha-hmac }
May 26 16:39:31 192.168.1.2 13683: *May 26 13:45:59.545: ISAKMP:(1013): IPSec policy invalidated proposal with error 256
May 26 16:39:31 192.168.1.2 13684: *May 26 13:45:59.545: IPSEC(crypto_ipsec_process_proposal): transform proposal not supported for identity:
May 26 16:39:31 192.168.1.2 13685:     {esp-null esp-md5-hmac }
May 26 16:39:31 192.168.1.2 13686: *May 26 13:45:59.545: ISAKMP:(1013): IPSec policy invalidated proposal with error 256
May 26 16:39:31 192.168.1.2 13687: *May 26 13:45:59.545: IPSEC(crypto_ipsec_process_proposal): transform proposal not supported for identity:
May 26 16:39:32 192.168.1.2 13691:     {ah-md5-hmac }
May 26 16:39:32 192.168.1.2 13692: *May 26 13:45:59.545: ISAKMP:(1013): IPSec policy invalidated proposal with error 256
May 26 16:39:32 192.168.1.2 13693: *May 26 13:45:59.545: ISAKMP:(1013): phase 2 SA policy not acceptable! (local 192.168.1.2 remote 192.168.1.222)
May 26 16:39:32 192.168.1.2 13694: *May 26 13:45:59.549: ISAKMP:(1013):deleting node 676744708 error TRUE reason "QM rejected"

виндовый IPSec настраивал как написано тут http://www.ixbt.com/comm/wrls-ovislink-wmu-9000vpn_2.shtml только вместо SHA1 я ставил MD5.

Вот конфиг циски
vpdn-group 2
! Default L2TP VPDN group
accept-dialin
  protocol l2tp
  virtual-template 2


crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key test address 192.168.1.222
!
!
crypto ipsec transform-set teebot1 esp-3des esp-md5-hmac
!
crypto map teebot 1 ipsec-isakmp
set peer 192.168.1.222
set security-association lifetime seconds 190
set transform-set teebot1
match address ipsec


interface Virtual-Template2
ip unnumbered FastEthernet0/0.10
ip virtual-reassembly
ip route-cache policy
ppp authentication ms-chap-v2 ms-chap callin
crypto map teebot


ip access-list extended ipsec
permit ip host 192.168.1.2 192.168.1.0 0.0.0.255
permit ip 192.168.1.0 0.0.0.255 host 192.168.1.2


Даже не знаю что еще добавить. Из лога видно что проблема в трасформ мапе, но я уже перепробовал все что мог ошибка не исчезает.

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "не могу подружить XPи циско по  L2TP IPSec"  
Сообщение от teebot on 27-Май-08, 17:50 
ситуация немного изменилась, теперь IPSec между ХР и циской есть, но l2tp соединение не хочет устанавливаться все с теми же ошибками
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "не могу подружить XPи циско по  L2TP IPSec"  
Сообщение от stitch636 on 28-Май-08, 10:11 
Используйте transform-set в mode transport.
Например:
crypto ipsec transform-set L2TP esp-3des esp-sha-hmac
mode transport
!
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "не могу подружить XPи циско по  L2TP IPSec"  
Сообщение от teebot on 28-Май-08, 10:49 
>Используйте transform-set в mode transport.
>Например:
>crypto ipsec transform-set L2TP esp-3des esp-sha-hmac
> mode transport
>!

действительно это улучшило ситуацию. я включил в реестре IPSec и подконектися по L2TP, но... соединение не устанавливается если в свойствах соединения на винде стоит галочка Require data encryption (disconnect if none)

С одной стороны зачем нужно это шифрование если уже IPSec соединение установлено между циской и виндой,а с другой если такая возможность есть значит она должна работать. Короче мне не понятна логика майкрософта.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "не могу подружить XPи циско по  L2TP IPSec"  
Сообщение от teebot on 28-Май-08, 10:19 
если в реесте ХР отключить IPSec, то L2TP тунель устанавливается. Но что у меня это в голове не укладывается. Ведь IPSec уже настроен в IP Security Policy и работает. Что же еще пытается сделать винда когда устанавливает L2TP соединение?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "не могу подружить XPи циско по  L2TP IPSec"  
Сообщение от stitch636 on 28-Май-08, 17:03 
require data encryption отключить.
это включает mppe
Из crypto поддерживается DES,3DES
hash - md5

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "не могу подружить XPи циско по  L2TP IPSec"  
Сообщение от bmonk (??) on 02-Июн-08, 09:02 
Здравствуйте.
может я чегото не понимаю но разве не проще использовать cisco vpn-client
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "не могу подружить XPи циско по  L2TP IPSec"  
Сообщение от stitch636 on 04-Июн-08, 22:35 
проще и надёжнее.
гибче и секурнее.
но не всегда можно :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру