PFS не запускается с VPN IKEv2
-
Здравствуйте, Я настроил IPSEC VPN между двумя маршрутизаторами Cisco iOS. Он работает с IKEv2 (конфигурация ниже). VPN работает, трафик проходит, но PFS в фазе 2, судя по выводу ниже, не работает. R1#show crypto ikev2 sa detailed
IPv4 Crypto IKEv2 SA
Tunnel-id Local Remote fvrf/ivrf Status
1 10.10.10.1/500 10.10.10.2/500 none/none READY Encr: AES-GCM, keysize: 256, PRF: SHA512, Hash: None,
DH Grp:24
, Auth sign: PSK, Auth verify: PSK
R1#show crypto ipsec sa detail
interface: Tunnel0 PFS (Y/N):
N
, DH group:
none Конфигурация ниже довольно проста R1#
crypto ikev2 proposal PROPOSAL encryption aes-gcm-256 prf sha512 group 24
!
crypto ikev2 policy POLICY proposal PRP-VPN
!
crypto ikev2 keyring KEYRING peer R2 description R2 address 10.10.10.2 pre-shared-key local PSKEY pre-shared-key remote PSKEY !
!
crypto ikev2 profile PROFILE-P1 match identity remote address 10.10.10.0 255.255.255.0 match address local 10.10.10.1 identity local address 10.10.10.1 authentication remote pre-share authentication local pre-share keyring local KEYRING lifetime 28800 dpd 30 10 periodic
!
crypto ipsec transform-set TFS esp-gcm 256 mode tunnel
!
crypto ipsec profile PROFILE-P2 set security-association lifetime kilobytes disable set transform-set TFS set pfs group24 set ikev2-profile PROFILE-P1
!
interface Tunnel0 ip address 192.168.0.1 255.255.255.252 tunnel source 10.10.10.1 tunnel mode ipsec ipv4 tunnel destination 10.10.10.2 tunnel protection ipsec profile PROFILE-P2 Может ли кто-нибудь поделиться своим опытом о том, что может быть не так, что PFS не запускается, и как лучше всего устранить эту проблему?
Должна ли выбранная группа DH соответствовать выбранному шифрованию фазы 1 и фазы 2?
Оба устройства — Cisco ISR 881 с версией 159-3.M7 Спасибо Марк -
@Mark Pace Balzan
Если PFS настроен правильно на обоих узлах, то PFS будет отображаться только после перегенерации ключа IPSec SA (после создания первого CHILD_SA), поэтому подождите, пока IPsec SA перегенерирует ключ, и проверьте снова. -
@Роб Ингрэм Спасибо! Мы каждый день узнаем что-то новое. Проверим и свяжемся с вами. Спасибо Марк
-
точно в цель
@Роб Ингрэм
сработал на славу
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти