FlexVPN: IKEv2 Проверка данных аутентификации соседа НЕ УДАЛАСЬ
-
Что должно совпадать в конфигурациях? У меня нет DNS в сети, и я хотел бы использовать PSK (без сертификатов). Я пробовал различные комбинации, но пока безрезультатно. SW IOS XE 17.3.3 Отладка IKEv2 все: ... 6 октября 17:26:53.833 CEST: IKEv2:(SESSION ID = 360,SA ID = 1):Проверка обнаружения NAT6
октября 17:26:53.833 CEST: IKEv2:(SESSION ID = 360,SA ID = 1):NAT не
найден6 октября 17:26:53.833 CEST: IKEv2:(SESSION ID = 360,SA ID = 1):Поиск политики на основе идентификатора узла '10.214.0.68' типа 'IPv4 address'6
октября 17:26:53.833 CEST: IKEv2: найден соответствующий профиль IKEv2
«CRY_IKEV2_PROFILE»6 октября 17:26:53.833 CEST: IKEv2: % Получение предварительно согласованного ключа из связки ключей профиля CRY_IKEV2_KEYRING6
октября 17:26:53.833 CEST: IKEv2:(SESSION ID = 360,SA ID = 1):Поиск политики с fvrf 0, локальный адрес 10.214.0.
2556 октября 17:26:53.833 CEST: IKEv2: (SESSION ID = 360, SA ID = 1): Использование политики по умолчанию для предложения 6
октября 17:26:53.833 CEST: IKEv2: (SESSION ID = 360, SA ID = 1): Найденная политика «default»* 6
октября 17:26:53.833 CEST: IKEv2: не сеанс VPN-SIP6 октября 17:
26:53.833 CEST: IKEv2:(SESSION ID = 360,SA ID = 1):Проверка политики
партнера6 октября 17:26:53.833 CEST: IKEv2: (SESSION ID = 360, SA ID = 1): Политика партнера проверена*
6 октября 17:26:53.833 CEST: IKEv2: (SESSION ID = 360, SA ID = 1): Получить метод
аутентификации партнера* 6 октября 17:26:53.833 CEST: IKEv2:(SESSION ID = 360,SA ID = 1):Метод аутентификации соседа —
«PSK»6 октября 17:26:53.833 CEST: IKEv2:(SESSION ID = 360,SA ID = 1):Получить предварительно согласованный ключ партнера для 10.214.0.686
октября 17:26:53.833 CEST: IKEv2: (SESSION ID = 360, SA ID = 1): Проверка данных аутентификации
партнера* 6 октября 17:26:53.833 CEST: IKEv2-ERROR:(SESSION ID = 360,SA ID = 1):: Не удалось аутентифицировать IKE
SA6 октября 17:26:53.833 CEST: IKEv2:(SESSION ID = 360,SA ID = 1):Проверка данных аутентификации соседа НЕ
УДАЛАСЬ6 октября 17:26:53.834 CEST: IKEv2:(SESSION ID = 360,SA ID = 1):Отправка уведомления
об ошибке аутентификации6 октября 17:26:53.834 CEST: IKEv2: (SESSION ID = 360, SA ID = 1): Создание пакета для шифрования.
Содержимое полезной нагрузки:
NOTIFY(AUTHENTICATION_FAILED) 6 октября 17:26:53.834 CEST: IKEv2:(SESSION ID = 360,SA ID = 1):Отправка пакета [К 10.214.240.10:500/От 10.214.0.255:500/VRF i0:f0]
SPI инициатора: DC19B4254BB0C960 - SPI ответчика: 3F580AF81180425F Идентификатор сообщения: 1
IKEv2 IKE_AUTH Обмен RESPONSE Содержимое
полезной нагрузки:
ENCR 6 октября 17:26:53.834 CEST: IKEv2:(SESSION ID = 360,SA ID = 1):Auth exchange failed6
октября 17:26:53.834 CEST: IKEv2-ERROR:(SESSION ID = 360,SA ID = 1):: Ошибка обмена
аутентификацией6 октября 17:26:53.834 CEST: IKEv2:(SESSION ID = 360,SA ID = 1):Прерывание обмена6 октября
17:26:53.834 CEST: IKEv2:(SESSION ID = 360,SA ID = 1):Удаление SA6
октября 17:26:53.834 CEST: IKEv2:(SA ID = 1):[IKEv2 -> PKI] Закрытие сеанса
PKI6 октября 17:26:53.834 CEST: IKEv2: (SA ID = 1): [PKI -> IKEv2] Закрытие сеанса PKI ПРОЙДЕНО ... Конфигурация концентратора: ------------------------------------------------------- aaa authorization network AAA_FLEXVPN_LOCAL local
! crypto ikev2 authorization policy CRY_IKEV2_AUTHORIZATION
route set interface
route set access-list ACL_FLEXVPN_ROUTES
!
crypto ikev2 keyring CRY_IKEV2_KEYRING
peer ANY
address 10.214.0.0 255.255.255.0
identity address 10.214.0.255
pre-shared-key asdf
!
crypto ikev2 profile CRY_IKEV2_PROFILE
match identity remote address 10.214.0.0 255.255.255.0
identity local address 10.214.0.255
authentication remote pre-share
authentication local pre-share
keyring local CRY_IKEV2_KEYRING
aaa authorization group psk list AAA_FLEXVPN_LOCAL CRY_IKEV2_AUTHORIZATION
virtual-template 1
! crypto ipsec profile CRY_IPSEC_PROFILE
set ikev2-profile CRY_IKEV2_PROFILE
! интерфейс Loopback1
ip адрес 10.214.0.255 255.255.255.255 ! интерфейс GigabitEthernet6
ip адрес 10.214.63.225 255.255.255.240 ! интерфейс Virtual-Template1 тип туннель
ip unnumbered Loopback1 источник
туннеля GigabitEthernet6 режим
туннеля ipsec ipv4 назначение
туннеля динамическая
защита туннеля ipsec профиль CRY_IPSEC_PROFILE
! ip route 10.214.0.64 255.255.255.248 10.214.63.238
ip route 10.214.240.0 255.255.240.0 10.214.63.238
! ip access-list standard ACL_FLEXVPN_ROUTES
10 permit any Конфигурация Spoke: ------------------------------------------------------- aaa authorization network AAA_FLEXVPN_LOCAL local ! crypto ikev2 authorization policy CRY_IKEV2_AUTHORIZATION
route set interface
route set access-list ACL_FLEXVPN_ROUTES
!
crypto ikev2 keyring CRY_IKEV2_KEYRING
peer ANY
address 10.214.0.0 255.255.255.0
identity address 10.214.0.68
pre-shared-key asdf
!
crypto ikev2 profile CRY_IKEV2_PROFILE
match identity remote address 10.214.0.254 255.255.255.255
match identity remote address 10.214.0.255 255.255.255.255
идентичность локальный адрес 10.214.0.68
аутентификация удаленная предварительно разделенная
аутентификация локальная предварительно разделенная
ключевая коробка локальная CRY_IKEV2_KEYRING
aaa группа авторизации psk список AAA_FLEXVPN_LOCAL CRY_IKEV2_AUTHORIZATION
!
crypto ikev2 client flexvpn CRY_FLEX_CLIENT
peer 1 10.214.0.254
peer 2 10.214.0.255
client connect Tunnel0
!
crypto ipsec profile CRY_IPSEC_PROFILE
set ikev2-profile CRY_IKEV2_PROFILE
! интерфейс Loopback0
ip адрес 10.214.0.68 255.255.255.255
!
интерфейс Tunnel0
ip без номера Loopback0
ip mtu 1300
keepalive 10 3
туннель источник Cellular0/1/0 режим
туннеля ipsec ipv4
туннель назначения динамическая
защита туннеля ipsec профиль CRY_IPSEC_PROFILE
! интерфейс Cellular0/1/0
ip адрес согласованный
ip tcp adjust-mss 1240
dialer внутриполосный
dialer idle-timeout 0
dialer-group 1
ipv6 enable
pulse-time 1
! ip route 0.0.0.0 0.0.0.0 Cellular0/1/0
ip route 10.214.0.0 255.255.0.0 Tunnel0 250
ip route 10.214.0.255 255.255.255.255 Cellular0/1/0 250
ip ssh version 2
ip scp server enable
!
!
ip access-list standard ACL_FLEXVPN_ROUTES
10 permit 10.214.0.68 ! dialer-list 1 protocol ip permit -
@MATTHIAS SCHAERER
Да, «адрес идентичности» и «адрес» оба относятся к идентичности узла. -
@MATTHIAS SCHAERER Команда «identity address» используется для указания однорангового узла по его идентификатору, но вы, похоже, указали локальный IP-адрес интерфейса обратной связи. Можете ли вы удалить «identity address x.x.x.x» из ключевого кольца как хаба, так и спика. Вы все равно выполняете сопоставление с помощью «address x.x.x.x x.x.x.x» удаленного однорангового узла, поэтому вам не нужно выполнять сопоставление по «identity address» также. HTH
-
Привет, Роб Спасибо за быстрый ответ. Раньше у меня была конфигурация без идентификационного адреса в разделе «ключ». Результат был похож на то, что я добавил в отладку. Завтра я вернусь на сайт и повторю тест, но я думаю, что я уже был там. Но для правильного понимания: идентификационный адрес и адрес в ключевом кольце относятся к удаленным Flexvpn Peers и служат для идентификации IKEV2? С уважением Мэт
-
Это проблема была решена? Мне кажется, что это баг, и я столкнулся с очень похожей проблемой. Сегодня я обновил систему до последней версии IOS XE, чтобы исключить эту возможность, но ошибка аутентификации по-прежнему остается. Похоже, это связано с используемым виртуальным шаблоном, так как если я настраиваю два спика с жестко заданным туннелем (т. е. интерфейсом TUN222), они проходят IKEv2. Должен добавить, что я пробовал как PSK из криптографического ключа ike, так и установку пароля в профиле ikev2. Оба варианта не работают от головного узла к спице, но работают на спице, когда туннель закреплен с помощью реального числа (не виртуального шаблона). Вот фрагмент отладки с маршрутизатора головного узла: 30 мая 2025 г. 21:26:42 PDT: IKEv2:(SESSION ID = 2177,SA ID = 1):Ошибка обмена
аутентификацией 30 мая 2025 г. 21:26:42 PDT: IKEv2-ERROR:(SESSION ID = 2177,SA ID = 1):: Ошибка обмена
аутентификацией 30 мая 2025 г. 21:26:42 PDT: IKEv2:(SESSION ID = 2177,SA ID = 1):Прервать обмен 30 мая
2025 г. 21:26:42 PDT: IKEv2:(SESSION ID = 2177,SA ID = 1):Удаление SA 30 мая
2025 г. 21:26:42 PDT: IKEv2: (SA ID = 1): [IKEv2 -> PKI] Закрытие сеанса PKI 30 мая
2025 г. 21:26:42 PDT: IKEv2: (SA ID = 1): [PKI -> IKEv2] Закрытие сеанса PKI ПРОЙДЕНО 30
мая 2025 г. 21:26:42 PDT: IKEv2:(SESSION ID = 2178,SA ID = 2):Проверка данных аутентификации партнера НЕ ПРОЙДЕНА 30
мая 2025 г., 21:26:42 PDT: IKEv2:(SESSION ID = 2178,SA ID = 2):Отправка уведомления об ошибке
аутентификации 30 мая 2025 г. 21:26:42 PDT: IKEv2:(SESSION ID = 2178,SA ID = 2):Создание пакета для шифрования. Содержимое
полезной нагрузки:
NOTIFY(AUTHENTICATION_FAILED) 30 мая 2025 г., 21:26:42 PDT: IKEv2: (SESSION ID = 2178, SA ID = 2): Отправка пакета [К 192.168.10.2:500/От 192.168.10.12:500/VRF i0:f0]
SPI инициатора: 6F7111E396259C19 - SPI ответчика: C209631C67339892 Идентификатор сообщения: 1
IKEv2 IKE_AUTH Обмен RESPONSE Содержимое
полезной нагрузки:
ENCR 30 мая 2025 г. 21:26:42 PDT: IKEv2:(SESSION ID = 2178,SA ID = 2):Auth exchange failed -
следовать
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти