JDima
Junior Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый день.
Настраивал IPSEC туннель между ноутбуком на win7 и циской. По дороге узрел одно чудо.
Вот кусок дебаг-логов циски.
003458: *Sep 21 00:30:00.055 MSD: ISAKMP : Scanning profiles for xauth ...
003459: *Sep 21 00:30:00.055 MSD: ISAKMP:(0):Checking ISAKMP transform 1 against priority 5 policy
003460: *Sep 21 00:30:00.055 MSD: ISAKMP: encryption AES-CBC
003461: *Sep 21 00:30:00.055 MSD: ISAKMP: keylength of 256
003462: *Sep 21 00:30:00.055 MSD: ISAKMP: hash SHA
003463: *Sep 21 00:30:00.055 MSD: ISAKMP: unknown DH group 20
003464: *Sep 21 00:30:00.055 MSD: ISAKMP: auth pre-share
003465: *Sep 21 00:30:00.055 MSD: ISAKMP: life type in seconds
003466: *Sep 21 00:30:00.055 MSD: ISAKMP: life duration (VPI) of 0x0 0x0 0x70 0x80
003467: *Sep 21 00:30:00.055 MSD: ISAKMP:(0):Diffie-Hellman group offered does not match policy!
003468: *Sep 21 00:30:00.055 MSD: ISAKMP:(0):atts are not acceptable. Next payload is 3
003469: *Sep 21 00:30:00.055 MSD: ISAKMP:(0):Checking ISAKMP transform 2 against priority 5 policy
003470: *Sep 21 00:30:00.055 MSD: ISAKMP: encryption AES-CBC
003471: *Sep 21 00:30:00.055 MSD: ISAKMP: keylength of 128
003472: *Sep 21 00:30:00.055 MSD: ISAKMP: hash SHA
003473: *Sep 21 00:30:00.055 MSD: ISAKMP: unknown DH group 19
003474: *Sep 21 00:30:00.055 MSD: ISAKMP: auth pre-share
003475: *Sep 21 00:30:00.055 MSD: ISAKMP: life type in seconds
003476: *Sep 21 00:30:00.055 MSD: ISAKMP: life duration (VPI) of 0x0 0x0 0x70 0x80
003477: *Sep 21 00:30:00.055 MSD: ISAKMP:(0):Proposed key length does not match policy
003478: *Sep 21 00:30:00.055 MSD: ISAKMP:(0):atts are not acceptable. Next payload is 3
003479: *Sep 21 00:30:00.055 MSD: ISAKMP:(0):Checking ISAKMP transform 3 against priority 5 policy
003480: *Sep 21 00:30:00.055 MSD: ISAKMP: encryption AES-CBC
003481: *Sep 21 00:30:00.055 MSD: ISAKMP: keylength of 256
003482: *Sep 21 00:30:00.055 MSD: ISAKMP: hash SHA
003483: *Sep 21 00:30:00.055 MSD: ISAKMP: default group 14
003484: *Sep 21 00:30:00.055 MSD: ISAKMP: auth pre-share
003485: *Sep 21 00:30:00.055 MSD: ISAKMP: life type in seconds
003486: *Sep 21 00:30:00.055 MSD: ISAKMP: life duration (VPI) of 0x0 0x0 0x70 0x80
003487: *Sep 21 00:30:00.059 MSD: ISAKMP:(0):atts are acceptable. Next payload is 3
Это - список параметров первой фазы, предлагаемых виндой, с 3-м циска соизволила согласиться, в итоге соединение успешно установлено. Дальше идут 3des, который мне не интересен. Думаю, понять этот дебаг несложно.
Я хочу создать туннель с AES-128 (3des и AES-256 тяжелые, des слабый) и DH, знакомым для циски, т.е. группы 1, 2, 14 и т.д., но не 19 и 20! Итак, начинаю ходить по вин7, искать, где лежат параметры фазы 1 IPSEC. Нашел в оснастке Windows Firewall (properties-IPsec settings-customise). Только вот незадача - НИКАКИЕ из указанных там параметров ни на что не влияют, циска сообщает о точно таких же требованиях, как и раньше!
Ладно, secpol.msc. Вот только там вообще нет AES. Прекрасно.
Где еще искать - не знаю. Подскажите пожалуйста! Ухайдакаю я несчастный роутер таким мощным шифрованием! |
Всего записей: 152 | Зарегистр. 09-06-2006 | Отправлено: 00:38 21-09-2009 | Исправлено: JDima, 00:39 21-09-2009 |
|
