iPhone VPN и Cisco Router 2821

[WinniePooh]

Доброго всем времени суток.

Имеется маррутизатор 2821, на котором агрегируются VPN-соединения. Клиенты VPN - это либо другие маршрутизаторы, либо софтовые (Cisco VPN Client). Потребовалось настроить VPN подключение с iPhone 3G в качестве VPN-клиента.
На iPhone сделал настройки. Соединение доходит до стадии аутентификации (пользователи берутся из Active Directory). В логах на маршрутизаторе видим следующее:

Код: Выделить всё

Feb 25 13:13:01.414 MSK: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Quick mode failed with peer at х.х.х.х 
Feb 25 13:14:05.659 MSK: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Quick mode failed with peer at х.х.х.х 

В чем может быть проблема?
Спасибо.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Grass_snake]

Мне кажется что ситуация может быть несколько понятнее если сделать на 2821 следующее:

Код: Выделить всё

#debug crypto isakmp
#debug crypto ipsec
#debug crypto engine

#terminal monitor

И понаблюдать на предмет ошибок.

Выключить всю эту отладочную вакханалию можно командой:
#no debug all

[zingel]

Код: Выделить всё

sh ver

Код: Выделить всё

sh log

[WinniePooh]

Код: Выделить всё

Cisco IOS Software, 2800 Software (C2800NM-ADVIPSERVICESK9-M), Version 12.4(3c), RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2006 by Cisco Systems, Inc.
Compiled Sat 07-Jan-06 04:34 by alnguyen

ROM: System Bootstrap, Version 12.4(1r) [hqluong 1r], RELEASE SOFTWARE (fc1)

spb-2821-1 uptime is 1 week, 5 days, 19 hours, 52 minutes
System returned to ROM by reload at 14:49:32 MSK Thu Feb 26 2009
System restarted at 13:39:23 MSK Thu Feb 26 2009
System image file is "flash:c2800nm-advipservicesk9-mz.124-3c.bin"


This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.

A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by sending email to
export@cisco.com.

Cisco 2821 (revision 53.50) with 249856K/12288K bytes of memory.
Processor board ID FCZ1010713C
4 FastEthernet interfaces
2 Gigabit Ethernet interfaces
2 Virtual Private Network (VPN) Modules
DRAM configuration is 64 bits wide with parity enabled.
239K bytes of non-volatile configuration memory.
62720K bytes of ATA CompactFlash (Read/Write)

Configuration register is 0x2102

Код: Выделить всё

Mar  6 10:55:18.686 MSK: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Quick mode failed with peer at x.x.x.x
Mar  6 10:57:07.961 MSK: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Quick mode failed with peer at x.x.x.x
Mar  6 10:59:13.683 MSK: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Quick mode failed with peer at x.x.x.x
Mar  6 11:02:19.526 MSK: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Quick mode failed with peer at x.x.x.x

[zingel]

http://www.opennet.ru/openforum/vsluhfo ... 13199.html

[Grass_snake]

Код: Выделить всё

Cisco IOS Software, 2800 Software (C2800NM-ADVIPSERVICESK9-M), Version 12.4(3c), RELEASE SOFTWARE (fc1)
...

Код: Выделить всё

Mar  6 10:55:18.686 MSK: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Quick mode failed with peer at x.x.x.x
...

Собственно, чуть ниже совершенно справедливо была дана ссылка на форум Опеннета. И там, что характерно, обсуждение сразу же начинается с вывода debug-а. В котором, что примечательно, видно:

IPSEC(validate_transform_proposal): no IPSEC cryptomap exists for local address 10.10.1.254

Но что показывает отладка в Вашем случае?

[WinniePooh]

Код: Выделить всё

Mar 16 12:11:31.702 MSK: ISAKMP:(0:450:HW:2): sending packet to x.x.x.x my_port 4500 peer_port 61084 (R) CONF_XAUTH
Mar 16 12:11:31.984 MSK: ISAKMP:(0:446:HW:2):purging node -2123476091
Mar 16 12:11:36.722 MSK: ISAKMP:(0:450:HW:2): retransmitting phase 2 CONF_XAUTH    -2080672099 ...
Mar 16 12:11:36.722 MSK: ISAKMP (0:268435906): incrementing error counter on node, attempt 3 of 5: retransmit phase 2
Mar 16 12:11:36.722 MSK: ISAKMP (0:268435906): incrementing error counter on sa, attempt 3 of 5: retransmit phase 2
Mar 16 12:11:36.722 MSK: ISAKMP:(0:450:HW:2): retransmitting phase 2 -2080672099 CONF_XAUTH
Mar 16 12:11:36.722 MSK: ISAKMP:(0:450:HW:2): sending packet to x.x.x.x my_port 4500 peer_port 61084 (R) CONF_XAUTH
Mar 16 12:11:37.220 MSK: ISAKMP: set new node -1290247318 to QM_IDLE
Mar 16 12:11:37.220 MSK: CryptoEngine0: generate hmac context for conn id 414
Mar 16 12:11:37.220 MSK: CryptoEngine0: CRYPTO_ISA_IKE_HMAC(hw)(ipsec)
Mar 16 12:11:37.220 MSK: ISAKMP:(0:414:HW:2):Sending NOTIFY DPD/R_U_THERE protocol 1
        spi 1181874800, message ID = -1290247318
Mar 16 12:11:37.220 MSK: ISAKMP:(0:414:HW:2): seq. no 0x75251EA5
Mar 16 12:11:37.220 MSK: CryptoEngine0: CRYPTO_ISA_IKE_ENCRYPT(hw)(ipsec)

[WinniePooh]

Код: Выделить всё

Mar 16 12:32:43.733 MSK: ISAKMP (0:268435907): received packet from x.x.x.x dport 4500 sport 61084 Global (R) QM_IDLE
Mar 16 12:32:43.733 MSK: ISAKMP: set new node -345841799 to QM_IDLE
Mar 16 12:32:43.737 MSK: CryptoEngine0: CRYPTO_ISA_IKE_DECRYPT(hw)(ipsec)
Mar 16 12:32:43.737 MSK: CryptoEngine0: generate hmac context for conn id 451
Mar 16 12:32:43.737 MSK: CryptoEngine0: CRYPTO_ISA_IKE_HMAC(hw)(ipsec)
Mar 16 12:32:43.737 MSK: ISAKMP:(0:451:HW:2): processing HASH payload. message ID = -345841799
Mar 16 12:32:43.737 MSK: ISAKMP:(0:451:HW:2): processing NOTIFY DPD/R_U_THERE_ACK protocol 1
        spi 0, message ID = -345841799, sa = 4809C620
Mar 16 12:32:43.737 MSK: ISAKMP:(0:451:HW:2): DPD/R_U_THERE_ACK received from peer 81.95.25.34, sequence 0x2E964F87
Mar 16 12:32:43.737 MSK: ISAKMP:(0:451:HW:2):deleting node -345841799 error FALSE reason "Informational (in) state 1"
Mar 16 12:32:43.737 MSK: ISAKMP:(0:451:HW:2):Input = IKE_MESG_FROM_PEER, IKE_INFO_NOTIFY
Mar 16 12:32:43.737 MSK: ISAKMP:(0:451:HW:2):Old State = IKE_P1_COMPLETE  New State = IKE_P1_COMPLETE

Mar 16 12:32:43.737 MSK: ISAKMP (0:268435907): received packet from x.x.x.x dport 4500 sport 61084 Global (R) QM_IDLE
Mar 16 12:32:43.737 MSK: ISAKMP:(0:451:HW:2): phase 2 packet is a duplicate of a previous packet.
Mar 16 12:32:43.737 MSK: ISAKMP:(0:451:HW:2): retransmitting due to retransmit phase 2
Mar 16 12:32:43.737 MSK: ISAKMP:(0:451:HW:2): ignoring retransmission,because phase2 node marked dead -188593894
Mar 16 12:32:44.524 MSK: ISAKMP:(0:449:HW:2):purging node 2063088767
Mar 16 12:32:46.793 MSK: ISAKMP (0:268435907): received packet from x.x.x.x dport 4500 sport 61084 Global (R) QM_IDLE
Mar 16 12:32:46.793 MSK: ISAKMP:(0:451:HW:2): phase 2 packet is a duplicate of a previous packet.
Mar 16 12:32:46.793 MSK: ISAKMP:(0:451:HW:2): retransmitting due to retransmit phase 2
Mar 16 12:32:46.793 MSK: ISAKMP:(0:451:HW:2): ignoring retransmission,because phase2 node marked dead -188593894
Mar 16 12:32:49.808 MSK: ISAKMP (0:268435907): received packet from x.x.x.x dport 4500 sport 61084 Global (R) QM_IDLE
Mar 16 12:32:49.808 MSK: ISAKMP:(0:451:HW:2): phase 2 packet is a duplicate of a previous packet.
Mar 16 12:32:49.808 MSK: ISAKMP:(0:451:HW:2): retransmitting due to retransmit phase 2
Mar 16 12:32:49.808 MSK: ISAKMP:(0:451:HW:2): ignoring retransmission,because phase2 node marked dead -188593894
Mar 16 12:32:50.005 MSK: ISAKMP: set new node 1906520542 to QM_IDLE
Mar 16 12:32:50.005 MSK: CryptoEngine0: generate hmac context for conn id 446
Mar 16 12:32:50.005 MSK: CryptoEngine0: CRYPTO_ISA_IKE_HMAC(hw)(ipsec)
Mar 16 12:32:50.005 MSK: ISAKMP:(0:446:HW:2):Sending NOTIFY DPD/R_U_THERE protocol 1        spi 1181874800, message ID = 1906520542

[WinniePooh]

И еще одна ремарка - поиск на тему основной ошибки из лога навел на мысль, что ямобилко и 2821 не могут договориться об алгоритмах шифрования. У меня сейчас прописано следующее:

Код: Выделить всё

crypto ipsec transform-set VPN_CLIENTS esp-3des esp-md5-hmac

Может кто знает, что надо прописывать для iPhone?

[zingel]

для айфона должна быть какая-то рекомендация по-этому поводу, врать не буду, но в этой ситуации я бы тупо спросил у девелоперов прошивки для него

[WinniePooh]

В том то все и дело, что до девелоперов не достучаться, а поиск в интернете ничего не дал

[zingel]

факов айфон, тогда методом тыка

[Grass_snake]

В том то все и дело, что до девелоперов не достучаться, а поиск в интернете ничего не дал

Из своей практики скрещивания Racoon-а и Cisco могу только подтвердить предыдущий совет. Надо перебирать варианты шифрования. У меня ничего не ехало пока я не сделал длину ключа aes 128 бит, а не 192, как я привык. Ну и всё до мелочей должно совпадать на обоих концах, конечно же.

[WinniePooh]

Провел следующий эксперимент:
менял алгоритмы в данной строчке:

Код: Выделить всё

crypto ipsec transform-set VPN_CLIENTS esp-3des esp-md5-hmac 

на следующие:
esp-aes
esp-aes 128
esp-aes 192

Результат следующий:
при настройках esp-aes и esp-aes 128 дохожу до стадиии ввода имеи пользователя и пароля, а при esp-aes 192 - появляется сообщение что сервер не отвечает.

Следовательно можно сделать вывод, что с алгоритмом шифрования все в порядке.

Есть еще идеи?

[Grass_snake]

Провел следующий эксперимент:
менял алгоритмы в данной строчке:

Код: Выделить всё

crypto ipsec transform-set VPN_CLIENTS esp-3des esp-md5-hmac 

Результат следующий:
при настройках esp-aes и esp-aes 128 дохожу до стадиии ввода имеи пользователя и пароля, а при esp-aes 192 - появляется сообщение что сервер не отвечает.

Следовательно можно сделать вывод, что с алгоритмом шифрования все в порядке.

Есть еще идеи?

Пока что нет :-).

Но было бы неплохо опять дать вывод лога отладки IPSec-а. Там все ошибки пишутся.

[WinniePooh]

В логах ничего нового, по сравнению с тем, что я приводил ранее не появилось.

[Grass_snake]

В логах ничего нового, по сравнению с тем, что я приводил ранее не появилось.

Ранее в логах было видно что не проходит даже первая фаза. Устройства в принципе не могли договориться как будут обмениваться ключами между собой и строить защищённый канал связи.

После изменения алгоритма шифрования и длины ключа процесс дошёл до стадии ввода имени и пароля. Это очень хороший признак. Но что, в логах никаких перемен при этом нет? Невозможно в это поверить.

На Cisco аутентификация пользователей локальная или есть какие-нибудь Radius-ы или Tacacs-ы?

[WinniePooh]

У меня и до этого (в самом начале моего поста) проходила первая стадия. Аутентификация пользователей происходит через внешний радиус сервер - Microsoft IAS. Обращаю внимание, что если пытаюсь приконнектиться к 2821 посредством Cisco VPN Client, то все проходит удачно.

[Raredemon]

нескромный вопрос, так и не решили эту проблему? тоже озадачен этой проблемой.

[WinniePooh]

Нет, проблему не решил, необходимость в подключении iPhone отпала...

[м]

Юзайте EasyVPN.

[sgv]

Я так понял ни кто не решил стыковку iPhone 3G c Cisco Easy VPN Server? У меня iPhone конектится к Easy VPN Server поднятый на Cisco 2821, проходит авторизацию на radius сервере, но дальше отваливается. Погуглив я понял что iPhone 3G официально работает только с Cisco ASA в качестве VPN сервера.

[k-nike]

Проблема решена только что!!! Спешу доложить.
После долгого гугления наконец обратил внимание на одну страницу на сайте Cisco.
http://www.cisco.com/en/US/docs/securit ... phone.html
Там черным по белому написано:

Which Cisco platforms work with the Cisco VPN Client on the iPhone?
•Cisco ASA 5500 Security Appliances and PIX Firewalls. We highly recommend the latest 8.0.x software release (or greater), but you can also use 7.2.x software.
•Cisco routers running IOS Release 12.4(15)T and later.
The VPN 3000 Series Concentrators do not support the iPhone VPN capabilities.

Обновил IOS на 12.4(15)Т8 и все само заработало.

Кстати, на сайте Apple говорится о том, что не поддерживается режим SharedKey с аутентификацией на базе пользователя, но у меня с SharedKey'ем заработало. Может у меня конечно аутентификация на базе машины, но на циске заведен пользователь и с его логином/паролем я к ней подключаюсь по VPN на iPhone. Так что я чего-то недопонимаю.

[sgv]

Проблема решена только что!!! Спешу доложить.
После долгого гугления наконец обратил внимание на одну страницу на сайте Cisco.
http://www.cisco.com/en/US/docs/securit ... phone.html
Там черным по белому написано:

Which Cisco platforms work with the Cisco VPN Client on the iPhone?
•Cisco ASA 5500 Security Appliances and PIX Firewalls. We highly recommend the latest 8.0.x software release (or greater), but you can also use 7.2.x software.
•Cisco routers running IOS Release 12.4(15)T and later.
The VPN 3000 Series Concentrators do not support the iPhone VPN capabilities.

Обновил IOS на 12.4(15)Т8 и все само заработало.

Кстати, на сайте Apple говорится о том, что не поддерживается режим SharedKey с аутентификацией на базе пользователя, но у меня с SharedKey'ем заработало. Может у меня конечно аутентификация на базе машины, но на циске заведен пользователь и с его логином/паролем я к ней подключаюсь по VPN на iPhone. Так что я чего-то недопонимаю.

Подтверждаю! Проблема решена аналогично! Именно с IOS Release 12.4(15)T iPhone начинает работать в среди Cisco Easy VPN Server! У меня именно заработал с IOS 12.4(15)T6. Ниже кому надо конфиг:

Код: Выделить всё

aaa new-model
!
!
aaa group server radius vpn-server-group-1
 server 10.1.1.5 auth-port 1812 acct-port 1813
!
aaa authentication login vpn_xauth_ml_1 group vpn-server-group-1 local
aaa authorization exec default local
aaa authorization network vpn_group_ml_1 local
!
crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
!
crypto isakmp client configuration group iPhone
 key 12345
 dns 10.1.1.1
crypto isakmp profile ike-profile-1
   match identity group iPhone
   client authentication list vpn_xauth_ml_1
   isakmp authorization list vpn_group_ml_1
   client configuration address respond
   keepalive 10 retry 2
   virtual-template 1
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
!
crypto ipsec profile Profile1
 set transform-set ESP-3DES-SHA
 set isakmp-profile ike-profile-1
!
interface Virtual-Template1 type tunnel
 ip unnumbered FastEthernet0
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile Profile1
!
radius-server host 10.1.1.5 auth-port 1812 acct-port 1813 key 0 key-radius-server
!

[Ringo]

У меня проблема - сервер - Cisco PIX Security Appliance Software Version 8.0(3)
клиент - яблофон4
соединение есть, трафик есть.
Но яблоко отваливает соединение время от времени. Может проработать час, может день, может рваться каждую минуту.
5|Jun 08 2011 11:09:58|713050: Group = group1, IP = 77.222.148.50, Connection te
rminated for peer . Reason: Peer Terminate Remote Proxy N/A, Local Proxy N/A