Exemplo de Configuração do PIX/ASA 7.x e Cisco VPN Client 4.x com Windows 2003 IAS com Autenticação RADIUS (com Active Directory)

Transcrição

1 Exemplo de Configuração do PIX/ASA 7.x e Cisco VPN Client 4.x com Windows 2003 IAS com Autenticação RADIUS (com Active Directory) Índice Introdução Pré-requisitos Requisitos Componentes Utilizados Produtos Relacionados Convenções Informação de Apoio Configuração Diagrama de Rede Configurações Configuração do VPN Client 4.8 Configuração do Microsoft Windows 2003 Server com IAS Verificação Autenticação AAA Comandos show Troubleshooting Limpeza de Associações de Segurança Comandos de Troubleshooting Exemplo de Saída de debug Introdução Este exemplo de configuração mostra como configurar a conexão de VPN de acesso remoto entre um Cisco VPN Client (4.x for Windows) e o PIX 500 Series Security Appliance 7.x. O cliente VPN remoto se autentica com o Active Directory utilizando um servidor RADIUS do Microsoft Windows 2003 Internet Authentication Service (IAS). Consulte Cisco Secure PIX Firewall 6.x e Cisco VPN Client 3.5 for Windows com Autenticação RADIUS do Microsoft Windows 2000 e 2003 IAS para aprender mais sobre o mesmo cenário no PIX 6.x com Cisco VPN Client 3.5. Consulte Exemplo de Configuração de IPsec entre um VPN 3000 Concentrator e um VPN Client 4.x for Windows Usando RADIUS para Autenticação e Contabilidade de Usuários para estabelecer um túnel IPsec entre um Cisco VPN 3000 Concentrator e um Cisco VPN Client 4.x for Windows usando RADIUS para autenticação e contabilidade de usuários. Consulte Configurando o IPsec entre um Cisco IOS Router e um Cisco VPN Client 4.x for Windows Usando RADIUS para Autenticação de Usuários para configurar uma conexão entre um roteador e o Cisco VPN Client 4.x usando RADIUS para autenticação de usuários. Nota: No PIX/ASA, o CHAP, o MS-CHAP-v1 e o MS-CHAP-v2 podem ser utilizados para autenticação RADIUS com um servidor IAS como PAP. Para fazer uso desses protocolos, você precisa utilizar o comando password-management para configurar a expiração de senha no modo de atributos gerais do grupo de túnel conforme mostrado. Pré-requisitos Requisitos Certifique-se de que este requisito seja atendido antes de tentar esta configuração: O PIX 500 Series Security Appliance pode ser acessado a partir da Internet. Habilite o servidor IAS para ler objetos de usuários no Active Directory. Consulte Microsoft - Lista de verificação: Configurando o IAS para Acesso Dial-up e VPN para obter mais informações sobre o IAS. Componentes Utilizados

2 As informações neste documento são baseadas nestas versões de software e hardware: PIX 515E Series Security Appliance Software Release 7.1(1) Cisco VPN Client versão 4.8 para Windows Windows 2003 Server com IAS As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando. Produtos Relacionados Esta configuração também pode ser utilizada com o Cisco ASA 5500 Series Security Appliance. Convenções Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos. Informações de Apoio As VPNs de acesso remoto atendem às necessidades de conexão com segurança à rede da organização por parte da força de trabalho móvel. Os usuários móveis são capazes de estabelecer uma conexão segura usando o software VPN Client instalado em seus PCs. O VPN Client inicia uma conexão a um dispositivo em um site central configurado para aceitar essas solicitações. Neste exemplo, o dispositivo de site central é um PIX 500 Series Security Appliance que utiliza mapas dinâmicos de criptografia. Neste exemplo de configuração, um túnel IPSec é configurado com estes elementos: Mapas de criptografia aplicados às interfaces externas do PIX. Autenticação estendida (xauth) dos VPN Clients com um banco de dados RADIUS. Atribuição dinâmica de um endereço IP privado a partir de um pool para VPN Clients. A funcionalidade do comando nat 0 access-list, que permite que os hosts de uma LAN usem endereços IP particulares com um usuário remoto e ainda recebam um endereço NAT do PIX para visitar uma rede não confiável. Configuração Nesta seção, você encontrará as informações necessárias para configurar a conexão de VPN de acesso remoto com xauth utilizando o servidor Windows 2003 IAS. Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção. Diagrama de Rede Este documento usa esta configuração de rede: Configurações Este documento utiliza estas configurações: Configuração do PIX 515E Security Appliance Configuração do Cisco VPN Client 4.8 for Windows Configuração do Microsoft Windows 2003 Server com IAS Configuração do PIX 515E Security Appliance

3 PIX Version 7.1(1) hostname PIX --- Especifique o nome de domínio do Security Appliance. domain-name cisco.com enable password 9jNfZuG3TC5tCVH0 encrypted names --- Configura as interfaces externa e interna. interface Ethernet0 nameif outside security-level 0 ip address interface Ethernet1 nameif inside security-level 100 ip address Saída suprimida. passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive --- Especifique a interface que aponta para o servidor DNS --- para permitir que o PIX use o DNS. dns domain-lookup inside dns server-group DefaultDNS timeout Especifique o local do servidor DNS no grupo DefaultDNS. name-server domain-name cisco.com --- Esta lista de acesso é usada com o comando nat zero que impede --- que o tráfego correspondente à lista de acesso passe pelo processo de NAT. access-list 101 extended permit ip pager lines 24 logging buffer-size logging console debugging logging monitor errors mtu outside 1500 mtu inside Crie um pool de endereços do qual os endereços IP são atribuídos --- dinamicamente aos clientes VPN remotos. ip local pool vpnclient no failover icmp permit any outside icmp permit any inside no asdm history enable arp timeout NAT 0 impede a aplicação do NAT para as redes especificadas na ACL O comando nat 1 especifica a Tradução de Endereço de Porta (PAT) --- e usa para os outros tipos de tráfego. global (outside) nat (inside) 0 access-list 101 nat (inside) route outside

4 route outside route inside timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute --- Crie o grupo "vpn" do servidor AAA e especifique o protocolo como RADIUS. --- Especifique o servidor IAS como membro do grupo "vpn" e forneça o --- local e a chave. aaa-server vpn protocol radius aaa-server vpn host key cisco Crie a política de grupo de usuários da VPN e especifique o endereço IP do servidor DNS --- e o nome do domínio na política de grupo. group-policy vpn3000 internal group-policy vpn3000 attributes dns-server value default-domain value cisco.com --- Para identificar os usuários de acesso remoto no Security Appliance, --- você também pode configurar nomes de usuários e senhas no dispositivo, --- além de usar o AAA. username vpn3000 password nptky7kdcerzhkex encrypted no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart --- CONFIGURAÇÃO DA FASE Os tipos de criptografia da Fase 2 são definidos aqui. --- Uma criptografia DES simples com o --- algoritmo de hash MD5 é usada. crypto ipsec transform-set my-set esp-des esp-md5-hmac --- Define um mapa de criptografia dinâmico --- com as configurações de criptografia especificadas. crypto dynamic-map dynmap 10 set transform-set my-set --- Habilita a Injeção de Rota Reversa (RRI), a qual permite que o Security Appliance --- aprenda informações de roteamento para os clientes conectados. crypto dynamic-map dynmap 10 set reverse-route --- Liga o mapa dinâmico ao processo de IPsec/ISAKMP. crypto map mymap 10 ipsec-isakmp dynamic dynmap --- Especifica a interface que será usada com --- as opções definidas nesta configuração. crypto map mymap interface outside --- CONFIGURAÇÃO DA FASE Esta configuração usa a política de ISAKMP A política está incluída na configuração por padrão. --- Os comandos de configuração aqui definem os parâmetros --- da política da Fase 1 que são usados. isakmp enable outside

5 isakmp policy 10 authentication pre-share isakmp policy 10 encryption des isakmp policy 10 hash md5 isakmp policy 10 group 2 isakmp policy 10 lifetime 1000 isakmp policy authentication pre-share isakmp policy encryption 3des isakmp policy hash sha isakmp policy group 2 isakmp policy lifetime O Security Appliance fornece os grupos de túneis padrão --- para acesso remoto (DefaultRAGroup). tunnel-group DefaultRAGroup general-attributes authentication-server-group (outside) vpn --- Crie um novo grupo de túneis e defina o tipo de conexão --- como acesso remoto via IPsec (ipsec-ra). tunnel-group vpn3000 type ipsec-ra --- Associe o pool vpnclient ao grupo de túneis usando o pool de endereços. --- Associe o grupo do servidor AAA (VPN) ao grupo de túneis. tunnel-group vpn3000 general-attributes address-pool vpnclient authentication-server-group vpn default-group-policy vpn Insira a chave pré-compartilhada para configurar o método de autenticação. tunnel-group vpn3000 ipsec-attributes pre-shared-key * telnet timeout 5 ssh timeout 5 console timeout 0 class-map inspection_default match default-inspection-traffic policy-map global_policy class inspection_default inspect dns maximum-length 512 inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp service-policy global_policy global Cryptochecksum:ecb58c5d8ce805b3610b198c73a3d0cf : end Configuração do VPN Client 4.8 Execute estes passos para configurar o VPN Client Selecione Start > Programs > Cisco Systems VPN Client > VPN Client. Clique em New para exibir a janela Create New VPN Connection Entry.

6 3. Insira o nome da entrada de conexão junto com uma descrição. Digite o endereço IP externo do PIX Firewall na caixa Host. Em seguida, digite o nome e a senha do grupo de VPN e clique em Save. 4. Clique na conexão que você deseja utilizar e clique em Connect na janela principal do VPN Client. 5. Quando solicitado, insira o nome de usuário e a senha para o xauth e clique em OK para se conectar à rede remota.

7 6. O VPN Client conecta-se ao PIX no site central. 7. Selecione Status > Statistics para verificar as estatísticas de túnel do VPN Client. Configuração do Microsoft Windows 2003 Server com IAS Execute estes passos para configurar o Microsoft Windows 2003 Server com IAS. Nota: Para estes passos, supõe-se que o IAS já tenha sido instalado no computador local. Caso contrário, adicione-o em Control Panel > Add/Remove Programs. 1. Selecione Administrative Tools > Internet Authentication Service e clique com o botão direito em RADIUS Client para adicionar um novo cliente RADIUS. Após digitar as informações do cliente, clique em OK. Este exemplo mostra um cliente chamado Pix com endereço IP O fornecedor do cliente é definido como RADIUS Standard e o segredo compartilhado é cisco123.

8 Vá para Remote Access Policies, clique com o botão direito em Connections to Other Access Servers e selecione Properties. Certifique-se de que a opção Grant Remote Access Permissions esteja selecionada. Clique em Edit Profile e marque estas configurações: Na guia Authentication, marque Unencrypted authentication (PAP, SPAP), MS-CHAP, and MS-CHAP-v2. Na guia Encryption, certifique-se de que a opção No Encryption esteja selecionada. Clique em OK quando tiver concluído Selecione Administrative Tools > Computer Management > System Tools > Local Users and Groups, clique com o botão direito em Users e selecione New Users para adicionar um novo usuário na conta do computador local. Adicione um usuário com senha Cisco password1 e marque estas informações de perfil: Na guia General, certifique-se que a opção Password Never Expired esteja selecionada ao invés da opção User Must Change Password. Na guia Dial-in, selecione a opção Allow access (ou mantenha a configuração padrão Control access through Remote Access Policy). Clique em OK quando tiver concluído.

9 Verificação Autenticação AAA No PIX, use a palavra-chave Test com o comando aaa authentication no modo de configuração global para verificar a autenticação de usuário com o servidor AAA. Após o comando ser inserido, o PIX solicita que você digite o nome do usuário e a senha para validar. Quando as credenciais de usuário forem verificadas e validadas, você receberá a mensagem Authentication Successful. pix(config-aaa-server-host)#test aaa authentication radius host Username: administrator Password: ***** INFO: Attempting Authentication test to IP address < > (timeout: 12 sec onds) INFO: Authentication Successful Comandos show Use esta seção para verificar se a sua configuração funciona corretamente. A Output Interpreter Tool (somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show. show crypto isakmp sa Mostra todas as associações de segurança (SAs) atuais de IKE em um peer. show crypto ipsec sa Mostra as configurações usadas pelas associações de segurança atuais. PIX#show crypto ipsec sa interface: outside Crypto map tag: dynmap, seq num: 10, local addr: local ident (addr/mask/prot/port): ( / /0/0) remote ident (addr/mask/prot/port): ( / /0/0) current_peer: , username: administrator dynamic allocated peer ip: #pkts encaps: 33, #pkts encrypt: 33, #pkts digest: 33 #pkts decaps: 33, #pkts decrypt: 33, #pkts verify: 33 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0 #send errors: 0, #recv errors: 0 local crypto endpt.: , remote crypto endpt.: path mtu 1500, ipsec overhead 60, media mtu 1500 current outbound spi: CA8BF3BC inbound esp sas: spi: 0xE4F08D9F ( ) transform: esp-des esp-md5-hmac in use settings ={RA, Tunnel, } slot: 0, conn_id: 1, crypto-map: dynmap sa timing: remaining key lifetime (sec): IV size: 8 bytes replay detection support: Y outbound esp sas: spi: 0xCA8BF3BC ( ) transform: esp-des esp-md5-hmac in use settings ={RA, Tunnel, } slot: 0, conn_id: 1, crypto-map: dynmap sa timing: remaining key lifetime (sec): IV size: 8 bytes replay detection support: Y Troubleshooting Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração. Um exemplo de saída de debug também é mostrado. Limpeza de Associações de Segurança Ao fazer o troubleshooting, certifique-se de limpar as associações de segurança existentes após efetuar uma alteração. No modo privilegiado do PIX, use os seguintes comandos:

10 clear [crypto] ipsec sa Exclui as associações de segurança ativas do IPsec. A palavra-chave crypto é opcional. clear [crypto] isakmp sa Exclui as associações de segurança de IKE ativas. A palavra-chave crypto é opcional. Comandos de Troubleshooting A Output Interpreter Tool (somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show. Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug. debug crypto ipsec Exibe as negociações de IPsec da fase 2. debug crypto isakmp Exibe as negociações de ISAKMP da fase 1. Exemplo de Saída de debug PIX Firewall VPN Client 3.5 para Windows PIX Firewall PIX#debug crypto isakmp 7 PIX# May 22 22:32:25 [IKEv1]: IP = , IKE_DECODE RECEIVED Message (msgid= 9117fc3d) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80 May 22 22:32:25 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = , processing hash payload May 22 22:32:25 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = , processing notify payload May 22 22:32:25 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = Intercâmbio de Dead-Peer-Detection , Received keep-alive of type DPD R-U-THERE (seq number 0x36a6342) May 22 22:32:25 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = , Sending keep-alive of type DPD R-U-THERE-ACK (seq number 0x36a6342) May 22 22:32:25 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = , constructing blank hash payload May 22 22:32:25 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = , constructing qm hash payload May 22 22:32:25 [IKEv1]: IP = , IKE_DECODE SENDING Message (msgid=4c047e 39) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80 May 22 22:32:36 [IKEv1]: IP = , IKE_DECODE RECEIVED Message (msgid=a ) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80 May 22 22:32:36 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = , processing hash payload May 22 22:32:36 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = , processing notify payload May 22 22:32:36 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = , Received keep-alive of type DPD R-U-THERE (seq number 0x36a6343) May 22 22:32:36 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = , Sending keep-alive of type DPD R-U-THERE-ACK (seq number 0x36a6343) May 22 22:32:36 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = , constructing blank hash payload May 22 22:32:36 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = , constructing qm hash payload May 22 22:32:36 [IKEv1]: IP = , IKE_DECODE SENDING Message (msgid=ceada9 19) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80 May 22 22:32:47 [IKEv1]: IP = , IKE_DECODE RECEIVED Message (msgid=ab66b 5e2) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80 May 22 22:32:47 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = , processing hash payload May 22 22:32:47 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = , processing notify payload May 22 22:32:47 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = , Received keep-alive of type DPD R-U-THERE (seq number 0x36a6344) May 22 22:32:47 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = , Sending keep-alive of type DPD R-U-THERE-ACK (seq number 0x36a6344) May 22 22:32:47 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = , constructing blank hash payload May 22 22:32:47 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = , constructing qm hash payload May 22 22:32:47 [IKEv1]: IP = , IKE_DECODE SENDING Message (msgid=b5341b a5) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80 May 22 22:32:58 [IKEv1]: IP = , IKE_DECODE RECEIVED Message (msgid=22d77 ee7) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80 May 22 22:32:58 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = , processing hash payload

11 May 22 22:32:58 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = , processing notify payload May 22 22:32:58 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = , Received keep-alive of type DPD R-U-THERE (seq number 0x36a6345) May 22 22:32:58 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = , Sending keep-alive of type DPD R-U-THERE-ACK (seq number 0x36a6345) May 22 22:32:58 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = , constructing blank hash payload May 22 22:32:58 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = , constructing qm hash payload May 22 22:32:58 [IKEv1]: IP = , IKE_DECODE SENDING Message (msgid=8d688b d2) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80 May 22 22:33:14 [IKEv1]: IP = , IKE_DECODE RECEIVED Message (msgid=f949a e6) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80 May 22 22:33:14 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = , processing hash payload May 22 22:33:14 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = , processing notify payload May 22 22:33:14 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = , Received keep-alive of type DPD R-U-THERE (seq number 0x36a6346) May 22 22:33:14 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = , Sending keep-alive of type DPD R-U-THERE-ACK (seq number 0x36a6346) May 22 22:33:14 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = , constructing blank hash payload May 22 22:33:14 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = , constructing qm hash payload May 22 22:33:14 [IKEv1]: IP = , IKE_DECODE SENDING Message (msgid=fd9fef 25) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80 May 22 22:33:25 [IKEv1]: IP = , IKE_DECODE RECEIVED Message (msgid=54d3b 543) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80 May 22 22:33:25 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = , processing hash payload May 22 22:33:25 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = , processing notify payload May 22 22:33:25 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = , Received keep-alive of type DPD R-U-THERE (seq number 0x36a6347) May 22 22:33:25 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = , Sending keep-alive of type DPD R-U-THERE-ACK (seq number 0x36a6347) May 22 22:33:26 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = , constructing blank hash payload May 22 22:33:26 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = , constructing qm hash payload May 22 22:33:26 [IKEv1]: IP = , IKE_DECODE SENDING Message (msgid=4d4102 0b) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80 May 22 22:33:37 [IKEv1]: IP = , IKE_DECODE RECEIVED Message (msgid=af7ad 910) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80 May 22 22:33:37 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = , processing hash payload May 22 22:33:37 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = , processing notify payload May 22 22:33:37 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = , Received keep-alive of type DPD R-U-THERE (seq number 0x36a6348) May 22 22:33:37 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = , Sending keep-alive of type DPD R-U-THERE-ACK (seq number 0x36a6348) May 22 22:33:37 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = , constructing blank hash payload May 22 22:33:37 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = , constructing qm hash payload May 22 22:33:37 [IKEv1]: IP = , IKE_DECODE SENDING Message (msgid=84cd22 35) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80 PIX#debug crypto ipsec Exclui os SAs antigos. PIX# IPSEC: Deleted inbound decrypt rule, SPI 0xA7E3E225 Rule ID: 0x0243DD38 IPSEC: Deleted inbound permit rule, SPI 0xA7E3E225 Rule ID: 0x024BA720 IPSEC: Deleted inbound tunnel flow rule, SPI 0xA7E3E225 Rule ID: 0x02445A48 IPSEC: Deleted inbound VPN context, SPI 0xA7E3E225 VPN handle: 0x018F68A8 IPSEC: Deleted outbound encrypt rule, SPI 0xB9C97D06 Rule ID: 0x024479B0 IPSEC: Deleted outbound permit rule, SPI 0xB9C97D06 Rule ID: 0x0243E9E0 IPSEC: Deleted outbound VPN context, SPI 0xB9C97D06 VPN handle: 0x0224F Cria novos SAs.

12 IPSEC: New embryonic SA 0x02448B38, SCB: 0x024487E0, Direction: inbound SPI : 0xE4F08D9F Session ID: 0x VPIF num : 0x Tunnel type: ra Protocol : esp Lifetime : 240 seconds IPSEC: New embryonic SA 0x , SCB: 0x02511DD8, Direction: outbound SPI : 0xCA8BF3BC Session ID: 0x VPIF num : 0x Tunnel type: ra Protocol : esp Lifetime : 240 seconds IPSEC: Completed host OBSA update, SPI 0xCA8BF3BC IPSEC: Creating outbound VPN context, SPI 0xCA8BF3BC Flags: 0x SA : 0x SPI : 0xCA8BF3BC MTU : 1500 bytes VCID : 0x Peer : 0x SCB : 0x02511DD8 Channel: 0x014A42F0 IPSEC: Completed outbound VPN context, SPI 0xCA8BF3BC VPN handle: 0x024B9868 IPSEC: New outbound encrypt rule, SPI 0xCA8BF3BC Src addr: Src mask: Dst addr: Dst mask: Src ports Dst ports Protocol: 0 Use protocol: false SPI: 0x Use SPI: false IPSEC: Completed outbound encrypt rule, SPI 0xCA8BF3BC Rule ID: 0x024B9B58 IPSEC: New outbound permit rule, SPI 0xCA8BF3BC Src addr: Src mask: Dst addr: Dst mask: Src ports Dst ports Protocol: 50 Use protocol: true SPI: 0xCA8BF3BC Use SPI: true IPSEC: Completed outbound permit rule, SPI 0xCA8BF3BC Rule ID: 0x024E7D18 IPSEC: Completed host IBSA update, SPI 0xE4F08D9F IPSEC: Creating inbound VPN context, SPI 0xE4F08D9F Flags: 0x SA : 0x02448B38 SPI : 0xE4F08D9F MTU : 0 bytes VCID : 0x Peer : 0x024B9868 SCB : 0x024487E0 Channel: 0x014A42F0 IPSEC: Completed inbound VPN context, SPI 0xE4F08D9F VPN handle: 0x024D90A8 IPSEC: Updating outbound VPN context 0x024B9868, SPI 0xCA8BF3BC Flags: 0x SA : 0x

13 SPI : 0xCA8BF3BC MTU : 1500 bytes VCID : 0x Peer : 0x024D90A8 SCB : 0x02511DD8 Channel: 0x014A42F0 IPSEC: Completed outbound VPN context, SPI 0xCA8BF3BC VPN handle: 0x024B9868 IPSEC: Completed outbound inner rule, SPI 0xCA8BF3BC Rule ID: 0x024B9B58 IPSEC: Completed outbound outer SPD rule, SPI 0xCA8BF3BC Rule ID: 0x024E7D18 IPSEC: New inbound tunnel flow rule, SPI 0xE4F08D9F Src addr: Src mask: Dst addr: Dst mask: Src ports Dst ports Protocol: 0 Use protocol: false SPI: 0x Use SPI: false IPSEC: Completed inbound tunnel flow rule, SPI 0xE4F08D9F Rule ID: 0x0243DD38 IPSEC: New inbound decrypt rule, SPI 0xE4F08D9F Src addr: Src mask: Dst addr: Dst mask: Src ports Dst ports Protocol: 50 Use protocol: true SPI: 0xE4F08D9F Use SPI: true IPSEC: Completed inbound decrypt rule, SPI 0xE4F08D9F Rule ID: 0x IPSEC: New inbound permit rule, SPI 0xE4F08D9F Src addr: Src mask: Dst addr: Dst mask: Src ports Dst ports Protocol: 50 Use protocol: true SPI: 0xE4F08D9F Use SPI: true IPSEC: Completed inbound permit rule, SPI 0xE4F08D9F Rule ID: 0x0251A970 VPN Client 4.8 para Windows Selecione Log > Log settings para ativar os níveis de log no VPN Client.

14 Selecione Log > Log Window para exibir as entradas de log no VPN Client Cisco Systems Inc. Todos os direitos reservados. Data da Geração do PDF: 1 Julho