Buongiorno a tutti,
Desideravo portare alla vostra attenzione un problema che ho con un Apple I-Pad e la connessione VPN IPSEC ad un Cisco Pix 501.
Infatti una volta completata la configurazione e attivato il tunnell, mi compare un popup che mi chiede di specificare utente e password relativi al gruppo. Diversamente se tento il collegamento con un ASA il problema non si presenta.
Immagino sia un problema di IOS del Pix. Qualcuno può gentilmente darmi qualche suggerimanto?
Grazie
Piettin
Accesso VPN IPSec con I-Pad e Pix 501
Moderatore: Federico.Lagni
-
loganx
- n00b
- Messaggi: 6
- Iscritto il: ven 02 set , 2011 4:27 pm
Ciao a tutti. Anch'io ho il medesimo problema 
Ho paura che sia il client nativo vpn di OSX a non essere supportato dal pix...
Questa è parte della mia configurazione
Da windows funziona alla meraviglia ma da OSX no! Quando eseguo il collegamento compare una finestra popup che dice di inserire user e password ma in questo popup mancano i campi!!!! C'è solo il messaggio di richiesta inserimento e il bottone ok...
Ho provato con un'altra vpn (quella aziendale) dove invece di un pix c'è un ASA e funziona tutto alla meraviglia.
C'è qualcosa da abilitare/modificare?
Grazie in anticipo a chi può dare qualche consiglio.
Ho paura che sia il client nativo vpn di OSX a non essere supportato dal pix...
Questa è parte della mia configurazione
Codice: Seleziona tutto
PIX Version 6.3(5)
access-list acl_out permit ip 192.168.1.0 255.255.255.0 any
access-list inside_outbound_nat0_acl permit ip any 192.168.1.160 255.255.255.248
access-list outside_cryptomap_dyn_40 permit ip any 192.168.1.160 255.255.255.248
access-list myvpn_splitTunnelAcl permit ip 192.168.1.0 255.255.255.0 any
ip local pool myvpn_pool 192.168.1.160-192.168.1.166
global (outside) 1 interface
nat (inside) 0 access-list inside_outbound_nat0_acl
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
access-group acl_out in interface inside
sysopt connection permit-ipsec
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto dynamic-map outside_dyn_map 40 match address outside_cryptomap_dyn_40
crypto dynamic-map outside_dyn_map 40 set transform-set ESP-3DES-MD5
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map client authentication LOCAL
crypto map outside_map interface outside
isakmp enable outside
isakmp nat-traversal 20
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption 3des
isakmp policy 20 hash sha
isakmp policy 20 group 2
isakmp policy 20 lifetime 86400
isakmp policy 40 authentication pre-share
isakmp policy 40 encryption des
isakmp policy 40 hash md5
isakmp policy 40 group 2
isakmp policy 40 lifetime 86400
isakmp policy 60 authentication pre-share
isakmp policy 60 encryption 3des
isakmp policy 60 hash md5
isakmp policy 60 group 2
isakmp policy 60 lifetime 86400
vpngroup myvpn address-pool myvpn_pool
vpngroup myvpn dns-server 192.168.1.1
vpngroup myvpn default-domain ciscopix.com
vpngroup myvpn split-tunnel myvpn_splitTunnelAcl
vpngroup myvpn idle-time 1800
vpngroup myvpn password ********
username myvpn password ******** encrypted privilege 15
Ho provato con un'altra vpn (quella aziendale) dove invece di un pix c'è un ASA e funziona tutto alla meraviglia.
C'è qualcosa da abilitare/modificare?
Grazie in anticipo a chi può dare qualche consiglio.
Ultima modifica di loganx il ven 28 set , 2012 6:47 pm, modificato 1 volta in totale.
-
loganx
- n00b
- Messaggi: 6
- Iscritto il: ven 02 set , 2011 4:27 pm
Forse ho capito.
Leggendo in giro ho trovato che il pix501 non ha attivo di default il 3DES ma solo il DES e il problema sembra che il client nativo Cisco di OSX supporti solo il 3DES...
Fortunatamente il mio pix ha attivo entrambi
Quindi posso provare con
e sperare che funzioni... stasera provo e vi faccio sapere...
Leggendo in giro ho trovato che il pix501 non ha attivo di default il 3DES ma solo il DES e il problema sembra che il client nativo Cisco di OSX supporti solo il 3DES...
Fortunatamente il mio pix ha attivo entrambi
Codice: Seleziona tutto
MyPIX(config)# sh ver
Cisco PIX Firewall Version 6.3(5)
Cisco PIX Device Manager Version 3.0(4)
...
VPN-DES: Enabled
VPN-3DES-AES: EnabledCodice: Seleziona tutto
crypto dynamic-map outside_dyn_map 40 set transform-set ESP-3DES-MD5 ESP-3DES-SHA-
loganx
- n00b
- Messaggi: 6
- Iscritto il: ven 02 set , 2011 4:27 pm
Niente da fare...
Ecco cosa vedo dal log:
Io ho attivo 3DES-MD5 e 3DES-SHA, come si attiva 3DES-CBC (ammesso che il problema sia quello)?
Ecco cosa vedo dal log:
Codice: Seleziona tutto
ISAKMP session connected (local 192.168.1.1 (responder), remote <myipaddress>)
ISAKMP Phase 1 SA created (local 192.168.1.1/500 (responder), remote <myipaddress>/500, authentication=pre-share, encryption=3DES-CBC, hash=SHA, group=2, lifetime=3600s
Authentication failed for user '' from <myipaddress> to 192.168.1.1/0 on interface outside-
Rizio
- Messianic Network master
- Messaggi: 1158
- Iscritto il: ven 12 ott , 2007 2:48 pm
- Contatta:
Mah, l'unica cosa che risulta dai log che hai girato è che l'aifon o l'aipad non gli passa l'utente.
Prova a capire come mai.
Però personalmente aborro la mela perciò non ho alcuna esperienza.
Rizio
Prova a capire come mai.
Però personalmente aborro la mela perciò non ho alcuna esperienza.
Rizio
Si vis pacem para bellum
