ASA i IKEv2 certifikaty

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

ASA i IKEv2 certifikaty

#1

#1 Post autor: mihu »

hej,

mam 2 IKEv2 PKI L2L VPNy na tym samym interfejsie. Certy sa od tego samego Root CA i roznia sie CNami.

Pierwszy VPN (crypto map 10) zestawia sie ladnie i ASA prezentuje sie ze swoim Local ID jak skonifgurowany w tunnel-group i crypto map, natomiast crypto map 20 mimo ze ma przypisany inny TrustPoint do crypto mapy i tunnel-group usilnie wysyla ID (cert) z crypto map 10. Po podmianie TrustPointa dla CM10 CM20 wysyla ten podmieniony.

I teraz nie wiem czy to bug czy feature ASy (soft 9.1.1), ze w przypadku jesli ma 2 rozne certyfikaty na tym samym interfejsie od tego samego Root CA wysle pierwszy skonfigurowany na CM ?
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

Awatar użytkownika
frontier
wannabe
wannabe
Posty: 1861
Rejestracja: 16 lis 2004, 13:55
Lokalizacja: Edinburgh

Re: ASA i IKEv2 certifikaty

#2

#2 Post autor: frontier »

Hmmm... nie wiem... powinno sie dac skonfigurowac wiecej jak jeden cert na crypto mapie... trzebaby zapytac kogos kto ma zdanego laba z Sec :)
Jeden konfig wart więcej niż tysiąc słów

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

Re: ASA i IKEv2 certifikaty

#3

#3 Post autor: mihu »

frontier pisze:Hmmm... nie wiem... powinno sie dac skonfigurowac wiecej jak jeden cert na crypto mapie... trzebaby zapytac kogos kto ma zdanego laba z Sec :)
skonfigurowac sie da ale nie dziala jak trzeba, bardziej potrzebny ktos z A+ bo to wyglada na problem sprzetowy ;)
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

Re: ASA i IKEv2 certifikaty

#4

#4 Post autor: mihu »

ok. problem rozwiazany.

wszystko dziala jak nalezy. problemem byl dodany default do tunnel-group-map ustawiony na crypto map 10. btw. "show run tunnel-group" nie pokazuje outputu dla "tunnel-group-map".
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

ODPOWIEDZ