In diesem Dokument wird beschrieben, wie Sie Fehlerbehebungen auf der Cisco Adaptive Security Appliance (ASA) verstehen, wenn Internet Key Exchange Version 2 (IKEv2) mit einem Cisco AnyConnect Secure Mobility Client verwendet wird. Dieses Dokument enthält auch Informationen zur Übersetzung bestimmter Debugging-Zeilen in einer ASA-Konfiguration.
In diesem Dokument wird nicht beschrieben, wie Datenverkehr nach der Einrichtung eines VPN-Tunnels an die ASA weitergeleitet wird. Es enthält auch keine grundlegenden Konzepte von IPSec oder IKE.
Cisco empfiehlt, dass Sie über Kenntnisse des Paketaustauschs für IKEv2 verfügen. Weitere Informationen finden Sie unter Debuggen auf IKEv2-Paketaustausch- und Protokollebene.
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.
Das Cisco Technical Assistance Center (TAC) verwendet häufig IKE- und IPSec-Debug-Befehle, um zu ermitteln, wo ein Problem mit dem IPSec-VPN-Tunnelaufbau besteht. Die Befehle können jedoch kryptisch sein.
debug crypto ikev2 protocol 127
debug crypto ikev2 platform 127
debug aggregate-auth xml 5
Diese ASA-Konfiguration ist sehr einfach, es werden keine externen Server verwendet.
interface Ethernet0/1
nameif outside
security-level 0
ip address 10.0.0.1 255.255.255.0
ip local pool webvpn1 10.2.2.1-10.2.2.10
crypto ipsec ikev2 ipsec-proposal 3des
protocol esp encryption aes-256 aes 3des des
protocol esp integrity sha-1
crypto dynamic-map dynmap 1000 set ikev2 ipsec-proposal 3des
crypto map crymap 10000 ipsec-isakmp dynamic dynmap
crypto map crymap interface outside
crypto ca trustpoint Anu-ikev2
enrollment self
crl configure
crypto ikev2 policy 10
encryption aes-192
integrity sha
group 2
prf sha
lifetime seconds 86400
crypto ikev2 enable outside client-services port 443
crypto ikev2 remote-access trustpoint Anu-ikev2
ssl encryption 3des-sha1 aes128-sha1 aes256-sha1 des-sha1
ssl trust-point Anu-ikev2 outside
webvpn
enable outside
anyconnect image disk0:/anyconnect-win-3.0.1047-k9.pkg 1
anyconnect profiles Anyconnect-ikev2 disk0:/anyconnect-ikev2.xml
anyconnect enable
tunnel-group-list enable
group-policy ASA-IKEV2 internal
group-policy ASA-IKEV2 attributes
wins-server none
dns-server none
vpn-tunnel-protocol ikev2
default-domain none
webvpn
anyconnect modules value dart
anyconnect profiles value Anyconnect-ikev2 type user
username Anu password lAuoFgF7KmB3D0WI encrypted privilege 15
tunnel-group ASA-IKEV2 type remote-access
tunnel-group ASA-IKEV2 general-attributes
address-pool webvpn1
default-group-policy ASA-IKEV2
tunnel-group ASA-IKEV2 webvpn-attributes
group-alias ASA-IKEV2 enable
<ServerList>
<HostEntry>
<HostName>Anu-IKEV2</HostName>
<HostAddress>10.0.0.1</HostAddress>
<UserGroup>ASA-IKEV2</UserGroup>
<PrimaryProtocol>IPsec</PrimaryProtocol>
</HostEntry>
</ServerList>
Beschreibung der Servernachricht |
Fehlerbehebung |
Beschreibung der Kundennachricht |
|
Datum: 23.04.13 **************************************** **************************************** |
Der Client initiiert den VPN-Tunnel zur ASA. | ||
---------------------------------IKE_SA_INIT Exchange wird gestartet------------------------------ | |||
Die ASA empfängt die IKE_SA_INIT-Nachricht vom Client. |
IKEv2-PLAT-4: RECV PKT [IKE_SA_INIT] [192.168.1.1]:25170->[10.0.0.1]:500 InitSPI=0x58aff71141ba436b RespSPI=0x0000000000000000 MID=00000000 IKEv2-PROTO-3: Rx [L 10.0.0.1:500/R 192.168.1.1:25170/VRF i0:f0] m_id: 0x0 |
||
Das erste Nachrichtenpaar ist der IKE_SA_INIT-Austausch. Diese Nachrichten handeln kryptografische Algorithmen aus, tauschen Unzen aus und führen einen Diffie-Hellman-Austausch (DH) durch. Die IKE_SA_INIT-Nachricht, die vom Client empfangen wurde, enthält folgende Felder:
|
IKEv2-PROTO-3: HDR [i:58AFF71141BA436B - r: 0000000000000000] IKEv2-PROTO-4: IKEV2 HDR-IPI: 58AFF71141BA436B - RSPI: 0000000000000000 IKEv2-PROTO-4: Nächste Nutzlast: SA, Version: 2.0 IKEv2-PROTO-4: Austauschtyp: IKE_SA_INIT, Markierungen: INITIATOR IKEv2-PROTO-4: Nachrichten-ID: 0x0, Länge: 528 SA Nächste Nutzlast: KE, reserviert: 0x0, Länge: 168 IKEv2-PROTO-4: letzter Vorschlag: 0x0, reserviert: 0x0, Länge: 164 Angebot: 1, Protokoll-ID: IKE, SPI-Größe: 0, #trans: 18 IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 12 Typ: 1, reserviert: 0x0, ID: AES-CBC IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 12 Typ: 1, reserviert: 0x0, ID: AES-CBC IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 12 Typ: 1, reserviert: 0x0, ID: AES-CBC IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 8 Typ: 1, reserviert: 0x0, ID: 3DES IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 8 Typ: 1, reserviert: 0x0, ID: DES IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 8 Typ: 2, reserviert: 0x0, ID: SHA512 IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 8 Typ: 2, reserviert: 0x0, ID: SHA384 IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 8 Typ: 2, reserviert: 0x0, ID: SHA256 IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 8 Typ: 2, reserviert: 0x0, ID: SHA1 IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 8 Typ: 2, reserviert: 0x0, ID: MD5 IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 8 Typ: 3, reserviert: 0x0, ID: SHA512 IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 8 Typ: 3, reserviert: 0x0, ID: SHA384 IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 8 Typ: 3, reserviert: 0x0, ID: SHA256 IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 8 Typ: 3, reserviert: 0x0, ID: SHA96 IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 8 Typ: 3, reserviert: 0x0, ID: MD596 IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 8 Typ: 4, reserviert: 0x0, ID: DH_GROUP_1536_MODP/Gruppe 5 IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 8 Typ: 4, reserviert: 0x0, ID: DH_GROUP_1024_MODP/Gruppe 2 IKEv2-PROTO-4: letzte Transformation: 0x0, reserviert: 0x0: Länge: 8 Typ: 4, reserviert: 0x0, ID: DH_GROUP_768_MODP/Gruppe 1 KE Nächste Nutzlast: N, reserviert: 0x0, Länge: 104 DH-Gruppe: 1, Reserviert: 0x0 eb 5e 29 fe cb 2e d1 28 ed 4a 54 b1 13 7c b8 89 f7 62 13 6b df 95 88 28 b5 97 ba 52 ef e4 1d 28 ca 06 d1 36 b6 67 32 9a c2 dd 4e d8 c7 80 de 20 36 34 c5 b3 3e 1d 83 1a c7 fb 9d b8 c5 f5 ed 5f ba ba ba 4f b6 b2 e2 2d 43 4f a0 b6 90 9a 11 3f 7d 0a 21 c3 4d d3 0a d2 1e 33 43 d3 5e cc 4b 38 e0 N Nächste Nutzlast: VID, reserviert: 0x0, Länge: 24 20 12 8f 22 7b 16 23 52 e4 29 4d 98 c7 fd a8 77 ce 7c 0b4 IKEv2-PROTO-5: Analyse anbieterspezifischer Payload: CISCO-DELETE-REASON VID Nächste Payload: VID, reserviert: 0x0, Länge: 23 |
||
Die ASA verifiziert und verarbeitet die
Relevante Konfiguration: crypto ikev2 policy 10 |
Entschlüsseltes Paket:Daten: 528 Bytes IKEv2-PLAT-3: Verarbeitung benutzerdefinierter VID-Payloads IKEv2-PLAT-3: Cisco Copyright VID vom Peer empfangen IKEv2-PLAT-3: AnyConnect EAP-VID vom Peer empfangen IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: IDLE Ereignis: EV_RECV_INIT IKEv2-PROTO-3: (6): NAT-Erkennung prüfen IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: IDLE Ereignis: EV_CHK_REDIRECT IKEv2-PROTO-5: (6): Eine Redirect-Prüfung ist nicht erforderlich, sie wird übersprungen. IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: IDLE Ereignis: EV_CHK_CAC IKEv2-PLAT-5: Neues ikev2 als Anforderung zugelassen IKEv2-PLAT-5: Erhöhung der Anzahl eingehender Verhandlungen um eins IKEv2-PLAT-5: UNGÜLTIGER PSH-HANDLE IKEv2-PLAT-5: UNGÜLTIGER PSH-HANDLE IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: IDLE Ereignis: EV_CHK_COOKIE IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: IDLE Ereignis: EV_CHK4_COOKIE_NOTIFY IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT Ereignis: EV_VERIFY_MSG IKEv2-PROTO-3: (6): Überprüfen der SA-Initialisierungsmeldung IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT Ereignis: EV_INSERT_SA IKEv2-PROTO-3: (6): SA einfügen IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT Ereignis: EV_GET_IKE_POLICY IKEv2-PROTO-3: (6): Abrufen konfigurierter Richtlinien IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT Ereignis: EV_PROC_MSG IKEv2-PROTO-2: (6): Verarbeitung der ursprünglichen Nachricht IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT Ereignis: EV_DETECT_NAT IKEv2-PROTO-3: (6): Prozess-NAT-Erkennungsbenachrichtigung IKEv2-PROTO-5: (6): Verarbeitung von NAT-Erkennungsbenachrichtigungen IKEv2-PROTO-5: (6): Remote-Adresse nicht zugeordnet IKEv2-PROTO-5: (6): Verarbeitung von NAT-Erkennungsdaten zur Benachrichtigung IKEv2-PROTO-5: (6): Lokale Adresse zugeordnet IKEv2-PROTO-5: (6): Host befindet sich außerhalb von NAT IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT Ereignis: EV_CHK_CONFIG_MODE IKEv2-PROTO-3: (6): Es wurden gültige Konfigurationsmodusdaten empfangen. IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_INIT Ereignis: EV_SET_RECD_CONFIG_MODE IKEv2-PROTO-3: (6): Einstellung der empfangenen Konfigurationsmodusdaten IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Ereignis: EV_SET_POLICY IKEv2-PROTO-3: (6): Festlegen konfigurierter Richtlinien IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Ereignis: EV_CHK_AUTH4PKI IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Ereignis: EV_PKI_SESH_OPEN IKEv2-PROTO-3: (6): PKI-Sitzung wird geöffnet IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Ereignis: EV_GEN_DH_KEY IKEv2-PROTO-3: (6): Öffentlicher DH-Computing-Schlüssel IKEv2-PROTO-3: (6): IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Ereignis: EV_NO_EVENT IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Ereignis: EV_OK_RECD_DH_PUBKEB J_RESP IKEv2-PROTO-5: (6): Aktion: Action_Null IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Ereignis: EV_GEN_DH_SECRET IKEv2-PROTO-3: (6): DH-Geheimschlüssel wird berechnet IKEv2-PROTO-3: (6): IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Ereignis: EV_NO_EVENT IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Ereignis: EV_OK_RECD_DH_SECRET_RESP IKEv2-PROTO-5: (6): Aktion: Action_Null IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Ereignis: EV_GEN_SKEYID IKEv2-PROTO-3: (6): Schlüsselkennung generieren IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Ereignis: EV_GET_CONFIG_MODE |
||
Die ASA erstellt die Antwortnachricht für den IKE_SA_INIT-Austausch. Dieses Paket enthält:
|
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_BLD_INIT Ereignis: EV_BLD_MSG IKEv2-PROTO-2: (6): Erstanmeldung wird gesendet IKEv2-PROTO-3: IKE-Vorschlag: 1, SPI-Größe: 0 (erste Verhandlung), Anzahl der Umwandlungen: 4 AES-CBC SHA1 SHA96 DH_GROUP_768_MODP/Gruppe 1 IKEv2-PROTO-5: Herstellerspezifische Payload konstruieren: DELETE-REASONIKEv2-PROTO-5: Herstellerspezifische Payload konstruieren: (BENUTZERDEFINIERT)IKEv2-PROTO-5: Herstellerspezifische Payload konstruieren: (BENUTZERDEFINIERT)IKEv2-PROTO-5: Payload konstruieren : NAT_DETECTION_SOURCE_IPIKEv2-PROTO-5: Construct Notify Payload: NAT_DETECTION_DESTINATION_IPIKEv2-PLAT-2: Fehler beim Abrufen der Hashes vertrauenswürdiger Emittenten oder keine verfügbaren Hashes IKEv2-PROTO-5: Aufbau anbieterspezifischer Payload: FRAGMENTATIONIKEv2-PROTO-3: Tx [L 10.0.0.1:500/R 192.168.1.1:25170/VRF i0:f0] m_id: 0x0 IKEv2-PROTO-3: HDR [i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4: IKEV2 HDR-IPI: 58AFF71141BA436B - RSPI: FC696330E6B94D7F IKEv2-PROTO-4: Nächste Nutzlast: SA, Version: 2.0 IKEv2-PROTO-4: Exchange-Typ: IKE_SA_INIT, Flags: RESPONDER MSG-RESPONSE IKEv2-PROTO-4: Nachrichten-ID: 0x0, Länge: 386 SA Nächste Nutzlast: KE, reserviert: 0x0, Länge: 48 IKEv2-PROTO-4: letzter Vorschlag: 0x0, reserviert: 0x0, Länge: 44 Angebot: 1, Protokoll-ID: IKE, SPI-Größe: 0, #trans: 4 IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 12 Typ: 1, reserviert: 0x0, ID: AES-CBC IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 8 Typ: 2, reserviert: 0x0, ID: SHA1 IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 8 Typ: 3, reserviert: 0x0, ID: SHA96 IKEv2-PROTO-4: letzte Transformation: 0x0, reserviert: 0x0: Länge: 8 Typ: 4, reserviert: 0x0, ID: DH_GROUP_768_MODP/Gruppe 1 KE Nächste Nutzlast: N, reserviert: 0x0, Länge: 104 DH-Gruppe: 1, Reserviert: 0x0 c9 30 f9 32 d4 7c d1 a7 5b 71 72 09 6e 7e 91 0c e1 ce b4 a4 3c f2 8b 74 4e 20 59 b4 0b a1 ff 65 37 88 cc c4 a4 b6 fa 4a 63 03 93 89 e1 7e bd 6a 64 9a 38 24 e2 a8 40 f5 a3 d6 ef f7 1a df 33 cc a1 8e fa dc 9c 34 45 79 1a 7c 29 05 87 8a ac 02 98 2e 7d cb 41 51 d6 fe fc c7 76 83 1d 03 b0 d7 N Nächste Nutzlast: VID, reserviert: 0x0, Länge: 24 c2 28 7f 8c 7d b3 1e 51 fc eb f1 97 ec 97 b8 67 d5 e7 c2 f5 VID Nächste Nutzlast: VID, reserviert: 0x0, Länge: 23 |
||
Die ASA sendet die Antwortnachricht für den IKE_SA_INIT-Austausch. Der IKE_SA_INIT-Austausch ist jetzt abgeschlossen. Die ASA startet den Timer für den Authentifizierungsprozess. | IKEv2-PLAT-4: GESENDETE PKT [IKE_SA_INIT] [10.0.0.1]:500->[192.168.1.1]:25170 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000000 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: INIT_DONE Ereignis: EV_DONE IKEv2-PROTO-3: (6): Fragmentierung ist aktiviert IKEv2-PROTO-3: (6): Cisco DeleteReason Notify ist aktiviert. IKEv2-PROTO-3: (6): Vollständiger SA-Init-Austausch IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: INIT_DONE Ereignis: EV_CHK4_ROLE IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: INIT_DONE Ereignis: EV_START_TMR IKEv2-PROTO-3: (6): Startzeitgeber wartet auf Authentifizierungsmeldung (30 Sek.) IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000000 CurState: R_WAIT_AUTH Ereignis: EV_NO_EVENT |
**************************************** Datum: 23.04.13 Uhrzeit: 16:25:02 Typ: Informationen Quelle: acvpnagent Beschreibung : Function: CIPsecProtocol::initiateTunnel Datei: .\IPsecProtocol.cpp Anschluss: 345 IPsec-Tunnel wird initiiert **************************************** |
Der Client zeigt den IPSec-Tunnel als 'initiating' an. |
-----------------------------------IKE_SA_INIT Complete--------------------------------- | |||
------------------------------------- IKE_AUTH beginnt------------------------------------- | |||
**************************************** Datum: 23.04.13 Uhrzeit: 16:25:00 Typ: Informationen Quelle: acvpnagent Beschreibung: Secure Gateway Parameters: IP-Adresse: 10.0.0.1 Port: 443 URL: "10.0.0.1" Authentifizierungsmethode: IKE - EAP-AnyConnect IKE-Identität: **************************************** Datum: 23.04.13 Uhrzeit: 16:25:00 Typ: Informationen Quelle: acvpnagent Beschreibung: Initiating Cisco AnyConnect Secure Mobility Client connection, version 3.0.1047 **************************************** Datum: 23.04.13 |
Der Client lässt die AUTH-Nutzlast aus der Nachricht 3 weg, um anzuzeigen, dass eine erweiterbare Authentifizierung verwendet werden soll. Wenn die EAP-Authentifizierung (Extensible Authentication Protocol) vom Clientprofil angegeben oder impliziert wird und das Profil nicht das <IKEIdentity>-Element enthält, sendet der Client eine ID_GROUP-Typ-IDi-Nutzlast mit der festen Zeichenfolge *$AnyConnectClient$*. Der Client initiiert eine Verbindung mit der ASA auf Port 4500. | ||
Die Authentifizierung erfolgt über EAP. In einer EAP-Konversation ist nur eine einzige EAP-Authentifizierungsmethode zulässig. Die ASA empfängt die IKE_AUTH-Nachricht vom Client. |
IKEv2-PLAT-4: RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000001 IKEv2-PROTO-3: Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x1 |
||
Wenn der Client eine IDi-Nutzlast enthält Das IKE_AUTH-Initiatorpaket enthält:
Die Attribute, die der Client für * Relevante Profilkonfiguration: <ServerList> |
IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4: IKEV2 HDR-IPI: 58AFF71141BA436B - RSPI: FC696330E6B94D7F IKEv2-PROTO-4: Nächste Nutzlast: ENCR, Version: 2.0 IKEv2-PROTO-4: Austauschtyp: IKE_AUTH, Markierungen: INITIATOR IKEv2-PROTO-4: Nachrichten-ID: 0x1, Länge: 540 IKEv2-PROTO-5: (6): Anfrage hat mess_id 1; 1 bis 1 wird erwartet REAL Entschlüsseltes Paket:Daten: 465 Bytes IKEv2-PROTO-5: Analyse anbieterspezifischer Payload: (BENUTZERDEFINIERT) VID Nächste Payload: IDi, reserviert: 0x0, Länge: 20 58 af f6 11 52 8d b0 2c b8 da 30 46 be 91 56 fa IDi Nächste Nutzlast: CERTREQ, reserviert: 0x0, Länge: 28 ID-Typ: Gruppenname, Reserviert: 0x0 0x0 2a 24 41 6e 79 43 6f 6e 6e 65 63 74 43 6c 69 65 6e 74 24 2a CERTREQ Nächste Nutzlast: CFG, reserviert: 0x0, Länge: 25 Zertifikatcodierung X.509 Zertifikat - Signatur CertReq-Daten&Doppelpunkt; 20 Byte CFG Nächste Nutzlast: SA, reserviert: 0x0, Länge: 196 cfg type: CFG_REQUEST, reserviert: 0x0, reserviert: 0x0 Attributtyp: interne IP4-Adresse, Länge: 0 Attributtyp: interne IP4-Netzmaske, Länge: 0 Attributtyp: interner IP4 DNS, Länge: 0 Attributtyp: intern IP4 NBNS, Länge: 0 Attributtyp: interner Adressablauf, Länge: 0 Attributtyp: Applikationsversion, Länge: 27 41 6e 79 43 6f 6e 6e 65 63 74 20 57 69 6e 64 6f 77 73 20 33 2e 30 2e 31 30 34 37 Attributtyp: interne IP6-Adresse, Länge: 0 Attributtyp: internes IP4-Subnetz, Länge: 0 Attributtyp: Unbekannt - 28682, Länge: 15 77 69 6e 78 70 36 34 74 65 6d 70 6c 61 74 65 Attributtyp: Unbekannt - 28704, Länge: 0 Attributtyp: Unbekannt - 28705, Länge: 0 Attributtyp: Unbekannt - 28706, Länge: 0 Attributtyp: Unbekannt - 28707, Länge: 0 Attributtyp: Unbekannt - 28708, Länge: 0 Attributtyp: Unbekannt - 28709, Länge: 0 Attributtyp: Unbekannt - 28710, Länge: 0 Attributtyp: Unbekannt - 28672, Länge: 0 Attributtyp: Unbekannt - 28684, Länge: 0 Attributtyp: Unbekannt - 28711, Länge: 2 05 7e Attributtyp: Unbekannt - 28674, Länge: 0 Attributtyp: Unbekannt - 28712, Länge: 0 Attributtyp: Unbekannt - 28675, Länge: 0 Attributtyp: Unbekannt - 28679, Länge: 0 Attributtyp: Unbekannt - 28683, Länge: 0 Attributtyp: Unbekannt - 28717, Länge: 0 Attributtyp: Unbekannt - 28718, Länge: 0 Attributtyp: Unbekannt - 28719, Länge: 0 Attributtyp: Unbekannt - 28720, Länge: 0 Attributtyp: Unbekannt - 28721, Länge: 0 Attributtyp: Unbekannt - 28722, Länge: 0 Attributtyp: Unbekannt - 28723, Länge: 0 Attributtyp: Unbekannt - 28724, Länge: 0 Attributtyp: Unbekannt - 28725, Länge: 0 Attributtyp: Unbekannt - 28726, Länge: 0 Attributtyp: Unbekannt - 28727, Länge: 0 Attributtyp: Unbekannt - 28729, Länge: 0 SA Nächste Nutzlast: TSi, reserviert: 0x0, Länge: 124 IKEv2-PROTO-4: letzter Vorschlag: 0x0, reserviert: 0x0, Länge: 120 Angebot: 1, Protokoll-ID: ESP, SPI-Größe: 4, #trans: 12 IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 12 Typ: 1, reserviert: 0x0, ID: AES-CBC IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 12 Typ: 1, reserviert: 0x0, ID: AES-CBC IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 12 Typ: 1, reserviert: 0x0, ID: AES-CBC IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 8 Typ: 1, reserviert: 0x0, ID: 3DES IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 8 Typ: 1, reserviert: 0x0, ID: DES IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 8 Typ: 1, reserviert: 0x0, ID: NULL IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 8 Typ: 3, reserviert: 0x0, ID: SHA512 IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 8 Typ: 3, reserviert: 0x0, ID: SHA384 IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 8 Typ: 3, reserviert: 0x0, ID: SHA256 IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 8 Typ: 3, reserviert: 0x0, ID: SHA96 IKEv2-PROTO-4: letzte Transformation: 0x3, reserviert: 0x0: Länge: 8 Typ: 3, reserviert: 0x0, ID: MD596 IKEv2-PROTO-4: letzte Transformation: 0x0, reserviert: 0x0: Länge: 8 Typ: 5, reserviert: 0x0, ID: TSi Nächste Nutzlast: TSr, reserviert: 0x0, Länge: 24 Anzahl der TSs: 1, reserviert 0x0, reserviert 0x0 TS-Typ: TS_IPV4_ADDR_RANGE, Proto-ID: 0, Länge: 16 Anfangsport: 0, Endport: 65535 start addr: 0.0.0.0, end addr: 255.255.255.255 TSr Nächste Nutzlast: NOTIFY, reserviert: 0x0, Länge: 24 Anzahl der TSs: 1, reserviert 0x0, reserviert 0x0 TS-Typ: TS_IPV4_ADDR_RANGE, Proto-ID: 0, Länge: 16 Anfangsport: 0, Endport: 65535 start addr: 0.0.0.0, end addr: 255.255.255.255 |
||
Die ASA generiert eine Antwort auf die IKE_AUTH-Nachricht und bereitet sich darauf vor, sich beim Client zu authentifizieren. |
Entschlüsseltes Paket:Daten&Doppelpunkt; 540 Byte Erstellter Elementname config-auth-Wert |
||
Die ASA sendet die AUTH-Payload, um Benutzeranmeldeinformationen vom Client anzufordern. Die ASA sendet die AUTH-Methode als 'RSA', sodass sie ihr eigenes Zertifikat an den Client sendet, sodass der Client den ASA-Server authentifizieren kann. Da die ASA bereit ist, eine erweiterbare Authentifizierungsmethode zu verwenden, fügt sie eine EAP-Nutzlast in Nachricht 4 ein und verschiebt das Senden von SAr2, TSi und TSr, bis die Initiatorauthentifizierung in einem nachfolgenden IKE_AUTH-Austausch abgeschlossen ist. Daher sind diese drei Payloads in den Debugs nicht vorhanden. Das EAP-Paket enthält:
|
IDr. Nächste Nutzlast: CERT, reserviert: 0x0, Länge: 36 ID-Typ: DER ASN1 DN, reserviert: 0x0 0x0 30 1a 31 18 30 16 06 09 2a 86 48 86 f7 0d 01 09 02 16 09 41 53 41 2d 49 4b 45 56 32 CERT Nächste Nutzlast: CERT, reserviert: 0x0, Länge: 436 Zertifikatcodierung X.509 Zertifikat - Signatur Zertifikatdaten&Doppelpunkt; 431 Byte CERT Nächste Nutzlast: AUTH, reserviert: 0x0, Länge: 436 Zertifikatcodierung X.509 Zertifikat - Signatur Zertifikatdaten&Doppelpunkt; 431 Byte AUTH Nächste Nutzlast: EAP, reserviert: 0x0, Länge: 136 Auth-Methode RSA, reserviert: 0x0, reserviert: 0x0 Auth. Daten&Doppelpunkt; 128 Byte EAP Nächste Nutzlast: KEINE, reserviert: 0x0, Länge: 154 Code: Anfrage: ID: 1, Länge: 150 Typ: Unbekannt - 254 EAP-Daten: 145 Byte IKEv2-PROTO-3: Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x1 IKEv2-PROTO-3: HDR [i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4: IKEV2 HDR-IPI: 58AFF71141BA436B - RSPI: FC696330E6B94D7F IKEv2-PROTO-4: Nächste Nutzlast: ENCR, Version: 2.0 IKEv2-PROTO-4: Austauschtyp: IKE_AUTH, Flags: RESPONDER MSG-RESPONSE IKEv2-PROTO-4: Nachrichten-ID: 0x1, Länge: 1292 ENCR Nächste Nutzlast: VID, reserviert: 0x0, Länge: 1264 Verschlüsselte Daten&Doppelpunkt; 1260 Byte |
||
Die Fragmentierung kann auftreten, wenn die Zertifikate groß sind oder Zertifikatsketten enthalten sind. Sowohl Initiator- als auch Responder KE Payloads können auch große Schlüssel beinhalten, was ebenfalls zur Fragmentierung beitragen kann. |
IKEv2-PROTO-5: (6): Fragmentiertes Paket, Fragment-MTU: 544, Anzahl der Fragmente: 3, Fragment-ID: 1 IKEv2-PLAT-4: GESENDETE PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000001 IKEv2-PLAT-4: GESENDETE PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000001 IKEv2-PLAT-4: GESENDETE PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000001 |
||
**************************************** |
Das von der ASA gesendete Zertifikat wird dem Benutzer angezeigt. Das Zertifikat ist nicht vertrauenswürdig. Der EAP-Typ ist EAP-ANYCONNECT. | ||
Der Client antwortet auf die EAP-Anfrage mit einer Antwort. Das EAP-Paket enthält:
Die ASA entschlüsselt diese Antwort, und der Client gibt an, dass er die AUTH-Nutzlast des vorherigen Pakets (mit dem Zertifikat) und das erste EAP-Anforderungspaket von der ASA erhalten hat. Dies ist der Inhalt des init-EAP-Antwortpakets. |
IKEv2-PLAT-4: RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc 696330e6b94d7f MID=00000002 Entschlüsseltes Paket: Daten&Doppelpunkt; 332 Byte IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000002 CurState: R_PROC_EAP_RESP Ereignis: EV_PROC_MSG Unten vom Client empfangene XML-Nachricht IKEv2-PROTO-5: (6): Aktion: Action_Null |
||
Dies ist die zweite Anforderung, die von der ASA an den Client gesendet wird. Das EAP-Paket enthält:
ENCR-Nutzlast: Diese Nutzlast wird entschlüsselt, und ihr Inhalt wird als zusätzliche Nutzlast geparst. |
IKEv2-PROTO-2: (6): EAP-Anforderung wird gesendet Generierte XML-Nachricht unten |
**************************************** Datum: 23.04.13 Uhrzeit: 16:25:04 Typ: Informationen Quelle: acvpnui Beschreibung: Funktion: SDIMgr::ProcessPromptData Datei: .\SDIMgr.cpp Anschluss: 281 Der Authentifizierungstyp ist nicht SDI. **************************************** Datum: 23.04.13 Uhrzeit: 16:25:07 Typ: Informationen Quelle: acvpnui Beschreibung : Function: ConnectMgr::userResponse Datei: .\ConnectMgr.cpp Anschluss: 985 Die Benutzerantwort wird verarbeitet. **************************************** |
Der Client fordert eine Benutzerauthentifizierung an und sendet diese als EAP-Antwort im nächsten Paket ("auth-reply") an die ASA. |
Der Client sendet eine weitere IKE_AUTH-Initiatornachricht mit der EAP-Nutzlast. Das EAP-Paket enthält:
|
IKEv2-PLAT-4: RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000003 IKEv2-PROTO-3: Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x3 IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4: IKEV2 HDR-IPI: 58AFF71141BA436B - RSPI: FC696330E6B94D7F IKEv2-PROTO-4: Nächste Nutzlast: ENCR, Version: 2.0 IKEv2-PROTO-4: Austauschtyp: IKE_AUTH, Markierungen: INITIATOR IKEv2-PROTO-4: Nachrichten-ID: 0x3, Länge: 492 IKEv2-PROTO-5: (6): Anfrage hat mess_id 3; erwartet 3 bis 3 REAL Entschlüsseltes Paket:Daten: 424 Bytes EAP Nächste Nutzlast: KEINE, reserviert: 0x0, Länge: 424 Code: Antwort: ID: 2, Länge: 420 Typ: Unbekannt - 254 EAP-Daten: 415 Byte |
||
Die ASA verarbeitet diese Antwort. Der Client hat den Benutzer aufgefordert, Anmeldeinformationen einzugeben. Diese EAP-Antwort hat den 'config-auth'-Typ 'auth-reply'. Dieses Paket enthält die vom Benutzer eingegebenen Anmeldeinformationen. |
Entschlüsseltes Paket: Daten: 492 Bytes Unten vom Client empfangene XML-Nachricht |
||
Die ASA erstellt eine dritte EAP-Anforderung im Austausch. Das EAP-Paket enthält:
ENCR-Nutzlast: Diese Nutzlast wird entschlüsselt, und ihr Inhalt wird als zusätzliche Nutzlast geparst. |
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000003 CurState: R_BLD_EAP_REQ Ereignis: EV_RECV_EAP_REQ Generierte XML-Nachricht unten
IKEv2-PROTO-5: (6): Fragmentiertes Paket, Fragment-MTU: 544, Anzahl der Fragmente: 9, Fragment-ID: 2 |
||
**************************************** Datum: 23.04.13 Uhrzeit: 16:25:07 Typ: Informationen Quelle: acvpnagent Beschreibung : Current Profile: AnyConnect-ikev2.xml Konfigurationseinstellungen für empfangene VPN-Sitzungen: Keep Installed: aktiviert Proxy-Einstellung: nicht ändern Proxyserver: keine Proxy-PAC-URL: keine Proxyausnahmen: keine Proxy-Sperrung: aktiviert Ausschließen aufteilen: Die lokalen LAN-Zugriffsvoreinstellungen sind deaktiviert. Aufteilen einschließen: deaktiviert Split-DNS: deaktiviert Platzhalter für lokales LAN: lokale LAN-Zugriffsvoreinstellung ist deaktiviert Firewall-Regeln: keine Client-Adresse: 10.2.2.1 Client-Maske: 255.0.0.0 Client-IPv6-Adresse: unbekannt Client-IPv6-Maske: unbekannt MTU: 1.406 IKE Keep Alive: 20 Sekunden IKE-DPD: 30 Sekunden Sitzungs-Timeout: 0 Sekunden Zeitüberschreitung beim Trennen: 1800 Sekunden Leerlaufzeitüberschreitung: 1800 Sekunden Server: unbekannt MUS-Host: unbekannt DAP-Benutzermeldung: none Quarantänestatus: deaktiviert Stets verfügbares VPN: nicht deaktiviert Leasedauer: 0 Sekunden Standarddomäne: unbekannt Startseite: unbekannt Entfernen der Smartcard-Verbindung trennen: aktiviert Lizenzantwort: unbekannt **************************************** |
Die ASA sendet die VPN-Konfigurationseinstellungen in der Nachricht "complete" (vollständig) an den Client und weist dem Client eine IP-Adresse aus dem VPN-Pool zu. | ||
Der Client sendet das Initiatorpaket mit der EAP-Nutzlast. Das EAP-Paket enthält:
|
IKEv2-PLAT-4: RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xx fc696330e6b94d7f MID=00000004 IKEv2-PROTO-3: Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x4 IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4: IKEV2 HDR-IPI: 58AFF71141BA436B - RSPI: FC696330E6B94D7F IKEv2-PROTO-4: Nächste Nutzlast: ENCR, Version: 2.0 IKEv2-PROTO-4: Austauschtyp: IKE_AUTH, Markierungen: INITIATOR IKEv2-PROTO-4: Nachrichten-ID: 0x4, Länge: 252 IKEv2-PROTO-5: (6): Anfrage hat mess_id 4; erwartet 4 bis 4 REAL Entschlüsseltes Paket:Daten: 177 Bytes EAP Nächste Nutzlast: KEINE, reserviert: 0x0, Länge: 177 Code: Antwort: ID: 3, Länge: 173 Typ: Unbekannt - 254 EAP-Daten: 168 Byte |
||
Die ASA verarbeitet dieses Paket. Die Fehlermeldung Relevante Konfiguration: tunnel-group ASA-IKEV2 Der EAP-Austausch ist jetzt erfolgreich. Das EAP-Paket enthält:
|
Entschlüsseltes Paket:Daten:252 Bytes Unten vom Client empfangene XML-Nachricht IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000004 CurState: R_PROC_EAP_RESP Ereignis: EV_START_TMR |
||
Da der EAP-Austausch erfolgreich war, sendet der Client das IKE_AUTH-Initiatorpaket mit der AUTH-Nutzlast. Die AUTH-Nutzlast wird vom gemeinsamen geheimen Schlüssel generiert. | IKEv2-PLAT-4: RECV PKT [IKE_AUTH] [192.168.1.1]:25171->[10.0.0.1]:4500 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PROTO-3: Rx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x5 IKEv2-PROTO-3: HDR[i:58AFF71141BA436B - r: FC696330E6B94D7F] IKEv2-PROTO-4: IKEV2 HDR-IPI: 58AFF71141BA436B - RSPI: FC696330E6B94D7F IKEv2-PROTO-4: Nächste Nutzlast: ENCR, Version: 2.0 IKEv2-PROTO-4: Austauschtyp: IKE_AUTH, Markierungen: INITIATOR IKEv2-PROTO-4: Nachrichten-ID: 0x5, Länge: 92 IKEv2-PROTO-5: (6): Anfrage hat mess_id 5; erwartet 5 bis 5 REAL Entschlüsseltes Paket:Daten:28 Bytes AUTH Nächste Nutzlast: KEINE, reserviert: 0x0, Länge: 28 Auth-Methode PSK, reserviert: 0x0, reserviert: 0x0 Auth-Daten: 20 Bytes |
||
Wenn EAP-Authentifizierung angegeben ist oder Die ASA verarbeitet diese Meldung. Relevante Konfiguration: crypto dynamic-map dynmap 1000 |
Entschlüsseltes Paket: Daten: 92 Bytes IKEv2-PROTO-2: (6): Verarbeitung der Authentifizierungsmeldung |
||
Die ASA erstellt die IKE_AUTH-Antwortnachricht mit den SA-, TSi- und TSr-Payloads. Das IKE_AUTH-Antwortpaket enthält:
ENCR-Nutzlast: Diese Nutzlast wird entschlüsselt, und ihr Inhalt wird als zusätzliche Nutzlast geparst. |
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: R_BLD_AUTH Ereignis: EV_MY_AUTH_METHODE IKEv2-PROTO-3: Tx [L 10.0.0.1:4500/R 192.168.1.1:25171/VRF i0:f0] m_id: 0x5 |
||
Die ASA sendet diese IKE_AUTH-Antwortnachricht, die in neun Pakete aufgeteilt ist. Der IKE_AUTH-Austausch ist abgeschlossen. | IKEv2-PROTO-5: (6): Fragmentiertes Paket, Fragment-MTU: 544, Anzahl der Fragmente: 9, Fragment-ID: 3 IKEv2-PLAT-4: GESENDETE PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4: GESENDETE PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4: GESENDETE PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4: GESENDETE PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4: GESENDETE PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4: GESENDETE PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4: GESENDETE PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4: GESENDETE PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PLAT-4: GESENDETE PKT [IKE_AUTH] [10.0.0.1]:4500->[192.168.1.1]:25171 InitSPI=0x58aff71141ba436b RespSPI=0xfc696330e6b94d7f MID=00000005 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE Ereignis: EV_OK IKEv2-PROTO-5: (6): Aktion: Action_Null IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE Ereignis: EV_PKI_SESH_SESH SCHLIESSEN |
||
**************************************** Datum: 23.04.13 Uhrzeit: 16:25:07 Typ: Informationen Quelle: acvpnagent Beschreibung: Funktion: ikev2_log Datei: .\ikev2_anyconnect_osal.cpp Anschluss: 2730 Die IPsec-Verbindung wurde hergestellt. **************************************** Datum: 23.04.13 Uhrzeit: 16:25:07 Typ: Informationen Quelle: acvpnagent Beschreibung: IPsec session registration: Verschlüsselung: AES-CBC PRF: SHA1 HMAC: SHA96 Lokale Authentifizierungsmethode: PSK Remote-Authentifizierungsmethode: PSK Sequenz-ID: 0 Schlüssellänge: 192 DH-Gruppe: 1 Zeit zum erneuten Eingeben: 4294967 Sekunden Lokale Adresse: 192.168.1.1 Remote-Adresse: 10.0.0.1 Lokaler Port: 4500 Remote-Port: 4500 Sitzungs-ID: 1 **************************************** Datum: 23.04.13 Uhrzeit: 16:25:07 Typ: Informationen Quelle: acvpnui Beschreibung : Das auf dem sicheren Gateway konfigurierte Profil lautet: AnyConnect-ikev2.xml **************************************** Datum: 23.04.13 Uhrzeit: 16:25:07 Typ: Informationen Quelle: acvpnui Beschreibung : Message type information sent to the user: VPN-Sitzung wird eingerichtet... **************************************** |
Der Client meldet die IPSec-Verbindung als hergestellt. Der Client erkennt auch das Benutzerprofil auf der ASA. | ||
----------------------------IKE_AUTH-Austausch endet----------------------------------- | |||
**************************************** **************************************** |
Das XML-Profil wird auf den Client geladen. Da der Client nun über eine IP-Adresse von der ASA verfügt, fährt er fort, den VPN-Adapter zu aktivieren. | ||
Die Verbindung wird in die Datenbank der Security Association (SA) eingegeben, und der Status lautet REGISTERED (REGISTRIERT). Die ASA führt außerdem einige Prüfungen wie CAC-Statistiken (Common Access Card), Vorhandensein doppelter SAs durch und legt Werte wie DPD (Dead Peer Detection) usw. fest. |
IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE Ereignis: EV_INSERT_IKE IKEv2-PROTO-2: (6): SA erstellt; SA in Datenbank einfügen IKEv2-PLAT-3: VERBINDUNGSSTATUS: UP... Peer: 192.168.1.1:25171, phase1_id: *$AnyConnectClient$* IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE Ereignis: EV_REGISTER_SESSION IKEv2-PLAT-3: (6) Benutzername festgelegt auf: Anu IKEv2-PLAT-3: VERBINDUNGSSTATUS: REGISTRIERT... Peer: 192.168.1.1:25171, phase1_id: *$AnyConnectClient$* IKEv2-PROTO-3: (6): DPD wird initialisiert, konfiguriert für 10 Sekunden IKEv2-PLAT-3: (6) mib_index festgelegt auf: 4501 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE Ereignis: EV_GEN_LOAD_IPSEC IKEv2-PROTO-3: (6): IPSEC-Schlüsselmaterial laden IKEv2-PLAT-3: Crypto Map: Übereinstimmung auf dynamischer Karte dynmap seq 1000 IKEv2-PLAT-3: (6) DPD Max. Zeit: 30 IKEv2-PLAT-3: (6) DPD Max. Zeit: 30 IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE Ereignis: EV_START_ACCT IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE Ereignis: EV_CHECK_DUPE IKEv2-PROTO-3: (6): Überprüfung auf doppelte SAs IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: AUTH_DONE Ereignis: EV_CHK4_ROLE IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: READY Event: EV_R_UPDATE_CAC_STATS IKEv2-PLAT-5: Neues ikev2 als Anforderung aktiviert IKEv2-PLAT-5: Abgangsanzahl für eingehende Verhandlungen IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: READY Ereignis: EV_R_OK IKEv2-PROTO-3: (6): Startzeitgeber zum Löschen des Verhandlungskontexts IKEv2-PROTO-5: (6): SM Trace-> SA: I_SPI=58AFF71141BA436B R_SPI=FC696330E6B94D7F (R) MsgID = 00000005 CurState: READY Event: EV_NO_EVENT IKEv2-PLAT-2: Empfangene PFKEY-Add-SA für SPI 0x77EE5348, Fehler FALSE IKEv2-PLAT-2: Erhaltene PFKEY-Aktualisierung SA für SPI 0x30B848A4, Fehler FALSE |
||
**************************************** Datum: 23.04.13 Uhrzeit: 16:25:08 Typ: Informationen Quelle: acvpnagent Beschreibung : Die VPN-Verbindung wurde hergestellt und kann nun Daten weitergeben. **************************************** Datum: 23.04.13 Uhrzeit: 16:25:08 Typ: Informationen Quelle: acvpnui Beschreibung : Message type information sent to the user: VPN wird eingerichtet - System wird konfiguriert... **************************************** Datum: 23.04.13 Uhrzeit: 16:25:08 Typ: Informationen Quelle: acvpnui Beschreibung : Message type information sent to the user: VPN wird eingerichtet... **************************************** Datum: 23.04.13 Uhrzeit: 16:25:37 Typ: Informationen Quelle: acvpnagent Datei: .\IPsecProtocol.cpp Anschluss: 945 IPsec-Tunnel wird eingerichtet **************************************** |
Der Client meldet den Tunnel als betriebsbereit und bereit zum Weiterleiten des Datenverkehrs. |
Beispielausgabe des Befehls show vpn-sessiondb detail anyconnect ist:
Session Type: AnyConnect Detailed
Username : Anu Index : 2
Assigned IP : 10.2.2.1 Public IP : 192.168.1.1
Protocol : IKEv2 IPsecOverNatT AnyConnect-Parent
License : AnyConnect Premium
Encryption : AES192 AES256 Hashing : none SHA1 SHA1
Bytes Tx : 0 Bytes Rx : 11192
Pkts Tx : 0 Pkts Rx : 171
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : ASA-IKEV2 Tunnel Group : ASA-IKEV2
Login Time : 22:06:24 UTC Mon Apr 22 2013
Duration : 0h:02m:26s
Inactivity : 0h:00m:00s
NAC Result : Unknown
VLAN Mapping : N/A VLAN : none
IKEv2 Tunnels: 1
IPsecOverNatT Tunnels: 1
AnyConnect-Parent Tunnels: 1
AnyConnect-Parent:
Tunnel ID : 2.1
Public IP : 192.168.1.1
Encryption : none Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 27 Minutes
Client Type : AnyConnect
Client Ver : 3.0.1047
IKEv2:
Tunnel ID : 2.2
UDP Src Port : 25171 UDP Dst Port : 4500
Rem Auth Mode: userPassword
Loc Auth Mode: rsaCertificate
Encryption : AES192 Hashing : SHA1
Rekey Int (T): 86400 Seconds Rekey Left(T): 86254 Seconds
PRF : SHA1 D/H Group : 1
Filter Name :
Client OS : Windows
IPsecOverNatT:
Tunnel ID : 2.3
Local Addr : 0.0.0.0/0.0.0.0/0/0
Remote Addr : 10.2.2.1/255.255.255.255/0/0
Encryption : AES256 Hashing : SHA1
Encapsulation: Tunnel
Rekey Int (T): 28800 Seconds Rekey Left(T): 28654 Seconds
Rekey Int (D): 4608000 K-Bytes Rekey Left(D): 4607990 K-Bytes
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Bytes Tx : 0 Bytes Rx : 11192
Pkts Tx : 0 Pkts Rx : 171
NAC:
Reval Int (T): 0 Seconds Reval Left(T): 0 Seconds
SQ Int (T) : 0 Seconds EoU Age(T) : 146 Seconds
Hold Left (T): 0 Seconds Posture Token:
Redirect URL :
Beispielausgabe des Befehls show crypto ikev2 sa:
ASA-IKEV2# show crypto ikev2 sa
IKEv2 SAs:
Session-id:2, Status:UP-ACTIVE, IKE count:1, CHILD count:1
Tunnel-id Local Remote Status Role
55182129 10.0.0.1/4500 192.168.1.1/25171 READY RESPONDER
Encr: AES-CBC, keysize: 192, Hash: SHA96, DH Grp:1, Auth sign: RSA, Auth verify: EAP
Life/Active Time: 86400/112 sec
Child sa: local selector 0.0.0.0/0 - 255.255.255.255/65535
remote selector 10.2.2.1/0 - 10.2.2.1/65535
ESP spi in/out: 0x30b848a4/0x77ee5348
Beispielausgabe des Befehls show crypto ikev2 sa detail ist:
ASA-IKEV2# show crypto ikev2 sa detail
IKEv2 SAs:
Session-id:2, Status:UP-ACTIVE, IKE count:1, CHILD count:1
Tunnel-id Local Remote Status Role
55182129 10.0.0.1/4500 192.168.1.1/25171 READY RESPONDER
Encr: AES-CBC, keysize: 192, Hash: SHA96, DH Grp:1, Auth sign: RSA, Auth verify: EAP
Life/Active Time: 86400/98 sec
Session-id: 2
Status Description: Negotiation done
Local spi: FC696330E6B94D7F Remote spi: 58AFF71141BA436B
Local id: hostname=ASA-IKEV2
Remote id: *$AnyConnectClient$*
Local req mess id: 0 Remote req mess id: 9
Local next mess id: 0 Remote next mess id: 9
Local req queued: 0 Remote req queued: 9 Local window: 1 Remote window: 1
DPD configured for 10 seconds, retry 2
NAT-T is detected outside
Assigned host addr: 10.2.2.1
Child sa: local selector 0.0.0.0/0 - 255.255.255.255/65535
remote selector 10.2.2.1/0 - 10.2.2.1/65535
ESP spi in/out: 0x30b848a4/0x77ee5348
AH spi in/out: 0x0/0x0
CPI in/out: 0x0/0x0
Encr: AES-CBC, keysize: 256, esp_hmac: SHA96
ah_hmac: None, comp: IPCOMP_NONE, mode tunnel
Beispielausgabe des Befehls show crypto ipsec sa:
ASA-IKEV2# show crypto ipsec sa
interface: outside
Crypto map tag: dynmap, seq num: 1000, local addr: 10.0.0.1
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (10.2.2.1/255.255.255.255/0/0)
current_peer: 192.168.1.1, username: Anu
dynamic allocated peer ip: 10.2.2.1
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 163, #pkts decrypt: 108, #pkts verify: 108
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#send errors: 0, #recv errors: 55
local crypto endpt.: 10.0.0.1/4500, remote crypto endpt.: 192.168.1.1/25171
path mtu 1488, ipsec overhead 82, media mtu 1500
current outbound spi: 77EE5348
current inbound spi : 30B848A4
inbound esp sas:
spi: 0x30B848A4 (817383588)
transform: esp-aes-256 esp-sha-hmac no compression
in use settings ={RA, Tunnel, NAT-T-Encaps, }
slot: 0, conn_id: 8192, crypto-map: dynmap
sa timing: remaining key lifetime (sec): 28685
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0xFFAD6BED 0x7ABFD5BF
outbound esp sas:
spi: 0x77EE5348 (2012107592)
transform: esp-aes-256 esp-sha-hmac no compression
in use settings ={RA, Tunnel, NAT-T-Encaps, }
slot: 0, conn_id: 8192, crypto-map: dynmap
sa timing: remaining key lifetime (sec): 28685
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
04-May-2013 |
Erstveröffentlichung |