Статус: Новичок
Группы: Участники
Зарегистрирован: 02.07.2012(UTC)
Сообщений: 2
Откуда: RT
|
Доброго времени суток!
Проблема: Отладчик cp_ipsec_info выдает ошибку:
ERROR: 'cp_oakley_info' not found (wait and restart app, or try to reinstall)
ОС: Windows 7 и Windows XP SP3. Переустановка не помогла. В папке Program Files/Cripto Pro/IPsec 13 файлов, на Server 2003 с таким же составом файлов отладчик работает.
Притом, КриптоПро IPsec между Windows XP SP3 и Server 2003 заработал (в консоли IP-монитор отображаются оба режима: основной и быстрый (алгоритм пишет DES, хотя в GPO указано «шифрование и обеспечение целостности ESP (SHA1, 2DES)). Network Monitor фиксирует трафик между Windows XP SP3 и Server 2003 по протоколу ESP.
Настройки следующие.
4 машины: контроллер Windows Server 2008 R2 (64), Windows Server 2003(32), Windows 7(32) и Windows XP SP3 (32).
на всех установлены КриптоПро CSP 3.6.6497 и КриптоПро IPsec
Сертификаты были сгенерированы отдельно в виде контейнеров с 6 файлами формата .key для каждой машины, корневой сертификат root.cer и список отзыва.
Настройки IPsec в групповых политиках:
1) правило: весь трафик для входящих и исходящих подключений для 192.168.2.1 (контроллер домена) разрешить
2) правило: входящий и исходящий трафик от любого узла шифровать: шифрование и обеспечение целостности ESP (SHA1, 2DES).
3) Правило отклик по умолчанию включено.
4) Применение параметров:
+ Принимать небезопасную связь, но отвечать с помощью IPsec.
- Разрешить возврат к небезопасной связи, если невозможно установить небезопасное подключение.
+ Использовать PFS.
5) Метод проверки подлинности Kerberos и Цент сертификации (в домен внедрен корневой сертификат root.cer)
Вопросы:
1) необходимо заставить заработать отладчик cp_ipsec_info :)
2) верно ли отражение в консоли IP-монитора алгоритма DES вместо ГОСТ?
3) верно ли настройка в GPO методов шифрования ESP (SHA1, 2DES)? Выбора ГОСТ там нет
4) нет связи после применения политики с Windows 7 (пинги не проходят) - в какую сторону копать?
Заранее спасибо!
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 02.07.2012(UTC)
Сообщений: 2
Откуда: RT
|
Появились ответы)))
1) Для работы отладчика cp_ipsec_info необходимо запустить его с правами администратора.
2) Отражение в консоли IP-монитора алгоритма DES вместо ГОСТ - верно.
3) Настройка в GPO методов шифрования ESP (SHA1, 2DES) верно.
Вопрос 4 еще актуален.
В журнале событий Win7 6 событий Аудита отказа «Ошибка при согласовании основного режима IPsec» Код события 4653.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
|
1) Для начала хорошо бы уметь настраивать политики IPsec совсем без использования ГОСТ, например на PSK "123", добиться необходимого пинга, убедиться в мониторе IP-безопасности (или снифером), что соединение IPsec устанавливается. 2) Установить текущую версию КриптоПро IPsec ( http://cryptopro.ru/products/ipsec/downloads/ ) (1.0.0791) 3) Попробовать подключиться к нашему эталону http://193.37.157.89/ (см. readme там же) 4) Применить опыт к рабочей схеме шага 1) 5) Задать вопросы |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
