Windows 10 стандартный клиент VPN и Stonesoft FW/VPN GOST

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

2 Страницы12 >

Windows 10 стандартный клиент VPN и Stonesoft FW/VPN GOST

Опции

Предыдущая тема Следующая тема

rav_70		#1 Оставлено : 19 февраля 2016 г. 11:45:35(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 23.04.2015(UTC) Сообщений: 13 Откуда: Moscow Сказал(а) «Спасибо»: 2 раз		Доброго времени суток! Подскажите, есть ли возможность подключаться к StoneGate (5.3.11 build 9127.fwr.4-KC1_GOST (Update Package: 440) c КриптоПро 3.6 с помощью стандартного клиента VPN Windows 10 (L2TP/IPsec) + КриптоПро 3.9 + IPsec 1.0.1329 и пользовательского сертификата УЦ После ввода pin-кода RuToken с сертификатом на StoneGate прилетает: Цитата: SA proposal: SA([0] protocol = IKE (1), GOST CFB B key len = 256, HMAC-GR3411-94, GOST XchB, HMAC-GR3411 PRF; [1] protocol = IKE (1), GOST CFB B key len = 128, HMAC-GR3411-94, GOST XchB, HMAC-GR3411 PRF; [2] protocol = IKE (1), GOST CFB B key len = 256, HMAC-GR3411-94, GOST XchB, HMAC-GR3411 PRF; [3] protocol = IKE (1), GOST CFB B, HMAC-GR3411-94, GOST XchB, HMAC-GR3411 PRF; [4] protocol = IKE (1), GOST CFB B, HMAC-GR3411-94, GOST XchB, HMAC-GR3411 PRF; ) GOST draft psk и в результате: Цитата: IKE state Start sa negotiation R: outgoing IKE SA values processing failed: No proposal chosen Sending error notify: No proposal chosen (Could not find acceptable proposal) IKEv1 SA error: No proposal chosen: Proposal did not match policy (10800f) Если использовать VPN клиента Stonesoft на Windows 7, запрос приходит следующий: Цитата: IKEv1 SA proposal SA([0] protocol = IKE (1), GOST CBC, HMAC-GR3411-94, 2048 bit MODP, HMAC-GR3411 PRF; ) GOST signatures И далее все отрабатывает нормально: Цитата: IKEv1 SA responder done, Local 10.10.15.17 (ipv4), Remote MAILTO=a.rud@local.ru, C=RU, L=Moscow, O=RAC, OU=DIT, CN=A.Rud (dn), Mobile session: 200003b IKE Phase-2 IDs sent: ipv4(any:0,[0..3]=172.17.x.y) ipv4_subnet(any:0,[0..7]=172.30.z.0/24) Дело в том, что StoneSoft продался McAfee, последний VPN-клиент которого (3.9.0.2906) под Windows 10 не работает с КриптоПро 3.9


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»


	Wanna join the discussion?! Login to your Форум КриптоПро forum account, or Register a new forum account.

Дмитрий Пичулин		#2 Оставлено : 19 февраля 2016 г. 12:12:39(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,496 Откуда: КРИПТО-ПРО Сказал(а) «Спасибо»: 35 раз Поблагодарили: 466 раз в 333 постах		Судя по логу, в случае VPN клиента Windows вы используете "GOST draft psk", а в случае VPN клиента Stonesoft "GOST signatures". Если на сервере не настроена аутентификация по PSK, то "No proposal chosen" -- корректная реакция. Встречные испытания с StoneSoft не проводились в полном объёме, поэтому нет гарантий на успех соединения, но нам неизвестны принципиальные тупики в этом направлении. Если вы хотите воспользоваться сертификатом в качестве аутентификации в IPsec, то лучше всего ознакомиться с руководством администратора безопасности нашего продукта. Все критерии сертификата легко проверить утилитой cp_ipsec_info.exe, например, сейчас уже очевидно, что вы не установили сертификат в локальное хранилище компьютера.
		Знания в базе знаний, поддержка в техподдержке
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

rav_70		#3 Оставлено : 19 февраля 2016 г. 13:43:55(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 23.04.2015(UTC) Сообщений: 13 Откуда: Moscow Сказал(а) «Спасибо»: 2 раз		А что означает самое первое сообщение от VPN-клиента Win10 No rule found for IKE peers 10.10.15.17 and 192.168.254.223: Proposal did not match policy перед "SA proposal" Политику IP-безопасности я поправил в соответствии с "Руководством администратора безопасности". Сертификат установил в личные компьютера, cp_ipsec_info.exe в "сертификатах IKE" его находит


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Дмитрий Пичулин		#4 Оставлено : 19 февраля 2016 г. 13:50:20(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,496 Откуда: КРИПТО-ПРО Сказал(а) «Спасибо»: 35 раз Поблагодарили: 466 раз в 333 постах		Автор: rav_70 Политику IP-безопасности я поправил в соответствии с "Руководством администратора безопасности". Сертификат установил в личные компьютера, cp_ipsec_info.exe в "сертификатах IKE" его находит Если после этого в логе сервера то, что вы прислали выше, вряд ли удастся продвинуться. Пришлите дамп трафика установки соединения Windows и StoneSoft VPN, скажем точно.
		Знания в базе знаний, поддержка в техподдержке
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

rav_70		#5 Оставлено : 19 февраля 2016 г. 14:58:53(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 23.04.2015(UTC) Сообщений: 13 Откуда: Moscow Сказал(а) «Спасибо»: 2 раз		Dumps.rar (811kb) загружен 5 раз(а). Вот


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Дмитрий Пичулин		#6 Оставлено : 19 февраля 2016 г. 15:06:19(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,496 Откуда: КРИПТО-ПРО Сказал(а) «Спасибо»: 35 раз Поблагодарили: 466 раз в 333 постах		Автор: rav_70 cp_ipsec_info.exe в "сертификатах IKE" его находит "Находит" не значит "будет использоваться", в присланном архиве есть изображение, где напротив KP_CERTIFICATE (KeyParam) не стоит галочка. Вот так выглядит успешно прошедший проверку сертификат, на него ставится галочка: 2016-02-19 15-02-38 ipsec-x64-w81 on esx-alpha.cp.ru.png (92kb) загружен 273 раз(а).
		Знания в базе знаний, поддержка в техподдержке
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

rav_70		#7 Оставлено : 19 февраля 2016 г. 16:41:08(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 23.04.2015(UTC) Сообщений: 13 Откуда: Moscow Сказал(а) «Спасибо»: 2 раз		Подскажите, а что не так с сертификатом? Там лишнего ничего не должно быть? cert-keys.rar (56kb) загружен 7 раз(а). crl обязательно должен видеть?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Дмитрий Пичулин		#8 Оставлено : 19 февраля 2016 г. 21:55:44(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,496 Откуда: КРИПТО-ПРО Сказал(а) «Спасибо»: 35 раз Поблагодарили: 466 раз в 333 постах		Автор: rav_70 Подскажите, а что не так с сертификатом? Уже подсказано, что "напротив KP_CERTIFICATE (KeyParam) не стоит галочка", в переводе с технического, это означает, что в контейнере закрытого ключа отсутствует сертификат. В этом легко убедиться в оснастке КриптоПро CSP > Сервис > Просмотреть сертификаты в контейнере...
		Знания в базе знаний, поддержка в техподдержке
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

rav_70		#9 Оставлено : 20 февраля 2016 г. 10:32:17(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 23.04.2015(UTC) Сообщений: 13 Откуда: Moscow Сказал(а) «Спасибо»: 2 раз		Спасибо за перевод с Вашего технического наречия )). Установил сертификат правильно. Пароль на контейнер сохранен. Теперь запрос выглядит так... Цитата: SA proposal: SA([0] protocol = IKE (1), GOST CFB B key len = 256, HMAC-GR3411-94, GOST XchB, HMAC-GR3411 PRF; [1] protocol = IKE (1), GOST CFB B key len = 128, HMAC-GR3411-94, GOST XchB, HMAC-GR3411 PRF; [2] protocol = IKE (1), GOST CFB B key len = 256, HMAC-GR3411-94, GOST XchB, HMAC-GR3411 PRF; [3] protocol = IKE (1), GOST CFB B, HMAC-GR3411-94, GOST XchB, HMAC-GR3411 PRF; [4] protocol = IKE (1), GOST CFB B, HMAC-GR3411-94, GOST XchB, HMAC-GR3411 PRF; ) GOST draft signatures Меня смущает первое сообщение от клиента: Цитата: No rule found for IKE peers 10.10.15.17 and 192.168.254.223: Proposal did not match policy Это он про политику IP-безопасности? Я там прописал конечную точку туннеля... Во вложении дампы Dumps.rar (8kb) загружен 2 раз(а).


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Дмитрий Пичулин		#10 Оставлено : 20 февраля 2016 г. 10:47:46(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,496 Откуда: КРИПТО-ПРО Сказал(а) «Спасибо»: 35 раз Поблагодарили: 466 раз в 333 постах		Автор: rav_70 Это он про политику IP-безопасности? Я там прописал конечную точку туннеля... Если совершаете VPN звонок (L2TP/IPsec), нет необходимости настраивать политику IP-безопасности, даже лучше отключить на время тестирования. С помощью утилиты cp_ipsec_info.exe выполните: Настройка параметров > Восстановить значения по умолчанию Если после этого не продвинетесь -- пришлите дамп успешного соединения StoneSoft со StoneSoft.
		Знания в базе знаний, поддержка в техподдержке
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest (2)

2 Страницы12 >

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close