Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.07.2020(UTC) Сообщений: 64  Откуда: Санкт-Петербург Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 1 раз в 1 постах
|
Всем добрый день. Имеется несколько серверов на базе Windows Server 2016 с ролью routing and remote acess, на котором поднят VPN сервер с PSK (pre shared key). На сервере установлено ПО: КриптоПро CSP 5.0.11455 КС1, ipsec 1.5.2997 Периодически независимо от нагрузки на сервер, количества активных соединений и других факторов происходит сбой на сервере в драйвере cp_tcpip.sys (данный драйвер принадлежит ПО КриптоПро) сразу же после переборки фрагментированной дейтаграммы. При этом на сервере возникает BSOD с перезагрузкой системы. Спустя любой случайный промежуток времени ситуация повторяется. Просьба указать рекомендации по исправлению проблемы. Анализ логов и дампа ниже: driverquery драйвер в котором возникает ошибка
Module Name Display Name Description Driver Type Start Mode State Status Accept Stop Accept Pause Paged Pool(bytes) Code(bytes) BSS(bytes) Link Date Path Init(bytes)
============ ====================== ====================== ============= ========== ========== ========== =========== ============ ================= =========== ========== ====================== ================================================ ===========
cp_tcpip CryptoPro IPSec Driver CryptoPro IPSec Driver Kernel System Running OK TRUE FALSE 0 36,864 0 10/11/2019 1:58:50 PM C:\WINDOWS\system32\DRIVERS\cp_tcpip.sys 4,096
nt!KeBugCheckEx
nt!KiBugCheckDispatch+0x69
nt!KiPageFault+0x42c
cp_tcpip+0x1093
cp_tcpip+0x7d73
cp_tcpip+0x7b0b
cp_tcpip+0x7c0a
tcpip!IppReceiveHeaderBatch+0x3ef
tcpip!Ipv4pReassembleDatagram+0x4e3
tcpip!Ipv4pReceiveFragment+0xf70
tcpip!Ipv4pReceiveFragmentList+0x42
tcpip!IppReceiveHeaderBatch+0x3ef
tcpip!IppFlcReceivePacketsCore+0x315
tcpip!FlpReceiveNonPreValidatedNetBufferListChain+0x271
tcpip!FlReceiveNetBufferListChainCalloutRoutine+0xc2
nt!KeExpandKernelStackAndCalloutInternal+0x85
tcpip!FlReceiveNetBufferListChain+0xb6
NDIS!ndisMIndicateNetBufferListsToOpen+0x11e
NDIS!ndisMTopReceiveNetBufferLists+0x224
NDIS!ndisCallReceiveHandler+0x47
NDIS!NdisMIndicateReceiveNetBufferLists+0x735
vmxnet3+0xcad3
vmxnet3+0xe2c3
NDIS!ndisInterruptDpc+0x1c9
nt!KiExecuteAllDpcs+0x335
nt!KiRetireDpcList+0x910
nt!KiIdleLoop+0x5aОтредактировано пользователем 6 октября 2020 г. 11:30:54(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
|
Автор: Алексей1987  Всем добрый день.
Имеется несколько серверов на базе Windows Server 2016 с ролью routing and remote acess, на котором поднят VPN сервер с PSK (pre shared key).
На сервере установлено ПО: КриптоПро CSP 5.0.11455 КС1, ipsec 1.5.2997
Периодически независимо от нагрузки на сервер, количества активных соединений и других факторов происходит сбой на сервере в драйвере cp_tcpip.sys (данный драйвер принадлежит ПО КриптоПро) сразу же после переборки фрагментированной дейтаграммы. При этом на сервере возникает BSOD с перезагрузкой системы. Спустя любой случайный промежуток времени ситуация повторяется. Просьба указать рекомендации по исправлению проблемы.
Уточните версию системного драйвера tcpip.sys. Уточните сценарий как воспроизвести ошибку. Отредактировано пользователем 6 октября 2020 г. 17:43:31(UTC)
| Причина: Не указана |
|
 1 пользователь поблагодарил pd за этот пост.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.07.2020(UTC) Сообщений: 64 Откуда: Санкт-Петербург Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 1 раз в 1 постах
|
Добрый день. Уточните сценарий как воспроизвести ошибку - настроить сервер с ролью RRAS, установить текущие указанные версии КриптоПро CSP+Ipsec Инициировать подключение пользователей и ожидать ошибку. Ошибка происходит в случайный рэндомный момент времени, воспроизвести ошибку не представляется возможным. Уточните версию системного драйвера tcpip.sys. image_2020_10_07T06_35_50_956Z.png (39kb) загружен 9 раз(а).
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
|
Автор: Алексей1987 Добрый день.
Уточните сценарий как воспроизвести ошибку - настроить сервер с ролью RRAS, установить текущие указанные версии КриптоПро CSP+Ipsec
Инициировать подключение пользователей и ожидать ошибку.
Ошибка происходит в случайный рэндомный момент времени, воспроизвести ошибку не представляется возможным.
Не установлено ли у вас какое-то дополнительное ПО? (Особое внимание -- сетевые фильтр-драйверы) Как часто ошибка возникает? (раз в день/неделю) По стеку видно, что вы работаете в виртуальной среде, можете попробовать сменить тип сетевой карты? Отредактировано пользователем 7 октября 2020 г. 13:55:35(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.07.2020(UTC) Сообщений: 64 Откуда: Санкт-Петербург Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 1 раз в 1 постах
|
Дополнительное ПО: установлен антивирус касперского (KES), но перезагрузки происходили и до его установки и ошибки с установкой антивируса я не могу связать. Никакого другого по (офисов, каких то других программ, браузеров) - не установлено.
Ошибка возникает в среднем 5-20 раз в месяц, независимо. При этом по некоей случайности может не появляться в течении двух недель, но затем начнется итерация каждый день или несколько раз в день. Никакой зависимости не удалось установить, только сам факт.
Да, работаю в виртуальной среде, сетевые адаптеры пробовали менять с vmware vmxnet на другие. Разницы замечено не было особо.
Сетевые фильтры не установлены, кроме тех что идут штатно с КрипроПро+ipsec как я понимаю, например CPFilter7 Driver, штатный Планировщик пакетов QoS.
pd подскажите пожалуйста - может быть существуют какие то fix патчи библиотек или в целом для crypto pro csp и ipsec? Существующие вот на случай возникновения проблематики подобного рода. Связываю это все с работой серверной ОС и взаимодействием установленных компонентов криптозащиты, так как более нигде такой проблематики нету.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
|
Автор: Алексей1987 Дополнительное ПО: установлен антивирус касперского (KES), но перезагрузки происходили и до его установки и ошибки с установкой антивируса я не могу связать. Никакого другого по (офисов, каких то других программ, браузеров) - не установлено.
Ошибка возникает в среднем 5-20 раз в месяц, независимо. При этом по некоей случайности может не появляться в течении двух недель, но затем начнется итерация каждый день или несколько раз в день. Никакой зависимости не удалось установить, только сам факт.
Да, работаю в виртуальной среде, сетевые адаптеры пробовали менять с vmware vmxnet на другие. Разницы замечено не было особо.
Сетевые фильтры не установлены, кроме тех что идут штатно с КрипроПро+ipsec как я понимаю, например CPFilter7 Driver, штатный Планировщик пакетов QoS.
pd подскажите пожалуйста - может быть существуют какие то fix патчи библиотек или в целом для crypto pro csp и ipsec? Существующие вот на случай возникновения проблематики подобного рода. Связываю это все с работой серверной ОС и взаимодействием установленных компонентов криптозащиты, так как более нигде такой проблематики нету. Проблема точно в драйвере IPsec, но причина её возникновения непонятна, в месте ошибки (судя по вашему дампу) уже много лет всё стабильно. Нет ли у вас ещё дампов с крэшем? А лучше все дампы пришлите на pdn@cryptopro.ru, это важная проблема, надо её конечно решить. Также для решения проблемы, если это не критично, можно попробовать использовать прошлую версию серверной ОС, например 2008 R2 или 2012. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.07.2020(UTC) Сообщений: 64 Откуда: Санкт-Петербург Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 1 раз в 1 постах
|
К сожалению нет возможности предоставить дамп памяти и ETL по причине NDR.
Не могли бы вы предоставить другую версию tcpip.sys ?
Также для решения проблемы, если это не критично, можно попробовать использовать прошлую версию серверной ОС, например 2008 R2 или 2012.
Было произведено тестирования на ОС 2012, к сожалению результат тот же что и на 2016.
Остается попробовать 2019.
p.s. нет ли в драйвере проблем с обработкой отсутствия части фрагмента дейтаграммы?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
|
Автор: Алексей1987 К сожалению нет возможности предоставить дамп памяти и ETL по причине NDR.
Не могли бы вы предоставить другую версию tcpip.sys ?
Также для решения проблемы, если это не критично, можно попробовать использовать прошлую версию серверной ОС, например 2008 R2 или 2012.
Было произведено тестирования на ОС 2012, к сожалению результат тот же что и на 2016.
Остается попробовать 2019.
p.s. нет ли в драйвере проблем с обработкой отсутствия части фрагмента дейтаграммы? NDR понятно, все дампы аналогичны предыдущему? cp_tcpip+0x1093
cp_tcpip+0x7d73
cp_tcpip+0x7b0b
cp_tcpip+0x7c0aВозможно есть, что-то ещё, что поможет понять проблему. Отсутствие фрагментов решается на уровне стека ОС (tcpip), проблема же в драйвере IPsec, куда приходят уже готовые собранные пакеты. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.07.2020(UTC) Сообщений: 64 Откуда: Санкт-Петербург Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 1 раз в 1 постах
|
Добрый день.
Все дампы аналогичные, допустимые данные отправил на указанную вами почту.
Так же будет попытка установки 2019 с соответствующими ролями, и тестирование, по результату отпишусь.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
|
Автор: Алексей1987 Добрый день.
Все дампы аналогичные, допустимые данные отправил на указанную вами почту.
Так же будет попытка установки 2019 с соответствующими ролями, и тестирование, по результату отпишусь. https://www.cryptopro.ru...&m=119596#post119596 |
|
1 пользователь поблагодарил pd за этот пост.
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
