IPSec VPN- Page 2

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

12 Страницы<123 4 >»

IPSec VPN

Опции

Предыдущая тема Следующая тема

gvi		#11 Оставлено : 13 сентября 2010 г. 21:29:06(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 04.08.2009(UTC) Сообщений: 215 Откуда: Msk		Вы в Москве?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Mishel		#12 Оставлено : 14 сентября 2010 г. 12:27:42(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 10.09.2010(UTC) Сообщений: 36		К сожалению сейчас нет..сейчас попробую все заново только с корпоративным CA, погенерю сертификаты на основе шаблонов по вашей документации...о результатах сообщу На ящик я вам писал, но новую версию IPSec мне пока не выслали Отредактировано пользователем 14 сентября 2010 г. 12:28:48(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

gvi		#13 Оставлено : 14 сентября 2010 г. 14:01:12(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 04.08.2009(UTC) Сообщений: 215 Откуда: Msk		новую сборку выслали пробуйте по пунктам


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Mishel		#14 Оставлено : 14 сентября 2010 г. 20:58:08(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 10.09.2010(UTC) Сообщений: 36		всё поднял, настроил CA как корпоративный, сделал шаблон для IPSEC...вот только в доке сказано что для КриптоПро надо устанавливать носитель - реестр, а датчик случайных величин - КриптоПро исходный материал, где можно взять доку как генерить этот исходный материал? пробовал ставить биометрический датчик - при попытке генерации IPSEC сертификата выдается ошибка - Неудача при выпролнении запроса сертификата. Поставщик не смог выполнить действие, поскольку контекст был получен как "тихий". По PPTP при атутентификации через CHAP2 все работает...осталось сгенерить сертификаты..жду ответа


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

IvanZzz		#15 Оставлено : 15 сентября 2010 г. 16:10:47(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 23.04.2008(UTC) Сообщений: 519 Откуда: Крипто-Про		Про генерацию гаммы можно почитать в комплекте документации на КриптоПро CSP 3.6 в инструкции "АРМ выработки внешней гаммы". Что бы не возникало окна выбора считывателя нужно либо оставить в списке считывателей один, либо настроить на вкладке Winlogon считыватель по умолчанию(после генерации вернуть значение "Не установлен"). Отредактировано пользователем 15 сентября 2010 г. 16:11:38(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Mishel		#16 Оставлено : 15 сентября 2010 г. 16:53:52(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 10.09.2010(UTC) Сообщений: 36		1. Вопрос с сертификатом удалось обойти, я нашёл Соболь, с ним сертификат сгенерился нормально...но для шлюза, который является членом домена, где установлен CA, а как сгенерить IPSEC сертификат для удаленной машины, она ведь не является членом локального домена? В документации эта процедура описана через оснастку, но она срабатывает только для машин в домене... 2. И ещё в доке по КриптоПро IPSec в разделе 4.2 есть уопминание о настройках политики IPSEC, но они не приведедны - там надо ещё что-нить указывать? Отредактировано пользователем 15 сентября 2010 г. 16:55:27(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Mishel		#17 Оставлено : 15 сентября 2010 г. 22:32:04(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 10.09.2010(UTC) Сообщений: 36		Значит с этими проблемами я разобрался сам...для генерации сертификатов машинам, которые не входят в домен надо использовать другой шаблон...делать копию с шаблона автономный IPSEC и её аналогично редактить... Теперь следующая ситуация - аутентификация по пользовательским сертификатам на основе стандартного шаблона (с криптопровайдером Microsoft) прошла успешно - канал L2TP установился, но в свойствах его пишется что используется DES... Сгенерил сертификаты пользователей также с ГОСТовским шифрованием...для этого сделал копию шаблона Пользователь и сменил криптопровайдера...сертификаты генерятся все хорошо, НО...при попытке использовать такой сертификат на клиентской стороне система ругается что не найден подходящий сертификат, и на серверной стороне в настройках RRAS аналогичный сертификат также не возможно установить как сертификат аутентификации сервера...уверен что дело в локальных настройках использования IPSEC...там где-то необходимо указать возможность использования для аутентификации сертификатов с КриптоПро алгортмами. В групповой политике есть раздел где настраивается IP безопасность и там можно указывать различные алгоритмы шифрования, в том числе и алгоритмы КриптоПро, скажите надо ли редактировать данную политику? Отредактировано пользователем 16 сентября 2010 г. 13:20:36(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Дмитрий Пичулин		#18 Оставлено : 16 сентября 2010 г. 19:26:48(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,496 Откуда: КРИПТО-ПРО Сказал(а) «Спасибо»: 35 раз Поблагодарили: 466 раз в 333 постах		1. Крайне рекомендуется обновить дистрибутив (http://cryptopro.ru/cryptopro/products/ipsec/install.htm). 2. Для отладки пользоваться утилитой "cp_ipsec_info.exe", поставляемой с продуктом, находящейся \Program Files\Crypto Pro\IPsec\ (для x64, \Program Files (x86)\Crypto Pro\IPsec\). 3. К сожалению, даже при успешной работе IPsec на алгоритмах ГОСТ, отладочные и другие утилиты ОС будут воспринимать установленные соединения как DES, если не обращать на это внимание, то вся остальная информация (количество сессий, зашифровано данных и другая статистика) является достоверной. Итого: успешно установленное соединение заканчивается созданием 2-х SPI сессий, минимальную статистику по которым будет выдавать утилита "cp_ipsec_info.exe" раз в 10 секунд, если хотя бы одна из сессий еще существует.
		Знания в базе знаний, поддержка в техподдержке
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Дмитрий Пичулин		#19 Оставлено : 16 сентября 2010 г. 19:31:24(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,496 Откуда: КРИПТО-ПРО Сказал(а) «Спасибо»: 35 раз Поблагодарили: 466 раз в 333 постах		Строка генерации сертификата для конечной машины выглядит приблизительно так: cryptcp.exe -creatcert -provtype 75 -silent -dn "E=name@server.ru, CN=name" -cont \\.\REGISTRY\name -certusage 1.3.6.1.5.5.8.2.2 -km -du -both -ca http://ca/certsrv
		Знания в базе знаний, поддержка в техподдержке
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Дмитрий Пичулин		#20 Оставлено : 16 сентября 2010 г. 19:34:05(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,496 Откуда: КРИПТО-ПРО Сказал(а) «Спасибо»: 35 раз Поблагодарили: 466 раз в 333 постах		Также, при возникновении ошибок, ведущих к невозможности установки соединения между peer-ами, рекомендуется присылать лог программы "cp_ipsec_info.exe", думаю, 10-15 строк до возникновения первой ошибки будет достаточным.
		Знания в базе знаний, поддержка в техподдержке
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest

12 Страницы<123 4 >»

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close