Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,496 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз Поблагодарили: 466 раз в 333 постах
|
> Вопрос по возможностям...пока ещё данный продукт работает только с сертификатами в реестре? и если да, то планируете ли вы в будущем в этом продукте поддерживать еТокены?
На самом деле, мы планируем поддерживать большое количество ключевых контейнеров, здесь больше вопрос интерфейса и целесообразности. В оригинальной версии IPsec в Windows не предусмотрено окно ввода пин-пароля или сообщения вида "вставьте ключевой контейнер". На текущий момент, уже есть возможность пользоваться ключевыми контейнерами, в том числе отчуждаемыми, для этого достаточно обратиться к нужному контейнеру (например во вкладке КриптоПро CSP "Сервис" нажать "Протестировать") и при вводе пароля поставить галочку "Запомнить пароль". Этого, как правило, достаточно для того, чтобы КриптоПро IPsec корректно смог воспользоваться данным контекстом.
Очевидно, что данная схема использования ключевых контейнеров не конечный вариант, поэтому нам интересно было бы узнать, какие у вас есть пожелания к интерфейсу. |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 10.09.2010(UTC) Сообщений: 36
|
После установки вашего ПО журнал приложений заполняется ошибками Источник: CProCtrl Код: 256 Ошибка проверки контрольной суммы. Файл: detoured.dll. На работу это не влияет но журнал забивает основательно..
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,393 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз Поблагодарили: 717 раз в 621 постах
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 10.09.2010(UTC) Сообщений: 36
|
Добрый день, сегодня опропбовали продукт на реальной ситуации и с одного из клиентов возникла ошибка 678 о недоступности сервера...при этом с других мест подключения проходили...на проблемном клиенте используется DSL канал 128 кбит..на ИСА смотрели подключения по IKE и IKE-Traversal с этого адреса проходили...у меня возникло сомнение что проблема в характеристиках канала...насколько я помню проблемы с IPSec могут иметь место при фрагментации (в зависимости от значения MTU)...для достоверности выкладываю логи диагностики..
cp::CPEncryptMM - /SUCCESS/ cp::LOGIT - Detour_EncryptPayload - ok cp::LOGIT - Detour_DecryptPayload - cp cp::CPDecryptMM - in cp::CPDecryptMM - /SUCCESS/ cp::LOGIT - Detour_DecryptPayload - ok cp::LOGIT - Detour_ProcessHash - cp cp::CPVerifyHashMM - in cp::logger_func - IKE.API - p1_VerifyIRFn sid=00E04CF8. cp::CPVerifyHashMM - /SUCCESS/ cp::LOGIT - Detour_ProcessHash - ok cp::LOGIT - Detour_InitQM - cp cp::CPCreateQM - in cp::CPCreateQM - MSGID = d5040691 cp::CPCreateQM - /SUCCESS/ cp::LOGIT - IkeCPRecordAdd - ok cp::LOGIT - Detour_InitQM - ok cp::LOGIT - Detour_CopyQMOffer - cp cp::LOGIT - Detour_CopyQMOffer - cp cp::LOGIT - Detour_CopyQMOffer - cp cp::LOGIT - Detour_CopyQMOffer - cp cp::LOGIT - Detour_CopyQMOffer - cp cp::LOGIT - Detour_CopyQMOffer - cp cp::LOGIT - Detour_CopyQMOffer - cp cp::LOGIT - Detour_CopyQMOffer - cp cp::LOGIT - Detour_CopyQMOffer - cp cp::LOGIT - Detour_CopyQMOffer - cp cp::LOGIT - Detour_CopyQMOffer - cp cp::LOGIT - Detour_CopyQMOffer - cp cp::LOGIT - Detour_ConstructHashQM_blank - cp cp::LOGIT - Detour_ConstructHashQM_blank - ok cp::LOGIT - Detour_policy_esp_ipsec2doi - cp cp::LOGIT - Detour_policy_hmac_ipsec2doi - cp cp::LOGIT - Detour_policy_esp_ipsec2doi - cp cp::LOGIT - Detour_policy_hmac_ipsec2doi - cp cp::LOGIT - Detour_policy_hmac_ipsec2doi - original cp::LOGIT - Detour_policy_esp_ipsec2doi - original cp::LOGIT - Detour_policy_hmac_ipsec2doi - original cp::LOGIT - Detour_policy_hmac_ipsec2doi - original cp::LOGIT - Detour_policy_esp_ipsec2doi - original cp::LOGIT - Detour_policy_hmac_ipsec2doi - original cp::LOGIT - Detour_policy_hmac_ipsec2doi - original cp::LOGIT - Detour_policy_esp_ipsec2doi - original cp::LOGIT - Detour_policy_hmac_ipsec2doi - original cp::LOGIT - Detour_policy_hmac_ipsec2doi - original cp::LOGIT - Detour_policy_esp_ipsec2doi - original cp::LOGIT - Detour_policy_hmac_ipsec2doi - original cp::LOGIT - Detour_policy_esp_ipsec2doi - cp cp::LOGIT - Detour_policy_hmac_ipsec2doi - cp cp::LOGIT - Detour_policy_esp_ipsec2doi - cp cp::LOGIT - Detour_policy_hmac_ipsec2doi - cp cp::LOGIT - Detour_policy_hmac_ipsec2doi - original cp::LOGIT - Detour_policy_esp_ipsec2doi - original cp::LOGIT - Detour_policy_hmac_ipsec2doi - original cp::LOGIT - Detour_policy_hmac_ipsec2doi - original cp::LOGIT - Detour_policy_esp_ipsec2doi - original cp::LOGIT - Detour_policy_hmac_ipsec2doi - original cp::LOGIT - Detour_policy_hmac_ipsec2doi - original cp::LOGIT - Detour_policy_esp_ipsec2doi - original cp::LOGIT - Detour_policy_hmac_ipsec2doi - original cp::LOGIT - Detour_policy_hmac_ipsec2doi - original cp::LOGIT - Detour_policy_esp_ipsec2doi - original cp::LOGIT - Detour_policy_hmac_ipsec2doi - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - cp cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - cp cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - cp cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - cp cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_BasicAtt - original cp::LOGIT - Detour_ConstructNonceQM - cp cp::CPGenDHPublicQM - in cp::logger_func - IKE.API - p2_SetupFn sid=00E056B8. cp::CPGenDHPublicQM - /SUCCESS/ cp::LOGIT - Detour_ConstructHashQM - cp cp::CPCreateHashQM - in cp::logger_func - IKE.API - p2_HashAFn sid=00E056B8. cp::CPCreateHashQM - /SUCCESS/ cp::LOGIT - Detour_EncryptPayload - cp cp::CPEncryptQM - in cp::CPEncryptQM - /SUCCESS/ cp::CPEncryptQM - in cp::CPEncryptQM - /SUCCESS/ cp::LOGIT - Detour_EncryptPayload - ok cp::LOGIT - Detour_DecryptPayload - cp cp::CPDecryptQM - in cp::CPDecryptQM - /SUCCESS/ cp::LOGIT - Detour_DecryptPayload - ok cp::LOGIT - Detour_VerifyHashQM - cp cp::CPVerifyHashQM - in cp::logger_func - IKE.API - p2_VerifyAFn sid=00E056B8. cp::CPVerifyHashQM - /SUCCESS/ cp::LOGIT - Detour_VerifyHashQM - ok cp::LOGIT - Detour_ParseTransform - call cp::LOGIT - Detour_policy_esp_ipsec2doi - cp cp::LOGIT - Detour_policy_hmac_ipsec2doi - cp cp::LOGIT - Detour_FinalHashQM - cp cp::CPAgreePFS - in cp::logger_func - IKE.API - p2_AgreeFn sid=00E056B8. return OK cp::CPAgreePFS - /SUCCESS/ cp::CPCreateFinalHashQM - in cp::logger_func - IKE.API - p2_Hash3Fn sid=00E056B8. cp::CPCreateFinalHashQM - /SUCCESS/ cp::LOGIT - Detour_FinalHashQM - ok cp::LOGIT - Detour_GenerateSPI - cp cp::CPInitDriver - in cp::CPInitDriver - /SUCCESS/ cp::CPSerializeQM - in cp::logger_func - IKE.API - spiSerializeFn:797 sid=00E056B8. return OK cp::CPSerializeQM - /SUCCESS/ cp::CPDriverSend - in cp::CPDriverSend - SPI = 0x71a2c08c cp::CPDriverSend - /SUCCESS/ cp::LOGIT - Detour_GenerateSPI - ok cp::LOGIT - Detour_GenerateSPI - cp cp::CPInitDriver - in cp::CPInitDriver - /SUCCESS/ cp::CPSerializeQM - in cp::logger_func - IKE.API - spiSerializeFn:797 sid=00E056B8. return OK cp::CPSerializeQM - /SUCCESS/ cp::CPDriverSend - in cp::CPDriverSend - SPI = 0x6f14a4c7 cp::CPDriverSend - /SUCCESS/ cp::LOGIT - Detour_GenerateSPI - ok cp::LOGIT - Detour_GetQMOffer - cp cp::LOGIT - Detour_GetQMOffer - ok cp::LOGIT - Detour_EncryptPayload - cp cp::CPEncryptQM - in cp::CPEncryptQM - /SUCCESS/ cp::CPEncryptQM - in cp::CPEncryptQM - /SUCCESS/ cp::LOGIT - Detour_EncryptPayload - ok cp::CPInfoThread - SA statistic: cp::CPInfoThread - 1 (MMs), 1 (QMs), 2 (SPIs) cp::CPInfoThread - <-> stats: cp::CPInfoThread - SPI: '71a2c08c' -> (0) cp::CPInfoThread - SPI: '6f14a4c7' <- (1) cp::CPInfoThread - <-> stats: cp::CPInfoThread - SPI: '71a2c08c' -> (0) cp::CPInfoThread - SPI: '6f14a4c7' <- (1) cp::LOGIT - Detour_DecryptPayload - cp cp::CPDecryptQM - in cp::CPDecryptQM - /SUCCESS/ cp::LOGIT - Detour_DecryptPayload - ok cp::LOGIT - Detour_VerifyHashND - cp cp::CPVerifyHashQM - in cp::logger_func - IKE.API - p2_VerifyAFn sid=00E056B8. cp::CPVerifyHashQM - /SUCCESS/ cp::LOGIT - Detour_VerifyHashND - ok cp::LOGIT - Detour_GetQMOffer - cp cp::LOGIT - Detour_GetQMOffer - ok cp::CPInfoThread - <-> stats: cp::CPInfoThread - SPI: '71a2c08c' -> (1) cp::CPInfoThread - SPI: '6f14a4c7' <- (1) cp::CPInfoThread - <-> stats: cp::CPInfoThread - SPI: '71a2c08c' -> (1) cp::CPInfoThread - SPI: '6f14a4c7' <- (1) cp::CPInfoThread - <-> stats: cp::CPInfoThread - SPI: '71a2c08c' -> (1) cp::CPInfoThread - SPI: '6f14a4c7' <- (1) cp::LOGIT - Detour_ConstructHashQM_blank - cp cp::LOGIT - Detour_ConstructHashQM_blank - ok cp::LOGIT - Detour_ConstructNonceND - cp cp::LOGIT - Detour_ConstructNonceND - ok cp::LOGIT - Detour_ConstructHashND - cp cp::CPCreateQM - in cp::CPCreateQM - MSGID = 97ffd604 cp::CPCreateQM - /SUCCESS/ cp::LOGIT - IkeCPRecordAdd - ok cp::CPCreateHashQM - in cp::logger_func - IKE.API - p2_HashAFn sid=00E059A8. cp::CPCreateHashQM - /SUCCESS/ cp::LOGIT - Detour_ConstructHashND - ok cp::LOGIT - Detour_EncryptPayload - cp cp::CPEncryptQM - in cp::CPEncryptQM - /SUCCESS/ cp::CPEncryptQM - in cp::CPEncryptQM - /SUCCESS/ cp::LOGIT - Detour_EncryptPayload - ok cp::CPInfoThread - SA statistic: cp::CPInfoThread - 1 (MMs), 2 (QMs), 0 (SPIs) cp::LOGIT - Detour_ConstructHashQM_blank - cp cp::LOGIT - Detour_ConstructHashQM_blank - ok cp::LOGIT - Detour_ConstructNonceND - cp cp::LOGIT - Detour_ConstructNonceND - ok cp::LOGIT - Detour_ConstructHashND - cp cp::CPCreateQM - in cp::CPCreateQM - MSGID = 9f8de4fa cp::CPCreateQM - /SUCCESS/ cp::LOGIT - IkeCPRecordAdd - ok cp::CPCreateHashQM - in cp::logger_func - IKE.API - p2_HashAFn sid=00E05120. cp::CPCreateHashQM - /SUCCESS/ cp::LOGIT - Detour_ConstructHashND - ok cp::LOGIT - Detour_EncryptPayload - cp cp::CPEncryptQM - in cp::CPEncryptQM - /SUCCESS/ cp::CPEncryptQM - in cp::CPEncryptQM - /SUCCESS/ cp::LOGIT - Detour_EncryptPayload - ok cp::CPInfoThread - SA statistic: cp::CPInfoThread - 1 (MMs), 3 (QMs), 0 (SPIs) cp::LOGIT - Detour_DecryptPayload - cp cp::CPDecryptQM - in cp::CPDecryptQM - /SUCCESS/ cp::LOGIT - Detour_DecryptPayload - ok cp::LOGIT - Detour_VerifyHashND - cp cp::CPVerifyHashQM - in cp::logger_func - IKE.API - p2_VerifyAFn sid=00E059A8. cp::CPVerifyHashQM - /SUCCESS/ cp::LOGIT - Detour_VerifyHashND - ok cp::LOGIT - Detour_DecryptPayload - cp cp::CPDecryptQM - in cp::CPDecryptQM - /SUCCESS/ cp::LOGIT - Detour_DecryptPayload - ok cp::LOGIT - Detour_VerifyHashND - cp cp::CPVerifyHashQM - in cp::logger_func - IKE.API - p2_VerifyAFn sid=00E05120. cp::CPVerifyHashQM - /SUCCESS/ cp::LOGIT - Detour_VerifyHashND - ok cp::LOGIT - Detour_FreeQM - cp cp::CPCloseQM - in cp::CPCloseQM - /SUCCESS/ cp::LOGIT - Detour_FreeMM - cp cp::CPCloseMM - in cp::CPCloseMM - /SUCCESS/ cp::CPCloseQM - in cp::CPCloseQM - /SUCCESS/ cp::CPCloseQM - in cp::CPCloseQM - /SUCCESS/
Что можете сказать по данной проблеме?
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,496 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз Поблагодарили: 466 раз в 333 постах
|
Видим: Цитата:cp::CPInfoThread - 1 (MMs), 1 (QMs), 2 (SPIs) Цитата:cp::CPInfoThread - SPI: '71a2c08c' -> (1) cp::CPInfoThread - SPI: '6f14a4c7' <- (1) что означает IPsec соединение поднялось, далее начинает работать аутентификация клиента на сервере и похоже кто-то молчит. Варианты: 1) проверить те же условия в режиме PPTP, это исключит наше вмешательство IPsec-ом 2) рассказать подробнее про используемые mtu, наши тесты с различными mtu не выявили каких-то различий в работе по умолчанию. |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 10.09.2010(UTC) Сообщений: 36
|
по PPTP канал поднимается без проблем...там стоит DSL-маршрутизатор DLink у которого связь идет по PPPoE, для этой линии выставлено знаечение MTU 1492
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,496 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз Поблагодарили: 466 раз в 333 постах
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 10.09.2010(UTC) Сообщений: 36
|
Добрый день...по поводу описанной выше проблемы, выяснили причину...оказалось все дело в установленных версиях КриптоПро CSP, глюки были когда пытались использовать версию продукта 3.6.5402, корректно работает только с версией 3.6.6497...причем сложность выявления ещё была в том, что на старых версиях КриптоПРО IPSec все работало нормально с обеими версиями, но там не поддерживался NAT-Traversal..
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 10.09.2010(UTC) Сообщений: 36
|
Добрый день...в процессе тестовой эксплуатации IPSEC Крипто ПРО выявилась следующая проблема. При многократном подключении пользователей к шлюзу безопасности (для проверки были проведены 3 сеанса) происходит зависание шлюза...Причем первые 2-3 сеанса проходят нормально (правда сеансы были недолгие, порядка минуты, в процессе сеанса подключались к удаленному рабочему столу машины за шлюзом, запускали проводник, делали пару операрций и отключались)..Ни дампов, ни презагрузки не происходит - на мониторе черный экран, по сети соответсвенно тоже ответов нет..
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,496 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз Поблагодарили: 466 раз в 333 постах
|
Можно поподробнее: конфигурация windows 2003 R2 обычный RAS? черный экран на сервере RAS... и помогает только ресет? |
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close