Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.01.2011(UTC)
Сообщений: 589
Откуда: Крипто-Про
|
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
|
|
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 23.05.2013(UTC) Сообщений: 3 
|
А можно пошаговую инструкцию, для совсем далеких? Начиная с установки КриптоПро. )
Задача такая - Windows Server 2003, клиент Windows XP. Соединяем Client-to-Site.
По руководству прошелся, тут всё прочитал предварительно, но понял не всё.
Результат как у предыдущих ораторов - 789.
Спасибо.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 23.05.2013(UTC) Сообщений: 3
|
Давайте тогда я сам отвечу. Задача такова – поднять защищённый канал связи между филиалом и головным офисом при помощи VPN, теперь уже СЕРТИФИЦИРОВАННОГО ФСБ КриптоПро IPsec. 1. Берём Windows Server 20xx и поднимаем на нём Сервер удалённого доступа / VPN (Маршрутизация и удалённый доступ). Как это делается можно посмотреть тут http://support.microsoft.com/kb/323441 или воспользоваться ссылками, приведёнными в "ЖТЯИ.00074-01 90 02. Руководство администратора безопасности" от КриптоПро IPsec. Не забываем создать на сервере пользователя (User) с паролем, и в свойствах учётной проставить ему "Разрешение на удалённый доступ (VPN или модем)". 2. Для чистоты эксперимента подключаемся к этому серверу с любой рабочей станции по PPTP. При успехе этого мероприятия, подключаемся по L2TP/IPSec, "Для проверки подлинности используем предварительный ключ", допустим 123456789. Если всё работает, то подверимся ещё раз – на сервере откроем "Управление компьютером" - "Маршрутизация и удалённый доступ" - "Порты" - Свойства. Отключаем всё кроме L2TP. Ok. Подключаемся ещё раз, если работает переходим к КриптоПро.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 23.05.2013(UTC) Сообщений: 3
|
3. На сервер и клиент устанавливаем КриптоПро CSP 3.6 R3 и КриптоПро IPsec согласно всё тому же "ЖТЯИ.00074-01 90 02. Руководство администратора безопасности". Перезагружаем машинки по потребности.
4. На сервере, как описано в руководстве, запускаем –
genpsk -D TestNet -n 02.06.11 -v 2 -m 6 -f GenPSK -P CMAK -S -N ForOffice ForClient
но, конечно, меняем дату… и в конце строки дописываем, допустим " > text.txt ".
genpsk -D TestNet -n 30.05.13 -v 2 -m 6 -f GenPSK -P CMAK -S -N ForOffice ForClient > text.txt
В итоге, в этом файле мы получим две строчки, например:
30.05.13,ForOffice,FPH90HEKY2WDWPR1W2VLAZD603C1
30.05.13,ForClient,UKUX0QYGM52EPPEPG5HZ09URUU41
Первую строчку ЦЕЛИКОМ прописываем в качестве предварительного ключа на стороне сервера, вторую на стороне клиента.
Всё. Пробуем подключение.
Поправьте меня, если я где-то не прав.
А я могу ошибаться.
Спасибо.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
|
Шаги по настройке в порядке. Если, что-то при использовании PSK не работает то:
1) воспользоваться аудитом и просмотром событий штатных журналов ОС (если до установки КриптоПро IPsec оригинальный L2TP/IPsec работал нормально, то с большой вероятностью этот шаг можно пропустить)
2) убедиться, что PSK корректен с помощью утилиты genpsk (genpsk -D Glb -n N73 -v 23 -f chkpsk -K U8FH6TYUAGRE9MVAU0XKYHBQ7THR -N S1)
3) запустить cp_ipsec_info и посмотреть консоль, возможно ошибка будет очевидна по логу
4) отправить нам лог работы программы cp_ipsec_info (cp_ipsec_info имя_лог_файла.log) с описанием вашей конфигурации, проверим - ответим |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 04.08.2011(UTC)
Сообщений: 11
|
Добрый день! Помогите настроить указанное выше, только не по PSK а по сертификатам.
Шаги 1, 2 и 3 выполнил все работает. Также поставил вместо предварительного ключа проверку по сертификату. Таким образом осуществляется проверка по сертификатам компьютера по протоколу IKE и если использовать стандартную аутентификацию пользователя по логину и паролю то все работает.
Никак не могу настроить, чтобы пользователь также проходил аутентификацию по сертификату. У нас изолированный УЦ, на нем был выпущен пользовательский сертификат установил я его на клиентскую машину. В настройках подключения клиента поставил PEAP метод проверки подлинности "Смарт-карта или иной сертификат", во время подключения выбираю нужный сертификат но аутентификация не проходит. Сервер не имеет доступа к ЦС, может с этим связано? Подскажите, может нужно на сервере где-то прописать пользовательский сертификат?
Спасибо!
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
|
Автор: hasm  Шаги 1, 2 и 3 выполнил все работает. Также поставил вместо предварительного ключа проверку по сертификату. Таким образом осуществляется проверка по сертификатам компьютера по протоколу IKE и если использовать стандартную аутентификацию пользователя по логину и паролю то все работает. Это означает что IPsec работает корректно. Автор: hasm Никак не могу настроить, чтобы пользователь также проходил аутентификацию по сертификату. У нас изолированный УЦ, на нем был выпущен пользовательский сертификат установил я его на клиентскую машину. В настройках подключения клиента поставил PEAP метод проверки подлинности "Смарт-карта или иной сертификат", во время подключения выбираю нужный сертификат но аутентификация не проходит. Сервер не имеет доступа к ЦС, может с этим связано? Подскажите, может нужно на сервере где-то прописать пользовательский сертификат? Этот вопрос, с большой вероятностью, не входит в проблематику IPsec. Предлагается исключить влияние IPsec, переключившись на PPTP соединение. При возникновении проблем, обратиться в нашу техподдержку (support@cryptopro.ru) по вопросу настройки аутентификации по клиентскому сертификату в рамках PEAP. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 04.08.2011(UTC)
Сообщений: 11
|
Хорошо, спасибо. Еще один вопрос. Как удостовериться в том, что установленное соединение использует ГОСТ шифрование?
Спасибо!
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
|
Автор: hasm Как удостовериться в том, что установленное соединение использует ГОСТ шифрование? - Лог cp_ipsec_info содержит информацию о текущих ESP сессиях с направлением и последнем порядковом номере обработанного пакета, это выглядит приблизительно так:
Цитата:(05:45:35.646) CPInfoThread: <-> stats:
(05:45:35.646) CPInfoThread: SPI: 'D1A94AE3' <- (686)
(05:45:35.646) CPInfoThread: SPI: '84CD5D70' -> (801)
(05:45:35.646) CPInfoThread: SPI: '4104F129' <- (68)
(05:45:35.646) CPInfoThread: SPI: '8C2AD8FC' -> (68)
- Оснастка "Монитор IP-безопасности" в консоле (mmc) является мониторингом статистики и текущих IPsec соединений в ОС Windows (при активном КриптоПро IPsec, см. пункт 3, не обращать внимание на слова 3DES, SHA1 и т.д.)
- В меню cp_ipsec_info содержится информация о текущем состояния IPsec драйвера и фильтр драйвера. Если отображаются состояния "работает" и "работает (только проверка)", соответственно, гарантируется шифрование исходящего ESP трафика по ГОСТ. При наличии более высоких требований к исходящему трафику, фильтр может быть переключен в активный режим ("работает"), в этом случае можно заблокировать весь не IPsec трафик. Подробности настройки фильтра в полном объеме изложены документации.
- Запустить анализатор трафика, проанализировать трафик на наличие IPsec пакетов.
Отредактировано пользователем 8 июля 2013 г. 13:58:26(UTC)
| Причина: добавлено изображение. |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
