Статус: Участник
Группы: Участники
Зарегистрирован: 23.04.2015(UTC) Сообщений: 13  Откуда: Moscow Сказал(а) «Спасибо»: 2 раз
|
Вот что получает SG от клиента при первом подключении: Цитата:2016-02-20 13:04:52 IKEv1 SA proposal SA([0] protocol = IKE (1), GOST CFB B, HMAC-GR3411-94, GOST XchA, HMAC-GR3411 PRF; [1] protocol = IKE (1), GOST CFB B, HMAC-GR3411-94, GOST XchB, HMAC-GR3411 PRF; [2] protocol = IKE (1), GOST CFB A, HMAC-GR3411-94, GOST XchA, HMAC-GR3411 PRF; [3] protocol = IKE (1), GOST CFB A, HMAC-GR3411-94, GOST XchB, HMAC-GR3411 PRF; [4] protocol = IKE (1), GOST CFB C, HMAC-GR3411-94, GOST XchA, HMAC-GR3411 PRF; [5] protocol = IKE (1), GOST CFB C, HMAC-GR3411-94, GOST XchB, HMAC-GR3411 PRF; [6] protoc
при удачном подключении клиент показывает Fingerprint сервера и добавляет в список. При последующих подключениях запрос такой: Цитата:IKEv1 SA proposal SA([0] protocol = IKE (1), GOST CBC, HMAC-GR3411-94, 2048 bit MODP, HMAC-GR3411 PRF; ) GOST signatures
Дампы сброшу позже (wireshark не работает на машине с клиентом SG).
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
|
Во-первых, клиент StoneSoft VPN посылает два набора идентификаторов. Первый набор в целом соответствует принятым в ТК26, они входят в область IKE/GOST 1.1 (в Wireshark определяется как Vendor ID: CryptoPro/GOST 1.1). Второй набор тоже из Private диапазона, но мы не смогли его идентифицировать, плюс из ряда вон выходящие значения, например Group-Description: 2048 bit MODP group, которые соответствуют использованию зарубежных алгоритмов. Сервер, который заявляет, что поддерживает IKE/GOST 1.1, выбирает однако transform из второго набора, что сложно объяснить. Во-вторых, сразу после завершения Main Mode следует Transaction Exchanges, что, с большой вероятностью, говорит о проведении дополнительной, так называемой "гибридной", аутентификации. Вывод неутешительный: даже если победить идентификаторы и пройти Main Mode, пройти "гибридную аутентификацию" VPN клиент в Windows никак не сможет. ,,..,, Отредактировано пользователем 24 февраля 2016 г. 13:33:09(UTC)
| Причина: typo |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 23.04.2015(UTC) Сообщений: 13 Откуда: Moscow Сказал(а) «Спасибо»: 2 раз
|
Посмотрите варианты настройки сертификатов на сервере...  SG-GOST.rar (30kb) загружен 5 раз(а).
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
|
Автор: rav_70  Посмотрите варианты настройки сертификатов на сервере... Как уже было сказано, так как Windows не поддерживает Transaction Exchanges, которые присутствуют во всех дампах соединений StoneSoft между собой, пространство для манёвров отсутствует. Также замечено отсутствие алгоритмов ГОСТ в выборе групп Диффи-Хеллмана в настройках сервера: nogroup.png (3kb) загружен 633 раз(а). |
|
 1 пользователь поблагодарил pd за этот пост.
|
rav_70 оставлено 24.02.2016(UTC)
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 23.04.2015(UTC) Сообщений: 13 Откуда: Moscow Сказал(а) «Спасибо»: 2 раз
|
Ясно... (
Спасибо за помощь.
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
