Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,404  Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 719 раз в 623 постах
|
С Palo Alto проблемы кажется были, да. |
|
 1 пользователь поблагодарил Максим Коллегин за этот пост.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 07.09.2018(UTC) Сообщений: 16  Сказал(а) «Спасибо»: 1 раз
|
У моих пользователей проблема решилась так: поставил эту версию: https://www.cryptopro.ru...csp/40/9974/CSPSetup.exe - ребутнулся запустил КриптоПро CSP от администратора, затем поставил галку напротив "отключить КриптоПро Winlogon" на вкладке "Winlogon" и снова ребут после этого впн заработал на всех проблемных машинах
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 04.05.2020(UTC) Сообщений: 6 Откуда: Москва
|
Автор: SnakeFizer  Автор: Максим Коллегин Попробуйте запустить dbgview и, включив логинг для всех пользователей, прислать лог. Несовсем ясно как это сделать. Включал вот это: Код:HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Cryptography\CurrentVersion\Debug
cpcsp=0x01000000
Но нигде не нашел в журнале каких-либо сообщений. У нас есть предварительное подтверждение, что причина - антивирусное ПО ("Palo Alto "Cortex XDR"). После его удаления, VPN работает. Даже без перезагрузки машины. Ранее были проблемы совместимости по TLS. А какие именно? Та же проблема с Forti client.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,404 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 719 раз в 623 постах
|
Для VPN используется Смарт-карта? |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 31.10.2018(UTC) Сообщений: 14 Откуда: Челябинск Сказал «Спасибо»: 3 раз
|
Автор: Hisoka У моих пользователей проблема решилась так: поставил эту версию: https://www.cryptopro.ru...csp/40/9974/CSPSetup.exe - ребутнулся запустил КриптоПро CSP от администратора, затем поставил галку напротив "отключить КриптоПро Winlogon" на вкладке "Winlogon" и снова ребут после этого впн заработал на всех проблемных машинах Может кому-то и поможет. У нас КриптоПро CSP запакетирована и развертывается через SCCM. При установке используются доп.аргументы msi: "REGREGISTRY=0 NOWL=1 REGRUTOKEN=1 REGETOKEN=1 REGGTOKEN=1 INSTALLCPCERT=1", так что Winlogon у нас отключен "из коробки". :( Автор: кент666111 Автор: SnakeFizer У нас есть предварительное подтверждение, что причина - антивирусное ПО ("Palo Alto "Cortex XDR"). После его удаления, VPN работает. Даже без перезагрузки машины.
Ранее были проблемы совместимости по TLS. А какие именно? Та же проблема с Forti client. Не открывались сайты, использующие ГОСТ :)  Например: Для того, чтобы всё заработало, потребовалась тонкая настройка модулей антивируса: 'Browser Exploits Protection' and 'Operating System Exploit Protection' Автор: Максим Коллегин Для VPN используется Смарт-карта? Если посмотреть через rasphone.exe, то тип подключения SSTP. Тип авторизации: Microsoft Protected EAP (PEAP) (encryption enabled) Метод авторизации: Smart-card or other certificate (указаны доверенные корневые УЦ).  Общаемся с разработчиком ПО Palo Alto Cortex XDR. Причину до сих пор не установили. В логах, как в системных, так и в клиенте антивируса - ничего конкретного. На стороне VPN-сервера такое ощущение, что клиенты вовсе не подключались, хотя в Событиях четко указывается что соединение устанавливается успешно и сбрасывается.
Максим Коллегин
, не подскажете, как включить полное логирование\дебаг у КриптоПро CSP 4.0R4? И куда потом именно смотреть? Или ссылку на информацию. Был бы очень признателен. Может так удастся отловить что происходит в момент попытки подключения VPN. Отредактировано пользователем 13 мая 2020 г. 2:17:12(UTC)
| Причина: дополнение
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,404 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 719 раз в 623 постах
|
Автор: SnakeFizer как включить полное логирование\дебаг у КриптоПро CSP 4.0R4 В CSP 4 возможности аудита ограничены. Рекомендую установить последний CSP5R2 и включить аудит TLS: Код:Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Cryptography\CurrentVersion\Debug]
"cpssp"=dword:0000003f
Логи смотреть в DbgView, включив Global. Поскольку основные модули TLS в lsass - потребуется перезагрузка. |
|
1 пользователь поблагодарил Максим Коллегин за этот пост.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 31.10.2018(UTC) Сообщений: 14 Откуда: Челябинск Сказал «Спасибо»: 3 раз
|
Что-то получилось. Весь лог выложить? Понимать бы что там...но вот это блок повторяется, при попытках подключения (вырезано примерно). В конце идут какие-то ошибки.
Код:00000586 2.88849378 [840] <cpssp>0x348:0x3b8:SpAcquireCredentialsHandle dwAuthDataType: 0x00000003 (:528)
00000587 2.88852501 [840] <cpssp>0x348:0x3b8:CPAcquireCredentialsHandleA (pszPrincipal = (null), pszPackage = (null), fCredentialUse = 0x00000002, pvLogonID = 000000F29B2FE320, pAuthData = 00000292D874CC10, pGetKeyFn = 0000000000000000, pvGetKeyArgument = 0000000000000000, phCreden
00000588 2.88854957 [840] <cpssp>0x348:0x3b8:LSAGetCallInfo (...) (:37)
00000589 2.88857484 [840] <cpssp>0x348:0x3b8:LSAGetCallInfo ProcessId = 3340, ThreadId = 2904, Attributes = 0x00000000, CallCount = 0 (:44)
00000590 2.88881612 [840] <cpssp>0x348:0x3b8:CPSSPCreateCredentials \SYSCONTROL\SecurityProviders\SCHANNEL\EventLogging: 1 (:3997)
00000591 2.88896513 [840] <cpssp>0x348:0x3b8:CPSSPCreateCredentials \config\Parameters\tls_cryptopro_naive_log: 0 (:4000)
00000592 2.88899112 [840] <cpssp>0x348:0x3b8:CPSSPCreateCredentials \config\Parameters\tls_split_by_messages: 0 (:4003)
00000593 2.88914251 [840] <cpssp>0x348:0x3b8:CPSSPCreateCredentials \config\Parameters\tls_max_sessions: 64 (:4006)
00000594 2.88919711 [840] <cpssp>0x348:0x3b8:CPSSPCreateCredentials \config\Parameters\tls_client_disable_extension_HashMacSelect: 0 (:4008)
00000595 2.88926673 [840] <cpssp>0x348:0x3b8:CPSSPCreateCredentials \config\Parameters\tls_client_disable_extension_NPN: 0 (:4009)
00000596 2.88933396 [840] <cpssp>0x348:0x3b8:CPSSPCreateCredentials \config\Parameters\tls_client_disable_extension_ALPN: 0 (:4010)
00000597 2.88940001 [840] <cpssp>0x348:0x3b8:CPSSPCreateCredentials \config\Parameters\tls_client_disable_extension_SigAlgs: 0 (:4011)
00000598 2.88946390 [840] <cpssp>0x348:0x3b8:CPSSPCreateCredentials \config\Parameters\tls_client_disable_extension_SNI: 0 (:4012)
00000599 2.88952804 [840] <cpssp>0x348:0x3b8:CPSSPCreateCredentials \config\Parameters\tls_client_disable_extension_RenegotiationInfo: 0 (:4013)
00000600 2.88959837 [840] <cpssp>0x348:0x3b8:CPSSPCreateCredentials \config\Parameters\tls_client_disable_extension_SessionTicket: 1 (:4014)
00000601 2.88966250 [840] <cpssp>0x348:0x3b8:CPSSPCreateCredentials \config\Parameters\tls_client_disable_extension_OCSP: 0 (:4015)
00000602 2.88972521 [840] <cpssp>0x348:0x3b8:CPSSPCreateCredentials \config\Parameters\tls_client_disable_extension_EMS: 0 (:4016)
00000603 2.88978791 [840] <cpssp>0x348:0x3b8:CPSSPCreateCredentials \config\Parameters\tls_client_fixed_dh_allowed: 0 (:4088)
00000604 2.88985682 [840] <cpssp>0x348:0x3b8:CPSSPCreateCredentials \config\Parameters\tls_client_disable_legacy_cipher_suites: 1 (:4091)
00000605 2.88992071 [840] <cpssp>0x348:0x3b8:CPSSPCreateCredentials \config\Parameters\tls_client_disable_revocation_check: 0 (:4094)
00000606 2.88998771 [840] <cpssp>0x348:0x3b8:CPSSPCreateCredentials \config\Parameters\tls_client_disable_self_certificate_usage_validation: 0 (:4097)
00000607 2.89005280 [840] <cpssp>0x348:0x3b8:CPSSPCreateCredentials \config\Parameters\tls_client_strict_certificate_verify: 0 (:4100)
00000608 2.89011669 [840] <cpssp>0x348:0x3b8:CPSSPCreateCredentials \config\Parameters\tls_client_disable_extended_master_secret: 0 (:4103)
00000609 2.89017963 [840] <cpssp>0x348:0x3b8:CPSSPCreateCredentials \config\Parameters\tls_client_support_foreign_cipher_suites: 0 (:4111)
00000610 2.89024353 [840] <cpssp>0x348:0x3b8:CPSSPCreateCredentials \config\Parameters\tls_client_strict_cert_type_check: 0 (:4114)
00000611 2.89030719 [840] <cpssp>0x348:0x3b8:CPSSPCreateCredentials \config\Parameters\tls_client_strict_sigpair_cert_check: 0 (:4117)
00000612 2.89037204 [840] <cpssp>0x348:0x3b8:CPSSPCreateCredentials \config\Parameters\tls_client_strict_sigpair_intersection_check: 0 (:4120)
00000613 2.89067411 [840] <cpssp>0x348:0x3b8:GetCertFromAuthData credential version SCHANNEL_CRED_VERSION (:122)
00000614 2.89070868 [840] <cpssp>0x348:0x3b8:GetCertFromAuthData SCH_CRED_FORMAT_CERT_CONTEXT (:135)
00000615 2.89094400 [3340] <cpssp>0xd0c:0xb58:UploadCertContextCallback (0x000001BE4D3BB8C0:0x0000000000000000) (:110)
00000616 2.89100194 [3340] <cpssp>0xd0c:0xb58:UploadCertContextCallback exited: SecStatus = 0x00000000 (:161)
00000617 2.89125919 [840] <cpssp>0x348:0x3b8:GetCertFromAuthData flags=0x1c34; cMappers = 0; pCertContext = 0x00000292D86C8EB0 (:210)
00000618 2.89139485 [840] <cpssp>0x348:0x3b8:CPSSPCreateCredentials pCPCreds->CryptUserData.pCertContext = 0x4D3BB8C0 (:4197)
00000619 2.89151192 [3340] <cpssp>0xd0c:0xb58:RemoteCryptAcquireContextCallback (0x000001BE4D3BB8C0:0x0000000000000000) (:262)
00000620 2.89232230 [3340] <capi10>0x0:0xb58:_CryptAcquireContextA!failed: LastError = 0x80090016 (:1752)
00000621 2.89274406 [3340] <cpssp>0xd0c:0xb58:RemoteCryptAcquireContextCallback!AcquireContext failed. Error = 0x80090016 (:318)
00000622 2.89374208 [3340] <cpssp>0xd0c:0xb58:RemoteCryptAcquireContextCallback!failed: SecStatus = 0x80090304 (:372)
00000623 2.89384031 [840] <cpssp>0x348:0x3b8:AcquireCryptUserData! LsaCallBack REMOTE_ACQUIRE_CONTEXT FAILED, SecStatus = 0x80090304! (:572)
00000624 2.89387774 [840] <cpssp>0x348:0x3b8:SSPCPAcquireProvider! AcquireCryptUserData() failed! (:720)
00000625 2.89453959 [840] <cpssp>0x348:0x3b8:CPSSPCreateCredentials! failed to acquire provider! (:4280)
00000626 2.89457488 [840] <cpssp>0x348:0x3b8:CPDeleteCpSSPCredentials (00000292D881FD00, 1 refs) (:3006)
00000627 2.89461994 [840] <cpssp>0x348:0x3b8:CPAcquireCredentialsHandleA!failed: LastError = 0x80090304 (:1185)
00000628 2.89465356 [840] <cpssp>0x348:0x3b8:SpAcquireCredentialsHandle CPAcquireCredentialsHandleA: 0x80090304 (:549)
00000629 2.89468598 [840] <cpssp>0x348:0x3b8:LSAGetCallInfo (...) (:37)
00000630 2.89471889 [840] <cpssp>0x348:0x3b8:LSAGetCallInfo ProcessId = 3340, ThreadId = 2904, Attributes = 0x00000000, CallCount = 0 (:44)
00000631 2.89479399 [840] <cpssp>0x348:0x3b8:LSAGetCallInfo (...) (:37)
00000632 2.89483833 [840] <cpssp>0x348:0x3b8:LSAGetCallInfo ProcessId = 3340, ThreadId = 2904, Attributes = 0x00000000, CallCount = 0 (:44)
00000633 2.89490628 [840] <cpssp>0x348:0x3b8:SpAcquireCredentialsHandle AcquireCredentialsHandle: 0x80090301 (:562)
00000634 2.89494491 [840] <cpssp>0x348:0x3b8:SpAcquireCredentialsHandle!SecStatus = 0x80090301, CredentialHandle = 0x0000000000000000 (:760)
00000635 2.89525938 [840] <cpssp>0x348:0x3b8:SpAcquireCredentialsHandle (CredentialUseFlags = 0x00000002, AuthorizationData = 0x0000008FC807ABC0, *CredentialHandle = 0x0000000000000000) (:145)
Сделал вариант записи с проблемой и без неё, и при сравнении через Notepad++ (Compare), именно этот блок (выше) попадается на глаза. Видимые отличия от рабочего лога идут после строки Код:00000613 2.89067411 [840] <cpssp>0x348:0x3b8:GetCertFromAuthData credential version SCHANNEL_CRED_VERSION (:122)
Еще там есть вот это, но оно повторяется и в рабочем сценарии, и при ошибке VPN:Код:00000078 0.20499110 [840] <cpssp>0x348:0x3f8:CPInitializeSecurityContextW (c11c) (:2230)
00000079 0.20504279 [840] <cpssp>0x348:0x3f8:ssl3_get_server_hello server sent cipher suite: c02f! (:910)
00000080 0.20507801 [840] <cpssp>0x348:0x3f8:ssl3_get_server_hello client doesn't match cipher suite!
Отредактировано пользователем 13 мая 2020 г. 18:31:56(UTC)
| Причина: спойлер
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,404 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 719 раз в 623 постах
|
А рабочий вариант и нерабочий - это с антивирусом и без? От наличия КриптоПро CSP не зависит?
|
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 31.10.2018(UTC) Сообщений: 14 Откуда: Челябинск Сказал «Спасибо»: 3 раз
|
Ну почему же...можно удалить КриптоПро CSP и VPN будет работать, после перезагрузки ПК. просто тогда не получится записать Debug =) А вот от установленной версии КриптоПро CSP - ничего не зависит. От 4.0R4 до 5.0R2 - результат один. Так же, пробовал отключать и включать Winlogon, cipher-suit'ы и прочее.Отредактировано пользователем 14 мая 2020 г. 2:19:48(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,404 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 719 раз в 623 постах
|
А как тогда получаете лог без проблемы для сравнения? И да, выложите логи целиком пожалуйста. |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
