Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
9 Страницы«<6789>
stunnel
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline NKO SEC  
#71 Оставлено : 21 июня 2019 г. 9:58:21(UTC)
NKO SEC

Статус: Новичок

Группы: Участники
Зарегистрирован: 20.06.2019(UTC)
Сообщений: 4
Российская Федерация
Добрый день!

Пытаюсь построить туннель до ФинЦЕРТ ЦБ.
Насколько я понимаю, сам туннель строится, однако на любой запрос получаю ошибку "421 Misdirected Request".

Ответ от stunnel:
Код:
<html>
    <head>
        <title>421 Misdirected Request</title>
    </head>
    <body bgcolor="white">
        <center>
            <h1>421 Misdirected Request</h1>
        </center>
    </body>
</html>


Конфиг:
Код:
pid=/opt/cprocsp/tmp/stunnel_cli.pid
output=/opt/cprocsp/tmp/stunnel_cli.log
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
debug = 7
foreground = yes

[https]
client = yes
accept = 0.0.0.0:8080
connect = zoe-lk.fincert.cbr.ru:443
verify = 1


Логи:


Не подскажете в чем может быть дело?
Судя по логам, сертификаты получаются, Handshake проходит (в том числе с verify = 2), т.е. с удаленным хостом все ок.

Отредактировано пользователем 21 июня 2019 г. 9:59:43(UTC)  | Причина: Не указана
Вверх
Offline Санчир Момолдаев  
#72 Оставлено : 21 июня 2019 г. 10:39:09(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 1,223
Российская Федерация

Сказал(а) «Спасибо»: 101 раз
Поблагодарили: 290 раз в 270 постах
Автор: NKO SEC Перейти к цитате
Добрый день!

Пытаюсь построить туннель до ФинЦЕРТ ЦБ.
Насколько я понимаю, сам туннель строится, однако на любой запрос получаю ошибку "421 Misdirected Request".

Не подскажете в чем может быть дело?
Судя по логам, сертификаты получаются, Handshake проходит (в том числе с verify = 2), т.е. с удаленным хостом все ок.


да handshake проходит успешно. посмотрите дамп сетевых пакетов на наличие пакетов уходящих в никуда https://httpstatuses.com/421
Техническую поддержку оказываем тут
Наша база знаний
Вверх
Offline NKO SEC  
#73 Оставлено : 21 июня 2019 г. 12:37:37(UTC)
NKO SEC

Статус: Новичок

Группы: Участники
Зарегистрирован: 20.06.2019(UTC)
Сообщений: 4
Российская Федерация
Автор: Санчир Момолдаев Перейти к цитате
Автор: NKO SEC Перейти к цитате
Добрый день!

Пытаюсь построить туннель до ФинЦЕРТ ЦБ.
Насколько я понимаю, сам туннель строится, однако на любой запрос получаю ошибку "421 Misdirected Request".

Не подскажете в чем может быть дело?
Судя по логам, сертификаты получаются, Handshake проходит (в том числе с verify = 2), т.е. с удаленным хостом все ок.


да handshake проходит успешно. посмотрите дамп сетевых пакетов на наличие пакетов уходящих в никуда https://httpstatuses.com/421


Проверил.
1. клиент -> stunnel:
Пакетов с некорректным src/dest нет, вижу запрос, ответ.
2. stunnel -> целевой хост:
Пакетов с некорректным src/dest нет, вижу успешный handshake, затем Encrypted Application Data.
Вверх
Offline Санчир Момолдаев  
#74 Оставлено : 21 июня 2019 г. 12:50:17(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 1,223
Российская Федерация

Сказал(а) «Спасибо»: 101 раз
Поблагодарили: 290 раз в 270 постах
Автор: NKO SEC Перейти к цитате
Автор: Санчир Момолдаев Перейти к цитате
Автор: NKO SEC Перейти к цитате
Добрый день!

Пытаюсь построить туннель до ФинЦЕРТ ЦБ.
Насколько я понимаю, сам туннель строится, однако на любой запрос получаю ошибку "421 Misdirected Request".

Не подскажете в чем может быть дело?
Судя по логам, сертификаты получаются, Handshake проходит (в том числе с verify = 2), т.е. с удаленным хостом все ок.


да handshake проходит успешно. посмотрите дамп сетевых пакетов на наличие пакетов уходящих в никуда https://httpstatuses.com/421


Проверил.
1. клиент -> stunnel:
Пакетов с некорректным src/dest нет, вижу запрос, ответ.
2. stunnel -> целевой хост:
Пакетов с некорректным src/dest нет, вижу успешный handshake, затем Encrypted Application Data.

ну получается с нашей стороны ошибок нет. надо разбираться с вызовами. но это вопрос не к нам
Техническую поддержку оказываем тут
Наша база знаний
Вверх
Offline NKO SEC  
#75 Оставлено : 21 июня 2019 г. 15:30:39(UTC)
NKO SEC

Статус: Новичок

Группы: Участники
Зарегистрирован: 20.06.2019(UTC)
Сообщений: 4
Российская Федерация
Автор: Санчир Момолдаев Перейти к цитате
Автор: NKO SEC Перейти к цитате
Автор: Санчир Момолдаев Перейти к цитате
Автор: NKO SEC Перейти к цитате
Добрый день!

Пытаюсь построить туннель до ФинЦЕРТ ЦБ.
Насколько я понимаю, сам туннель строится, однако на любой запрос получаю ошибку "421 Misdirected Request".

Не подскажете в чем может быть дело?
Судя по логам, сертификаты получаются, Handshake проходит (в том числе с verify = 2), т.е. с удаленным хостом все ок.


да handshake проходит успешно. посмотрите дамп сетевых пакетов на наличие пакетов уходящих в никуда https://httpstatuses.com/421


Проверил.
1. клиент -> stunnel:
Пакетов с некорректным src/dest нет, вижу запрос, ответ.
2. stunnel -> целевой хост:
Пакетов с некорректным src/dest нет, вижу успешный handshake, затем Encrypted Application Data.

ну получается с нашей стороны ошибок нет. надо разбираться с вызовами. но это вопрос не к нам


Да вызов обычный GET /
Если попробовать напрямую, без stunnel в браузере, то все ок. А вот через stunnel не получается.
При этом, проверил сейчас на других ресурсах (например https://www.cryptopro.ru:4444/test/tls-cli.asp) все ок, stunnel работает как надо.
Т.е. проблема, видимо, на порталах ЦБ.

Попробуйте у себя построить туннель до https://zoe-lk.fincert.cbr.ru/login
Вверх
Offline Дмитрий Пичулин  
#76 Оставлено : 21 июня 2019 г. 19:31:42(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,540
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 502 раз в 356 постах
Автор: NKO SEC Перейти к цитате
Попробуйте у себя построить туннель до https://zoe-lk.fincert.cbr.ru/login

Зачем?

Самая распространённая ошибка при использовании stunnel и http, это обращение в GET запросе к адресу stunnel вместо обращения к целевому адресу.

Целевой адрес, бывает, не понимает такого запроса, так как в нём отсутствует корректный host.

Ваш GET запрос, с большой вероятностью должен содержать host равный zoe-lk.fincert.cbr.ru.

Для решения этой задачи, как правило, на машине, где работает ваше приложение, в /etc/hosts прописывается, что IP-адрес, где работает stunnel, это целевой хост.

После этого приложение обращается к zoe-lk.fincert.cbr.ru, но попадает в stunnel, который уже устанавливает соединение с настоящим zoe-lk.fincert.cbr.ru по защищённому каналу.



Знания в базе знаний, поддержка в техподдержке
Вверх
WWW
Offline NKO SEC  
#77 Оставлено : 24 июня 2019 г. 12:16:49(UTC)
NKO SEC

Статус: Новичок

Группы: Участники
Зарегистрирован: 20.06.2019(UTC)
Сообщений: 4
Российская Федерация
Автор: Дмитрий Пичулин Перейти к цитате
Автор: NKO SEC Перейти к цитате
Попробуйте у себя построить туннель до https://zoe-lk.fincert.cbr.ru/login

Зачем?

Самая распространённая ошибка при использовании stunnel и http, это обращение в GET запросе к адресу stunnel вместо обращения к целевому адресу.

Целевой адрес, бывает, не понимает такого запроса, так как в нём отсутствует корректный host.

Ваш GET запрос, с большой вероятностью должен содержать host равный zoe-lk.fincert.cbr.ru.

Для решения этой задачи, как правило, на машине, где работает ваше приложение, в /etc/hosts прописывается, что IP-адрес, где работает stunnel, это целевой хост.

После этого приложение обращается к zoe-lk.fincert.cbr.ru, но попадает в stunnel, который уже устанавливает соединение с настоящим zoe-lk.fincert.cbr.ru по защищённому каналу.





Проблема, действительно, оказалась в этом. Спасибо!
Вверх
Offline Дмитрий Пичулин  
#78 Оставлено : 26 июля 2019 г. 17:53:35(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,540
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 502 раз в 356 постах
Обновление stunnel-msspi: https://github.com/deemr...stunnel-5.55-msspi-0.144

Знания в базе знаний, поддержка в техподдержке
Вверх
WWW
Offline expdts  
#79 Оставлено : 24 февраля 2021 г. 7:58:52(UTC)
expdts

Статус: Активный участник

Группы: Участники
Зарегистрирован: 19.02.2012(UTC)
Сообщений: 121
Мужчина
Российская Федерация

Сказал «Спасибо»: 2 раз
Поблагодарили: 2 раз в 2 постах
Подскажите, как задать имя службы при установке на Windows?
Вверх
Offline pd  
#80 Оставлено : 24 февраля 2021 г. 13:17:36(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,540
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 502 раз в 356 постах
Автор: J. Перейти к цитате
Подскажите, как задать имя службы при установке на Windows?

При штатной установке, имена зашиты в код: https://github.com/Crypt...src/ui_win_gui.c#L57-L58

Создавать службы на Windows можно и другими способами: https://stackoverflow.co...-service-from-executable
Знания в базе знаний, поддержка в техподдержке
Вверх
WWW
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
9 Страницы«<6789>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2025, Yet Another Forum.NET