logo
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

4 Страницы«<234
Опции
К последнему сообщению К первому непрочитанному
Offline Дмитрий Пичулин  
#61 Оставлено : 9 апреля 2019 г. 18:52:28(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 793
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 118 раз в 101 постах
Обновление stunnel-msspi: https://github.com/deemr...stunnel-5.52-msspi-0.137

Знания в базе знаний, поддержка в техподдержке
Offline Дмитрий Пичулин  
#62 Оставлено : 11 апреля 2019 г. 11:53:06(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 793
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 118 раз в 101 постах
Обновление stunnel-msspi: https://github.com/deemr...stunnel-5.53-msspi-0.138

Знания в базе знаний, поддержка в техподдержке
Offline dalnet  
#63 Оставлено : 13 мая 2019 г. 13:46:42(UTC)
dalnet

Статус: Новичок

Группы: Участники
Зарегистрирован: 10.04.2019(UTC)
Сообщений: 3
Российская Федерация
Откуда: Серпухов

Добрый день.

Мне нужно организовать защищенный FTP канал под средством КриптоПро с шифрованием по ГОСТ 28147-89 криптоконтейнера, с обязательной валидацией и верификацией с использованием квалифицировнной усиленной ЭП.
Клиент должен заходить туда из интернета и скачивать/закачивать файлы.

Имеется Windows Server 2012.
На нём поднят IIS FTP, проверял, с внешки захожу в указанную папку.

Поставил Крипто CSP 4.ххх
Поставил stunnel той же версии что и КриптоПро.
Сделал сертификат через УЦ КриптоПро.
Конфиг:
output=c:\stunnel\stun.log
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
debug = 7

[ftps]
accept=192.168.20.132:21
connect = 192.168.20.132:21
cert=с:\stunnel\BBS.cer
verify=2

С данным конфигом выдаёт ошибку:
Не удалось запустить службу Stunnel Service на Локальный компьютер.
Ошибка 1067: Процесс был неожиданно завершен.

Если добавляю строчку client = yes после [ftps] то служба запускается без проблем.

Без данной строчки лог:
2019.05.13 13:49:11 LOG5[11348:15632]: stunnel 4.18 on x86-pc-unknown
2019.05.13 13:49:11 LOG5[11348:15632]: Threading:WIN32 Sockets:SELECT,IPv6
2019.05.13 13:49:11 LOG5[11348:15632]: No limit detected for the number of clients
2019.05.13 13:49:11 LOG7[11348:15632]: FD 528 in non-blocking mode
2019.05.13 13:49:11 LOG7[11348:15632]: SO_REUSEADDR option set on accept socket
2019.05.13 13:49:11 LOG7[11348:15632]: ftps bound to 192.168.20.132:21
2019.05.13 13:49:11 LOG7[11348:15632]: open file с:\stunnel\BBS.cer with certificate
2019.05.13 13:49:11 LOG3[11348:15632]: GetFileInformationByHandle failed: 6
2019.05.13 13:49:11 LOG3[11348:15632]: CertCreateCertificateContext failed: 6d
2019.05.13 13:49:11 LOG3[11348:15632]: Error creating credentials

Со строчкой client = yes:
2019.05.13 13:50:50 LOG5[16864:17644]: stunnel 4.18 on x86-pc-unknown
2019.05.13 13:50:50 LOG5[16864:17644]: Threading:WIN32 Sockets:SELECT,IPv6
2019.05.13 13:50:50 LOG5[16864:17644]: No limit detected for the number of clients
2019.05.13 13:50:50 LOG7[16864:17644]: FD 532 in non-blocking mode
2019.05.13 13:50:50 LOG7[16864:17644]: SO_REUSEADDR option set on accept socket
2019.05.13 13:50:50 LOG7[16864:17644]: ftps bound to 192.168.20.132:21


Подскажите что делаю не так??

Отредактировано пользователем 13 мая 2019 г. 13:54:29(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#64 Оставлено : 13 мая 2019 г. 14:07:18(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 793
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 118 раз в 101 постах
Автор: dalnet Перейти к цитате
accept=192.168.20.132:21
connect = 192.168.20.132:21

У вас один и тот же порт и ip-адрес используются для разных целей, это ошибка.

В случае stunnel сервера, сервер принимает защищённое соединение на порту, обычно 443, затем устанавливает соединение с целевой службой, в вашем случае похоже это ip_адрес_сервера_ftp:21.

В случае stunnel клиента, клиент эмулирует целевую службу, в вашем случае похоже 127.0.0.1:21, при этом устанавливает защищённое соединение к серверу stunnel, например ip_адрес_сервера_stunnel:443.
Знания в базе знаний, поддержка в техподдержке
Offline Максим Коллегин  
#65 Оставлено : 13 мая 2019 г. 14:08:05(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 5,470
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 11 раз
Поблагодарили: 516 раз в 468 постах
Файл присутствует и доступен по этому пути с:\stunnel\BBS.cer?
Знания в базе знаний, поддержка в техподдержке
Offline dalnet  
#66 Оставлено : 13 мая 2019 г. 16:19:54(UTC)
dalnet

Статус: Новичок

Группы: Участники
Зарегистрирован: 10.04.2019(UTC)
Сообщений: 3
Российская Федерация
Откуда: Серпухов

Автор: Дмитрий Пичулин Перейти к цитате
Автор: dalnet Перейти к цитате
accept=192.168.20.132:21
connect = 192.168.20.132:21

У вас один и тот же порт и ip-адрес используются для разных целей, это ошибка.

В случае stunnel сервера, сервер принимает защищённое соединение на порту, обычно 443, затем устанавливает соединение с целевой службой, в вашем случае похоже это ip_адрес_сервера_ftp:21.

В случае stunnel клиента, клиент эмулирует целевую службу, в вашем случае похоже 127.0.0.1:21, при этом устанавливает защищённое соединение к серверу stunnel, например ip_адрес_сервера_stunnel:443.


Переделал конфиг:
output=c:\stunnel\stun.log
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
debug = 7

[ftps]
accept=192.168.20.132:443
connect = 192.168.20.140:21
cert=с:\stunnel\BBS.cer
verify=2

Ошибка при запуске 1067 осталась.

В лог файле:
2019.05.13 16:15:07 LOG5[20760:10428]: stunnel 4.18 on x86-pc-unknown
2019.05.13 16:15:07 LOG5[20760:10428]: Threading:WIN32 Sockets:SELECT,IPv6
2019.05.13 16:15:07 LOG5[20760:10428]: No limit detected for the number of clients
2019.05.13 16:15:07 LOG7[20760:10428]: FD 528 in non-blocking mode
2019.05.13 16:15:07 LOG7[20760:10428]: SO_REUSEADDR option set on accept socket
2019.05.13 16:15:07 LOG7[20760:10428]: ftps bound to 192.168.20.132:443
2019.05.13 16:15:07 LOG7[20760:10428]: open file с:\stunnel\BBS.cer with certificate
2019.05.13 16:15:07 LOG3[20760:10428]: GetFileInformationByHandle failed: 6
2019.05.13 16:15:07 LOG3[20760:10428]: CertCreateCertificateContext failed: 6d
2019.05.13 16:15:07 LOG3[20760:10428]: Error creating credentials


Offline dalnet  
#67 Оставлено : 13 мая 2019 г. 16:22:39(UTC)
dalnet

Статус: Новичок

Группы: Участники
Зарегистрирован: 10.04.2019(UTC)
Сообщений: 3
Российская Федерация
Откуда: Серпухов

Автор: Максим Коллегин Перейти к цитате
Файл присутствует и доступен по этому пути с:\stunnel\BBS.cer?


Файл в данном каталоге лежит.

Вот файл сертификата BBS.rar (1kb) загружен 3 раз(а).
Offline Максим Коллегин  
#68 Оставлено : 13 мая 2019 г. 16:45:18(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 5,470
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 11 раз
Поблагодарили: 516 раз в 468 постах
Мне кажется, у вас первая буква в пути русская "С"
Знания в базе знаний, поддержка в техподдержке
Offline two_oceans  
#69 Оставлено : 15 мая 2019 г. 7:42:07(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 304
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 19 раз
Поблагодарили: 77 раз в 74 постах
Кстати, а не может при этом случайно срабатывать трактовка c: как признака, что далее идет имя контейнера?

Если это msspi версия stunnel, то можно вообще от путей отказаться и после cert= указать хэш сертификата.
Online Санчир Момолдаев  
#70 Оставлено : 17 мая 2019 г. 19:54:21(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 5
Российская Федерация

Поблагодарили: 1 раз в 1 постах
Автор: dalnet Перейти к цитате
Добрый день.
Мне нужно организовать защищенный FTP канал под средством КриптоПро с шифрованием по ГОСТ 28147-89 криптоконтейнера, с обязательной валидацией и верификацией с использованием квалифицировнной усиленной ЭП.
Клиент должен заходить туда из интернета и скачивать/закачивать файлы.

дополнительно не забудьте, что по 21 порту идет канал управления, сами данные идут по каналу данных, это либо 20, либо порты указанные в пассивном режиме. как и для NAT так и для stunnel думаю лучше использовать пассивный режим работы ftp
Техническую поддержку оказываем тут
Наша база знаний
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
4 Страницы«<234
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.