Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

3 Страницы<123>
Опции
К последнему сообщению К первому непрочитанному
Offline voot  
#11 Оставлено : 3 марта 2017 г. 14:47:44(UTC)
voot

Статус: Участник

Группы: Участники
Зарегистрирован: 17.10.2014(UTC)
Сообщений: 18

Поблагодарили: 1 раз в 1 постах
Дмитрий.

Конфигурацию вы интерпритировали верно.
Мне необходимо организовать туннель с площадкой test.rb-ei.com
И обмениваться запросами с 127.0.0.1:1500 в открытом виде, как если бы я делал это с test.rb-ei.com, но по зашифрованному каналу.

Надеюсь ничего не напутал:
режим stunnel - клиент
сервером в данном случае является площадка test.rb-ei.com

Логи cpstest приводил исключительно в качестве информации, что обмен через туннель идет не такой, как напрямую.
И как это исправить мне пока не понятно.

Браузер (там, где это возможно) отвечает 403 ошибкой, скорее всего по той же самой причине, что и cpstest отвечает "Предоставленный функции токен неправилен"

А в случае с verify = 0 ситуация не меняется.

Что я делаю не так?
Offline Дмитрий Пичулин  
#12 Оставлено : 3 марта 2017 г. 14:56:55(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: voot Перейти к цитате
Что я делаю не так?

В прошлом сообщении вы пытались соединиться с помощью csptest -tlsc к 127.0.0.1:1500, что неверно, так как на 127.0.0.1:1500 находятся обычные открытые данные по http.

Если при заходе браузером на http://127.0.0.1:1500/cpuEnquiry.asp вы получаете 403, это может означать, что stunnel, установив защищённое соединение с test.rb-ei.com и пройдя клиентскую аутентификацию со своим сертификатом "7b 59 3c 36 78 70 c9 6e fb d8 b8 e4 10 04 cc a4 90 c3 16 3d" всё равно не имеет прав доступа к соответствующей странице.

Но сам факт получения страницы с ошибкой 403 говорит о том, что stunnel успешно установил защищённое соединение с test.rb-ei.com и, вероятно, прошёл клиентскую аутентификацию со своим сертификатом "7b 59 3c 36 78 70 c9 6e fb d8 b8 e4 10 04 cc a4 90 c3 16 3d".

Если вы уверены, что у сертификата "7b 59 3c 36 78 70 c9 6e fb d8 b8 e4 10 04 cc a4 90 c3 16 3d" достаточно прав, то лучше посмотреть лог на сервере, так как видимых ошибок нет.

Знания в базе знаний, поддержка в техподдержке
Offline voot  
#13 Оставлено : 3 марта 2017 г. 15:06:36(UTC)
voot

Статус: Участник

Группы: Участники
Зарегистрирован: 17.10.2014(UTC)
Сообщений: 18

Поблагодарили: 1 раз в 1 постах
Цитата:
В прошлом сообщении вы пытались соединиться с помощью csptest -tlsc к 127.0.0.1:1500, что неверно, так как на 127.0.0.1:1500 находятся обычные открытые данные по http.


Да, здесь прокол!
Нельзя тестировать открытый канал с помощью csptest!
Продолжу общение с саппортом площадки.
Спасибо.
Offline voot  
#14 Оставлено : 7 марта 2017 г. 13:46:27(UTC)
voot

Статус: Участник

Группы: Участники
Зарегистрирован: 17.10.2014(UTC)
Сообщений: 18

Поблагодарили: 1 раз в 1 постах
Все оказалось тривиально.

При работе через туннель не забывайте в запросах про заголовок HOST

В моем случае это
HOST: test.rb-ei.com

Дмитрий, еще раз спасибо за помощь в осознании схемы работы c stunnel и иерархии версий.

Тему можно закрыть.

Отредактировано пользователем 7 марта 2017 г. 13:49:50(UTC)  | Причина: Не указана

Offline voot  
#15 Оставлено : 10 июля 2017 г. 17:33:59(UTC)
voot

Статус: Участник

Группы: Участники
Зарегистрирован: 17.10.2014(UTC)
Сообщений: 18

Поблагодарили: 1 раз в 1 постах
Здравствуйте.
Вновь прошу помощи.
Не удается воспроизвести подключение на новой площадке.
Туннель вроде бы устанавливается, но продуктивных ответов (хотя бы 403, например) с "той стороны" получить не удается.
Все время получаю пустой ответ

Не могу понять, что я делаю не так.

Конфиг Stunnel



Лог Stunnel
Offline voot  
#16 Оставлено : 18 июля 2017 г. 18:52:28(UTC)
voot

Статус: Участник

Группы: Участники
Зарегистрирован: 17.10.2014(UTC)
Сообщений: 18

Поблагодарили: 1 раз в 1 постах
Я в тупике.
Не могу понять почему через stunnel не желает подключаться к хосту.
В логе Stunnel не понятна запись
SSL_connect: Peer suddenly disconnected
С какой стати - не понятно.
Более детального лога нет (debug = 7)

Подскажите, как можно диагностировать проблему?

лог stunnel


конфиг stunnel



К слову сказать с тем же набором сертификатов curl из сборки КриптоПро для Linux выдает 403 ошибку.
Техсаппорт площадки утверждает, что проблема в установке доверенного соединения.
Что я делаю не так?

лог обмена curl


Offline voot  
#17 Оставлено : 19 июля 2017 г. 13:27:32(UTC)
voot

Статус: Участник

Группы: Участники
Зарегистрирован: 17.10.2014(UTC)
Сообщений: 18

Поблагодарили: 1 раз в 1 постах
Удивительно, но заработала предыдущая версия
stunnel-5.40-msspi-0.20
На версии stunnel-5.41-msspi-0.22 с теми же настройками не работает.
Может быть кто-то знает почему?
Offline voot  
#18 Оставлено : 19 июля 2017 г. 21:10:22(UTC)
voot

Статус: Участник

Группы: Участники
Зарегистрирован: 17.10.2014(UTC)
Сообщений: 18

Поблагодарили: 1 раз в 1 постах
Возможно сказалась использованная в stunnel-standalone-msspi.exe редакция OpenSSL

для версии 5.40 это openssl-1.0.2k-gost
для версии 5.41 это openssl-1.0.2k-gost-0.9

Поправьте меня, если я ошибаюсь.

Но как в таком случае вычислить правильную версию для подключения для меня пока осталось загадкой.

Пытался опереться на отклик утилиты csptest



Но выхлоп обеих версия stunnel с параметрами -version и -options идентичный

stunnel 5.40


stunnel 5.41


Куда копать, не понятно!
Offline Дмитрий Пичулин  
#19 Оставлено : 31 июля 2017 г. 17:36:02(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: voot Перейти к цитате
Куда копать, не понятно!

То есть, на одной машине с одной конфигурацией две разные версии исполняемого файла дают разный результат, 5.40 вариант работает, а 5.41 нет?

Можете попробовать версию 5.43? https://github.com/deemr.../stunnel-5.43-msspi-0.40

Знания в базе знаний, поддержка в техподдержке
Offline voot  
#20 Оставлено : 1 августа 2017 г. 16:09:56(UTC)
voot

Статус: Участник

Группы: Участники
Зарегистрирован: 17.10.2014(UTC)
Сообщений: 18

Поблагодарили: 1 раз в 1 постах
Цитата:
То есть, на одной машине с одной конфигурацией две разные версии исполняемого файла дают разный результат, 5.40 вариант работает, а 5.41 нет?


Точнее некуда!

Выхлоп версии stunnel 5.43 при запросе через туннель.


На "вплонесебепродуктивный" запрос курлом получаю пустой ответ


В то же время, тот же курл-запрос, с тем же stunnel.conf, на той же машине, но с версией stunnel 5.40 работает нормально.
Выхлоп stunnel 5.40


thanks 1 пользователь поблагодарил voot за этот пост.
pd оставлено 01.08.2017(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
3 Страницы<123>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.