Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

12 Страницы«<678910>»
Опции
К последнему сообщению К первому непрочитанному
Offline bumblebee  
#71 Оставлено : 8 ноября 2011 г. 1:13:40(UTC)
bumblebee

Статус: Участник

Группы: Участники
Зарегистрирован: 06.11.2011(UTC)
Сообщений: 10

пробовал --- не выходит(шаблон GOST_IPSEC не отображается, права на шаблон настроил --- "всем" поставил полный доступ). НО если создать копию шаблона IPSEC(Автономный запрос), то она (IPSEC_GOST-AVTONOM) отображается. Можно ли вместо копии шаблона IPSEC использовать копию шаблона IPSEC(автономный запрос)??ведь настройки в шаблонах идентичные..
Offline rozhkov  
#72 Оставлено : 8 ноября 2011 г. 13:33:36(UTC)
rozhkov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.01.2011(UTC)
Сообщений: 589
Откуда: Крипто-Про

Да, можете.
Offline bumblebee  
#73 Оставлено : 9 ноября 2011 г. 0:22:59(UTC)
bumblebee

Статус: Участник

Группы: Участники
Зарегистрирован: 06.11.2011(UTC)
Сообщений: 10

Хорошо, с сертификатами разобрались..Теперь проблема с установлением соединения. Ситуация следующая -- на сервере в хранилище компьютера лежит сертификат, выпущенный по шаблону IPSEC_GOST_AVTONOM и сертификат проверки подлинности сервера. Поле CN в обоих совпадает с именем ПК.
На клиентской машине в хранилище ПК лежит сертификат, выпущенный по тому же шаблону IPSEC_GOST_AVTONOM. CN = имя ПК. В хранилище пользователя лежит сертификат проверки подлинности клиента с CN = доменное имя пользователя (вход в систему выполнен НЕ с этой учетной записи). На это имя пользователя на сервере зарегистрирована учетная запись с правами дозвона. На сервере поднят RRAS.
На клиенте создал подключение, поставил там L2TP IPSec VPN, проверку подлинности оставил только MS_CHAPv2, как на картинке в документации и при запуске получаю сообщение "Ошибка 786: Попытка L2TP-подключения не удалась, поскольку отсутствует допустимый сертификат на вашем компьютере для проверки подлинности".
Если ставить PPTP, то соединение устанавливается и все норм.
потом я выпустил сертификат с CN = имя пользов@шмя домена и при соединении получаю уже следующее: "Ошибка 789 Попытка подключения не удалась из-за ошибки, произошедшей на уровне безопасности во время согласования с удаленным компьютером"
и опять же с ППТП все проходит! я так понимаю что-то с сертификатами не так?
что можно сделать?? как все таки уже поднять L2TP\IPSec соединение?
Offline rozhkov  
#74 Оставлено : 9 ноября 2011 г. 14:24:59(UTC)
rozhkov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.01.2011(UTC)
Сообщений: 589
Откуда: Крипто-Про

В сертификате IPSec на сервере в поле дополнительное имя укажите IP-адрес, т.к. заметил такое, что если в нем указано DNS-имя, то соединение не устанавливается, такая же проблема при моделелировании и на RSA оказалась, или для начала просто поставьте галочку "Не проверять сертификат сервера"
Если соединение не установится, то включите "Аудит входа в систему" - Успех/Отказ на сервере и анализируйте на нем журнал "Безопасность".
Offline bumblebee  
#75 Оставлено : 10 ноября 2011 г. 3:17:05(UTC)
bumblebee

Статус: Участник

Группы: Участники
Зарегистрирован: 06.11.2011(UTC)
Сообщений: 10

Так, поставил на клиента метод проверки подлинности EAP по сертификату и убрал там галку проверка подлинности сервера --- в итоге на клиенте ошибка "Локальный компьютер не поддерживает требуемый тип шифрования данных", а на сервере в журнале системы "Произошла ошибка в модуле протокола точка-точка (PPP), Порт: VPN3-127, Имя пользователя: "Igor@company.local" Удаленный компьютер не поддерживает требуемый тип шифрования данных.". Поставил обратно MS_CHAPv2 --- ошибки аналогичные
Кстати, нужно ли в ветви реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentContolSet\Services\RasMan\Parameters создавать параметр ProhibitIpSec равный 1??
щас перевыпущу сертификат и попробую с новым...
Offline bumblebee  
#76 Оставлено : 10 ноября 2011 г. 4:31:53(UTC)
bumblebee

Статус: Участник

Группы: Участники
Зарегистрирован: 06.11.2011(UTC)
Сообщений: 10

перевыпустил сертификат с IP-адресом вместо DNS-имени --- ничего не изменилось --- те же ощибки про неподдерживаемый тип шифрования данных.
Тут на форуме как то выкладывался стенд в виде 2-х виртуальных машин VMware --- может можно еще разок выложить??
или на почту прислать medicopter117a@mail.ru??может тогда ясно станет в чем беда..
Offline rozhkov  
#77 Оставлено : 10 ноября 2011 г. 14:10:36(UTC)
rozhkov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.01.2011(UTC)
Сообщений: 589
Откуда: Крипто-Про

1. PPTP работает?
2. Если работает то попробуйте L2TP по PSK, работать будет или нет?
3. Сертификат проверки подлинности сервера на RRAS имеется или нет?
4. Для пользователя разрешен дозвон что бы он мог по IPSec подключаться?
5. На сервере аудит включен?
6. Какие записи на сервере в журнале безопасность при включенном аудите?
7. Какие версии CSP и IPSec на сервере и клиенте?
Offline bumblebee  
#78 Оставлено : 10 ноября 2011 г. 22:06:32(UTC)
bumblebee

Статус: Участник

Группы: Участники
Зарегистрирован: 06.11.2011(UTC)
Сообщений: 10

1) PPTP работает
2) Щас попробую
3) Если Вы имеете ввиду наличие сертификата в политике удаленного доступа (методы EAP), то имеется.
4) Разрешение на удаленный доступ у пользователя есть
5) Включен
6) Касательно RRAS никаких, записи идут в журнал система
7) сервер и клиент : CSP 3.6.64.97, ipsec 1.0.0560

Все таки хотелось бы услышать ответ по поводу параметра реестра ProhibitIpSec --- gпросто если с ним, то ошибка "локал ПК не поддерживает данный тип шифрования", если без него то ошибка "Отсутствует допустимый сертификат проверки подлинности клиента"
Offline rozhkov  
#79 Оставлено : 10 ноября 2011 г. 22:23:34(UTC)
rozhkov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.01.2011(UTC)
Сообщений: 589
Откуда: Крипто-Про

bumblebee написал:
6) Касательно RRAS никаких, записи идут в журнал система

Там будут попытки подключения пользователя, если не получилось то будет написано, например, не прошел проверку подлинности.

bumblebee написал:
Все таки хотелось бы услышать ответ по поводу параметра реестра ProhibitIpSec --- gпросто если с ним, то ошибка "локал ПК не поддерживает данный тип шифрования", если без него то ошибка "Отсутствует допустимый сертификат проверки подлинности клиента"

Нет.
Offline bumblebee  
#80 Оставлено : 12 ноября 2011 г. 23:30:15(UTC)
bumblebee

Статус: Участник

Группы: Участники
Зарегистрирован: 06.11.2011(UTC)
Сообщений: 10

Поубирал лишние сертификаты из хранилища и убрал параметр ProhibitIpSec и заработало!!и MS_CHAPv2 и EAP!
Только в параметрах подключения пишет что шифрование - ESP-DES-56..тут вроде говорилось что так и должно быть --- это до сих пор справедливо?

Отредактировано пользователем 12 ноября 2011 г. 23:31:18(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
12 Страницы«<678910>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.