Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline rav_70  
#1 Оставлено : 19 февраля 2016 г. 11:45:35(UTC)
rav_70

Статус: Участник

Группы: Участники
Зарегистрирован: 23.04.2015(UTC)
Сообщений: 13
Российская Федерация
Откуда: Moscow

Сказал(а) «Спасибо»: 2 раз
Доброго времени суток!

Подскажите, есть ли возможность подключаться к StoneGate (5.3.11 build 9127.fwr.4-KC1_GOST (Update Package: 440) c КриптоПро 3.6
с помощью стандартного клиента VPN Windows 10 (L2TP/IPsec) + КриптоПро 3.9 + IPsec 1.0.1329 и пользовательского сертификата УЦ

После ввода pin-кода RuToken с сертификатом на StoneGate прилетает:
Цитата:
SA proposal: SA([0] protocol = IKE (1), GOST CFB B key len = 256, HMAC-GR3411-94, GOST XchB, HMAC-GR3411 PRF; [1] protocol = IKE (1), GOST CFB B key len = 128, HMAC-GR3411-94, GOST XchB, HMAC-GR3411 PRF; [2] protocol = IKE (1), GOST CFB B key len = 256, HMAC-GR3411-94, GOST XchB, HMAC-GR3411 PRF; [3] protocol = IKE (1), GOST CFB B, HMAC-GR3411-94, GOST XchB, HMAC-GR3411 PRF; [4] protocol = IKE (1), GOST CFB B, HMAC-GR3411-94, GOST XchB, HMAC-GR3411 PRF; ) GOST draft psk

и в результате:
Цитата:
IKE state Start sa negotiation R: outgoing IKE SA values processing failed: No proposal chosen
Sending error notify: No proposal chosen (Could not find acceptable proposal)
IKEv1 SA error: No proposal chosen: Proposal did not match policy (10800f)

Если использовать VPN клиента Stonesoft на Windows 7, запрос приходит следующий:
Цитата:
IKEv1 SA proposal SA([0] protocol = IKE (1), GOST CBC, HMAC-GR3411-94, 2048 bit MODP, HMAC-GR3411 PRF; ) GOST signatures

И далее все отрабатывает нормально:
Цитата:
IKEv1 SA responder done, Local 10.10.15.17 (ipv4), Remote MAILTO=a.rud@local.ru, C=RU, L=Moscow, O=RAC, OU=DIT, CN=A.Rud (dn), Mobile session: 200003b
IKE Phase-2 IDs sent: ipv4(any:0,[0..3]=172.17.x.y) ipv4_subnet(any:0,[0..7]=172.30.z.0/24)


Дело в том, что StoneSoft продался McAfee, последний VPN-клиент которого (3.9.0.2906) под Windows 10 не работает с КриптоПро 3.9

Offline Дмитрий Пичулин  
#2 Оставлено : 19 февраля 2016 г. 12:12:39(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,296
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 28 раз
Поблагодарили: 272 раз в 231 постах
Судя по логу, в случае VPN клиента Windows вы используете "GOST draft psk", а в случае VPN клиента Stonesoft "GOST signatures". Если на сервере не настроена аутентификация по PSK, то "No proposal chosen" -- корректная реакция.

Встречные испытания с StoneSoft не проводились в полном объёме, поэтому нет гарантий на успех соединения, но нам неизвестны принципиальные тупики в этом направлении.

Если вы хотите воспользоваться сертификатом в качестве аутентификации в IPsec, то лучше всего ознакомиться с руководством администратора безопасности нашего продукта. Все критерии сертификата легко проверить утилитой cp_ipsec_info.exe, например, сейчас уже очевидно, что вы не установили сертификат в локальное хранилище компьютера.



Знания в базе знаний, поддержка в техподдержке
Offline rav_70  
#3 Оставлено : 19 февраля 2016 г. 13:43:55(UTC)
rav_70

Статус: Участник

Группы: Участники
Зарегистрирован: 23.04.2015(UTC)
Сообщений: 13
Российская Федерация
Откуда: Moscow

Сказал(а) «Спасибо»: 2 раз
А что означает самое первое сообщение от VPN-клиента Win10

No rule found for IKE peers 10.10.15.17 and 192.168.254.223: Proposal did not match policy

перед "SA proposal"

Политику IP-безопасности я поправил в соответствии с "Руководством администратора безопасности".
Сертификат установил в личные компьютера, cp_ipsec_info.exe в "сертификатах IKE" его находит
Offline Дмитрий Пичулин  
#4 Оставлено : 19 февраля 2016 г. 13:50:20(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,296
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 28 раз
Поблагодарили: 272 раз в 231 постах
Автор: rav_70 Перейти к цитате
Политику IP-безопасности я поправил в соответствии с "Руководством администратора безопасности".
Сертификат установил в личные компьютера, cp_ipsec_info.exe в "сертификатах IKE" его находит

Если после этого в логе сервера то, что вы прислали выше, вряд ли удастся продвинуться.

Пришлите дамп трафика установки соединения Windows и StoneSoft VPN, скажем точно.

Знания в базе знаний, поддержка в техподдержке
Offline rav_70  
#5 Оставлено : 19 февраля 2016 г. 14:58:53(UTC)
rav_70

Статус: Участник

Группы: Участники
Зарегистрирован: 23.04.2015(UTC)
Сообщений: 13
Российская Федерация
Откуда: Moscow

Сказал(а) «Спасибо»: 2 раз
Dumps.rar (811kb) загружен 5 раз(а).
Вот
Offline Дмитрий Пичулин  
#6 Оставлено : 19 февраля 2016 г. 15:06:19(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,296
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 28 раз
Поблагодарили: 272 раз в 231 постах
Автор: rav_70 Перейти к цитате
cp_ipsec_info.exe в "сертификатах IKE" его находит

"Находит" не значит "будет использоваться", в присланном архиве есть изображение, где напротив KP_CERTIFICATE (KeyParam) не стоит галочка.

Вот так выглядит успешно прошедший проверку сертификат, на него ставится галочка:

2016-02-19 15-02-38 ipsec-x64-w81 on esx-alpha.cp.ru.png (92kb) загружен 273 раз(а).

Знания в базе знаний, поддержка в техподдержке
Offline rav_70  
#7 Оставлено : 19 февраля 2016 г. 16:41:08(UTC)
rav_70

Статус: Участник

Группы: Участники
Зарегистрирован: 23.04.2015(UTC)
Сообщений: 13
Российская Федерация
Откуда: Moscow

Сказал(а) «Спасибо»: 2 раз
Подскажите, а что не так с сертификатом? Там лишнего ничего не должно быть?
cert-keys.rar (56kb) загружен 7 раз(а).
crl обязательно должен видеть?
Offline Дмитрий Пичулин  
#8 Оставлено : 19 февраля 2016 г. 21:55:44(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,296
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 28 раз
Поблагодарили: 272 раз в 231 постах
Автор: rav_70 Перейти к цитате
Подскажите, а что не так с сертификатом?

Уже подсказано, что "напротив KP_CERTIFICATE (KeyParam) не стоит галочка", в переводе с технического, это означает, что в контейнере закрытого ключа отсутствует сертификат.

В этом легко убедиться в оснастке КриптоПро CSP > Сервис > Просмотреть сертификаты в контейнере...

Знания в базе знаний, поддержка в техподдержке
Offline rav_70  
#9 Оставлено : 20 февраля 2016 г. 10:32:17(UTC)
rav_70

Статус: Участник

Группы: Участники
Зарегистрирован: 23.04.2015(UTC)
Сообщений: 13
Российская Федерация
Откуда: Moscow

Сказал(а) «Спасибо»: 2 раз
Спасибо за перевод с Вашего технического наречия )).
Установил сертификат правильно. Пароль на контейнер сохранен.

Теперь запрос выглядит так...
Цитата:
SA proposal: SA([0] protocol = IKE (1), GOST CFB B key len = 256, HMAC-GR3411-94, GOST XchB, HMAC-GR3411 PRF; [1] protocol = IKE (1), GOST CFB B key len = 128, HMAC-GR3411-94, GOST XchB, HMAC-GR3411 PRF; [2] protocol = IKE (1), GOST CFB B key len = 256, HMAC-GR3411-94, GOST XchB, HMAC-GR3411 PRF; [3] protocol = IKE (1), GOST CFB B, HMAC-GR3411-94, GOST XchB, HMAC-GR3411 PRF; [4] protocol = IKE (1), GOST CFB B, HMAC-GR3411-94, GOST XchB, HMAC-GR3411 PRF; ) GOST draft signatures


Меня смущает первое сообщение от клиента:
Цитата:
No rule found for IKE peers 10.10.15.17 and 192.168.254.223: Proposal did not match policy


Это он про политику IP-безопасности? Я там прописал конечную точку туннеля...

Во вложении дампы Dumps.rar (8kb) загружен 2 раз(а).
Offline Дмитрий Пичулин  
#10 Оставлено : 20 февраля 2016 г. 10:47:46(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,296
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 28 раз
Поблагодарили: 272 раз в 231 постах
Автор: rav_70 Перейти к цитате
Это он про политику IP-безопасности? Я там прописал конечную точку туннеля...

Если совершаете VPN звонок (L2TP/IPsec), нет необходимости настраивать политику IP-безопасности, даже лучше отключить на время тестирования.

С помощью утилиты cp_ipsec_info.exe выполните: Настройка параметров > Восстановить значения по умолчанию

Если после этого не продвинетесь -- пришлите дамп успешного соединения StoneSoft со StoneSoft.

Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.