Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline Hisoka  
#1 Оставлено : 8 апреля 2020 г. 17:34:57(UTC)
Hisoka

Статус: Новичок

Группы: Участники
Зарегистрирован: 07.09.2018(UTC)
Сообщений: 4
Российская Федерация

День добрый знатоки.
Имеется ноут с win10
В связи с переходом на удалёнку, настроили впн на работе. Стояла крипта csp 4.0.9944.
Почему-то не запускался впн - ругался что не может увидить серт, который был успешно установлен.
Стоило удалить крипту, как после ребута впн запустился. Пробовал c 5 версией программы - тоже самое.


Вопрос, почему криптопро блочит впн?

Отредактировано пользователем 8 апреля 2020 г. 17:37:05(UTC)  | Причина: Не указана

Offline Михаил Селезнёв  
#2 Оставлено : 20 апреля 2020 г. 17:06:28(UTC)
Михаил Селезнёв

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 05.04.2017(UTC)
Сообщений: 190
Мужчина
Российская Федерация

Сказал «Спасибо»: 1 раз
Поблагодарили: 21 раз в 21 постах
Добрый день!
Прошу создать обращение на портале технической поддержки: https://support.cryptopro.ru/
Offline SnakeFizer  
#3 Оставлено : 30 апреля 2020 г. 13:23:42(UTC)
SnakeFizer

Статус: Участник

Группы: Участники
Зарегистрирован: 31.10.2018(UTC)
Сообщений: 13
Мужчина
Российская Федерация
Откуда: Челябинск

Сказал «Спасибо»: 3 раз
Автор: Hisoka Перейти к цитате
День добрый знатоки.
Имеется ноут с win10
В связи с переходом на удалёнку, настроили впн на работе. Стояла крипта csp 4.0.9944.
Почему-то не запускался впн - ругался что не может увидить серт, который был успешно установлен.
Стоило удалить крипту, как после ребута впн запустился. Пробовал c 5 версией программы - тоже самое.


Вопрос, почему криптопро блочит впн?
Подскажите, было ли найдено решение для данной проблемы?

Установлено у нас Win10 x64 1909+, CPCSP 4.0R4 KC1. VPN перестал работать.
Если удалить КриптоПРО CSP, то после перезагрузки всё работает.
Offline Hisoka  
#4 Оставлено : 30 апреля 2020 г. 13:43:14(UTC)
Hisoka

Статус: Новичок

Группы: Участники
Зарегистрирован: 07.09.2018(UTC)
Сообщений: 4
Российская Федерация

Цитата:
Подскажите, было ли найдено решение для данной проблемы?

К сожалению пока решение только удаление крипты.

Переписываюсь с техподдержкой...пока никаких результатов
Offline Максим Коллегин  
#5 Оставлено : 1 мая 2020 г. 14:36:25(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 5,917
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 17 раз
Поблагодарили: 579 раз в 520 постах
Последнюю версия 4.0.9974 пробовали?
Знания в базе знаний, поддержка в техподдержке
Offline SnakeFizer  
#6 Оставлено : 6 мая 2020 г. 13:49:20(UTC)
SnakeFizer

Статус: Участник

Группы: Участники
Зарегистрирован: 31.10.2018(UTC)
Сообщений: 13
Мужчина
Российская Федерация
Откуда: Челябинск

Сказал «Спасибо»: 3 раз
Автор: Максим Коллегин Перейти к цитате
Последнюю версия 4.0.9974 пробовали?

Нет, но пробовали 5.0.11455, т.к. сертифицирована.
Offline Максим Коллегин  
#7 Оставлено : 6 мая 2020 г. 13:52:02(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 5,917
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 17 раз
Поблагодарили: 579 раз в 520 постах
Тогда попробуйте последнюю 5.0.
Знания в базе знаний, поддержка в техподдержке
Offline SnakeFizer  
#8 Оставлено : 6 мая 2020 г. 15:03:10(UTC)
SnakeFizer

Статус: Участник

Группы: Участники
Зарегистрирован: 31.10.2018(UTC)
Сообщений: 13
Мужчина
Российская Федерация
Откуда: Челябинск

Сказал «Спасибо»: 3 раз
Сейчас попробуем.
UPD: Установили, перезагрузились. Результат прежний.

Вообще ошибка вот: UserPostedImage

А в событиях такое:
Код:
CoId={74948824-8529-43BD-B792-766728C03C59}: The user DOMAIN\USERNAME has started dialing a VPN connection using a per-user connection profile named Corporate VPN Automatic. The connection settings are: 
Dial-in User = 
VpnStrategy = SSTP
DataEncryption = Require
PrerequisiteEntry = 
AutoLogon = No
UseRasCredentials = Yes
Authentication Type = EAP <Microsoft: защищенные EAP (PEAP)>
Ipv4DefaultGateway = No
Ipv4AddressAssignment = By Server
Ipv4DNSServerAssignment = By Server
Ipv6DefaultGateway = No
Ipv6AddressAssignment = By Server
Ipv6DNSServerAssignment = By Server
IpDnsFlags = Register primary domain suffix
IpNBTEnabled = Yes
UseFlags = Private Connection
ConnectOnWinlogon = No.

CoId={74948824-8529-43BD-B792-766728C03C59}: The link to the Remote Access Server has been established by user DOMAIN\USERNAME.
ERROR
CoId={74948824-8529-43BD-B792-766728C03C59}: The user DOMAIN\USERNAME dialed a connection named Corporate VPN Automatic which has failed. The error code returned on failure is 853.
CoId={74948824-8529-43BD-B792-766728C03C59}: The user DOMAIN\USERNAME dialed a connection named Corporate VPN Automatic which has terminated. The reason code returned on termination is 631.
Сетевики говорят, что соединение устанавливается, но затем идет обрыв. И Handshake по TLS1.2 не проходит.

Так же, попробовали обновиться до последнего "кольца" и поставить WU KB4550945, которое якобы исправляет некоторые проблемы с CSP. Результата нет.


UPD: Судя по всему, раз уж TLS1.2, то скорее всего Антивирус. Проверим.

Отредактировано пользователем 6 мая 2020 г. 15:29:15(UTC)  | Причина: Не указана

Offline Максим Коллегин  
#9 Оставлено : 6 мая 2020 г. 15:40:03(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 5,917
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 17 раз
Поблагодарили: 579 раз в 520 постах
Попробуйте запустить dbgview и, включив логинг для всех пользователей, прислать лог.
Знания в базе знаний, поддержка в техподдержке
Offline SnakeFizer  
#10 Оставлено : 6 мая 2020 г. 16:42:52(UTC)
SnakeFizer

Статус: Участник

Группы: Участники
Зарегистрирован: 31.10.2018(UTC)
Сообщений: 13
Мужчина
Российская Федерация
Откуда: Челябинск

Сказал «Спасибо»: 3 раз
Автор: Максим Коллегин Перейти к цитате
Попробуйте запустить dbgview и, включив логинг для всех пользователей, прислать лог.
Несовсем ясно как это сделать.
Включал вот это:
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Cryptography\CurrentVersion\Debug
cpcsp=0x01000000
Но нигде не нашел в журнале каких-либо сообщений.


У нас есть предварительное подтверждение, что причина - антивирусное ПО ("Palo Alto "Cortex XDR"). После его удаления, VPN работает. Даже без перезагрузки машины.
Ранее были проблемы совместимости по TLS.

Отредактировано пользователем 6 мая 2020 г. 16:44:20(UTC)  | Причина: Не указана

Offline Максим Коллегин  
#11 Оставлено : 6 мая 2020 г. 16:44:19(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 5,917
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 17 раз
Поблагодарили: 579 раз в 520 постах
С Palo Alto проблемы кажется были, да.
Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил Максим Коллегин за этот пост.
SnakeFizer оставлено 06.05.2020(UTC)
Offline Hisoka  
#12 Оставлено : 8 мая 2020 г. 9:03:25(UTC)
Hisoka

Статус: Новичок

Группы: Участники
Зарегистрирован: 07.09.2018(UTC)
Сообщений: 4
Российская Федерация

У моих пользователей проблема решилась так:
поставил эту версию: https://www.cryptopro.ru...csp/40/9974/CSPSetup.exe - ребутнулся
запустил КриптоПро CSP от администратора, затем поставил галку напротив "отключить КриптоПро Winlogon" на вкладке "Winlogon" и снова ребут

после этого впн заработал на всех проблемных машинах
Offline кент666111  
#13 Оставлено : 8 мая 2020 г. 23:48:10(UTC)
кент666111

Статус: Новичок

Группы: Участники
Зарегистрирован: 04.05.2020(UTC)
Сообщений: 6
Российская Федерация
Откуда: Москва

Автор: SnakeFizer Перейти к цитате
Автор: Максим Коллегин Перейти к цитате
Попробуйте запустить dbgview и, включив логинг для всех пользователей, прислать лог.
Несовсем ясно как это сделать.
Включал вот это:
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Cryptography\CurrentVersion\Debug
cpcsp=0x01000000
Но нигде не нашел в журнале каких-либо сообщений.


У нас есть предварительное подтверждение, что причина - антивирусное ПО ("Palo Alto "Cortex XDR"). После его удаления, VPN работает. Даже без перезагрузки машины.
Ранее были проблемы совместимости по TLS.


А какие именно? Та же проблема с Forti client.
Offline Максим Коллегин  
#14 Оставлено : 9 мая 2020 г. 6:16:51(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 5,917
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 17 раз
Поблагодарили: 579 раз в 520 постах
Для VPN используется Смарт-карта?
Знания в базе знаний, поддержка в техподдержке
Offline SnakeFizer  
#15 Оставлено : 13 мая 2020 г. 1:54:37(UTC)
SnakeFizer

Статус: Участник

Группы: Участники
Зарегистрирован: 31.10.2018(UTC)
Сообщений: 13
Мужчина
Российская Федерация
Откуда: Челябинск

Сказал «Спасибо»: 3 раз
Автор: Hisoka Перейти к цитате
У моих пользователей проблема решилась так:
поставил эту версию: https://www.cryptopro.ru...csp/40/9974/CSPSetup.exe - ребутнулся
запустил КриптоПро CSP от администратора, затем поставил галку напротив "отключить КриптоПро Winlogon" на вкладке "Winlogon" и снова ребут

после этого впн заработал на всех проблемных машинах
Может кому-то и поможет.
У нас КриптоПро CSP запакетирована и развертывается через SCCM. При установке используются доп.аргументы msi: "REGREGISTRY=0 NOWL=1 REGRUTOKEN=1 REGETOKEN=1 REGGTOKEN=1 INSTALLCPCERT=1", так что Winlogon у нас отключен "из коробки". :(


Автор: кент666111 Перейти к цитате
Автор: SnakeFizer Перейти к цитате
У нас есть предварительное подтверждение, что причина - антивирусное ПО ("Palo Alto "Cortex XDR"). После его удаления, VPN работает. Даже без перезагрузки машины.
Ранее были проблемы совместимости по TLS.
А какие именно? Та же проблема с Forti client.
Не открывались сайты, использующие ГОСТ :)
UserPostedImage
Например:
Для того, чтобы всё заработало, потребовалась тонкая настройка модулей антивируса: 'Browser Exploits Protection' and 'Operating System Exploit Protection'


Автор: Максим Коллегин Перейти к цитате
Для VPN используется Смарт-карта?
Если посмотреть через rasphone.exe, то тип подключения SSTP.
Тип авторизации: Microsoft Protected EAP (PEAP) (encryption enabled)
Метод авторизации: Smart-card or other certificate (указаны доверенные корневые УЦ).
UserPostedImage


Общаемся с разработчиком ПО Palo Alto Cortex XDR. Причину до сих пор не установили. В логах, как в системных, так и в клиенте антивируса - ничего конкретного. На стороне VPN-сервера такое ощущение, что клиенты вовсе не подключались, хотя в Событиях четко указывается что соединение устанавливается успешно и сбрасывается.

Максим Коллегин Offline , не подскажете, как включить полное логирование\дебаг у КриптоПро CSP 4.0R4? И куда потом именно смотреть? Или ссылку на информацию. Был бы очень признателен. Может так удастся отловить что происходит в момент попытки подключения VPN.

Отредактировано пользователем 13 мая 2020 г. 2:17:12(UTC)  | Причина: дополнение

Offline Максим Коллегин  
#16 Оставлено : 13 мая 2020 г. 7:43:40(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 5,917
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 17 раз
Поблагодарили: 579 раз в 520 постах
Автор: SnakeFizer Перейти к цитате
как включить полное логирование\дебаг у КриптоПро CSP 4.0R4

В CSP 4 возможности аудита ограничены.
Рекомендую установить последний CSP5R2 и включить аудит TLS:
Код:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Cryptography\CurrentVersion\Debug]
"cpssp"=dword:0000003f


Логи смотреть в DbgView, включив Global.
Поскольку основные модули TLS в lsass - потребуется перезагрузка.
Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил Максим Коллегин за этот пост.
SnakeFizer оставлено 13.05.2020(UTC)
Offline SnakeFizer  
#17 Оставлено : 13 мая 2020 г. 18:30:46(UTC)
SnakeFizer

Статус: Участник

Группы: Участники
Зарегистрирован: 31.10.2018(UTC)
Сообщений: 13
Мужчина
Российская Федерация
Откуда: Челябинск

Сказал «Спасибо»: 3 раз
Что-то получилось. Весь лог выложить? Понимать бы что там...но вот это блок повторяется, при попытках подключения (вырезано примерно). В конце идут какие-то ошибки.

Сделал вариант записи с проблемой и без неё, и при сравнении через Notepad++ (Compare), именно этот блок (выше) попадается на глаза. Видимые отличия от рабочего лога идут после строки
Код:
00000613	2.89067411	[840] <cpssp>0x348:0x3b8:GetCertFromAuthData  credential version SCHANNEL_CRED_VERSION (:122)	


Еще там есть вот это, но оно повторяется и в рабочем сценарии, и при ошибке VPN:
Код:
00000078	0.20499110	[840] <cpssp>0x348:0x3f8:CPInitializeSecurityContextW (c11c) (:2230)	
00000079	0.20504279	[840] <cpssp>0x348:0x3f8:ssl3_get_server_hello  server sent cipher suite: c02f! (:910)	
00000080	0.20507801	[840] <cpssp>0x348:0x3f8:ssl3_get_server_hello  client doesn't match cipher suite! 

Отредактировано пользователем 13 мая 2020 г. 18:31:56(UTC)  | Причина: спойлер

Offline Максим Коллегин  
#18 Оставлено : 13 мая 2020 г. 21:17:44(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 5,917
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 17 раз
Поблагодарили: 579 раз в 520 постах
А рабочий вариант и нерабочий - это с антивирусом и без? От наличия КриптоПро CSP не зависит?
Знания в базе знаний, поддержка в техподдержке
Offline SnakeFizer  
#19 Оставлено : 14 мая 2020 г. 2:01:39(UTC)
SnakeFizer

Статус: Участник

Группы: Участники
Зарегистрирован: 31.10.2018(UTC)
Сообщений: 13
Мужчина
Российская Федерация
Откуда: Челябинск

Сказал «Спасибо»: 3 раз
Ну почему же...можно удалить КриптоПро CSP и VPN будет работать, после перезагрузки ПК. просто тогда не получится записать Debug =)
А вот от установленной версии КриптоПро CSP - ничего не зависит. От 4.0R4 до 5.0R2 - результат один. Так же, пробовал отключать и включать Winlogon, cipher-suit'ы и прочее.

Отредактировано пользователем 14 мая 2020 г. 2:19:48(UTC)  | Причина: Не указана

Offline Максим Коллегин  
#20 Оставлено : 14 мая 2020 г. 6:59:09(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 5,917
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 17 раз
Поблагодарили: 579 раз в 520 постах
А как тогда получаете лог без проблемы для сравнения? И да, выложите логи целиком пожалуйста.
Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.