Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline psyd01986  
#1 Оставлено : 18 сентября 2020 г. 12:51:31(UTC)
psyd01986

Статус: Участник

Группы: Участники
Зарегистрирован: 11.08.2020(UTC)
Сообщений: 11
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Добрый день,
развертываем NGATE Крипто-Про в тестовой среде.
Делаем все по инструкции , не очень понятно как реализовать следующих функционал.
Опишу кейс.
Инфраструктура:
1) Шлюз ngate с внешним адресом на который можно попасть из интернета используя ДНС имя www.exmple.com
2) В локальной сети в которой находится ngate есть веб сервер nginx публикующий страницу по адресу http://192.168.0.154
3) Внешние пользователи в своих браузерах (с поддержкой ГОСТ шифрования) должны переходить на адрес https://example.com и им должна отображаться страничка публекумая на http://192.168.0.154
4) Ни какие сертификаты и прочие средства атентификации не используются, все кто знает адрес example.com могут к нему подключится с ГОСТ-TLS шифрованием и увидеть Страничку опубликованную на nginx в локальной сети.
5) Ни каких локешнов в адресе не добавляется, https://example.com сразу должно отправлять на сьраничку в сети. Т.е. реверс-прокси всего корня (/) дальше на страничку на nginx.

По факту ngate используется как терминатор TLS по ГОСТ шифрованию и реверс прокси.

Как настроить такой прозрачный проброс к ресурсу внутри сети?
Offline Nikolay Batischev  
#2 Оставлено : 18 сентября 2020 г. 13:02:28(UTC)
Nikolay Batischev

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.11.2013(UTC)
Сообщений: 38
Мужчина
Албания
Откуда: Тирана

Сказал «Спасибо»: 2 раз
Поблагодарили: 4 раз в 4 постах
Добрый день!

Вам нужен режим аутентификации TLS Offload, и проксировать в корень
За основу можно взять этот пример
https://cpdn.cryptopro.r...e-clientless-access.html
У вас довольно частный вопрос, думаю лучше создать заявку на портале тех.поддержки.
https://support.cryptopro.ru/

Отредактировано пользователем 18 сентября 2020 г. 16:46:02(UTC)  | Причина: Не указана

thanks 1 пользователь поблагодарил Nikolay Batischev за этот пост.
psyd01986 оставлено 18.09.2020(UTC)
Offline two_oceans  
#3 Оставлено : 18 сентября 2020 г. 13:14:17(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,064
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 69 раз
Поблагодарили: 242 раз в 227 постах
Добрый день.
Мне кажется слишком усложняете задачу: реверс-прокси необходим, когда нужно смешивать контент с разных адресов, а если весь корень отправлять на один сервер, то задача более тривиальная - просто наложение TLS слоя на http соединение, с этим технически справляется даже программка stunnel-msspi (например, на том же сервере, где nginx) плюс проброс порта на сетевом оборудовании. В зависимости важно ли Вам наличие сертификата соответствия для решения и какая будет нагрузка.
Offline psyd01986  
#4 Оставлено : 18 сентября 2020 г. 15:21:45(UTC)
psyd01986

Статус: Участник

Группы: Участники
Зарегистрирован: 11.08.2020(UTC)
Сообщений: 11
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Автор: two_oceans Перейти к цитате
Добрый день.
Мне кажется слишком усложняете задачу: реверс-прокси необходим, когда нужно смешивать контент с разных адресов, а если весь корень отправлять на один сервер, то задача более тривиальная - просто наложение TLS слоя на http соединение, с этим технически справляется даже программка stunnel-msspi (например, на том же сервере, где nginx) плюс проброс порта на сетевом оборудовании. В зависимости важно ли Вам наличие сертификата соответствия для решения и какая будет нагрузка.

Конечно усложняю, но не я, а наше государство с их требованиями=) Первоначально мы через nginx делали гост-tls но для прохождения всех кругов ада нам необходимо именно "сертифицированное" решение из реестра разрешенных =) Вот и мучаемся =)
Offline psyd01986  
#5 Оставлено : 18 сентября 2020 г. 15:23:28(UTC)
psyd01986

Статус: Участник

Группы: Участники
Зарегистрирован: 11.08.2020(UTC)
Сообщений: 11
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Автор: Nikolay Batischev Перейти к цитате
Добрый день!

Вам нужен режим аутентификации TLS Offload, в настройках портала поставить галку single-web ресурс.
За основу можно взять этот пример
https://cpdn.cryptopro.r...e-clientless-access.html
У вас довольно частный вопрос, думаю лучше создать заявку на портале тех.поддержки.
https://support.cryptopro.ru/

Инструкция хорошая , сделал как в ней сказанно.
При попытке опубликовать конфигурацию получаю вот:
"
Ошибка при сборке конфигурации: Неладно что-то со служебными ключами. Пожалуйста, удостоверьтесь в том, что ключи созданы и распространены, прежде чем публиковать конфигурацию.
"
Что за служебные ключи? Куда и как их распространять?
Offline psyd01986  
#6 Оставлено : 18 сентября 2020 г. 15:26:27(UTC)
psyd01986

Статус: Участник

Группы: Участники
Зарегистрирован: 11.08.2020(UTC)
Сообщений: 11
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Автор: two_oceans Перейти к цитате
Добрый день.
Мне кажется слишком усложняете задачу: реверс-прокси необходим, когда нужно смешивать контент с разных адресов, а если весь корень отправлять на один сервер, то задача более тривиальная - просто наложение TLS слоя на http соединение, с этим технически справляется даже программка stunnel-msspi (например, на том же сервере, где nginx) плюс проброс порта на сетевом оборудовании. В зависимости важно ли Вам наличие сертификата соответствия для решения и какая будет нагрузка.


И про реверс прокси , это задел на будующее... Так как сейчас один ресурс , а потом начнется...
А железяку недешовую уже купили =)
Но для начала просо понять как делать вот такой проброс было бы замечательно.
В принципе с вопросом я по инструкции разобрался, а вот с публикации конфигурации возникли трудности.
Online Александр Лавник  
#7 Оставлено : 18 сентября 2020 г. 15:40:02(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 2,139
Мужчина
Российская Федерация

Сказал «Спасибо»: 33 раз
Поблагодарили: 493 раз в 470 постах
Автор: psyd01986 Перейти к цитате
Автор: Nikolay Batischev Перейти к цитате
Добрый день!

Вам нужен режим аутентификации TLS Offload, в настройках портала поставить галку single-web ресурс.
За основу можно взять этот пример
https://cpdn.cryptopro.r...e-clientless-access.html
У вас довольно частный вопрос, думаю лучше создать заявку на портале тех.поддержки.
https://support.cryptopro.ru/

Инструкция хорошая , сделал как в ней сказанно.
При попытке опубликовать конфигурацию получаю вот:
"
Ошибка при сборке конфигурации: Неладно что-то со служебными ключами. Пожалуйста, удостоверьтесь в том, что ключи созданы и распространены, прежде чем публиковать конфигурацию.
"
Что за служебные ключи? Куда и как их распространять?

Здравствуйте.

В случае, когда используется вариант Complete, нужно просто создать служебные ключи.

См. здесь.
Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Александр Лавник за этот пост.
psyd01986 оставлено 18.09.2020(UTC)
Offline psyd01986  
#8 Оставлено : 18 сентября 2020 г. 16:38:45(UTC)
psyd01986

Статус: Участник

Группы: Участники
Зарегистрирован: 11.08.2020(UTC)
Сообщений: 11
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Всем спасибо за помощь.
После генерации сервисных ключей, конфигурация опубиковалась.
Один момент узнал у технической поддержки:
Если использовать просто "TLS Offload" для доступа к порталу и ресурсам, то необходимо создавать веб-ресурс "/", но не включать опцию "сингл веб" , эти две вещи несовместимы.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.