logo Обзор КриптоПро NGate для защищённого доступа к корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

4 Страницы«<234
Опции
К последнему сообщению К первому непрочитанному
Offline Дмитрий Пичулин  
#61 Оставлено : 9 апреля 2019 г. 18:52:28(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 869
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 138 раз в 117 постах
Обновление stunnel-msspi: https://github.com/deemr...stunnel-5.52-msspi-0.137

Знания в базе знаний, поддержка в техподдержке
Offline Дмитрий Пичулин  
#62 Оставлено : 11 апреля 2019 г. 11:53:06(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 869
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 138 раз в 117 постах
Обновление stunnel-msspi: https://github.com/deemr...stunnel-5.53-msspi-0.138

Знания в базе знаний, поддержка в техподдержке
Offline dalnet  
#63 Оставлено : 13 мая 2019 г. 13:46:42(UTC)
dalnet

Статус: Новичок

Группы: Участники
Зарегистрирован: 10.04.2019(UTC)
Сообщений: 3
Российская Федерация
Откуда: Серпухов

Добрый день.

Мне нужно организовать защищенный FTP канал под средством КриптоПро с шифрованием по ГОСТ 28147-89 криптоконтейнера, с обязательной валидацией и верификацией с использованием квалифицировнной усиленной ЭП.
Клиент должен заходить туда из интернета и скачивать/закачивать файлы.

Имеется Windows Server 2012.
На нём поднят IIS FTP, проверял, с внешки захожу в указанную папку.

Поставил Крипто CSP 4.ххх
Поставил stunnel той же версии что и КриптоПро.
Сделал сертификат через УЦ КриптоПро.
Конфиг:
output=c:\stunnel\stun.log
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
debug = 7

[ftps]
accept=192.168.20.132:21
connect = 192.168.20.132:21
cert=с:\stunnel\BBS.cer
verify=2

С данным конфигом выдаёт ошибку:
Не удалось запустить службу Stunnel Service на Локальный компьютер.
Ошибка 1067: Процесс был неожиданно завершен.

Если добавляю строчку client = yes после [ftps] то служба запускается без проблем.

Без данной строчки лог:
2019.05.13 13:49:11 LOG5[11348:15632]: stunnel 4.18 on x86-pc-unknown
2019.05.13 13:49:11 LOG5[11348:15632]: Threading:WIN32 Sockets:SELECT,IPv6
2019.05.13 13:49:11 LOG5[11348:15632]: No limit detected for the number of clients
2019.05.13 13:49:11 LOG7[11348:15632]: FD 528 in non-blocking mode
2019.05.13 13:49:11 LOG7[11348:15632]: SO_REUSEADDR option set on accept socket
2019.05.13 13:49:11 LOG7[11348:15632]: ftps bound to 192.168.20.132:21
2019.05.13 13:49:11 LOG7[11348:15632]: open file с:\stunnel\BBS.cer with certificate
2019.05.13 13:49:11 LOG3[11348:15632]: GetFileInformationByHandle failed: 6
2019.05.13 13:49:11 LOG3[11348:15632]: CertCreateCertificateContext failed: 6d
2019.05.13 13:49:11 LOG3[11348:15632]: Error creating credentials

Со строчкой client = yes:
2019.05.13 13:50:50 LOG5[16864:17644]: stunnel 4.18 on x86-pc-unknown
2019.05.13 13:50:50 LOG5[16864:17644]: Threading:WIN32 Sockets:SELECT,IPv6
2019.05.13 13:50:50 LOG5[16864:17644]: No limit detected for the number of clients
2019.05.13 13:50:50 LOG7[16864:17644]: FD 532 in non-blocking mode
2019.05.13 13:50:50 LOG7[16864:17644]: SO_REUSEADDR option set on accept socket
2019.05.13 13:50:50 LOG7[16864:17644]: ftps bound to 192.168.20.132:21


Подскажите что делаю не так??

Отредактировано пользователем 13 мая 2019 г. 13:54:29(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#64 Оставлено : 13 мая 2019 г. 14:07:18(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 869
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 138 раз в 117 постах
Автор: dalnet Перейти к цитате
accept=192.168.20.132:21
connect = 192.168.20.132:21

У вас один и тот же порт и ip-адрес используются для разных целей, это ошибка.

В случае stunnel сервера, сервер принимает защищённое соединение на порту, обычно 443, затем устанавливает соединение с целевой службой, в вашем случае похоже это ip_адрес_сервера_ftp:21.

В случае stunnel клиента, клиент эмулирует целевую службу, в вашем случае похоже 127.0.0.1:21, при этом устанавливает защищённое соединение к серверу stunnel, например ip_адрес_сервера_stunnel:443.
Знания в базе знаний, поддержка в техподдержке
Offline Максим Коллегин  
#65 Оставлено : 13 мая 2019 г. 14:08:05(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 5,627
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 11 раз
Поблагодарили: 540 раз в 490 постах
Файл присутствует и доступен по этому пути с:\stunnel\BBS.cer?
Знания в базе знаний, поддержка в техподдержке
Offline dalnet  
#66 Оставлено : 13 мая 2019 г. 16:19:54(UTC)
dalnet

Статус: Новичок

Группы: Участники
Зарегистрирован: 10.04.2019(UTC)
Сообщений: 3
Российская Федерация
Откуда: Серпухов

Автор: Дмитрий Пичулин Перейти к цитате
Автор: dalnet Перейти к цитате
accept=192.168.20.132:21
connect = 192.168.20.132:21

У вас один и тот же порт и ip-адрес используются для разных целей, это ошибка.

В случае stunnel сервера, сервер принимает защищённое соединение на порту, обычно 443, затем устанавливает соединение с целевой службой, в вашем случае похоже это ip_адрес_сервера_ftp:21.

В случае stunnel клиента, клиент эмулирует целевую службу, в вашем случае похоже 127.0.0.1:21, при этом устанавливает защищённое соединение к серверу stunnel, например ip_адрес_сервера_stunnel:443.


Переделал конфиг:
output=c:\stunnel\stun.log
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
debug = 7

[ftps]
accept=192.168.20.132:443
connect = 192.168.20.140:21
cert=с:\stunnel\BBS.cer
verify=2

Ошибка при запуске 1067 осталась.

В лог файле:
2019.05.13 16:15:07 LOG5[20760:10428]: stunnel 4.18 on x86-pc-unknown
2019.05.13 16:15:07 LOG5[20760:10428]: Threading:WIN32 Sockets:SELECT,IPv6
2019.05.13 16:15:07 LOG5[20760:10428]: No limit detected for the number of clients
2019.05.13 16:15:07 LOG7[20760:10428]: FD 528 in non-blocking mode
2019.05.13 16:15:07 LOG7[20760:10428]: SO_REUSEADDR option set on accept socket
2019.05.13 16:15:07 LOG7[20760:10428]: ftps bound to 192.168.20.132:443
2019.05.13 16:15:07 LOG7[20760:10428]: open file с:\stunnel\BBS.cer with certificate
2019.05.13 16:15:07 LOG3[20760:10428]: GetFileInformationByHandle failed: 6
2019.05.13 16:15:07 LOG3[20760:10428]: CertCreateCertificateContext failed: 6d
2019.05.13 16:15:07 LOG3[20760:10428]: Error creating credentials


Offline dalnet  
#67 Оставлено : 13 мая 2019 г. 16:22:39(UTC)
dalnet

Статус: Новичок

Группы: Участники
Зарегистрирован: 10.04.2019(UTC)
Сообщений: 3
Российская Федерация
Откуда: Серпухов

Автор: Максим Коллегин Перейти к цитате
Файл присутствует и доступен по этому пути с:\stunnel\BBS.cer?


Файл в данном каталоге лежит.

Вот файл сертификата BBS.rar (1kb) загружен 3 раз(а).
Offline Максим Коллегин  
#68 Оставлено : 13 мая 2019 г. 16:45:18(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 5,627
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 11 раз
Поблагодарили: 540 раз в 490 постах
Мне кажется, у вас первая буква в пути русская "С"
Знания в базе знаний, поддержка в техподдержке
Offline two_oceans  
#69 Оставлено : 15 мая 2019 г. 7:42:07(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 741
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 49 раз
Поблагодарили: 156 раз в 148 постах
Кстати, а не может при этом случайно срабатывать трактовка c: как признака, что далее идет имя контейнера?

Если это msspi версия stunnel, то можно вообще от путей отказаться и после cert= указать хэш сертификата.
Online Санчир Момолдаев  
#70 Оставлено : 17 мая 2019 г. 19:54:21(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 172
Российская Федерация

Сказал(а) «Спасибо»: 10 раз
Поблагодарили: 19 раз в 19 постах
Автор: dalnet Перейти к цитате
Добрый день.
Мне нужно организовать защищенный FTP канал под средством КриптоПро с шифрованием по ГОСТ 28147-89 криптоконтейнера, с обязательной валидацией и верификацией с использованием квалифицировнной усиленной ЭП.
Клиент должен заходить туда из интернета и скачивать/закачивать файлы.

дополнительно не забудьте, что по 21 порту идет канал управления, сами данные идут по каналу данных, это либо 20, либо порты указанные в пассивном режиме. как и для NAT так и для stunnel думаю лучше использовать пассивный режим работы ftp
Техническую поддержку оказываем тут
Наша база знаний
Offline NKO SEC  
#71 Оставлено : 21 июня 2019 г. 9:58:21(UTC)
NKO SEC

Статус: Новичок

Группы: Участники
Зарегистрирован: 20.06.2019(UTC)
Сообщений: 4
Российская Федерация

Добрый день!

Пытаюсь построить туннель до ФинЦЕРТ ЦБ.
Насколько я понимаю, сам туннель строится, однако на любой запрос получаю ошибку "421 Misdirected Request".

Ответ от stunnel:
Код:
<html>
    <head>
        <title>421 Misdirected Request</title>
    </head>
    <body bgcolor="white">
        <center>
            <h1>421 Misdirected Request</h1>
        </center>
    </body>
</html>


Конфиг:
Код:
pid=/opt/cprocsp/tmp/stunnel_cli.pid
output=/opt/cprocsp/tmp/stunnel_cli.log
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
debug = 7
foreground = yes

[https]
client = yes
accept = 0.0.0.0:8080
connect = zoe-lk.fincert.cbr.ru:443
verify = 1


Логи:


Не подскажете в чем может быть дело?
Судя по логам, сертификаты получаются, Handshake проходит (в том числе с verify = 2), т.е. с удаленным хостом все ок.

Отредактировано пользователем 21 июня 2019 г. 9:59:43(UTC)  | Причина: Не указана

Online Санчир Момолдаев  
#72 Оставлено : 21 июня 2019 г. 10:39:09(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 172
Российская Федерация

Сказал(а) «Спасибо»: 10 раз
Поблагодарили: 19 раз в 19 постах
Автор: NKO SEC Перейти к цитате
Добрый день!

Пытаюсь построить туннель до ФинЦЕРТ ЦБ.
Насколько я понимаю, сам туннель строится, однако на любой запрос получаю ошибку "421 Misdirected Request".

Не подскажете в чем может быть дело?
Судя по логам, сертификаты получаются, Handshake проходит (в том числе с verify = 2), т.е. с удаленным хостом все ок.


да handshake проходит успешно. посмотрите дамп сетевых пакетов на наличие пакетов уходящих в никуда https://httpstatuses.com/421
Техническую поддержку оказываем тут
Наша база знаний
Offline NKO SEC  
#73 Оставлено : 21 июня 2019 г. 12:37:37(UTC)
NKO SEC

Статус: Новичок

Группы: Участники
Зарегистрирован: 20.06.2019(UTC)
Сообщений: 4
Российская Федерация

Автор: Санчир Момолдаев Перейти к цитате
Автор: NKO SEC Перейти к цитате
Добрый день!

Пытаюсь построить туннель до ФинЦЕРТ ЦБ.
Насколько я понимаю, сам туннель строится, однако на любой запрос получаю ошибку "421 Misdirected Request".

Не подскажете в чем может быть дело?
Судя по логам, сертификаты получаются, Handshake проходит (в том числе с verify = 2), т.е. с удаленным хостом все ок.


да handshake проходит успешно. посмотрите дамп сетевых пакетов на наличие пакетов уходящих в никуда https://httpstatuses.com/421


Проверил.
1. клиент -> stunnel:
Пакетов с некорректным src/dest нет, вижу запрос, ответ.
2. stunnel -> целевой хост:
Пакетов с некорректным src/dest нет, вижу успешный handshake, затем Encrypted Application Data.
Online Санчир Момолдаев  
#74 Оставлено : 21 июня 2019 г. 12:50:17(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 172
Российская Федерация

Сказал(а) «Спасибо»: 10 раз
Поблагодарили: 19 раз в 19 постах
Автор: NKO SEC Перейти к цитате
Автор: Санчир Момолдаев Перейти к цитате
Автор: NKO SEC Перейти к цитате
Добрый день!

Пытаюсь построить туннель до ФинЦЕРТ ЦБ.
Насколько я понимаю, сам туннель строится, однако на любой запрос получаю ошибку "421 Misdirected Request".

Не подскажете в чем может быть дело?
Судя по логам, сертификаты получаются, Handshake проходит (в том числе с verify = 2), т.е. с удаленным хостом все ок.


да handshake проходит успешно. посмотрите дамп сетевых пакетов на наличие пакетов уходящих в никуда https://httpstatuses.com/421


Проверил.
1. клиент -> stunnel:
Пакетов с некорректным src/dest нет, вижу запрос, ответ.
2. stunnel -> целевой хост:
Пакетов с некорректным src/dest нет, вижу успешный handshake, затем Encrypted Application Data.

ну получается с нашей стороны ошибок нет. надо разбираться с вызовами. но это вопрос не к нам
Техническую поддержку оказываем тут
Наша база знаний
Offline NKO SEC  
#75 Оставлено : 21 июня 2019 г. 15:30:39(UTC)
NKO SEC

Статус: Новичок

Группы: Участники
Зарегистрирован: 20.06.2019(UTC)
Сообщений: 4
Российская Федерация

Автор: Санчир Момолдаев Перейти к цитате
Автор: NKO SEC Перейти к цитате
Автор: Санчир Момолдаев Перейти к цитате
Автор: NKO SEC Перейти к цитате
Добрый день!

Пытаюсь построить туннель до ФинЦЕРТ ЦБ.
Насколько я понимаю, сам туннель строится, однако на любой запрос получаю ошибку "421 Misdirected Request".

Не подскажете в чем может быть дело?
Судя по логам, сертификаты получаются, Handshake проходит (в том числе с verify = 2), т.е. с удаленным хостом все ок.


да handshake проходит успешно. посмотрите дамп сетевых пакетов на наличие пакетов уходящих в никуда https://httpstatuses.com/421


Проверил.
1. клиент -> stunnel:
Пакетов с некорректным src/dest нет, вижу запрос, ответ.
2. stunnel -> целевой хост:
Пакетов с некорректным src/dest нет, вижу успешный handshake, затем Encrypted Application Data.

ну получается с нашей стороны ошибок нет. надо разбираться с вызовами. но это вопрос не к нам


Да вызов обычный GET /
Если попробовать напрямую, без stunnel в браузере, то все ок. А вот через stunnel не получается.
При этом, проверил сейчас на других ресурсах (например https://www.cryptopro.ru:4444/test/tls-cli.asp) все ок, stunnel работает как надо.
Т.е. проблема, видимо, на порталах ЦБ.

Попробуйте у себя построить туннель до https://zoe-lk.fincert.cbr.ru/login
Offline Дмитрий Пичулин  
#76 Оставлено : 21 июня 2019 г. 19:31:42(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 869
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 138 раз в 117 постах
Автор: NKO SEC Перейти к цитате
Попробуйте у себя построить туннель до https://zoe-lk.fincert.cbr.ru/login

Зачем?

Самая распространённая ошибка при использовании stunnel и http, это обращение в GET запросе к адресу stunnel вместо обращения к целевому адресу.

Целевой адрес, бывает, не понимает такого запроса, так как в нём отсутствует корректный host.

Ваш GET запрос, с большой вероятностью должен содержать host равный zoe-lk.fincert.cbr.ru.

Для решения этой задачи, как правило, на машине, где работает ваше приложение, в /etc/hosts прописывается, что IP-адрес, где работает stunnel, это целевой хост.

После этого приложение обращается к zoe-lk.fincert.cbr.ru, но попадает в stunnel, который уже устанавливает соединение с настоящим zoe-lk.fincert.cbr.ru по защищённому каналу.



Знания в базе знаний, поддержка в техподдержке
Offline NKO SEC  
#77 Оставлено : 24 июня 2019 г. 12:16:49(UTC)
NKO SEC

Статус: Новичок

Группы: Участники
Зарегистрирован: 20.06.2019(UTC)
Сообщений: 4
Российская Федерация

Автор: Дмитрий Пичулин Перейти к цитате
Автор: NKO SEC Перейти к цитате
Попробуйте у себя построить туннель до https://zoe-lk.fincert.cbr.ru/login

Зачем?

Самая распространённая ошибка при использовании stunnel и http, это обращение в GET запросе к адресу stunnel вместо обращения к целевому адресу.

Целевой адрес, бывает, не понимает такого запроса, так как в нём отсутствует корректный host.

Ваш GET запрос, с большой вероятностью должен содержать host равный zoe-lk.fincert.cbr.ru.

Для решения этой задачи, как правило, на машине, где работает ваше приложение, в /etc/hosts прописывается, что IP-адрес, где работает stunnel, это целевой хост.

После этого приложение обращается к zoe-lk.fincert.cbr.ru, но попадает в stunnel, который уже устанавливает соединение с настоящим zoe-lk.fincert.cbr.ru по защищённому каналу.





Проблема, действительно, оказалась в этом. Спасибо!
Offline Дмитрий Пичулин  
#78 Оставлено : 26 июля 2019 г. 17:53:35(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 869
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 138 раз в 117 постах
Обновление stunnel-msspi: https://github.com/deemr...stunnel-5.55-msspi-0.144

Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
4 Страницы«<234
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.