Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

6 Страницы<1234>»
Опции
К последнему сообщению К первому непрочитанному
Offline Mishel  
#21 Оставлено : 17 сентября 2010 г. 13:48:25(UTC)
Mishel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.09.2010(UTC)
Сообщений: 36

Спасибо, попробую...
Только странный у вас форум, почему-то на конкретные вопросы никто не отвечает...
Давайте чтобы у меня была полная уверенность уточним слдеующие моменты:
1) если я хочу реализовать режим аутентификации по сертификатам на каждой машине должно быть 2 сертификата, один сертифкат IPSEc и второй сертификат проверки подлинности клиента (для шлюза - сервера), так?
2) таки надо или нет в общем случае для установления защищенного канала с удаленным пользователем лезть в политики IPSec Windows, чтобы отдельно там прописывать использование алгоритмов КриптоПро?
Offline Дмитрий Пичулин  
#22 Оставлено : 17 сентября 2010 г. 17:35:28(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,200
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 213 раз в 183 постах
> 1) если я хочу реализовать режим аутентификации по сертификатам на каждой машине должно быть 2 сертификата, один сертифкат IPSEc и второй сертификат проверки подлинности клиента (для шлюза - сервера), так?

- в случае использования L2TP IPsec, на сервере и клиенте должны быть установлены сертификаты IPsec, как минимум по 1. Наличие хотя бы одного подходящего сертификата, гарантирует аутентификацию L2TP IPsec части, после этого этапа логика работы зависит от аутентификации пользователя на сервере, это может быть как пароль, так и более сложные схемы с использованием сертификатов, radius-серверов. Но этот этап не входит в компетенцию IPsec-а, который предоставляет защищенный канал (или просто транспорт) для дальнейших действий.

> 2) таки надо или нет в общем случае для установления защищенного канала с удаленным пользователем лезть в политики IPSec Windows, чтобы отдельно там прописывать использование алгоритмов КриптоПро?

- для организации VPN сервера L2TP IPsec, не требуется никаких дополнительных самостоятельные настроек в "Политики IP-безопасности" (gpedit.msc), более того, они крайне не рекомендуются, так как могут перекрываться с политиками, которые VPN сервер добавляет самостоятельно (они считаются внутренними, добавляются динамически и невидимы в оснастке gpedit.msc).
Знания в базе знаний, поддержка в техподдержке
Offline Mishel  
#23 Оставлено : 22 сентября 2010 г. 21:03:00(UTC)
Mishel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.09.2010(UTC)
Сообщений: 36

а можно взглянуть как это работает у вас?
Offline Дмитрий Пичулин  
#24 Оставлено : 23 сентября 2010 г. 19:17:38(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,200
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 213 раз в 183 постах
> а можно взглянуть как это работает у вас?

У нас была идея выложить виртуальные машины. Вас интересует стенд L2TP VPN сервер на базе 2003 с клиентом xp на сертификатах?
Знания в базе знаний, поддержка в техподдержке
Offline Mishel  
#25 Оставлено : 24 сентября 2010 г. 14:04:16(UTC)
Mishel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.09.2010(UTC)
Сообщений: 36

совершенно верно, очень интересует..
Offline Дмитрий Пичулин  
#26 Оставлено : 25 сентября 2010 г. 0:35:19(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,200
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 213 раз в 183 постах
Работающий стенд с реализацией КриптоПро IPsec L2TP VPN с аутентификацией на сертификатах и на PSK в виде 2-х виртуальных машины VMware с подробными snapshot-ами можно получить здесь: http://narod.ru/disk/252...48000/Easy_IPsec.7z.html

(пароль к архиву отправляю через PM)
Знания в базе знаний, поддержка в техподдержке
Offline Mishel  
#27 Оставлено : 27 сентября 2010 г. 15:45:19(UTC)
Mishel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.09.2010(UTC)
Сообщений: 36

Посмотрел ваш стенд, многие вопросы отпали...и кажется я нашел одно различие, по которому возможно почему у меня выдавалось сообщение о том что сертификат не найден когда я пытался установить канал не через PSK...
в вашем стенде сертификаты установлены в хранилище Локальный компьютер\Личные\Реестр\Сертификаты
а у меня они устанавливались в хранилище Локальный компьютер\Личные\Сертификаты
может в этом быть причина или нет? и если да, то как мне тогда совершать процедуру генерации сертификатов с указанием корректного пути хранилища сертификатов..
Offline Дмитрий Пичулин  
#28 Оставлено : 27 сентября 2010 г. 16:06:55(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,200
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 213 раз в 183 постах
IPsec работает только с сертификатами локальной машины, это означает, что контекст сертификата должен иметь возможность быть полученным с флагами CRYPT_SILENT, CRYPT_MACHINE_KEYSET. Вы можете проверить свой сертификат, вызвав CryptAcquireContext( &hProv, pwszContainerName, pwszProvName, dwProvType, CRYPT_SILENT | CRYPT_MACHINE_KEYSET ).

То есть, секретный ключ сертификата должен быть доступен для локального компьютера без дополнительного взаимодействия с пользователем (без ввода пароля-pin и каких-либо дополнительных окон).

Ранее я писал, как можно получить требуемый сертификат в автоматическом режиме:
Цитата:
cryptcp.exe -creatcert -provtype 75 -silent -dn "E=name@server.ru, CN=name" -cont \\.\REGISTRY\name -certusage 1.3.6.1.5.5.8.2.2 -km -du -both -ca http://ca/certsrv


Для предоставленных виртуальных машин сертификаты получались через веб-интерфейс http://cryptopro.ru/certsrv/. Выбиралось произвольное имя, устанавливался тип сертификата — "сертификат IPsec", проверялось CSP — Crypto-Pro GOST R... , отмечалось — "использовать локальное хранилище компьютера для сертификата". Случайное число генерировалось с помощью "биологического датчика случайных чисел", пароль не устанавливался.

Отредактировано пользователем 27 сентября 2010 г. 16:09:05(UTC)  | Причина: Не указана

Знания в базе знаний, поддержка в техподдержке
Offline Mishel  
#29 Оставлено : 5 октября 2010 г. 21:03:46(UTC)
Mishel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.09.2010(UTC)
Сообщений: 36

Скажите а в режиме VPN site-to-site КриптоПро IPSEC работает? И если да, то можно также посмотреть виртуальные машины для стенда?

Отредактировано пользователем 5 октября 2010 г. 21:06:01(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#30 Оставлено : 5 октября 2010 г. 21:16:24(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,200
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 213 раз в 183 постах
>Скажите а в режиме VPN site-to-site КриптоПро IPSEC работает?

Работает. Мы проверяли работоспособность на стендах с серверами 2003 и 2008 R2, в частности: ISA<->ISA, ISA<->TMG, TMG<->TMG.

>И если да, то можно также посмотреть виртуальные машины для стенда?

Виртуальные машины данного стенда занимают около 50 ГБ, передавать такое количество информации через интернет проблематично. Наверное, было бы удобнее забрать их у нас в офисе, по договоренности. В любом случае, настройка site-to-site не намного сложнее настройки двух VPN серверов, и если у вас есть конкретные вопросы или затруднения, мы готовы ответить.
Знания в базе знаний, поддержка в техподдержке
Offline Mishel  
#31 Оставлено : 5 октября 2010 г. 21:19:30(UTC)
Mishel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.09.2010(UTC)
Сообщений: 36

я сейчас в Москве и мог бы подойти к Вам в офис...как мне с вами связаться?
Offline Дмитрий Пичулин  
#32 Оставлено : 5 октября 2010 г. 21:37:47(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,200
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 213 раз в 183 постах
Эти вопросы решает руководство, контакты указаны на странице: http://cryptopro.ru/cryptopro/company/contacts.htm
Знания в базе знаний, поддержка в техподдержке
Offline Mishel  
#33 Оставлено : 5 октября 2010 г. 21:51:39(UTC)
Mishel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.09.2010(UTC)
Сообщений: 36

мда...как все сложно...а вы не могли бы выложить вариант ISA-ISA на 2003 сервере...в крайнем случае конечно мы можем и все 50 гб вытянуть, у нас канал анлим..за ночь вытащим ))
Offline Дмитрий Пичулин  
#34 Оставлено : 5 октября 2010 г. 21:58:41(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,200
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 213 раз в 183 постах
На самом деле все совсем не сложно, приехать забрать все стенды — не проблема (сегодня приезжали как раз). Просто хорошо, когда процесс согласован, в том числе и на верхнем уровне. Текущее общение развивается по неопределенному сценарию. Хотелось бы его немного формализовать.
Знания в базе знаний, поддержка в техподдержке
Offline Mishel  
#35 Оставлено : 5 октября 2010 г. 22:11:57(UTC)
Mishel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.09.2010(UTC)
Сообщений: 36

Сложность в том, что человек который у нас конкретно сейчас занимается этим продуктом в другом городе, и ему быстрее разобраться с проблемой будет если он машины скачает, чем если я их заберу и потом ему передам...А вообще мы конкретно в этом продукте очень заинтересованы...у нас есть конкретный проект, по-которому мы планируем его внедрить...но сейчас мы на этапе отработки стендов..поэтому если вам не сложно, выложите пожалуйста виртуалки..
Offline Дмитрий Пичулин  
#36 Оставлено : 6 октября 2010 г. 14:00:32(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,200
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 213 раз в 183 постах
Сегодня обсудили тему стендов и пришли к выводу, что на текущий момент стенды в общем доступе, кроме КриптоПро IPsec VPN, предоставляться не будут. Причина: не дублировать уже имеющиеся уроки от Microsoft и прочую информацию, имеющуюся в интернете по разворачиванию стендов на любой вкус. Мы не претендуем на обучение продуктам Microsoft, мы обеспечиваем поддержку по нашим продуктам, вопросы по которым, как правило, возникают только на финальном этапе разворачивания.

Еще раз уточняю, что продукт КриптоПро IPsec не требует практически никаких дополнительных настроек, отличных от настроек оригинального IPsec в продуктах Microsoft. Развернув стенд site-to-site, пользуясь информацией из открытых источников, вы сделаете большую часть работы. Процесс перехода от оригинального IPsec к КриптоПро IPsec потребует совсем небольших дополнительных усилий. Если у вас возникнут затруднения на этом этапе, мы постараемся их решить.

Отредактировано пользователем 6 октября 2010 г. 19:03:06(UTC)  | Причина: Не указана

Знания в базе знаний, поддержка в техподдержке
Offline SEA  
#37 Оставлено : 7 октября 2010 г. 19:41:22(UTC)
SEA

Статус: Новичок

Группы: Участники
Зарегистрирован: 07.10.2010(UTC)
Сообщений: 3

Такое волшебство при попытке создания соединения site2site с cryptopro ipsec
Код:
cp::LOGIT - Detour_CopyMMSimple - call
cp::LOGIT - Detour_CopyMMSimple - call
cp::LOGIT - Detour_CopyMMSimple - call
cp::LOGIT - Detour_CopyMMSimple - call
cp::LOGIT - Detour_oakley_esp_ipsec2doi - cp
cp::LOGIT - Detour_oakley_esp_ipsec2doi - cp
cp::LOGIT - Detour_oakley_esp_ipsec2doi - cp
cp::LOGIT - Detour_oakley_esp_ipsec2doi - cp
cp::LOGIT - Detour_BasicAtt - cp
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - cp
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - cp
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - cp
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_Throw - ok
cp::LOGIT - Detour_Throw - original
cp::LOGIT - Detour_oakley_esp_ipsec2doi - cp
cp::LOGIT - Detour_ATTS_2_SA - cp
cp::CPCreateMM_simple - Signature (Certificate)
cp::CPCreateMM - in
cp::logger_func - IKE.API - p1_CreateFn:197 sid=04413DF8. $Date: 2010-08-04 16:2
2:30 +0400 (¦бTА, 04 ¦-¦-¦¦ 2010) $
cp::CPCreateMM - /SUCCESS/
cp::LOGIT - IkeCPRecordAdd - ok
cp::LOGIT - Detour_ATTS_2_SA - initiator
cp::CPGenDHPublicMM - in
cp::CPGenDHPublicMM - /SUCCESS/
cp::LOGIT - Detour_ATTS_2_SA - ok
cp::LOGIT - Detour_GenerateDH - cp
cp::LOGIT - Detour_GenerateDH - ok
cp::LOGIT - Detour_ConstructNonce - cp
cp::LOGIT - Detour_ConstructNonce - ok
cp::LOGIT - Detour_Throw - ok
cp::LOGIT - Detour_Throw - original
cp::LOGIT - Detour_GenerateDHShared - cp
cp::LOGIT - Detour_GenerateDHShared - ok
cp::LOGIT - Detour_GenerateSKEYIDs - cp
cp::LOGIT - Detour_GenerateSKEYIDs - initiator
cp::CPAgreeSkeyid - in
cp::logger_func - IKE.API - p1_CreateSK sid=04413DF8.
cp::CPAgreeSkeyid - /SUCCESS/
cp::LOGIT - Detour_GenerateSKEYIDs - ok
cp::LOGIT - Detour_CheckCertKeyType - cp
cp::LOGIT - Detour_CheckCertKeyType - Its OK
cp::LOGIT - Detour_CheckCertKeyType - ok
cp::LOGIT - Detour_ConstructCertSig - cp
cp::CPSetMyCertProv - in
cp::logger_func - IKE.API - p1_SetMyCertProvFn sid=04413DF8.
cp::CPSetMyCertProv - /SUCCESS/
cp::CPCreateHashMM - in
cp::logger_func - IKE.API - p1_AuthIRFn sid=04413DF8.
cp::CPCreateHashMM - /SUCCESS/
cp::LOGIT - Detour_ConstructCertSig - ok
cp::LOGIT - Detour_Throw - ok
cp::LOGIT - Detour_Throw - original
cp::LOGIT - Detour_EncryptPayload - cp
cp::CPEncryptMM - in
cp::CPEncryptMM - /SUCCESS/
cp::CPEncryptMM - in
cp::CPEncryptMM - /SUCCESS/
cp::LOGIT - Detour_EncryptPayload - ok
cp::LOGIT - Detour_DecryptPayload - cp
cp::CPDecryptMM - in
cp::CPDecryptMM - /SUCCESS/
cp::LOGIT - Detour_DecryptPayload - ok
cp::LOGIT - Detour_VerifyCertStore - cp
cp::LOGIT - Detour_CheckCertKeyType - cp
cp::LOGIT - Detour_CheckCertKeyType - Its OK
cp::LOGIT - Detour_CheckCertKeyType - ok
cp::LOGIT - Detour_VerifyCertStore - Its OK
cp::CPSetOtherCert - in
cp::logger_func - IKE.API - p1_SetOtherCertFn sid=04413DF8.
cp::CPSetOtherCert - /SUCCESS/
cp::LOGIT - Detour_VerifyCertStore - ok
cp::LOGIT - Detour_ProcessCertSig - cp
cp::CPVerifyHashMM - in
cp::logger_func - IKE.API - p1_VerifyIRFn sid=04413DF8.
cp::CPVerifyHashMM - /SUCCESS/
cp::LOGIT - Detour_ProcessCertSig - ok
cp::LOGIT - Detour_InitQM - cp
cp::CPCreateQM - in
cp::CPCreateQM - MSGID = baa8a998
cp::CPCreateQM - /SUCCESS/
cp::LOGIT - IkeCPRecordAdd - ok
cp::LOGIT - Detour_InitQM - ok
cp::LOGIT - Detour_ConstructHashQM_blank - cp
cp::LOGIT - Detour_ConstructHashQM_blank - ok
cp::LOGIT - Detour_policy_esp_ipsec2doi - cp
cp::LOGIT - Detour_policy_hmac_ipsec2doi - cp
cp::LOGIT - Detour_policy_esp_ipsec2doi - cp
cp::LOGIT - Detour_policy_hmac_ipsec2doi - cp
cp::LOGIT - Detour_policy_hmac_ipsec2doi - original
cp::LOGIT - Detour_policy_esp_ipsec2doi - original
cp::LOGIT - Detour_policy_hmac_ipsec2doi - original
cp::LOGIT - Detour_policy_hmac_ipsec2doi - original
cp::LOGIT - Detour_policy_esp_ipsec2doi - original
cp::LOGIT - Detour_policy_hmac_ipsec2doi - original
cp::LOGIT - Detour_policy_hmac_ipsec2doi - original
cp::LOGIT - Detour_policy_esp_ipsec2doi - original
cp::LOGIT - Detour_policy_hmac_ipsec2doi - original
cp::LOGIT - Detour_policy_hmac_ipsec2doi - original
cp::LOGIT - Detour_policy_esp_ipsec2doi - original
cp::LOGIT - Detour_policy_hmac_ipsec2doi - original
cp::LOGIT - Detour_policy_esp_ipsec2doi - cp
cp::LOGIT - Detour_policy_hmac_ipsec2doi - cp
cp::LOGIT - Detour_policy_esp_ipsec2doi - cp
cp::LOGIT - Detour_policy_hmac_ipsec2doi - cp
cp::LOGIT - Detour_policy_hmac_ipsec2doi - original
cp::LOGIT - Detour_policy_esp_ipsec2doi - original
cp::LOGIT - Detour_policy_hmac_ipsec2doi - original
cp::LOGIT - Detour_policy_hmac_ipsec2doi - original
cp::LOGIT - Detour_policy_esp_ipsec2doi - original
cp::LOGIT - Detour_policy_hmac_ipsec2doi - original
cp::LOGIT - Detour_policy_hmac_ipsec2doi - original
cp::LOGIT - Detour_policy_esp_ipsec2doi - original
cp::LOGIT - Detour_policy_hmac_ipsec2doi - original
cp::LOGIT - Detour_policy_hmac_ipsec2doi - original
cp::LOGIT - Detour_policy_esp_ipsec2doi - original
cp::LOGIT - Detour_policy_hmac_ipsec2doi - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - cp
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - cp
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - cp
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - cp
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_ConstructNonceQM - cp
cp::CPGenDHPublicQM - in
cp::logger_func - IKE.API - p2_SetupFn sid=04415180.
cp::CPGenDHPublicQM - /SUCCESS/
cp::LOGIT - Detour_ConstructHashQM - cp
cp::CPCreateHashQM - in
cp::logger_func - IKE.API - p2_HashAFn sid=04415180.
cp::CPCreateHashQM - /SUCCESS/
cp::LOGIT - Detour_Throw - ok
cp::LOGIT - Detour_Throw - original
cp::LOGIT - Detour_EncryptPayload - cp
cp::CPEncryptQM - in
cp::CPEncryptQM - /SUCCESS/
cp::CPEncryptQM - in
cp::CPEncryptQM - /SUCCESS/
cp::LOGIT - Detour_EncryptPayload - ok
cp::LOGIT - Detour_DecryptPayload - cp
cp::CPDecryptQM - in
cp::CPDecryptQM - /SUCCESS/
cp::LOGIT - Detour_DecryptPayload - ok
cp::LOGIT - Detour_VerifyHashQM - cp
cp::CPVerifyHashQM - in
cp::logger_func - IKE.API - p2_VerifyAFn sid=04415180.
cp::CPVerifyHashQM - /SUCCESS/
cp::LOGIT - Detour_VerifyHashQM - ok
cp::LOGIT - Detour_ParseTransform - call
cp::LOGIT - Detour_policy_esp_ipsec2doi - cp
cp::LOGIT - Detour_policy_hmac_ipsec2doi - cp
cp::LOGIT - Detour_FinalHashQM - cp
cp::CPAgreePFS - in
cp::logger_func - IKE.API - p2_AgreeFn sid=04415180. return OK
cp::CPAgreePFS - /SUCCESS/
cp::CPCreateFinalHashQM - in
cp::logger_func - IKE.API - p2_Hash3Fn sid=04415180.
cp::CPCreateFinalHashQM - /SUCCESS/
cp::LOGIT - Detour_FinalHashQM - ok
cp::LOGIT - Detour_GenerateSPI - cp
cp::CPInitDriver - in
cp::CPInitDriver - /SUCCESS/
cp::CPSerializeQM - in
cp::logger_func - IKE.API - spiSerializeFn:797 sid=04415180. return OK
cp::CPSerializeQM - /SUCCESS/
cp::CPDriverSend - in
cp::CPDriverSend - SPI = 0x87532feb
cp::CPDriverSend - /SUCCESS/
cp::LOGIT - Detour_GenerateSPI - ok
cp::LOGIT - Detour_GenerateSPI - cp
cp::CPInitDriver - in
cp::CPInitDriver - /SUCCESS/
cp::CPSerializeQM - in
cp::logger_func - IKE.API - spiSerializeFn:797 sid=04415180. return OK
cp::CPSerializeQM - /SUCCESS/
cp::CPDriverSend - in
cp::CPDriverSend - SPI = 0x5524a3e1
cp::CPDriverSend - /SUCCESS/
cp::LOGIT - Detour_GenerateSPI - ok
cp::LOGIT - Detour_GetQMOffer - cp
cp::LOGIT - Detour_GetQMOffer - ok
cp::LOGIT - Detour_Throw - ok
cp::LOGIT - Detour_Throw - original
cp::LOGIT - Detour_EncryptPayload - cp
cp::CPEncryptQM - in
cp::CPEncryptQM - /SUCCESS/
cp::CPEncryptQM - in
cp::CPEncryptQM - /SUCCESS/
cp::LOGIT - Detour_EncryptPayload - ok
cp::CPInfoThread - SA statistic:
cp::CPInfoThread - 1 (MMs), 1 (QMs), 2 (SPIs)
cp::CPInfoThread - <-> stats:
cp::CPInfoThread - SPI: '87532feb' -> (0)
cp::CPInfoThread - SPI: '5524a3e1' <- (1)
cp::CPInfoThread - <-> stats:
cp::CPInfoThread - SPI: '87532feb' -> (0)
cp::CPInfoThread - SPI: '5524a3e1' <- (1)
cp::LOGIT - Detour_DecryptPayload - cp
cp::CPDecryptQM - in
cp::CPDecryptQM - /SUCCESS/
cp::LOGIT - Detour_DecryptPayload - ok
cp::LOGIT - Detour_VerifyHashND - cp
cp::CPVerifyHashQM - in
cp::logger_func - IKE.API - p2_VerifyAFn sid=04415180.
cp::CPVerifyHashQM - /SUCCESS/
cp::LOGIT - Detour_VerifyHashND - ok
cp::CPCloseQM - in
cp::CPCloseQM - /SUCCESS/
cp::LOGIT - Detour_GetQMOffer - cp
cp::LOGIT - Detour_GetQMOffer - ok
cp::LOGIT - Detour_ConstructHashQM_blank - cp
cp::LOGIT - Detour_ConstructHashQM_blank - ok
cp::LOGIT - Detour_ConstructHashND - cp
cp::CPCreateQM - in
cp::CPCreateQM - MSGID = 61e8b10a
cp::CPCreateQM - /SUCCESS/
cp::LOGIT - IkeCPRecordAdd - ok
cp::CPCreateHashQM - in
cp::logger_func - IKE.API - p2_HashAFn sid=04415180.
cp::CPCreateHashQM - /SUCCESS/
cp::LOGIT - Detour_ConstructHashND - ok
cp::CPCloseQM - in
cp::CPCloseQM - /SUCCESS/
cp::LOGIT - Detour_Throw - ok
cp::LOGIT - Detour_Throw - original
cp::LOGIT - Detour_EncryptPayload - cp
cp::CPCreateQM - in
cp::CPCreateQM - MSGID = 61e8b10a
cp::CPCreateQM - /SUCCESS/
cp::LOGIT - IkeCPRecordAdd - ok
cp::CPEncryptQM - in
cp::CPEncryptQM - /SUCCESS/
cp::CPEncryptQM - in
cp::CPEncryptQM - /SUCCESS/
cp::LOGIT - Detour_EncryptPayload - ok
cp::CPCloseQM - in
cp::CPCloseQM - /SUCCESS/
cp::LOGIT - Detour_ConstructHashQM_blank - cp
cp::LOGIT - Detour_ConstructHashQM_blank - ok
cp::CPInfoThread - SA statistic:
cp::LOGIT - Detour_ConstructHashND - cp
cp::CPInfoThread - 1 (MMs), 0 (QMs), 0 (SPIs)
cp::CPCreateQM - in
cp::CPCreateQM - MSGID = 6b941619
cp::CPCreateQM - /SUCCESS/
cp::LOGIT - IkeCPRecordAdd - ok
cp::CPCreateHashQM - in
cp::logger_func - IKE.API - p2_HashAFn sid=04415180.
cp::CPCreateHashQM - /SUCCESS/
cp::LOGIT - Detour_ConstructHashND - ok
cp::CPCloseQM - in
cp::CPCloseQM - /SUCCESS/
cp::LOGIT - Detour_Throw - ok
cp::LOGIT - Detour_Throw - original
cp::LOGIT - Detour_EncryptPayload - cp
cp::CPCreateQM - in
cp::CPCreateQM - MSGID = 6b941619
cp::CPCreateQM - /SUCCESS/
cp::LOGIT - IkeCPRecordAdd - ok
cp::CPEncryptQM - in
cp::CPEncryptQM - /SUCCESS/
cp::CPEncryptQM - in
cp::CPEncryptQM - /SUCCESS/
cp::LOGIT - Detour_EncryptPayload - ok
cp::CPCloseQM - in
cp::CPCloseQM - /SUCCESS/
cp::LOGIT - Detour_FreeQM - cp
cp::LOGIT - Detour_FreeMM - cp
cp::CPCloseMM - in
cp::CPCloseMM - /SUCCESS/
cp::CPInfoThread - SA statistic:
cp::CPInfoThread - 0 (MMs), 0 (QMs), 0 (SPIs)


также на обоих узлах вываливается ошибка IAS #5052
и на одном из узлов иногда ipsecevents #8000

куда копать?
Offline Дмитрий Пичулин  
#38 Оставлено : 7 октября 2010 г. 20:02:10(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,200
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 213 раз в 183 постах
> куда копать?

Вот эти строчки:
Цитата:
cp::CPInfoThread - 1 (MMs), 1 (QMs), 2 (SPIs)
cp::CPInfoThread - <-> stats:
cp::CPInfoThread - SPI: '87532feb' -> (0)
cp::CPInfoThread - SPI: '5524a3e1' <- (1)


означают, что установлено соединение по КриптоПро IPsec. То есть, успешно пройдены 1 и 2 фаза IKE и организованы 2 соединения по протоколу ESP. Видим уникальный номер SPI, его направление ("->", "<-"), и в скобках количество пакетов, переданных по соответствующему SPI. Видим, что один из site-ов молчит. Хорошо бы иметь логи с обоих site-ов, участвующих в соединении.

Если же на обоих машинах соединение по КриптоПро IPsec прошло успешно (и мы видим по 2 SPI на каждой), то скорее всего, причина находится не в компетенции IPsec, так как ошибок, связанных с КриптоПро IPsec, в логе не наблюдается.

Самый простой способ убедиться, что стенд все же работает, поменять протокол L2TP IPsec на PPTP. Так как протокол PPTP более простой, это может помочь отсечь многие варианты ошибок. Но, как правило, способ организации туннеля (PPTP или L2TP IPsec) не влияет на ошибки связанные с работой по дальнейшей аутентификации сторон.

Если тест с использованием протокола PPTP все же проходит, мы постараемся в ближайшее время выложить обновленную версию дистрибутива, в которой были исправлены некоторые неточности, возможно, касающиеся данного случая.
Знания в базе знаний, поддержка в техподдержке
Offline SEA  
#39 Оставлено : 7 октября 2010 г. 20:27:10(UTC)
SEA

Статус: Новичок

Группы: Участники
Зарегистрирован: 07.10.2010(UTC)
Сообщений: 3

Код:
cp::LOGIT - Detour_oakley_esp_ipsec2doi - cp
cp::LOGIT - Detour_oakley_esp_ipsec2doi - cp
cp::LOGIT - Detour_oakley_esp_ipsec2doi - cp
cp::LOGIT - Detour_oakley_esp_ipsec2doi - cp
cp::LOGIT - Detour_CopyMMSimple - call
cp::LOGIT - Detour_CopyMMSimple - call
cp::LOGIT - Detour_CopyMMSimple - call
cp::LOGIT - Detour_CopyMMSimple - call
cp::LOGIT - Detour_oakley_esp_ipsec2doi - cp
cp::LOGIT - Detour_ATTS_2_SA - cp
cp::CPCreateMM_simple - Signature (Certificate)
cp::CPCreateMM - in
cp::logger_func - IKE.API - p1_CreateFn:197 sid=023142E0. $Date: 2010-08-04 16:2
2:30 +0400 (╨б╤А, 04 ╨░╨▓╨│ 2010) $
cp::CPCreateMM - /SUCCESS/
cp::LOGIT - IkeCPRecordAdd - ok
cp::LOGIT - Detour_ATTS_2_SA - responder
cp::CPGenDHPublicMM - in
cp::CPGenDHPublicMM - /SUCCESS/
cp::LOGIT - Detour_ATTS_2_SA - ok
cp::LOGIT - Detour_BasicAtt - cp
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_Throw - ok
cp::LOGIT - Detour_Throw - original
cp::LOGIT - Detour_GenerateDH - cp
cp::LOGIT - Detour_GenerateDH - ok
cp::LOGIT - Detour_GenerateDHShared - cp
cp::LOGIT - Detour_GenerateDHShared - ok
cp::LOGIT - Detour_ConstructNonce - cp
cp::LOGIT - Detour_ConstructNonce - ok
cp::LOGIT - Detour_Throw - ok
cp::LOGIT - Detour_Throw - original
cp::LOGIT - Detour_GenerateSKEYIDs - cp
cp::LOGIT - Detour_GenerateSKEYIDs - responder
cp::CPAgreeSkeyid - in
cp::logger_func - IKE.API - p1_CreateSK sid=023142E0.
cp::CPAgreeSkeyid - /SUCCESS/
cp::LOGIT - Detour_GenerateSKEYIDs - ok
cp::LOGIT - Detour_DecryptPayload - cp
cp::CPDecryptMM - in
cp::CPDecryptMM - /SUCCESS/
cp::LOGIT - Detour_DecryptPayload - ok
cp::LOGIT - Detour_VerifyCertStore - cp
cp::LOGIT - Detour_CheckCertKeyType - cp
cp::LOGIT - Detour_CheckCertKeyType - Its OK
cp::LOGIT - Detour_CheckCertKeyType - ok
cp::LOGIT - Detour_VerifyCertStore - Its OK
cp::CPSetOtherCert - in
cp::logger_func - IKE.API - p1_SetOtherCertFn sid=023142E0.
cp::CPSetOtherCert - /SUCCESS/
cp::LOGIT - Detour_VerifyCertStore - ok
cp::LOGIT - Detour_ProcessCertSig - cp
cp::CPVerifyHashMM - in
cp::logger_func - IKE.API - p1_VerifyIRFn sid=023142E0.
cp::CPVerifyHashMM - /SUCCESS/
cp::LOGIT - Detour_ProcessCertSig - ok
cp::LOGIT - Detour_CheckCertKeyType - cp
cp::LOGIT - Detour_CheckCertKeyType - Its OK
cp::LOGIT - Detour_CheckCertKeyType - ok
cp::LOGIT - Detour_ConstructCertSig - cp
cp::CPSetMyCertProv - in
cp::logger_func - IKE.API - p1_SetMyCertProvFn sid=023142E0.
cp::CPSetMyCertProv - /SUCCESS/
cp::CPCreateHashMM - in
cp::logger_func - IKE.API - p1_AuthIRFn sid=023142E0.
cp::CPCreateHashMM - /SUCCESS/
cp::LOGIT - Detour_ConstructCertSig - ok
cp::LOGIT - Detour_Throw - ok
cp::LOGIT - Detour_Throw - original
cp::LOGIT - Detour_EncryptPayload - cp
cp::CPEncryptMM - in
cp::CPEncryptMM - /SUCCESS/
cp::CPEncryptMM - in
cp::CPEncryptMM - /SUCCESS/
cp::LOGIT - Detour_EncryptPayload - ok
cp::LOGIT - Detour_InitQM - cp
cp::CPCreateQM - in
cp::CPCreateQM - MSGID = baa8a998
cp::CPCreateQM - /SUCCESS/
cp::LOGIT - IkeCPRecordAdd - ok
cp::LOGIT - Detour_InitQM - ok
cp::LOGIT - Detour_DecryptPayload - cp
cp::CPDecryptQM - in
cp::CPDecryptQM - /SUCCESS/
cp::LOGIT - Detour_DecryptPayload - ok
cp::LOGIT - Detour_VerifyHashQM - cp
cp::CPVerifyHashQM - in
cp::logger_func - IKE.API - p2_VerifyAFn sid=02315388.
cp::CPVerifyHashQM - /SUCCESS/
cp::LOGIT - Detour_VerifyHashQM - ok
cp::LOGIT - Detour_ParseTransform - call
cp::LOGIT - Detour_ParseTransform - call
cp::LOGIT - Detour_ParseTransform - call
cp::LOGIT - Detour_ParseTransform - call
cp::LOGIT - Detour_ParseTransform - call
cp::LOGIT - Detour_ParseTransform - call
cp::LOGIT - Detour_ParseTransform - call
cp::LOGIT - Detour_ParseTransform - call
cp::LOGIT - Detour_ParseTransform - call
cp::LOGIT - Detour_ParseTransform - call
cp::LOGIT - Detour_ParseTransform - call
cp::LOGIT - Detour_ParseTransform - call
cp::LOGIT - Detour_ParseTransform - call
cp::LOGIT - Detour_ParseTransform - call
cp::LOGIT - Detour_ParseTransform - call
cp::LOGIT - Detour_ParseTransform - call
cp::LOGIT - Detour_ParseTransform - call
cp::LOGIT - Detour_ParseTransform - call
cp::LOGIT - Detour_ParseTransform - call
cp::LOGIT - Detour_ParseTransform - call
cp::LOGIT - Detour_policy_esp_ipsec2doi - cp
cp::LOGIT - Detour_policy_hmac_ipsec2doi - cp
cp::LOGIT - Detour_policy_esp_ipsec2doi - cp
cp::LOGIT - Detour_policy_hmac_ipsec2doi - cp
cp::LOGIT - Detour_policy_esp_ipsec2doi - original
cp::LOGIT - Detour_policy_hmac_ipsec2doi - original
cp::LOGIT - Detour_policy_esp_ipsec2doi - original
cp::LOGIT - Detour_policy_hmac_ipsec2doi - original
cp::LOGIT - Detour_policy_esp_ipsec2doi - original
cp::LOGIT - Detour_policy_hmac_ipsec2doi - original
cp::LOGIT - Detour_policy_esp_ipsec2doi - original
cp::LOGIT - Detour_policy_hmac_ipsec2doi - original
cp::LOGIT - Detour_policy_esp_ipsec2doi - cp
cp::LOGIT - Detour_policy_hmac_ipsec2doi - cp
cp::LOGIT - Detour_policy_esp_ipsec2doi - cp
cp::LOGIT - Detour_policy_hmac_ipsec2doi - cp
cp::LOGIT - Detour_policy_esp_ipsec2doi - original
cp::LOGIT - Detour_policy_hmac_ipsec2doi - original
cp::LOGIT - Detour_policy_esp_ipsec2doi - original
cp::LOGIT - Detour_policy_hmac_ipsec2doi - original
cp::LOGIT - Detour_policy_esp_ipsec2doi - original
cp::LOGIT - Detour_policy_hmac_ipsec2doi - original
cp::LOGIT - Detour_policy_esp_ipsec2doi - original
cp::LOGIT - Detour_policy_hmac_ipsec2doi - original
cp::LOGIT - Detour_policy_esp_ipsec2doi - cp
cp::LOGIT - Detour_policy_hmac_ipsec2doi - cp
cp::LOGIT - Detour_policy_esp_ipsec2doi - cp
cp::LOGIT - Detour_policy_hmac_ipsec2doi - cp
cp::LOGIT - Detour_policy_esp_ipsec2doi - cp
cp::LOGIT - Detour_policy_hmac_ipsec2doi - cp
cp::LOGIT - Detour_ConstructHashQM_blank - cp
cp::LOGIT - Detour_ConstructHashQM_blank - ok
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - cp
cp::LOGIT - Detour_ConstructNonceQM - cp
cp::CPGenDHPublicQM - in
cp::logger_func - IKE.API - p2_SetupFn sid=02315388.
cp::CPGenDHPublicQM - /SUCCESS/
cp::LOGIT - Detour_ConstructHashQM - cp
cp::CPCreateHashQM - in
cp::logger_func - IKE.API - p2_HashAFn sid=02315388.
cp::CPCreateHashQM - /SUCCESS/
cp::LOGIT - Detour_Throw - ok
cp::LOGIT - Detour_Throw - original
cp::LOGIT - Detour_EncryptPayload - cp
cp::CPEncryptQM - in
cp::CPEncryptQM - /SUCCESS/
cp::CPEncryptQM - in
cp::CPEncryptQM - /SUCCESS/
cp::LOGIT - Detour_EncryptPayload - ok
cp::LOGIT - Detour_DecryptPayload - cp
cp::CPDecryptQM - in
cp::CPDecryptQM - /SUCCESS/
cp::LOGIT - Detour_DecryptPayload - ok
cp::LOGIT - Detour_VerifyHashQM - cp
cp::CPAgreePFS - in
cp::logger_func - IKE.API - p2_AgreeFn sid=02315388. return OK
cp::CPAgreePFS - /SUCCESS/
cp::CPVerifyFinalHashQM - in
cp::logger_func - IKE.API - p2_Verify3Fn sid=02315388.
cp::CPVerifyFinalHashQM - /SUCCESS/
cp::LOGIT - Detour_VerifyHashQM - ok
cp::LOGIT - Detour_GenerateSPI - cp
cp::CPInitDriver - in
cp::CPInitDriver - /SUCCESS/
cp::CPSerializeQM - in
cp::logger_func - IKE.API - spiSerializeFn:797 sid=02315388. return OK
cp::CPSerializeQM - /SUCCESS/
cp::CPDriverSend - in
cp::CPDriverSend - SPI = 0x87532feb
cp::CPDriverSend - /SUCCESS/
cp::LOGIT - Detour_GenerateSPI - ok
cp::LOGIT - Detour_GenerateSPI - cp
cp::CPInitDriver - in
cp::CPInitDriver - /SUCCESS/
cp::CPSerializeQM - in
cp::logger_func - IKE.API - spiSerializeFn:797 sid=02315388. return OK
cp::CPSerializeQM - /SUCCESS/
cp::CPDriverSend - in
cp::CPDriverSend - SPI = 0x5524a3e1
cp::CPDriverSend - /SUCCESS/
cp::LOGIT - Detour_GenerateSPI - ok
cp::LOGIT - Detour_GetQMOffer - cp
cp::LOGIT - Detour_GetQMOffer - ok
cp::LOGIT - Detour_policy_esp_ipsec2doi - original
cp::LOGIT - Detour_policy_hmac_ipsec2doi - original
cp::LOGIT - Detour_ConstructHashQM_blank - cp
cp::LOGIT - Detour_ConstructHashQM_blank - ok
cp::LOGIT - Detour_ConstructHashQM - cp
cp::CPCreateHashQM - in
cp::logger_func - IKE.API - p2_HashAFn sid=02315388.
cp::CPCreateHashQM - /SUCCESS/
cp::LOGIT - Detour_Throw - ok
cp::LOGIT - Detour_Throw - original
cp::LOGIT - Detour_EncryptPayload - cp
cp::CPEncryptQM - in
cp::CPEncryptQM - /SUCCESS/
cp::CPEncryptQM - in
cp::CPEncryptQM - /SUCCESS/
cp::LOGIT - Detour_EncryptPayload - ok
cp::CPInfoThread - SA statistic:
cp::CPInfoThread - 1 (MMs), 1 (QMs), 2 (SPIs)
cp::CPInfoThread - <-> stats:
cp::CPInfoThread - SPI: '87532feb' <- (1)
cp::CPInfoThread - SPI: '5524a3e1' -> (1)
cp::CPInfoThread - <-> stats:
cp::CPInfoThread - SPI: '87532feb' <- (1)
cp::CPInfoThread - SPI: '5524a3e1' -> (1)
cp::LOGIT - Detour_DecryptPayload - cp
cp::CPCreateQM - in
cp::CPCreateQM - MSGID = 61e8b10a
cp::CPCreateQM - /SUCCESS/
cp::LOGIT - IkeCPRecordAdd - ok
cp::CPDecryptQM - in
cp::CPDecryptQM - /SUCCESS/
cp::LOGIT - Detour_DecryptPayload - ok
cp::CPCloseQM - in
cp::CPCloseQM - /SUCCESS/
cp::LOGIT - Detour_VerifyHashND - cp
cp::CPCreateQM - in
cp::CPCreateQM - MSGID = 61e8b10a
cp::CPCreateQM - /SUCCESS/
cp::LOGIT - IkeCPRecordAdd - ok
cp::CPVerifyHashQM - in
cp::logger_func - IKE.API - p2_VerifyAFn sid=02315B08.
cp::CPVerifyHashQM - /SUCCESS/
cp::LOGIT - Detour_VerifyHashND - ok
cp::CPCloseQM - in
cp::CPCloseQM - /SUCCESS/
cp::CPInfoThread - SA statistic:
cp::CPInfoThread - 1 (MMs), 1 (QMs), 1 (SPIs)
cp::CPInfoThread - <-> stats:
cp::CPInfoThread - SPI: '87532feb' <- (17)
cp::LOGIT - Detour_DecryptPayload - cp
cp::CPCreateQM - in
cp::CPCreateQM - MSGID = 6b941619
cp::CPCreateQM - /SUCCESS/
cp::LOGIT - IkeCPRecordAdd - ok
cp::CPDecryptQM - in
cp::CPDecryptQM - /SUCCESS/
cp::LOGIT - Detour_DecryptPayload - ok
cp::CPCloseQM - in
cp::CPCloseQM - /SUCCESS/
cp::LOGIT - Detour_VerifyHashND - cp
cp::CPCreateQM - in
cp::CPCreateQM - MSGID = 6b941619
cp::CPCreateQM - /SUCCESS/
cp::LOGIT - IkeCPRecordAdd - ok
cp::CPVerifyHashQM - in
cp::logger_func - IKE.API - p2_VerifyAFn sid=02315B08.
cp::CPVerifyHashQM - /SUCCESS/
cp::LOGIT - Detour_VerifyHashND - ok
cp::CPCloseQM - in
cp::CPCloseQM - /SUCCESS/
cp::CPInfoThread - <-> stats:
cp::CPInfoThread - SPI: '87532feb' <- (17)
cp::CPInfoThread - <-> stats:
cp::CPInfoThread - SPI: '87532feb' <- (17)
cp::CPInfoThread - <-> stats:
cp::CPInfoThread - SPI: '87532feb' <- (17)
cp::CPInfoThread - <-> stats:
cp::CPInfoThread - SPI: '87532feb' <- (17)
cp::LOGIT - Detour_FreeQM - cp
cp::CPCloseQM - in
cp::CPCloseQM - /SUCCESS/
cp::LOGIT - Detour_FreeMM - cp
cp::CPCloseMM - in
cp::CPCloseMM - /SUCCESS/
cp::CPInfoThread - SA statistic:
cp::CPInfoThread - 0 (MMs), 0 (QMs), 1 (SPIs)
cp::CPInfoThread - <-> stats:
cp::CPInfoThread - SPI: '87532feb' <- (17)
cp::CPInfoThread - <-> stats:
cp::CPInfoThread - SPI: '87532feb' <- (17)
cp::CPInfoThread - <-> stats:
cp::CPInfoThread - SPI: '87532feb' <- (17)
cp::CPInfoThread - SA statistic:
cp::CPInfoThread - 0 (MMs), 0 (QMs), 0 (SPIs)


прощупрощения, это лог с отвечающего сервера, там вроде поменьше идёт информации, но где-то с конца должен быть этот сеанс.
да, попробую пптп канал. и ещё раз стенд с нуля разверну.
кстати, клиентское соединение, через создание подключения удалённого доступа, отрабатывается нормально.
Offline Дмитрий Пичулин  
#40 Оставлено : 7 октября 2010 г. 20:31:29(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,200
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 213 раз в 183 постах
>кстати, клиентское соединение, через создание подключения удалённого доступа, отрабатывается нормально.

Значит, скорее всего, во взаимной аутентификации серверов проблема. Функционал КриптоПро IPsec в этом логе тоже отрабатывается до конца.

Цитата:
cp::CPInfoThread - 1 (MMs), 1 (QMs), 2 (SPIs)
cp::CPInfoThread - <-> stats:
cp::CPInfoThread - SPI: '87532feb' <- (1)
cp::CPInfoThread - SPI: '5524a3e1' -> (1)
Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
6 Страницы<1234>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.