Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

6 Страницы<12345>»
Опции
К последнему сообщению К первому непрочитанному
Offline Mishel  
#41 Оставлено : 8 октября 2010 г. 18:42:17(UTC)
Mishel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.09.2010(UTC)
Сообщений: 36

Добрый день, сейчас созванивался по контактам которые Вы указали на предмет того чтобы прийти к вам в офис за виртуальными машинами. Меня попросили, чтобы я сообщил с кем конкретно я общался или чтобы Вы сами подошли в коммерческий отдел. Ваших личных данных я не знаю...прошу сообщить их мне на мыло или сообщить здесь об успешном согласовании вопроса, если это возможно..

Отредактировано пользователем 8 октября 2010 г. 19:29:33(UTC)  | Причина: Не указана

Offline Mishel  
#42 Оставлено : 18 октября 2010 г. 13:49:53(UTC)
Mishel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.09.2010(UTC)
Сообщений: 36

Добрый день, с конфигурацией site-to-site разобрались самостоятельно, дело было в системных настройках...Теперь такой вопрос - режим Nat-traversal ваш продукт поддерживает?
Offline Дмитрий Пичулин  
#43 Оставлено : 18 октября 2010 г. 13:57:10(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,200
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 213 раз в 183 постах
> режим Nat-traversal ваш продукт поддерживает?

Да.
К сожалению, тестов в этом режиме мы проделали минимальное необходимое количество, то есть, просто убедились, что в определенных условиях корректный переход на udp 4500 происходит. Поэтому, отзыв по этому режиму был бы интересен: получилось/не получилось, в каких условиях.
Знания в базе знаний, поддержка в техподдержке
Offline ilyha  
#44 Оставлено : 19 октября 2010 г. 17:33:13(UTC)
ilyha

Статус: Новичок

Группы: Участники
Зарегистрирован: 17.09.2010(UTC)
Сообщений: 4

Всем доброго дня.
Подскажите пожалуйста IPSec является законченным продуктом? Просто в описании написано "КриптоПро IPsec находится на этапе сертификации в ФСБ России." - то есть еще не сертифицирован?
И с версией СКЗИ КриптоПро CSP 3.0 не совместим?
Offline Дмитрий Пичулин  
#45 Оставлено : 19 октября 2010 г. 17:38:46(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,200
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 213 раз в 183 постах
> IPSec является законченным продуктом?

нет. по плану: конец этого года.

> то есть еще не сертифицирован?

как только, так сразу.

> И с версией СКЗИ КриптоПро CSP 3.0 не совместим?

да, не совместим. совместим начиная с 3.6.1.

Знания в базе знаний, поддержка в техподдержке
Offline Mishel  
#46 Оставлено : 19 октября 2010 г. 20:04:47(UTC)
Mishel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.09.2010(UTC)
Сообщений: 36

Добрый день, сегодня проверял работу в режиме NAT-traversal..Использовал последнюю версию, которую вы мне высылали 3 недели назад..Результат - VPN не устанавливалось, отслеживал на устройстве NAT соединение с 4500 UDP-портом даже не поднимается...Для чистоты проверял режим как с сертифкатами так и с PSK, результат одинаковый, при отключении NAT VPN устанавливалось, для пущей проверки деинсталировал КриптоПро IPSec, поставил ключи PSK (чтобы не генерить заново сертификаты) и VPN поднялось при включенном NAT, при этом в логах натирующего шлюза отображается как устанавливается соединение с портом 4500..

Может быть в более новой версии у вас этот режим работает?
Offline Дмитрий Пичулин  
#47 Оставлено : 19 октября 2010 г. 20:09:24(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,200
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 213 раз в 183 постах
> Может быть в более новой версии у вас этот режим работает?

Вчера выложили свежую версию 1.0.0310:
http://www.cryptopro.ru/...oducts/ipsec/install.htm

Вы использовали стенд XP <-> NAT <-> 2003 ?
Знания в базе знаний, поддержка в техподдержке
Offline Mishel  
#48 Оставлено : 19 октября 2010 г. 20:15:57(UTC)
Mishel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.09.2010(UTC)
Сообщений: 36

Да использовал стенд XP SP3 <-> NAT <-> W2003 R2...натировал клиента, читал форумы майкрософт, этот режим у них нормально работает..проверю с новой версией, о результатах сообщу..
Offline Дмитрий Пичулин  
#49 Оставлено : 19 октября 2010 г. 20:17:13(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,200
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 213 раз в 183 постах
собрал стенд XP <-> NAT <-> 2003, переход на 4500 корректный, все работает.

если у вас на 1.0.0310 версии не получится, присылайте логи отладчика cp_ipsec_info, будем разбираться подробнее.
Знания в базе знаний, поддержка в техподдержке
Offline Mishel  
#50 Оставлено : 20 октября 2010 г. 14:18:46(UTC)
Mishel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.09.2010(UTC)
Сообщений: 36

Добрый день, сегодня попробовали на стенде новую версию...Все работает, NAT-T успешно поддерживается..
Вопрос по возможностям...пока ещё данный продукт работает только с сертификатами в реестре? и если да, то планируете ли вы в будущем в этом продукте поддерживать еТокены?

Отредактировано пользователем 20 октября 2010 г. 14:20:35(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#51 Оставлено : 20 октября 2010 г. 15:25:33(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,200
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 213 раз в 183 постах
> Вопрос по возможностям...пока ещё данный продукт работает только с сертификатами в реестре? и если да, то планируете ли вы в будущем в этом продукте поддерживать еТокены?

На самом деле, мы планируем поддерживать большое количество ключевых контейнеров, здесь больше вопрос интерфейса и целесообразности. В оригинальной версии IPsec в Windows не предусмотрено окно ввода пин-пароля или сообщения вида "вставьте ключевой контейнер". На текущий момент, уже есть возможность пользоваться ключевыми контейнерами, в том числе отчуждаемыми, для этого достаточно обратиться к нужному контейнеру (например во вкладке КриптоПро CSP "Сервис" нажать "Протестировать") и при вводе пароля поставить галочку "Запомнить пароль". Этого, как правило, достаточно для того, чтобы КриптоПро IPsec корректно смог воспользоваться данным контекстом.

Очевидно, что данная схема использования ключевых контейнеров не конечный вариант, поэтому нам интересно было бы узнать, какие у вас есть пожелания к интерфейсу.
Знания в базе знаний, поддержка в техподдержке
Offline Mishel  
#52 Оставлено : 20 октября 2010 г. 19:57:19(UTC)
Mishel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.09.2010(UTC)
Сообщений: 36

После установки вашего ПО журнал приложений заполняется ошибками Источник: CProCtrl Код: 256 Ошибка проверки контрольной суммы. Файл: detoured.dll. На работу это не влияет но журнал забивает основательно..
Offline Максим Коллегин  
#53 Оставлено : 21 октября 2010 г. 0:30:08(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,120
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 20 раз
Поблагодарили: 620 раз в 552 постах
Поправим в новой сборке.
Знания в базе знаний, поддержка в техподдержке
Offline Mishel  
#54 Оставлено : 21 октября 2010 г. 18:41:28(UTC)
Mishel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.09.2010(UTC)
Сообщений: 36

Добрый день, сегодня опропбовали продукт на реальной ситуации и с одного из клиентов возникла ошибка 678 о недоступности сервера...при этом с других мест подключения проходили...на проблемном клиенте используется DSL канал 128 кбит..на ИСА смотрели подключения по IKE и IKE-Traversal с этого адреса проходили...у меня возникло сомнение что проблема в характеристиках канала...насколько я помню проблемы с IPSec могут иметь место при фрагментации (в зависимости от значения MTU)...для достоверности выкладываю логи диагностики..

cp::CPEncryptMM - /SUCCESS/
cp::LOGIT - Detour_EncryptPayload - ok
cp::LOGIT - Detour_DecryptPayload - cp
cp::CPDecryptMM - in
cp::CPDecryptMM - /SUCCESS/
cp::LOGIT - Detour_DecryptPayload - ok
cp::LOGIT - Detour_ProcessHash - cp
cp::CPVerifyHashMM - in
cp::logger_func - IKE.API - p1_VerifyIRFn sid=00E04CF8.
cp::CPVerifyHashMM - /SUCCESS/
cp::LOGIT - Detour_ProcessHash - ok
cp::LOGIT - Detour_InitQM - cp
cp::CPCreateQM - in
cp::CPCreateQM - MSGID = d5040691
cp::CPCreateQM - /SUCCESS/
cp::LOGIT - IkeCPRecordAdd - ok
cp::LOGIT - Detour_InitQM - ok
cp::LOGIT - Detour_CopyQMOffer - cp
cp::LOGIT - Detour_CopyQMOffer - cp
cp::LOGIT - Detour_CopyQMOffer - cp
cp::LOGIT - Detour_CopyQMOffer - cp
cp::LOGIT - Detour_CopyQMOffer - cp
cp::LOGIT - Detour_CopyQMOffer - cp
cp::LOGIT - Detour_CopyQMOffer - cp
cp::LOGIT - Detour_CopyQMOffer - cp
cp::LOGIT - Detour_CopyQMOffer - cp
cp::LOGIT - Detour_CopyQMOffer - cp
cp::LOGIT - Detour_CopyQMOffer - cp
cp::LOGIT - Detour_CopyQMOffer - cp
cp::LOGIT - Detour_ConstructHashQM_blank - cp
cp::LOGIT - Detour_ConstructHashQM_blank - ok
cp::LOGIT - Detour_policy_esp_ipsec2doi - cp
cp::LOGIT - Detour_policy_hmac_ipsec2doi - cp
cp::LOGIT - Detour_policy_esp_ipsec2doi - cp
cp::LOGIT - Detour_policy_hmac_ipsec2doi - cp
cp::LOGIT - Detour_policy_hmac_ipsec2doi - original
cp::LOGIT - Detour_policy_esp_ipsec2doi - original
cp::LOGIT - Detour_policy_hmac_ipsec2doi - original
cp::LOGIT - Detour_policy_hmac_ipsec2doi - original
cp::LOGIT - Detour_policy_esp_ipsec2doi - original
cp::LOGIT - Detour_policy_hmac_ipsec2doi - original
cp::LOGIT - Detour_policy_hmac_ipsec2doi - original
cp::LOGIT - Detour_policy_esp_ipsec2doi - original
cp::LOGIT - Detour_policy_hmac_ipsec2doi - original
cp::LOGIT - Detour_policy_hmac_ipsec2doi - original
cp::LOGIT - Detour_policy_esp_ipsec2doi - original
cp::LOGIT - Detour_policy_hmac_ipsec2doi - original
cp::LOGIT - Detour_policy_esp_ipsec2doi - cp
cp::LOGIT - Detour_policy_hmac_ipsec2doi - cp
cp::LOGIT - Detour_policy_esp_ipsec2doi - cp
cp::LOGIT - Detour_policy_hmac_ipsec2doi - cp
cp::LOGIT - Detour_policy_hmac_ipsec2doi - original
cp::LOGIT - Detour_policy_esp_ipsec2doi - original
cp::LOGIT - Detour_policy_hmac_ipsec2doi - original
cp::LOGIT - Detour_policy_hmac_ipsec2doi - original
cp::LOGIT - Detour_policy_esp_ipsec2doi - original
cp::LOGIT - Detour_policy_hmac_ipsec2doi - original
cp::LOGIT - Detour_policy_hmac_ipsec2doi - original
cp::LOGIT - Detour_policy_esp_ipsec2doi - original
cp::LOGIT - Detour_policy_hmac_ipsec2doi - original
cp::LOGIT - Detour_policy_hmac_ipsec2doi - original
cp::LOGIT - Detour_policy_esp_ipsec2doi - original
cp::LOGIT - Detour_policy_hmac_ipsec2doi - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - cp
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - cp
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - cp
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - cp
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_BasicAtt - original
cp::LOGIT - Detour_ConstructNonceQM - cp
cp::CPGenDHPublicQM - in
cp::logger_func - IKE.API - p2_SetupFn sid=00E056B8.
cp::CPGenDHPublicQM - /SUCCESS/
cp::LOGIT - Detour_ConstructHashQM - cp
cp::CPCreateHashQM - in
cp::logger_func - IKE.API - p2_HashAFn sid=00E056B8.
cp::CPCreateHashQM - /SUCCESS/
cp::LOGIT - Detour_EncryptPayload - cp
cp::CPEncryptQM - in
cp::CPEncryptQM - /SUCCESS/
cp::CPEncryptQM - in
cp::CPEncryptQM - /SUCCESS/
cp::LOGIT - Detour_EncryptPayload - ok
cp::LOGIT - Detour_DecryptPayload - cp
cp::CPDecryptQM - in
cp::CPDecryptQM - /SUCCESS/
cp::LOGIT - Detour_DecryptPayload - ok
cp::LOGIT - Detour_VerifyHashQM - cp
cp::CPVerifyHashQM - in
cp::logger_func - IKE.API - p2_VerifyAFn sid=00E056B8.
cp::CPVerifyHashQM - /SUCCESS/
cp::LOGIT - Detour_VerifyHashQM - ok
cp::LOGIT - Detour_ParseTransform - call
cp::LOGIT - Detour_policy_esp_ipsec2doi - cp
cp::LOGIT - Detour_policy_hmac_ipsec2doi - cp
cp::LOGIT - Detour_FinalHashQM - cp
cp::CPAgreePFS - in
cp::logger_func - IKE.API - p2_AgreeFn sid=00E056B8. return OK
cp::CPAgreePFS - /SUCCESS/
cp::CPCreateFinalHashQM - in
cp::logger_func - IKE.API - p2_Hash3Fn sid=00E056B8.
cp::CPCreateFinalHashQM - /SUCCESS/
cp::LOGIT - Detour_FinalHashQM - ok
cp::LOGIT - Detour_GenerateSPI - cp
cp::CPInitDriver - in
cp::CPInitDriver - /SUCCESS/
cp::CPSerializeQM - in
cp::logger_func - IKE.API - spiSerializeFn:797 sid=00E056B8. return OK
cp::CPSerializeQM - /SUCCESS/
cp::CPDriverSend - in
cp::CPDriverSend - SPI = 0x71a2c08c
cp::CPDriverSend - /SUCCESS/
cp::LOGIT - Detour_GenerateSPI - ok
cp::LOGIT - Detour_GenerateSPI - cp
cp::CPInitDriver - in
cp::CPInitDriver - /SUCCESS/
cp::CPSerializeQM - in
cp::logger_func - IKE.API - spiSerializeFn:797 sid=00E056B8. return OK
cp::CPSerializeQM - /SUCCESS/
cp::CPDriverSend - in
cp::CPDriverSend - SPI = 0x6f14a4c7
cp::CPDriverSend - /SUCCESS/
cp::LOGIT - Detour_GenerateSPI - ok
cp::LOGIT - Detour_GetQMOffer - cp
cp::LOGIT - Detour_GetQMOffer - ok
cp::LOGIT - Detour_EncryptPayload - cp
cp::CPEncryptQM - in
cp::CPEncryptQM - /SUCCESS/
cp::CPEncryptQM - in
cp::CPEncryptQM - /SUCCESS/
cp::LOGIT - Detour_EncryptPayload - ok
cp::CPInfoThread - SA statistic:
cp::CPInfoThread - 1 (MMs), 1 (QMs), 2 (SPIs)
cp::CPInfoThread - <-> stats:
cp::CPInfoThread - SPI: '71a2c08c' -> (0)
cp::CPInfoThread - SPI: '6f14a4c7' <- (1)
cp::CPInfoThread - <-> stats:
cp::CPInfoThread - SPI: '71a2c08c' -> (0)
cp::CPInfoThread - SPI: '6f14a4c7' <- (1)
cp::LOGIT - Detour_DecryptPayload - cp
cp::CPDecryptQM - in
cp::CPDecryptQM - /SUCCESS/
cp::LOGIT - Detour_DecryptPayload - ok
cp::LOGIT - Detour_VerifyHashND - cp
cp::CPVerifyHashQM - in
cp::logger_func - IKE.API - p2_VerifyAFn sid=00E056B8.
cp::CPVerifyHashQM - /SUCCESS/
cp::LOGIT - Detour_VerifyHashND - ok
cp::LOGIT - Detour_GetQMOffer - cp
cp::LOGIT - Detour_GetQMOffer - ok
cp::CPInfoThread - <-> stats:
cp::CPInfoThread - SPI: '71a2c08c' -> (1)
cp::CPInfoThread - SPI: '6f14a4c7' <- (1)
cp::CPInfoThread - <-> stats:
cp::CPInfoThread - SPI: '71a2c08c' -> (1)
cp::CPInfoThread - SPI: '6f14a4c7' <- (1)
cp::CPInfoThread - <-> stats:
cp::CPInfoThread - SPI: '71a2c08c' -> (1)
cp::CPInfoThread - SPI: '6f14a4c7' <- (1)
cp::LOGIT - Detour_ConstructHashQM_blank - cp
cp::LOGIT - Detour_ConstructHashQM_blank - ok
cp::LOGIT - Detour_ConstructNonceND - cp
cp::LOGIT - Detour_ConstructNonceND - ok
cp::LOGIT - Detour_ConstructHashND - cp
cp::CPCreateQM - in
cp::CPCreateQM - MSGID = 97ffd604
cp::CPCreateQM - /SUCCESS/
cp::LOGIT - IkeCPRecordAdd - ok
cp::CPCreateHashQM - in
cp::logger_func - IKE.API - p2_HashAFn sid=00E059A8.
cp::CPCreateHashQM - /SUCCESS/
cp::LOGIT - Detour_ConstructHashND - ok
cp::LOGIT - Detour_EncryptPayload - cp
cp::CPEncryptQM - in
cp::CPEncryptQM - /SUCCESS/
cp::CPEncryptQM - in
cp::CPEncryptQM - /SUCCESS/
cp::LOGIT - Detour_EncryptPayload - ok
cp::CPInfoThread - SA statistic:
cp::CPInfoThread - 1 (MMs), 2 (QMs), 0 (SPIs)
cp::LOGIT - Detour_ConstructHashQM_blank - cp
cp::LOGIT - Detour_ConstructHashQM_blank - ok
cp::LOGIT - Detour_ConstructNonceND - cp
cp::LOGIT - Detour_ConstructNonceND - ok
cp::LOGIT - Detour_ConstructHashND - cp
cp::CPCreateQM - in
cp::CPCreateQM - MSGID = 9f8de4fa
cp::CPCreateQM - /SUCCESS/
cp::LOGIT - IkeCPRecordAdd - ok
cp::CPCreateHashQM - in
cp::logger_func - IKE.API - p2_HashAFn sid=00E05120.
cp::CPCreateHashQM - /SUCCESS/
cp::LOGIT - Detour_ConstructHashND - ok
cp::LOGIT - Detour_EncryptPayload - cp
cp::CPEncryptQM - in
cp::CPEncryptQM - /SUCCESS/
cp::CPEncryptQM - in
cp::CPEncryptQM - /SUCCESS/
cp::LOGIT - Detour_EncryptPayload - ok
cp::CPInfoThread - SA statistic:
cp::CPInfoThread - 1 (MMs), 3 (QMs), 0 (SPIs)
cp::LOGIT - Detour_DecryptPayload - cp
cp::CPDecryptQM - in
cp::CPDecryptQM - /SUCCESS/
cp::LOGIT - Detour_DecryptPayload - ok
cp::LOGIT - Detour_VerifyHashND - cp
cp::CPVerifyHashQM - in
cp::logger_func - IKE.API - p2_VerifyAFn sid=00E059A8.
cp::CPVerifyHashQM - /SUCCESS/
cp::LOGIT - Detour_VerifyHashND - ok
cp::LOGIT - Detour_DecryptPayload - cp
cp::CPDecryptQM - in
cp::CPDecryptQM - /SUCCESS/
cp::LOGIT - Detour_DecryptPayload - ok
cp::LOGIT - Detour_VerifyHashND - cp
cp::CPVerifyHashQM - in
cp::logger_func - IKE.API - p2_VerifyAFn sid=00E05120.
cp::CPVerifyHashQM - /SUCCESS/
cp::LOGIT - Detour_VerifyHashND - ok
cp::LOGIT - Detour_FreeQM - cp
cp::CPCloseQM - in
cp::CPCloseQM - /SUCCESS/
cp::LOGIT - Detour_FreeMM - cp
cp::CPCloseMM - in
cp::CPCloseMM - /SUCCESS/
cp::CPCloseQM - in
cp::CPCloseQM - /SUCCESS/
cp::CPCloseQM - in
cp::CPCloseQM - /SUCCESS/

Что можете сказать по данной проблеме?
Offline Дмитрий Пичулин  
#55 Оставлено : 21 октября 2010 г. 18:49:18(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,200
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 213 раз в 183 постах
Видим:
Цитата:
cp::CPInfoThread - 1 (MMs), 1 (QMs), 2 (SPIs)

Цитата:
cp::CPInfoThread - SPI: '71a2c08c' -> (1)
cp::CPInfoThread - SPI: '6f14a4c7' <- (1)


что означает IPsec соединение поднялось, далее начинает работать аутентификация клиента на сервере и похоже кто-то молчит.

Варианты:
1) проверить те же условия в режиме PPTP, это исключит наше вмешательство IPsec-ом
2) рассказать подробнее про используемые mtu, наши тесты с различными mtu не выявили каких-то различий в работе по умолчанию.
Знания в базе знаний, поддержка в техподдержке
Offline Mishel  
#56 Оставлено : 21 октября 2010 г. 19:26:19(UTC)
Mishel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.09.2010(UTC)
Сообщений: 36

по PPTP канал поднимается без проблем...там стоит DSL-маршрутизатор DLink у которого связь идет по PPPoE, для этой линии выставлено знаечение MTU 1492
Offline Дмитрий Пичулин  
#57 Оставлено : 21 октября 2010 г. 19:47:41(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,200
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 213 раз в 183 постах
> для этой линии выставлено знаечение MTU 1492

http://support.microsoft.com/kb/283165/ru

скорее всего дело в mtu, так как IPsec в режиме NAT-T требует дополнительно около 40 байт, по идее конечно ОС должна сама все решить и скорректировать, но возможно где-то мы что-то не учитываем. предлагаю воспользоваться советом Microsoft.

(еще здесь http://www.domolink.ru/f...showthread.php?p=161870)

Отредактировано пользователем 21 октября 2010 г. 19:49:11(UTC)  | Причина: Не указана

Знания в базе знаний, поддержка в техподдержке
Offline Mishel  
#58 Оставлено : 26 октября 2010 г. 19:48:44(UTC)
Mishel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.09.2010(UTC)
Сообщений: 36

Добрый день...по поводу описанной выше проблемы, выяснили причину...оказалось все дело в установленных версиях КриптоПро CSP, глюки были когда пытались использовать версию продукта 3.6.5402, корректно работает только с версией 3.6.6497...причем сложность выявления ещё была в том, что на старых версиях КриптоПРО IPSec все работало нормально с обеими версиями, но там не поддерживался NAT-Traversal..
Offline Mishel  
#59 Оставлено : 3 ноября 2010 г. 16:21:31(UTC)
Mishel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.09.2010(UTC)
Сообщений: 36

Добрый день...в процессе тестовой эксплуатации IPSEC Крипто ПРО выявилась следующая проблема. При многократном подключении пользователей к шлюзу безопасности (для проверки были проведены 3 сеанса) происходит зависание шлюза...Причем первые 2-3 сеанса проходят нормально (правда сеансы были недолгие, порядка минуты, в процессе сеанса подключались к удаленному рабочему столу машины за шлюзом, запускали проводник, делали пару операрций и отключались)..Ни дампов, ни презагрузки не происходит - на мониторе черный экран, по сети соответсвенно тоже ответов нет..
Offline Дмитрий Пичулин  
#60 Оставлено : 3 ноября 2010 г. 16:24:32(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,200
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 213 раз в 183 постах
Можно поподробнее: конфигурация windows 2003 R2 обычный RAS? черный экран на сервере RAS... и помогает только ресет?
Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
6 Страницы<12345>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.