Atom Лента - Форум КриптоПро - Тема:Windows 10 стандартный клиент VPN и Stonesoft FW/VPN GOST - 10Форум КриптоПро - Atom Лентаurn:https:--www-cryptopro-ru:AtomLenta:ForumKriptoPro:Tema:Windows10standartnyjjklientVPNiStonesoftFW/VPNGOST-10:1Copyright 2024 Форум КриптоПро2024-03-28T21:31:09Zhttps://www.cryptopro.ru/forum2/Images/YAFLogo.pngForum Adminhttps://www.cryptopro.ruforum@cryptopro.rurav_70https://www.cryptopro.ru/forum2/default.aspx?g=profile&u=37079&name=rav_70rav_70https://www.cryptopro.ru/forum2/default.aspx?g=profile&u=37079&name=rav_70pdhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=6841&name=pdrav_70https://www.cryptopro.ru/forum2/default.aspx?g=profile&u=37079&name=rav_70pdhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=6841&name=pdrav_70https://www.cryptopro.ru/forum2/default.aspx?g=profile&u=37079&name=rav_70pdhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=6841&name=pdrav_70https://www.cryptopro.ru/forum2/default.aspx?g=profile&u=37079&name=rav_70pdhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=6841&name=pdrav_70https://www.cryptopro.ru/forum2/default.aspx?g=profile&u=37079&name=rav_70pdhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=6841&name=pdYetAnotherForum.NETurn:https:--www-cryptopro-ru:ftPosts:st1:meid67168:1Windows 10 стандартный клиент VPN и Stonesoft FW/VPN GOST<table class="content postContainer_Alt" width="100%"><tr><td>Ясно... (<br /><br />Спасибо за помощь.</td></tr></table>2016-02-24T15:53:45+03:002016-02-24T15:53:45+03:00rav_70<table class="content postContainer_Alt" width="100%"><tr><td>Ясно... (<br /><br />Спасибо за помощь.</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid67161:1Windows 10 стандартный клиент VPN и Stonesoft FW/VPN GOST<table class="content postContainer" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: rav_70 <a href="/forum2/default.aspx?g=posts&m=67160#post67160"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Посмотрите варианты настройки сертификатов на сервере...</div></div><br />Как уже было сказано, так как Windows не поддерживает Transaction Exchanges, которые присутствуют во всех дампах соединений StoneSoft между собой, пространство для манёвров отсутствует.<br /><br />Также замечено отсутствие алгоритмов ГОСТ в выборе групп Диффи-Хеллмана в настройках сервера:<br /><br />[attach]3167[/attach]</td></tr></table>2016-02-24T14:28:15+03:002016-02-24T14:28:15+03:00pd<table class="content postContainer" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: rav_70 <a href="/forum2/default.aspx?g=posts&m=67160#post67160"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Посмотрите варианты настройки сертификатов на сервере...</div></div><br />Как уже было сказано, так как Windows не поддерживает Transaction Exchanges, которые присутствуют во всех дампах соединений StoneSoft между собой, пространство для манёвров отсутствует.<br /><br />Также замечено отсутствие алгоритмов ГОСТ в выборе групп Диффи-Хеллмана в настройках сервера:<br /><br />[attach]3167[/attach]</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid67160:1Windows 10 стандартный клиент VPN и Stonesoft FW/VPN GOST<table class="content postContainer_Alt" width="100%"><tr><td>Посмотрите варианты настройки сертификатов на сервере...<br />[attach]3166[/attach]</td></tr></table>2016-02-24T14:14:32+03:002016-02-24T14:14:32+03:00rav_70<table class="content postContainer_Alt" width="100%"><tr><td>Посмотрите варианты настройки сертификатов на сервере...<br />[attach]3166[/attach]</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid67156:1Windows 10 стандартный клиент VPN и Stonesoft FW/VPN GOST<table class="content postContainer" width="100%"><tr><td>Во-первых, клиент StoneSoft VPN посылает два набора идентификаторов. Первый набор в целом соответствует принятым в <a rel="nofollow" href="http://www.tc26.ru/methods/project/ТК26IKE.pdf" title="http://www.tc26.ru/methods/project/ТК26IKE.pdf">ТК26</a>, они входят в область IKE/GOST 1.1 (в Wireshark определяется как Vendor ID: CryptoPro/GOST 1.1). Второй набор тоже из Private диапазона, но мы не смогли его идентифицировать, плюс из ряда вон выходящие значения, например Group-Description: 2048 bit MODP group, которые соответствуют использованию зарубежных алгоритмов. Сервер, который заявляет, что поддерживает IKE/GOST 1.1, выбирает однако transform из второго набора, что сложно объяснить.<br /><br />Во-вторых, сразу после завершения Main Mode следует <a rel="nofollow" href="https://tools.ietf.org/html/draft-dukes-ike-mode-cfg-02" title="https://tools.ietf.org/html/draft-dukes-ike-mode-cfg-02">Transaction Exchanges</a>, что, с большой вероятностью, говорит о проведении дополнительной, так называемой "гибридной", аутентификации.<br /><br />Вывод неутешительный: даже если победить идентификаторы и пройти Main Mode, пройти "гибридную аутентификацию" VPN клиент в Windows никак не сможет.<br /><br /><br /><br /><br /><br /><br /><br /><br />,,..,,</td></tr></table>2016-02-24T13:33:09+03:002016-02-24T13:33:09+03:00pd<table class="content postContainer" width="100%"><tr><td>Во-первых, клиент StoneSoft VPN посылает два набора идентификаторов. Первый набор в целом соответствует принятым в <a rel="nofollow" href="http://www.tc26.ru/methods/project/ТК26IKE.pdf" title="http://www.tc26.ru/methods/project/ТК26IKE.pdf">ТК26</a>, они входят в область IKE/GOST 1.1 (в Wireshark определяется как Vendor ID: CryptoPro/GOST 1.1). Второй набор тоже из Private диапазона, но мы не смогли его идентифицировать, плюс из ряда вон выходящие значения, например Group-Description: 2048 bit MODP group, которые соответствуют использованию зарубежных алгоритмов. Сервер, который заявляет, что поддерживает IKE/GOST 1.1, выбирает однако transform из второго набора, что сложно объяснить.<br /><br />Во-вторых, сразу после завершения Main Mode следует <a rel="nofollow" href="https://tools.ietf.org/html/draft-dukes-ike-mode-cfg-02" title="https://tools.ietf.org/html/draft-dukes-ike-mode-cfg-02">Transaction Exchanges</a>, что, с большой вероятностью, говорит о проведении дополнительной, так называемой "гибридной", аутентификации.<br /><br />Вывод неутешительный: даже если победить идентификаторы и пройти Main Mode, пройти "гибридную аутентификацию" VPN клиент в Windows никак не сможет.<br /><br /><br /><br /><br /><br /><br /><br /><br />,,..,,</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid67130:1Windows 10 стандартный клиент VPN и Stonesoft FW/VPN GOST<table class="content postContainer_Alt" width="100%"><tr><td>Вот что получает SG от клиента при первом подключении:<br /><div class="quote"><span class="quotetitle">Цитата:</span><blockquote>2016-02-20 13:04:52 IKEv1 SA proposal SA([0] protocol = IKE (1), GOST CFB B, HMAC-GR3411-94, GOST XchA, HMAC-GR3411 PRF; [1] protocol = IKE (1), GOST CFB B, HMAC-GR3411-94, GOST XchB, HMAC-GR3411 PRF; [2] protocol = IKE (1), GOST CFB A, HMAC-GR3411-94, GOST XchA, HMAC-GR3411 PRF; [3] protocol = IKE (1), GOST CFB A, HMAC-GR3411-94, GOST XchB, HMAC-GR3411 PRF; [4] protocol = IKE (1), GOST CFB C, HMAC-GR3411-94, GOST XchA, HMAC-GR3411 PRF; [5] protocol = IKE (1), GOST CFB C, HMAC-GR3411-94, GOST XchB, HMAC-GR3411 PRF; [6] protoc<br /></div></div><br />при удачном подключении клиент показывает Fingerprint сервера и добавляет в список.<br /><br />При последующих подключениях запрос такой:<br /><div class="quote"><span class="quotetitle">Цитата:</span><blockquote>IKEv1 SA proposal SA([0] protocol = IKE (1), GOST CBC, HMAC-GR3411-94, 2048 bit MODP, HMAC-GR3411 PRF; ) GOST signatures<br /></div></div><br /><br />Дампы сброшу позже (wireshark не работает на машине с клиентом SG).</td></tr></table>2016-02-20T13:53:46+03:002016-02-20T13:53:46+03:00rav_70<table class="content postContainer_Alt" width="100%"><tr><td>Вот что получает SG от клиента при первом подключении:<br /><div class="quote"><span class="quotetitle">Цитата:</span><blockquote>2016-02-20 13:04:52 IKEv1 SA proposal SA([0] protocol = IKE (1), GOST CFB B, HMAC-GR3411-94, GOST XchA, HMAC-GR3411 PRF; [1] protocol = IKE (1), GOST CFB B, HMAC-GR3411-94, GOST XchB, HMAC-GR3411 PRF; [2] protocol = IKE (1), GOST CFB A, HMAC-GR3411-94, GOST XchA, HMAC-GR3411 PRF; [3] protocol = IKE (1), GOST CFB A, HMAC-GR3411-94, GOST XchB, HMAC-GR3411 PRF; [4] protocol = IKE (1), GOST CFB C, HMAC-GR3411-94, GOST XchA, HMAC-GR3411 PRF; [5] protocol = IKE (1), GOST CFB C, HMAC-GR3411-94, GOST XchB, HMAC-GR3411 PRF; [6] protoc<br /></div></div><br />при удачном подключении клиент показывает Fingerprint сервера и добавляет в список.<br /><br />При последующих подключениях запрос такой:<br /><div class="quote"><span class="quotetitle">Цитата:</span><blockquote>IKEv1 SA proposal SA([0] protocol = IKE (1), GOST CBC, HMAC-GR3411-94, 2048 bit MODP, HMAC-GR3411 PRF; ) GOST signatures<br /></div></div><br /><br />Дампы сброшу позже (wireshark не работает на машине с клиентом SG).</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid67121:1Windows 10 стандартный клиент VPN и Stonesoft FW/VPN GOST<table class="content postContainer" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: rav_70 <a href="/forum2/default.aspx?g=posts&m=67117#post67117"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Это он про политику IP-безопасности? Я там прописал конечную точку туннеля...</div></div><br />Если совершаете VPN звонок (L2TP/IPsec), нет необходимости настраивать политику IP-безопасности, даже лучше отключить на время тестирования.<br /><br />С помощью утилиты cp_ipsec_info.exe выполните: Настройка параметров > Восстановить значения по умолчанию<br /><br />Если после этого не продвинетесь -- пришлите дамп успешного соединения StoneSoft со StoneSoft.<br /><br /></td></tr></table>2016-02-20T10:47:46+03:002016-02-20T10:47:46+03:00pd<table class="content postContainer" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: rav_70 <a href="/forum2/default.aspx?g=posts&m=67117#post67117"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Это он про политику IP-безопасности? Я там прописал конечную точку туннеля...</div></div><br />Если совершаете VPN звонок (L2TP/IPsec), нет необходимости настраивать политику IP-безопасности, даже лучше отключить на время тестирования.<br /><br />С помощью утилиты cp_ipsec_info.exe выполните: Настройка параметров > Восстановить значения по умолчанию<br /><br />Если после этого не продвинетесь -- пришлите дамп успешного соединения StoneSoft со StoneSoft.<br /><br /></td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid67117:1Windows 10 стандартный клиент VPN и Stonesoft FW/VPN GOST<table class="content postContainer_Alt" width="100%"><tr><td>Спасибо за перевод с Вашего технического наречия )).<br />Установил сертификат правильно. Пароль на контейнер сохранен.<br /><br />Теперь запрос выглядит так...<br /><div class="quote"><span class="quotetitle">Цитата:</span><blockquote>SA proposal: SA([0] protocol = IKE (1), GOST CFB B key len = 256, HMAC-GR3411-94, GOST XchB, HMAC-GR3411 PRF; [1] protocol = IKE (1), GOST CFB B key len = 128, HMAC-GR3411-94, GOST XchB, HMAC-GR3411 PRF; [2] protocol = IKE (1), GOST CFB B key len = 256, HMAC-GR3411-94, GOST XchB, HMAC-GR3411 PRF; [3] protocol = IKE (1), GOST CFB B, HMAC-GR3411-94, GOST XchB, HMAC-GR3411 PRF; [4] protocol = IKE (1), GOST CFB B, HMAC-GR3411-94, GOST XchB, HMAC-GR3411 PRF; ) GOST draft signatures<br /></div></div><br /><br />Меня смущает первое сообщение от клиента:<br /><div class="quote"><span class="quotetitle">Цитата:</span><blockquote>No rule found for IKE peers 10.10.15.17 and 192.168.254.223: Proposal did not match policy<br /></div></div><br /><br />Это он про политику IP-безопасности? Я там прописал конечную точку туннеля...<br /><br />Во вложении дампы [attach]3165[/attach]<br /></td></tr></table>2016-02-20T10:32:17+03:002016-02-20T10:32:17+03:00rav_70<table class="content postContainer_Alt" width="100%"><tr><td>Спасибо за перевод с Вашего технического наречия )).<br />Установил сертификат правильно. Пароль на контейнер сохранен.<br /><br />Теперь запрос выглядит так...<br /><div class="quote"><span class="quotetitle">Цитата:</span><blockquote>SA proposal: SA([0] protocol = IKE (1), GOST CFB B key len = 256, HMAC-GR3411-94, GOST XchB, HMAC-GR3411 PRF; [1] protocol = IKE (1), GOST CFB B key len = 128, HMAC-GR3411-94, GOST XchB, HMAC-GR3411 PRF; [2] protocol = IKE (1), GOST CFB B key len = 256, HMAC-GR3411-94, GOST XchB, HMAC-GR3411 PRF; [3] protocol = IKE (1), GOST CFB B, HMAC-GR3411-94, GOST XchB, HMAC-GR3411 PRF; [4] protocol = IKE (1), GOST CFB B, HMAC-GR3411-94, GOST XchB, HMAC-GR3411 PRF; ) GOST draft signatures<br /></div></div><br /><br />Меня смущает первое сообщение от клиента:<br /><div class="quote"><span class="quotetitle">Цитата:</span><blockquote>No rule found for IKE peers 10.10.15.17 and 192.168.254.223: Proposal did not match policy<br /></div></div><br /><br />Это он про политику IP-безопасности? Я там прописал конечную точку туннеля...<br /><br />Во вложении дампы [attach]3165[/attach]<br /></td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid67108:1Windows 10 стандартный клиент VPN и Stonesoft FW/VPN GOST<table class="content postContainer" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: rav_70 <a href="/forum2/default.aspx?g=posts&m=67100#post67100"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Подскажите, а что не так с сертификатом?</div></div><br />Уже подсказано, что "напротив KP_CERTIFICATE (KeyParam) не стоит галочка", в переводе с технического, это означает, что в контейнере закрытого ключа отсутствует сертификат.<br /><br />В этом легко убедиться в оснастке КриптоПро CSP > Сервис > Просмотреть сертификаты в контейнере...<br /><br /></td></tr></table>2016-02-19T21:55:44+03:002016-02-19T21:55:44+03:00pd<table class="content postContainer" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: rav_70 <a href="/forum2/default.aspx?g=posts&m=67100#post67100"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Подскажите, а что не так с сертификатом?</div></div><br />Уже подсказано, что "напротив KP_CERTIFICATE (KeyParam) не стоит галочка", в переводе с технического, это означает, что в контейнере закрытого ключа отсутствует сертификат.<br /><br />В этом легко убедиться в оснастке КриптоПро CSP > Сервис > Просмотреть сертификаты в контейнере...<br /><br /></td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid67100:1Windows 10 стандартный клиент VPN и Stonesoft FW/VPN GOST<table class="content postContainer_Alt" width="100%"><tr><td>Подскажите, а что не так с сертификатом? Там лишнего ничего не должно быть?<br />[attach]3164[/attach]<br />crl обязательно должен видеть?</td></tr></table>2016-02-19T16:41:08+03:002016-02-19T16:41:08+03:00rav_70<table class="content postContainer_Alt" width="100%"><tr><td>Подскажите, а что не так с сертификатом? Там лишнего ничего не должно быть?<br />[attach]3164[/attach]<br />crl обязательно должен видеть?</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid67092:1Windows 10 стандартный клиент VPN и Stonesoft FW/VPN GOST<table class="content postContainer" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: rav_70 <a href="/forum2/default.aspx?g=posts&m=67086#post67086"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>cp_ipsec_info.exe в "сертификатах IKE" его находит</div></div><br />"Находит" не значит "будет использоваться", в присланном архиве есть изображение, где напротив KP_CERTIFICATE (KeyParam) не стоит галочка.<br /><br />Вот так выглядит успешно прошедший проверку сертификат, на него ставится галочка:<br /><br />[attach]3163[/attach]<br /><br /></td></tr></table>2016-02-19T15:06:19+03:002016-02-19T15:06:19+03:00pd<table class="content postContainer" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: rav_70 <a href="/forum2/default.aspx?g=posts&m=67086#post67086"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>cp_ipsec_info.exe в "сертификатах IKE" его находит</div></div><br />"Находит" не значит "будет использоваться", в присланном архиве есть изображение, где напротив KP_CERTIFICATE (KeyParam) не стоит галочка.<br /><br />Вот так выглядит успешно прошедший проверку сертификат, на него ставится галочка:<br /><br />[attach]3163[/attach]<br /><br /></td></tr></table>