QRS
09-02-2012, 20:37
Народ, подскажите куда смотреть!
Настроил подключение L2TP\IPSec через Интернет к железке Zywall usg 100.
Подключение на сертификатах собственного центра сертификации (на openssl) в фазе 1.
В фазе 2 используется логин\пароль.
CRL опубликован в соответствие с данными в сертификате.
Все работает пока на железке не включишь опцию проверки CRL. В этом случае клиент (на W7, другого ничего нет) перестает подключаться и выкидывает ошибку 789.
При этом в логах железки видно, что клиент свой сертификат передал, сертификат проверку CRL прошел и даже есть записи (в хронологии):
"Recv:[ID][Cert][Sig][Cr][Cr]
"Phase 1 IKE SA process done"
"Send: Notify:Initial_Contact".
На компьютере пробовать и netsh wfp и расширенный аудит для IPSec.
Выяснил, что ошибка возникает на фазе 1 у компьютера -
Ошибка при согласовании основного режима IPsec - EVENT 4652.
Локальная конечная точка:
Имя участника: PapaNotebook
Сетевой адрес: 172.16.0.2
Порт модуля ключей: 500
Локальный сертификат:
SHA-отпечаток: d940aa3b8bd537ffb14775f72ecc501898699ba2
Выдающий центр сертификации: RootCA
Корневой центр сертификации: C=RU, S=Smolensk, L=SML, O=KMir, OU=ROOT, CN=RootCA
Удаленная конечная точка:
Имя участника: -
Сетевой адрес: 172.16.0.1
Порт модуля ключей: 500
Удаленный сертификат:
SHA-отпечаток: -
Выдающий центр сертификации: -
Корневой центр сертификации: -
Дополнительные сведения:
Имя модуля ключей: IKEv1
Метод проверки подлинности: Сертификат
Роль: Инициатор
Состояние олицетворения: Не включено
Код фильтра основного режима: 538175
Сведения об ошибке:
Точка ошибки: локальный компьютер
Причина ошибки: Встречено неверное значение тега ASN1.
Состояние: Отправленные третьи полезные данные (ID)
Файлы cookie инициирующей стороны: 4c8cea3fa0326a8f
Т.е. проблема в теге ASN1 (то же показал и wfp).
А теперь вопрос: почему железка без проверки CRL посылает верные данные ASN1, а в случае включения проверки выдает что-то неудобоваримое для ОС?
На чьей стороне проблема не понятно. Техподдержка (1я линия) Zyxel сначала доказывала мне, что местоположение CRL нужно задавать руками и она не берется из extension полей, и вообще, поддерживаются только LDAP и OCSP размещения... а теперь пытаются моделировать у себя ситуацию.
Может кто поможет?!!
Кстати, если соединить по IPSec-VPN между собой две железки на этих же сертификатах, то проблем с CRL не возникает - оборудование все правильно отрабатывает и отозванные сертификаты не принимает!
PS: во вложении сертификаты по которым идет подключение; напомню, что без включения проверки CRL (на железке) соединение L2TP\IPSec проходит успешно.
Настроил подключение L2TP\IPSec через Интернет к железке Zywall usg 100.
Подключение на сертификатах собственного центра сертификации (на openssl) в фазе 1.
В фазе 2 используется логин\пароль.
CRL опубликован в соответствие с данными в сертификате.
Все работает пока на железке не включишь опцию проверки CRL. В этом случае клиент (на W7, другого ничего нет) перестает подключаться и выкидывает ошибку 789.
При этом в логах железки видно, что клиент свой сертификат передал, сертификат проверку CRL прошел и даже есть записи (в хронологии):
"Recv:[ID][Cert][Sig][Cr][Cr]
"Phase 1 IKE SA process done"
"Send: Notify:Initial_Contact".
На компьютере пробовать и netsh wfp и расширенный аудит для IPSec.
Выяснил, что ошибка возникает на фазе 1 у компьютера -
Ошибка при согласовании основного режима IPsec - EVENT 4652.
Локальная конечная точка:
Имя участника: PapaNotebook
Сетевой адрес: 172.16.0.2
Порт модуля ключей: 500
Локальный сертификат:
SHA-отпечаток: d940aa3b8bd537ffb14775f72ecc501898699ba2
Выдающий центр сертификации: RootCA
Корневой центр сертификации: C=RU, S=Smolensk, L=SML, O=KMir, OU=ROOT, CN=RootCA
Удаленная конечная точка:
Имя участника: -
Сетевой адрес: 172.16.0.1
Порт модуля ключей: 500
Удаленный сертификат:
SHA-отпечаток: -
Выдающий центр сертификации: -
Корневой центр сертификации: -
Дополнительные сведения:
Имя модуля ключей: IKEv1
Метод проверки подлинности: Сертификат
Роль: Инициатор
Состояние олицетворения: Не включено
Код фильтра основного режима: 538175
Сведения об ошибке:
Точка ошибки: локальный компьютер
Причина ошибки: Встречено неверное значение тега ASN1.
Состояние: Отправленные третьи полезные данные (ID)
Файлы cookie инициирующей стороны: 4c8cea3fa0326a8f
Т.е. проблема в теге ASN1 (то же показал и wfp).
А теперь вопрос: почему железка без проверки CRL посылает верные данные ASN1, а в случае включения проверки выдает что-то неудобоваримое для ОС?
На чьей стороне проблема не понятно. Техподдержка (1я линия) Zyxel сначала доказывала мне, что местоположение CRL нужно задавать руками и она не берется из extension полей, и вообще, поддерживаются только LDAP и OCSP размещения... а теперь пытаются моделировать у себя ситуацию.
Может кто поможет?!!
Кстати, если соединить по IPSec-VPN между собой две железки на этих же сертификатах, то проблем с CRL не возникает - оборудование все правильно отрабатывает и отозванные сертификаты не принимает!
PS: во вложении сертификаты по которым идет подключение; напомню, что без включения проверки CRL (на железке) соединение L2TP\IPSec проходит успешно.