Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Сетевые технологии (http://forum.oszone.net/forumdisplay.php?f=31)
-   -   Проблема с L2TP\IPSec на Zyxel usg 100 (http://forum.oszone.net/showthread.php?t=227450)

QRS 09-02-2012 20:37 1855057

Проблема с L2TP\IPSec на Zyxel usg 100
 
Вложений: 1
Народ, подскажите куда смотреть!

Настроил подключение L2TP\IPSec через Интернет к железке Zywall usg 100.
Подключение на сертификатах собственного центра сертификации (на openssl) в фазе 1.
В фазе 2 используется логин\пароль.
CRL опубликован в соответствие с данными в сертификате.

Все работает пока на железке не включишь опцию проверки CRL. В этом случае клиент (на W7, другого ничего нет) перестает подключаться и выкидывает ошибку 789.
При этом в логах железки видно, что клиент свой сертификат передал, сертификат проверку CRL прошел и даже есть записи (в хронологии):
"Recv:[ID][Cert][Sig][Cr][Cr]
"Phase 1 IKE SA process done"
"Send: Notify:Initial_Contact".

На компьютере пробовать и netsh wfp и расширенный аудит для IPSec.
Выяснил, что ошибка возникает на фазе 1 у компьютера -

Ошибка при согласовании основного режима IPsec - EVENT 4652.
читать дальше »

Локальная конечная точка:
Имя участника: PapaNotebook
Сетевой адрес: 172.16.0.2
Порт модуля ключей: 500

Локальный сертификат:
SHA-отпечаток: d940aa3b8bd537ffb14775f72ecc501898699ba2
Выдающий центр сертификации: RootCA
Корневой центр сертификации: C=RU, S=Smolensk, L=SML, O=KMir, OU=ROOT, CN=RootCA

Удаленная конечная точка:
Имя участника: -
Сетевой адрес: 172.16.0.1
Порт модуля ключей: 500

Удаленный сертификат:
SHA-отпечаток: -
Выдающий центр сертификации: -
Корневой центр сертификации: -

Дополнительные сведения:
Имя модуля ключей: IKEv1
Метод проверки подлинности: Сертификат
Роль: Инициатор
Состояние олицетворения: Не включено
Код фильтра основного режима: 538175

Сведения об ошибке:
Точка ошибки: локальный компьютер
Причина ошибки: Встречено неверное значение тега ASN1.

Состояние: Отправленные третьи полезные данные (ID)
Файлы cookie инициирующей стороны: 4c8cea3fa0326a8f

Т.е. проблема в теге ASN1 (то же показал и wfp).

А теперь вопрос: почему железка без проверки CRL посылает верные данные ASN1, а в случае включения проверки выдает что-то неудобоваримое для ОС?

На чьей стороне проблема не понятно. Техподдержка (1я линия) Zyxel сначала доказывала мне, что местоположение CRL нужно задавать руками и она не берется из extension полей, и вообще, поддерживаются только LDAP и OCSP размещения... а теперь пытаются моделировать у себя ситуацию.

Может кто поможет?!!

Кстати, если соединить по IPSec-VPN между собой две железки на этих же сертификатах, то проблем с CRL не возникает - оборудование все правильно отрабатывает и отозванные сертификаты не принимает!

PS: во вложении сертификаты по которым идет подключение; напомню, что без включения проверки CRL (на железке) соединение L2TP\IPSec проходит успешно.


Время: 00:18.

Время: 00:18.
© OSzone.net 2001-