![]() |
Проблема с L2TP\IPSec на Zyxel usg 100
Вложений: 1
Народ, подскажите куда смотреть!
Настроил подключение L2TP\IPSec через Интернет к железке Zywall usg 100. Подключение на сертификатах собственного центра сертификации (на openssl) в фазе 1. В фазе 2 используется логин\пароль. CRL опубликован в соответствие с данными в сертификате. Все работает пока на железке не включишь опцию проверки CRL. В этом случае клиент (на W7, другого ничего нет) перестает подключаться и выкидывает ошибку 789. При этом в логах железки видно, что клиент свой сертификат передал, сертификат проверку CRL прошел и даже есть записи (в хронологии): "Recv:[ID][Cert][Sig][Cr][Cr] "Phase 1 IKE SA process done" "Send: Notify:Initial_Contact". На компьютере пробовать и netsh wfp и расширенный аудит для IPSec. Выяснил, что ошибка возникает на фазе 1 у компьютера - Ошибка при согласовании основного режима IPsec - EVENT 4652. Т.е. проблема в теге ASN1 (то же показал и wfp). А теперь вопрос: почему железка без проверки CRL посылает верные данные ASN1, а в случае включения проверки выдает что-то неудобоваримое для ОС? На чьей стороне проблема не понятно. Техподдержка (1я линия) Zyxel сначала доказывала мне, что местоположение CRL нужно задавать руками и она не берется из extension полей, и вообще, поддерживаются только LDAP и OCSP размещения... а теперь пытаются моделировать у себя ситуацию. Может кто поможет?!! Кстати, если соединить по IPSec-VPN между собой две железки на этих же сертификатах, то проблем с CRL не возникает - оборудование все правильно отрабатывает и отозванные сертификаты не принимает! PS: во вложении сертификаты по которым идет подключение; напомню, что без включения проверки CRL (на железке) соединение L2TP\IPSec проходит успешно. |
Время: 00:18. |
Время: 00:18.
© OSzone.net 2001-