![]() |
Внимание, важное сообщение: Дорогие Друзья!
В ноябре далекого 2001 года мы решили создать сайт и форум, которые смогут помочь как начинающим, так и продвинутым пользователям разобраться в операционных системах. В 2004-2006г наш проект был одним из самых крупных ИТ ресурсов в рунете, на пике нас посещало более 300 000 человек в день! Наша документация по службам Windows и автоматической установке помогла огромному количеству пользователей и сисадминов. Мы с уверенностью можем сказать, что внесли большой вклад в развитие ИТ сообщества рунета. Но... время меняются, приоритеты тоже. И, к сожалению, пришло время сказать До встречи! После долгих дискуссий было принято решение закрыть наш проект. 1 августа форум переводится в режим Только чтение, а в начале сентября мы переведем рубильник в положение Выключен Огромное спасибо за эти 24 года, это было незабываемое приключение. Сказать спасибо и поделиться своей историей можно в данной теме. С уважением, ваш призрачный админ, BigMac... |
|
Компьютерный форум OSzone.net » Компьютеры + Интернет » Сетевые технологии » VPN - Проблема с L2TP\IPSec на Zyxel usg 100 |
|
VPN - Проблема с L2TP\IPSec на Zyxel usg 100
|
Ветеран Сообщения: 630 |
Народ, подскажите куда смотреть!
Настроил подключение L2TP\IPSec через Интернет к железке Zywall usg 100. Подключение на сертификатах собственного центра сертификации (на openssl) в фазе 1. В фазе 2 используется логин\пароль. CRL опубликован в соответствие с данными в сертификате. Все работает пока на железке не включишь опцию проверки CRL. В этом случае клиент (на W7, другого ничего нет) перестает подключаться и выкидывает ошибку 789. При этом в логах железки видно, что клиент свой сертификат передал, сертификат проверку CRL прошел и даже есть записи (в хронологии): "Recv:[ID][Cert][Sig][Cr][Cr] "Phase 1 IKE SA process done" "Send: Notify:Initial_Contact". На компьютере пробовать и netsh wfp и расширенный аудит для IPSec. Выяснил, что ошибка возникает на фазе 1 у компьютера - Ошибка при согласовании основного режима IPsec - EVENT 4652. Т.е. проблема в теге ASN1 (то же показал и wfp). А теперь вопрос: почему железка без проверки CRL посылает верные данные ASN1, а в случае включения проверки выдает что-то неудобоваримое для ОС? На чьей стороне проблема не понятно. Техподдержка (1я линия) Zyxel сначала доказывала мне, что местоположение CRL нужно задавать руками и она не берется из extension полей, и вообще, поддерживаются только LDAP и OCSP размещения... а теперь пытаются моделировать у себя ситуацию. Может кто поможет?!! Кстати, если соединить по IPSec-VPN между собой две железки на этих же сертификатах, то проблем с CRL не возникает - оборудование все правильно отрабатывает и отозванные сертификаты не принимает! PS: во вложении сертификаты по которым идет подключение; напомню, что без включения проверки CRL (на железке) соединение L2TP\IPSec проходит успешно. |
|
Отправлено: 20:37, 09-02-2012 |
![]() |
Участник сейчас на форуме |
![]() |
Участник вне форума |
![]() |
Автор темы |
![]() |
Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
Zyxel - Zyxel USG 50 - как настроить блокировку на веб-интерфейс с инета? | flower | Сетевое оборудование | 6 | 23-01-2012 19:52 | |
Cisco - Cisco 2811 L2TP IPsec | pnck | Сетевое оборудование | 0 | 12-04-2010 12:29 | |
VPN - проблема с l2tp ipsec | dhorasoo | Сетевые технологии | 1 | 05-07-2009 15:53 | |
Cisco - Cisco 871 и издевательства над l2tp+\- Ipsec | Gudy | Сетевое оборудование | 0 | 06-08-2008 19:54 | |
Проблема старта ipsec | stranger_123 | Программное обеспечение Linux и FreeBSD | 4 | 29-05-2008 17:40 |
|