QRS

Вложения certs.zip (7.3 Kb, 12 просмотров)

Народ, подскажите куда смотреть!

Настроил подключение L2TP\IPSec через Интернет к железке Zywall usg 100.
Подключение на сертификатах собственного центра сертификации (на openssl) в фазе 1.
В фазе 2 используется логин\пароль.
CRL опубликован в соответствие с данными в сертификате.

Все работает пока на железке не включишь опцию проверки CRL. В этом случае клиент (на W7, другого ничего нет) перестает подключаться и выкидывает ошибку 789.
При этом в логах железки видно, что клиент свой сертификат передал, сертификат проверку CRL прошел и даже есть записи (в хронологии):
"Recv:[ID][Cert][Sig][Cr][Cr]
"Phase 1 IKE SA process done"
"Send: Notify:Initial_Contact".

На компьютере пробовать и netsh wfp и расширенный аудит для IPSec.
Выяснил, что ошибка возникает на фазе 1 у компьютера -

Ошибка при согласовании основного режима IPsec - EVENT 4652.

Т.е. проблема в теге ASN1 (то же показал и wfp).

А теперь вопрос: почему железка без проверки CRL посылает верные данные ASN1, а в случае включения проверки выдает что-то неудобоваримое для ОС?

На чьей стороне проблема не понятно. Техподдержка (1я линия) Zyxel сначала доказывала мне, что местоположение CRL нужно задавать руками и она не берется из extension полей, и вообще, поддерживаются только LDAP и OCSP размещения... а теперь пытаются моделировать у себя ситуацию.

Может кто поможет?!!

Кстати, если соединить по IPSec-VPN между собой две железки на этих же сертификатах, то проблем с CRL не возникает - оборудование все правильно отрабатывает и отозванные сертификаты не принимает!

PS: во вложении сертификаты по которым идет подключение; напомню, что без включения проверки CRL (на железке) соединение L2TP\IPSec проходит успешно.