none
Не получается настроить IPsec-соединение между сервером и клиентом. RRS feed

  • Вопрос

  • Сервер: WS2003 Standart SP2 R2

    Клиент: Windos XP Prof SP3

    На виртуальных машинах настраивал IPsec-соединения уже десятки раз. Попробовал внедрить шифрованные соединения на работе. Начал с настройки соединения между сервером и своим настольным компом. Настройки ввёл буквально за несколько минут, а потом целый час бегал от одной к другой машине, проверял каждую букву в настройках драйверов IPsec. Так и не смог понять, почему в реальной сети ничего не работает. Хотя всё настроено также как и на виртуалках настраивал.

    В чём может быть причина? Может у кого-нибудь есть какие-нибудь предположения?

    Знаю что информации выложил мало, но какую инфу выкладывать ума не приложу. Если расписывать все подробности в интернете свободного места не останется.

    Может на это дело коммутатор повлиять? Коммутатор "3com Baseline 2948-SFP Plus 3CBLSG48".

    12 декабря 2010 г. 14:56

Ответы

  • WindowsNT.LV, спасибо, что пытались помочь.

    Сегодня я попробовал, настроить IPsec на другом компьютере. Делал наскоряк и поэтому, по привычке, ввёл всемирно известный предварительный ключ "test". Настраивал по тому же принципу, что и в первый раз, на своём компе. И всё нормально заработало. Потом заново настроил IPsec и для своего компа, тоже используя ключ "test" и на этот раз всё заработало.

    Ну раз уж всё работает как надо значит уже можно и нормальный ключ ввести - ну я и сменил предварительный ключ "test" на ключ "@45+Клиент-seRver10" на клиенте и сервере. Соединение по IPsec опять перестало работать. Перезагружал ОС клиента - тот же результат.

    Я так понимаю вся проблема в предварительном ключе. Но я ни в одной статье про IPsec не видел никаких ограничений на символьный состав предварительного ключа.

    Как такое может получаться???

    • Помечено в качестве ответа vir2alex 22 декабря 2010 г. 14:12
    18 декабря 2010 г. 16:29
  • Обычно я использовал алфавитно-цифровые комбинации, ибо изгаляться со спецсимволами не имеет смысла - мне кажется, IPSec на уровень сложности ключа IPSec не рассчитывает вообще .)


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor
    • Помечено в качестве ответа vir2alex 22 декабря 2010 г. 14:12
    19 декабря 2010 г. 13:55

Все ответы

  • Тогда хотя бы расскажите, какого типа трафик собираетесь шифровать; какие сделали фильтры и действия фильтров; как привязали кого куда.


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor
    13 декабря 2010 г. 7:07
  • Тогда хотя бы расскажите, какого типа трафик собираетесь шифровать; какие сделали фильтры и действия фильтров; как привязали кого куда.


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor


    Сеть бездоменная. Шифрование по предварительному ключу.

    На сервере:

    Действие фильтра - Согласовать безопасность: Целостность AH - SHA1 | Конфидицеальность ESP - 3DES | Целостность ESP - SHA1.

    Тип подключения - все сетевые подключения.

    Параметры туннеля - это правило не указывает параметры IPSEC.

    Методы безопасности - только один: IKE | шифрование 3DES | целостность SHA1 | Группа Диффи-Хелмана средняя(2).

    На клиенте полностью соответствующие настройки, согласно которым соединение должно пройти успешно (проверял больше десятка раз).

    Но всё-равно по какой-то причине на вирутальных машинах всё работает, а в реальной сети - нет. Если в реальной сети политики IPsec не назначены, на обоих компьютерах, то все соединения проходят нормально.

    13 декабря 2010 г. 9:39
  • Было бы неплохо посмотреть политику и второй машины. Давайте предположим что-то совсем примитивное -

    1. Политика создана, но активирована ли? На обеих машинах.

    2. Ключ правильно написан?

    3. А без IPSec связь есть?

    4. Ну а даже рестарт после первого применения политики сделан?

    5. В журналах есть сообщения об ошибках?


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor
    13 декабря 2010 г. 11:28
  • 1. Политика создана, но активирована ли? На обеих машинах. - Активирована, т.е. назначена? Да назначена на обоих машинах.

    2. Ключ правильно написан? - С помощью флэшки скопипастил на другую машину. Ключи совпадают однозначно.

    3. А без IPSec связь есть? - Да. Без IPsec всё работает нормально.

    4. Ну а даже рестарт после первого применения политики сделан? - И даже это пробовал. Результат никакой.

    5. В журналах есть сообщения об ошибках? - Журнал не смотрел. Завтра или послезавтра доберусь до рабочих компов, гляну.

    У клиента политика в точности соответствует сервачной, только с той разницой, что адрес назначения 192.168.0.1 (т.е. сервера).

    13 декабря 2010 г. 13:07
  • Трудновато ответить навскидку, не пощупав конфигурацию очно. Скажу только, что у меня работало и в виртуальной, и в реальной среде. Виртуальность не является проблемой.

    Попробуйте начать отсюда - http://blogs.technet.com/b/networking/archive/2008/09/19/introduction-to-the-microsoft-ipsec-diagnostic-tool.aspx


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor
    14 декабря 2010 г. 17:21
  • WindowsNT.LV, спасибо, что пытались помочь.

    Сегодня я попробовал, настроить IPsec на другом компьютере. Делал наскоряк и поэтому, по привычке, ввёл всемирно известный предварительный ключ "test". Настраивал по тому же принципу, что и в первый раз, на своём компе. И всё нормально заработало. Потом заново настроил IPsec и для своего компа, тоже используя ключ "test" и на этот раз всё заработало.

    Ну раз уж всё работает как надо значит уже можно и нормальный ключ ввести - ну я и сменил предварительный ключ "test" на ключ "@45+Клиент-seRver10" на клиенте и сервере. Соединение по IPsec опять перестало работать. Перезагружал ОС клиента - тот же результат.

    Я так понимаю вся проблема в предварительном ключе. Но я ни в одной статье про IPsec не видел никаких ограничений на символьный состав предварительного ключа.

    Как такое может получаться???

    • Помечено в качестве ответа vir2alex 22 декабря 2010 г. 14:12
    18 декабря 2010 г. 16:29
  • Обычно я использовал алфавитно-цифровые комбинации, ибо изгаляться со спецсимволами не имеет смысла - мне кажется, IPSec на уровень сложности ключа IPSec не рассчитывает вообще .)


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor
    • Помечено в качестве ответа vir2alex 22 декабря 2010 г. 14:12
    19 декабря 2010 г. 13:55