Jump to content

Recommended Posts

Добрый день! При установлении межсети iplir vi показывает, что от сети 1 до сети 2 пакеты проходят, а от сети 2 до сети 1 выдаёт ошибку "2 - Message authentication code is incorrect". В чём может быть ошибка и на чьей стороне искать? Пробовали уже два раза всё сносить, ошибка одна и таже

Share this post


Link to post
Share on other sites

Давайте подробнее: какие администраторы версии, какие ключи межсетевые, какие координаторы версии. Из какой сети и с какого узла на какой ходит, а на какой нет.

Share this post


Link to post
Share on other sites

C одной стороны (координатор 1) hw2000 Версия ПО: 3.5.0 (731)). С другой (координатор 2) hw1000 версия 3.2. Мастер ключи - индивидуальные. От своего к другому координатору пакеты пропускает, а обратно пишет ошибку.

это когда destination чужой координатор

Events: 40 - Encrypted IP packet allowed
x Interval Begin:  20.07.2017 11:40:27                                     
x            End:  20.07.2017 11:40:57                                                                                                             
x Interface: eth0      Ethernet protocol: 800h                             
x Size:      1443 B    Count:             3                                
x Drop:      NO        Encrypted YES                                       
x Direction: Outgoing  NAT:      NO                                        
x Broadcast: NO        Forward:  NO                                               
x IP protocol:    17 - UDP (User Datagram)
x Source IP:      95.173.131.106    Port: 2046
x Destination IP: 172.16.200.70     Port: 2046            
x Key number:                FFFFFFFF                                      
x Source Node                101D000A                                      
x   Coordinator_EPS
x Destination Node           07C70019         

 

а когда чужой координатор в source, то в журнале пишет 

 

Events: 2 - Message authentication code is incorrect
x Interval Begin:  20.07.2017 11:54:24
x            End:  20.07.2017 11:55:22
x Interface: eth0      Ethernet protocol: 800h
x Size:      5838 B    Count:             42
x
x Drop:      YES       Encrypted YES
x Direction: Incoming  NAT:      NO
x Broadcast: NO        Forward:  NO
x IP protocol:    17 - UDP (User Datagram)
x Source IP:      146.120.90.70     Port: 55777
x Destination IP: 95.173.131.106    Port: 55777
x
x Key number:                FFFFFFFE
x Source Node                07C70019
x   ▒▒ ▒▒ ▒▒▒▒▒ ▒▒▒▒▒▒▒                           1991
x Destination Node           101D000A
x   Coordinator_EPS
 

 

 

 

Share this post


Link to post
Share on other sites

Событие 2 говорит о том, что для шифрования используются разные ключи. Необходимо:

1) убедиться что активен один и тот же мастер ключ (можно сверить по серийным номерам)

2) повторно обменяться экспортом с обеих сторон. Если администратор 4.х, то перед экспортом выполнить "Очистить кэш"

Share this post


Link to post
Share on other sites
27 минуты назад, denis.r сказал:

Событие 2 говорит о том, что для шифрования используются разные ключи. Необходимо:

1) убедиться что активен один и тот же мастер ключ (можно сверить по серийным номерам)

2) повторно обменяться экспортом с обеих сторон. Если администратор 4.х, то перед экспортом выполнить "Очистить кэш"

Серийники у ключей одинаковые, экспортом обменялись, ситуация та же.

iplir ping
Check connection with 7c70019...
Timeout expired
 

Share this post


Link to post
Share on other sites

Экспортом обменялись и повторно выслали ключи и справочники на координаторы и ключи уже применялись, а проблема сохранилась?

Share this post


Link to post
Share on other sites

Опишите последовательность действий.

1. Инициатор отправляет экспорт 2

2. Формирует заново мастер-ключ

3. Создает ключевые наборы

4. Отправляет в ЦУС

5. Отправляет в архиве экспорт и новый мастер-ключ

4. Дальше в Управлении -> справочники, ключи, экспорт..

Все верно?

Share this post


Link to post
Share on other sites
49 минуты назад, denis.r сказал:

Экспортом обменялись и повторно выслали ключи и справочники на координаторы и ключи уже применялись, а проблема сохранилась?

Ключи не применялись, настраиваем впервые межсетевое взаимодействие. А все остальное так и сделали.

Share this post


Link to post
Share on other sites
44 минуты назад, AndreyPopov сказал:

Опишите последовательность действий.

1. Инициатор отправляет экспорт 2

2. Формирует заново мастер-ключ

3. Создает ключевые наборы

4. Отправляет в ЦУС

5. Отправляет в архиве экспорт и новый мастер-ключ

4. Дальше в Управлении -> справочники, ключи, экспорт..

Все верно?

Да, по инструкции идем.

Share this post


Link to post
Share on other sites
11 минут назад, bussblow сказал:

Ключи не применялись

После обмена экспортом сформируйте Ключи узлов в УКЦ и разошлите справочники и ключи на узлы своей сети.

Share this post


Link to post
Share on other sites
2 часа назад, denis.r сказал:

После обмена экспортом сформируйте Ключи узлов в УКЦ и разошлите справочники и ключи на узлы своей сети.

Сейчас заново попробовали пройти всю процедуру по пунктам, по книге. Ситуация не изменяется.

Share this post


Link to post
Share on other sites

Так же при выводе команды ip view в журнале пакетов видно, что 

┌─[]─────────────────────────── Record details ───────────────────────────────┐

│ Events: 2 - Message authentication code is incorrect                       

                                                                              

│ Interval Begin:  24.07.2017 10:37:55                                        

            End:  24.07.2017 10:37:58                                         

                                                                             

│ Interface:  eth1     Ethernet protocol: 800h                                 

│ Size:       278      Count:             2                                    

                                                                              

│ Drop:      YES       Encrypted YES                                           

│ Direction: Incoming  NAT:      NO                                            

│ Broadcast: NO        Forward:  NO                                            

                                                                              

│ IP protocol:    17 - UDP (User Datagram)                                     

Source IP:      95.95.95.95    Port: 55777                               

│ Destination IP: 172.16.200.70     Port: 55777                                

                                                                              

│ Key number:                FFFFFFFE                                        

│ Source Node                101D000A                                          

   Coordinator_***                               1111                         

│ Destination Node           07C70019                                         

   СМ ****  

 

 

┌─[]─────────────────────────── Record details ───────────────────────────────┐

│ Events: 40 - Encrypted IP packet allowed                                    

                                                                             

│ Interval Begin:  24.07.2017 10:46:50                                         

            End:  24.07.2017 10:46:50                                        

                                                                              

│ Interface:  eth1     Ethernet protocol: 800h                                

│ Size:       74       Count:             1                                    

                                                                              

│ Drop:      NO        Encrypted YES                                         

│ Direction: Outgoing  NAT:      NO                                           

│ Broadcast: NO        Forward:  NO                                         

                                                                              

│ IP protocol:    6 - TCP (Transmission Control)                       

│ Source IP:      172.16.200.70     Port: 37925                              

│ Destination IP: 30.0.0.76         Port: 5002                                 

                                                                              

│ Key number:                FFFFFFFF                                        

│ Source Node                07C70019                                        

   СМ ****                                                      

│ Destination Node           101D000A                                          

   Coordinator_***                               1111   

Share this post


Link to post
Share on other sites

Может быть из за разности версий такая проблема? на одном 3.5 на другом 3.2??

Share this post


Link to post
Share on other sites

Проверьте, что на обоих координаторах используется одинаковый режим шифрования: iplir show cipher-mode

Share this post


Link to post
Share on other sites
19 час назад, denis.r сказал:

Проверьте, что на обоих координаторах используется одинаковый режим шифрования: iplir show cipher-mode

На обоих координаторах 

CTR:counter mode

Share this post


Link to post
Share on other sites

Добрый день!

Значение 2 - Неверное значение имито (Защищаемые данные или открытая информация криптосистемы были изменены). 

На всякий случай спрошу: у Вас межсетевые мастер ключи на обоих администраторах введены в действие?

Share this post


Link to post
Share on other sites
1 час назад, Rinya сказал:

Добрый день!

Значение 2 - Неверное значение имито (Защищаемые данные или открытая информация криптосистемы были изменены). 

На всякий случай спрошу: у Вас межсетевые мастер ключи на обоих администраторах введены в действие?

Добрый! Да, введены в действие и имеют одинаковый номер ключа.

Share this post


Link to post
Share on other sites

Если у обоих сетей введен один и тот же ММК и все обновления разосланы, а ошибка Imito сохранилась, то это скорее всего Вариант Ключа Сетевого узла Шлюзового Координатора в одной из сетей отличный от "0" (Вариант ключа можно посмотреть в УКЦ-Ключевой Центр-Доверенные Сети ViPNet-Сетевые Узлы) (Вариант ключа меняется на 1 допустим при компрометации ключей Сетевого Узла).

Как правило Сеть у которой Вариант ключа должен быть "1" знает об этом. =)))

Т.е. получается при первичном экспорте в сети 1 у Шлюзового координатора вариант ключей "1", а в сети 2 при экспорте первичного импорта в УКЦ вариант ключей остается "0" - Это глюк конечно, но сам с таким сталкивался и что только не Шаманил с Бубном.

Вот Решение подобной проблемы:


1) зайти в ЦУС в каталог "NCC\IMPORT\"
2) найти файлы ***Xхххх.VAR ,  - где ***X - номер ключей нужной сети, а хххх - номер ключей вашей сети
3)скопировать указанный файл *.VAR в каталог FROM_NCC
4)зайти в ЦУС в меню "справочники для УКЦ" -"справочники узлов, связанных с другими сетями" 
и выбрать ту сеть с которой настраиваете межсеть.
5) УКЦ скажет, что сменились варианты ключей,
(если сообщения не появится - перезапустите УКЦ)
6) сформировать в УКЦ полные ключи и отправить обновления на все узлы, связанные с узлами указанной сети.
7) зайти в УКЦ - Доверенные сети Vipnet - сетевые узлы - Координатор сети с которой связываетесь должен иметь 
Вариант ключей "1" (если вариант ключей остался 0 то необходимо получить другой файл варианта ключей *.var)

Share this post


Link to post
Share on other sites
В 07.08.2017в13:55, xrockx сказал:

Если у обоих сетей введен один и тот же ММК и все обновления разосланы, а ошибка Imito сохранилась, то это скорее всего Вариант Ключа Сетевого узла Шлюзового Координатора в одной из сетей отличный от "0" (Вариант ключа можно посмотреть в УКЦ-Ключевой Центр-Доверенные Сети ViPNet-Сетевые Узлы) (Вариант ключа меняется на 1 допустим при компрометации ключей Сетевого Узла).

Как правило Сеть у которой Вариант ключа должен быть "1" знает об этом. =)))

Т.е. получается при первичном экспорте в сети 1 у Шлюзового координатора вариант ключей "1", а в сети 2 при экспорте первичного импорта в УКЦ вариант ключей остается "0" - Это глюк конечно, но сам с таким сталкивался и что только не Шаманил с Бубном.

Вот Решение подобной проблемы:


1) зайти в ЦУС в каталог "NCC\IMPORT\"
2) найти файлы ***Xхххх.VAR ,  - где ***X - номер ключей нужной сети, а хххх - номер ключей вашей сети
3)скопировать указанный файл *.VAR в каталог FROM_NCC
4)зайти в ЦУС в меню "справочники для УКЦ" -"справочники узлов, связанных с другими сетями" 
и выбрать ту сеть с которой настраиваете межсеть.
5) УКЦ скажет, что сменились варианты ключей,

(если сообщения не появится - перезапустите УКЦ)

6) сформировать в УКЦ полные ключи и отправить обновления на все узлы, связанные с узлами указанной сети.
7) зайти в УКЦ - Доверенные сети Vipnet - сетевые узлы - Координатор сети с которой связываетесь должен иметь 
Вариант ключей "1" (если вариант ключей остался 0 то необходимо получить другой файл варианта ключей *.var)

Спасибо за ответ. но это не наша ситуация. На обоих координаторах вариант ключей "0"

Share this post


Link to post
Share on other sites

Заинтересовали некоторые моменты (3 штуки), может коллеги подскажут и Вам это тоже поможет:

Почему у Вас идет трафик на частный IP-адрес, а потом идет с публичного на Ваш публичный. И почему-то IP-адреса source разные, в обоих случаях. Или сетки 1991 и 4125 в одной локальной сети находятся?

IP protocol:    17 - UDP (User Datagram)
Source IP:      95.173.131.106    Port: 2046
Destination IP: 172.16.200.70     Port: 2046

IP protocol:    17 - UDP (User Datagram)
Source IP:      146.120.90.70     Port: 55777
Destination IP: 95.173.131.106    Port: 55777

Destination Node           101D000A
Destination Node           07C70019

Почему запрос UDP, а ответ TCP? TCP не может ниоткуда появиться - должны быть handshake, aka ACK...

IP protocol:    17 - UDP (User Datagram)
Source IP:      95.95.95.95    Port: 55777
Destination IP: 172.16.200.70     Port: 55777

IP protocol:    6 - TCP (Transmission Control)
Source IP:      172.16.200.70     Port: 37925
Destination IP: 30.0.0.76         Port: 5002

Откуда взялись такие порты в послежнем случае?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.