Vlad08 Опубликовано 27 Апреля 2016 Жалоба Поделиться Опубликовано 27 Апреля 2016 Добрый день! При установлении межсети iplir vi показывает, что от сети 1 до сети 2 пакеты проходят, а от сети 2 до сети 1 выдаёт ошибку "2 - Message authentication code is incorrect". В чём может быть ошибка и на чьей стороне искать? Пробовали уже два раза всё сносить, ошибка одна и таже Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
bussblow Опубликовано 18 Июля 2017 Жалоба Поделиться Опубликовано 18 Июля 2017 Присоединяюсь к вопросу Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
KIV Опубликовано 18 Июля 2017 Жалоба Поделиться Опубликовано 18 Июля 2017 Давайте подробнее: какие администраторы версии, какие ключи межсетевые, какие координаторы версии. Из какой сети и с какого узла на какой ходит, а на какой нет. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
bussblow Опубликовано 20 Июля 2017 Жалоба Поделиться Опубликовано 20 Июля 2017 C одной стороны (координатор 1) hw2000 Версия ПО: 3.5.0 (731)). С другой (координатор 2) hw1000 версия 3.2. Мастер ключи - индивидуальные. От своего к другому координатору пакеты пропускает, а обратно пишет ошибку. это когда destination чужой координатор Events: 40 - Encrypted IP packet allowed x Interval Begin: 20.07.2017 11:40:27 x End: 20.07.2017 11:40:57 x Interface: eth0 Ethernet protocol: 800h x Size: 1443 B Count: 3 x Drop: NO Encrypted YES x Direction: Outgoing NAT: NO x Broadcast: NO Forward: NO x IP protocol: 17 - UDP (User Datagram) x Source IP: 95.173.131.106 Port: 2046 x Destination IP: 172.16.200.70 Port: 2046 x Key number: FFFFFFFF x Source Node 101D000A x Coordinator_EPS x Destination Node 07C70019 а когда чужой координатор в source, то в журнале пишет Events: 2 - Message authentication code is incorrect x Interval Begin: 20.07.2017 11:54:24 x End: 20.07.2017 11:55:22 x Interface: eth0 Ethernet protocol: 800h x Size: 5838 B Count: 42 x x Drop: YES Encrypted YES x Direction: Incoming NAT: NO x Broadcast: NO Forward: NO x IP protocol: 17 - UDP (User Datagram) x Source IP: 146.120.90.70 Port: 55777 x Destination IP: 95.173.131.106 Port: 55777 x x Key number: FFFFFFFE x Source Node 07C70019 x ▒▒ ▒▒ ▒▒▒▒▒ ▒▒▒▒▒▒▒ 1991 x Destination Node 101D000A x Coordinator_EPS Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
denis.r Опубликовано 20 Июля 2017 Жалоба Поделиться Опубликовано 20 Июля 2017 Событие 2 говорит о том, что для шифрования используются разные ключи. Необходимо: 1) убедиться что активен один и тот же мастер ключ (можно сверить по серийным номерам) 2) повторно обменяться экспортом с обеих сторон. Если администратор 4.х, то перед экспортом выполнить "Очистить кэш" Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
bussblow Опубликовано 20 Июля 2017 Жалоба Поделиться Опубликовано 20 Июля 2017 27 минуты назад, denis.r сказал: Событие 2 говорит о том, что для шифрования используются разные ключи. Необходимо: 1) убедиться что активен один и тот же мастер ключ (можно сверить по серийным номерам) 2) повторно обменяться экспортом с обеих сторон. Если администратор 4.х, то перед экспортом выполнить "Очистить кэш" Серийники у ключей одинаковые, экспортом обменялись, ситуация та же. iplir ping Check connection with 7c70019... Timeout expired Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
denis.r Опубликовано 20 Июля 2017 Жалоба Поделиться Опубликовано 20 Июля 2017 Экспортом обменялись и повторно выслали ключи и справочники на координаторы и ключи уже применялись, а проблема сохранилась? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AndreyPopov Опубликовано 20 Июля 2017 Жалоба Поделиться Опубликовано 20 Июля 2017 Опишите последовательность действий. 1. Инициатор отправляет экспорт 2 2. Формирует заново мастер-ключ 3. Создает ключевые наборы 4. Отправляет в ЦУС 5. Отправляет в архиве экспорт и новый мастер-ключ 4. Дальше в Управлении -> справочники, ключи, экспорт.. Все верно? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
bussblow Опубликовано 20 Июля 2017 Жалоба Поделиться Опубликовано 20 Июля 2017 49 минуты назад, denis.r сказал: Экспортом обменялись и повторно выслали ключи и справочники на координаторы и ключи уже применялись, а проблема сохранилась? Ключи не применялись, настраиваем впервые межсетевое взаимодействие. А все остальное так и сделали. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
bussblow Опубликовано 20 Июля 2017 Жалоба Поделиться Опубликовано 20 Июля 2017 44 минуты назад, AndreyPopov сказал: Опишите последовательность действий. 1. Инициатор отправляет экспорт 2 2. Формирует заново мастер-ключ 3. Создает ключевые наборы 4. Отправляет в ЦУС 5. Отправляет в архиве экспорт и новый мастер-ключ 4. Дальше в Управлении -> справочники, ключи, экспорт.. Все верно? Да, по инструкции идем. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
denis.r Опубликовано 20 Июля 2017 Жалоба Поделиться Опубликовано 20 Июля 2017 11 минут назад, bussblow сказал: Ключи не применялись После обмена экспортом сформируйте Ключи узлов в УКЦ и разошлите справочники и ключи на узлы своей сети. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
bussblow Опубликовано 20 Июля 2017 Жалоба Поделиться Опубликовано 20 Июля 2017 2 часа назад, denis.r сказал: После обмена экспортом сформируйте Ключи узлов в УКЦ и разошлите справочники и ключи на узлы своей сети. Сейчас заново попробовали пройти всю процедуру по пунктам, по книге. Ситуация не изменяется. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AndreyPopov Опубликовано 24 Июля 2017 Жалоба Поделиться Опубликовано 24 Июля 2017 Так же при выводе команды ip view в журнале пакетов видно, что ┌─[♦]─────────────────────────── Record details ───────────────────────────────┐ │ Events: 2 - Message authentication code is incorrect │ │ Interval Begin: 24.07.2017 10:37:55 │ End: 24.07.2017 10:37:58 │ │ Interface: eth1 Ethernet protocol: 800h │ Size: 278 Count: 2 │ │ Drop: YES Encrypted YES │ Direction: Incoming NAT: NO │ Broadcast: NO Forward: NO │ │ IP protocol: 17 - UDP (User Datagram) │ Source IP: 95.95.95.95 Port: 55777 │ Destination IP: 172.16.200.70 Port: 55777 │ │ Key number: FFFFFFFE │ Source Node 101D000A │ Coordinator_*** 1111 │ Destination Node 07C70019 │ СМ **** ┌─[♦]─────────────────────────── Record details ───────────────────────────────┐ │ Events: 40 - Encrypted IP packet allowed │ │ Interval Begin: 24.07.2017 10:46:50 │ End: 24.07.2017 10:46:50 │ │ Interface: eth1 Ethernet protocol: 800h │ Size: 74 Count: 1 │ │ Drop: NO Encrypted YES │ Direction: Outgoing NAT: NO │ Broadcast: NO Forward: NO │ │ IP protocol: 6 - TCP (Transmission Control) │ Source IP: 172.16.200.70 Port: 37925 │ Destination IP: 30.0.0.76 Port: 5002 │ │ Key number: FFFFFFFF │ Source Node 07C70019 │ СМ **** │ Destination Node 101D000A │ Coordinator_*** 1111 Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
bussblow Опубликовано 25 Июля 2017 Жалоба Поделиться Опубликовано 25 Июля 2017 Может быть из за разности версий такая проблема? на одном 3.5 на другом 3.2?? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AndreyPopov Опубликовано 25 Июля 2017 Жалоба Поделиться Опубликовано 25 Июля 2017 Да, версии разные. 3.5 и 3.2, но разве это может быть причиной???? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
denis.r Опубликовано 27 Июля 2017 Жалоба Поделиться Опубликовано 27 Июля 2017 Проверьте, что на обоих координаторах используется одинаковый режим шифрования: iplir show cipher-mode Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
bussblow Опубликовано 28 Июля 2017 Жалоба Поделиться Опубликовано 28 Июля 2017 19 час назад, denis.r сказал: Проверьте, что на обоих координаторах используется одинаковый режим шифрования: iplir show cipher-mode На обоих координаторах CTR:counter mode Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Rinya Опубликовано 28 Июля 2017 Жалоба Поделиться Опубликовано 28 Июля 2017 Добрый день! Значение 2 - Неверное значение имито (Защищаемые данные или открытая информация криптосистемы были изменены). На всякий случай спрошу: у Вас межсетевые мастер ключи на обоих администраторах введены в действие? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
bussblow Опубликовано 28 Июля 2017 Жалоба Поделиться Опубликовано 28 Июля 2017 1 час назад, Rinya сказал: Добрый день! Значение 2 - Неверное значение имито (Защищаемые данные или открытая информация криптосистемы были изменены). На всякий случай спрошу: у Вас межсетевые мастер ключи на обоих администраторах введены в действие? Добрый! Да, введены в действие и имеют одинаковый номер ключа. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
xrockx Опубликовано 7 Августа 2017 Жалоба Поделиться Опубликовано 7 Августа 2017 Если у обоих сетей введен один и тот же ММК и все обновления разосланы, а ошибка Imito сохранилась, то это скорее всего Вариант Ключа Сетевого узла Шлюзового Координатора в одной из сетей отличный от "0" (Вариант ключа можно посмотреть в УКЦ-Ключевой Центр-Доверенные Сети ViPNet-Сетевые Узлы) (Вариант ключа меняется на 1 допустим при компрометации ключей Сетевого Узла). Как правило Сеть у которой Вариант ключа должен быть "1" знает об этом. =))) Т.е. получается при первичном экспорте в сети 1 у Шлюзового координатора вариант ключей "1", а в сети 2 при экспорте первичного импорта в УКЦ вариант ключей остается "0" - Это глюк конечно, но сам с таким сталкивался и что только не Шаманил с Бубном. Вот Решение подобной проблемы: 1) зайти в ЦУС в каталог "NCC\IMPORT\" 2) найти файлы ***Xхххх.VAR , - где ***X - номер ключей нужной сети, а хххх - номер ключей вашей сети 3)скопировать указанный файл *.VAR в каталог FROM_NCC 4)зайти в ЦУС в меню "справочники для УКЦ" -"справочники узлов, связанных с другими сетями" и выбрать ту сеть с которой настраиваете межсеть. 5) УКЦ скажет, что сменились варианты ключей, (если сообщения не появится - перезапустите УКЦ) 6) сформировать в УКЦ полные ключи и отправить обновления на все узлы, связанные с узлами указанной сети. 7) зайти в УКЦ - Доверенные сети Vipnet - сетевые узлы - Координатор сети с которой связываетесь должен иметь Вариант ключей "1" (если вариант ключей остался 0 то необходимо получить другой файл варианта ключей *.var) Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
bussblow Опубликовано 9 Августа 2017 Жалоба Поделиться Опубликовано 9 Августа 2017 В 07.08.2017в13:55, xrockx сказал: Если у обоих сетей введен один и тот же ММК и все обновления разосланы, а ошибка Imito сохранилась, то это скорее всего Вариант Ключа Сетевого узла Шлюзового Координатора в одной из сетей отличный от "0" (Вариант ключа можно посмотреть в УКЦ-Ключевой Центр-Доверенные Сети ViPNet-Сетевые Узлы) (Вариант ключа меняется на 1 допустим при компрометации ключей Сетевого Узла). Как правило Сеть у которой Вариант ключа должен быть "1" знает об этом. =))) Т.е. получается при первичном экспорте в сети 1 у Шлюзового координатора вариант ключей "1", а в сети 2 при экспорте первичного импорта в УКЦ вариант ключей остается "0" - Это глюк конечно, но сам с таким сталкивался и что только не Шаманил с Бубном. Вот Решение подобной проблемы: 1) зайти в ЦУС в каталог "NCC\IMPORT\" 2) найти файлы ***Xхххх.VAR , - где ***X - номер ключей нужной сети, а хххх - номер ключей вашей сети 3)скопировать указанный файл *.VAR в каталог FROM_NCC 4)зайти в ЦУС в меню "справочники для УКЦ" -"справочники узлов, связанных с другими сетями" и выбрать ту сеть с которой настраиваете межсеть. 5) УКЦ скажет, что сменились варианты ключей, (если сообщения не появится - перезапустите УКЦ) 6) сформировать в УКЦ полные ключи и отправить обновления на все узлы, связанные с узлами указанной сети. 7) зайти в УКЦ - Доверенные сети Vipnet - сетевые узлы - Координатор сети с которой связываетесь должен иметь Вариант ключей "1" (если вариант ключей остался 0 то необходимо получить другой файл варианта ключей *.var) Спасибо за ответ. но это не наша ситуация. На обоих координаторах вариант ключей "0" Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
kpys Опубликовано 29 Августа 2017 Жалоба Поделиться Опубликовано 29 Августа 2017 Заинтересовали некоторые моменты (3 штуки), может коллеги подскажут и Вам это тоже поможет: Почему у Вас идет трафик на частный IP-адрес, а потом идет с публичного на Ваш публичный. И почему-то IP-адреса source разные, в обоих случаях. Или сетки 1991 и 4125 в одной локальной сети находятся? IP protocol: 17 - UDP (User Datagram) Source IP: 95.173.131.106 Port: 2046 Destination IP: 172.16.200.70 Port: 2046 IP protocol: 17 - UDP (User Datagram) Source IP: 146.120.90.70 Port: 55777 Destination IP: 95.173.131.106 Port: 55777 Destination Node 101D000A Destination Node 07C70019 Почему запрос UDP, а ответ TCP? TCP не может ниоткуда появиться - должны быть handshake, aka ACK... IP protocol: 17 - UDP (User Datagram) Source IP: 95.95.95.95 Port: 55777 Destination IP: 172.16.200.70 Port: 55777 IP protocol: 6 - TCP (Transmission Control) Source IP: 172.16.200.70 Port: 37925 Destination IP: 30.0.0.76 Port: 5002 Откуда взялись такие порты в послежнем случае? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.