Ошибка "2 - Message authentication code is incorrect"

[Vlad08]

Добрый день! При установлении межсети iplir vi показывает, что от сети 1 до сети 2 пакеты проходят, а от сети 2 до сети 1 выдаёт ошибку "2 - Message authentication code is incorrect". В чём может быть ошибка и на чьей стороне искать? Пробовали уже два раза всё сносить, ошибка одна и таже

[bussblow]

Присоединяюсь к вопросу

[KIV]

Давайте подробнее: какие администраторы версии, какие ключи межсетевые, какие координаторы версии. Из какой сети и с какого узла на какой ходит, а на какой нет.

[bussblow]

C одной стороны (координатор 1) hw2000 Версия ПО: 3.5.0 (731)). С другой (координатор 2) hw1000 версия 3.2. Мастер ключи - индивидуальные. От своего к другому координатору пакеты пропускает, а обратно пишет ошибку.

это когда destination чужой координатор

Events: 40 - Encrypted IP packet allowed
x Interval Begin:  20.07.2017 11:40:27                                     
x            End:  20.07.2017 11:40:57                                                                                                             
x Interface: eth0      Ethernet protocol: 800h                             
x Size:      1443 B    Count:             3                                
x Drop:      NO        Encrypted YES                                       
x Direction: Outgoing  NAT:      NO                                        
x Broadcast: NO        Forward:  NO                                               
x IP protocol:    17 - UDP (User Datagram)
x Source IP:      95.173.131.106    Port: 2046
x Destination IP: 172.16.200.70     Port: 2046            
x Key number:                FFFFFFFF                                      
x Source Node                101D000A                                      
x   Coordinator_EPS
x Destination Node           07C70019         

 

а когда чужой координатор в source, то в журнале пишет 

 

Events: 2 - Message authentication code is incorrect
x Interval Begin:  20.07.2017 11:54:24
x            End:  20.07.2017 11:55:22
x Interface: eth0      Ethernet protocol: 800h
x Size:      5838 B    Count:             42
x
x Drop:      YES       Encrypted YES
x Direction: Incoming  NAT:      NO
x Broadcast: NO        Forward:  NO
x IP protocol:    17 - UDP (User Datagram)
x Source IP:      146.120.90.70     Port: 55777
x Destination IP: 95.173.131.106    Port: 55777
x
x Key number:                FFFFFFFE
x Source Node                07C70019
x   ▒▒ ▒▒ ▒▒▒▒▒ ▒▒▒▒▒▒▒                           1991
x Destination Node           101D000A
x   Coordinator_EPS
 

 

 

 

[denis.r]

Событие 2 говорит о том, что для шифрования используются разные ключи. Необходимо:

1) убедиться что активен один и тот же мастер ключ (можно сверить по серийным номерам)

2) повторно обменяться экспортом с обеих сторон. Если администратор 4.х, то перед экспортом выполнить "Очистить кэш"

[bussblow]

27 минуты назад, denis.r сказал:

Событие 2 говорит о том, что для шифрования используются разные ключи. Необходимо:

1) убедиться что активен один и тот же мастер ключ (можно сверить по серийным номерам)

2) повторно обменяться экспортом с обеих сторон. Если администратор 4.х, то перед экспортом выполнить "Очистить кэш"

Серийники у ключей одинаковые, экспортом обменялись, ситуация та же.

iplir ping
Check connection with 7c70019...
Timeout expired
 

[denis.r]

Экспортом обменялись и повторно выслали ключи и справочники на координаторы и ключи уже применялись, а проблема сохранилась?

[AndreyPopov]

Опишите последовательность действий.

1. Инициатор отправляет экспорт 2

2. Формирует заново мастер-ключ

3. Создает ключевые наборы

4. Отправляет в ЦУС

5. Отправляет в архиве экспорт и новый мастер-ключ

4. Дальше в Управлении -> справочники, ключи, экспорт..

Все верно?

[bussblow]

49 минуты назад, denis.r сказал:

Экспортом обменялись и повторно выслали ключи и справочники на координаторы и ключи уже применялись, а проблема сохранилась?

Ключи не применялись, настраиваем впервые межсетевое взаимодействие. А все остальное так и сделали.

[bussblow]

44 минуты назад, AndreyPopov сказал:

Опишите последовательность действий.

1. Инициатор отправляет экспорт 2

2. Формирует заново мастер-ключ

3. Создает ключевые наборы

4. Отправляет в ЦУС

5. Отправляет в архиве экспорт и новый мастер-ключ

4. Дальше в Управлении -> справочники, ключи, экспорт..

Все верно?

Да, по инструкции идем.

[denis.r]

11 минут назад, bussblow сказал:

Ключи не применялись

После обмена экспортом сформируйте Ключи узлов в УКЦ и разошлите справочники и ключи на узлы своей сети.

[bussblow]

2 часа назад, denis.r сказал:

После обмена экспортом сформируйте Ключи узлов в УКЦ и разошлите справочники и ключи на узлы своей сети.

Сейчас заново попробовали пройти всю процедуру по пунктам, по книге. Ситуация не изменяется.

[AndreyPopov]

Так же при выводе команды ip view в журнале пакетов видно, что 

┌─[♦]─────────────────────────── Record details ───────────────────────────────┐

│ Events: 2 - Message authentication code is incorrect                       

│                                                                              

│ Interval Begin:  24.07.2017 10:37:55                                        

│            End:  24.07.2017 10:37:58                                         

│                                                                             

│ Interface:  eth1     Ethernet protocol: 800h                                 

│ Size:       278      Count:             2                                    

│                                                                              

│ Drop:      YES       Encrypted YES                                           

│ Direction: Incoming  NAT:      NO                                            

│ Broadcast: NO        Forward:  NO                                            

│                                                                              

│ IP protocol:    17 - UDP (User Datagram)                                     

│ Source IP:      95.95.95.95    Port: 55777                               

│ Destination IP: 172.16.200.70     Port: 55777                                

│                                                                              

│ Key number:                FFFFFFFE                                        

│ Source Node                101D000A                                          

│   Coordinator_***                               1111                         

│ Destination Node           07C70019                                         

│   СМ ****  

 

 

┌─[♦]─────────────────────────── Record details ───────────────────────────────┐

│ Events: 40 - Encrypted IP packet allowed                                    

│                                                                             

│ Interval Begin:  24.07.2017 10:46:50                                         

│            End:  24.07.2017 10:46:50                                        

│                                                                              

│ Interface:  eth1     Ethernet protocol: 800h                                

│ Size:       74       Count:             1                                    

│                                                                              

│ Drop:      NO        Encrypted YES                                         

│ Direction: Outgoing  NAT:      NO                                           

│ Broadcast: NO        Forward:  NO                                         

│                                                                              

│ IP protocol:    6 - TCP (Transmission Control)                       

│ Source IP:      172.16.200.70     Port: 37925                              

│ Destination IP: 30.0.0.76         Port: 5002                                 

│                                                                              

│ Key number:                FFFFFFFF                                        

│ Source Node                07C70019                                        

│   СМ ****                                                      

│ Destination Node           101D000A                                          

│   Coordinator_***                               1111   

[bussblow]

Может быть из за разности версий такая проблема? на одном 3.5 на другом 3.2??

[AndreyPopov]

Да, версии разные. 3.5 и 3.2, но разве это может быть причиной????

[denis.r]

Проверьте, что на обоих координаторах используется одинаковый режим шифрования: iplir show cipher-mode

[bussblow]

19 час назад, denis.r сказал:

Проверьте, что на обоих координаторах используется одинаковый режим шифрования: iplir show cipher-mode

На обоих координаторах 

CTR:counter mode

[Rinya]

Добрый день!

Значение 2 - Неверное значение имито (Защищаемые данные или открытая информация криптосистемы были изменены). 

На всякий случай спрошу: у Вас межсетевые мастер ключи на обоих администраторах введены в действие?

[bussblow]

1 час назад, Rinya сказал:

Добрый день!

Значение 2 - Неверное значение имито (Защищаемые данные или открытая информация криптосистемы были изменены). 

На всякий случай спрошу: у Вас межсетевые мастер ключи на обоих администраторах введены в действие?

Добрый! Да, введены в действие и имеют одинаковый номер ключа.

[xrockx]

Если у обоих сетей введен один и тот же ММК и все обновления разосланы, а ошибка Imito сохранилась, то это скорее всего Вариант Ключа Сетевого узла Шлюзового Координатора в одной из сетей отличный от "0" (Вариант ключа можно посмотреть в УКЦ-Ключевой Центр-Доверенные Сети ViPNet-Сетевые Узлы) (Вариант ключа меняется на 1 допустим при компрометации ключей Сетевого Узла).

Как правило Сеть у которой Вариант ключа должен быть "1" знает об этом. =)))

Т.е. получается при первичном экспорте в сети 1 у Шлюзового координатора вариант ключей "1", а в сети 2 при экспорте первичного импорта в УКЦ вариант ключей остается "0" - Это глюк конечно, но сам с таким сталкивался и что только не Шаманил с Бубном.

Вот Решение подобной проблемы:

1) зайти в ЦУС в каталог "NCC\IMPORT\"
2) найти файлы ***Xхххх.VAR ,  - где ***X - номер ключей нужной сети, а хххх - номер ключей вашей сети
3)скопировать указанный файл *.VAR в каталог FROM_NCC
4)зайти в ЦУС в меню "справочники для УКЦ" -"справочники узлов, связанных с другими сетями" 
и выбрать ту сеть с которой настраиваете межсеть.
5) УКЦ скажет, что сменились варианты ключей,

(если сообщения не появится - перезапустите УКЦ)

6) сформировать в УКЦ полные ключи и отправить обновления на все узлы, связанные с узлами указанной сети.
7) зайти в УКЦ - Доверенные сети Vipnet - сетевые узлы - Координатор сети с которой связываетесь должен иметь 
Вариант ключей "1" (если вариант ключей остался 0 то необходимо получить другой файл варианта ключей *.var)

[bussblow]

В 07.08.2017в13:55, xrockx сказал:

Если у обоих сетей введен один и тот же ММК и все обновления разосланы, а ошибка Imito сохранилась, то это скорее всего Вариант Ключа Сетевого узла Шлюзового Координатора в одной из сетей отличный от "0" (Вариант ключа можно посмотреть в УКЦ-Ключевой Центр-Доверенные Сети ViPNet-Сетевые Узлы) (Вариант ключа меняется на 1 допустим при компрометации ключей Сетевого Узла).

Как правило Сеть у которой Вариант ключа должен быть "1" знает об этом. =)))

Т.е. получается при первичном экспорте в сети 1 у Шлюзового координатора вариант ключей "1", а в сети 2 при экспорте первичного импорта в УКЦ вариант ключей остается "0" - Это глюк конечно, но сам с таким сталкивался и что только не Шаманил с Бубном.

Вот Решение подобной проблемы:

1) зайти в ЦУС в каталог "NCC\IMPORT\"
2) найти файлы ***Xхххх.VAR ,  - где ***X - номер ключей нужной сети, а хххх - номер ключей вашей сети
3)скопировать указанный файл *.VAR в каталог FROM_NCC
4)зайти в ЦУС в меню "справочники для УКЦ" -"справочники узлов, связанных с другими сетями" 
и выбрать ту сеть с которой настраиваете межсеть.
5) УКЦ скажет, что сменились варианты ключей,

(если сообщения не появится - перезапустите УКЦ)

6) сформировать в УКЦ полные ключи и отправить обновления на все узлы, связанные с узлами указанной сети.
7) зайти в УКЦ - Доверенные сети Vipnet - сетевые узлы - Координатор сети с которой связываетесь должен иметь 
Вариант ключей "1" (если вариант ключей остался 0 то необходимо получить другой файл варианта ключей *.var)

Спасибо за ответ. но это не наша ситуация. На обоих координаторах вариант ключей "0"

[kpys]

Заинтересовали некоторые моменты (3 штуки), может коллеги подскажут и Вам это тоже поможет:

Почему у Вас идет трафик на частный IP-адрес, а потом идет с публичного на Ваш публичный. И почему-то IP-адреса source разные, в обоих случаях. Или сетки 1991 и 4125 в одной локальной сети находятся?

IP protocol:    17 - UDP (User Datagram)
Source IP:      95.173.131.106    Port: 2046
Destination IP: 172.16.200.70     Port: 2046

IP protocol:    17 - UDP (User Datagram)
Source IP:      146.120.90.70     Port: 55777
Destination IP: 95.173.131.106    Port: 55777

Destination Node           101D000A
Destination Node           07C70019

Почему запрос UDP, а ответ TCP? TCP не может ниоткуда появиться - должны быть handshake, aka ACK...

IP protocol:    17 - UDP (User Datagram)
Source IP:      95.95.95.95    Port: 55777
Destination IP: 172.16.200.70     Port: 55777

IP protocol:    6 - TCP (Transmission Control)
Source IP:      172.16.200.70     Port: 37925
Destination IP: 30.0.0.76         Port: 5002

Откуда взялись такие порты в послежнем случае?