Jump to content

Recommended Posts

добрый день!

нужно иметь доступ к ПК через удаленный рабочий стол. на этом ПК стоит vipnet client 4.3.

на пк, с которого подключаюсь, не установлен vipnet client. на обоих пк windows 7 64bit

прописал правила фильтрации открытой сети:

https://drive.google.com/open?id=1ZEQKLgCzMw1xln1cuueIiwc4EMHQhGbf

не работает подключение к удаленному рабочему столу. как исправить?

Share this post


Link to post
Share on other sites

В упор не вижу на вашем скриншоте правила "разрешить конкретному узлу открытой сети доступ по RDP"

Share this post


Link to post
Share on other sites

Басид - он скорее всего разрешил всё, потому вы не увидите РДП.

ОС вы обновляли? Недавно было обновление которое "лечилось" выполнив в CMD от админа "REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2"

Ну т.е. вы уверены что это випнет виноват? Если это он то правила должны работать, если только випнет не сбойнул. Для отладки правило сделайте "все" что то вроде аналог "4"-му режиму из 3-й версии.

Share this post


Link to post
Share on other sites
8 часов назад, Vintik сказал:

Басид - он скорее всего разрешил всё

Я, вообще-то, посмотрел все правила ...

Share this post


Link to post
Share on other sites
2 часа назад, basid сказал:

Я, вообще-то, посмотрел все правила ...

И что вы не видите первое правило? он там всю под сеть в доверенные добавил (правда второе с верху не нужно т.к. по умолчанию самое нижнее разрешает все исходящие, но лишним не будет)

Share this post


Link to post
Share on other sites

Я интерпретировал это правило как "разрешить широковещательный трафик". Пожалуй, что неправ ...
Значит, человек ожидает работы до ввода пароля ViPNet-клиента.

P.S.
Оба варианта - глупость, проистекающая из нежелания читать документацию.

Share this post


Link to post
Share on other sites

Всё возможно, автор темы не уточнил и куда то пропал. Если надо ДО то надо уточнить в какой сети и если есть вариант и приметь пароль админа, то легко настроить автовход, как второй вариант, использовать випнет Client_RUS_4.3.2.37273, в весрии Client_RUS_4.3.2.46794 и выше они исправили, то что раньше оговаривали как нормальная работа (т.е. не блокировал до ввода не чего). Ну или как обычно если нет вариантов, использовать разные костыли, чтоб это обойти, благо пока их хватает.

Share this post


Link to post
Share on other sites

че не так-то с правилами?

я открыл все входящие и все исходящие для своей подсети двумя верхними правилами. для всех сервисов.

нужно иметь доступ к rdp без разницы ввели пароль от випнет монитора или нет.

пароля от администратора у меня нет.

ОС у меня обновляется постоянно. скажите номер kb обновления я посмотрю есть ли оно на компе.

версия випнет клиента 4,3,2,37273

Share this post


Link to post
Share on other sites
9 минут назад, alyam сказал:

нужно иметь доступ к rdp без разницы ввели пароль от випнет монитора или нет.

Начните с чтения документации и целый ряд вопросов должен отпасть.

P.S.
Нет, это не заговор жидо-массонов.

Share this post


Link to post
Share on other sites

а если знаете ответ, то подсказать можно? времени читать документацию к випнету совсем нет. прошу войти в положение )

Share this post


Link to post
Share on other sites

В документации довольно чётко написано:

ViPNet-драйвер активирует фильтрацию трафика во время загрузки операционной системы Windows еще до аутентификации в программе ViPNet Монитор. При этом работа ViPNet-драйвера определяется предустановленными фильтрами защищенной сети и фильтрами открытой сети, которые использовались в предыдущем сеансе работы. Полную защиту трафика, включающую его шифрование, ViPNet-драйвер обеспечивает после аутентификации в программе ViPNet Монитор.

 Т.е. исходя из документации, в Вашем случае, если фильтры открытой сети написаны верно (а проверить это довольно легко по журналу ip-пакетов на клиенте после входа в учетку и запуске монитора), то подключение должно устанавливаться как до, так и после входа в монитор.

  Я бы для начала зашел в монитор, прологинился в учетку, произвел пару тестовых подключений по rdp с открытого ресурса, посмотрел журнал пакетов, если в нём все пропущено, то отключил защиту трафика. Если не помогло, то дело не в МЭ випнета, а в нарушении работы подсистем ОС вследствии "старого" CSP, обновить который желательно на бета-версию с сайта.

Поиск "того самого" обновления, удалив которое якобы RDP начинает работать - удел энтузиастов.

 

Share this post


Link to post
Share on other sites
8 минут назад, zero сказал:

Если не помогло, то дело не в МЭ випнета, а в нарушении работы подсистем ОС вследствии "старого" CSP, обновить который желательно на бета-версию с сайта.

 

vipnet csp установлен версии 4.2.2.36190/ его я переустановил. бета-версии я не могу ставить. они не сертифицированы.

в журнале ip пишет событие 60. пропущен незашифрованный локальный ip-пакет

как в 4 версии отключить защиту трафика?

Share this post


Link to post
Share on other sites
3 минуты назад, alyam сказал:

как в 4 версии отключить защиту трафика?

В программе ViPNet Монитор в меню Файл выберите пункт Конфигурации > Отключить защиту.

 

4 минуты назад, alyam сказал:

vipnet csp установлен версии 4.2.2.36190/ его я переустановил. бета-версии я не могу ставить. они не сертифицированы.

 Так Вы сможете понять из-за CSP это или нет сами и довольно быстро. Или будете долго ломать голову над вопросом "почему не работает", хотя ответ на поверхности.

И если Вы так печетесь о безопасности, то негоже нарушать и Правила Пользования:

"Запретить или ограничить удаленное управление ОС путем настроек, запрещающих фильтров для протоколов и портов удаленного управления ОС для всех узлов, кроме специально выделенных для этих целей.",   против Вашего: " я открыл все входящие и все исходящие для своей подсети двумя верхними правилами. для всех сервисов.".

Share this post


Link to post
Share on other sites
Только что, zero сказал:

vipnet csp установлен версии 4.2.2.36190

чуть не забыл, недавно сертифицировали 4.2.8. Обновляйтесь!

Share this post


Link to post
Share on other sites
12 минут назад, zero сказал:

чуть не забыл, недавно сертифицировали 4.2.8. Обновляйтесь!

а по правилам. если я скачаю vipnet csp с оф. сайта и установлю, то надо где-то в формуляре отметку ставить о новой версии? или обязательно надо иметь дистрибутив на cd?

"кроме специально выделенных для этих целей." определяет это администратор же?  подсеть может же быть узлом теоретически.

я могу, конечно, указать и единственный пк, с которого я осуществляю управление, но у меня dhcp, а я не обратил внимания можно ли в фильтрах указывать dns-имя.

Share this post


Link to post
Share on other sites
26 минут назад, zero сказал:

чуть не забыл, недавно сертифицировали 4.2.8. Обновляйтесь!

Ого - это здорово! "ViPNet CSP 4.2 от 31.07.2018" (ViPNet_CSP_RUS_4.2.8.51670)

Спасибо за информацию, и даже совместимость с НОД решили, и расширен ряд ОС: (хотя думаю иногда придутся проверять на бето): "Версия для Windows: 7(32/64-разрядная)/8 (64-разрядная)/8.1 (32/64-разрядная)/10 (32/64-разрядная) /2008 R2 64-разрядная)/2012 64-разрядная)/2012 R2 64-разрядная)/"

 

20 минут назад, alyam сказал:

а по правилам. если я скачаю vipnet csp с оф. сайта и установлю,

По правилам если у вас есть хоть один диск с СКЗИ где есть их "калькулятор" контрольных сумм, а у вас он есть, то вы можете скачать CSP, подстчитать КС, указав в произвольной форме в формуляре, что обновили CSP, подсчитали КС - всё верно. Если же допустим у вас нет "твердотельного" носителя где проверяющая утилита, то тут уже сложнее, потому что как не крути - вот надо чтоб было и всё тут.

Share this post


Link to post
Share on other sites
58 минут назад, alyam сказал:

.....

как в 4 версии отключить защиту трафика?

А ни как, если нет пароля администратора (ну про костыли мы не говорим), так что присоединитесь и тут можете высказать ещё одно пожелание (только не как там был один из последних, уж не выдержал бедолага эмоций) 

 

Share this post


Link to post
Share on other sites
1 час назад, alyam сказал:

а если знаете ответ, то подсказать можно? времени читать документацию к випнету совсем нет. прошу войти в положение )

ZERO - ниже под вашим запросом отличное краткое описание выложил..

Я могу только от себя вопрос добавить, что не понял, вы когда это правило сделали:

1) Смогли подключиться при загруженной нормально ОС и приложении или так же проблемы?

2) Какое антивирусное ПО у вас (на пример тот же каспер имеет свой МЭ, который может быть причиной) и т.п. или вы 100% уверены, что подключение есть - пока нет Випнета?

3) В журнале (как описал ZERO) вы что то видите или там совсем не чего нет? (как вариант отключите своё правило и посмотрите, если там пустота то это глюк випнета и совсем другой разговор). 

Share this post


Link to post
Share on other sites
16 часов назад, Vintik сказал:

По правилам если у вас есть хоть один диск с СКЗИ где есть их "калькулятор" контрольных сумм, а у вас он есть, то вы можете скачать CSP, подстчитать КС, указав в произвольной форме в формуляре, что обновили CSP, подсчитали КС - всё верно. Если же допустим у вас нет "твердотельного" носителя где проверяющая утилита, то тут уже сложнее, потому что как не крути - вот надо чтоб было и всё тут.

т.е. по сути мне нужен 1 диск с дистрибутивом? если у меня есть 10 лицензий я могу на 10 пк поставить все с одного диска? а почему тогда дистрибьютеры толкают cd с дистрибутивом за 900 рублей к каждой лицензии?

Share this post


Link to post
Share on other sites

 Наверное стоит заглянуть в Правила Пользования на продукт. Там есть раздел "Порядок распространения и учета СКЗИ ViPNet CSP" в котором много интересного.  И при аттестации с Вас будут спрашивать по ПП, а не по постам на форуме :)

Share this post


Link to post
Share on other sites
50 минут назад, zero сказал:

 Наверное стоит заглянуть в Правила Пользования на продукт. Там есть раздел "Порядок распространения и учета СКЗИ ViPNet CSP" в котором много интересного.  И при аттестации с Вас будут спрашивать по ПП, а не по постам на форуме :)

ну надо так надо. деньги то не мои. но не будем отклоняться от темы.

я поставил vipnet csp 4.2.8, но проблема не исчезла. вот лог.

я даже обновил версию vipnet client до 4.3.2.46794.

антивирус у меня kes10, но он настроен чтобы не блокировать.

ветка реестра не помогает "REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2"

какие еще будут предложения?

log.jpg

Share this post


Link to post
Share on other sites

 Какой странный журнал. Если он снят с ПК, на который производится подключение, то порт назначения должен быть 3389, а у Вас он в порте источника. Или Вы выборку только по исходящим сделали?  Ну так и они у Вас есть :)

Если просто по порту 3389 сделать выборку, то корректное подключение выглядит вот так:

 

image.png

Share this post


Link to post
Share on other sites
20 минут назад, zero сказал:

 Или Вы выборку только по исходящим сделали?  Ну так и они у Вас есть :)

 

да. вот лог полный https://drive.google.com/open?id=1odZeYp4Gq1PmDMYqw8z3l_K1VKC8d5xo

p.s. 100кб на прикрепленное изображение - это издевательство

Share this post


Link to post
Share on other sites
29 минут назад, alyam сказал:

 Наш прокси такие ссылки блокирует. Поверю Вам на слово, если у Вас трафик и приходит и уходит, т.е. до приложения RDP трафик доходит и оно что-то отвечает, то почему появилась предположение, что дело именно в випнет, Вы его полностью с CSP удалили и все заработало? Откуда уверенность, что трафик не блокирует антивирус?

Share this post


Link to post
Share on other sites
27 минут назад, zero сказал:

 Откуда уверенность, что трафик не блокирует антивирус?

на других компуктерах не блокирует, а политика у касперского на всех одна.

полностью vipnet не удалял. как бэкап сделать с ключами и настройками?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.