vipnet client 4.3 RDP

[alyam]

добрый день!

нужно иметь доступ к ПК через удаленный рабочий стол. на этом ПК стоит vipnet client 4.3.

на пк, с которого подключаюсь, не установлен vipnet client. на обоих пк windows 7 64bit

прописал правила фильтрации открытой сети:

https://drive.google.com/open?id=1ZEQKLgCzMw1xln1cuueIiwc4EMHQhGbf

не работает подключение к удаленному рабочему столу. как исправить?

[basid]

В упор не вижу на вашем скриншоте правила "разрешить конкретному узлу открытой сети доступ по RDP"

[Vintik]

Басид - он скорее всего разрешил всё, потому вы не увидите РДП.

ОС вы обновляли? Недавно было обновление которое "лечилось" выполнив в CMD от админа "REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2"

Ну т.е. вы уверены что это випнет виноват? Если это он то правила должны работать, если только випнет не сбойнул. Для отладки правило сделайте "все" что то вроде аналог "4"-му режиму из 3-й версии.

[basid]

8 часов назад, Vintik сказал:

Басид - он скорее всего разрешил всё

Я, вообще-то, посмотрел все правила ...

[Vintik]

2 часа назад, basid сказал:

Я, вообще-то, посмотрел все правила ...

И что вы не видите первое правило? он там всю под сеть в доверенные добавил (правда второе с верху не нужно т.к. по умолчанию самое нижнее разрешает все исходящие, но лишним не будет)

[basid]

Я интерпретировал это правило как "разрешить широковещательный трафик". Пожалуй, что неправ ...
Значит, человек ожидает работы до ввода пароля ViPNet-клиента.

P.S.
Оба варианта - глупость, проистекающая из нежелания читать документацию.

[Vintik]

Всё возможно, автор темы не уточнил и куда то пропал. Если надо ДО то надо уточнить в какой сети и если есть вариант и приметь пароль админа, то легко настроить автовход, как второй вариант, использовать випнет Client_RUS_4.3.2.37273, в весрии Client_RUS_4.3.2.46794 и выше они исправили, то что раньше оговаривали как нормальная работа (т.е. не блокировал до ввода не чего). Ну или как обычно если нет вариантов, использовать разные костыли, чтоб это обойти, благо пока их хватает.

[alyam]

че не так-то с правилами?

я открыл все входящие и все исходящие для своей подсети двумя верхними правилами. для всех сервисов.

нужно иметь доступ к rdp без разницы ввели пароль от випнет монитора или нет.

пароля от администратора у меня нет.

ОС у меня обновляется постоянно. скажите номер kb обновления я посмотрю есть ли оно на компе.

версия випнет клиента 4,3,2,37273

[basid]

9 минут назад, alyam сказал:

нужно иметь доступ к rdp без разницы ввели пароль от випнет монитора или нет.

Начните с чтения документации и целый ряд вопросов должен отпасть.

P.S.
Нет, это не заговор жидо-массонов.

[alyam]

а если знаете ответ, то подсказать можно? времени читать документацию к випнету совсем нет. прошу войти в положение )

[zero]

В документации довольно чётко написано:

ViPNet-драйвер активирует фильтрацию трафика во время загрузки операционной системы Windows еще до аутентификации в программе ViPNet Монитор. При этом работа ViPNet-драйвера определяется предустановленными фильтрами защищенной сети и фильтрами открытой сети, которые использовались в предыдущем сеансе работы. Полную защиту трафика, включающую его шифрование, ViPNet-драйвер обеспечивает после аутентификации в программе ViPNet Монитор.

 Т.е. исходя из документации, в Вашем случае, если фильтры открытой сети написаны верно (а проверить это довольно легко по журналу ip-пакетов на клиенте после входа в учетку и запуске монитора), то подключение должно устанавливаться как до, так и после входа в монитор.

  Я бы для начала зашел в монитор, прологинился в учетку, произвел пару тестовых подключений по rdp с открытого ресурса, посмотрел журнал пакетов, если в нём все пропущено, то отключил защиту трафика. Если не помогло, то дело не в МЭ випнета, а в нарушении работы подсистем ОС вследствии "старого" CSP, обновить который желательно на бета-версию с сайта.

Поиск "того самого" обновления, удалив которое якобы RDP начинает работать - удел энтузиастов.

 

[alyam]

8 минут назад, zero сказал:

Если не помогло, то дело не в МЭ випнета, а в нарушении работы подсистем ОС вследствии "старого" CSP, обновить который желательно на бета-версию с сайта.

 

vipnet csp установлен версии 4.2.2.36190/ его я переустановил. бета-версии я не могу ставить. они не сертифицированы.

в журнале ip пишет событие 60. пропущен незашифрованный локальный ip-пакет

как в 4 версии отключить защиту трафика?

[zero]

3 минуты назад, alyam сказал:

как в 4 версии отключить защиту трафика?

В программе ViPNet Монитор в меню Файл выберите пункт Конфигурации > Отключить защиту.

 

4 минуты назад, alyam сказал:

vipnet csp установлен версии 4.2.2.36190/ его я переустановил. бета-версии я не могу ставить. они не сертифицированы.

 Так Вы сможете понять из-за CSP это или нет сами и довольно быстро. Или будете долго ломать голову над вопросом "почему не работает", хотя ответ на поверхности.

И если Вы так печетесь о безопасности, то негоже нарушать и Правила Пользования:

"Запретить или ограничить удаленное управление ОС путем настроек, запрещающих фильтров для протоколов и портов удаленного управления ОС для всех узлов, кроме специально выделенных для этих целей.",   против Вашего: " я открыл все входящие и все исходящие для своей подсети двумя верхними правилами. для всех сервисов.".

[zero]

Только что, zero сказал:

vipnet csp установлен версии 4.2.2.36190

чуть не забыл, недавно сертифицировали 4.2.8. Обновляйтесь!

[alyam]

12 минут назад, zero сказал:

чуть не забыл, недавно сертифицировали 4.2.8. Обновляйтесь!

а по правилам. если я скачаю vipnet csp с оф. сайта и установлю, то надо где-то в формуляре отметку ставить о новой версии? или обязательно надо иметь дистрибутив на cd?

"кроме специально выделенных для этих целей." определяет это администратор же?  подсеть может же быть узлом теоретически.

я могу, конечно, указать и единственный пк, с которого я осуществляю управление, но у меня dhcp, а я не обратил внимания можно ли в фильтрах указывать dns-имя.

[Vintik]

26 минут назад, zero сказал:

чуть не забыл, недавно сертифицировали 4.2.8. Обновляйтесь!

Ого - это здорово! "ViPNet CSP 4.2 от 31.07.2018" (ViPNet_CSP_RUS_4.2.8.51670)

Спасибо за информацию, и даже совместимость с НОД решили, и расширен ряд ОС: (хотя думаю иногда придутся проверять на бето): "Версия для Windows: 7(32/64-разрядная)/8 (64-разрядная)/8.1 (32/64-разрядная)/10 (32/64-разрядная) /2008 R2 64-разрядная)/2012 64-разрядная)/2012 R2 64-разрядная)/"

 

20 минут назад, alyam сказал:

а по правилам. если я скачаю vipnet csp с оф. сайта и установлю,

По правилам если у вас есть хоть один диск с СКЗИ где есть их "калькулятор" контрольных сумм, а у вас он есть, то вы можете скачать CSP, подстчитать КС, указав в произвольной форме в формуляре, что обновили CSP, подсчитали КС - всё верно. Если же допустим у вас нет "твердотельного" носителя где проверяющая утилита, то тут уже сложнее, потому что как не крути - вот надо чтоб было и всё тут.

[Vintik]

58 минут назад, alyam сказал:

.....

как в 4 версии отключить защиту трафика?

А ни как, если нет пароля администратора (ну про костыли мы не говорим), так что присоединитесь и тут можете высказать ещё одно пожелание (только не как там был один из последних, уж не выдержал бедолага эмоций) 

 

[Vintik]

1 час назад, alyam сказал:

а если знаете ответ, то подсказать можно? времени читать документацию к випнету совсем нет. прошу войти в положение )

ZERO - ниже под вашим запросом отличное краткое описание выложил..

Я могу только от себя вопрос добавить, что не понял, вы когда это правило сделали:

1) Смогли подключиться при загруженной нормально ОС и приложении или так же проблемы?

2) Какое антивирусное ПО у вас (на пример тот же каспер имеет свой МЭ, который может быть причиной) и т.п. или вы 100% уверены, что подключение есть - пока нет Випнета?

3) В журнале (как описал ZERO) вы что то видите или там совсем не чего нет? (как вариант отключите своё правило и посмотрите, если там пустота то это глюк випнета и совсем другой разговор). 

[alyam]

16 часов назад, Vintik сказал:

По правилам если у вас есть хоть один диск с СКЗИ где есть их "калькулятор" контрольных сумм, а у вас он есть, то вы можете скачать CSP, подстчитать КС, указав в произвольной форме в формуляре, что обновили CSP, подсчитали КС - всё верно. Если же допустим у вас нет "твердотельного" носителя где проверяющая утилита, то тут уже сложнее, потому что как не крути - вот надо чтоб было и всё тут.

т.е. по сути мне нужен 1 диск с дистрибутивом? если у меня есть 10 лицензий я могу на 10 пк поставить все с одного диска? а почему тогда дистрибьютеры толкают cd с дистрибутивом за 900 рублей к каждой лицензии?

[zero]

 Наверное стоит заглянуть в Правила Пользования на продукт. Там есть раздел "Порядок распространения и учета СКЗИ ViPNet CSP" в котором много интересного.  И при аттестации с Вас будут спрашивать по ПП, а не по постам на форуме :)

[alyam]

50 минут назад, zero сказал:

 Наверное стоит заглянуть в Правила Пользования на продукт. Там есть раздел "Порядок распространения и учета СКЗИ ViPNet CSP" в котором много интересного.  И при аттестации с Вас будут спрашивать по ПП, а не по постам на форуме

ну надо так надо. деньги то не мои. но не будем отклоняться от темы.

я поставил vipnet csp 4.2.8, но проблема не исчезла. вот лог.

я даже обновил версию vipnet client до 4.3.2.46794.

антивирус у меня kes10, но он настроен чтобы не блокировать.

ветка реестра не помогает "REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2"

какие еще будут предложения?

[zero]

 Какой странный журнал. Если он снят с ПК, на который производится подключение, то порт назначения должен быть 3389, а у Вас он в порте источника. Или Вы выборку только по исходящим сделали?  Ну так и они у Вас есть :)

Если просто по порту 3389 сделать выборку, то корректное подключение выглядит вот так:

 

[alyam]

20 минут назад, zero сказал:

 Или Вы выборку только по исходящим сделали?  Ну так и они у Вас есть

 

да. вот лог полный https://drive.google.com/open?id=1odZeYp4Gq1PmDMYqw8z3l_K1VKC8d5xo

p.s. 100кб на прикрепленное изображение - это издевательство

[zero]

29 минут назад, alyam сказал:

 https://drive.google.com/open?id=1odZeYp4Gq1PmDMYqw8z3l_K1VKC8d5xo

 Наш прокси такие ссылки блокирует. Поверю Вам на слово, если у Вас трафик и приходит и уходит, т.е. до приложения RDP трафик доходит и оно что-то отвечает, то почему появилась предположение, что дело именно в випнет, Вы его полностью с CSP удалили и все заработало? Откуда уверенность, что трафик не блокирует антивирус?

[alyam]

27 минут назад, zero сказал:

 Откуда уверенность, что трафик не блокирует антивирус?

на других компуктерах не блокирует, а политика у касперского на всех одна.

полностью vipnet не удалял. как бэкап сделать с ключами и настройками?