URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 18976
[ Назад ]

Исходное сообщение
"VPN на сертификатах"
Отправлено andr , 01-Июн-09 16:57

Господа, подскажите. Я не до конца понимаю схему работы.
Решил поднять туннели не на пре-шаред ключе а на  сертификатах, в качестве СА-сервера 28хх роутер.
Итак я провел эксперимент, один роутер СА-сервер, два других клиенты. Сертификаты раздал, каждый с СА-сервером коннектится нормально, тунель поднимается.
Но, между друг-другом клиентские роутеры поднимают только тогда, когда доступен СА-сервер.
в логе видем:
000097: Jun  1 16:32:27.076 MSK: CRYPTO_CS: received a SCEP request, 1678 bytes
000098: Jun  1 16:32:27.076 MSK: CRYPTO_CS: read SCEP: registered and bound service SCEP_READ_DB_8
000099: Jun  1 16:32:27.088 MSK: CRYPTO_CS: scep msg type - 22
000100: Jun  1 16:32:27.088 MSK: CRYPTO_CS: trans id - 1
000101: Jun  1 16:32:27.108 MSK: CRYPTO_CS: read SCEP: unregistered and unbound service SCEP_READ_DB_8
000102: Jun  1 16:32:27.112 MSK: CRYPTO_CS: received a GetCRL request
000103: Jun  1 16:32:27.112 MSK: CRYPTO_CS: write SCEP: registered and bound service SCEP_WRTE_DB_8
000104: Jun  1 16:32:27.152 MSK: CRYPTO_CS: write SCEP: unregistered and unbound service SCEP_WRTE_DB_8
000105: Jun  1 16:32:27.168 MSK: CRYPTO_CS: CRL sent
Я не могу понять, получается если СА сервер недоступен, то туннель не поднимится? А что происходит?что за запроссы на СА идут? по логу ничо не понятно.
Спасибо

Содержание

VPN на сертификатах,ilya, 17:02 , 01-Июн-09
- VPN на сертификатах,andr, 17:53 , 01-Июн-09
  - VPN на сертификатах,RET, 11:46 , 02-Июн-09
VPN на сертификатах,andr, 10:33 , 05-Июн-09

Сообщения в этом обсуждении

"VPN на сертификатах"
Отправлено ilya , 01-Июн-09 17:02

проверка CRL?

"VPN на сертификатах"
Отправлено andr , 01-Июн-09 17:53

>проверка CRL?
логично
а схема CA+Subordinate будет отказоустойчиво работать. можно настроить, чтобы чекил если не на одном, то на другом. Типа если СА упадет, то пол страны не оставить без сети

"VPN на сертификатах"
Отправлено RET , 02-Июн-09 11:46

Была похожая проблемма, не поднималься тунель от филиала до центрального офиса пока циска в филиале не проверит сертификат на CA-сервере который стоял во внутренней сетке главного офиса (а туда из филиала без поднятого тунеля не добраться). Решил отключением проверки отзыва сертификата на роутерах в филиалах:
crypto pki trustpoint my-cert
revocation-check none

"VPN на сертификатах"
Отправлено andr , 05-Июн-09 10:33

Встал вопрос об организации бекапного СА сервера. Для этих целей насколько я понял используется subordinate сервер, на котором ты используешь те же rsa ключи.
Т.е. задача такая. VPN на сертификатах, куча туннелей, но если недоступен корневой СА сервер, то чтобы revocation-check проводился на subordinate?
такое реально?или я неправильно понимаю структуру?