NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
приходят к инициатору, он отбрасывает их, так как соответствующий туннель не обнаружен.<br />
Для решения проблемы просто удалите туннель со стороны, которая считает его по-прежнему<br />
активным. Рекомендуется выяснить, почему на одной стороне нарушено соединение. Возможно,<br />
DPD и/или Keep-Alive используются только на одной стороне. Другой возможной причиной может<br />
быть то, что даже при получении пакета DELETE, туннель не был удален.<br />
4. Payload_Malformed<br />
Данная проблема аналогична проблеме Incorrect pre-shared key, описанной выше. Возможная<br />
причина заключается в том, что на любой стороне используется ключ PSK неверного типа<br />
(парольная фраза или шестнадцатеричный ключ).<br />
Убедитесь в том, что на обеих сторонах IPsec-туннеля используется один и тот же тип ключа. Если<br />
на одной стороне используется шестнадцатеричный ключ, а на другой парольная фраза, скорее всего,<br />
будет отправлено сообщение об ошибке.<br />
5. No public key found<br />
Это часто отправляемое сообщение при работе с VPN-туннелями и использовании сертификатов для<br />
аутентификации.<br />
Устранение данной проблемы может оказаться сложным, так как причины ее возникновения<br />
различны. Также важно помнить, что при работе с сертификатами необходимо совместно<br />
использовать журналы ikesnoop и обычные журналы, так как ikesnoop не предоставляет информации<br />
о сертификатах, а стандартные журналы могут содержать важную информацию о причине проблемы.<br />
Прежде чем заняться устранением проблемы рекомендуется установить туннель на основе PSK,<br />
далее проверить, успешно ли прошла установка, а затем перейти к использованию Сертификатов<br />
(если тип конфигурации разрешает это).<br />
Возможны следующие причины проблемы:<br />
• Сертификат на любой стороне не подписан одним и тем же сервером СА.<br />
• Срок действия сертификата истек или еще не вступил в силу. Последнее может произойти<br />
из-за некорректного времени, установленного либо на сервере CA, либо на межсетевом<br />
экране NetDefend, или по причине того, что они находятся в разных часовых поясах.<br />
• У межсетевого экрана NetDefend нет доступа к Списку отозванных сертификатов<br />
(Certificate Revocation List, CRL) на сервере СА, чтобы проверить подлинность сертификата.<br />
Убедитесь в корректности пути CRL в свойствах сертификата. (Можно отключить функцию<br />
CRL). Также убедитесь, что в NetDefendOS настроен DNS-клиент для корректного<br />
преобразования пути к CRL.<br />
Примечание: L2TP и Microsoft Vista<br />
С помощью L2TP система Microsoft Vista по умолчанию пытается загрузить<br />
список CRL, в то время как система Microsoft XP этого не выполняет. В<br />
операционной системе Vista можно выключить данную опцию.<br />
• Если существует несколько похожих или удаленных туннелей и для их различения<br />
используются списки идентификаторов, возможной причиной будет то, что ни один из<br />
списков идентификаторов не соответствует свойствам сертификатов подключенного<br />
пользователя. Вероятно, пользователь является неавторизованным или свойства<br />
сертификата неверные, помимо этого, возможно необходимо обновить списки<br />
идентификаторов.<br />
• При использовании L2TP-протокола сертификат клиента помещается в хранилище неверных<br />
сертификатов на клиенте Windows. При подключении клиента используется неверный<br />
сертификат.<br />
424