Zywall usg310 ikev2 проблема с сертификатом

Добрый день.

Настраиваем ikev2 с использованием локальной базы данных встроенной в zywall и Radius (Windows). Для тестов на резервный usg310 был приобретен сертификат vpn2.domain.com, при настройки аутентификации через radius, всё работает нормально, но при локальной аутентификации, при подключении vpn клиент оповещает о том, что нет доверия к сертификату, отпечаток сертификата отображаемый при этом отличается от отпечатка сертификата vpn2.domain.com, просмотрев отпечатки всех сертификатов в zywall был найдет сертификат с тем самым отпечатком, вопрос, почему при переключении способа аутентификации на локальный, участвует в соединений сертификат не выбранный в ikev2?

All Replies

  • Zyxel_AndrewZyxel_Andrew Zyxel RU Agent Posts: 159  mod
    Добрый день.

    Прочитайте статью нашей Базы Знаний: 
    Настройка IKEv2 VPN типа "клиент-сайт" с аутентификацией по сертификату
    Вы выполняли настройку аналогичным образом или есть отличия?
    Уточните версию микропрограммы установленной на шлюзе. 
  • Андрей, добрый день. 

    Да, всё настроено так, я прикладываю несколько скриншотов настройки, обращаю Ваше внимание на то, что при смене аутентификации на локальную, меняется сертификат, этот сертификат не выбран в настройках ike, тем не менее zywall его использует.  После привязки реального сертификата для ike я не перезагружал шлюз, полагаю это должно помочь, сегодня ночью он будет перезагружен.
  • Есть также еще один вопрос по сертификатам выпущенным корпоративным Windows ЦС, Zywall отказывается загружать сертификаты, скриншот приложен. Сертификат изначально в формате cer, после я его конвертировать и в pem и в plcs7 и в base64, вообщем в те форматы которые указаны на скриншоте, результат всегда такой.
  • adminforesteradminforester Member Posts: 14
    edited July 28, 2020 12:25AM
    Нашел от куда растут ноги у сертификата.
    Создать другой Auth Method с входом только local и выбрать его в методе аутентификации ike.
    Вопрос в предыдущем посте актуален.
    Также вопрос по блокировке ip или учетной записи при переборе.

  • onatoli4onatoli4 Zyxel RU Agent Posts: 101  mod
    Добрый день

    Можете прислать этот сертификат для проверки? Лучше создайте тикет в техподдержке: https://support.zyxel.eu/hc/ru/requests/new чтобы не выкладывать на форуме.

    Блокировка включается здесь:

Sign In to comment.