Checkpoint SecuRemote или "Срочно в ЖЖ"

[metaclass]

Возникла у одного из наших работников проблема - не может подключиться к клиентам, у которых стоит CheckPoint файрволл, а мы используем для доступа к ним SecuRemote vpn-клиент.

Не может создать коннект - при попытке соединения пишет "Cannot validate certificate. No valid CRL". Причем у других все работает. Копались, копались, пришли ко мне, я покопался, ничего не нашли, пошел читать гугл. И где-то на форумах в дебрях написано (причем для другого вообще девайса тех же производителей) "проверьте временную зону". Пошел опять смотреть - зона нормальная. А вот дата нет - перешивали биос для поддержки нового проца и случайно сбили дату.
Поставил сегодняшнюю дату - все сразу же заработало.

Сучья мегаэнтерпрайзная наколенная пионерская поделка. Ну вот что можно выдавать в качестве ошибки связанной с разницей дат на клиенте и сервере? Только сообщение о "CRL not valid", конечно же.

Comments

[inhate.livejournal.com]

Это не чекпойнт, это ипсек - временная разбежка должна быть маленькой, в идеальном случае дожен юзаться ntp. Все гораздо хуже чем ты думаешь - в протоколе поля таймзона не предусмотрено, а время кажется каким-то образом учавствует в криптографии.

Я со совей поверхностной точки зрения могу предположить, что отличиить "просто кривой пакет" от корректного "с плохой датой" малореально, если ну страивать специальной проверки по другому протоколу.

PS: IPsec знаю весьма посредственно, мог нафантазировать.

[metaclass.livejournal.com]

Да, я это примерно знаю. Как минимум, дата используется для проверки срока действия сертификата.
Но все таки я бы вывели дополнительно к этому сообщению что-то вроде "проверьте правильность дат на сервере и клиенте", во избежание подобных бессмысленных геморроев.

[guamoka.livejournal.com]

"проверьте правильность дат на сервере и клиенте"


может, за вас еще и пальцы загибать надо? :) хех, чтобы вместе с описанием сообщения об ошибке (хотя бы в документации) еще иногда писали возможные причины- это голубая мечта детства...

[kevit.livejournal.com]

это ты еще кровавого энтерпрайза не видел
я сегодня искал причину ошибки

-168:

вот так. так что crl not valid это просто масса информации:))

(зы - в результате оказалось, что какой-то недорезанный манагер вводил отрицательное значение стоимости. на вопрос WTF??? он ответил - а как еще скидку вводить?)

[komarov.livejournal.com]

я тут на днях прошёл замечательную прогулку по четырём банкоматам, каждый из которых говорил мне "ваш банк прервал транзакцию", хотя делоа было в том, что в трёх из четырёх банкоматах тупо не было долларов, а четвёртый выдавал из только купюрами по 100 долларов (я запрашивал 320). я измучил человек 10 сотрудников разных отделов техподдержки, прежде чем понял, в чём дело.