SeriousDanil, ясно.
Смотрите, проделайте тоже самое что я просил в моем первом посте, но только сразу после save and activate(когда уже вернули назад настроки на сертифкаты) откройте Logging, и посмотрите после нотисов возле "reconfig_IPsec ipsec_reconfigured ", будет запись о перенастроке вашего тонеля, и нетли там записи с Severity - Error а Event: "failed_to_add_root\или xxx.cetificate"disable_certificate, если да то:
когда у меня так же "полностью разваливалсь работа с сертификатом делал следующие:
1. из всех тунелей на CA из Selected выгружаете все сертификаты., и переводите всё на PSK.
2.Save and Activete.
3. Берете 1 любой тунель и переводите назад на CA.
4. жмете Save and Activete, и сразу заходите в Logging, и смотрите в логе на строки где "перечитывается конфигурация" аля:
Код:
2009-04-16
12:54:06 Notice SYSTEM
3202000
startup_normal
corever=2.20.03.08-8259 build="Sep 26 2008" uptime=154916 cfgfile="core.cfg" cfgver=1185 previous_shutdown="2009-04-16 12:54:00: Activating configuration changes"
2009-04-16
12:54:06 Info IPSEC
1800201
commit succeeded
2009-04-16
12:54:06 Info IPSEC
1800211
reconfig_IPsec
ipsec_reconfigured
2009-04-16
12:54:05 Notice SYSTEM
3202500
shutdown
shutdown
и смотрите возле " reconfig_IPsec ipsec_reconfigured " , тут будет инфа о том что в таком-то тонеле мол сертификата добавился, и если глюк с сертифкатами остался будет написано опять "failed_add_root.cert или xxxx.cert" - если нет - всё чисто значит, должно будет заработать.
Я незнаю всего механизма - но суть такая если у вас "однажды" заглючил какой-то сертифкат который был добавлен в Selected - "ложится" вообще работа всего Ipsec на CA на устройстве, и приходится полностью выгружать и перенастраивать заново все тонели.
Не говоря о том что потом ещё нужно искать "зависший" сертификат, доходило вплоть до перезаливки его на DFL, но обычно помогали действия описанные выше.
Чудо что у вас вообще всё это работало, я не знюа как вам удалось вообще заставить DFL смотреть на CA за CRL, я бился месяц+ дфл в тупую не пытался обращатся за revoke листом, и пока он это не сделате ничего ваще не пашет, лишь однажы он почему-то это сделла и всё начало работать, но на новом DFL я так и не смог вновь добится этого, потому вся идея с сертифкатами у меня так и умерла...
p/s если не сложно, поглядите в приват я вам попозже напишу туда, у меня к вам пара вопросов на эту тему.
Заранее спасибо.
p/p/s советую на 210х обновиться прошивку хобя бы до аналогичной на Dfl-800., со времени 2.12 много исправлено в том число и с Ipsec.
Вход
Регистрация
FAQ
Поиск
