-=Wok=- Blog


Your Network. Our Passion (Networking ed altro)
Anno 2008

Anno 2007

Anno 2006

Accedi alle gallerie!
Home Blogs | Home | Login | Contact | My Profile | RSS | About | Cerca

MS Root Certificates Update di Luglio e Client MUVPN Watchguard

Dopo una settimana rovente di messaggi al forum e email al support della Watchguard sono finalmente uscito da un problema con i client IPSEC Watchguard.

Ecco la situazione iniziale, portatili Win Xp SP2 con installata l'ultima versione dei MUVPN di Watchguard, la 7.3, regolarmente funzionanti con autenticazione degli utenti della VPN su Active Directory. 

Come tutti i mesi passo l'approvazione degli update MS sul server WSUS, tra questi c'è l'aggiornamento dei Root Certificates. Se non avessimo WSUS in realtà sul sito Windows Update questo aggiornamento è tra i facoltativi.

Risultato due giorni dopo nessun utente con i client MUVPN installati riesce più stabilire un collegamento VPN IPSec con un nostro WG x750e, l'errore evidenziato nel log del client VPN è:

7-26: 11:29:03.996 My Connections\xxx.xxx.162.242-0.0.0.0 -RECEIVED<<< ISAKMP OAK INFO (NOTIFY:CERTIFICATE_UNAVAILABLE)
7-26: 11:29:03.996 My Connections\xxx.xxx.162.242-0.0.0.0 - Discarding SA negotiation

Dopo un po' di ricerche e di richieste sul forum WG decido di aprire una chiamata ma in realtà continuo a lavorarci su per conto mio, dopo un paio di formattazioni di due portatili di test, dell'inserimento nel dominio, dell'installazione di tutto il SW standard dell'azienda escludo un problema di compatibilità con questi elementi. Riformatto e parto a fare gli update uno alla volta.....dopo ogni update...test di connessione...

Alla fine scopro che quello che manda in bomba il tutto è:

Classificazione: Aggiornamenti
Prodotti: Windows XP
Data rilascio: martedì 24 luglio 2007
Ulteriori informazioni: http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnsecure/html/rootcertprog.asp
Numero articolo KB: 931125

A questo punto dal WSUS cambio l'approvazione di questo update ma scopro mio malgrado che non supporta la disinstallazione , quindi si rende necessario trovare una soluzione per i laptop "malati" e per evitare che un futuro aggioramento degli stessi certificati, approvato sul WSUS o fatto manualmente dall'utente, mandi nuovamente tutto a monte.

La soluzione alla fine è molto semplice, basta andare nel client MUVPN di Watchguard e cambiare nel tab "Trust Policy" l'opzione da quella di default che è "Trust specific root CAs" a "Trust all root CAs installed on this computer".

 

Il tutto si risolve, sapendolo , in cinque minuti...

Stefano

Categoria: Watchguard
mercoledì, 08 ago 2007 Ore. 11.23



  • Views Home Page: 87.861
  • Views Posts: 213.236
  • Views Gallerie: 14.266
  • n° Posts: 115
  • n° Commenti: 110
Copyright © 2002-2007 - Blogs 2.0
dotNetHell.it | Home Page Blogs
ASP.NET 2.0 Windows 2003