Проблема с доступностью KSN-прокси

[UIGA]

Добрый день всем! Используем KSC 15.1.0 сборки 20748 и KES 12.8.0.505, Windows.

Проблема: хосты ходят в KSN только через Интернет, а мне надо что бы через KSN-прокси. Все возможные настройки, формумы перечитал - такой ситуации нигде не описано.  Порт 13111 доступен. Политики настроены. Wireshark говорит, что пакеты на KSC на 13111 не прилетают. На хостах, где можно было запустить Wireshark, также нет запросов к этому порту.

В чём может быть причина???

[andrew75]

Добрый день.

Документацию читали?

[UIGA]

С прочтения документации и начал решать проблему 🙂 По сути: служба ksnproxy запущена (для проверки перезапускал несколько раз дав время хостам на реакцию), порт доступен.

[durtuno]

Тогда показывайте свои настройки.

Так-то всё должно работать:

Спойлер

 

[UIGA]

Отключенные критические компоненты защиты - защита паролем.

[durtuno]

У Вас иерархия серверов и один локальный сервер? 

Здесь какие настройки?

Спойлер

+

пока снимали скрины прилетело 2 пакета, маловато будет, но значит что-то да и "шевелится"

+

политика "KESW" точно применяется на клиенты? У Вас тестовый клиент или Вы проверяете работу прокси-сервера "KSN" на управляемых устройствах?

 

Edited Thursday at 01:11 PM by durtuno

[UIGA]

15 часов назад, durtuno сказал:

У Вас иерархия серверов и один локальный сервер? 

Один локальный сервер.

15 часов назад, durtuno сказал:

Здесь какие настройки?

15 часов назад, durtuno сказал:

пока снимали скрины прилетело 2 пакета, маловато будет, но значит что-то да и "шевелится"

Это два компа, на которых не запущен агент администрирования. С других аналогичных (в сети, но без агента) ничего не прилетает.

15 часов назад, durtuno сказал:

 

политика "KESW" точно применяется на клиенты? У Вас тестовый клиент или Вы проверяете работу прокси-сервера "KSN" на управляемых устройствах?

Управляемые устройства. Всего около 300 штук.

 

[durtuno]

Этот скрин откуда/ из какого раздела?

Спойлер

Здесь почему всё заблокировано/ запрещено для редактирования (затенено)?

Спойлер

 

[UIGA]

8 минут назад, durtuno сказал:

Этот скрин откуда/ из какого раздела?

Это свойства сервера администрирования KSC.

8 минут назад, durtuno сказал:

Здесь почему всё заблокировано/ запрещено для редактирования (затенено)?

Политикой для KSC запрещено редактирование.

Edited Friday at 05:03 AM by UIGA

[durtuno]

19 минут назад, UIGA сказал:

Это свойства сервера администрирования KSC.

Это политика "Сервер администрирования Kaspersky Security Center", понятно.

Да, каждое изменение указанной политики сбрасывает кэш прокси-сервера "KSN", это нужно иметь ввиду, что может быть критично для кого-то. Поэтому у Вас выше и такие малые значения в статистике.

Вообще, по приложенным скринам всё на месте и должно работать.

Интересно, если включить сбор логов на сервере администрирования, какое-нибудь упоминание про KSNPROXY будет проскакивать?

[durtuno]

Добавлю, как это выглядит у Меня (настройки идентичные предоставленным выше):

С клиента:

Спойлер

>netstat -an | find "13111"
  TCP    192.168.1.206:60058  192.168.1.245:13111  TIME_WAIT
  TCP    192.168.1.206:60069  192.168.1.245:13111  TIME_WAIT
  TCP    192.168.1.206:60070  192.168.1.245:13111  TIME_WAIT
  TCP    192.168.1.206:60071  192.168.1.245:13111  TIME_WAIT
  TCP    192.168.1.206:60072  192.168.1.245:13111  TIME_WAIT
  TCP    192.168.1.206:60077  192.168.1.245:13111  ESTABLISHED

 

Открыт порт на сервере:

Спойлер

# nmap 192.168.1.245 -p 13111
Starting Nmap 7.94 ( https://nmap.org ) at 2025-06-27 10:59 +05
Nmap scan report for kscsrv (192.168.1.245)
Host is up (0.00056s latency).

PORT      STATE SERVICE
13111/tcp open  unknown
MAC Address: EE:EE:EE:EE:EE:EE (ASUSTek Computer)

Nmap done: 1 IP address (1 host up) scanned in 0.25 seconds

 

На сервере:

Спойлер

>netstat -an | find "13111"
  TCP    0.0.0.0:13111          0.0.0.0:0              LISTENING
  TCP    127.0.0.1:13111        127.0.0.1:57156        ESTABLISHED
  TCP    127.0.0.1:13111        127.0.0.1:57157        ESTABLISHED
  TCP    127.0.0.1:13111        127.0.0.1:57158        ESTABLISHED
  TCP    127.0.0.1:13111        127.0.0.1:57159        ESTABLISHED
  TCP    127.0.0.1:13111        127.0.0.1:57160        ESTABLISHED
  TCP    127.0.0.1:57156        127.0.0.1:13111        ESTABLISHED
  TCP    127.0.0.1:57157        127.0.0.1:13111        ESTABLISHED
  TCP    127.0.0.1:57158        127.0.0.1:13111        ESTABLISHED
  TCP    127.0.0.1:57159        127.0.0.1:13111        ESTABLISHED
  TCP    127.0.0.1:57160        127.0.0.1:13111        ESTABLISHED
  TCP    192.168.1.245:13111    192.168.1.28:56935     ESTABLISHED
  TCP    192.168.1.245:13111    192.168.1.28:56936     ESTABLISHED
  TCP    192.168.1.245:13111    192.168.1.30:51021     ESTABLISHED
  TCP    192.168.1.245:13111    192.168.1.32:50255     ESTABLISHED
  TCP    192.168.1.245:13111    192.168.1.54:51120     ESTABLISHED
  TCP    192.168.1.245:13111    192.168.1.121:58363    ESTABLISHED
  TCP    192.168.1.245:13111    192.168.1.206:60182    ESTABLISHED

 

Спойлер

>sc query ksnproxy

Имя_службы: ksnproxy
        Тип                : 10  WIN32_OWN_PROCESS
        Состояние          : 4  RUNNING
                                (STOPPABLE, NOT_PAUSABLE, ACCEPTS_PRESHUTDOWN)
        Код_выхода_Win32   : 0  (0x0)
        Код_выхода_службы  : 0  (0x0)
        Контрольная_точка  : 0x0
        Ожидание           : 0x0

 

 

[UIGA]

У меня получилось следующее:

 

Не знаю, правильно ли запустил утилиту klactgui на сервере, но вот скрин одного из отчетов. Я так понял машина с адресом 130.128 пытается соединиться с прокси, но у нее это не получается. Интересно, что ещё есть в этом отчёте?

Кстати, на этой машине агент не запущен.

[durtuno]

19 минут назад, UIGA сказал:

Кстати, на этой машине агент не запущен.

Соединение с "KSN" устанавливает "KES" не сетевой агент;

21 минуту назад, UIGA сказал:

 

Всё хорошо, сервер принимает подключения на порту прокси-сервера "KSN";

19 минут назад, UIGA сказал:

Это с клиента, верно? Никаких исходящих и установленных соединений от клиента и нет, вот с этим и следует разбираться. Политика "KES" точно применена на этом клиенте, с которого Вы получали результат?

24 минуты назад, UIGA сказал:

Хех, тут явно видна ошибка, надо попробовать её раскурить, что-то с сертификатом/ RSA ключом. Сам с подобным не встречался, но будет любопытно докопаться до истины. 

[durtuno]

21 час назад, durtuno сказал:

что-то с сертификатом/ RSA ключом.

Что-то с криптографией на сервере. Какая операционная система используется? 

Вот кусок лога работающего прокси-сервера "KSN":

Спойлер

08:42:59.204	0x39b0	ALW	ksn_proxy::ProxyRouter::Send begin
08:42:59.204	0x39b0	ALW	ProxyRouter::Send packet_id=39031 data_size=318 service_id=FR ip=192.168.1.206 port=64847 prot=TCP
08:42:59.204	0x39b0	ALW	ProxyRouter::Send bHasToken=1 bLowPriority=0
08:42:59.204	0x39b0	ALW	m_tasksWithToken.size()=0
08:42:59.204	0x39b0	PRN	Packet::Packet() this=0xa499b08
08:42:59.204	0x39b0	PRN	Packet service - 'FR' ExternalRequestPacket.data.size - 318 packetId=39031
08:42:59.204	0x39b0	ALW	RouterTask::RouterTask() this=0xa49a088
08:42:59.204	0x39b0	ALW	ksn_proxy::ProxyRouter::Send end (took=0,037733 ms)
08:42:59.204	0x39b0	PRN	Timer::AsyncWait(); this=0xaf273b0; client_=0xadec680; timeout=30000000
08:42:59.204	0x13f8	ALW	Wake up!
08:42:59.204	0x39b0	PRN	BufferedStream::AsyncRecv(); this=0xadec6dc; timeout=18446744073709551615
08:42:59.204	0x13f8	ALW	Got task from TasksWithToken. pTask=0xa49a088 Len=0
08:42:59.204	0x13f8	ALW	ksn_proxy::RouterTask::Process begin
08:42:59.204	0x13f8	ALW	RouterTask::Process this=0xa49a088 bHasToken=1
08:42:59.204	0x13f8	DBG		oper 0x6efee10	KsnServiceRequestOperation::KsnServiceRequestOperation constructor
08:42:59.204	0x13f8	INF		oper 0x6efee10	new KsnProxyOperation created (with response order fixed)
08:42:59.204	0x13f8	INF		oper 0x6efee10	KsnProxyOperation::Start(...) called; serviceId=FR
08:42:59.204	0x39b0	PRN	Timer::OnTimer(); this=0xaf273b0; client_=0xadec680; error=ќпераци¤ ввода/вывода была прервана из-за завершени¤ потока команд или по запросу приложени¤
08:42:59.204	0x13f8	INF	ksnclnt	Data in EncInfraRequestToken format
08:42:59.204	0x13f8	INF		oper 0x6efee10	KsnProxy started processing: PacketId=39031 PCID=empty ServiceId=FR
08:42:59.204	0x13f8	PRN	Service name='AsyncRequesterFactory', serviceKey=0x496effd8 is trying to get interface iface=0x9cca5603, serviceKey=0x00000000
08:42:59.204	0x13f8	PRN	Service name='KSN-client', serviceKey=0x0f278645 is trying to get interface iface=0x9cca5603, serviceKey=0x00000000
08:42:59.204	0x13f8	PRN	Service name='KSN-client', serviceKey=0x0f278645 is trying to get interface iface=0x9cca5603, serviceKey=0x00000000
08:42:59.204	0x13f8	PRN	Service name='KSN-client', serviceKey=0x0f278645 is trying to get interface iface=0x6ef3329b, serviceKey=0x00000000
08:42:59.204	0x13f8	INF	ksnclnt	(KsnService:FR KsnReq:347662) MakeAsyncRequest; initiatorId=255 (UNDEFINED); scenarioId=0; flags: 12308(!use_cache;!cache_response;additional_data;!calculate_ksn_quality;)
08:42:59.204	0x13f8	PRN	crypt_hash	Service name='crypto.hash.HashCalculatorFactory', serviceKey=0xf0c40a35 is trying to get interface iface=0x9cca5603, serviceKey=0x00000000
08:42:59.204	0x13f8	PRN	crypt_hash	Service name='crypto.hash.HashCalculatorFactory', serviceKey=0xf0c40a35 is trying to get interface iface=0x9cca5603, serviceKey=0x00000000
08:42:59.204	0x13f8	PRN	crypt_hash	Service name='crypto.hash.HashCalculatorFactory', serviceKey=0xf0c40a35 is trying to get interface iface=0x6ef3329b, serviceKey=0x00000000
08:42:59.204	0x13f8	INF	ksnhlp		Need to send to the service 0x629fcaa4
08:42:59.204	0x13f8	INF	ksnclnt	Additional data {} were added to RequestId = 347662
08:42:59.204	0x13f8	INF	ksnclnt	Timer for SendOrWait set on 2000
08:42:59.204	0x13f8	DBG	ksnclnt	AddReq id:347662 size:13 hasresp
08:42:59.204	0x13f8	INF	ksnclnt	(KsnPacket:66750 KsnService:FR KsnReq:347662) New async request added to packet
08:42:59.204	0x13f8	INF		oper 0x6efee10	SendSubrequests AddRequest reqId= 190549 result= 0x00000000 (No error)
08:42:59.204	0x13f8	PRN	Service name='FileReputationSessionFactory', serviceKey=0xf9be942b is trying to get interface iface=0x9cca5603, serviceKey=0x00000000
...
08:42:59.204	0x13f8	INF	ksnclnt	(KsnService:FR KsnReq:347663) MakeAsyncRequest; initiatorId=255 (UNDEFINED); scenarioId=0; flags: 77844(!use_cache;!cache_response;additional_data;!calculate_ksn_quality;)
08:42:59.204	0x13f8	PRN	crypt_hash	Service name='crypto.hash.HashCalculatorFactory', serviceKey=0xf0c40a35 is trying to get interface iface=0x9cca5603, serviceKey=0x00000000
08:42:59.204	0x13f8	PRN	crypt_hash	Service name='crypto.hash.HashCalculatorFactory', serviceKey=0xf0c40a35 is trying to get interface iface=0x9cca5603, serviceKey=0x00000000
08:42:59.204	0x13f8	PRN	crypt_hash	Service name='crypto.hash.HashCalculatorFactory', serviceKey=0xf0c40a35 is trying to get interface iface=0x6ef3329b, serviceKey=0x00000000
08:42:59.204	0x13f8	INF	ksnclnt	Additional data {} were added to RequestId = 347663
08:42:59.204	0x13f8	DBG	ksnclnt	AddReq id:347663 size:74 hasresp
08:42:59.204	0x13f8	INF	ksnclnt	(KsnPacket:66750 KsnService:FR KsnReq:347663) New async request added to packet
08:42:59.204	0x13f8	INF	ksnhlp		Statistic DataSent 0x629fcaa4
08:42:59.204	0x13f8	INF		oper 0x6efee10	SendSubrequests AddRequest reqId= 190550 result= 0x00000000 (No error)
08:42:59.204	0x13f8	INF	ksnclnt	> (KsnPacket:66750 KsnService:FR Packet collecting stopped, Num Req 2, FlushQueue called
08:42:59.204	0x13f8	INF	ksnclnt	> (KsnPacket:66750 KsnService:FR) Start Sending packet; initiatorId=10 (KSN_PROXY); scenarioId=1;
08:42:59.204	0x13f8	INF	ksnclnt	>  (KsnPacket:66750 KsnService:FR) HttpSender start http request
08:42:59.204	0x13f8	INF	ksnclnt	GetCurrentRoute for service FR succeeded: address = dc1-file.ksn.kaspersky-labs.com
08:42:59.204	0x13f8	INF	ksnclnt	> (KsnPacket:66750 KsnService:FR) HttpSender url: https://dc1-file.ksn.kaspersky-labs.com:443/FR?type=7&version=21.21.7.384.0  ip: 
08:42:59.204	0x13f8	DBG	httpcli	 RequestCallbackWrapper for 0x99c83f0

 

 

Edited Saturday at 08:50 AM by durtuno

[durtuno]

7 часов назад, UIGA сказал:

Кстати, на этой машине агент не запущен.

Какова причина не работающего агента?

Есть подозрение, что у Вас на проблемных клиентах отсутствует действительный сертификат "KSC", на котором шифруются запросы к прокси-серверу "KSN" (такое мнение складываете по приведённой Вами ошибке). Может что-то вмешивается в трафик? Хотя могу ошибаться, т.к. это лишь предположение, не более.

И да, вообще, какова предыстория этого проблемного "KSC"? Сервер уже "видавший виды"? С ним ранее были какие-то проблемы? Прокси-сервер "KSN" "из коробки" уже был в нерабочем состоянии?

Edited Friday at 06:50 PM by durtuno

[UIGA]

На KSC стоит Server 2019, он новый проблем нет. KSN не работает изначально.

Предистория такова - в связи с выходом из строя старого на вновь купленный сервак установлен KSC. Т.к. бекапов и т.п. не было на каждой рабочей машине ручками заново установлены агент и KES. При установке успешно получен сертификат KSC. Сейчас всё работает кроме KSN - базы обновляются, политики применяются, задачи выполняются.

На рабочей машине в нужном месте сертификат лежит. А как проверить его действительность?

[durtuno]

8 минут назад, UIGA сказал:

А как проверить его действительность?

Например, сертификат на клиенте из:

C:\ProgramData\KasperskyLab\adminkit\1103\

, должен совпадать с сертификатом на "KSC":

C:\ProgramData\KasperskyLab\adminkit\1093\cert\

Там же, на сервере, рядом должен лежать и закрытый ключ с датой и временем сертификата:

klserver.prk

Есть предположение, что прокси-сервер "KSN" на стороне "KSC" не может расшифровать запросы с клиента к этому самому прокси-серверу из-за отсутствия закрытого ключа;

15 минут назад, UIGA сказал:

Сейчас всё работает кроме KSN

В тех.поддержку не пробовали обращаться?