Форум Kerio-rus

Форум Kerio-rus (http://kerio-rus.ru/forum/index.php)
-   Kerio VPN (http://kerio-rus.ru/forum/forumdisplay.php?f=304)
-   -   VPN отваливается - резервирование при двух ISP (http://kerio-rus.ru/forum/showthread.php?t=10079)

rasul1986 05.06.2018 11:30

VPN отваливается - резервирование при двух ISP
 
Вложений: 4
Доброго времени суток!

Такая картина:
Kerio Version:
8.3.3 build 2342

Two interfaces - Failover Internet :
WAN - PPPoE mode
WAN2 - MAIN mode

IPsec VNP:
using pre-shared key

Проблема:
Когда открубается (по какой либо причине) WAN Интернет интерфейс, соответственно включается резервный WAN2 , однако при этом отрубаются и другие службы в том числе и VPN

Debug log при отключении WAN:
[02/Jun/2018 19:25:18] interface "WAN" is DOWN
[02/Jun/2018 19:25:18] Service "DNS UDP" bound to address *.*.*.* stopped
[02/Jun/2018 19:25:18] Service "DNS TCP" bound to address *.*.*.* stopped
[02/Jun/2018 19:25:18] Service "WebInterface" bound to address *.*.*.* stopped
[02/Jun/2018 19:25:18] Service "WebInterfaceSSL" bound to address *.*.*.* stopped
[02/Jun/2018 19:25:18] Service "VPN" bound to address *.*.*.* stopped


Debug log при включении WAN:
[02/Jun/2018 20:27:12] Interface "WAN" is UP.
[02/Jun/2018 20:27:12] IPv4 Addresses: *.*.*.*/255.255.255.255
[02/Jun/2018 20:27:13] Service "DNS UDP" started, bound to address *.*.*.*
[02/Jun/2018 20:27:13] Service "DNS TCP" started, bound to address *.*.*.*
[02/Jun/2018 20:27:13] Service "WebInterface" started, bound to address *.*.*.*
[02/Jun/2018 20:27:13] Service "WebInterfaceSSL" started, bound to address *.*.*.*
[02/Jun/2018 20:27:13] Service "VPN" started, bound to address *.*.*.*


клиенты подключаются к сети VPN по стандартному microsoft клиенту
для подключения используется dynDNS аккаунт- то есть нет привязки к белому IP.
Но так как, по какойто непонятной мне причине, VPN служба останавливается в момент недоступности основного интернета, то и соответственно никто не может из клиентов подрубится.


Помогите пожалуйста!

exchar 06.06.2018 13:24

Re: VPN отваливается - резервирование при двух ISP
 
Цитата:

Сообщение от rasul1986 (Сообщение 154666)
однако при этом отрубаются и другие службы в том числе и VPN


при отрубании интерфейса отрубается привязка службы VPN к ip-адресу этого интерфейса
и это нормально



т.е. vpn-канал падает, переподключается автоматом и все работает через другой интерфейс.


Цитата:

Сообщение от rasul1986 (Сообщение 154666)
и соответственно никто не может из клиентов подрубится.


интересно, что в политиках трафика

datusername 06.06.2018 13:37

Re: VPN отваливается - резервирование при двух ISP
 
Цитата:

Сообщение от rasul1986 (Сообщение 154666)
WAN2 - MAIN mode

А то, что у вас на WAN2 серый адрес приходит - вас не смущает?

rasul1986 06.06.2018 13:57

Re: VPN отваливается - резервирование при двух ISP
 
Вложений: 1
Спасибо за ответы


Цитата:

Сообщение от exchar (Сообщение 154706)
т.е. vpn-канал падает, переподключается автоматом и все работает через другой интерфейс.

в том то и дело что он падает и потом не поднимается пока "WAN" заново не поднимется


Цитата:

Сообщение от exchar (Сообщение 154706)
интересно, что в политиках трафика

прикрепляю скрин - вверх скриншота вырезал, так как там просто правила Трансляции разных портов на разные компьютеры внутри сети

rasul1986 06.06.2018 14:02

Re: VPN отваливается - резервирование при двух ISP
 
Цитата:

Сообщение от datusername (Сообщение 154707)
А то, что у вас на WAN2 серый адрес приходит - вас не смущает?

да, забыл про него рассказать - это серый IP но данный адрес заDMZирован на роутере, через который и проходит данный резервный Интернет
У меня конечно тоже были подозрения на такого вида подключение, но все таки - разве это может быть преградой для подключения VPN клиентов?
ведь любые подключения на IP резервного Интернет перенаправляются на 192.168.1.103

с трансляцией портов других служб все работает как надо.

К примеру водительские терминалы (это такси компания) по доменному имени все так же спокойно подключаются к серверу , когда "WAN" отваливается(ну разве что иногда DynDNS ступить может и не подставить текущий белый IP шник).

datusername 06.06.2018 14:22

Re: VPN отваливается - резервирование при двух ISP
 
Цитата:

Сообщение от rasul1986 (Сообщение 154709)
это серый IP но данный адрес заDMZирован на роутере, через который и проходит данный резервный Интернет

Dynamic DNS клиент должен знать свой белый IP адрес, что бы мочь передать его куда надо, что бы там перегенерили ссылки. На серых IP (это которые от провайдера) Dynamic DNS не работает, насколько я знаю.

Цитата:

Сообщение от rasul1986 (Сообщение 154709)
по доменному имени все так же спокойно подключаются к серверу , когда "WAN" отваливается

Ну то есть у вас Dynamic DNS работает и сервисы работают, не работает только IPSec VPN? NAT-T (NAT traversal) на том роутере, который выше Kerio на WAN2 у вас включен?


Ну или если есть возможность, перевести ваш роутер в бридж или выкинуть его совсем - самый простой вариант.

rasul1986 06.06.2018 15:12

Re: VPN отваливается - резервирование при двух ISP
 
Вложений: 1
Цитата:

Сообщение от datusername (Сообщение 154711)
Dynamic DNS клиент должен знать свой белый IP адрес, что бы мочь передать его куда надо, что бы там перегенерили ссылки. На серых IP (это которые от провайдера) Dynamic DNS не работает, насколько я знаю.

ну в целом работает у меня - правда приходится обновлять самому IP в настройках Динамического DNS, хотя я там выставил "Обнаружен общий IP" - прилагаю скрин настроек


Цитата:

Сообщение от datusername (Сообщение 154711)
Ну то есть у вас Dynamic DNS работает и сервисы работают, не работает только IPSec VPN?

Да - порты так сказать все пробрасываются


Цитата:

Сообщение от datusername (Сообщение 154711)
NAT-T (NAT traversal) на том роутере, который выше Kerio на WAN2 у вас включен?

у меня там стоит роутер Mikrotik - его не получится выбросить так как все же он используется как отдельная сеть и интернет для других нужд - то есть вроде как и резервный интернет и заодно им так же пользуется другая сеть(группа людей), просто все входящие подключения на эту сеть идут на адрес 192.168.1.103

И все устраивало пока не задействовали "VPN клиентов".

Думаете нужно в Mikrotik настройках копаться? в частности NAT-T...

datusername 06.06.2018 15:45

Re: VPN отваливается - резервирование при двух ISP
 
Цитата:

Сообщение от rasul1986 (Сообщение 154713)
Думаете нужно в Mikrotik настройках копаться? в частности NAT-T...

Не обязательно. Дело в том, что IPSec сам по себе не умеет преодолевать NAT ему нужен NAT-T. Но, например OpenVPN умеет. Или, например, у вас есть сервер в надёжном дата-центре и вы на нем можете поднять L2TP-сервер и коннектится всем миром туда (и обоими интерфейсами из офиса и удалёнщиками).

rasul1986 06.06.2018 22:48

Re: VPN отваливается - резервирование при двух ISP
 
Цитата:

Сообщение от datusername (Сообщение 154714)
Не обязательно. Дело в том, что IPSec сам по себе не умеет преодолевать NAT ему нужен NAT-T. Но, например OpenVPN умеет. Или, например, у вас есть сервер в надёжном дата-центре и вы на нем можете поднять L2TP-сервер и коннектится всем миром туда (и обоими интерфейсами из офиса и удалёнщиками).

просто добавлять еще одно промежуточное звено ох как не хочется.

больше всего во всей этой истории мне непонятно почему в debug отчете видно как система сама отключает все эти службы, в том числе VPN. И как, хотя бы в ручную, во время падения основного интерфейса запустить обратно VPN с привязкой к резервному ...

datusername 07.06.2018 10:20

Re: VPN отваливается - резервирование при двух ISP
 
Цитата:

Сообщение от rasul1986 (Сообщение 154722)
добавлять еще одно промежуточное звено ох как не хочется.

Ну тем не менее микрот у вас стоит и не смущает.
Цитата:

Сообщение от rasul1986 (Сообщение 154722)
больше всего во всей этой истории мне непонятно почему в debug отчете видно как система сама отключает все эти службы, в том числе VPN

Из локалки 192.168.1.0/24 вы по VPN подключаетесь?

rasul1986 08.06.2018 11:33

Re: VPN отваливается - резервирование при двух ISP
 
Цитата:

Сообщение от datusername (Сообщение 154725)
Из локалки 192.168.1.0/24 вы по VPN подключаетесь?

нет

микрот используется лишь для того что бы по wifi получать интернет обычными пользователями

то есть совмещается приятное с полезным:
и резервный интернет и просто так не простаивает

datusername 08.06.2018 15:16

Re: VPN отваливается - резервирование при двух ISP
 
Цитата:

Сообщение от rasul1986 (Сообщение 154735)
нет

Это был не столько вопрос, сколько предложение проверить возможно ли подключение.
Цитата:

Сообщение от rasul1986 (Сообщение 154735)
микрот используется лишь для того что бы по wifi получать интернет обычными пользователями

Резервирование используется, когда вам крайне не желательно использовать резервный канал всё время (например на нём есть ограничение по объему трафика). Если вы хотите использовать оба канала одновременно, то используйте балансировку. Гостям выделяете гостевой интерфейс, микрот используете как ТД.

rasul1986 11.06.2018 11:39

Re: VPN отваливается - резервирование при двух ISP
 
Цитата:

Сообщение от datusername (Сообщение 154739)
Если вы хотите использовать оба канала одновременно, то используйте балансировку. Гостям выделяете гостевой интерфейс, микрот используете как ТД.

то есть если я переключу на балансировку - то тогда VPN проблема может решится ?
или же иметься в виду что все решится когда я микрот уберу как промежуточное звено и кабель резервного интернета подключу напрямую к интерфейсу WAN2 ?

datusername 13.06.2018 09:42

Re: VPN отваливается - резервирование при двух ISP
 
Цитата:

Сообщение от rasul1986 (Сообщение 154753)
то есть если я переключу на балансировку - то тогда VPN проблема может решится ?

То есть если вы избавитесь от лишнего NAT тогда ваша проблема решится сама по себе. Само по себе переключение резерв/балансировка вам мало что даст.

Цитата:

Сообщение от rasul1986 (Сообщение 154753)
когда я микрот уберу как промежуточное звено и кабель резервного интернета подключу напрямую к интерфейсу WAN2 ?

Вам не обязательно его физически убирать (да и это не всегда возможно по объективным причинам). Достаточно избавиться от него логически, что бы трафик без всяких NAT попадал сразу на WAN2.

rasul1986 13.06.2018 11:31

Re: VPN отваливается - резервирование при двух ISP
 
Цитата:

Сообщение от datusername (Сообщение 154754)
Вам не обязательно его физически убирать (да и это не всегда возможно по объективным причинам). Достаточно избавиться от него логически, что бы трафик без всяких NAT попадал сразу на WAN2.

все понял,
благодарю Вас особенно за подсказки. Мне тоже кажется что "слабое звено" тут настройка микрота.
Остается только разобраться как этот самый NAT так выключить - чтоб к нему продолжали подключаться по wi fi и пользоваться Интернет.
Хотя и это не получится - для wi fi клиентов, как Вы и говорили, нужно гостевой интерфейс задействовать. А микрот просто как точку доступа подключенную у гостевому интерфейсу юзать.

datusername 13.06.2018 12:07

Re: VPN отваливается - резервирование при двух ISP
 
Цитата:

Сообщение от rasul1986 (Сообщение 154755)
Остается только разобраться как этот самый NAT так выключить - чтоб к нему продолжали подключаться по wi fi и пользоваться Интернет.

Не то, что бы я был гуру по настройке микротов, но самый простой вариант будет выглядеть примерно так:
1. Заводите на порту микрота который смотрит в сторону wan2 два тэгированных vlan с id, допустим, 2 и 3 (id могут быть любые кроме 1).
1.1. Совсем хорошо, будет завести ещё и третий vlan чисто под управление микротиком, но это не обязательно.
2. На Керио на интерфейсе где у вас wan2 так же заводите два (три) тегированных vlan с теме же id. Тот который вы определите под интернет - помечаете как wan2 и добавляете в группу "интернет интерфейсы", тот который под гостевой wi-fi называете как-нибудь и определяете в группу "гостевые интерфейсы" (учтите, что гости могут ходить в интернет строго по http/https).
2.1. Если решились на отдельный интерфейс управления, то создаете и его и определяете в группу локальный/доверенный.
3. На микроте создаете два бриджа. В первый бридж определяете физический интерфейс куда у вас воткнут кабель провайдера и vlan, который отвели под интернет. Во второй бридж у вас уходит wi-fi адаптер и vlan который отвели под гостевую сетку.
4. Запрещаете управление микротом с интерфейсов на которые завязали интернет (если завели отдельный vlan управления, то с любых интерфейсов кроме этого vlan).

rasul1986 14.06.2018 09:45

Re: VPN отваливается - резервирование при двух ISP
 
Цитата:

Сообщение от datusername (Сообщение 154756)
Не то, что бы я был гуру по настройке микротов, но самый простой вариант будет выглядеть примерно так:
1. Заводите на порту микрота который смотрит в сторону wan2 два тэгированных vlan с id, допустим, 2 и 3 (id могут быть любые кроме 1).
1.1. Совсем хорошо, будет завести ещё и третий vlan чисто под управление микротиком, но это не обязательно.
2. На Керио на интерфейсе где у вас wan2 так же заводите два (три) тегированных vlan с теме же id. Тот который вы определите под интернет - помечаете как wan2 и добавляете в группу "интернет интерфейсы", тот который под гостевой wi-fi называете как-нибудь и определяете в группу "гостевые интерфейсы" (учтите, что гости могут ходить в интернет строго по http/https).
2.1. Если решились на отдельный интерфейс управления, то создаете и его и определяете в группу локальный/доверенный.
3. На микроте создаете два бриджа. В первый бридж определяете физический интерфейс куда у вас воткнут кабель провайдера и vlan, который отвели под интернет. Во второй бридж у вас уходит wi-fi адаптер и vlan который отвели под гостевую сетку.
4. Запрещаете управление микротом с интерфейсов на которые завязали интернет (если завели отдельный vlan управления, то с любых интерфейсов кроме этого vlan).


вот это реально похоже на решение )

правда не смогу/не хочу тестировать в продакшене
придется поднимать у себя вирт керио и тестировать со своим домашним микротом.
По результатам отпишусь - если Вам интересно будет.
Еще раз спасибо за подсказку !!

dan1g 21.06.2018 09:16

Re: VPN отваливается - резервирование при двух ISP
 
Ну как успехи? Получилось?


Текущее время: 10:21. Часовой пояс GMT +3.

Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2019, vBulletin Solutions Inc. Перевод: zCarot