Форум Kerio-rus

Вернуться   Форум Kerio-rus > Продукты > Kerio VPN

Важная информация

Ответ
 
Опции темы
Старый 29.01.2019, 22:38   #461
TritonK6
Навичёг
 
Аватар для TritonK6
 
Регистрация: 16.06.2016
Сообщений: 47
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от Voyager Посмотреть сообщение
народ, а вот это из инструкции enmana на хабре актуально?


Туннель установлен. Но для прохождения трафика между подсетями за Kerio Control и Mikrotik необходимо добавить в правила NAT фаервола правило, которое не позволит замаскарадиться трафику, который вы отправляете в туннель. Если вы не сделаете этого правила – сети дружить не будут, даже если туннель будет установлен. Для этого в окне терминала необходимо выполнить команду:

/ip firewall nat add chain=srcnat dst-address=192.168.10.0/24 src-address=192.168.88.0/24





и второе, было сказано не раз что надо исключать трафик ipsec из фастрака, это как сделать?
Прописываешь (да) в фаерволе исключени из маскарада и в роутах кидаешь маршрутик - вот и все.
Я настраивал вот по этому мануалу [Для просмотра данной ссылки нужно зарегистрироваться] - все отлично в обоих вариантах + третий если тебе нужны еще и подсети за керио. Ну и даешь в керио правило чтоб новый шлюз ходил в сетку керио...пс по дефолут в керио уже есть правило "Локальный трафик" - тут обычно стоит разрешение что любой шлюз может смотреть в любую сетку
TritonK6 вне форума   Ответить с цитированием Вверх
Старый 29.01.2019, 23:29   #462
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,584
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Да, без этого трафик и не пойдет в туннель. Из фастрак в этой ветке есть как исключить.
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Старый 30.01.2019, 10:33   #463
mavrik2
 
Аватар для mavrik2
 
Регистрация: 28.01.2019
Адрес: Минск
Сообщений: 8
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Уважаемый EnMan, поделись пожалуйста, всё ещё пингуешь хосты удалённые что бы трафик в туннеле не затухал или победил болячку ?
mavrik2 вне форума   Ответить с цитированием Вверх
Старый 11.02.2019, 17:21   #464
Алексей bird
Навичёг
 
Аватар для Алексей bird
 
Регистрация: 27.01.2010
Сообщений: 27
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от TritonK6 Посмотреть сообщение
Прописываешь (да) в фаерволе исключени из маскарада и в роутах кидаешь маршрутик - вот и все.
Я настраивал вот по этому мануалу [Для просмотра данной ссылки нужно зарегистрироваться] - все отлично в обоих вариантах + третий если тебе нужны еще и подсети за керио. Ну и даешь в керио правило чтоб новый шлюз ходил в сетку керио...пс по дефолут в керио уже есть правило "Локальный трафик" - тут обычно стоит разрешение что любой шлюз может смотреть в любую сетку
Сделал по этой же статье. Сеть за Микротиком видна. Сеть за Керио(сам Керио тоже не видим по локальному адресу) не видна. Керио выступает инициализатором соединения. Что ещё ему надо?
Алексей bird вне форума   Ответить с цитированием Вверх
Старый 11.02.2019, 17:36   #465
TritonK6
Навичёг
 
Аватар для TritonK6
 
Регистрация: 16.06.2016
Сообщений: 47
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от Алексей bird Посмотреть сообщение
Сделал по этой же статье. Сеть за Микротиком видна. Сеть за Керио(сам Керио тоже не видим по локальному адресу) не видна. Керио выступает инициализатором соединения. Что ещё ему надо?
Ты точно прописал правила в микротике в Firewall - NAT и Route?
+ Задал в шлюзе доступные сети за Керио?
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
172.28.28.0/24 - Микротик
172.17.177.0/24 - Керио
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
TritonK6 вне форума   Ответить с цитированием Вверх
Старый 11.02.2019, 18:39   #466
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,584
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

TritonK6, на скринах не 24-ая маска...

Добавлено через 1 минуту

Алексей bird, нужно смотреть на Ipsec Policy какие генерируются и нужно смотреть на правила фаервола Kerio
__________________
керио

Последний раз редактировалось EnMan; 11.02.2019 в 18:39. Причина: Добавлено сообщение
EnMan вне форума   Ответить с цитированием Вверх
Старый 12.02.2019, 09:41   #467
Алексей bird
Навичёг
 
Аватар для Алексей bird
 
Регистрация: 27.01.2010
Сообщений: 27
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Генерируемые политики выкладываю.
5.0 это сеть за микротиком
19.0 это сеть за Керио
Из 19 сети могу пинговать компы в 5 сети.
А вот из 5 сети пинговать в 19 сети не могу, шлюз керио тоже невидим
Правило для керио добавил, но на ситуацию это не повлияло(
Изображения
Тип файла: png 3.png (7.5 Кб, 3 просмотров)
Алексей bird вне форума   Ответить с цитированием Вверх
Старый 12.02.2019, 10:29   #468
Алексей bird
Навичёг
 
Аватар для Алексей bird
 
Регистрация: 27.01.2010
Сообщений: 27
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

И всё-таки мне кажется, что проблема в настройке микротика, вот что пишет лог правила в Firewall-NAT, см. скрин. Я пингую с самого микротика (5.1) Керио(19.1), но правила почему-то запихивают пакет во внешний интерфейс MGTS, хотя сам туннель создан через другой внешний интерфейс. Впрочем даже когда я отключаю MGTS(настроена балансировка) и весь поток пускаю по другому каналу. Всё-равно правила запихивают пакеты во внешний интерфейс. Микротик не хочет распознавать туннель что-ли.
Изображения
Тип файла: png 4.png (6.0 Кб, 2 просмотров)
Алексей bird вне форума   Ответить с цитированием Вверх
Старый Вчера, 23:40   #469
vottak
Навичёг
 
Аватар для vottak
 
Регистрация: 15.12.2010
Адрес: Stambul
Сообщений: 21
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

TritonK6,
Цитата
Сообщение от TritonK6 Посмотреть сообщение
Может кому пригодится - несколько скринов в комплекте
Успешно работает уже год туннель IPSec, где инициатор Керио, теперь добавился микротик с серым IP и два дня упорного изучения проблемы с коннектом, где инициатор Микротик, привели только к способу с DDNS микрота.
Настроил все по вашему мануалу и очень удивился сообщению Керио "Несовпадение ИД", они в принципе не могут не совпадать т.к. они идентичны , как так получилось?
vottak вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 03:47. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2019, vBulletin Solutions Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях