Форум Kerio-rus

Вернуться   Форум Kerio-rus > Продукты > Kerio VPN

Важная информация

Ответ
 
Опции темы
Старый 29.01.2019, 22:38   #461
TritonK6
Навичёг
 
Аватар для TritonK6
 
Регистрация: 16.06.2016
Сообщений: 47
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от Voyager Посмотреть сообщение
народ, а вот это из инструкции enmana на хабре актуально?


Туннель установлен. Но для прохождения трафика между подсетями за Kerio Control и Mikrotik необходимо добавить в правила NAT фаервола правило, которое не позволит замаскарадиться трафику, который вы отправляете в туннель. Если вы не сделаете этого правила – сети дружить не будут, даже если туннель будет установлен. Для этого в окне терминала необходимо выполнить команду:

/ip firewall nat add chain=srcnat dst-address=192.168.10.0/24 src-address=192.168.88.0/24





и второе, было сказано не раз что надо исключать трафик ipsec из фастрака, это как сделать?
Прописываешь (да) в фаерволе исключени из маскарада и в роутах кидаешь маршрутик - вот и все.
Я настраивал вот по этому мануалу [Для просмотра данной ссылки нужно зарегистрироваться] - все отлично в обоих вариантах + третий если тебе нужны еще и подсети за керио. Ну и даешь в керио правило чтоб новый шлюз ходил в сетку керио...пс по дефолут в керио уже есть правило "Локальный трафик" - тут обычно стоит разрешение что любой шлюз может смотреть в любую сетку
TritonK6 вне форума   Ответить с цитированием Вверх
Старый 29.01.2019, 23:29   #462
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,586
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Да, без этого трафик и не пойдет в туннель. Из фастрак в этой ветке есть как исключить.
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Старый 30.01.2019, 10:33   #463
mavrik2
 
Аватар для mavrik2
 
Регистрация: 28.01.2019
Адрес: Минск
Сообщений: 8
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Уважаемый EnMan, поделись пожалуйста, всё ещё пингуешь хосты удалённые что бы трафик в туннеле не затухал или победил болячку ?
mavrik2 вне форума   Ответить с цитированием Вверх
Старый 11.02.2019, 17:21   #464
Алексей bird
Навичёг
 
Аватар для Алексей bird
 
Регистрация: 27.01.2010
Сообщений: 28
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от TritonK6 Посмотреть сообщение
Прописываешь (да) в фаерволе исключени из маскарада и в роутах кидаешь маршрутик - вот и все.
Я настраивал вот по этому мануалу [Для просмотра данной ссылки нужно зарегистрироваться] - все отлично в обоих вариантах + третий если тебе нужны еще и подсети за керио. Ну и даешь в керио правило чтоб новый шлюз ходил в сетку керио...пс по дефолут в керио уже есть правило "Локальный трафик" - тут обычно стоит разрешение что любой шлюз может смотреть в любую сетку
Сделал по этой же статье. Сеть за Микротиком видна. Сеть за Керио(сам Керио тоже не видим по локальному адресу) не видна. Керио выступает инициализатором соединения. Что ещё ему надо?
Алексей bird вне форума   Ответить с цитированием Вверх
Старый 11.02.2019, 17:36   #465
TritonK6
Навичёг
 
Аватар для TritonK6
 
Регистрация: 16.06.2016
Сообщений: 47
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от Алексей bird Посмотреть сообщение
Сделал по этой же статье. Сеть за Микротиком видна. Сеть за Керио(сам Керио тоже не видим по локальному адресу) не видна. Керио выступает инициализатором соединения. Что ещё ему надо?
Ты точно прописал правила в микротике в Firewall - NAT и Route?
+ Задал в шлюзе доступные сети за Керио?
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
172.28.28.0/24 - Микротик
172.17.177.0/24 - Керио
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
TritonK6 вне форума   Ответить с цитированием Вверх
Старый 11.02.2019, 18:39   #466
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,586
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

TritonK6, на скринах не 24-ая маска...

Добавлено через 1 минуту

Алексей bird, нужно смотреть на Ipsec Policy какие генерируются и нужно смотреть на правила фаервола Kerio
__________________
керио

Последний раз редактировалось EnMan; 11.02.2019 в 18:39. Причина: Добавлено сообщение
EnMan вне форума   Ответить с цитированием Вверх
Старый 12.02.2019, 09:41   #467
Алексей bird
Навичёг
 
Аватар для Алексей bird
 
Регистрация: 27.01.2010
Сообщений: 28
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Генерируемые политики выкладываю.
5.0 это сеть за микротиком
19.0 это сеть за Керио
Из 19 сети могу пинговать компы в 5 сети.
А вот из 5 сети пинговать в 19 сети не могу, шлюз керио тоже невидим
Правило для керио добавил, но на ситуацию это не повлияло(
Изображения
Тип файла: png 3.png (7.5 Кб, 15 просмотров)
Алексей bird вне форума   Ответить с цитированием Вверх
Старый 12.02.2019, 10:29   #468
Алексей bird
Навичёг
 
Аватар для Алексей bird
 
Регистрация: 27.01.2010
Сообщений: 28
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

И всё-таки мне кажется, что проблема в настройке микротика, вот что пишет лог правила в Firewall-NAT, см. скрин. Я пингую с самого микротика (5.1) Керио(19.1), но правила почему-то запихивают пакет во внешний интерфейс MGTS, хотя сам туннель создан через другой внешний интерфейс. Впрочем даже когда я отключаю MGTS(настроена балансировка) и весь поток пускаю по другому каналу. Всё-равно правила запихивают пакеты во внешний интерфейс. Микротик не хочет распознавать туннель что-ли.
Изображения
Тип файла: png 4.png (6.0 Кб, 18 просмотров)
Алексей bird вне форума   Ответить с цитированием Вверх
Старый 17.02.2019, 23:40   #469
vottak
Навичёг
 
Аватар для vottak
 
Регистрация: 15.12.2010
Адрес: Stambul
Сообщений: 21
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

TritonK6,
Цитата
Сообщение от TritonK6 Посмотреть сообщение
Может кому пригодится - несколько скринов в комплекте
Успешно работает уже год туннель IPSec, где инициатор Керио, теперь добавился микротик с серым IP и два дня упорного изучения проблемы с коннектом, где инициатор Микротик, привели только к способу с DDNS микрота.
Настроил все по вашему мануалу и очень удивился сообщению Керио "Несовпадение ИД", они в принципе не могут не совпадать т.к. они идентичны , как так получилось?

Дополнение:

Попробовал немного в других условиях: воткнул в Микротик МТС свисток и Керио начал выдавать: [18/Feb/2019 09:48:52] IPsec: Failed to establish connection with remote endpoint 134.249.ххх.ххх: PSK mismatch
Хотя шифрование установлено одинаково.

Последний раз редактировалось vottak; 18.02.2019 в 10:53.
vottak вне форума   Ответить с цитированием Вверх
Старый 13.03.2019, 16:11   #470
Алексей bird
Навичёг
 
Аватар для Алексей bird
 
Регистрация: 27.01.2010
Сообщений: 28
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от Алексей bird Посмотреть сообщение
И всё-таки мне кажется, что проблема в настройке микротика, вот что пишет лог правила в Firewall-NAT, см. скрин. Я пингую с самого микротика (5.1) Керио(19.1), но правила почему-то запихивают пакет во внешний интерфейс MGTS, хотя сам туннель создан через другой внешний интерфейс. Впрочем даже когда я отключаю MGTS(настроена балансировка) и весь поток пускаю по другому каналу. Всё-равно правила запихивают пакеты во внешний интерфейс. Микротик не хочет распознавать туннель что-ли.
нашел проблему: забыл включить трансляцию адресов в kerio
Алексей bird вне форума   Ответить с цитированием Вверх
Старый 14.03.2019, 23:41   #471
Putin
Навичёг
 
Аватар для Putin
 
Регистрация: 28.09.2013
Сообщений: 32
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от Алексей bird Посмотреть сообщение
нашел проблему: забыл включить трансляцию адресов в kerio
Что за трансляция ? Поподробнее, каким образом сделать ?
Putin вне форума   Ответить с цитированием Вверх
Старый 15.03.2019, 08:44   #472
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,390
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

NAT
Network Address Translation


дальше объяснять?
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 17.03.2019, 18:20   #473
Putin
Навичёг
 
Аватар для Putin
 
Регистрация: 28.09.2013
Сообщений: 32
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Да вроде понятно.
Такой момент ещё - как запульнуть интернет трафик (HTTP и HTTPS) из микротика по туннелю в керио, чтобы по правилам керио люди ходили в интернет ? Но опять же, ни все сайты, некоторые оставить через микротик.
Для 0.0.0.0/0 как-то там говорят надо маршрут настроить, но что конкретнее в микротике и в керио прописать необходимо ?

Последний раз редактировалось Putin; 17.03.2019 в 18:51.
Putin вне форума   Ответить с цитированием Вверх
Старый 18.03.2019, 09:46   #474
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,586
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата:
Сообщение от Putin Посмотреть сообщение
Да вроде понятно.
Такой момент ещё - как запульнуть интернет трафик (HTTP и HTTPS) из микротика по туннелю в керио, чтобы по правилам керио люди ходили в интернет ? Но опять же, ни все сайты, некоторые оставить через микротик.
Для 0.0.0.0/0 как-то там говорят надо маршрут настроить, но что конкретнее в микротике и в керио прописать необходимо ?
Да собственно никак. Изъебнуться можно, только нормально это не может работать by design. Потом будет и Микротик хуевый и Керио говно. Ну не маршрутизируется это в таком виде, ну забудьте, ну.
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Старый 13.06.2019, 20:59   #475
Voyager
Песака
 
Аватар для Voyager
 
Регистрация: 10.04.2007
Адрес: Россия
Сообщений: 122
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

EnMan,
народ,

на последней версии router os 6.44 поднимали site-to-site с микротом?
Делаю пока все по инструкции, но окно IP Sec peer отличается сильно.


[Для просмотра данной ссылки нужно зарегистрироваться]



Предыдущая версия:


[Для просмотра данной ссылки нужно зарегистрироваться]


в консоли не отрабатывает команда /ip ipsec peer add address=92.253.xxx.xxx/32 dh-group=modp1536 exchange-mode=main-l2tp generate-policy=port-override hash-algorithm=sha1 passive=yes secret=secret
expected end of command (line 1 column 45)

Последний раз редактировалось Voyager; 14.06.2019 в 12:40.
Voyager вне форума   Ответить с цитированием Вверх
Старый 15.06.2019, 01:43   #476
aivspb
 
Аватар для aivspb
 
Регистрация: 14.10.2011
Сообщений: 3
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Добрый времени суток
Есть керио 9.3.0 build 3273 с статическим ip и микротика с прошивкой 6.44.3 с динамическим ip
где можно почитать мануал для настройки IPsec VPN tunnel
прошу сильно не пинать так ка микротик взял в руки первый раз и сделать надо вчера
aivspb вне форума   Ответить с цитированием Вверх
Старый 15.06.2019, 23:29   #477
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,419
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от Voyager Посмотреть сообщение
expected end of command (line 1 column 45)
двойной tab
Цитата Tab
perform line completion. When pressed second time, show possible completions.
Цитата
Сообщение от aivspb Посмотреть сообщение
где можно почитать мануал для настройки IPsec VPN tunnel
поиск по форуму, хабр, микротик вики и т.п.
самый правильный мануал думаю EnMan может подсказать
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 16.06.2019, 10:14   #478
Voyager
Песака
 
Аватар для Voyager
 
Регистрация: 10.04.2007
Адрес: Россия
Сообщений: 122
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата:
Сообщение от exchar Посмотреть сообщение
двойной tab
привет. Там не в табах дело. Этих команд нет в новой прошивке.

UPD. даунгрейдился до 6.43.16. Судя по их форуму в 6.44.3 косяк на косяке.

А при таком тоннеле между керио и микротиком возможно сделать чтобы клиенты за микротиком были в той же подсети что и основная сеть за керио?

Последний раз редактировалось Voyager; 16.06.2019 в 18:03.
Voyager вне форума   Ответить с цитированием Вверх
Старый 16.06.2019, 19:37   #479
Voyager
Песака
 
Аватар для Voyager
 
Регистрация: 10.04.2007
Адрес: Россия
Сообщений: 122
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

тоннель не поднимается и на этой прошивке
Router OS 6.43.16, kerio 9.2.9. C обеих сторон белые IP без nat. Посмотрите что я напутал?

Команда из инструкции

/ip ipsec peer add address=109.172.42.XXX/32 dh-group=modp1536 exchange-mode=main-l2tp generate-policy=port-override hash-algorithm=sha1 passive=yes secret=password

здесь не отрабатывает. IPsec policy создал руками.
Изображения
Тип файла: jpg 1 kerio vpn authen .JPG (71.2 Кб, 8 просмотров)
Тип файла: jpg 2 kerio remote networks.JPG (63.7 Кб, 6 просмотров)
Тип файла: jpg 3 kerio local networks.JPG (61.0 Кб, 6 просмотров)
Тип файла: jpg 4 kerio vpn rules.jpg (7.0 Кб, 5 просмотров)
Тип файла: jpg 5 mikrotik firewall.JPG (57.0 Кб, 5 просмотров)
Тип файла: jpg 6 ipsec peer profiles.JPG (68.5 Кб, 5 просмотров)
Тип файла: jpg 7 ipsec peer.jpg (139.6 Кб, 6 просмотров)
Тип файла: jpg 8 ipsec policy.jpg (112.7 Кб, 2 просмотров)
Тип файла: jpg ipsec peer profiles.JPG (67.5 Кб, 4 просмотров)
Тип файла: jpg ipsec policy proposal.JPG (58.6 Кб, 5 просмотров)

Последний раз редактировалось Voyager; 16.06.2019 в 22:03.
Voyager вне форума   Ответить с цитированием Вверх
Старый 16.06.2019, 23:22   #480
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,390
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от Voyager Посмотреть сообщение
сделать чтобы клиенты за микротиком были в той же подсети что и основная сеть за керио?
ну если тоннель каким то образом превратится в мост ....
чудным образом...
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 12:27. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2019, vBulletin Solutions Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях