Форум Kerio-rus  

Вернуться   Форум Kerio-rus > Продукты > Kerio VPN

Закрытая тема
 
Опции темы
Старый 11.01.2017, 14:13   #1
djskel
Песака
 
Регистрация: 17.02.2010
Адрес: Иркутск
Сообщений: 67
Поблагодарили 5 раз(а) в 2 сообщениях
Вопрос Windows и Kerio IPsec

всех приветствую!

такие темы уже поднимались, но дабы не некропостить создам новую. может хоть эта не утонет и силами коммьюнити решим что-то, ребята тут все матёрые. давайте попробуем разобраться?

предварительно скажу - проблема только с виндовых клиентов. линусксовые, будь то андроид или макось подключаются без проблем.

что имеем: включенный интерфейс IPsec в керио 9.1.0 build 1087 и клиента на вин7 за натом (tp-link wr740n)

без сертификата, просто по pre-shared key
с минуту винда пытается коннектится, потом ловлю ошибку 789: попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности во время согласований с удаленным компьютером.

в connection-логе керио такие строки:
Цитата [11/Jan/2017 16:59:52] [ID] 332347 [Rule] VPN Services [Service] IKE [Connection] UDP xxx.xxx.xxx.xx:500 -> control (xxx.xxx.xxx.xxx):500 [Iface] TTK inet [Duration] 488 sec [Bytes] 2080/656/2736 [Packets] 4/4/8
[Для просмотра данной ссылки нужно зарегистрироваться] товарисч пишет, что ошибку помогает решить внесение пары правок в реестр, а именно в

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\Rasman\Parameters
"ProhibitIpSec"=dword:00000001
"AllowL2TPWeakCrypto"=dword:00000001

и поясняет
Цитата Как оказалось, операционная система Windows по-умолчанию не умеет создавать подключения по L2TP без IpSec. То есть Windows хочет создавать L2TP тоннель только в зашифрованном соединении. Поэтому необходим ключ ProhibitIpSec. Если параметр реестра ProhibitIpSec равен 1, на компьютере под управлением Windows не создается автоматический фильтр, использующий проверку подлинности ЦС. Вместо этого оно проверяет локальный или политики IPSEC.
Запись реестра AllowL2TPWeakCrypto можно использовать для включения уровня шифрования Message Digest 5 (MD5) и уровень шифрования данных DES (Encryption Standard) для Layer Two Tunneling Protocol с туннелей IPsec (L2TP/IPsec). Взято с [Для просмотра данной ссылки нужно зарегистрироваться]
Как я понял отсутствие данных ключей в реестре, причем, как ни странно, не у всех пользователей, тянется еще с Windows XP. И судя по сообщениям в интернете проблема с ошибкой 789 появляется иногда и в Windows 8 тоже.
после проведения подобных манипуляций начинаю ловить ошибку 809: нельзя установить связь по сети между компьютером и VPN-сервером, поскольку удаленный сервер не отвечает.

в это время сообщения из лога керио исчезают. т.е. винда действительно становится не в состоянии достучаться до службы vpn.

в свою очередь чтобы починить 809-ю ошибку рекомендуют очередную правку реестра:
в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\PolicyAgent создать параметр с именем AssumeUDPEncapsulationContextOnSendRule

и задать ему одно из следующих значений:

0 — Запретить подключения к VPN-серверу, находящемуся за NAT (дефолтное значение)
1 — Разрешить подключение, если за NAT находится только сервер. Подразумевается, что у клиента “белый” IP-адрес
2 — Разрешать подключение, если за NAT находятся и клиент, и сервер

какая-то бредовая рекомендация... IPsec у меня не за натом, а за натом как раз таки клиент. у керио белый адрес, у клиента серый. так что значение "1" фтопку.
значение "2" по логике тоже не подходит, хотя я его пробовал.

в общем я снова в тупике как всегда виноват не керио, а сторонний пахнущий мышами софт.

может кто что посоветует? кто-то сталкивался и успешно решил проблему?
какую дополнительную инфу по конфигурации kerio или винды может сюда скинуть? просто я и так простыню накатал, побаиваюсь что не каждый осилит прочитать, а если еще скриншотами посыпать...
__________________
больше всего ваших секретов знают не ваши друзья, а сисадмин
djskel вне форума   Вверх
Старый 11.01.2017, 17:06   #2
naliman
особый
 
Аватар для naliman
 
Регистрация: 19.06.2006
Сообщений: 12,683
Поблагодарили 64 раз(а) в 43 сообщениях
По умолчанию Re: Windows и Kerio IPsec

не читал, но осуждаю!

сделайте всё по инструкции [Для просмотра данной ссылки нужно зарегистрироваться]
и будет вам счастье
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Вверх
Старый 11.01.2017, 18:25   #3
djskel
Песака
 
Регистрация: 17.02.2010
Адрес: Иркутск
Сообщений: 67
Поблагодарили 5 раз(а) в 2 сообщениях
По умолчанию Re: Windows и Kerio IPsec

naliman, это инструкция с использованием SSL-сертификата. хотелось бы просто по pre-shared key. типа как [Для просмотра данной ссылки нужно зарегистрироваться], только никуя не работает

Добавлено через 3 минуты
а то моя прогрессирующая паранойя упрямо настаивает, что pptp уже не торт
__________________
больше всего ваших секретов знают не ваши друзья, а сисадмин

Последний раз редактировалось djskel; 11.01.2017 в 18:28. Причина: Добавлено сообщение
djskel вне форума   Вверх
Старый 11.01.2017, 20:19   #4
naliman
особый
 
Аватар для naliman
 
Регистрация: 19.06.2006
Сообщений: 12,683
Поблагодарили 64 раз(а) в 43 сообщениях
По умолчанию Re: Windows и Kerio IPsec

там выбор простой (п.4) либо пароль либо сертификат
без сертификата половину инструкции можно проигнорировать
+ ко всему, если бы внимательно читал то увидел бы второе сообщение со ссылкой на инструкцию без сертификата
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Вверх
Старый 11.01.2017, 20:21   #5
naliman
особый
 
Аватар для naliman
 
Регистрация: 19.06.2006
Сообщений: 12,683
Поблагодарили 64 раз(а) в 43 сообщениях
По умолчанию Re: Windows и Kerio IPsec

Цитата
Сообщение от djskel Посмотреть сообщение
моя прогрессирующая паранойя упрямо настаивает, что pptp уже не торт
чем бы дитя не тешилось лишь бы не дрочило (с)
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Вверх
Пользователь сказал cпасибо:
HOG (12.01.2017)
Старый 12.01.2017, 05:21   #6
djskel
Песака
 
Регистрация: 17.02.2010
Адрес: Иркутск
Сообщений: 67
Поблагодарили 5 раз(а) в 2 сообщениях
По умолчанию Re: Windows и Kerio IPsec

naliman, уважаемый, я таки не понимаю на чем ты настаиваешь. инструкция прочитана, моменты описанные в ней поняты и усвоены.
Цитата:
Сообщение от naliman Посмотреть сообщение
если бы внимательно читал то увидел бы второе сообщение со ссылкой на инструкцию без сертификата
Цитата
Сообщение от djskel Посмотреть сообщение
хотелось бы просто по pre-shared key. типа как [Для просмотра данной ссылки нужно зарегистрироваться], только никуя не работает
обрати внимание, куда ведет линк в моем предыдущем посте. именно по той инструкции я и делал. вернее, я обратился к ней, когда не получилось самостоятельно. но результат не изменился.

я ж говорю, всё норм настроено. не могу понять почему не работает и прошу помочь разобраться. какую инфу по винде или кере скинуть сюда?
и еще раз повторюсь - макось к этому IPsec нормально цепляется, не работает соединение ни из одной виндовой среды, даже изнутри локалки.
__________________
больше всего ваших секретов знают не ваши друзья, а сисадмин
djskel вне форума   Вверх
Старый 12.01.2017, 08:19   #7
djskel
Песака
 
Регистрация: 17.02.2010
Адрес: Иркутск
Сообщений: 67
Поблагодарили 5 раз(а) в 2 сообщениях
По умолчанию Re: Windows и Kerio IPsec

короче, naliman, бесишь! свали НАХУЙ из этого треда со своими
Цитата:
Сообщение от naliman Посмотреть сообщение
не читал, но осуждаю!
Цитата:
Сообщение от naliman Посмотреть сообщение
чем бы дитя не тешилось лишь бы не дрочило (с)
если тебе сказать нечего и поучаствовать в решении проблемы ты не хочешь, к хуям этот флуд с твоей стороны и слепой отсыл к мануалам?

я уже правда было подумал, что это не лыжи не едут, а я ебанутый. решил для проверки все-таки заморочиться с сертом, а не с pre-shared ключом.
вспотел пздц, но наделал скринов.

и так. свойства vpn-интерфейса в керио



правила трафика



наличие серта в доверенных центрах сертификации



наличие серта в личном хранилище



свойства виндового vpn-соединения


настройки роутера(я говорил, что клиент за натом. но вообще пох, т.к. изнутри сети, из локалки, ситуация та же)



ииииии.... ни за что не угадаете, что было дальше?


Цитата [12/Jan/2017 12:36:18] [ID] 377330 [Rule] VPN Services [Service] IKE [Connection] UDP 188.43.xxx.xx:500 -> control (188.43.xx.xxx):500 [Iface] TTK inet [Duration] 490 sec [Bytes] 2080/656/2736 [Packets] 4/4/8
Изображения
Тип файла: png iface-properties.PNG (21.9 Кб, 19 просмотров)
Тип файла: png kerio-rules.PNG (19.8 Кб, 16 просмотров)
Тип файла: png ca-cert.PNG (52.3 Кб, 16 просмотров)
Тип файла: png personal-cert.PNG (40.7 Кб, 15 просмотров)
Тип файла: png vpn-properties.PNG (88.6 Кб, 16 просмотров)
Тип файла: png tp-link.PNG (50.1 Кб, 16 просмотров)
Тип файла: png error789.png (39.7 Кб, 19 просмотров)
__________________
больше всего ваших секретов знают не ваши друзья, а сисадмин
djskel вне форума   Вверх
Старый 12.01.2017, 10:21   #8
ua4frr
Песака
 
Аватар для ua4frr
 
Регистрация: 17.01.2008
Адрес: Пенза
Сообщений: 54
Поблагодарили 4 раз(а) в 4 сообщениях
По умолчанию Re: Windows и Kerio IPsec

djskel, а если попробовать только с ключем, без сертификата. Я пробовал - поднимал IPsec по ключу - работало нормально (форточка 7-я). С сертификатом не хотелось заморачиваться, ибо надо будет чтоб железные роутеры ко мне ходили (тюнель до меня), а в них этот сертификат не прикрутишь...
На внешнем надо только еще L2TP-службу добавить по моему...
Если у тебя фоточки к фаеру хотят ходить, то вообще все просто без маршрутов и прочих танцев - кериевый клиент впн поставил и ЗАБЫЛ - у меня уже лет так 10 все именно так и работает и в хер не дует....
Тем паче, что клиент есть и для мака и для пингвинясов - за чем утыкаться с фоточные косяки то? Виндовый впн - это что то с чем то блин, мое мнение...
ua4frr вне форума   Вверх
Старый 12.01.2017, 10:46   #9
Mr.Torture
Пейсатель професеонал
 
Аватар для Mr.Torture
 
Регистрация: 25.09.2009
Адрес: г. Партизанск
Сообщений: 843
Поблагодарили 23 раз(а) в 20 сообщениях
По умолчанию Re: Windows и Kerio IPsec

Цитата
Сообщение от djskel Посмотреть сообщение
naliman, бесишь! свали НАХУЙ
Чую, кто-то сам свалит по этому направлению
__________________
Welcome to the Torture chamber...
Mr.Torture вне форума   Вверх
Старый 12.01.2017, 10:52   #10
djskel
Песака
 
Регистрация: 17.02.2010
Адрес: Иркутск
Сообщений: 67
Поблагодарили 5 раз(а) в 2 сообщениях
По умолчанию Re: Windows и Kerio IPsec

Цитата:
Сообщение от Mr.Torture Посмотреть сообщение
Чую, кто-то сам свалит по этому направлению
я вас умоляю, что этот флудер и заядлый оффтопер мне сделает? лишит меня форумной учетки с 60 постами? боюсь боюсь.
он обосновано был послан. ЗА ТУПОСТЬ.

хотя признаю, возможно я действительно слишком резко выразился. взбешен сегодня поведением кери, а меня даже не читая моих постов тыкают носом в мануалы.
__________________
больше всего ваших секретов знают не ваши друзья, а сисадмин

Последний раз редактировалось djskel; 12.01.2017 в 11:17.
djskel вне форума   Вверх
Старый 12.01.2017, 11:07   #11
djskel
Песака
 
Регистрация: 17.02.2010
Адрес: Иркутск
Сообщений: 67
Поблагодарили 5 раз(а) в 2 сообщениях
По умолчанию Re: Windows и Kerio IPsec

Цитата:
Сообщение от ua4frr Посмотреть сообщение
djskel, а если попробовать только с ключем, без сертификата. Я пробовал - поднимал IPsec по ключу - работало нормально (форточка 7-я).
читай первый пост. именно это я и хочу сделать. и не могу понять почему не работает. разве что мельком видел в инете, что к кере нормально цеплялись (внезапно!) из под вин7 домашняя базовая. не получается из вин7_про и вин7_максимальной.

Цитата:
Сообщение от ua4frr Посмотреть сообщение
На внешнем надо только еще L2TP-службу добавить по моему...
добавил L2TP.

все равно та же ошибка - 789

Цитата:
Сообщение от ua4frr Посмотреть сообщение
Если у тебя фоточки к фаеру хотят ходить, то вообще все просто без маршрутов и прочих танцев - кериевый клиент впн поставил и ЗАБЫЛ - у меня уже лет так 10 все именно так и работает и в хер не дует....
мои форточки хотят ходить именно с танцами и бубном, через маршруты. по ряду причин не хочу использовать kerio vpn client (ниудобна)

Цитата:
Сообщение от ua4frr Посмотреть сообщение
Виндовый впн - это что то с чем то блин, мое мнение...
на минуточку впн не виндовый. это стандартные службы, которым что-то в данном конкрентном случае мешает работать. к другим же l2tp-сервакам цепляется, не цепляется только к кере.
Изображения
Тип файла: png l2tp.PNG (28.2 Кб, 18 просмотров)
__________________
больше всего ваших секретов знают не ваши друзья, а сисадмин
djskel вне форума   Вверх
Старый 12.01.2017, 12:04   #12
Mr.Torture
Пейсатель професеонал
 
Аватар для Mr.Torture
 
Регистрация: 25.09.2009
Адрес: г. Партизанск
Сообщений: 843
Поблагодарили 23 раз(а) в 20 сообщениях
По умолчанию Re: Windows и Kerio IPsec

Цитата
Сообщение от djskel Посмотреть сообщение
этот флудер
Этот флудер - админ ресурса. И если он тебя тыкают носом в мануалы - лучше туда заглянуть. 99,99% всех проблем, поднимаемых в этом форуме, от нежелания читать эти самые мануалы.
__________________
Welcome to the Torture chamber...

Последний раз редактировалось Mr.Torture; 12.01.2017 в 14:22.
Mr.Torture вне форума   Вверх
Старый 12.01.2017, 12:10   #13
djskel
Песака
 
Регистрация: 17.02.2010
Адрес: Иркутск
Сообщений: 67
Поблагодарили 5 раз(а) в 2 сообщениях
По умолчанию Re: Windows и Kerio IPsec

Цитата:
Сообщение от Mr.Torture Посмотреть сообщение
Этот фуллер - админ ресурса. И если он тебя тыкают носом в мануалы - лучше туда заглянуть. 99,99% всех проблем, поднимаемых в этом форуме, от нежелания читать эти самые мануалы.
да хоть сам господь бог. ты скрины выше видел? сильно от мануалов отличаются?
__________________
больше всего ваших секретов знают не ваши друзья, а сисадмин
djskel вне форума   Вверх
Старый 12.01.2017, 13:13   #14
naliman
особый
 
Аватар для naliman
 
Регистрация: 19.06.2006
Сообщений: 12,683
Поблагодарили 64 раз(а) в 43 сообщениях
По умолчанию Re: Windows и Kerio IPsec

Цитата
Сообщение от djskel Посмотреть сообщение
сильно от мануалов отличаются?
ну хотя бы тем, что я лично не вижу галки "использовать предопределенный ключ" в "свойства vpn-интерфейса в керио"

это раз

сертификат в поле "кому выдан" что имеет? какую то хуйню, именно по этому имени ( в данном случае по этой хуйне) ты должен подключать своё сраное соебинение

это два

в свойствах сертификата в "дополнительное имя субъекта" должны быть указаны ВСЕ ВОЗМОЖНЫЕ имена\ип-адреса, по которым будет производиться подключение

это три

об этом написано в П1 инструкции

этого нихуя не сделано я не вижу

сними галку в виндовом клинте "проверять атрибуты имени и использования у сертификата..."

поотключай шифрование, сжатие, поэкспериментируй


Добавлено через 13 минут
Цитата:
Сообщение от Mr.Torture Посмотреть сообщение
Этот фуллер - админ ресурса.
справедливости ради - один из
и как то похуй мне сегодня, вижу паря борзанул, но как то похуй
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу

Последний раз редактировалось naliman; 12.01.2017 в 13:26. Причина: Добавлено сообщение
naliman вне форума   Вверх
Старый 12.01.2017, 13:27   #15
HOG
Одменестрадор
 
Аватар для HOG
 
Регистрация: 08.03.2006
Адрес: Из лесу, вестимо...
Сообщений: 5,183
Поблагодарили 28 раз(а) в 27 сообщениях
По умолчанию Re: Windows и Kerio IPsec

djskel, как минимум ща я тебя лишу сюда доступа. Охуел?? И похуй твои 60 постов. Теперь послан ты. Кстати, тоже за тупость. Пока - неделя молчания. Если не поумнеешь - блок доступа IP Net 188.43.116.0/24 для начала средствами Cisco systems. Не поможет - 188.43.0.0/16, то есть вообще весь провайдерский блок.

Добавлено через 9 минут
Цитата:
Сообщение от naliman Посмотреть сообщение
вижу паря борзанул, но как то похуй
Ничего. Мне не похуй. Я с похмелья, злой (вчера чачу пили Грузинскую), так что...

Добавлено через 16 минут
Цитата
Сообщение от djskel Посмотреть сообщение
взбешен сегодня
ничего. у тебя неделя чтобы остыть и включить мозги.

Добавлено через 26 минут
Цитата
Сообщение от djskel Посмотреть сообщение
лишит меня форумной учетки с 60 постами? боюсь боюсь.
и хуй бы с тобою, у нас тут более 32 тысяч пользователей за 10 с лишним лет, одним охуевшим меньше - проблем не создаст.

P.S. Разозлил, блять.
__________________
[Для просмотра данной ссылки нужно зарегистрироваться]

керио

Последний раз редактировалось HOG; 12.01.2017 в 13:54. Причина: Добавлено сообщение
HOG вне форума   Вверх
Старый 12.01.2017, 14:05   #16
naliman
особый
 
Аватар для naliman
 
Регистрация: 19.06.2006
Сообщений: 12,683
Поблагодарили 64 раз(а) в 43 сообщениях
По умолчанию Re: Windows и Kerio IPsec

хехехе
чача отличная штука!
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Вверх
Старый 12.01.2017, 14:15   #17
HOG
Одменестрадор
 
Аватар для HOG
 
Регистрация: 08.03.2006
Адрес: Из лесу, вестимо...
Сообщений: 5,183
Поблагодарили 28 раз(а) в 27 сообщениях
По умолчанию Re: Windows и Kerio IPsec

Цитата:
Сообщение от naliman Посмотреть сообщение
чача отличная штука
да, только у нас все закончилось....
__________________
[Для просмотра данной ссылки нужно зарегистрироваться]

керио
HOG вне форума   Вверх
Старый 12.01.2017, 14:44   #18
ua4frr
Песака
 
Аватар для ua4frr
 
Регистрация: 17.01.2008
Адрес: Пенза
Сообщений: 54
Поблагодарили 4 раз(а) в 4 сообщениях
По умолчанию Re: Windows и Kerio IPsec

Цитата
Сообщение от djskel Посмотреть сообщение
по ряду причин не хочу использовать kerio vpn client (ниудобна)
Да вы эстет, коллега, я таки даже не могу представить чем же там плох клиент от керио...и сам стартует как служба и сам поднимает туннель, и вообще все делает сам...при чем если у юзера нет админиских прав, то хер оно (юзер) поднимает соединение...сказка...из под админа все сделал как хоцца и забыл...юзеры варятся сами по себе...

З.Ы. последние посты видел - просто хотелось свое мнение озвучить)))
ua4frr вне форума   Вверх
Старый 12.01.2017, 16:11   #19
naliman
особый
 
Аватар для naliman
 
Регистрация: 19.06.2006
Сообщений: 12,683
Поблагодарили 64 раз(а) в 43 сообщениях
По умолчанию Re: Windows и Kerio IPsec

да это всё понятно, неясна параноя по поводу PPTP
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Вверх
Старый 12.01.2017, 16:27   #20
angel919
Навичёг
 
Регистрация: 24.07.2015
Сообщений: 30
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Windows и Kerio IPsec

Цитата:
Сообщение от naliman Посмотреть сообщение
да это всё понятно, неясна параноя по поводу PPTP
у всех параноя, про нее мы узнает через...... а может и никогда, одной параноей меньше
angel919 вне форума   Вверх
Закрытая тема


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 23:07. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2017, vBulletin Solutions, Inc. Перевод: zCarot

© Kerio-rus.ru
Официальный сайт группы АлисА WWW.ALISA.NET Фонарёвка: всё о фонарях