Форум Kerio-rus  

Вернуться   Форум Kerio-rus > Продукты > Kerio VPN

Важная информация

Ответ
 
Опции темы
Старый 12.09.2017, 16:21   #321
gkozionov
 
Регистрация: 05.09.2017
Сообщений: 6
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата:
Сообщение от EnMan Посмотреть сообщение
gkozionov, покажи

1. Свойства тунеля на Керио всех закладок
2. /ip ipsec peer export
3. /ip ipsec policy export
4. /ip firewall nat export

Но гонять ipsec через yota затея гиблая...
Затея так себе, да, но.. Шел 2017, а интернет в некоторых офисах все еще бывает чем-то вроде дара богов.

Настройки керио: [Для просмотра данной ссылки нужно зарегистрироваться]

/ip ipsec peer
add address=84.52.68.xxx/32 dh-group=modp2048,modp1536 exchange-mode=main-l2tp \
generate-policy=port-override passive=yes secret=xxxxxxx

/ip ipsec policy
add dst-address=10.102.0.0/16 sa-dst-address=84.52.68.xxx sa-src-address=\
0.0.0.0 src-address=192.168.88.0/24 tunnel=yes

/ip firewall nat
add chain=srcnat dst-address=10.102.0.0/16 log=yes src-address=192.168.88.0/24
add action=masquerade chain=srcnat out-interface=lte1
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=\
ether1


Последний раз редактировалось gkozionov; 12.09.2017 в 16:36.
gkozionov вне форума   Ответить с цитированием Вверх
Старый 12.09.2017, 16:44   #322
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,549
Поблагодарили 22 раз(а) в 16 сообщениях
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Приведи настройки proposal к такому виду как на картинке. Политику, созданную руками удали, она должна создаться сама после установки соединения. В peers поправь:

Код:
add address=84.52.68.xxx/32 compatibility-options=skip-peer-id-validation dh-group=modp2048 dpd-interval=disable-dpd enc-algorithm=aes-128 exchange-mode=main-l2tp generate-policy=port-strict passive=yes secret=XXXXXX
После этого кильни конекты ipsec и дай установиться соединению. Убедись что политика создалась. После этого пинг хост за Керио с микротика с интерфейса бриджа или мастер-порта (я хз как у тебя). Версия RouterOS какая?

И покажи еще трафик-рулы на Керио. И еще... Бляха, ну нельзя такие диапазоны использовать в локальных сетях, ну на хера /16 маска то? Посмотри кстати, на IP адрес LTE модема, может он туда попадает
Изображения
Тип файла: png pnmug-09-12-163953.png (14.2 Кб, 25 просмотров)
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Старый 12.09.2017, 16:51   #323
gkozionov
 
Регистрация: 05.09.2017
Сообщений: 6
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата:
Сообщение от EnMan Посмотреть сообщение
Приведи настройки proposal к такому виду как на картинке. Политику, созданную руками удали, она должна создаться сама после установки соединения. В peers поправь:

Код:
add address=84.52.68.xxx/32 compatibility-options=skip-peer-id-validation dh-group=modp2048 dpd-interval=disable-dpd enc-algorithm=aes-128 exchange-mode=main-l2tp generate-policy=port-strict passive=yes secret=XXXXXX
После этого кильни конекты ipsec и дай установиться соединению. Убедись что политика создалась. После этого пинг хост за Керио с микротика с интерфейса бриджа или мастер-порта (я хз как у тебя). Версия RouterOS какая?

И покажи еще трафик-рулы на Керио.
Правила трафика: [Для просмотра данной ссылки нужно зарегистрироваться]

RouterOS 6.35.4

Остальное сейчас сделаю, отпишусь
gkozionov вне форума   Ответить с цитированием Вверх
Старый 12.09.2017, 16:56   #324
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,549
Поблагодарили 22 раз(а) в 16 сообщениях
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от gkozionov Посмотреть сообщение
RouterOS 6.35.4
Обновился бы, там в мае кажется были какие то серьезные изменения в части ipsec, реально правильно все начинает работать. Не помню с какой версии
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Старый 12.09.2017, 17:03   #325
gkozionov
 
Регистрация: 05.09.2017
Сообщений: 6
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата:
Сообщение от EnMan Посмотреть сообщение
Обновился бы, там в мае кажется были какие то серьезные изменения в части ipsec, реально правильно все начинает работать. Не помню с какой версии
Все сделал по совету, пока картина та же - пинг ходит в обе стороны. Трасссировка тоже. Но сетки друг друга не видят

Попробую обновиться, может чего и выйдет
gkozionov вне форума   Ответить с цитированием Вверх
Старый 12.09.2017, 17:04   #326
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,549
Поблагодарили 22 раз(а) в 16 сообщениях
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Доступ сможешь дать на тик?
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Старый 12.09.2017, 17:11   #327
gkozionov
 
Регистрация: 05.09.2017
Сообщений: 6
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата:
Сообщение от EnMan Посмотреть сообщение
Доступ сможешь дать на тик?
Да, сейчас в личку сброшу
gkozionov вне форума   Ответить с цитированием Вверх
Старый 12.09.2017, 17:42   #328
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,549
Поблагодарили 22 раз(а) в 16 сообщениях
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

В общем мешал фасттрак.

1. Метим ipsec
Код:
/ip firewall mangle add action=mark-connection chain=forward comment="Mark IPsec" ipsec-policy=out,ipsec new-connection-mark=ipsec
/ip firewall mangle add action=mark-connection chain=forward comment="Mark IPsec" ipsec-policy=in,ipsec new-connection-mark=ipsec
2. Исключаем его из fasttrack.
Код:
/ip firewall filter add action=fasttrack-connection chain=forward comment=FastTrack connection-mark=!ipsec connection-state=established,related
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Пользователь сказал cпасибо:
naliman (12.09.2017)
Старый 12.09.2017, 17:42   #329
gkozionov
 
Регистрация: 05.09.2017
Сообщений: 6
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

В общем, моя проблема решилась исключительно силами EnMan. Откровенно говоря, мне кажется, что он живое подтверждение наличия среди нас представителей внеземных цивилизаций. Минут за 7-10 решил то, что я трое суток копал и толком не понял.

Для потомков: он исключил трафик IPsec из цепочки forward в правиле для fasttrack и все заработало.
Почему так, я еще не знаю, это какая-то особая уличная магия.
gkozionov вне форума   Ответить с цитированием Вверх
Старый 12.09.2017, 17:54   #330
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,549
Поблагодарили 22 раз(а) в 16 сообщениях
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Если очень кратко, то Fast Track позволяет пакетам имеющим статус Established и Related отправляться к цели без обработки ядром Linux, за счет этого увеличивается производительность маршрутизатора, но когда туда попадают пакеты IPSec начинается вот такая эпидерсия. Поэтому если ваш маршрутизатор Mikrotik может использовать Fast Track и вы его используете (что в общем то и нужно делать, если возможность есть) то трафик IPSec необходимо промаркировать и исключить его из правила fasttrack.

Опыт его не пропьешь, епта.
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Пользователь сказал cпасибо:
naliman (12.09.2017)
Старый 15.11.2017, 16:20   #331
tarelko
 
Регистрация: 24.07.2015
Адрес: Краснодарский край
Сообщений: 2
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

День добрый! И-за фрагментации не получилось подружить Kerio c МТ. Может из-за того что керио за натом. Ну да ладно.

Создал туннель через микротиков и соответственно вижу сети за ними. Но не вижу сеть за прокси-шлюзом керио, котроый находится в одной сети.

Топология

192.168.88.0/24 - ipsec - 192.168.1.0/24 - 192.168.1.2 Шлюз Керио - 192.168.2.0/24

Правила ip firewall nat add chain=srcnat dst-address=192.168.88.0/24 src-address=192.168.2.0/24 и с другой стороны наоборот увы не помогают.

Нашел выход в ip туннеле с ipsec - настроил маршруты - все работает, но как то криво - хочет работает, хочет нет.

Есть ли решение через ipsec туннель?
tarelko вне форума   Ответить с цитированием Вверх
Старый 30.11.2017, 12:22   #332
alkopit
Навичёг
 
Регистрация: 10.07.2015
Адрес: ГрадОбреченный
Сообщений: 38
Поблагодарили 1 раз в 1 сообщении
Лампочка Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от baskislive Посмотреть сообщение
Друзья, кто может написать понятную инструкцию со скринами по похожую на эту, [Для просмотра данной ссылки нужно зарегистрироваться] где микротик будет не пассивным, а активным? готов заплатить.
Поставьте за керио микротик и настройте между микротиками OpenVPN - быстрее и проще жить будет потом. Ну или просто за керио OpenVPN сервер сделайте.
alkopit вне форума   Ответить с цитированием Вверх
Старый 30.11.2017, 12:45   #333
tarelko
 
Регистрация: 24.07.2015
Адрес: Краснодарский край
Сообщений: 2
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Свой вопрос снимаю. Он правда не по теме.

Ответ увы нет - через ipsec-туннель маршрутизация не работает. Настроил gre туннель и ipsec в транспортном режиме.
tarelko вне форума   Ответить с цитированием Вверх
Старый 01.12.2017, 14:41   #334
HOG
Одменестрадор
 
Аватар для HOG
 
Регистрация: 08.03.2006
Адрес: Из лесу, вестимо...
Сообщений: 5,828
Поблагодарили 82 раз(а) в 72 сообщениях
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от baskislive Посмотреть сообщение
готов заплатить.
Цитата
Сообщение от baskislive Посмотреть сообщение
Бюджет обсудим, не обижу.
Здесь решение таких вопросов ЗАПРЕЩЕГО ПРАВИЛАМИ РЕСУРСА! Сообщения удалены. Пользователь предупрежден. ПОКА ПРЕДУПРЕЖДЕН.
__________________
[Для просмотра данной ссылки нужно зарегистрироваться]

керио
HOG вне форума   Ответить с цитированием Вверх
Старый 29.12.2017, 15:52   #335
Nimlock
 
Регистрация: 05.11.2008
Сообщений: 8
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Хочу вставить дополнение, так как я сам столкнулся с вопросом объединения филиалов и не смог найти решения ни на этом форуме, ни где-либо ещё.
Исходные данные: головной офис смотрит в инет через Керио Контрол 9.2.3 и имеет подсеть 192.168.100.0/24. Есть два филиала, оба с белыми IP, используются Микротики. Филиал номер один имеет подсеть 192.168.20.0/24, второй - пять подсетей с основной рабочей 192.168.31.0/26.
Туннели поднялись без проблем, но проверка пингами показала, что из сети головного офиса пингуются только микротики (192.168.20.1 и 192.168.31.1), но не узлы за ними. При этом пинги с узлов филиалов успешно проходили до узлов головного офиса.
Испробовал разные подходы и мне помогло наличие свободного микротика под рукой: в его заводской конфигурации обнаружились два правила фаервола, разрешающие форвардинг ipsec наружу и внутрь. Вот код:
Код:
/ip firewall filter add chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec action=accept
/ip firewall filter add chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec action=accept
Эти правила позволяют отказаться от маркировки соединений по признаку шифрования (см. вкладку Mangle) и добавления исключения в правило Fasttrack - такой совет был ранее в этой ветке. По крайней мере у меня без этого всё прекрасно работает Кстати, указанные правила могут находиться ниже Fasttrack-правила.

Также, как мне кажется, я вывел более масштабное описание правила, которое призвано не использовать NAT (masquerade) для шифрованного трафика, т.е. для трафика между всеми подсетями. Всё из-за второго офиса, где пять подсетей и желания абсолютной видимости между всеми хостами.
Для этого во втором филиале забил все подсети в единый Address list с именем "local networks" и заменил соответствующее правило из статьи на следующее:
Код:
/ip firewall nat add chain=srcnat src-address-list="local networks" ipsec-policy=out,ipsec action=accept comment="Avoid masquerade between networks connected over VPN"
Теперь с этими правилами любой хост любого филиала может прозрачно обратиться к любому хосту во всей рабочей сети. Конечно это увеличивает возможную площадь атаки, скажем шифровальщику, который научится работать с UNC-путями, но и плюсы налицо.

Буду рад "взгляду со стороны" на мой подход, так как допускаю что решение может таить неожиданные проблемы безопасности или надёжности сети.

Последний раз редактировалось Nimlock; 29.12.2017 в 16:00. Причина: дополнение
Nimlock вне форума   Ответить с цитированием Вверх
Старый 10.01.2018, 14:18   #336
Nimlock
 
Регистрация: 05.11.2008
Сообщений: 8
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Практика показала, что маркировать ipsec-соединения в mangle и исключать их из fasttrack всё же необходимо. Без этого изредка появлялась путаница у роутера на какой хост перенаправлять входящее соединение (речь о подключении по удаленному доступу с правилами перенаправления портов). И пытаясь попасть на комп номер 2 подключение шло на номер 1. Однако при этом в соединениях на Микротике почему-то было указано, что я подцепился к ip компа номер 2.
Nimlock вне форума   Ответить с цитированием Вверх
Старый 17.01.2018, 09:46   #337
cyxapuk
Навичёг
 
Регистрация: 22.11.2015
Сообщений: 21
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Люди добрые помогите настроить vpn между керио и микротиком.Все делаю согласно всеми известному мануалу [Для просмотра данной ссылки нужно зарегистрироваться] итоге дохожу до :
После этого туннель на стороне Kerio Control должен перейти в статус «Подключено». В Mikrotik на закладке «Policies» в должна появиться автоматически созданная политика для подсетей, которые указывали при настройке Kerio Control
Ну никак не появляется у меня эта политика. Всевозможные скрины прилагаю.
Изображения
Тип файла: jpg керио.JPG (58.8 Кб, 17 просмотров)
Тип файла: jpg керио1.JPG (85.1 Кб, 14 просмотров)
Тип файла: jpg керио2.JPG (59.3 Кб, 12 просмотров)
Тип файла: png микрот1.PNG (104.3 Кб, 12 просмотров)
Тип файла: png микрот2.PNG (39.6 Кб, 10 просмотров)
Тип файла: png микрот3.PNG (93.3 Кб, 11 просмотров)
Тип файла: jpg микротик.jpg (113.0 Кб, 9 просмотров)
Тип файла: png микрот4.PNG (85.1 Кб, 9 просмотров)
Тип файла: jpg правило.JPG (17.1 Кб, 10 просмотров)
cyxapuk вне форума   Ответить с цитированием Вверх
Старый 17.01.2018, 10:08   #338
Nimlock
 
Регистрация: 05.11.2008
Сообщений: 8
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от cyxapuk Посмотреть сообщение
Ну никак не появляется у меня эта политика.
Как минимум не поставлена галка на aes-128 cbc в свойствах IPsec Proposal. Также некритичное отступление от мануала - в доп.свойствах пира My ID type указано вручную, а не auto и параметр Mode configuration на моём микротике не указан.

Нет скрина с правилами Керио. В них должно быть правило, разрешающее входящий трафик с адреса филиала на брандмауэр по набору служб IPsec services.

Последний раз редактировалось Nimlock; 17.01.2018 в 10:10. Причина: добавил цитату
Nimlock вне форума   Ответить с цитированием Вверх
Старый 17.01.2018, 10:54   #339
cyxapuk
Навичёг
 
Регистрация: 22.11.2015
Сообщений: 21
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Подправил чуть, если все правильно понял.Пока без изменений.
Изображения
Тип файла: png 222.PNG (90.9 Кб, 14 просмотров)
Тип файла: jpg 333.JPG (20.9 Кб, 8 просмотров)
Тип файла: png 1111.PNG (107.8 Кб, 13 просмотров)
cyxapuk вне форума   Ответить с цитированием Вверх
Старый 17.01.2018, 11:00   #340
Nimlock
 
Регистрация: 05.11.2008
Сообщений: 8
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от cyxapuk Посмотреть сообщение
Пока без изменений.
Да, и вот ещё скрин как должно быть.
Изображения
Тип файла: png ipsec proposal.png (27.2 Кб, 32 просмотров)
Nimlock вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 19:11. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях