![]() |
![]() |
![]() |
#21 | |||
|
![]() ![]() Керио на статическом IP 77.66.182.ххх, удалённо МикроТик через Йоту. МикроТик инициирует соединение. И на всякий случай ещё Traceroute от МикроТика до Керио. Вот ещё засада... Этот маршрут прокладывается только когда отключить IPsec-Plicies. Иначе Трасерт затыкается, да и вообще интернет пропадает... ![]() Последний раз редактировалось VladOst; 28.06.2013 в 15:08. |
|||
![]() |
![]() ![]() |
![]() |
#22 | ||||
Телепат-тугодум
|
![]()
VladOst, у вас неверные настройки политик Ipsec. Должно быть:
Src. Address - ваша серая подсеть за Микротик. Dst. Address - ваша серая подсеть за Control SA Src. Address - ваш IP с которого Mikrotik устанавливает соединение SA Dst. Address - внешний адрес Control И еще одна заковыка. На Yота могут быть проблемы из за нынешних особенностей LTE.
__________________
керио |
||||
![]() |
![]() ![]() |
![]() |
#23 | |||
|
![]()
С горем пополам статус туннеля изменился на Подключен !!!
![]() Только ни с МикроТика не видно ни Керио ни сеть за Кеио по серым локальным адресам, ни МикроТик нисеть за ним с Керио... Но чувствую, что третья безсонная ночь и коллективный раум сделают невообразимое ![]() Какие бы ещё скрины скинуть, чтобы местные телепаты наставили на путь истинный? ![]() Кстати, тут ктото просил вроде лог успешного соединения.. Вот: Код:
[28/Jun/2013 16:51:40] {charon} charon: 04[NET] received packet: from 188.162.166.59[57585] to 77.66.182.ххх[500] [28/Jun/2013 16:51:40] {charon} charon: 04[ENC] parsed ID_PROT request 0 [ SA V V ] [28/Jun/2013 16:51:40] {charon} charon: 04[IKE] received Cisco Unity vendor ID [28/Jun/2013 16:51:40] {charon} charon: 04[IKE] received DPD vendor ID [28/Jun/2013 16:51:40] {charon} charon: 04[IKE] 188.162.166.59 is initiating a Main Mode IKE_SA [28/Jun/2013 16:51:40] {charon} charon: 04[IKE] 188.162.166.59 is initiating a Main Mode IKE_SA [28/Jun/2013 16:51:40] {charon} charon: 04[ENC] generating ID_PROT response 0 [ SA V V V ] [28/Jun/2013 16:51:40] {charon} charon: 04[NET] sending packet: from 77.66.182.ххх[500] to 188.162.166.59[57585] [28/Jun/2013 16:51:41] {charon} charon: 07[NET] received packet: from 188.162.166.59[57585] to 77.66.182.ххх[500] [28/Jun/2013 16:51:41] {charon} charon: 07[ENC] parsed ID_PROT request 0 [ KE No NAT-D NAT-D ] [28/Jun/2013 16:51:41] {charon} charon: 07[IKE] trying shared key for '77.66.182.ххх'[(null)] - '%any'[(null)] [28/Jun/2013 16:51:41] {charon} charon: 07[ENC] generating ID_PROT response 0 [ KE No ] [28/Jun/2013 16:51:41] {charon} charon: 07[NET] sending packet: from 77.66.182.ххх[500] to 188.162.166.59[57585] [28/Jun/2013 16:51:41] {charon} charon: 03[NET] received packet: from 188.162.166.59[57585] to 77.66.182.ххх[500] [28/Jun/2013 16:51:41] {charon} charon: 03[ENC] parsed ID_PROT request 0 [ ID HASH ] [28/Jun/2013 16:51:41] {charon} charon: 03[CFG] looking for pre-shared key peer configs matching 77.66.182.ххх...188.162.166.59[192.168.88.1] [28/Jun/2013 16:51:41] {charon} charon: 03[CFG] Including peer config "tunnel_1_1_1_1" [28/Jun/2013 16:51:41] {charon} charon: 03[CFG] Including peer config "vpnserver_1" [28/Jun/2013 16:51:41] {charon} charon: 03[CFG] selected peer config "tunnel_1_1_1_1" [28/Jun/2013 16:51:41] {charon} charon: 03[IKE] IKE_SA tunnel_1_1_1_1[1028] established between 77.66.182.ххх[control.tnt-krasnodar.local]...188.162.166.59[192.168.88.1] [28/Jun/2013 16:51:41] {charon} charon: 03[IKE] IKE_SA tunnel_1_1_1_1[1028] established between 77.66.182.ххх[control.tnt-krasnodar.local]...188.162.166.59[192.168.88.1] [28/Jun/2013 16:51:41] {charon} charon: 03[IKE] scheduling reauthentication in 9922s [28/Jun/2013 16:51:41] {charon} charon: 03[IKE] maximum IKE_SA lifetime 10462s [28/Jun/2013 16:51:41] {charon} charon: 03[ENC] generating ID_PROT response 0 [ ID HASH ] [28/Jun/2013 16:51:41] {charon} charon: 03[NET] sending packet: from 77.66.182.ххх[500] to 188.162.166.59[57585] [28/Jun/2013 16:51:41] {charon} charon: 09[NET] received packet: from 188.162.166.59[57585] to 77.66.182.ххх[500] [28/Jun/2013 16:51:41] {charon} charon: 09[ENC] parsed QUICK_MODE request 3518461296 [ HASH SA No ID ID ] [28/Jun/2013 16:51:41] {charon} charon: 09[IKE] received 1800s lifetime, configured 3600s [28/Jun/2013 16:51:41] {charon} charon: 09[ENC] generating QUICK_MODE response 3518461296 [ HASH SA No ID ID ] [28/Jun/2013 16:51:41] {charon} charon: 09[NET] sending packet: from 77.66.182.ххх[500] to 188.162.166.59[57585] [28/Jun/2013 16:51:41] {charon} charon: 05[NET] received packet: from 188.162.166.59[57585] to 77.66.182.ххх[500] [28/Jun/2013 16:51:41] {charon} charon: 05[ENC] parsed QUICK_MODE request 3518461296 [ HASH ] [28/Jun/2013 16:51:41] {charon} charon: 05[IKE] CHILD_SA tunnel_1_1_1_1{3} established with SPIs c4957dc5_i 013705ed_o and TS 192.168.2.0/24 === 192.168.88.0/24 [28/Jun/2013 16:51:42] {charon} charon: 05[IKE] CHILD_SA tunnel_1_1_1_1{3} established with SPIs c4957dc5_i 013705ed_o and TS 192.168.2.0/24 === 192.168.88.0/24 [28/Jun/2013 16:51:42] {IPsec} reqIdUp: reqId=3, tunnelId=1 (Right subnet: 192.168.88.0/255.255.255.0 via 6) [28/Jun/2013 16:51:42] {IPsec} Registering new route 192.168.88.0/255.255.255.0 for tunnel 12345 [28/Jun/2013 16:51:42] {IPsec} Touching route 192.168.88.0/255.255.255.0 (via dev: 6) [28/Jun/2013 16:51:42] {IPsec} Tunnel 1:12345 is up [28/Jun/2013 16:51:42] {IPsec} Register tunnel 12345 [28/Jun/2013 16:51:42] {IPsec} TunnelsList|thread: Going to sleep for 26s. |
|||
![]() |
![]() ![]() |
![]() |
#24 | ||||
Телепат-тугодум
|
![]()
Правило в NAT вы создали? Ну ведь все пошагово практически описано раньше. Разорвите туннель, очистите debug лог в Control, установите туннель, покажите что в debug будет после этого.
Добавлено через 4 часа 6 минут Тихо сам с собою я веду беседу...
__________________
керио Последний раз редактировалось EnMan; 28.06.2013 в 19:59. Причина: Добавлено сообщение |
||||
![]() |
![]() ![]() |
![]() |
#25 | ||||
Телепат-тугодум
|
![]() Если кто решит переползти на 6 версию ROS - имейте ввиду, что изменилось значение некоторых переменных, если вы активно используете скрипты, то есть шанс что они поотваливаются. Вообще пиздатая тактика менять переменные от версии к версии. Заебис я бы сказал. И не забывайте про бэкап до перехода. У меня лично были проблемы после обновления, пришлось резетиться.
__________________
керио |
||||
![]() |
![]() ![]() |
![]() |
#26 | |||
|
![]() Код:
[01/Jul/2013 10:35:14] {IPsec} IPsec component is configuring daemons ... [01/Jul/2013 10:35:14] {IPsec} TunnelsList maintenance start [01/Jul/2013 10:35:14] {IPsec} Configuring 1 IPsec tunnels. [01/Jul/2013 10:35:14] {IPsec} Configuring IPsec tunnel '12345' with left subnet count = 2 and right subnet count = 1. [01/Jul/2013 10:35:14] {IPsec} Tunnel 3:12345 has been created [01/Jul/2013 10:35:14] {IPsec} reqId 7 has been allocated for tunnel 12345. 192.168.2.0:255.255.255.0 => 192.168.88.0:255.255.255.0 [01/Jul/2013 10:35:14] {IPsec} reqId 8 has been allocated for tunnel 12345. 192.168.10.0:255.255.255.0 => 192.168.88.0:255.255.255.0 [01/Jul/2013 10:35:14] {IPsec} Configuring 0 IPsec passthrough politics. [01/Jul/2013 10:35:14] {IPsec} TunnelsList maintenance end [01/Jul/2013 10:35:14] {charon} charon: 15[CFG] received stroke: delete connection 'vpnserver_1' [01/Jul/2013 10:35:14] {charon} charon: 15[CFG] deleted connection 'vpnserver_1' [01/Jul/2013 10:35:14] {charon} charon: 09[CFG] received stroke: delete connection 'vpnserver_2' [01/Jul/2013 10:35:14] {charon} charon: 09[CFG] deleted connection 'vpnserver_2' [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: Reloading config... [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: Loading config setup [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: charondebug=4 [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: Loading conn 'vpnserver_1' [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: left=%any [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: right=%any [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: type=transport [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: auto=add [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: ike=aes128-sha1-modp2048,3des-sha1-modp1536 [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: esp=aes128-sha1,3des-sha1 [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: dpdaction=clear [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: forceencaps=no [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: keyexchange=ikev1 [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: maxcertreq=5 [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: leftauth=psk [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: rightauth=psk [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: Loading conn 'vpnserver_2' [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: left=%any [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: right=%any [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: type=transport [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: auto=add [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: ike=aes128-sha1-modp2048,3des-sha1-modp1536 [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: esp=aes128-sha1,3des-sha1 [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: dpdaction=clear [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: forceencaps=no [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: keyexchange=ikev1 [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: maxcertreq=5 [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: leftcert=89d0dedb-bd91-8046-89c7-c0484de38ba7.crt [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: leftauth=pubkey [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: rightauth=pubkey [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: Loading conn 'tunnel_3_1_1_1' [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: left=%any [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: leftsubnet=192.168.2.0/24 [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: leftupdown=/opt/kerio/winroute/bin/ipsecUpdateTunnelStatus.sh [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: right=%any [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: rightsubnet=192.168.88.0/24 [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: type=tunnel [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: auto=add [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: reqid=7 [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: ike=aes128-sha1-modp2048,3des-sha1-modp1536 [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: esp=aes128-sha1,3des-sha1 [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: dpdaction=clear [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: forceencaps=no [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: keyingtries=1 [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: keyexchange=ikev1 [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: leftid=control.tnt-krasnodar.local [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: rightid=192.168.88.1 [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: leftauth=psk [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: rightauth=psk [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: Loading conn 'tunnel_3_2_1_1' [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: left=%any [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: leftsubnet=192.168.10.0/24 [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: leftupdown=/opt/kerio/winroute/bin/ipsecUpdateTunnelStatus.sh [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: right=%any [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: rightsubnet=192.168.88.0/24 [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: type=tunnel [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: auto=add [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: reqid=8 [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: ike=aes128-sha1-modp2048,3des-sha1-modp1536 [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: esp=aes128-sha1,3des-sha1 [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: dpdaction=clear [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: forceencaps=no [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: keyingtries=1 [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: keyexchange=ikev1 [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: leftid=control.tnt-krasnodar.local [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: rightid=192.168.88.1 [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: leftauth=psk [01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: rightauth=psk [01/Jul/2013 10:35:14] {charon} charon: 05[CFG] received stroke: add connection 'vpnserver_1' [01/Jul/2013 10:35:14] {charon} charon: 05[CFG] left nor right host is our side, assuming left=local [01/Jul/2013 10:35:14] {charon} charon: 05[CFG] added configuration 'vpnserver_1' [01/Jul/2013 10:35:14] {charon} charon: 01[CFG] received stroke: add connection 'vpnserver_2' [01/Jul/2013 10:35:14] {charon} charon: 01[CFG] left nor right host is our side, assuming left=local [01/Jul/2013 10:35:14] {charon} charon: 01[CFG] loaded certificate "CN=db63d35b-b719-db44-8ff4-e03b3aed56a0, C=US" from '89d0dedb-bd91-8046-89c7-c0484de38ba7.crt' [01/Jul/2013 10:35:14] {charon} charon: 01[CFG] id '%any' not confirmed by certificate, defaulting to 'CN=db63d35b-b719-db44-8ff4-e03b3aed56a0, C=US' [01/Jul/2013 10:35:14] {charon} charon: 01[CFG] added configuration 'vpnserver_2' [01/Jul/2013 10:35:14] {charon} charon: 03[CFG] received stroke: add connection 'tunnel_3_1_1_1' [01/Jul/2013 10:35:14] {charon} charon: 03[CFG] left nor right host is our side, assuming left=local [01/Jul/2013 10:35:14] {charon} charon: 03[CFG] added configuration 'tunnel_3_1_1_1' [01/Jul/2013 10:35:14] {charon} charon: 09[CFG] received stroke: add connection 'tunnel_3_2_1_1' [01/Jul/2013 10:35:14] {charon} charon: 09[CFG] left nor right host is our side, assuming left=local [01/Jul/2013 10:35:14] {charon} charon: 09[CFG] added child to existing configuration 'tunnel_3_1_1_1' [01/Jul/2013 10:35:15] {charon} charon: 02[CFG] rereading secrets [01/Jul/2013 10:35:15] {charon} charon: 02[CFG] loading secrets from '/etc/ipsec.secrets' [01/Jul/2013 10:35:15] {charon} charon: 02[CFG] loaded IKE secret for %any [01/Jul/2013 10:35:15] {charon} charon: 02[CFG] loaded RSA private key from '/etc/ipsec.d/private/89d0dedb-bd91-8046-89c7-c0484de38ba7.key' [01/Jul/2013 10:35:15] {charon} charon: 02[CFG] loaded IKE secret for control.tnt-krasnodar.local 192.168.88.1 [01/Jul/2013 10:35:15] {charon} charon: 02[CFG] rereading ca certificates from '/etc/ipsec.d/cacerts' [01/Jul/2013 10:35:15] {charon} charon: 02[CFG] loaded ca certificate "CN=92132039-9123-c344-a8c7-04db69bbb93e, C=US" from '/etc/ipsec.d/cacerts/92132039-9123-c344-a8c7-04db69bbb93e.crt' [01/Jul/2013 10:35:15] {charon} charon: 02[CFG] rereading ocsp signer certificates from '/etc/ipsec.d/ocspcerts' [01/Jul/2013 10:35:15] {charon} charon: 02[CFG] rereading aa certificates from '/etc/ipsec.d/aacerts' [01/Jul/2013 10:35:15] {charon} charon: 02[CFG] rereading attribute certificates from '/etc/ipsec.d/acerts' [01/Jul/2013 10:35:15] {charon} charon: 02[CFG] rereading crls from '/etc/ipsec.d/crls' [01/Jul/2013 10:35:16] {charon} Ipsec component updated charon's config. [01/Jul/2013 10:35:16] {IPsec} TunnelsList|thread: Tunnel '12345' is going down. Config changed [01/Jul/2013 10:35:16] {charon} charon: 05[CFG] received stroke: terminate 'tunnel_3_1_1_1' [01/Jul/2013 10:35:16] {charon} charon: 05[CFG] no IKE_SA named 'tunnel_3_1_1_1' found [01/Jul/2013 10:35:16] {IPsec} TunnelsList|thread: 'ipsec down tunnel_3_1_1_1' returned 0 [01/Jul/2013 10:35:16] {IPsec} TunnelsList|thread: Going to sleep for 6s. [01/Jul/2013 10:35:22] {IPsec} TunnelsList|thread: Going to sleep for 60s. [01/Jul/2013 10:36:22] {IPsec} TunnelsList|thread: Going to sleep for 60s. [01/Jul/2013 10:36:27] {charon} charon: 15[NET] received packet: from 188.162.167.43[25660] to 77.66.182.ххх[500] [01/Jul/2013 10:36:27] {charon} charon: 15[ENC] parsed ID_PROT request 0 [ SA V V ] [01/Jul/2013 10:36:27] {charon} charon: 15[IKE] received Cisco Unity vendor ID [01/Jul/2013 10:36:27] {charon} charon: 15[IKE] received DPD vendor ID [01/Jul/2013 10:36:27] {charon} charon: 15[IKE] 188.162.167.43 is initiating a Main Mode IKE_SA [01/Jul/2013 10:36:27] {charon} charon: 15[IKE] 188.162.167.43 is initiating a Main Mode IKE_SA [01/Jul/2013 10:36:27] {charon} charon: 15[ENC] generating ID_PROT response 0 [ SA V V V ] [01/Jul/2013 10:36:27] {charon} charon: 15[NET] sending packet: from 77.66.182.ххх[500] to 188.162.167.43[25660] [01/Jul/2013 10:36:27] {charon} charon: 09[NET] received packet: from 188.162.167.43[25660] to 77.66.182.ххх[500] [01/Jul/2013 10:36:27] {charon} charon: 09[ENC] parsed ID_PROT request 0 [ KE No NAT-D NAT-D ] [01/Jul/2013 10:36:27] {charon} charon: 09[IKE] trying shared key for '%any'[(null)] - '%any'[(null)] [01/Jul/2013 10:36:27] {charon} charon: 09[ENC] generating ID_PROT response 0 [ KE No ] [01/Jul/2013 10:36:27] {charon} charon: 09[NET] sending packet: from 77.66.182.ххх[500] to 188.162.167.43[25660] [01/Jul/2013 10:36:27] {charon} charon: 07[NET] received packet: from 188.162.167.43[25660] to 77.66.182.ххх[500] [01/Jul/2013 10:36:27] {charon} charon: 07[ENC] parsed ID_PROT request 0 [ ID HASH ] [01/Jul/2013 10:36:27] {charon} charon: 07[CFG] looking for pre-shared key peer configs matching 77.66.182.ххх...188.162.167.43[10.0.0.10] [01/Jul/2013 10:36:27] {charon} charon: 07[CFG] Including peer config "vpnserver_1" [01/Jul/2013 10:36:27] {charon} charon: 07[CFG] selected peer config "vpnserver_1" [01/Jul/2013 10:36:27] {charon} charon: 07[IKE] IKE_SA vpnserver_1[1049] established between 77.66.182.ххх[77.66.182.ххх]...188.162.167.43[10.0.0.10] [01/Jul/2013 10:36:27] {charon} charon: 07[IKE] IKE_SA vpnserver_1[1049] established between 77.66.182.ххх[77.66.182.ххх]...188.162.167.43[10.0.0.10] [01/Jul/2013 10:36:27] {charon} charon: 07[IKE] scheduling reauthentication in 10021s [01/Jul/2013 10:36:27] {charon} charon: 07[IKE] maximum IKE_SA lifetime 10561s [01/Jul/2013 10:36:27] {charon} charon: 07[ENC] generating ID_PROT response 0 [ ID HASH ] [01/Jul/2013 10:36:27] {charon} charon: 07[NET] sending packet: from 77.66.182.ххх[500] to 188.162.167.43[25660] [01/Jul/2013 10:36:33] {charon} charon: 06[NET] received packet: from 188.162.167.43[52169] to 77.66.182.ххх[500] [01/Jul/2013 10:36:33] {charon} charon: 06[ENC] parsed ID_PROT request 0 [ SA V V ] [01/Jul/2013 10:36:33] {charon} charon: 06[IKE] received Cisco Unity vendor ID [01/Jul/2013 10:36:33] {charon} charon: 06[IKE] received DPD vendor ID [01/Jul/2013 10:36:33] {charon} charon: 06[IKE] 188.162.167.43 is initiating a Main Mode IKE_SA [01/Jul/2013 10:36:33] {charon} charon: 06[IKE] 188.162.167.43 is initiating a Main Mode IKE_SA [01/Jul/2013 10:36:33] {charon} charon: 06[ENC] generating ID_PROT response 0 [ SA V V V ] [01/Jul/2013 10:36:33] {charon} charon: 06[NET] sending packet: from 77.66.182.ххх[500] to 188.162.167.43[52169] [01/Jul/2013 10:36:33] {charon} charon: 05[NET] received packet: from 188.162.167.43[52169] to 77.66.182.ххх[500] [01/Jul/2013 10:36:33] {charon} charon: 05[ENC] parsed ID_PROT request 0 [ KE No NAT-D NAT-D ] [01/Jul/2013 10:36:33] {charon} charon: 05[IKE] trying shared key for '77.66.182.ххх'[(null)] - '%any'[(null)] [01/Jul/2013 10:36:33] {charon} charon: 05[ENC] generating ID_PROT response 0 [ KE No ] [01/Jul/2013 10:36:33] {charon} charon: 05[NET] sending packet: from 77.66.182.ххх[500] to 188.162.167.43[52169] [01/Jul/2013 10:36:33] {charon} charon: 04[NET] received packet: from 188.162.167.43[52169] to 77.66.182.ххх[500] [01/Jul/2013 10:36:33] {charon} charon: 04[ENC] parsed ID_PROT request 0 [ ID HASH ] [01/Jul/2013 10:36:33] {charon} charon: 04[CFG] looking for pre-shared key peer configs matching 77.66.182.ххх...188.162.167.43[192.168.88.1] [01/Jul/2013 10:36:33] {charon} charon: 04[CFG] Including peer config "tunnel_3_1_1_1" [01/Jul/2013 10:36:33] {charon} charon: 04[CFG] Including peer config "vpnserver_1" [01/Jul/2013 10:36:33] {charon} charon: 04[CFG] selected peer config "tunnel_3_1_1_1" [01/Jul/2013 10:36:33] {charon} charon: 04[IKE] IKE_SA tunnel_3_1_1_1[1050] established between 77.66.182.ххх[control.tnt-krasnodar.local]...188.162.167.43[192.168.88.1] [01/Jul/2013 10:36:33] {charon} charon: 04[IKE] IKE_SA tunnel_3_1_1_1[1050] established between 77.66.182.ххх[control.tnt-krasnodar.local]...188.162.167.43[192.168.88.1] [01/Jul/2013 10:36:33] {charon} charon: 04[IKE] scheduling reauthentication in 10095s [01/Jul/2013 10:36:33] {charon} charon: 04[IKE] maximum IKE_SA lifetime 10635s [01/Jul/2013 10:36:33] {charon} charon: 04[ENC] generating ID_PROT response 0 [ ID HASH ] [01/Jul/2013 10:36:33] {charon} charon: 04[NET] sending packet: from 77.66.182.ххх[500] to 188.162.167.43[52169] [01/Jul/2013 10:36:34] {charon} charon: 15[NET] received packet: from 188.162.167.43[52169] to 77.66.182.ххх[500] [01/Jul/2013 10:36:34] {charon} charon: 15[ENC] parsed QUICK_MODE request 3830027004 [ HASH SA No ID ID ] [01/Jul/2013 10:36:34] {charon} charon: 15[IKE] received 1800s lifetime, configured 3600s [01/Jul/2013 10:36:34] {charon} charon: 15[ENC] generating QUICK_MODE response 3830027004 [ HASH SA No ID ID ] [01/Jul/2013 10:36:34] {charon} charon: 15[NET] sending packet: from 77.66.182.ххх[500] to 188.162.167.43[52169] [01/Jul/2013 10:36:34] {charon} charon: 09[NET] received packet: from 188.162.167.43[52169] to 77.66.182.ххх[500] [01/Jul/2013 10:36:34] {charon} charon: 09[ENC] parsed QUICK_MODE request 3830027004 [ HASH ] [01/Jul/2013 10:36:34] {charon} charon: 09[KNL] unable to install source route for 192.168.2.2 [01/Jul/2013 10:36:34] {charon} charon: 09[KNL] unable to install source route for 192.168.2.2 [01/Jul/2013 10:36:34] {charon} charon: 09[IKE] CHILD_SA tunnel_3_1_1_1{7} established with SPIs c9dcff12_i 08a6e79e_o and TS 192.168.2.0/24 === 192.168.88.0/24 [01/Jul/2013 10:36:34] {charon} charon: 09[IKE] CHILD_SA tunnel_3_1_1_1{7} established with SPIs c9dcff12_i 08a6e79e_o and TS 192.168.2.0/24 === 192.168.88.0/24 [01/Jul/2013 10:36:34] {IPsec} reqIdUp: reqId=7, tunnelId=3 (Right subnet: 192.168.88.0/255.255.255.0 via 11) [01/Jul/2013 10:36:34] {IPsec} Registering new route 192.168.88.0/255.255.255.0 for tunnel 12345 [01/Jul/2013 10:36:34] {IPsec} Touching route 192.168.88.0/255.255.255.0 (via dev: 11) [01/Jul/2013 10:36:34] {IPsec} Adding route 192.168.88.0/255.255.255.0 (via dev: 11) (successfully added) [01/Jul/2013 10:36:34] {IPsec} Tunnel 3:12345 is up [01/Jul/2013 10:36:34] {IPsec} Register tunnel 12345 [01/Jul/2013 10:36:34] {IPsec} TunnelsList|thread: Going to sleep for 48s. И ещё, ума не приложу, как правильно маршрут прописать на МикроТике. Там веди как такового Интерфейса не появляется. Что нибудь нужно создавать ещё, или IPsec Policy сам рулит? Последний раз редактировалось VladOst; 01.07.2013 в 10:15. |
|||
![]() |
![]() ![]() |
![]() |
#27 | ||||
Телепат-тугодум
|
![]()
__________________
керио |
||||
![]() |
![]() ![]() |
![]() |
#28 | |||
|
![]()
Речь об этом правиле (№0), которое я сейчас создал на Микротике? Ну, сути это не изменило... Видно, что пакеты для Керио (192.168.2.2) направляются на провайдера (Йоту). Я просто в МикроТик пока не лез, т.к. из Керио пакеты тоже не туда идут (в прежнем сообщении видно, что в Керио маршрут создан, но пакеты для МикроТика 192.168.88.1 идут на провайдера МТС)... Решил сначала Керио "добить". Ну вот, правило в ROS создал , та же фигня
![]() Со стороны Керио та же фигня... Последний раз редактировалось VladOst; 01.07.2013 в 12:45. |
|||
![]() |
![]() ![]() |
![]() |
#29 | ||||
Телепат-тугодум
|
![]()
Патамушта вы ни хуя не читаете, что я вам пишу и судя по всему ни хуя не собираетесь этого делать! Ну сколько можно, блять!
СУРС - ЛОКАЛЬНАЯ СЕТЬ ЗА МИКРОТИКОМ ДЕСТИНЕЙШЕН - ЛОКАЛЬНАЯ СЕТЬ ЗА КОНТРОЛ А у вас как? Не с точностью ли до наоборот? Блин, ну вывел, чесслово.
__________________
керио |
||||
![]() |
![]() ![]() |
![]() |
#30 | |||
|
![]()
Я прекрасно понимаю, что всё общение здесь и помощь исключительно на добровольных началах и из благих побуждений, поэтому благодарен Вам в любом случае, не смотря на стиль общения
![]() Может я, конечно, совсем чего не понимаю, но ведь СУРС за Микротиком это и есть 192.168.88.0/24. А Дест локальная за Керио это и есть 192.168.2.0/24. Именно это указано в прежнем скрине... Не? Я даже усомнился в себе, и поменял местами Дест и Соурс на ROS в Микротеке, но всёравно нихуя не вышло, и пакеты пиздячат на провайдера ![]() Вот топология. Как смог - набросал... |
|||
![]() |
![]() ![]() |
![]() |
#31 | ||||
Телепат-тугодум
|
![]()
Да, я олень. Все верно.
Итак по порядку. 1. Скриншот туннеля в состоянии "Подключено" из админконсоли Kerio Control 2. Скриншот настроек туннеля закладок "Удаленные сети", "Локальные сети" 3. Скриншот IPsec Policy после установки туннеля 4. Скриншот Peers 5. Скриншот Installed SAs после установки туннеля 6. Скриншот правил фаервола в NAT 7. Кто инициирует соединение? Пожалуйста, уберите Detail Mode временно на период снятия скриншотов- не читабельно вообще. Особенно на картинках. Лучше добавьте столбцов.
__________________
керио |
||||
![]() |
![]() ![]() |
![]() |
#32 | ||||
Телепат-тугодум
|
![]()
Инструкция. Сейчас добавлю третью часть, когда Mikrotik выступает в роли клиента VPN. Если нет возражений - попрошу отцов проекта добавить ее в инструкции на сайте. Время от времени статья будет исправляться.
Добавлена четвертая часть по отказоустойчивости VPN туннелей, некоторые уточнения по правилам фильтра и default proposal.
__________________
керио Последний раз редактировалось EnMan; 09.07.2013 в 15:03. |
||||
![]() |
![]() ![]() |
![]() |
#33 | |||
|
![]() ![]() Итак, во вложении скрины свежие. Сегодня ночью мне поменяли адрес внешний Керио с 77.66.182.ххх на 77.66.200.ххх. Прошу это иметь в виду при сравнивании старых и новых данных... ![]() |
|||
![]() |
![]() ![]() |
![]() |
#34 | ||||
Телепат-тугодум
|
![]()
__________________
керио |
||||
![]() |
![]() ![]() |
![]() |
#35 | |||
|
![]()
Ну у меня типичный вариант... В удалённом офисе возможен Интернет ТОЛЬКО через Йоту. Йота не даёт стат. публичные IP (вернее, даёт только юрлицам за нескромные деньги, но в моём случае даже так не получится). Поэтому МикроТику через модем Йоты (10.0.0.1) присваивается внутренний IP 10.0.0.10, а потом пройдя через сеть Йоты я выхожу с публичным IP 188.162.???.??? Во-первых через этот же IP в сети сидит не один десяток таких же, как я Йотовцев, во-вторых даже этот адрес меняется из пула практически после каждого подключения. Т.ч. "достучаться" до МикроТика я вообще никак из Интернета не могу. Могу только инициировать соединение до статичного публичного Керио в головном офисе.
Добавлено через 27 минут Удаленные сети: укажите сеть\маску локальной подсети за Control. Например 192.168.88.0/24 " Вроде там должно быть Удаленные сети: укажите сеть\маску локальной подсети за Control MikroTik. Например 192.168.88.0/24 Последний раз редактировалось VladOst; 02.07.2013 в 13:14. Причина: Добавлено сообщение |
|||
![]() |
![]() ![]() |
![]() |
#36 | ||||
Пейсатель професеонал
|
![]() Теперь я здесь алень!!!))))))))))))))))))))))))
__________________
Настоящий интеллигент никогда не скажет: "Ё@ вашу мать!", он скажет: "Да я вам в отцы гожусь!". |
||||
![]() |
![]() ![]() |
![]() |
#37 | ||||
Телепат-тугодум
|
![]()
VladOst, да, я ошибся, текст поправил. Добавил третью часть по настройке Mikrotik как клиента Kerio VPN сервера. Проверяйте.
tka, еще пять дней погрызу маны по Mikrotik и я больше не олень. Сцуко, пиздец, можно будет сразу в МГИМО без экзаменов. Более того, на четвертый курс сразу. Это железка, блять, пиздец, для стоумовых. Эх, давно я не писал такого объема юзергайдов. Вообще получилось заебис. И работа проделана большая. Короче я - молодец. Добавлено через 9 минут VladOst, теперь к вашим скриншотам. У вас есть ошибки. В настройке политики вы в качестве SA Src. Address ставите IP адрес вашего Mikrotik, а должны ставить адрес WAN интерфейса на Mikrotik. Кстати, там можно вбить адрес 0.0.0.0 - это тоже допустимо. Во вторых, я бы все таки указал локальные сети в настройках туннеля Kerio Control, не отдавал бы на откуп автоматике. Пробуйте. Хотя с Yota, повторюсь, меня терзают смутные сомнения, что можно что то установить. По крайней мере SIP они захуячивают напрочь. Кстати, да... статику не дают даже юрлицам. Проверено.
__________________
керио Последний раз редактировалось EnMan; 02.07.2013 в 14:50. Причина: Добавлено сообщение |
||||
![]() |
![]() ![]() |
![]() |
#38 | ||||
Пейсатель професеонал
|
![]()
__________________
Настоящий интеллигент никогда не скажет: "Ё@ вашу мать!", он скажет: "Да я вам в отцы гожусь!". |
||||
![]() |
![]() ![]() |
![]() |
#39 | ||||
Телепат-тугодум
|
![]()
Судя по тому, что название темы уже какбэ не отражает сути, тред переименован в "IPsec туннель между Kerio Control и Mikrotik"
__________________
керио |
||||
![]() |
![]() ![]() |
![]() |
#40 | |||
|
![]()
Не... Третью часть я зря ждал... Клиентом через L2TP/IPsec я первым делом соединился совсем без проблем, и понял, что мне туннель нужен
![]() Я ждал вариант, когда туннельное соединение инициируется МикроТиком, а Керио ПАССИВНЫМ концом тоннеля является |
|||
![]() |
![]() ![]() |
© Kerio-rus.ru |
![]() ![]() |