IPsec туннель между Mikrotik и Kerio Control

[VladOst]

Цитата:

Сообщение от EnMan

Это внутренние подсети локалок

Это внешний адрес Control и внутренний Mikrotik, насколько я понимаю.

Все верно. Если не срастается - приложите скриншоты настроек политики Ipsec из Mikrotik. Настройки туннеля в Kerio Control и объясните какие ваши адреса чему соответствуют.

Приложил к сообщению выше... Практически одновременно с запросом
Керио на статическом IP 77.66.182.ххх, удалённо МикроТик через Йоту. МикроТик инициирует соединение.
И на всякий случай ещё Traceroute от МикроТика до Керио. Вот ещё засада... Этот маршрут прокладывается только когда отключить IPsec-Plicies. Иначе Трасерт затыкается, да и вообще интернет пропадает... А ведь по идее только локалки не должно быть? Я ведь таблицу маршрутизации не трогал АйПисеком...

[EnMan]

VladOst, у вас неверные настройки политик Ipsec. Должно быть:

Src. Address - ваша серая подсеть за Микротик.
Dst. Address - ваша серая подсеть за Control
SA Src. Address - ваш IP с которого Mikrotik устанавливает соединение
SA Dst. Address - внешний адрес Control


И еще одна заковыка. На Yота могут быть проблемы из за нынешних особенностей LTE.

[VladOst]

С горем пополам статус туннеля изменился на Подключен !!! СПАСИБО ГРОМАДНОЕ!!!
Только ни с МикроТика не видно ни Керио ни сеть за Кеио по серым локальным адресам, ни МикроТик нисеть за ним с Керио... Но чувствую, что третья безсонная ночь и коллективный раум сделают невообразимое
Какие бы ещё скрины скинуть, чтобы местные телепаты наставили на путь истинный?
Кстати, тут ктото просил вроде лог успешного соединения.. Вот:

Код:

 
[28/Jun/2013 16:51:40] {charon} charon: 04[NET] received packet: from 188.162.166.59[57585] to 77.66.182.ххх[500]
[28/Jun/2013 16:51:40] {charon} charon: 04[ENC] parsed ID_PROT request 0 [ SA V V ]
[28/Jun/2013 16:51:40] {charon} charon: 04[IKE] received Cisco Unity vendor ID
[28/Jun/2013 16:51:40] {charon} charon: 04[IKE] received DPD vendor ID
[28/Jun/2013 16:51:40] {charon} charon: 04[IKE] 188.162.166.59 is initiating a Main Mode IKE_SA
[28/Jun/2013 16:51:40] {charon} charon: 04[IKE] 188.162.166.59 is initiating a Main Mode IKE_SA
[28/Jun/2013 16:51:40] {charon} charon: 04[ENC] generating ID_PROT response 0 [ SA V V V ]
[28/Jun/2013 16:51:40] {charon} charon: 04[NET] sending packet: from 77.66.182.ххх[500] to 188.162.166.59[57585]
[28/Jun/2013 16:51:41] {charon} charon: 07[NET] received packet: from 188.162.166.59[57585] to 77.66.182.ххх[500]
[28/Jun/2013 16:51:41] {charon} charon: 07[ENC] parsed ID_PROT request 0 [ KE No NAT-D NAT-D ]
[28/Jun/2013 16:51:41] {charon} charon: 07[IKE] trying shared key for '77.66.182.ххх'[(null)] - '%any'[(null)]
[28/Jun/2013 16:51:41] {charon} charon: 07[ENC] generating ID_PROT response 0 [ KE No ]
[28/Jun/2013 16:51:41] {charon} charon: 07[NET] sending packet: from 77.66.182.ххх[500] to 188.162.166.59[57585]
[28/Jun/2013 16:51:41] {charon} charon: 03[NET] received packet: from 188.162.166.59[57585] to 77.66.182.ххх[500]
[28/Jun/2013 16:51:41] {charon} charon: 03[ENC] parsed ID_PROT request 0 [ ID HASH ]
[28/Jun/2013 16:51:41] {charon} charon: 03[CFG] looking for pre-shared key peer configs matching 77.66.182.ххх...188.162.166.59[192.168.88.1]
[28/Jun/2013 16:51:41] {charon} charon: 03[CFG] Including peer config "tunnel_1_1_1_1"
[28/Jun/2013 16:51:41] {charon} charon: 03[CFG] Including peer config "vpnserver_1"
[28/Jun/2013 16:51:41] {charon} charon: 03[CFG] selected peer config "tunnel_1_1_1_1"
[28/Jun/2013 16:51:41] {charon} charon: 03[IKE] IKE_SA tunnel_1_1_1_1[1028] established between 77.66.182.ххх[control.tnt-krasnodar.local]...188.162.166.59[192.168.88.1]
[28/Jun/2013 16:51:41] {charon} charon: 03[IKE] IKE_SA tunnel_1_1_1_1[1028] established between 77.66.182.ххх[control.tnt-krasnodar.local]...188.162.166.59[192.168.88.1]
[28/Jun/2013 16:51:41] {charon} charon: 03[IKE] scheduling reauthentication in 9922s
[28/Jun/2013 16:51:41] {charon} charon: 03[IKE] maximum IKE_SA lifetime 10462s
[28/Jun/2013 16:51:41] {charon} charon: 03[ENC] generating ID_PROT response 0 [ ID HASH ]
[28/Jun/2013 16:51:41] {charon} charon: 03[NET] sending packet: from 77.66.182.ххх[500] to 188.162.166.59[57585]
[28/Jun/2013 16:51:41] {charon} charon: 09[NET] received packet: from 188.162.166.59[57585] to 77.66.182.ххх[500]
[28/Jun/2013 16:51:41] {charon} charon: 09[ENC] parsed QUICK_MODE request 3518461296 [ HASH SA No ID ID ]
[28/Jun/2013 16:51:41] {charon} charon: 09[IKE] received 1800s lifetime, configured 3600s
[28/Jun/2013 16:51:41] {charon} charon: 09[ENC] generating QUICK_MODE response 3518461296 [ HASH SA No ID ID ]
[28/Jun/2013 16:51:41] {charon} charon: 09[NET] sending packet: from 77.66.182.ххх[500] to 188.162.166.59[57585]
[28/Jun/2013 16:51:41] {charon} charon: 05[NET] received packet: from 188.162.166.59[57585] to 77.66.182.ххх[500]
[28/Jun/2013 16:51:41] {charon} charon: 05[ENC] parsed QUICK_MODE request 3518461296 [ HASH ]
[28/Jun/2013 16:51:41] {charon} charon: 05[IKE] CHILD_SA tunnel_1_1_1_1{3} established with SPIs c4957dc5_i 013705ed_o and TS 192.168.2.0/24 === 192.168.88.0/24 
[28/Jun/2013 16:51:42] {charon} charon: 05[IKE] CHILD_SA tunnel_1_1_1_1{3} established with SPIs c4957dc5_i 013705ed_o and TS 192.168.2.0/24 === 192.168.88.0/24 
[28/Jun/2013 16:51:42] {IPsec} reqIdUp: reqId=3, tunnelId=1 (Right subnet: 192.168.88.0/255.255.255.0 via 6)
[28/Jun/2013 16:51:42] {IPsec} Registering new route 192.168.88.0/255.255.255.0 for tunnel 12345
[28/Jun/2013 16:51:42] {IPsec} Touching route 192.168.88.0/255.255.255.0 (via dev: 6)
[28/Jun/2013 16:51:42] {IPsec} Tunnel 1:12345 is up
[28/Jun/2013 16:51:42] {IPsec} Register tunnel 12345
[28/Jun/2013 16:51:42] {IPsec} TunnelsList|thread: Going to sleep for 26s.

[EnMan]

Правило в NAT вы создали? Ну ведь все пошагово практически описано раньше. Разорвите туннель, очистите debug лог в Control, установите туннель, покажите что в debug будет после этого.

Добавлено через 4 часа 6 минут
Тихо сам с собою я веду беседу...

[EnMan]

Цитата:

Сообщение от EnMan

В RouterOS нельзя в настройках IPSec принудительно инициировать VPN туннель

Поправка. Начиная с версии ROS 6.0 и выше для peer есть параметр определяющий пассивный или активный конец на стороне Mikrotik. В случае если значение опции passive=no (значение по умолчанию), то Mikrotik сам инициирует подключение без обнаружения трафика в удаленную подсеть. В GUI этот параметр не установить, его нет. Ни в Winbox ни в веб-морде. Только CLI. Также на версии 6.1 в случае автоматической генерации политик IPsec политики генерируются верно. Но пока не работает как нужно. После поднятия туннеля связь есть только с одним из филиалов за Control и больше ни с чем, нет связи даже с центром.

Если кто решит переползти на 6 версию ROS - имейте ввиду, что изменилось значение некоторых переменных, если вы активно используете скрипты, то есть шанс что они поотваливаются. Вообще пиздатая тактика менять переменные от версии к версии. Заебис я бы сказал. И не забывайте про бэкап до перехода. У меня лично были проблемы после обновления, пришлось резетиться.

[VladOst]

Цитата:

Сообщение от EnMan

Правило в NAT вы создали? Ну ведь все пошагово практически описано раньше. Разорвите туннель, очистите debug лог в Control, установите туннель, покажите что в debug будет после этого.

Добавлено через 4 часа 6 минут
Тихо сам с собою я веду беседу...

Так я ведь дополнил предыдущее сообщение... Вот ещё настройки МТ и KC. И Лог с Керио после разрыва, очищения лога и снова подключения. Внутрений Керио - 192.168.2.2, внешний Керио - 77.66.182.ххх. МикроТик - 192.168.88.1.

Код:

 
[01/Jul/2013 10:35:14] {IPsec} IPsec component is configuring daemons ...
[01/Jul/2013 10:35:14] {IPsec} TunnelsList maintenance start
[01/Jul/2013 10:35:14] {IPsec} Configuring 1 IPsec tunnels.
[01/Jul/2013 10:35:14] {IPsec} Configuring IPsec tunnel '12345' with left subnet count = 2 and right subnet count = 1.
[01/Jul/2013 10:35:14] {IPsec} Tunnel 3:12345 has been created
[01/Jul/2013 10:35:14] {IPsec} reqId 7 has been allocated for tunnel 12345. 192.168.2.0:255.255.255.0 => 192.168.88.0:255.255.255.0
[01/Jul/2013 10:35:14] {IPsec} reqId 8 has been allocated for tunnel 12345. 192.168.10.0:255.255.255.0 => 192.168.88.0:255.255.255.0
[01/Jul/2013 10:35:14] {IPsec} Configuring 0 IPsec passthrough politics.
[01/Jul/2013 10:35:14] {IPsec} TunnelsList maintenance end
[01/Jul/2013 10:35:14] {charon} charon: 15[CFG] received stroke: delete connection 'vpnserver_1'
[01/Jul/2013 10:35:14] {charon} charon: 15[CFG] deleted connection 'vpnserver_1'
[01/Jul/2013 10:35:14] {charon} charon: 09[CFG] received stroke: delete connection 'vpnserver_2'
[01/Jul/2013 10:35:14] {charon} charon: 09[CFG] deleted connection 'vpnserver_2'
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: Reloading config...
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: Loading config setup
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   charondebug=4
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: Loading conn 'vpnserver_1'
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   left=%any
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   right=%any
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   type=transport
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   auto=add
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   ike=aes128-sha1-modp2048,3des-sha1-modp1536
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   esp=aes128-sha1,3des-sha1
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   dpdaction=clear
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   forceencaps=no
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   keyexchange=ikev1
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   maxcertreq=5
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   leftauth=psk
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   rightauth=psk
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: Loading conn 'vpnserver_2'
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   left=%any
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   right=%any
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   type=transport
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   auto=add
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   ike=aes128-sha1-modp2048,3des-sha1-modp1536
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   esp=aes128-sha1,3des-sha1
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   dpdaction=clear
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   forceencaps=no
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   keyexchange=ikev1
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   maxcertreq=5
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   leftcert=89d0dedb-bd91-8046-89c7-c0484de38ba7.crt
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   leftauth=pubkey
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   rightauth=pubkey
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: Loading conn 'tunnel_3_1_1_1'
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   left=%any
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   leftsubnet=192.168.2.0/24
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   leftupdown=/opt/kerio/winroute/bin/ipsecUpdateTunnelStatus.sh
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   right=%any
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   rightsubnet=192.168.88.0/24
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   type=tunnel
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   auto=add
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   reqid=7
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   ike=aes128-sha1-modp2048,3des-sha1-modp1536
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   esp=aes128-sha1,3des-sha1
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   dpdaction=clear
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   forceencaps=no
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   keyingtries=1
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   keyexchange=ikev1
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   leftid=control.tnt-krasnodar.local
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   rightid=192.168.88.1
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   leftauth=psk
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   rightauth=psk
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]: Loading conn 'tunnel_3_2_1_1'
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   left=%any
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   leftsubnet=192.168.10.0/24
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   leftupdown=/opt/kerio/winroute/bin/ipsecUpdateTunnelStatus.sh
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   right=%any
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   rightsubnet=192.168.88.0/24
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   type=tunnel
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   auto=add
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   reqid=8
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   ike=aes128-sha1-modp2048,3des-sha1-modp1536
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   esp=aes128-sha1,3des-sha1
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   dpdaction=clear
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   forceencaps=no
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   keyingtries=1
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   keyexchange=ikev1
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   leftid=control.tnt-krasnodar.local
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   rightid=192.168.88.1
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   leftauth=psk
[01/Jul/2013 10:35:14] {charon} ipsec_starter[1350]:   rightauth=psk
[01/Jul/2013 10:35:14] {charon} charon: 05[CFG] received stroke: add connection 'vpnserver_1'
[01/Jul/2013 10:35:14] {charon} charon: 05[CFG] left nor right host is our side, assuming left=local
[01/Jul/2013 10:35:14] {charon} charon: 05[CFG] added configuration 'vpnserver_1'
[01/Jul/2013 10:35:14] {charon} charon: 01[CFG] received stroke: add connection 'vpnserver_2'
[01/Jul/2013 10:35:14] {charon} charon: 01[CFG] left nor right host is our side, assuming left=local
[01/Jul/2013 10:35:14] {charon} charon: 01[CFG]   loaded certificate "CN=db63d35b-b719-db44-8ff4-e03b3aed56a0, C=US" from '89d0dedb-bd91-8046-89c7-c0484de38ba7.crt'
[01/Jul/2013 10:35:14] {charon} charon: 01[CFG]   id '%any' not confirmed by certificate, defaulting to 'CN=db63d35b-b719-db44-8ff4-e03b3aed56a0, C=US'
[01/Jul/2013 10:35:14] {charon} charon: 01[CFG] added configuration 'vpnserver_2'
[01/Jul/2013 10:35:14] {charon} charon: 03[CFG] received stroke: add connection 'tunnel_3_1_1_1'
[01/Jul/2013 10:35:14] {charon} charon: 03[CFG] left nor right host is our side, assuming left=local
[01/Jul/2013 10:35:14] {charon} charon: 03[CFG] added configuration 'tunnel_3_1_1_1'
[01/Jul/2013 10:35:14] {charon} charon: 09[CFG] received stroke: add connection 'tunnel_3_2_1_1'
[01/Jul/2013 10:35:14] {charon} charon: 09[CFG] left nor right host is our side, assuming left=local
[01/Jul/2013 10:35:14] {charon} charon: 09[CFG] added child to existing configuration 'tunnel_3_1_1_1'
[01/Jul/2013 10:35:15] {charon} charon: 02[CFG] rereading secrets
[01/Jul/2013 10:35:15] {charon} charon: 02[CFG] loading secrets from '/etc/ipsec.secrets'
[01/Jul/2013 10:35:15] {charon} charon: 02[CFG]   loaded IKE secret for %any
[01/Jul/2013 10:35:15] {charon} charon: 02[CFG]   loaded RSA private key from '/etc/ipsec.d/private/89d0dedb-bd91-8046-89c7-c0484de38ba7.key'
[01/Jul/2013 10:35:15] {charon} charon: 02[CFG]   loaded IKE secret for control.tnt-krasnodar.local 192.168.88.1
[01/Jul/2013 10:35:15] {charon} charon: 02[CFG] rereading ca certificates from '/etc/ipsec.d/cacerts'
[01/Jul/2013 10:35:15] {charon} charon: 02[CFG]   loaded ca certificate "CN=92132039-9123-c344-a8c7-04db69bbb93e, C=US" from '/etc/ipsec.d/cacerts/92132039-9123-c344-a8c7-04db69bbb93e.crt'
[01/Jul/2013 10:35:15] {charon} charon: 02[CFG] rereading ocsp signer certificates from '/etc/ipsec.d/ocspcerts'
[01/Jul/2013 10:35:15] {charon} charon: 02[CFG] rereading aa certificates from '/etc/ipsec.d/aacerts'
[01/Jul/2013 10:35:15] {charon} charon: 02[CFG] rereading attribute certificates from '/etc/ipsec.d/acerts'
[01/Jul/2013 10:35:15] {charon} charon: 02[CFG] rereading crls from '/etc/ipsec.d/crls'
[01/Jul/2013 10:35:16] {charon} Ipsec component updated charon's config.
[01/Jul/2013 10:35:16] {IPsec} TunnelsList|thread: Tunnel '12345' is going down. Config changed
[01/Jul/2013 10:35:16] {charon} charon: 05[CFG] received stroke: terminate 'tunnel_3_1_1_1'
[01/Jul/2013 10:35:16] {charon} charon: 05[CFG] no IKE_SA named 'tunnel_3_1_1_1' found
[01/Jul/2013 10:35:16] {IPsec} TunnelsList|thread: 'ipsec down tunnel_3_1_1_1' returned 0
[01/Jul/2013 10:35:16] {IPsec} TunnelsList|thread: Going to sleep for 6s.
[01/Jul/2013 10:35:22] {IPsec} TunnelsList|thread: Going to sleep for 60s.
[01/Jul/2013 10:36:22] {IPsec} TunnelsList|thread: Going to sleep for 60s.
[01/Jul/2013 10:36:27] {charon} charon: 15[NET] received packet: from 188.162.167.43[25660] to 77.66.182.ххх[500]
[01/Jul/2013 10:36:27] {charon} charon: 15[ENC] parsed ID_PROT request 0 [ SA V V ]
[01/Jul/2013 10:36:27] {charon} charon: 15[IKE] received Cisco Unity vendor ID
[01/Jul/2013 10:36:27] {charon} charon: 15[IKE] received DPD vendor ID
[01/Jul/2013 10:36:27] {charon} charon: 15[IKE] 188.162.167.43 is initiating a Main Mode IKE_SA
[01/Jul/2013 10:36:27] {charon} charon: 15[IKE] 188.162.167.43 is initiating a Main Mode IKE_SA
[01/Jul/2013 10:36:27] {charon} charon: 15[ENC] generating ID_PROT response 0 [ SA V V V ]
[01/Jul/2013 10:36:27] {charon} charon: 15[NET] sending packet: from 77.66.182.ххх[500] to 188.162.167.43[25660]
[01/Jul/2013 10:36:27] {charon} charon: 09[NET] received packet: from 188.162.167.43[25660] to 77.66.182.ххх[500]
[01/Jul/2013 10:36:27] {charon} charon: 09[ENC] parsed ID_PROT request 0 [ KE No NAT-D NAT-D ]
[01/Jul/2013 10:36:27] {charon} charon: 09[IKE] trying shared key for '%any'[(null)] - '%any'[(null)]
[01/Jul/2013 10:36:27] {charon} charon: 09[ENC] generating ID_PROT response 0 [ KE No ]
[01/Jul/2013 10:36:27] {charon} charon: 09[NET] sending packet: from 77.66.182.ххх[500] to 188.162.167.43[25660]
[01/Jul/2013 10:36:27] {charon} charon: 07[NET] received packet: from 188.162.167.43[25660] to 77.66.182.ххх[500]
[01/Jul/2013 10:36:27] {charon} charon: 07[ENC] parsed ID_PROT request 0 [ ID HASH ]
[01/Jul/2013 10:36:27] {charon} charon: 07[CFG] looking for pre-shared key peer configs matching 77.66.182.ххх...188.162.167.43[10.0.0.10]
[01/Jul/2013 10:36:27] {charon} charon: 07[CFG] Including peer config "vpnserver_1"
[01/Jul/2013 10:36:27] {charon} charon: 07[CFG] selected peer config "vpnserver_1"
[01/Jul/2013 10:36:27] {charon} charon: 07[IKE] IKE_SA vpnserver_1[1049] established between 77.66.182.ххх[77.66.182.ххх]...188.162.167.43[10.0.0.10]
[01/Jul/2013 10:36:27] {charon} charon: 07[IKE] IKE_SA vpnserver_1[1049] established between 77.66.182.ххх[77.66.182.ххх]...188.162.167.43[10.0.0.10]
[01/Jul/2013 10:36:27] {charon} charon: 07[IKE] scheduling reauthentication in 10021s
[01/Jul/2013 10:36:27] {charon} charon: 07[IKE] maximum IKE_SA lifetime 10561s
[01/Jul/2013 10:36:27] {charon} charon: 07[ENC] generating ID_PROT response 0 [ ID HASH ]
[01/Jul/2013 10:36:27] {charon} charon: 07[NET] sending packet: from 77.66.182.ххх[500] to 188.162.167.43[25660]
[01/Jul/2013 10:36:33] {charon} charon: 06[NET] received packet: from 188.162.167.43[52169] to 77.66.182.ххх[500]
[01/Jul/2013 10:36:33] {charon} charon: 06[ENC] parsed ID_PROT request 0 [ SA V V ]
[01/Jul/2013 10:36:33] {charon} charon: 06[IKE] received Cisco Unity vendor ID
[01/Jul/2013 10:36:33] {charon} charon: 06[IKE] received DPD vendor ID
[01/Jul/2013 10:36:33] {charon} charon: 06[IKE] 188.162.167.43 is initiating a Main Mode IKE_SA
[01/Jul/2013 10:36:33] {charon} charon: 06[IKE] 188.162.167.43 is initiating a Main Mode IKE_SA
[01/Jul/2013 10:36:33] {charon} charon: 06[ENC] generating ID_PROT response 0 [ SA V V V ]
[01/Jul/2013 10:36:33] {charon} charon: 06[NET] sending packet: from 77.66.182.ххх[500] to 188.162.167.43[52169]
[01/Jul/2013 10:36:33] {charon} charon: 05[NET] received packet: from 188.162.167.43[52169] to 77.66.182.ххх[500]
[01/Jul/2013 10:36:33] {charon} charon: 05[ENC] parsed ID_PROT request 0 [ KE No NAT-D NAT-D ]
[01/Jul/2013 10:36:33] {charon} charon: 05[IKE] trying shared key for '77.66.182.ххх'[(null)] - '%any'[(null)]
[01/Jul/2013 10:36:33] {charon} charon: 05[ENC] generating ID_PROT response 0 [ KE No ]
[01/Jul/2013 10:36:33] {charon} charon: 05[NET] sending packet: from 77.66.182.ххх[500] to 188.162.167.43[52169]
[01/Jul/2013 10:36:33] {charon} charon: 04[NET] received packet: from 188.162.167.43[52169] to 77.66.182.ххх[500]
[01/Jul/2013 10:36:33] {charon} charon: 04[ENC] parsed ID_PROT request 0 [ ID HASH ]
[01/Jul/2013 10:36:33] {charon} charon: 04[CFG] looking for pre-shared key peer configs matching 77.66.182.ххх...188.162.167.43[192.168.88.1]
[01/Jul/2013 10:36:33] {charon} charon: 04[CFG] Including peer config "tunnel_3_1_1_1"
[01/Jul/2013 10:36:33] {charon} charon: 04[CFG] Including peer config "vpnserver_1"
[01/Jul/2013 10:36:33] {charon} charon: 04[CFG] selected peer config "tunnel_3_1_1_1"
[01/Jul/2013 10:36:33] {charon} charon: 04[IKE] IKE_SA tunnel_3_1_1_1[1050] established between 77.66.182.ххх[control.tnt-krasnodar.local]...188.162.167.43[192.168.88.1]
[01/Jul/2013 10:36:33] {charon} charon: 04[IKE] IKE_SA tunnel_3_1_1_1[1050] established between 77.66.182.ххх[control.tnt-krasnodar.local]...188.162.167.43[192.168.88.1]
[01/Jul/2013 10:36:33] {charon} charon: 04[IKE] scheduling reauthentication in 10095s
[01/Jul/2013 10:36:33] {charon} charon: 04[IKE] maximum IKE_SA lifetime 10635s
[01/Jul/2013 10:36:33] {charon} charon: 04[ENC] generating ID_PROT response 0 [ ID HASH ]
[01/Jul/2013 10:36:33] {charon} charon: 04[NET] sending packet: from 77.66.182.ххх[500] to 188.162.167.43[52169]
[01/Jul/2013 10:36:34] {charon} charon: 15[NET] received packet: from 188.162.167.43[52169] to 77.66.182.ххх[500]
[01/Jul/2013 10:36:34] {charon} charon: 15[ENC] parsed QUICK_MODE request 3830027004 [ HASH SA No ID ID ]
[01/Jul/2013 10:36:34] {charon} charon: 15[IKE] received 1800s lifetime, configured 3600s
[01/Jul/2013 10:36:34] {charon} charon: 15[ENC] generating QUICK_MODE response 3830027004 [ HASH SA No ID ID ]
[01/Jul/2013 10:36:34] {charon} charon: 15[NET] sending packet: from 77.66.182.ххх[500] to 188.162.167.43[52169]
[01/Jul/2013 10:36:34] {charon} charon: 09[NET] received packet: from 188.162.167.43[52169] to 77.66.182.ххх[500]
[01/Jul/2013 10:36:34] {charon} charon: 09[ENC] parsed QUICK_MODE request 3830027004 [ HASH ]
[01/Jul/2013 10:36:34] {charon} charon: 09[KNL] unable to install source route for 192.168.2.2
[01/Jul/2013 10:36:34] {charon} charon: 09[KNL] unable to install source route for 192.168.2.2
[01/Jul/2013 10:36:34] {charon} charon: 09[IKE] CHILD_SA tunnel_3_1_1_1{7} established with SPIs c9dcff12_i 08a6e79e_o and TS 192.168.2.0/24 === 192.168.88.0/24 
[01/Jul/2013 10:36:34] {charon} charon: 09[IKE] CHILD_SA tunnel_3_1_1_1{7} established with SPIs c9dcff12_i 08a6e79e_o and TS 192.168.2.0/24 === 192.168.88.0/24 
[01/Jul/2013 10:36:34] {IPsec} reqIdUp: reqId=7, tunnelId=3 (Right subnet: 192.168.88.0/255.255.255.0 via 11)
[01/Jul/2013 10:36:34] {IPsec} Registering new route 192.168.88.0/255.255.255.0 for tunnel 12345
[01/Jul/2013 10:36:34] {IPsec} Touching route 192.168.88.0/255.255.255.0 (via dev: 11)
[01/Jul/2013 10:36:34] {IPsec} Adding route 192.168.88.0/255.255.255.0 (via dev: 11) (successfully added)
[01/Jul/2013 10:36:34] {IPsec} Tunnel 3:12345 is up
[01/Jul/2013 10:36:34] {IPsec} Register tunnel 12345
[01/Jul/2013 10:36:34] {IPsec} TunnelsList|thread: Going to sleep for 48s.

Видно в логе, что маршрут добавляется. На принтскрине тоже видно, что маршрут добавлен корректно. Однако, если проложить маршрут с машины Керио до 192.168.88.1 (МикроТик), то он уходит на провайдера МТС.
И ещё, ума не приложу, как правильно маршрут прописать на МикроТике. Там веди как такового Интерфейса не появляется. Что нибудь нужно создавать ещё, или IPsec Policy сам рулит?

[EnMan]

Цитата:

Сообщение от EnMan

Mugg, поднимите правило фаервола из сети за Mikrotik в сеть за Control выше всех. Иначе ваш пакет придет на Control с уже измененным источником и он не сможет его расшифровать, т.к. он не будет совпадать с адресом указанном в политиках IPsec.

У вас его нет вообще. Вы читали как нужно сделать? Точно? Ой ли.

Цитата:

Сообщение от EnMan

Только вот незадача - если со стороны Kerio Control VPN - это, ебать, цельный сетевой интерфейс, то в Mikrotik у нас нету какбэ, куда маршрутить вообще нипаньятна. Поэтому нам нужно правило NAT в RouterOS расположенное раньше всех правил маскарадинга:
Источник (Source) - Серая подсеть за Mikrotik
Назначение (Destination) - Серая подсеть за Control
Действие (Action) - ACCEPT
Суть правила (Chain) - SRCNAT

[VladOst]

Речь об этом правиле (№0), которое я сейчас создал на Микротике? Ну, сути это не изменило... Видно, что пакеты для Керио (192.168.2.2) направляются на провайдера (Йоту). Я просто в МикроТик пока не лез, т.к. из Керио пакеты тоже не туда идут (в прежнем сообщении видно, что в Керио маршрут создан, но пакеты для МикроТика 192.168.88.1 идут на провайдера МТС)... Решил сначала Керио "добить". Ну вот, правило в ROS создал , та же фигня Маршрут от МикроТика что до публичного адреса Керио 77.66.182.ххх, что до "серого" внутреннего его же 192.168.2.2 пытается пойти через провайдера (Йоту в данном случае).
Со стороны Керио та же фигня...

[EnMan]

Патамушта вы ни хуя не читаете, что я вам пишу и судя по всему ни хуя не собираетесь этого делать! Ну сколько можно, блять!

СУРС - ЛОКАЛЬНАЯ СЕТЬ ЗА МИКРОТИКОМ
ДЕСТИНЕЙШЕН - ЛОКАЛЬНАЯ СЕТЬ ЗА КОНТРОЛ

А у вас как? Не с точностью ли до наоборот? Блин, ну вывел, чесслово.

[VladOst]

Я прекрасно понимаю, что всё общение здесь и помощь исключительно на добровольных началах и из благих побуждений, поэтому благодарен Вам в любом случае, не смотря на стиль общения
Может я, конечно, совсем чего не понимаю, но ведь СУРС за Микротиком это и есть 192.168.88.0/24. А Дест локальная за Керио это и есть 192.168.2.0/24. Именно это указано в прежнем скрине... Не?
Я даже усомнился в себе, и поменял местами Дест и Соурс на ROS в Микротеке, но всёравно нихуя не вышло, и пакеты пиздячат на провайдера
Вот топология. Как смог - набросал...

[EnMan]

Да, я олень. Все верно.

Итак по порядку.
1. Скриншот туннеля в состоянии "Подключено" из админконсоли Kerio Control
2. Скриншот настроек туннеля закладок "Удаленные сети", "Локальные сети"
3. Скриншот IPsec Policy после установки туннеля
4. Скриншот Peers
5. Скриншот Installed SAs после установки туннеля
6. Скриншот правил фаервола в NAT
7. Кто инициирует соединение?

Пожалуйста, уберите Detail Mode временно на период снятия скриншотов- не читабельно вообще. Особенно на картинках. Лучше добавьте столбцов.

[EnMan]

Инструкция. Сейчас добавлю третью часть, когда Mikrotik выступает в роли клиента VPN. Если нет возражений - попрошу отцов проекта добавить ее в инструкции на сайте. Время от времени статья будет исправляться.

Добавлена четвертая часть по отказоустойчивости VPN туннелей, некоторые уточнения по правилам фильтра и default proposal.

[VladOst]

Цитата:

Сообщение от EnMan

Да, я олень. Все верно.

Не, Олень - это я, т.к. без помощи не могу разобраться, хотя, чувствую, что какая-то мелочь...
Итак, во вложении скрины свежие. Сегодня ночью мне поменяли адрес внешний Керио с 77.66.182.ххх на 77.66.200.ххх. Прошу это иметь в виду при сравнивании старых и новых данных...

Цитата

Сейчас добавлю третью часть, когда Mikrotik выступает в роли клиента VPN

Ох, как я жду этот материал И, пожалуйста, отобрази в инструкции настройки "Правила Трафика" в ККонтроле.

[EnMan]

Цитата

Сообщение от VladOst

Ох, как я жду этот материал

не понимаю зачем, честно говоря... решение не айс... я имеюю ввиду использование роутера как клиента VPN.

[VladOst]

Ну у меня типичный вариант... В удалённом офисе возможен Интернет ТОЛЬКО через Йоту. Йота не даёт стат. публичные IP (вернее, даёт только юрлицам за нескромные деньги, но в моём случае даже так не получится). Поэтому МикроТику через модем Йоты (10.0.0.1) присваивается внутренний IP 10.0.0.10, а потом пройдя через сеть Йоты я выхожу с публичным IP 188.162.???.??? Во-первых через этот же IP в сети сидит не один десяток таких же, как я Йотовцев, во-вторых даже этот адрес меняется из пула практически после каждого подключения. Т.ч. "достучаться" до МикроТика я вообще никак из Интернета не могу. Могу только инициировать соединение до статичного публичного Керио в головном офисе.

Добавлено через 27 минут

Цитата:

Сообщение от EnMan

Инструкция. Сейчас добавлю третью часть, когда Mikrotik выступает в роли клиента VPN. Если нет возражений - попрошу отцов проекта добавить ее в инструкции на сайте.

На первой странице Инструкции

Удаленные сети: укажите сеть\маску локальной подсети за Control. Например 192.168.88.0/24 "
Вроде там должно быть

Удаленные сети: укажите сеть\маску локальной подсети за Control MikroTik. Например 192.168.88.0/24

[tka]

Цитата:

Сообщение от EnMan

Да, я олень.

Цитата

Сообщение от VladOst

Не, Олень - это я

Вы туннель сверлите или чо???))))))))))))))))
Теперь я здесь алень!!!))))))))))))))))))))))))

[EnMan]

VladOst, да, я ошибся, текст поправил. Добавил третью часть по настройке Mikrotik как клиента Kerio VPN сервера. Проверяйте.

tka, еще пять дней погрызу маны по Mikrotik и я больше не олень. Сцуко, пиздец, можно будет сразу в МГИМО без экзаменов. Более того, на четвертый курс сразу. Это железка, блять, пиздец, для стоумовых.

Эх, давно я не писал такого объема юзергайдов. Вообще получилось заебис. И работа проделана большая. Короче я - молодец.

Добавлено через 9 минут
VladOst, теперь к вашим скриншотам. У вас есть ошибки.

В настройке политики вы в качестве SA Src. Address ставите IP адрес вашего Mikrotik, а должны ставить адрес WAN интерфейса на Mikrotik. Кстати, там можно вбить адрес 0.0.0.0 - это тоже допустимо.
Во вторых, я бы все таки указал локальные сети в настройках туннеля Kerio Control, не отдавал бы на откуп автоматике. Пробуйте.

Хотя с Yota, повторюсь, меня терзают смутные сомнения, что можно что то установить. По крайней мере SIP они захуячивают напрочь. Кстати, да... статику не дают даже юрлицам. Проверено.

[tka]

Цитата:

Сообщение от EnMan

Короче я - молодец.

Ну вот так как-то попривычнее выглядит)))

[EnMan]

Судя по тому, что название темы уже какбэ не отражает сути, тред переименован в "IPsec туннель между Kerio Control и Mikrotik"

[VladOst]

Не... Третью часть я зря ждал... Клиентом через L2TP/IPsec я первым делом соединился совсем без проблем, и понял, что мне туннель нужен
Я ждал вариант, когда туннельное соединение инициируется МикроТиком, а Керио ПАССИВНЫМ концом тоннеля является