Форум Kerio-rus

Вернуться   Форум Kerio-rus > Продукты > Kerio VPN

Важная информация

Ответ
 
Опции темы
Старый 07.10.2014, 16:10   #101
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,586
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

RT987, да добавьте вы через гуй L2TP клиента. Ну емае... Не обязательно же CLI использовать. Синтаксис мог и поменяться
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Старый 07.10.2014, 21:56   #102
RT987
 
Аватар для RT987
 
Регистрация: 08.07.2014
Сообщений: 6
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

EnMan, Да конечно в этом нет проблемы, интерфейс был добавлен через гуи, просто думаю обо всём другом, совместимо ли, не изменили ли значения других переменных по умолчанию? Понимаю Ваш гнев и недовольство в обсосанной теме с подробной инструкцией.

Содержимое данной ветки было прочитано и изучено несколько раз. При связке Kerio с Mikrotik по VPN я столкнулся с серьезной проблемой. На решение которой ушла ни одна бессонная ночь. Пробовал по вашей инструкции все варианты подключения, все подключения работают.

Сеть за Kerio видит сеть за Mikrotik
Сеть за Mikrotik видит другие сети VPN в сети Kerio
Но сеть за Mikrotik никак не хочет видеть сеть за Kerio
Вот я и думаю в чем может быть проблема? Отметаю по очереди разные варианты.
RT987 вне форума   Ответить с цитированием Вверх
Старый 22.10.2014, 10:37   #103
nickolasm
Песака
 
Аватар для nickolasm
 
Регистрация: 11.05.2006
Адрес: Санкт-петербург
Сообщений: 80
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

А давайте усложним задачу, подскажите пожалуйста,

а. 192.168.6.0 (керио 8)
б. 192.168.3.0 (микротик)

и допустим

с. 192.168.1.0 (керио впн клиент)

--
Сетки а. и б. связаны VPN каналом, все хосты пингуются между собой и видят друг друга (основная сетка - где впн сервак керио - а.) адрес впн 172.26.211.1

Есть керио VPN клиенты (например из сетки 192.168.1.0), извне, которые конектятся к сетке а., получают IP из впн сетки 172.26.211.0, после чего начинают видеть всю сетку а.

--
Задача
Надо сделать так чтоб эти клиенты извне видели не только сетку а. но и сетку б.

--
Как что и где прописать?
nickolasm вне форума   Ответить с цитированием Вверх
Старый 22.10.2014, 11:01   #104
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,586
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от nickolasm Посмотреть сообщение
А давайте усложним задачу, подскажите пожалуйста,

а. 192.168.6.0 (керио 8)
б. 192.168.3.0 (микротик)

и допустим

с. 192.168.1.0 (керио впн клиент)

--
Сетки а. и б. связаны VPN каналом, все хосты пингуются между собой и видят друг друга (основная сетка - где впн сервак керио - а.) адрес впн 172.26.211.1

Есть керио VPN клиенты (например из сетки 192.168.1.0), извне, которые конектятся к сетке а., получают IP из впн сетки 172.26.211.0, после чего начинают видеть всю сетку а.

--
Задача
Надо сделать так чтоб эти клиенты извне видели не только сетку а. но и сетку б.

--
Как что и где прописать?
На Control создаете правило VPN клиенты - к подсети Микротик - разрешить - NAT через локальный интерфейс Control.

Есть более охуенный варианты без ната, но поебаться придется так сильно что мама не горюй. И рассказывать лениво ))
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Старый 22.10.2014, 11:18   #105
nickolasm
Песака
 
Аватар для nickolasm
 
Регистрация: 11.05.2006
Адрес: Санкт-петербург
Сообщений: 80
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата:
Сообщение от EnMan Посмотреть сообщение
На Control создаете правило VPN клиенты - к подсети Микротик - разрешить - NAT через локальный интерфейс Control.

Есть более охуенный варианты без ната, но поебаться придется так сильно что мама не горюй. И рассказывать лениво ))
Добавил - не пашет

Изображения
Тип файла: jpg rules.jpg (73.9 Кб, 40 просмотров)
nickolasm вне форума   Ответить с цитированием Вверх
Старый 28.10.2014, 10:35   #106
andy.su
 
Аватар для andy.su
 
Регистрация: 28.10.2014
Сообщений: 1
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Коллеги, подскажите!

Есть туннель ipsec между керио и микротиком, в результате которого на микротике генерится 3 policies на локальные подсети керио
172.27.156.0/24
192.168.0.0/24
192.168.1.0/24

Вот здесь люди пишут [Для просмотра данной ссылки нужно зарегистрироваться]
что микротик будет видеть и пинговать только последнюю подсеть из сгенерированных т.е. 172.27.156.0/24, что и происходит, а мне нужна подсеть только 192.168.0.0/24 и на керио на вкладке локальные сети есть только 192.168.0.0/24, подскажите что можно сделать, чтобы я мог пинговать подсеть 192.168.0.0/24 ??
andy.su вне форума   Ответить с цитированием Вверх
Старый 30.10.2014, 08:52   #107
stn26
 
Аватар для stn26
 
Регистрация: 28.03.2008
Сообщений: 1
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от andy.su Посмотреть сообщение
Коллеги, подскажите!

Есть туннель ipsec между керио и микротиком, в результате которого на микротике генерится 3 policies на локальные подсети керио
172.27.156.0/24
192.168.0.0/24
192.168.1.0/24

Вот здесь люди пишут [Для просмотра данной ссылки нужно зарегистрироваться]
что микротик будет видеть и пинговать только последнюю подсеть из сгенерированных т.е. 172.27.156.0/24, что и происходит, а мне нужна подсеть только 192.168.0.0/24 и на керио на вкладке локальные сети есть только 192.168.0.0/24, подскажите что можно сделать, чтобы я мог пинговать подсеть 192.168.0.0/24 ??
В твоем случае, думаю что в керио, в настройках моста (локальные сети), достаточно будет убрать галочку "Использовать автоматически определенные локальные сети" и прописать ручками нужную.


Но вопрос все же оставляю открытым. Ибо требуется доступ к нескольким подсетям.
stn26 вне форума   Ответить с цитированием Вверх
Старый 11.02.2015, 10:41   #108
dednapas
 
Аватар для dednapas
 
Регистрация: 10.02.2015
Сообщений: 1
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Добрый день. уважаемые гуру.
Прошу помощи.
Соеденил микротик (rb 751G-2HnD v6.26) с керио (8.4.2 build 2869 ) по мануалу EnMan.
Связь есть в оба конца. Сети друг друга видят. И вроде бы все прекрасно,
Но пропадает свзь примерно через 45 минут. И не восстанавливается, пока либо не вкл выл ip ipsec peer либо тунель в керио. После reboot проходят несколько пакетов до устройств за Mikrotik, после поднятия тунеля пинг пропадает, вкл выл ip ipsec peer, появляется все заново. Заметил еще одну особенность ночью работает примерно 10 часов.

Подключение по ipsec активно. Наружний ip микротика пингуется.
dednapas вне форума   Ответить с цитированием Вверх
Старый 11.02.2015, 12:41   #109
ZHainbay
Навичёг
 
Аватар для ZHainbay
 
Регистрация: 12.11.2007
Сообщений: 21
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от dednapas Посмотреть сообщение
Добрый день. уважаемые гуру.
Прошу помощи.
Соеденил микротик (rb 751G-2HnD v6.26) с керио (8.4.2 build 2869 ) по мануалу EnMan.
Связь есть в оба конца. Сети друг друга видят. И вроде бы все прекрасно,
Но пропадает свзь примерно через 45 минут. И не восстанавливается, пока либо не вкл выл ip ipsec peer либо тунель в керио. После reboot проходят несколько пакетов до устройств за Mikrotik, после поднятия тунеля пинг пропадает, вкл выл ip ipsec peer, появляется все заново. Заметил еще одну особенность ночью работает примерно 10 часов.

Подключение по ipsec активно. Наружний ip микротика пингуется.
1. поиграться с MTU
2. попробуй постоянный пинг до mikrotika (смешно , но мне только это помогло )
ZHainbay вне форума   Ответить с цитированием Вверх
Старый 24.03.2015, 08:40   #110
bazuev
 
Аватар для bazuev
 
Регистрация: 24.03.2015
Сообщений: 4
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Подскажите, почему может не прописываться маршрут в керио? соединение установлено, сеть за микротик пингуется - а обратно никак. в Керио в таблице маршрутов нет сети за микротик. Настраивал полностью по этой теме
bazuev вне форума   Ответить с цитированием Вверх
Старый 24.03.2015, 09:11   #111
Loader
Навичёг
 
Аватар для Loader
 
Регистрация: 21.04.2009
Сообщений: 29
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Ковыряй настройки маршрутизации керио, вернее правила отвечающие за связь между VPN и сетью керио.
Loader вне форума   Ответить с цитированием Вверх
Старый 24.03.2015, 11:53   #112
bazuev
 
Аватар для bazuev
 
Регистрация: 24.03.2015
Сообщений: 4
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от Loader Посмотреть сообщение
Ковыряй настройки маршрутизации керио, вернее правила отвечающие за связь между VPN и сетью керио.
что именно ковырять? перерыл все - пинги в сеть за микротик идут, но только с собственно керио, из локальной сети маршрутизация уходит в провайдера. а из микротика и вовсе в керио пинг идет только до внешнего айпи
bazuev вне форума   Ответить с цитированием Вверх
Старый 24.03.2015, 12:08   #113
Loader
Навичёг
 
Аватар для Loader
 
Регистрация: 21.04.2009
Сообщений: 29
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Небольшой экскурс в понимание протокола. Каждый узел сети знает только о своих соседях и все остальные пакеты перенаправляет на основной шлюз. Для того чтобы это изменить и применяются настройки маршрутизации "Routes", работающие по правилу "если IP такой-то с маской подсети такой-то то направлять пакеты на такой-то адрес".
Соответственно в керио должен быть прописан маршрут "если IP подсети микротика то пакеты толкать в VPN" и в микротике должен быть прописан маршрут "если IP подсети керио то пакеты толкать в VPN"
Loader вне форума   Ответить с цитированием Вверх
Старый 24.03.2015, 12:44   #114
bazuev
 
Аватар для bazuev
 
Регистрация: 24.03.2015
Сообщений: 4
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от Loader Посмотреть сообщение
Небольшой экскурс в понимание протокола. Каждый узел сети знает только о своих соседях и все остальные пакеты перенаправляет на основной шлюз. Для того чтобы это изменить и применяются настройки маршрутизации "Routes", работающие по правилу "если IP такой-то с маской подсети такой-то то направлять пакеты на такой-то адрес".
Соответственно в керио должен быть прописан маршрут "если IP подсети микротика то пакеты толкать в VPN" и в микротике должен быть прописан маршрут "если IP подсети керио то пакеты толкать в VPN"
вот вся проблема в том, что керио в качестве интерфейса не даст указать VPN при создании статического маршрута, а микротик и вовсе не считает туннель интерфейсом
bazuev вне форума   Ответить с цитированием Вверх
Старый 24.03.2015, 13:34   #115
bazuev
 
Аватар для bazuev
 
Регистрация: 24.03.2015
Сообщений: 4
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата [24/Mar/2015 17:24:02] {IPsec} Registering new route 10.26.0.0/255.255.255.0 for tunnel Имятуннеля
[24/Mar/2015 17:24:02] {IPsec} Touching route 10.26.0.0/255.255.255.0 (via dev: 17)
в дебаге вот такое - якобы маршрут создан..
bazuev вне форума   Ответить с цитированием Вверх
Старый 30.03.2015, 11:40   #116
blackhorse
 
Аватар для blackhorse
 
Регистрация: 29.03.2015
Сообщений: 1
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Добрый день!
Болшое спасибое EnMan за ман - все получилось настроить. Отдельное спасибо за выделенную жирным строку в доке про пинг через bridge-local...

Но после настройки осталась задача отправить отдельный трафик в связке VPN Mikrotik (Active)-Kerio (Passive) из сети за Mikrotik в интернет через узел Kerio, а не напрямую через Mikrotik. Пробую добавить в Mikrotike статический Route со шлюзом Kerio, но роут не работает, т.к. система говорит, что host Kerio unreacheable... пинги ходят прекрасно, трафик офис-удаленный офис идет в обе стороны нормально.
Вопрос - что я делаю не так?

PS: очень уж на каждой машине не хочется писать правила роутинга... хочет на микротике сразу и для всех...
blackhorse вне форума   Ответить с цитированием Вверх
Старый 31.03.2015, 21:28   #117
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,586
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

blackhorse, чувак, ну маркировать нужно пакеты и делать отдельный маршрут с роутинг марками. Как то так.

За ман пожалуйста, к сожалению не доходят руки добавить еще одну схему подключения в которой не требуется агрегации подсетей за контролом в одну. Реально некогда. Но я обещаю, скоро будет, я скоро в отпуск, там напишу.
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Старый 16.04.2015, 14:45   #118
BashOrgRu
 
Аватар для BashOrgRu
 
Регистрация: 29.05.2011
Сообщений: 1
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Добрый день! Участники форума и уважаемый EnMan, не оставьте в беде! Есть Mikrotik RB951g с мегафон-модемом ("серый" динамический IP) и [Для просмотра данной ссылки нужно зарегистрироваться] со статикой. Необходимо подключиться к компу "за" микротиком. Пробовал организовывать IPSec VPN по здешним гайдам и инструкции к нетгиру - безрезультатно. Подскажите, в каком направлении копать? Может, использовать другой тип VPN'а?
BashOrgRu вне форума   Ответить с цитированием Вверх
Старый 16.04.2015, 15:21   #119
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,586
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

BashOrgRu, копать в сторону нормальных каналов связи. Не получится у вас из поебени сделать не поебень. Ну такова жизнь просто. Причем тут Kerio только...
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Старый 16.04.2015, 21:02   #120
MagiC
 
Аватар для MagiC
 
Регистрация: 10.03.2006
Адрес: Москва
Сообщений: 4
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Привет!
Есть Керио последней версии 8.5.2 с двумя интернет-интерфейсами в режиме балансировки и MikroTik 2011 RouterOS 6.27 с одним интерфейсом, у всех реальные ip-адреса.
На микротике соответственно созданы два пассивных Peer - один для первого ip керио, второй для второго, с идентичными настройками. Политика генерируется автоматически на обоих (port override). Туннель ipsec работает, все ок, подсети за керио и за микротиком видят друг друга.
На микротике видно, что туннель устанавливается c ip первого интерфейса Керио.
Если на Керио отключить этот первый интерфейс, то туннель переинициируется с ip второго интерфейса, пинги между подсетями достаточно быстро восстанавливаются.
Однако через небольшой промежуток времени (в пределах минуты) пинги между подсетями пропадают, при этом керио показывает что туннель жив, на микротике в Installed SAs тоже все есть, однако в Polices автоматически сгенерированная политика исчезла... Видимо это и есть причина проблемы.
После включения первого интерфейса Керио и отключения второго все восстанавливается. Затем второй включаешь и тоже все ок.

Как думаете, в чем может быть причина пропадания политики в Policies через некоторое время после отключения первого интерфейса Керио?

Последний раз редактировалось MagiC; 16.04.2015 в 21:15. Причина: исправление опечаток
MagiC вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 21:52. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2019, vBulletin Solutions Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях