Форум Kerio-rus  

Вернуться   Форум Kerio-rus > Продукты > Kerio VPN

Ответ
 
Опции темы
Старый 12.09.2017, 16:21   #321
gkozionov
 
Регистрация: 05.09.2017
Сообщений: 6
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата:
Сообщение от EnMan Посмотреть сообщение
gkozionov, покажи

1. Свойства тунеля на Керио всех закладок
2. /ip ipsec peer export
3. /ip ipsec policy export
4. /ip firewall nat export

Но гонять ipsec через yota затея гиблая...
Затея так себе, да, но.. Шел 2017, а интернет в некоторых офисах все еще бывает чем-то вроде дара богов.

Настройки керио: [Для просмотра данной ссылки нужно зарегистрироваться]

/ip ipsec peer
add address=84.52.68.xxx/32 dh-group=modp2048,modp1536 exchange-mode=main-l2tp \
generate-policy=port-override passive=yes secret=xxxxxxx

/ip ipsec policy
add dst-address=10.102.0.0/16 sa-dst-address=84.52.68.xxx sa-src-address=\
0.0.0.0 src-address=192.168.88.0/24 tunnel=yes

/ip firewall nat
add chain=srcnat dst-address=10.102.0.0/16 log=yes src-address=192.168.88.0/24
add action=masquerade chain=srcnat out-interface=lte1
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=\
ether1


Последний раз редактировалось gkozionov; 12.09.2017 в 16:36.
gkozionov вне форума   Ответить с цитированием Вверх
Старый 12.09.2017, 16:44   #322
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,536
Поблагодарили 21 раз(а) в 15 сообщениях
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Приведи настройки proposal к такому виду как на картинке. Политику, созданную руками удали, она должна создаться сама после установки соединения. В peers поправь:

Код:
add address=84.52.68.xxx/32 compatibility-options=skip-peer-id-validation dh-group=modp2048 dpd-interval=disable-dpd enc-algorithm=aes-128 exchange-mode=main-l2tp generate-policy=port-strict passive=yes secret=XXXXXX
После этого кильни конекты ipsec и дай установиться соединению. Убедись что политика создалась. После этого пинг хост за Керио с микротика с интерфейса бриджа или мастер-порта (я хз как у тебя). Версия RouterOS какая?

И покажи еще трафик-рулы на Керио. И еще... Бляха, ну нельзя такие диапазоны использовать в локальных сетях, ну на хера /16 маска то? Посмотри кстати, на IP адрес LTE модема, может он туда попадает
Изображения
Тип файла: png pnmug-09-12-163953.png (14.2 Кб, 3 просмотров)
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Старый 12.09.2017, 16:51   #323
gkozionov
 
Регистрация: 05.09.2017
Сообщений: 6
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата:
Сообщение от EnMan Посмотреть сообщение
Приведи настройки proposal к такому виду как на картинке. Политику, созданную руками удали, она должна создаться сама после установки соединения. В peers поправь:

Код:
add address=84.52.68.xxx/32 compatibility-options=skip-peer-id-validation dh-group=modp2048 dpd-interval=disable-dpd enc-algorithm=aes-128 exchange-mode=main-l2tp generate-policy=port-strict passive=yes secret=XXXXXX
После этого кильни конекты ipsec и дай установиться соединению. Убедись что политика создалась. После этого пинг хост за Керио с микротика с интерфейса бриджа или мастер-порта (я хз как у тебя). Версия RouterOS какая?

И покажи еще трафик-рулы на Керио.
Правила трафика: [Для просмотра данной ссылки нужно зарегистрироваться]

RouterOS 6.35.4

Остальное сейчас сделаю, отпишусь
gkozionov вне форума   Ответить с цитированием Вверх
Старый 12.09.2017, 16:56   #324
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,536
Поблагодарили 21 раз(а) в 15 сообщениях
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от gkozionov Посмотреть сообщение
RouterOS 6.35.4
Обновился бы, там в мае кажется были какие то серьезные изменения в части ipsec, реально правильно все начинает работать. Не помню с какой версии
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Старый 12.09.2017, 17:03   #325
gkozionov
 
Регистрация: 05.09.2017
Сообщений: 6
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата:
Сообщение от EnMan Посмотреть сообщение
Обновился бы, там в мае кажется были какие то серьезные изменения в части ipsec, реально правильно все начинает работать. Не помню с какой версии
Все сделал по совету, пока картина та же - пинг ходит в обе стороны. Трасссировка тоже. Но сетки друг друга не видят

Попробую обновиться, может чего и выйдет
gkozionov вне форума   Ответить с цитированием Вверх
Старый 12.09.2017, 17:04   #326
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,536
Поблагодарили 21 раз(а) в 15 сообщениях
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Доступ сможешь дать на тик?
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Старый 12.09.2017, 17:11   #327
gkozionov
 
Регистрация: 05.09.2017
Сообщений: 6
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата:
Сообщение от EnMan Посмотреть сообщение
Доступ сможешь дать на тик?
Да, сейчас в личку сброшу
gkozionov вне форума   Ответить с цитированием Вверх
Старый 12.09.2017, 17:42   #328
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,536
Поблагодарили 21 раз(а) в 15 сообщениях
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

В общем мешал фасттрак.

1. Метим ipsec
Код:
/ip firewall mangle add action=mark-connection chain=forward comment="Mark IPsec" ipsec-policy=out,ipsec new-connection-mark=ipsec
/ip firewall mangle add action=mark-connection chain=forward comment="Mark IPsec" ipsec-policy=in,ipsec new-connection-mark=ipsec
2. Исключаем его из fasttrack.
Код:
/ip firewall filter add action=fasttrack-connection chain=forward comment=FastTrack connection-mark=!ipsec connection-state=established,related
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Пользователь сказал cпасибо:
naliman (12.09.2017)
Старый 12.09.2017, 17:42   #329
gkozionov
 
Регистрация: 05.09.2017
Сообщений: 6
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

В общем, моя проблема решилась исключительно силами EnMan. Откровенно говоря, мне кажется, что он живое подтверждение наличия среди нас представителей внеземных цивилизаций. Минут за 7-10 решил то, что я трое суток копал и толком не понял.

Для потомков: он исключил трафик IPsec из цепочки forward в правиле для fasttrack и все заработало.
Почему так, я еще не знаю, это какая-то особая уличная магия.
gkozionov вне форума   Ответить с цитированием Вверх
Старый 12.09.2017, 17:54   #330
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,536
Поблагодарили 21 раз(а) в 15 сообщениях
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Если очень кратко, то Fast Track позволяет пакетам имеющим статус Established и Related отправляться к цели без обработки ядром Linux, за счет этого увеличивается производительность маршрутизатора, но когда туда попадают пакеты IPSec начинается вот такая эпидерсия. Поэтому если ваш маршрутизатор Mikrotik может использовать Fast Track и вы его используете (что в общем то и нужно делать, если возможность есть) то трафик IPSec необходимо промаркировать и исключить его из правила fasttrack.

Опыт его не пропьешь, епта.
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Пользователь сказал cпасибо:
naliman (12.09.2017)
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 20:08. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2017, vBulletin Solutions, Inc. Перевод: zCarot

© Kerio-rus.ru
Официальный сайт группы АлисА WWW.ALISA.NET Фонарёвка: всё о фонарях