IPsec туннель между Mikrotik и Kerio Control

[EnMan]

Если вы внимательно прочтете все что я вам писал, а не через строку, то все должно получиться. Все мои эксперименты начинались именно с этого, я пишу вам, что не верно на скриншотах вы даже не говорите исправили или нет. Туннель работает в обе стороны и автоматическим и с ручным созданием политик ipsec. У вас в них ошибка, в предыдущем сообщении я вам на них указал. Отбивает желание помогать, если честно.

[VladOst]

Прочитал ВСЁ внимательно. Раз 5 уже ресетил Микротик и настраивал с нуля. Фигня... Проблема не в том, что туннель не устанавливается. В том то и дело, что он устанавливается! Но проблема в том, что Трасерты с самой машины Керио идут не в туннель, а в сеть провайдера. С самого Микротика Трасерауты тоже идут не в туннель, а на провайдера. Не смотря на то, что в таблице маршрутизации в Керио после установки туннеля появляется корректный маршрут в сеть Микротика. И на Микротике, естественно, правило НАТ создано первым (до маскарадингов). Т.ч. здесь не проблема создания туннеля. Скорее всего я гдето не поставил в Керио НАТ на какоето соединение, например...
Ещё раз повторюсь, что туннель подключается, в Керио он активен, в Микротеке появляются Installed SA в оба конца. Remote Peers есть в таблице.
Вот сейчас ещё раз просмотрел Таблицу маршрутизации в Керио после установки туннеля... (Вложение) Интересно, а почему метрика туннелю присваивается такая большая? У соединения с Керио-VPN-клиентом (192.168.10.0/24) метрика 0, а на туннель 10! Это при том, что дефолтный маршрут с метрикой 1... Естественно, пакет для туннеля 192.168.88.1 уйдёт на провайдера (интерфейс МТС, метрика 1), а не в интерфейс туннеля (метрика 10)...
EnMan, если ещё остались силы со мной общаться, можно попросить
1. скрин таблицы маршрутизации с Керио после установки туннеля
2. Трасерт с самого Керио до Микротика (192.168.88.1)
3. Правила трафика из Керио (все, естественно, без последних цифр, нужна последовательность и НАТ где какой)

[EnMan]

Цитата

Сообщение от VladOst

В том то и дело, что он устанавливается!

Когда вы поймете, что ЭТОГО МАЛО. Если ваши пакеты уходят в провайдера, значит у вас НЕ ПРАВИЛЬНЫЕ политики IPsec!

Цитата

Сообщение от VladOst

Не смотря на то, что в таблице маршрутизации в Керио после установки туннеля появляется корректный маршрут в сеть Микротика.

ЭТОГО МАЛО. Нужно чтобы SAs которым шифрует Kerio расшифровывался аналогичным в Mikrotik. Иначе ваши пакеты будут ОТБРОШЕНЫ!

Цитата

Сообщение от VladOst

Ещё раз повторюсь, что туннель подключается, в Керио он активен, в Микротеке появляются Installed SA в оба конца.

Повторяю - ЭТОГО МАЛО.

Цитата

Сообщение от VladOst

Естественно, пакет для туннеля 192.168.88.1 уйдёт на провайдера (интерфейс МТС, метрика 1)

Пусть метерика будет ХОТЬ МИЛЛИАРД. Если есть маршрут для пакета - он пойдет в маршрут. Метрика играет роль при наличии ОДИНАКОВЫХ МАРШРУТОВ.

Цитата

Сообщение от VladOst

EnMan, если ещё остались силы со мной общаться, можно попросить

Почти не осталось.

Цитата

Сообщение от VladOst

1. скрин таблицы маршрутизации с Керио после установки туннеля

блеать....

В общем мое предложение такое. В ЛС связь, желательно skype. Тимвьювер до хоста с открытой админконсолью Control и Winbox.

[VladOst]

Цитата:

Сообщение от EnMan

В ЛС связь, желательно skype

Даже надеяться не мог на такое предложение инфа отправлена в ЛС

[EnMan]

Как и ожидалось на починку ушло не больше минуты

[VladOst]

EnMan, СПАСИБО ГРОМАДНОЕ за помощь!!!
Всё срослось, сети видны в обе стороны.
Как я понял, основная проблема была в том, что (если что, поправьте )
1. в IPsec Policy в SA Src нужно было указать 0.0.0.0, а не серый WAN роутера
2. Активировать NAT Traversal в Peer
3. Ну, и Уважаемый EnMan ещё в Керио в Локальных сетях Туннеля прописал принудительно сеть за Керио (но я сейчас экспериментирую, с "автоматическим" присваиванием тоже работает, но потом для работы всё-таки пропишу вручную принудительно)
Ещё раз СПАСИБО!
PS Да, и ещё... Даже сейчас если трасертить с самого Керио до Микротика, то по прежнему пакеты идут на провайдера А вот если с сети ЗА Керио в сеть ЗА Микротиком, то всё работает через туннель. Возможно, это тоже меня сбивало с толку долгое время

[EnMan]

Цитата

Сообщение от VladOst

1. в IPsec Policy в SA Src нужно было указать 0.0.0.0, а не серый WAN роутера

Можно и серый WAN

Цитата

Сообщение от VladOst

2. Активировать NAT Traversal в Peer

Да, и это описано в статье. У вас провайдерский NAT.

Цитата

Сообщение от VladOst

PS Да, и ещё... Даже сейчас если трасертить с самого Керио до Микротика, то по прежнему пакеты идут на провайдера

Посмотрите с какого интерфейса они уходят . Поэтому и на провайдера... Все практически есть в моей статье. И ICMP нужно пускать не с ISP интерфейса, а с бриджа.

[EnMan]

Цитата

Сообщение от nickolasm

перечитав весь пост, и pdf с инструкцией в точности по инструкции настроил. (керио пассивный микротик инициатор)

В статье моей только с точностью до наоборот. Микротик принимает подключение, Control их инициирует. Я могу не помнить, но кажется в случае если схема с установкой соединения микротиком, то политики придется ручками делать.

1. Настройки туннеля в Control покажите
2. Результат выполнения команды в терминале "ip ipsec peer export" покажите

[nickolasm]

спасибо! пока читал и думал, нашел ошибку и все запахало. надо было в политиках указывать подсетку за микротиком которая отлична от 10.0.0.10 (192.168...)
как указал - все поднялось и запахало. все пингуется в обе стороны.
Единственное, IP камера еле еле веб морду открывает по тунелю, хотя и там и там минимум 3мб/с инет
Может где то что то надо еще прописывать? почему так медленно?

[EnMan]

надо выкинуть yota

[EnMan]

потрите сообщение с дебаг логом

[nickolasm]

Короче толку с yota практически 0 в моем случае. Пришел домой - все уже отвалилось. ничего не менялось - никакие настройки, ничего (поменялся только внешний yota вский ip)(но он в настройках нигде не фигурирует) - и все. та же петрушка. peer установлен, а тунель в керио не поднят. ничего не пашет

кстати интересно, почему обычный kerio vpn client в тот же момент пашет по этой yota как часы (да он даже через мобильник пашет), а этот ipsec сколько не ебись никакой надежности. хоть прямо там тачку с керио ставь...

[EnMan]

покажите настройки тунеля в керио

[nickolasm]

Цитата:

Сообщение от EnMan

покажите настройки тунеля в керио

т.е. по факту соединение по протоколу IKE есть а по ipsec nat-t не может он поднять

кстати а в политиках на микротике надо что то указывать в полях src port и dst port в general?

[EnMan]

Отдаленный ID - %any, что бы ниебла смена адреса на yota
и покажите - ip ipsec peer export с микротика

Блин, ну прячьте вы внешние адреса... Я вас не просто так debug log просил потереть,, замулевали бы что ли.

Цитата

Сообщение от nickolasm

кстати а в политиках на микротике надо что то указывать в полях src port и dst port в general?

политики создаются автоматически?

[nickolasm]

Цитата:

Сообщение от EnMan

Отдаленный ID - %any, что бы ниебла смена адреса на yota
и покажите - ip ipsec peer export с микротика

Блин, ну прячьте вы внешние адреса... Я вас не просто так debug log просил потереть,, замулевали бы что ли.

политики создаются автоматически?

за ночь сам опять поднялся...
Отдаленный ID - %any - керио не позволяет - ругается, что мол при пассивном подключении нельзя указывать.
политики автоматически не создаются.


... при загрузке терминала выдает

nov/06/2013 18:05:34 ipsec,warning,critical failed to begin ipsec sa negotiation.
nov/06/2013 18:06:34 ipsec,warning,critical failed to begin ipsec sa negotiation.
nov/06/2013 18:07:34 ipsec,warning,critical failed to begin ipsec sa negotiation.
nov/06/2013 18:09:09 ipsec,warning,critical failed to begin ipsec sa negotiation.
nov/06/2013 18:10:09 ipsec,warning,critical failed to begin ipsec sa negotiation.
nov/06/2013 18:11:02 ipsec,warning,critical failed to begin ipsec sa negotiation.
nov/06/2013 18:12:06 ipsec,warning,critical failed to begin ipsec sa negotiation.

...
ip ipsec peer export

[admin@unisi.ru (812)-929-8183] > ip ipsec peer export
# nov/07/2013 09:28:44 by RouterOS 6.5
# software id = KKDQ-LN7Q
#
/ip ipsec peer
add address=46.47.249.ххх/32 dh-group=modp1536 dpd-maximum-failures=12 \
exchange-mode=main-l2tp generate-policy=port-override hash-algorithm=sha1 \
nat-traversal=yes secret=хххххххххххх
[admin@unisi.ru (812)-929-8183] >

кстати по скорости -
закачка на сеть за микротиком примерно 400kb/s, скачка от туда 150kb/s

при том что speedtest.net и если качать что то из инета показывает там где микротик 20mb/s - закачка 3mb/s - отдача

(головной офис подключен кабелем и там стабильно 3-4 mb/s туда сюда)

еще интересно - походу он каждый раз, когда меняется внешний пытается пересоздать Sa -

[ZHainbay]

Добрый день. уважаемые гуру.
Прошу помощи.
Соеденил микротик (rb 750 v6.6) с керио (contol 8.01 ) по мануалу EnMan.
Связь есть в оба конца. Сети друг друга видят. И вроде бы все прекрасно,
Но пропадает свзяь примерно через 30-60 минут. И не восстанавливается, пока либо не вкл выл ip ipsec peer либо тунль в керио.

Подключение по ipsec активно. Наружний ip микротика пингуется.

Пожалуйста пните в каком направлении искать.

[EnMan]

Вообще я обратил внимание на такое поведение, да. Оно засыпает при отсутствии активности. Причин не выявил. Решил добавлением мониторинга VPN каналов, который раз в пять минут проверяет доступность VPN пингом на серый адрес из одного филиала в другой. И все живет. Костыль, да.

[ZHainbay]

Цитата:

Сообщение от EnMan

Вообще я обратил внимание на такое поведение, да. Оно засыпает при отсутствии активности. Причин не выявил. Решил добавлением мониторинга VPN каналов, который раз в пять минут проверяет доступность VPN пингом на серый адрес из одного филиала в другой. И все живет. Костыль, да.

я канал нагружаю в это время. постояный пинг
постоянная передача по этому каналу

[ZHainbay]

после 2х дней мозгоаотаке ничего умнее чем каждые 30 минут выключать и включать peer не придумал.
1 % потерь, но все же как-то работает теперь.
Думаю еще обновить керио до 8.2 и поменять саму железку микротик.