IPsec туннель между Mikrotik и Kerio Control

[Axizdkr]

c керио взялся, в таблице маршрутизации имеется.
если не хочешь ошибку эту в логе видеть можешь добавить политику такую же как уже есть на микротике только 192.168.10.0/24 замени на 10.253.110.0/24
будет две политики, одна нужная, другая нет, но зато ошибок не будет.
для чего там у тебя на керио 10.253.110.0 не знаю )

[Privet_Andrey]

Цитата

Сообщение от Axizdkr

c керио взялся, в таблице маршрутизации имеется.
если не хочешь ошибку эту в логе видеть можешь добавить политику такую же как уже есть на микротике только 192.168.10.0/24 замени на 10.253.110.0/24
будет две политики, одна нужная, другая нет, но зато ошибок не будет.
для чего там у тебя на керио 10.253.110.0 не знаю )

Прописал я маршрут, соединение моментально поднялось без ошибок.
Но скажите мне, почему не ходит трафик между сетями?

[Axizdkr]

ip route сделайте скрин на микротике
ip - firewall - connettions
[Для просмотра данной ссылки нужно зарегистрироваться] - добавьте колонки, затем фильтр src. address - адрес керио скрин, затем dst.address и снова адрес керио снова скрин.

[Privet_Andrey]

Цитата

Сообщение от Axizdkr

ip route сделайте скрин на микротике
ip - firewall - connettions
[Для просмотра данной ссылки нужно зарегистрироваться] - добавьте колонки, затем фильтр src. address - адрес керио скрин, затем dst.address и снова адрес керио снова скрин.

[Для просмотра данной ссылки нужно зарегистрироваться] Картинка не открылась, но на сколько я понял, надо было в connections отсортировать по dst и src address по ip kerio.
В Dst. Address адреса kerio не было

[Axizdkr]

не вижу ни одного косяка. может с утра когда встану мысли в кучу соберутся, пока вроде всё так как и должно быть.

[EnMan]

Цитата

Сообщение от Axizdkr

о этому мануалу лучше делать, всё кроме политик, в политиках автор налажал где только мог

Нука-нука. Это где это налажал? Весь во внимании.

Добавлено через 6 минут

Цитата

Сообщение от Axizdkr

level в policy в unique иначе туннель отпадать будет, инструкция на хабре корявая, к сожалению, по ней не работает всё как надо

Ах воначе... Ну а кроме "если не так, то будет ая-яй" более развернуто можете? Ну т.е. вы понимаете что именно делает настройка level = unique в настройка политик? Или просто методом тыка заработало и вы решили, что нужно именно так?

[Privet_Andrey]

EnMan, на вас одна надежда.
[Для просмотра данной ссылки нужно зарегистрироваться] Соединение устанавливается, но трафик между локальными сетями не ходит. Подскажите где проблема

[EnMan]

Цитата

Сообщение от Axizdkr

если не хочешь ошибку эту в логе видеть можешь добавить политику такую же как уже есть на микротике только 192.168.10.0/24 замени на 10.253.110.0/24
будет две политики, одна нужная, другая нет, но зато ошибок не будет.

Это потрясающе )))

Добавлено через 1 минуту
Privet_Andrey, смотри ЛС

Добавлено через 28 минут
Хотя даже невооруженным глазом проблему то видно и по скриншотам. ))))

[Privet_Andrey]

Цитата:

Сообщение от EnMan

Хотя даже невооруженным глазом проблему то видно и по скриншотам. ))))

Видел сообщение, [тут enman почикал текст, патамушта нуивонахуй].
А что видно по скриншотам?

[EnMan]

Андрей, я скинул тебе номер, постучи в viber или whatsup> что бы мы тут чат не устраивали.

Добавлено через 9 минут
Блин, сижу F5 жмакаю как дурак ))) Нужна помощь то, или как?

[Privet_Andrey]

Все заработало. Судя по всему было много ошибок, но как он написал, основная проблема была в не выбранной галочке в удаленных сетях в Керио.
EnMan, спасибо

[Axizdkr]

Цитата:

Сообщение от EnMan

Ах воначе... Ну а кроме "если не так, то будет ая-яй" более развернуто можете? Ну т.е. вы понимаете что именно делает настройка level = unique в настройка политик? Или просто методом тыка заработало и вы решили, что нужно именно так?

Можно и объяснить, а надо? По другому не работает. Вы сами можете легко прочитать разницу между require и unique и понять что использовать в связки с керио нужно второе
Да к слову, в этой теме месяца 2 что-ли назад я Вас просил это объяснить, Вы просто проигнорили, а теперь со своими нука нука.

Цитата

Сообщение от Privet_Andrey

Все заработало. Судя по всему было много ошибок, но как он написал, основная проблема была в не выбранной галочке в удаленных сетях в Керио.

как я писал по галочкам в керио я не силён ))

[EnMan]

Цитата

Сообщение от Axizdkr

Можно и объяснить, а надо?

Да, надо, т.к. пол беды что вы свято в это верите, беда в том, что вы это с таким апломбом несете в массы, так скажем.

Цитата

Сообщение от Axizdkr

По другому не работает.

Охуенная логика )))и главное это многое объясняет в подходе.

Цитата

Сообщение от Axizdkr

Вы сами можете легко прочитать разницу между require и unique и понять что использовать в связки с керио нужно второе

Юноша, если я вам на пальцах докажу на примере вашей рабочей системы,что вы не правы? Не хотите попробовать?

Цитата

Сообщение от Axizdkr

как я писал по галочкам в керио я не силён ))

Абассацца.

Цитата

Сообщение от Axizdkr

Да к слову, в этой теме месяца 2 что-ли назад я Вас просил это объяснить, Вы просто проигнорили, а теперь со своими нука нука.

Ну что же грешен, да. В последнее время я был тут редким гостем. Только вам это не дает оснований никаких ровным счетом считать, что в рабочих и совершенно правильных настройках лажа.

Я слегка в заботах, через часа полтора я буду возле компьютера и объясню более развернуто.

[EnMan]

Вчера не дошли руки, пишу сегодня. Что же делает и для чего применяется параметр политик level=unique?

Установка значения в unique заставляет маршрутизатор создать новую пару SAs, если он обнаруживает трафик в подсеть для которой этих ассоциаций еще не существует. Другими словами, если у вас простая схема и один туннель Site-To-Site с Mikrotik и с значением параметра require трафик между подсетями не ходит (даже если тунель формально установился) или туннель не поднимается, значит ищите ошибку в настройках и это - без вариантов! Но!

Это совершенно не означает, что параметр level=uniquie нельзя использовать или не нужно. Это отличный, годный параметр! Те, кто читал мою статью на хабре, конечно же помнят ебанутый костыль с агрегацией подсетей маской, когда нужно получить доступ к VPN сетям за Керио с сети за Микротиком? Кто не помнит - вот картинка.



Проблема была в том, что при отправке трафика в удаленные сети Микротик не умеет правильно подобрать ассоциации и начинает использовать их в порядке одному ему известному, как бог на душу положит - ясен хуй, что ничего не работает, вернее работает с одной единственной подсетью. Так вот в этом случае, установка параметра level=unique полностью проблему решает и все будет работать без костылей с агрегацией подсетей за Микротиком маской подсети.

Это то, что касается параметра level=unique.

Теперь позвольте пару слов без протокола, чему на учит семья и школа? (с) Глобально проблема связки mikrotik и kerio в том, что продукты Kerio Control скучные и не интересные, они всегда работают как автомат Калашникова безотказно и мы разучились думать. Поэтому когда на сцену выходит тот же Микрот, который, сука, требует минимального понимания how it works - начинается хождение по граблям. Потому что здесь уже мало как обезьяна делать по картинкам. Нужно минимальное понимание процесса. Вам может повезти и у вас и по картинкам взлетит , но если не взлетело, то не нужно тыкать во все кнопки в ожидании чудес, попробуйте думать ширше (ширее т.е.). В противном случае, если вы натыкаете себе счастья наугад и не будете понимать почему так работает, а по другому нет, то я вангую вам однозначный фейл в дальнейшем, когда что-то минимально меняется, все ложится перекурить и вы начинаете рвать волосы на уже взмыленной заднице с нулевым зачастую результатом . И естественно это происходит когда это все уже запущено в продакшен и на этом уже выстроены какие то бизнес-процессы. Вот тогда начинается настоящее веселье.

Вот поэтому, когда я читаю что то типа "автор налажал где только мог" за авторством человека, который дает советы при ошибке в дебаг логе ipsec создать "неправильные политики" что бы ошибок не было, я блять, чешусь в самых неприличных местах. Это вот просто за гранью добра и зла, Axizdkr. Ты только не вздумай обижаться комарад. Просто подумай о том, что я написал.

[Axizdkr]

я написал если Вы не заметили немного по другому. Я написал что Вы налажали в политиках и это действительно так, потому что микротик даже с одной подсеткой не работает в режиме require стабильно в связкеи с керио, с зикселем например работает. Ну а костыли Ваши это уже следствие от неправильного выбора.
И я не писал что статья плохая, сам на примере её пытался настроить ipsec но когда оно переставало работать после первого же чиха пришлось потратить время и понять что же не так.
Т.е. как бы убрав все Ваши эмоции выходит как-то так: Да я был неправ, не подумал головой написал лажу, потому что надо думать ширше.
Вместо этого начинаете писать охинею.
Про советы с ipsec, это правильные политики, просто в данном случае они не нужны, зато лог чистый, а он вот не поверите, должен быть чистым, на то он и лог, на микротике эти записи о том что нет соответствующей политики на сеть, которую закидывает керио на него забьют весь лог, и когда я через сутки зайду посмотреть а чё было, увижу только эти дурацкие записи, городить пересылку логов куда-либо тоже не всегда хочется.
и да таки, просто подумай о том что я написал.

[EnMan]

Цитата

Сообщение от Axizdkr

Я написал что Вы налажали в политиках и это действительно так, потому что микротик даже с одной подсеткой не работает в режиме require стабильно

Uptime первого же туннеля на который взглянул в мониторинге за год - 99,1107% Это стабильно или нет? Туннелей в разных вариациях около сорока.

Цитата

Сообщение от Axizdkr

Про советы с ipsec, это правильные политики, просто в данном случае они не нужны, зато лог чистый, а он вот не поверите, должен быть чистым, на то он и лог, на микротике эти записи о том что нет соответствующей политики на сеть, которую закидывает керио на него забьют весь лог, и когда я через сутки зайду посмотреть а чё было, увижу только эти дурацкие записи, городить пересылку логов куда-либо тоже не всегда хочется.

Ох, блять... болять мои крылья. Ты нормальный? У тебя ошибка, ты вместо того, что бы ее искать - ее маскируешь. Ты забудь про "подумай", тебе думать похоже нечем.

[Axizdkr]

ну да, переходим на личности, кому тут думать нечем после этого?
да мне вот вообще положить на аптайм твоего тунеля, писал раньше напишу ещё раз, трафик с микротика за керио перестаёт идти после пропадания интернета, после отключения тунеля, после сброса соединений, после всего чего угодно. проверял минимум 10 раз на разных прошивках, не работает оно, идёт ли при этом трафик со стороны керио или нет мне абсолютно не интересно.

[EnMan]

Цитата

Сообщение от Axizdkr

ну да, переходим на личности, кому тут думать нечем после этого?

Тебе, друг мой, тебе Что до перехода на личности, ну извини, тут иногда шлют на хер, такова селяви. Так что я еще любя, в надежде перевоспитать, так сказать.

Цитата

Сообщение от Axizdkr

да мне вот вообще положить на аптайм твоего тунеля

Я потеряю сон теперь.

Цитата

Сообщение от Axizdkr

трафик с микротика за керио перестаёт идти после пропадания интернета, после отключения тунеля, после сброса соединений, после всего чего угодно. проверял минимум 10 раз на разных прошивках, не работает оно, идёт ли при этом трафик со стороны керио или нет мне абсолютно не интересно.

Еще раз обращаю внимание, что не работает у тебя. Причин в этом может быть огромное кол-во, особенно в свете умения решать проблемы добавлением политик, что бы в лог не срало. Для чего именно используется параметр "unique" я объяснил, как мне кажется, более чем популярно (ждал пока это ты объяснишь, но не дождался). Ты можешь спроецировать мое объяснение на свою ситуацию и подумать почему именно в твоем случае туннель не стабилен, а можешь продолжать упираться рогом и рассказывать, что ты Дартаньян.

Ну и справедливости ради могу стресс-тест прямо сейчас устроить. Ты говоришь что я должен сделать, что бы положить туннель, который работает с параметром отличным от unique и если это произойдет - сниму шляпу и признаю себя идиотом, ебашим? В доказательство сниму видео с экрана и выложу сюда.

[Axizdkr]

мне достаточно было нажать flush connetions в микротике, и пинг переставал идти, местами навсегда, местами почему-то через час снова появлялся на 5 минут и снова пропадал.
сколько не пытаюсь твоё типа объяснение приложить к моей ситуации, не понимаю, да и понимать там скорее всего нечего, что можно настроить неправильно.
всё примитивно, политики и адреса, есть ошибка тунель вообще не встанет, нет ошибок всё будет работать за исключение того самого req.
Попробуй для убедительности привести пример что там можно настроить неправильно, что бы тунель поднялся, ошибок в логе не было, но он бы сам падал, ты ж типа знаешь how it works...

[EnMan]

Цитата

Сообщение от Axizdkr

мне достаточно было нажать flush connetions в микротике, и пинг переставал идти, местами навсегда, местами почему-то через час снова появлялся на 5 минут и снова пропадал.

Для примера взят тот самый туннель с 99% аптайма, на который тебе какбэ похуй

[Для просмотра данной ссылки нужно зарегистрироваться]

Цитата

Сообщение от Axizdkr

сколько не пытаюсь твоё типа объяснение приложить к моей ситуации, не понимаю, да и понимать там скорее всего нечего, что можно настроить неправильно.

Это хуево, что не понимаешь. Разбираться с этим нет никакого желания, учитывая тон нашей милой беседы. Помогать можно тем, кто умеет слушать. Это как минимум.

Цитата

Сообщение от Axizdkr

Попробуй для убедительности привести пример что там можно настроить неправильно, что бы тунель поднялся, ошибок в логе не было, но он бы сам падал, ты ж типа знаешь how it works...

Еще одна неумелая попытка меня тролить и я тебя забаню для начала на недельку, утомил уже, коллега.

Объясню в который раз, использовать параметр "unique" вместо "req" - можно, это не ошибка, это но-рма-льно! Более того, это более универсально что ли. Но! Если у тебя без этого не работает (читай - по мнению маршрутизатора нет годных SA на ту секунду когда трафик твой пропал между подсетями (в случае с unique будет создана новая пара SA, а в случае с req - ты сосешь сасангу со связью между подсетями)) то это причина для разбирательств (на мой взгляд), если не хотите разобраться - да ради бога, а не причина сказать, что "req" использовать не правильно или не нужно и тем более сказать, что "креатив гавно, автор мудак". Я утрирую, конечно, но суть не меняется. Работает у тебя с unique? Все хорошо? Так и заебис, тебе же никто не говорит, что так нельзя и что ты налажал?

Я спросил в чем лажа - ты не ответил ровным счетом ни хуя кроме банального "у меня не работает". А у меня вот работает. см. видео. Ариведерчи.