Форум Kerio-rus

Вернуться   Форум Kerio-rus > Продукты > Kerio VPN

Важная информация

Ответ
 
Опции темы
Старый 15.07.2016, 17:57   #221
Axizdkr
Навичёг
 
Аватар для Axizdkr
 
Регистрация: 16.03.2016
Сообщений: 40
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

c керио взялся, в таблице маршрутизации имеется.
если не хочешь ошибку эту в логе видеть можешь добавить политику такую же как уже есть на микротике только 192.168.10.0/24 замени на 10.253.110.0/24
будет две политики, одна нужная, другая нет, но зато ошибок не будет.
для чего там у тебя на керио 10.253.110.0 не знаю )
Axizdkr вне форума   Ответить с цитированием Вверх
Старый 18.07.2016, 11:13   #222
Privet_Andrey
 
Аватар для Privet_Andrey
 
Регистрация: 29.03.2016
Адрес: Владивосток
Сообщений: 18
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от Axizdkr Посмотреть сообщение
c керио взялся, в таблице маршрутизации имеется.
если не хочешь ошибку эту в логе видеть можешь добавить политику такую же как уже есть на микротике только 192.168.10.0/24 замени на 10.253.110.0/24
будет две политики, одна нужная, другая нет, но зато ошибок не будет.
для чего там у тебя на керио 10.253.110.0 не знаю )
Прописал я маршрут, соединение моментально поднялось без ошибок.
Но скажите мне, почему не ходит трафик между сетями?
Privet_Andrey вне форума   Ответить с цитированием Вверх
Старый 18.07.2016, 13:53   #223
Axizdkr
Навичёг
 
Аватар для Axizdkr
 
Регистрация: 16.03.2016
Сообщений: 40
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

ip route сделайте скрин на микротике
ip - firewall - connettions
[Для просмотра данной ссылки нужно зарегистрироваться] - добавьте колонки, затем фильтр src. address - адрес керио скрин, затем dst.address и снова адрес керио снова скрин.
Axizdkr вне форума   Ответить с цитированием Вверх
Старый 19.07.2016, 01:29   #224
Privet_Andrey
 
Аватар для Privet_Andrey
 
Регистрация: 29.03.2016
Адрес: Владивосток
Сообщений: 18
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от Axizdkr Посмотреть сообщение
ip route сделайте скрин на микротике
ip - firewall - connettions
[Для просмотра данной ссылки нужно зарегистрироваться] - добавьте колонки, затем фильтр src. address - адрес керио скрин, затем dst.address и снова адрес керио снова скрин.
[Для просмотра данной ссылки нужно зарегистрироваться] Картинка не открылась, но на сколько я понял, надо было в connections отсортировать по dst и src address по ip kerio.
В Dst. Address адреса kerio не было
Privet_Andrey вне форума   Ответить с цитированием Вверх
Старый 19.07.2016, 03:10   #225
Axizdkr
Навичёг
 
Аватар для Axizdkr
 
Регистрация: 16.03.2016
Сообщений: 40
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

не вижу ни одного косяка. может с утра когда встану мысли в кучу соберутся, пока вроде всё так как и должно быть.
Axizdkr вне форума   Ответить с цитированием Вверх
Старый 22.07.2016, 07:15   #226
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,613
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от Axizdkr Посмотреть сообщение
о этому мануалу лучше делать, всё кроме политик, в политиках автор налажал где только мог
Нука-нука. Это где это налажал? Весь во внимании.

Добавлено через 6 минут
Цитата
Сообщение от Axizdkr Посмотреть сообщение
level в policy в unique иначе туннель отпадать будет, инструкция на хабре корявая, к сожалению, по ней не работает всё как надо
Ах воначе... Ну а кроме "если не так, то будет ая-яй" более развернуто можете? Ну т.е. вы понимаете что именно делает настройка level = unique в настройка политик? Или просто методом тыка заработало и вы решили, что нужно именно так?
__________________
керио

Последний раз редактировалось EnMan; 22.07.2016 в 07:22. Причина: Добавлено сообщение
EnMan вне форума   Ответить с цитированием Вверх
Старый 22.07.2016, 07:27   #227
Privet_Andrey
 
Аватар для Privet_Andrey
 
Регистрация: 29.03.2016
Адрес: Владивосток
Сообщений: 18
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

EnMan, на вас одна надежда.
[Для просмотра данной ссылки нужно зарегистрироваться] Соединение устанавливается, но трафик между локальными сетями не ходит. Подскажите где проблема
Privet_Andrey вне форума   Ответить с цитированием Вверх
Старый 22.07.2016, 07:29   #228
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,613
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от Axizdkr Посмотреть сообщение
если не хочешь ошибку эту в логе видеть можешь добавить политику такую же как уже есть на микротике только 192.168.10.0/24 замени на 10.253.110.0/24
будет две политики, одна нужная, другая нет, но зато ошибок не будет.
Это потрясающе )))

Добавлено через 1 минуту
Privet_Andrey, смотри ЛС

Добавлено через 28 минут
Хотя даже невооруженным глазом проблему то видно и по скриншотам. ))))
__________________
керио

Последний раз редактировалось EnMan; 22.07.2016 в 07:57. Причина: Добавлено сообщение
EnMan вне форума   Ответить с цитированием Вверх
Старый 22.07.2016, 08:03   #229
Privet_Andrey
 
Аватар для Privet_Andrey
 
Регистрация: 29.03.2016
Адрес: Владивосток
Сообщений: 18
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата:
Сообщение от EnMan Посмотреть сообщение
Хотя даже невооруженным глазом проблему то видно и по скриншотам. ))))
Видел сообщение, [тут enman почикал текст, патамушта нуивонахуй].
А что видно по скриншотам?
Privet_Andrey вне форума   Ответить с цитированием Вверх
Старый 22.07.2016, 08:07   #230
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,613
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Андрей, я скинул тебе номер, постучи в viber или whatsup> что бы мы тут чат не устраивали.

Добавлено через 9 минут
Блин, сижу F5 жмакаю как дурак ))) Нужна помощь то, или как?
__________________
керио

Последний раз редактировалось EnMan; 22.07.2016 в 08:17. Причина: Добавлено сообщение
EnMan вне форума   Ответить с цитированием Вверх
Старый 22.07.2016, 09:22   #231
Privet_Andrey
 
Аватар для Privet_Andrey
 
Регистрация: 29.03.2016
Адрес: Владивосток
Сообщений: 18
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Все заработало. Судя по всему было много ошибок, но как он написал, основная проблема была в не выбранной галочке в удаленных сетях в Керио.
EnMan, спасибо
Privet_Andrey вне форума   Ответить с цитированием Вверх
Старый 22.07.2016, 09:35   #232
Axizdkr
Навичёг
 
Аватар для Axizdkr
 
Регистрация: 16.03.2016
Сообщений: 40
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата:
Сообщение от EnMan Посмотреть сообщение
Ах воначе... Ну а кроме "если не так, то будет ая-яй" более развернуто можете? Ну т.е. вы понимаете что именно делает настройка level = unique в настройка политик? Или просто методом тыка заработало и вы решили, что нужно именно так?
Можно и объяснить, а надо? По другому не работает. Вы сами можете легко прочитать разницу между require и unique и понять что использовать в связки с керио нужно второе
Да к слову, в этой теме месяца 2 что-ли назад я Вас просил это объяснить, Вы просто проигнорили, а теперь со своими нука нука.

Цитата
Сообщение от Privet_Andrey Посмотреть сообщение
Все заработало. Судя по всему было много ошибок, но как он написал, основная проблема была в не выбранной галочке в удаленных сетях в Керио.
как я писал по галочкам в керио я не силён ))
Axizdkr вне форума   Ответить с цитированием Вверх
Старый 22.07.2016, 10:27   #233
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,613
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от Axizdkr Посмотреть сообщение
Можно и объяснить, а надо?
Да, надо, т.к. пол беды что вы свято в это верите, беда в том, что вы это с таким апломбом несете в массы, так скажем.

Цитата
Сообщение от Axizdkr Посмотреть сообщение
По другому не работает.
Охуенная логика )))и главное это многое объясняет в подходе.

Цитата
Сообщение от Axizdkr Посмотреть сообщение
Вы сами можете легко прочитать разницу между require и unique и понять что использовать в связки с керио нужно второе
Юноша, если я вам на пальцах докажу на примере вашей рабочей системы,что вы не правы? Не хотите попробовать?


Цитата
Сообщение от Axizdkr Посмотреть сообщение
как я писал по галочкам в керио я не силён ))
Абассацца.

Цитата
Сообщение от Axizdkr Посмотреть сообщение
Да к слову, в этой теме месяца 2 что-ли назад я Вас просил это объяснить, Вы просто проигнорили, а теперь со своими нука нука.
Ну что же грешен, да. В последнее время я был тут редким гостем. Только вам это не дает оснований никаких ровным счетом считать, что в рабочих и совершенно правильных настройках лажа.

Я слегка в заботах, через часа полтора я буду возле компьютера и объясню более развернуто.
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Старый 23.07.2016, 08:12   #234
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,613
По умолчанию

Вчера не дошли руки, пишу сегодня. Что же делает и для чего применяется параметр политик level=unique?

Установка значения в unique заставляет маршрутизатор создать новую пару SAs, если он обнаруживает трафик в подсеть для которой этих ассоциаций еще не существует. Другими словами, если у вас простая схема и один туннель Site-To-Site с Mikrotik и с значением параметра require трафик между подсетями не ходит (даже если тунель формально установился) или туннель не поднимается, значит ищите ошибку в настройках и это - без вариантов! Но!

Это совершенно не означает, что параметр level=uniquie нельзя использовать или не нужно. Это отличный, годный параметр! Те, кто читал мою статью на хабре, конечно же помнят ебанутый костыль с агрегацией подсетей маской, когда нужно получить доступ к VPN сетям за Керио с сети за Микротиком? Кто не помнит - вот картинка.



Проблема была в том, что при отправке трафика в удаленные сети Микротик не умеет правильно подобрать ассоциации и начинает использовать их в порядке одному ему известному, как бог на душу положит - ясен хуй, что ничего не работает, вернее работает с одной единственной подсетью. Так вот в этом случае, установка параметра level=unique полностью проблему решает и все будет работать без костылей с агрегацией подсетей за Микротиком маской подсети.

Это то, что касается параметра level=unique.

Теперь позвольте пару слов без протокола, чему на учит семья и школа? (с) Глобально проблема связки mikrotik и kerio в том, что продукты Kerio Control скучные и не интересные, они всегда работают как автомат Калашникова безотказно и мы разучились думать. Поэтому когда на сцену выходит тот же Микрот, который, сука, требует минимального понимания how it works - начинается хождение по граблям. Потому что здесь уже мало как обезьяна делать по картинкам. Нужно минимальное понимание процесса. Вам может повезти и у вас и по картинкам взлетит , но если не взлетело, то не нужно тыкать во все кнопки в ожидании чудес, попробуйте думать ширше (ширее т.е.). В противном случае, если вы натыкаете себе счастья наугад и не будете понимать почему так работает, а по другому нет, то я вангую вам однозначный фейл в дальнейшем, когда что-то минимально меняется, все ложится перекурить и вы начинаете рвать волосы на уже взмыленной заднице с нулевым зачастую результатом . И естественно это происходит когда это все уже запущено в продакшен и на этом уже выстроены какие то бизнес-процессы. Вот тогда начинается настоящее веселье.

Вот поэтому, когда я читаю что то типа "автор налажал где только мог" за авторством человека, который дает советы при ошибке в дебаг логе ipsec создать "неправильные политики" что бы ошибок не было, я блять, чешусь в самых неприличных местах. Это вот просто за гранью добра и зла, Axizdkr. Ты только не вздумай обижаться комарад. Просто подумай о том, что я написал.
Изображения
Тип файла: png 6e3d1868c4bc8e58e71164375c6bd5f2.png (59.1 Кб, 91 просмотров)
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Старый 24.07.2016, 15:46   #235
Axizdkr
Навичёг
 
Аватар для Axizdkr
 
Регистрация: 16.03.2016
Сообщений: 40
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

я написал если Вы не заметили немного по другому. Я написал что Вы налажали в политиках и это действительно так, потому что микротик даже с одной подсеткой не работает в режиме require стабильно в связкеи с керио, с зикселем например работает. Ну а костыли Ваши это уже следствие от неправильного выбора.
И я не писал что статья плохая, сам на примере её пытался настроить ipsec но когда оно переставало работать после первого же чиха пришлось потратить время и понять что же не так.
Т.е. как бы убрав все Ваши эмоции выходит как-то так: Да я был неправ, не подумал головой написал лажу, потому что надо думать ширше.
Вместо этого начинаете писать охинею.
Про советы с ipsec, это правильные политики, просто в данном случае они не нужны, зато лог чистый, а он вот не поверите, должен быть чистым, на то он и лог, на микротике эти записи о том что нет соответствующей политики на сеть, которую закидывает керио на него забьют весь лог, и когда я через сутки зайду посмотреть а чё было, увижу только эти дурацкие записи, городить пересылку логов куда-либо тоже не всегда хочется.
и да таки, просто подумай о том что я написал.
Axizdkr вне форума   Ответить с цитированием Вверх
Старый 24.07.2016, 15:56   #236
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,613
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от Axizdkr Посмотреть сообщение
Я написал что Вы налажали в политиках и это действительно так, потому что микротик даже с одной подсеткой не работает в режиме require стабильно
Uptime первого же туннеля на который взглянул в мониторинге за год - 99,1107% Это стабильно или нет? Туннелей в разных вариациях около сорока.

Цитата
Сообщение от Axizdkr Посмотреть сообщение
Про советы с ipsec, это правильные политики, просто в данном случае они не нужны, зато лог чистый, а он вот не поверите, должен быть чистым, на то он и лог, на микротике эти записи о том что нет соответствующей политики на сеть, которую закидывает керио на него забьют весь лог, и когда я через сутки зайду посмотреть а чё было, увижу только эти дурацкие записи, городить пересылку логов куда-либо тоже не всегда хочется.
Ох, блять... болять мои крылья. Ты нормальный? У тебя ошибка, ты вместо того, что бы ее искать - ее маскируешь. Ты забудь про "подумай", тебе думать похоже нечем.
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Старый 24.07.2016, 15:59   #237
Axizdkr
Навичёг
 
Аватар для Axizdkr
 
Регистрация: 16.03.2016
Сообщений: 40
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

ну да, переходим на личности, кому тут думать нечем после этого?
да мне вот вообще положить на аптайм твоего тунеля, писал раньше напишу ещё раз, трафик с микротика за керио перестаёт идти после пропадания интернета, после отключения тунеля, после сброса соединений, после всего чего угодно. проверял минимум 10 раз на разных прошивках, не работает оно, идёт ли при этом трафик со стороны керио или нет мне абсолютно не интересно.
Axizdkr вне форума   Ответить с цитированием Вверх
Старый 24.07.2016, 16:19   #238
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,613
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от Axizdkr Посмотреть сообщение
ну да, переходим на личности, кому тут думать нечем после этого?
Тебе, друг мой, тебе Что до перехода на личности, ну извини, тут иногда шлют на хер, такова селяви. Так что я еще любя, в надежде перевоспитать, так сказать.
Цитата
Сообщение от Axizdkr Посмотреть сообщение
да мне вот вообще положить на аптайм твоего тунеля
Я потеряю сон теперь.

Цитата
Сообщение от Axizdkr Посмотреть сообщение
трафик с микротика за керио перестаёт идти после пропадания интернета, после отключения тунеля, после сброса соединений, после всего чего угодно. проверял минимум 10 раз на разных прошивках, не работает оно, идёт ли при этом трафик со стороны керио или нет мне абсолютно не интересно.
Еще раз обращаю внимание, что не работает у тебя. Причин в этом может быть огромное кол-во, особенно в свете умения решать проблемы добавлением политик, что бы в лог не срало. Для чего именно используется параметр "unique" я объяснил, как мне кажется, более чем популярно (ждал пока это ты объяснишь, но не дождался). Ты можешь спроецировать мое объяснение на свою ситуацию и подумать почему именно в твоем случае туннель не стабилен, а можешь продолжать упираться рогом и рассказывать, что ты Дартаньян.

Ну и справедливости ради могу стресс-тест прямо сейчас устроить. Ты говоришь что я должен сделать, что бы положить туннель, который работает с параметром отличным от unique и если это произойдет - сниму шляпу и признаю себя идиотом, ебашим? В доказательство сниму видео с экрана и выложу сюда.
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Старый 24.07.2016, 16:58   #239
Axizdkr
Навичёг
 
Аватар для Axizdkr
 
Регистрация: 16.03.2016
Сообщений: 40
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

мне достаточно было нажать flush connetions в микротике, и пинг переставал идти, местами навсегда, местами почему-то через час снова появлялся на 5 минут и снова пропадал.
сколько не пытаюсь твоё типа объяснение приложить к моей ситуации, не понимаю, да и понимать там скорее всего нечего, что можно настроить неправильно.
всё примитивно, политики и адреса, есть ошибка тунель вообще не встанет, нет ошибок всё будет работать за исключение того самого req.
Попробуй для убедительности привести пример что там можно настроить неправильно, что бы тунель поднялся, ошибок в логе не было, но он бы сам падал, ты ж типа знаешь how it works...
Axizdkr вне форума   Ответить с цитированием Вверх
Старый 24.07.2016, 17:59   #240
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,613
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от Axizdkr Посмотреть сообщение
мне достаточно было нажать flush connetions в микротике, и пинг переставал идти, местами навсегда, местами почему-то через час снова появлялся на 5 минут и снова пропадал.
Для примера взят тот самый туннель с 99% аптайма, на который тебе какбэ похуй

[Для просмотра данной ссылки нужно зарегистрироваться]


Цитата
Сообщение от Axizdkr Посмотреть сообщение
сколько не пытаюсь твоё типа объяснение приложить к моей ситуации, не понимаю, да и понимать там скорее всего нечего, что можно настроить неправильно.
Это хуево, что не понимаешь. Разбираться с этим нет никакого желания, учитывая тон нашей милой беседы. Помогать можно тем, кто умеет слушать. Это как минимум.


Цитата
Сообщение от Axizdkr Посмотреть сообщение
Попробуй для убедительности привести пример что там можно настроить неправильно, что бы тунель поднялся, ошибок в логе не было, но он бы сам падал, ты ж типа знаешь how it works...
Еще одна неумелая попытка меня тролить и я тебя забаню для начала на недельку, утомил уже, коллега.

Объясню в который раз, использовать параметр "unique" вместо "req" - можно, это не ошибка, это но-рма-льно! Более того, это более универсально что ли. Но! Если у тебя без этого не работает (читай - по мнению маршрутизатора нет годных SA на ту секунду когда трафик твой пропал между подсетями (в случае с unique будет создана новая пара SA, а в случае с req - ты сосешь сасангу со связью между подсетями)) то это причина для разбирательств (на мой взгляд), если не хотите разобраться - да ради бога, а не причина сказать, что "req" использовать не правильно или не нужно и тем более сказать, что "креатив гавно, автор мудак". Я утрирую, конечно, но суть не меняется. Работает у тебя с unique? Все хорошо? Так и заебис, тебе же никто не говорит, что так нельзя и что ты налажал?

Я спросил в чем лажа - ты не ответил ровным счетом ни хуя кроме банального "у меня не работает". А у меня вот работает. см. видео. Ариведерчи.
__________________
керио

Последний раз редактировалось EnMan; 24.07.2016 в 18:39.
EnMan вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 20:35. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2021, vBulletin Solutions Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях