Форум Kerio-rus

Вернуться   Форум Kerio-rus > Продукты > Kerio VPN

Важная информация

Ответ
 
Опции темы
Старый 24.07.2016, 19:19   #241
Axizdkr
Навичёг
 
Аватар для Axizdkr
 
Регистрация: 16.03.2016
Сообщений: 40
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

я не вижу места для ошибки, поэтому не могу сказать что reuiqre рабочий вариант.
Axizdkr вне форума   Ответить с цитированием Вверх
Старый 24.07.2016, 19:28   #242
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,613
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от Axizdkr Посмотреть сообщение
я не вижу места для ошибки, поэтому не могу сказать что reuiqre рабочий вариант.
Тут надо добавлять "для меня". Упрямство - первый признак тупости, как говорил дядя Жеглов.

Во вторых, если ты не видишь места для ошибки, то начни с изучения принципов работы IPSec. Если твои SA протухают и тунель виснет и морозится, то прежде всего начинают искать причину во времени жизни (и не только!!!). Но в реальности причин может быть - огромное кол-во разных параметров в совокупности и методом тыка выяснить это сложно, для этого есть debuglog.

И уж совершенно точно, если ты чего то не видишь, попробуй воздержаться от заявлений в стиле "автор налажал где только мог, но к остальному у меня нет претензий". Вот примерно так и я предлагаю на этом закончить дискуссию. Каждый пусть останется при своих.
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Старый 24.07.2016, 21:38   #243
Axizdkr
Навичёг
 
Аватар для Axizdkr
 
Регистрация: 16.03.2016
Сообщений: 40
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

это всё вода, мне конкретика нужна, ты её дать не можешь, упрямишься больше моего.
говорю скажи где может быть ошибка, не? где можно блин в policy ошибиться, две вкладки 6 параметров.

чё там где там протухает или не протухает мне не интересно, в дебаглоге кто угодно ногу сломит, кстати именно за счёт дебага я и нашёл вариант с unique, а так бы просто пришлось заказчику сказать что без костылей оно не работает.

как одно из предположений, но я его уже высказывал, если трафик идёт с керио то всё будет работать как на твоём ролике, если оттуда трафика нет, как в моём случае, то получается печаль.
проверить попробую с понедельника, то что я настраивал месяца 3 как на микротик перевели полностью, поэтому что бы какие то эксперименты проводить надо вирт. машину ставить - лень.
Axizdkr вне форума   Ответить с цитированием Вверх
Старый 24.07.2016, 21:53   #244
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,613
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от Axizdkr Посмотреть сообщение
это всё вода, мне конкретика нужна, ты её дать не можешь, упрямишься больше моего.
Я устал повторять, что живучесть IPSec тунеля это не только правильные политики. Банальное расходжение во времени на серверах может принести головной боли очень много. Вариантов множество. Я заебался повторять одно и тоже.

Цитата
Сообщение от Axizdkr Посмотреть сообщение
чё там где там протухает или не протухает мне не интересно
Не интересно - значит твое решение установить значение level=unique. Точка. Это не совсем тоже самое что лечить головную боль гильотиной, но в общем принцип тот же))

Цитата
Сообщение от Axizdkr Посмотреть сообщение
как одно из предположений, но я его уже высказывал, если трафик идёт с керио то всё будет работать как на твоём ролике, если оттуда трафика нет, как в моём случае, то получается печаль.
проверить попробую с понедельника, то что я настраивал месяца 3 как на микротик перевели полностью, поэтому что бы какие то эксперименты проводить надо вирт. машину ставить - лень.
Я мог бы снять еще один ролик, конечно, но уже терпение закончилось.
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Старый 27.07.2016, 08:32   #245
angel919
Навичёг
 
Аватар для angel919
 
Регистрация: 24.07.2015
Сообщений: 30
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

EnMan, Привет, помоги пожалуйста. Настроил mikrotik, тунель поднялся,НО обрывается иногда через час, иногда через 30 минут, время не определенное. Как советовали мне тут, прописать политики вручную, сделал. Политики копировал от ранее автоматически созданных. Когда я эти политики включаю то тунель не подключается. Не могу понять в чем дело прошу помощи!!!!! Скрины со всеми настройками прикладываю.!!!
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
В керио прописал две подсети, 192.168.1.0 и 192.168.0.0 Почему то 0 подсеть вижу, а 1 нет. А если уберу 0 подсеть, то начинаю видеть 1 подсеть...в чем дело?
angel919 вне форума   Ответить с цитированием Вверх
Старый 27.07.2016, 10:13   #246
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,613
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от angel919 Посмотреть сообщение
Политики копировал от ранее автоматически созданных
и это тебя подкосило

Сурс и дестинейшен в политике на закладке general поменяй местами.

Цитата
Сообщение от angel919 Посмотреть сообщение
В керио прописал две подсети, 192.168.1.0 и 192.168.0.0
Почему две, откуда две. Что это?

Выкладывайте скриншоты здесь. Будете постить их на говнохостинги - помощи не ждите. Это нереально заебывает.
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Старый 27.07.2016, 13:32   #247
angel919
Навичёг
 
Аватар для angel919
 
Регистрация: 24.07.2015
Сообщений: 30
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

EnMan, Сделал заново скрины какие настройки сейчас, и как работает. Тунель поднимается, соединение устанавливается на керио, но теперь я не вижу свои подсети, которые находятся за керио. На заводе где стоит керио, есть несколько подсетей. Мне нужно чтобы было видно только 0 подсеть и 1 подсеть. В чем трабл? Похоже как у Андрея проблема была. Не выкладываются сюда фотографии, не знаю почему уже 3 браузера перебробывал. залью на гугл.

Добавлено через 14 минут
EnMan, [Для просмотра данной ссылки нужно зарегистрироваться] вот скрины. Не сраный говнохостинг))) Одна на тебя помощь

Последний раз редактировалось angel919; 27.07.2016 в 13:52. Причина: Добавлено сообщение
angel919 вне форума   Ответить с цитированием Вверх
Старый 27.07.2016, 13:59   #248
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,613
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

1. В Kerio Control Маску подсети 192.168.0.0/23 или правь на /24 или убери из удаленных сетей всю подсеть 192.168.1.0/24. Если оставишь маску /23 - соответствующие изменения должны быть в IPSec Policy. Если поправишь на /24 - нужно добавить еще одну политику в Mikrotik
2. На Mikrotik - Ipsec Policy, закладка Action - там должны быть внешние адреса концов туннеля. В сурсе 0.0.0.0 или внешний адрес Микротика и в дестинейшен - только внешний адрес Control (нули нельзя).

Ошибка на ошибке же, внимательнее

Добавлено через 9 минут
Axizdkr, вот тебе живой пример. В политиках ересь и бред - а тунель вот он, как живой поднялся. Если бы в политиках был бы "req" - туннель этот не поднялся бы ни-ког-да.
__________________
керио

Последний раз редактировалось EnMan; 27.07.2016 в 14:11. Причина: Добавлено сообщение
EnMan вне форума   Ответить с цитированием Вверх
Старый 27.07.2016, 15:09   #249
angel919
Навичёг
 
Аватар для angel919
 
Регистрация: 24.07.2015
Сообщений: 30
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

EnMan, Все поправил как ты сказал, тунель поднялся сеть вижу 0 а 1 не вижу. Что нужно сделать чтобы я мог видеть и 0 и 1 подсеть? Скрины прикладываю как теперь все выглядит. [Для просмотра данной ссылки нужно зарегистрироваться]

Чтобы видеть 1 подсеть, мне нужно в удаленных сетях в керио, прописать эту сеть, а на микротике создать политику с этой сетью да?

Последний раз редактировалось angel919; 27.07.2016 в 15:23.
angel919 вне форума   Ответить с цитированием Вверх
Старый 27.07.2016, 16:51   #250
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,613
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Два варианта.
1. Ты либо добавляешь еще одну политику для 192.168.1.0/24 на Микротике и добавляешь еще одну подсеть 192.168.1.0/24 в локальные подсети у Керио
2. Либо меняешь маску на /23 и на Керио и на Микротике.

И все взлетит.
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Старый 27.07.2016, 22:04   #251
angel919
Навичёг
 
Аватар для angel919
 
Регистрация: 24.07.2015
Сообщений: 30
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

EnMan, создал политику с 24 подсетью и все робит, 4 час полет нормальный))) Спасибо тебе большое. Думал все намного голобальнее, а тут тупая невнимательность)))Спасибо!!
angel919 вне форума   Ответить с цитированием Вверх
Старый 04.08.2016, 08:25   #252
alteke
 
Аватар для alteke
 
Регистрация: 22.05.2009
Сообщений: 1
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Доброе утро Форумистам каратистам.

Прошу Вашей помощи. Значит ситуация такая. Туннель активирует Керио Контрол. Микротик соответственно в пассиве. Туннель поднимается, но - Микротик ВИДИТ (пингует) подсеть за Керио, а Керио не видит (не пингует) подсеть за Микротиком. В тоже время пинг идет только до Микротика(192.168.88.1)

Сетка за Керио 192.168.14.0/24
Сетка за Микротик 192.168.88.0/24


Спасибо!
Изображения
Тип файла: jpg IP Sec Policy Mikrotik.jpg (37.0 Кб, 56 просмотров)
Тип файла: jpg NAT Mikrotik.jpg (38.0 Кб, 51 просмотров)
Тип файла: jpg Kerio Свойство Туннеля.jpg (81.2 Кб, 63 просмотров)
Тип файла: jpg ping_s_hosta.jpg (114.0 Кб, 36 просмотров)
Тип файла: jpg Интерфейсы Керио.jpg (60.2 Кб, 40 просмотров)
Тип файла: jpg Локальные сети Керио.jpg (40.0 Кб, 36 просмотров)
Тип файла: jpg Политики Керио.jpg (22.9 Кб, 38 просмотров)
Тип файла: jpg Удаленные сети Керио.jpg (36.1 Кб, 36 просмотров)
Тип файла: jpg IPsec Polici, Router Ruls, Peer Mikrotik.jpg (139.2 Кб, 47 просмотров)
alteke вне форума   Ответить с цитированием Вверх
Старый 04.08.2016, 08:49   #253
Privet_Andrey
 
Аватар для Privet_Andrey
 
Регистрация: 29.03.2016
Адрес: Владивосток
Сообщений: 18
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от alteke Посмотреть сообщение
Доброе утро Форумистам каратистам.

Прошу Вашей помощи. Значит ситуация такая. Туннель активирует Керио Контрол. Микротик соответственно в пассиве. Туннель поднимается, но - Микротик ВИДИТ (пингует) подсеть за Керио, а Керио не видит (не пингует) подсеть за Микротиком. В тоже время пинг идет только до Микротика(192.168.88.1)

Сетка за Керио 192.168.14.0/24
Сетка за Микротик 192.168.88.0/24


Спасибо!
Не знаю, одобрит ли это решение EnMan, но я в фаерволе добавил правило форвард src/dst address 192.168.0.0/16
Privet_Andrey вне форума   Ответить с цитированием Вверх
Старый 08.09.2016, 11:31   #254
SpeedBoy
 
Аватар для SpeedBoy
 
Регистрация: 09.04.2014
Сообщений: 10
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от angel919 Посмотреть сообщение
EnMan, Привет, помоги пожалуйста. Настроил mikrotik, тунель поднялся,НО обрывается иногда через час, иногда через 30 минут, время не определенное.
Я из-за этой хрени сижу на керио 8.3.0.1988
Вот на этих туннель не держится больше часа:
8.4.1.2731
8.4.3.3108
8.5.0.3127

Выше версии пока не пробовал.
SpeedBoy вне форума   Ответить с цитированием Вверх
Старый 08.09.2016, 11:59   #255
angel919
Навичёг
 
Аватар для angel919
 
Регистрация: 24.07.2015
Сообщений: 30
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

SpeedBoy, до этого политики подсетей были автоматические, потом я переделал их в ручную, и все заработало нормально. Я думаю здесь причина не в версиях, а в правильных настройках. А так у меня версия керио 8.6. На сегодняшний день канал работает стабильно.
angel919 вне форума   Ответить с цитированием Вверх
Старый 08.09.2016, 12:21   #256
SpeedBoy
 
Аватар для SpeedBoy
 
Регистрация: 09.04.2014
Сообщений: 10
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от angel919 Посмотреть сообщение
до этого политики подсетей были автоматические, потом я переделал их в ручную
Можно уточнить, о чём мы сейчас говорим? Скриншотик или путь плз.
Что есть "политики подсетей"?
SpeedBoy вне форума   Ответить с цитированием Вверх
Старый 08.09.2016, 13:38   #257
angel919
Навичёг
 
Аватар для angel919
 
Регистрация: 24.07.2015
Сообщений: 30
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

SpeedBoy, [Для просмотра данной ссылки нужно зарегистрироваться]
angel919 вне форума   Ответить с цитированием Вверх
Старый 08.09.2016, 13:52   #258
SpeedBoy
 
Аватар для SpeedBoy
 
Регистрация: 09.04.2014
Сообщений: 10
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

angel919, а, IPsec политики. Да, у меня так же настроено. Ну исключая только что я принципиально не использую нулевую и первую подсети в 192.168.
8.6. керио надо попробовать. Суть ясна.
SpeedBoy вне форума   Ответить с цитированием Вверх
Старый 09.09.2016, 11:49   #259
angel919
Навичёг
 
Аватар для angel919
 
Регистрация: 24.07.2015
Сообщений: 30
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

SpeedBoy, нулевая и первая подсеть,это головной офис)) Перенастраивать не вижу смысла, да и хлопот больше) А в политиках во вкладке action в строчке level что стоит?
angel919 вне форума   Ответить с цитированием Вверх
Старый 09.09.2016, 11:55   #260
SpeedBoy
 
Аватар для SpeedBoy
 
Регистрация: 09.04.2014
Сообщений: 10
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

angel919, стоит "Require". Ещё разок: туннель работает как часы, но только со старой версией керива. Я уже девятку скачал, попробую на ней. Примета есть: менять настройки сети (фаервол в данном случае) удалённо - к дальней дороге
SpeedBoy вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 15:39. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2021, vBulletin Solutions Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях