IPsec туннель между Mikrotik и Kerio Control

[Alexanderx10]

EnMan, я уже записал себя к дебилам, пытаясь найти "локальные сети" в версии 8.0.1, оказалось надо версию по новее.

При всех танцах с бубнами, которые ты испытал, и я тоже(я про ipsec mikrotik+kerio), отказоустойчивый тонель поднять быстрее на pptp. Я за один вечерок под пивко объеденил через pptp 5 подсетей, где керио был энициатором соединения. Прямая видимость была во все стороны ))). две подсети работали через Draytek 2920 (твоя любимая фирма))), одна через Mikrotik RB2011 и Mikrotik RB950, Kerio 8.0.1 и Kerio 8.0.1 (между керио был свой тонель)


P.S.
[Для просмотра данной ссылки нужно зарегистрироваться]

* Support LAN DNS Resolution (не этого ли ты ждал)

[SpeedBoy]

Всем привет.
Маленькая поправочка относительно доки в виде PDF'ки.
В версии 6.11 в гуй появилась/есть галочка "Passive" при создании New IPSec peer.
Спасибо за инфо всем, кто принимал в этом участие.

[ENS]

Привет!

У кого-нить получилось поднять туннель между пассивным керио и активным микротиком с динамическим айпи? Если да, буду просить помощи

[EnMan]

Я не вижу проблемы, если динамический IP - реально белый. Например, получаемый по PPPoE или L2TP. RouterOS не обновляйте выше 6.10 (уже набил шишки).

Добавлено через 2 минуты

Цитата

Сообщение от SpeedBoy

Всем привет.
Маленькая поправочка относительно доки в виде PDF'ки.
В версии 6.11 в гуй появилась/есть галочка "Passive" при создании New IPSec peer.
Спасибо за инфо всем, кто принимал в этом участие.

За 6.11 не скажу, на 6.12 не обновляйтесь - туннели начнут падать раз в полтора часа. Проверено на более чем 15 туннелях и на 4-рех разных устройствах, как физически разных железках, так и моделях.

30 обновился до 6.12, 4 го откатился до 6.10. См. картинку

[ENS]

Цитата:

Сообщение от EnMan

Я не вижу проблемы, если динамический IP - реально белый. Например, получаемый по PPPoE или L2TP

Нет, серый. 4G мегафон.
Я не пойму что писать в удаленном ID на керио если этот WAN адрес на микротике будет постоянно меняться. %any не принимается, 0.0.0.0 тоже.

[EnMan]

Цитата

Сообщение от ENS

Нет, серый. 4G мегафон.
Я не пойму что писать в удаленном ID на керио если этот WAN адрес на микротике будет постоянно меняться. %any не принимается, 0.0.0.0 тоже.

%any приниматься должен, но на серых IP - забудьте про IPSec, это не будет работать

[SpeedBoy]

Цитата:

Сообщение от EnMan

За 6.11 не скажу, на 6.12 не обновляйтесь - туннели начнут падать раз в полтора часа.

Спасибо, будем знать. На 6.11 иногда падает, но, видимо, проблема в инете. Каждые полтора часа точно не падает.

[Sozontov]

Цитата

Сообщение от ENS

У кого-нить получилось поднять туннель между пассивным керио и активным микротиком с динамическим айпи? Если да, буду просить помощи

ENS, Вам принципиально что бы Mikrotik был инициатором?

[ENS]

Цитата

Сообщение от Sozontov

ENS, Вам принципиально что бы Mikrotik был инициатором?

Не принципиально, но как он, не имея реального айпи, может быть принимающей стороной?

[Sozontov]

Не могу быть уверен, что получится с серым ip, но не давно реализовывал соединение: микротик(динамический белый ip)-kerio(статический ip), где Керио инициатор. Для этого понадобился noip.com и скрипт периодически запускаемый на микротике.
Да поправит меня EnMan )

P.S. хотя... кто знает,dom.ru какие адреса выдает для физ лиц?

[mipdoodles]

Сломал голову.
Ну ни в какую не поднимается тоннель. Ни в один из концов

Kerio 8.3 + Mikrotik 6.10
Настройки Mikrotik в точности с инструкции.
Адрес внешний, не серый на обоих концах.
В керио светится только IKE все остальные протоколы не проходят.
Пробовал и вручную политики собирать.
Никак не получается.

[Sozontov]

Цитата

Сообщение от mipdoodles

Сломал голову.
Ну ни в какую не поднимается тоннель. Ни в один из концов

Kerio 8.3 + Mikrotik 6.10
Настройки Mikrotik в точности с инструкции.
Адрес внешний, не серый на обоих концах.
В керио светится только IKE все остальные протоколы не проходят.
Пробовал и вручную политики собирать.
Никак не получается.

Судя по скринам, у Вас оба конца туннеля пассивные...

[mipdoodles]

Цитата

Сообщение от Sozontov

Судя по скринам, у Вас оба конца туннеля пассивные...

Как жеж так..
я вроде не менял настроек mikrotik, а по-умолчанию он активный.
На Kerio светится входящее подключение. IKE

[Sozontov]

Ах, да! Извиняюсь! Exchenge Mode меня попутал)
Правила разрешающие ipsec вносили в firewall? (скриншота не вижу)

[mipdoodles]

Цитата

Сообщение от Sozontov

Ах, да! Извиняюсь! Exchenge Mode меня попутал)
Правила разрешающие ipsec вносили в firewall? (скриншота не вижу)

Да во вложении.
Это если при пассивном режиме микротика
Я уже не знаю что делать, даже правило на исходящие с микротика на куда-угодно написал.

В kerio разрешен стек протоколов объединенных в одну службу.
Во вложении скрины.
Но проходит только IKE

[ENS]

Короче, я плюнул и сделал через openvpn.

[mipdoodles]

Может ли уважаемый EnMan помочь в решении )
Кстати, от керио в микротик заработало, только после обновления до 6.12 в обратную сторону не пошло.

[mipdoodles]

Цитата

Сообщение от Exakt86

Доброго времени суток!! Стоит KMS на обычной машине с установленной Windows Server 2008 R2, одна сетевая плата, можно сюда поставить и Kerio Control ????
Спасибо!!!!!

Можно, только предыдущую версию. Теперь он линуксовый.

[EnMan]

Exakt86, уважаемый, создайте отдельный топик. Здесь обсуждают конкретную проблему. Ваш вопрос к ней не имеет отношения.

Добавлено через 8 минут
mipdoodles, лог на ipsec включи в микротик

[mipdoodles]

Цитата:

Сообщение от EnMan

Exakt86, уважаемый, создайте отдельный топик. Здесь обсуждают конкретную проблему. Ваш вопрос к ней не имеет отношения.

Добавлено через 8 минут
mipdoodles, лог на ipsec включи в микротик

Вроде как соединение устанавливается, но статус подключения в KERIO не меняется.
В силу этого не создаётся маршрут.
В активных подключения на керио он светиться..
Смущает во второй части лога прием проверки активности пира
r-u-there

Правило nat из сети микротика в сеть кери выше всех

П.С. так и не разобрался как экспортировать лог из микротика.
Наверно придется поднимать сервер логирования, что бы на него сбрасывать логи.

UPD. разобрался с логами

Хочу заметить важную деталь.. Всё это добро работало до обновления керио до 8.3 и mikrotik 6.1
Но так как я уже обновлен назад дороги не ищу.
Откат до старого релиза пока не реален.