Форум Kerio-rus  

Вернуться   Форум Kerio-rus > Продукты > Kerio VPN

Важная информация

Ответ
 
Опции темы
Старый 05.06.2018, 11:30   #1
rasul1986
 
Регистрация: 10.08.2017
Сообщений: 9
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию VPN отваливается - резервирование при двух ISP

Доброго времени суток!

Такая картина:
Kerio Version:
8.3.3 build 2342

Two interfaces - Failover Internet :
WAN - PPPoE mode
WAN2 - MAIN mode

IPsec VNP:
using pre-shared key

Проблема:
Когда открубается (по какой либо причине) WAN Интернет интерфейс, соответственно включается резервный WAN2 , однако при этом отрубаются и другие службы в том числе и VPN

Debug log при отключении WAN:
[02/Jun/2018 19:25:18] interface "WAN" is DOWN
[02/Jun/2018 19:25:18] Service "DNS UDP" bound to address *.*.*.* stopped
[02/Jun/2018 19:25:18] Service "DNS TCP" bound to address *.*.*.* stopped
[02/Jun/2018 19:25:18] Service "WebInterface" bound to address *.*.*.* stopped
[02/Jun/2018 19:25:18] Service "WebInterfaceSSL" bound to address *.*.*.* stopped
[02/Jun/2018 19:25:18] Service "VPN" bound to address *.*.*.* stopped


Debug log при включении WAN:
[02/Jun/2018 20:27:12] Interface "WAN" is UP.
[02/Jun/2018 20:27:12] IPv4 Addresses: *.*.*.*/255.255.255.255
[02/Jun/2018 20:27:13] Service "DNS UDP" started, bound to address *.*.*.*
[02/Jun/2018 20:27:13] Service "DNS TCP" started, bound to address *.*.*.*
[02/Jun/2018 20:27:13] Service "WebInterface" started, bound to address *.*.*.*
[02/Jun/2018 20:27:13] Service "WebInterfaceSSL" started, bound to address *.*.*.*
[02/Jun/2018 20:27:13] Service "VPN" started, bound to address *.*.*.*


клиенты подключаются к сети VPN по стандартному microsoft клиенту
для подключения используется dynDNS аккаунт- то есть нет привязки к белому IP.
Но так как, по какойто непонятной мне причине, VPN служба останавливается в момент недоступности основного интернета, то и соответственно никто не может из клиентов подрубится.


Помогите пожалуйста!
Изображения
Тип файла: jpg WAN.jpg (110.0 Кб, 2 просмотров)
Тип файла: jpg WAN2.jpg (103.0 Кб, 4 просмотров)
Тип файла: jpg VPN Interface.jpg (64.6 Кб, 2 просмотров)
Тип файла: jpg Interfaces.jpg (97.9 Кб, 2 просмотров)
rasul1986 вне форума   Ответить с цитированием Вверх
Старый 06.06.2018, 13:24   #2
exchar
Охуительный пейсатель
 
Регистрация: 21.04.2008
Сообщений: 2,594
Поблагодарили 166 раз(а) в 138 сообщениях
По умолчанию Re: VPN отваливается - резервирование при двух ISP

Цитата
Сообщение от rasul1986 Посмотреть сообщение
однако при этом отрубаются и другие службы в том числе и VPN

при отрубании интерфейса отрубается привязка службы VPN к ip-адресу этого интерфейса
и это нормально



т.е. vpn-канал падает, переподключается автоматом и все работает через другой интерфейс.


Цитата
Сообщение от rasul1986 Посмотреть сообщение
и соответственно никто не может из клиентов подрубится.

интересно, что в политиках трафика
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 06.06.2018, 13:37   #3
datusername
Знатный писарь
 
Регистрация: 26.04.2018
Сообщений: 203
Поблагодарили 24 раз(а) в 22 сообщениях
По умолчанию Re: VPN отваливается - резервирование при двух ISP

Цитата
Сообщение от rasul1986 Посмотреть сообщение
WAN2 - MAIN mode
А то, что у вас на WAN2 серый адрес приходит - вас не смущает?
datusername вне форума   Ответить с цитированием Вверх
Старый 06.06.2018, 13:57   #4
rasul1986
 
Регистрация: 10.08.2017
Сообщений: 9
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: VPN отваливается - резервирование при двух ISP

Спасибо за ответы


Цитата
Сообщение от exchar Посмотреть сообщение
т.е. vpn-канал падает, переподключается автоматом и все работает через другой интерфейс.
в том то и дело что он падает и потом не поднимается пока "WAN" заново не поднимется


Цитата
Сообщение от exchar Посмотреть сообщение
интересно, что в политиках трафика
прикрепляю скрин - вверх скриншота вырезал, так как там просто правила Трансляции разных портов на разные компьютеры внутри сети
Изображения
Тип файла: png Правила трафика.png (167.4 Кб, 1 просмотров)
rasul1986 вне форума   Ответить с цитированием Вверх
Старый 06.06.2018, 14:02   #5
rasul1986
 
Регистрация: 10.08.2017
Сообщений: 9
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: VPN отваливается - резервирование при двух ISP

Цитата
Сообщение от datusername Посмотреть сообщение
А то, что у вас на WAN2 серый адрес приходит - вас не смущает?
да, забыл про него рассказать - это серый IP но данный адрес заDMZирован на роутере, через который и проходит данный резервный Интернет
У меня конечно тоже были подозрения на такого вида подключение, но все таки - разве это может быть преградой для подключения VPN клиентов?
ведь любые подключения на IP резервного Интернет перенаправляются на 192.168.1.103

с трансляцией портов других служб все работает как надо.

К примеру водительские терминалы (это такси компания) по доменному имени все так же спокойно подключаются к серверу , когда "WAN" отваливается(ну разве что иногда DynDNS ступить может и не подставить текущий белый IP шник).
rasul1986 вне форума   Ответить с цитированием Вверх
Старый 06.06.2018, 14:22   #6
datusername
Знатный писарь
 
Регистрация: 26.04.2018
Сообщений: 203
Поблагодарили 24 раз(а) в 22 сообщениях
По умолчанию Re: VPN отваливается - резервирование при двух ISP

Цитата
Сообщение от rasul1986 Посмотреть сообщение
это серый IP но данный адрес заDMZирован на роутере, через который и проходит данный резервный Интернет
Dynamic DNS клиент должен знать свой белый IP адрес, что бы мочь передать его куда надо, что бы там перегенерили ссылки. На серых IP (это которые от провайдера) Dynamic DNS не работает, насколько я знаю.

Цитата
Сообщение от rasul1986 Посмотреть сообщение
по доменному имени все так же спокойно подключаются к серверу , когда "WAN" отваливается
Ну то есть у вас Dynamic DNS работает и сервисы работают, не работает только IPSec VPN? NAT-T (NAT traversal) на том роутере, который выше Kerio на WAN2 у вас включен?


Ну или если есть возможность, перевести ваш роутер в бридж или выкинуть его совсем - самый простой вариант.
datusername вне форума   Ответить с цитированием Вверх
Старый 06.06.2018, 15:12   #7
rasul1986
 
Регистрация: 10.08.2017
Сообщений: 9
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: VPN отваливается - резервирование при двух ISP

Цитата
Сообщение от datusername Посмотреть сообщение
Dynamic DNS клиент должен знать свой белый IP адрес, что бы мочь передать его куда надо, что бы там перегенерили ссылки. На серых IP (это которые от провайдера) Dynamic DNS не работает, насколько я знаю.
ну в целом работает у меня - правда приходится обновлять самому IP в настройках Динамического DNS, хотя я там выставил "Обнаружен общий IP" - прилагаю скрин настроек


Цитата
Сообщение от datusername Посмотреть сообщение
Ну то есть у вас Dynamic DNS работает и сервисы работают, не работает только IPSec VPN?
Да - порты так сказать все пробрасываются


Цитата
Сообщение от datusername Посмотреть сообщение
NAT-T (NAT traversal) на том роутере, который выше Kerio на WAN2 у вас включен?
у меня там стоит роутер Mikrotik - его не получится выбросить так как все же он используется как отдельная сеть и интернет для других нужд - то есть вроде как и резервный интернет и заодно им так же пользуется другая сеть(группа людей), просто все входящие подключения на эту сеть идут на адрес 192.168.1.103

И все устраивало пока не задействовали "VPN клиентов".

Думаете нужно в Mikrotik настройках копаться? в частности NAT-T...
Изображения
Тип файла: png dynamic DNS.png (91.8 Кб, 2 просмотров)
rasul1986 вне форума   Ответить с цитированием Вверх
Старый 06.06.2018, 15:45   #8
datusername
Знатный писарь
 
Регистрация: 26.04.2018
Сообщений: 203
Поблагодарили 24 раз(а) в 22 сообщениях
По умолчанию Re: VPN отваливается - резервирование при двух ISP

Цитата
Сообщение от rasul1986 Посмотреть сообщение
Думаете нужно в Mikrotik настройках копаться? в частности NAT-T...
Не обязательно. Дело в том, что IPSec сам по себе не умеет преодолевать NAT ему нужен NAT-T. Но, например OpenVPN умеет. Или, например, у вас есть сервер в надёжном дата-центре и вы на нем можете поднять L2TP-сервер и коннектится всем миром туда (и обоими интерфейсами из офиса и удалёнщиками).
datusername вне форума   Ответить с цитированием Вверх
Старый 06.06.2018, 22:48   #9
rasul1986
 
Регистрация: 10.08.2017
Сообщений: 9
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: VPN отваливается - резервирование при двух ISP

Цитата
Сообщение от datusername Посмотреть сообщение
Не обязательно. Дело в том, что IPSec сам по себе не умеет преодолевать NAT ему нужен NAT-T. Но, например OpenVPN умеет. Или, например, у вас есть сервер в надёжном дата-центре и вы на нем можете поднять L2TP-сервер и коннектится всем миром туда (и обоими интерфейсами из офиса и удалёнщиками).
просто добавлять еще одно промежуточное звено ох как не хочется.

больше всего во всей этой истории мне непонятно почему в debug отчете видно как система сама отключает все эти службы, в том числе VPN. И как, хотя бы в ручную, во время падения основного интерфейса запустить обратно VPN с привязкой к резервному ...
rasul1986 вне форума   Ответить с цитированием Вверх
Старый 07.06.2018, 10:20   #10
datusername
Знатный писарь
 
Регистрация: 26.04.2018
Сообщений: 203
Поблагодарили 24 раз(а) в 22 сообщениях
По умолчанию Re: VPN отваливается - резервирование при двух ISP

Цитата
Сообщение от rasul1986 Посмотреть сообщение
добавлять еще одно промежуточное звено ох как не хочется.
Ну тем не менее микрот у вас стоит и не смущает.
Цитата
Сообщение от rasul1986 Посмотреть сообщение
больше всего во всей этой истории мне непонятно почему в debug отчете видно как система сама отключает все эти службы, в том числе VPN
Из локалки 192.168.1.0/24 вы по VPN подключаетесь?
datusername вне форума   Ответить с цитированием Вверх
Старый 08.06.2018, 11:33   #11
rasul1986
 
Регистрация: 10.08.2017
Сообщений: 9
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: VPN отваливается - резервирование при двух ISP

Цитата
Сообщение от datusername Посмотреть сообщение
Из локалки 192.168.1.0/24 вы по VPN подключаетесь?
нет

микрот используется лишь для того что бы по wifi получать интернет обычными пользователями

то есть совмещается приятное с полезным:
и резервный интернет и просто так не простаивает
rasul1986 вне форума   Ответить с цитированием Вверх
Старый 08.06.2018, 15:16   #12
datusername
Знатный писарь
 
Регистрация: 26.04.2018
Сообщений: 203
Поблагодарили 24 раз(а) в 22 сообщениях
По умолчанию Re: VPN отваливается - резервирование при двух ISP

Цитата
Сообщение от rasul1986 Посмотреть сообщение
нет
Это был не столько вопрос, сколько предложение проверить возможно ли подключение.
Цитата
Сообщение от rasul1986 Посмотреть сообщение
микрот используется лишь для того что бы по wifi получать интернет обычными пользователями
Резервирование используется, когда вам крайне не желательно использовать резервный канал всё время (например на нём есть ограничение по объему трафика). Если вы хотите использовать оба канала одновременно, то используйте балансировку. Гостям выделяете гостевой интерфейс, микрот используете как ТД.
datusername вне форума   Ответить с цитированием Вверх
Старый 11.06.2018, 11:39   #13
rasul1986
 
Регистрация: 10.08.2017
Сообщений: 9
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: VPN отваливается - резервирование при двух ISP

Цитата
Сообщение от datusername Посмотреть сообщение
Если вы хотите использовать оба канала одновременно, то используйте балансировку. Гостям выделяете гостевой интерфейс, микрот используете как ТД.
то есть если я переключу на балансировку - то тогда VPN проблема может решится ?
или же иметься в виду что все решится когда я микрот уберу как промежуточное звено и кабель резервного интернета подключу напрямую к интерфейсу WAN2 ?
rasul1986 вне форума   Ответить с цитированием Вверх
Старый 13.06.2018, 09:42   #14
datusername
Знатный писарь
 
Регистрация: 26.04.2018
Сообщений: 203
Поблагодарили 24 раз(а) в 22 сообщениях
По умолчанию Re: VPN отваливается - резервирование при двух ISP

Цитата
Сообщение от rasul1986 Посмотреть сообщение
то есть если я переключу на балансировку - то тогда VPN проблема может решится ?
То есть если вы избавитесь от лишнего NAT тогда ваша проблема решится сама по себе. Само по себе переключение резерв/балансировка вам мало что даст.

Цитата
Сообщение от rasul1986 Посмотреть сообщение
когда я микрот уберу как промежуточное звено и кабель резервного интернета подключу напрямую к интерфейсу WAN2 ?
Вам не обязательно его физически убирать (да и это не всегда возможно по объективным причинам). Достаточно избавиться от него логически, что бы трафик без всяких NAT попадал сразу на WAN2.
datusername вне форума   Ответить с цитированием Вверх
Старый 13.06.2018, 11:31   #15
rasul1986
 
Регистрация: 10.08.2017
Сообщений: 9
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: VPN отваливается - резервирование при двух ISP

Цитата
Сообщение от datusername Посмотреть сообщение
Вам не обязательно его физически убирать (да и это не всегда возможно по объективным причинам). Достаточно избавиться от него логически, что бы трафик без всяких NAT попадал сразу на WAN2.
все понял,
благодарю Вас особенно за подсказки. Мне тоже кажется что "слабое звено" тут настройка микрота.
Остается только разобраться как этот самый NAT так выключить - чтоб к нему продолжали подключаться по wi fi и пользоваться Интернет.
Хотя и это не получится - для wi fi клиентов, как Вы и говорили, нужно гостевой интерфейс задействовать. А микрот просто как точку доступа подключенную у гостевому интерфейсу юзать.
rasul1986 вне форума   Ответить с цитированием Вверх
Старый 13.06.2018, 12:07   #16
datusername
Знатный писарь
 
Регистрация: 26.04.2018
Сообщений: 203
Поблагодарили 24 раз(а) в 22 сообщениях
По умолчанию Re: VPN отваливается - резервирование при двух ISP

Цитата
Сообщение от rasul1986 Посмотреть сообщение
Остается только разобраться как этот самый NAT так выключить - чтоб к нему продолжали подключаться по wi fi и пользоваться Интернет.
Не то, что бы я был гуру по настройке микротов, но самый простой вариант будет выглядеть примерно так:
1. Заводите на порту микрота который смотрит в сторону wan2 два тэгированных vlan с id, допустим, 2 и 3 (id могут быть любые кроме 1).
1.1. Совсем хорошо, будет завести ещё и третий vlan чисто под управление микротиком, но это не обязательно.
2. На Керио на интерфейсе где у вас wan2 так же заводите два (три) тегированных vlan с теме же id. Тот который вы определите под интернет - помечаете как wan2 и добавляете в группу "интернет интерфейсы", тот который под гостевой wi-fi называете как-нибудь и определяете в группу "гостевые интерфейсы" (учтите, что гости могут ходить в интернет строго по http/https).
2.1. Если решились на отдельный интерфейс управления, то создаете и его и определяете в группу локальный/доверенный.
3. На микроте создаете два бриджа. В первый бридж определяете физический интерфейс куда у вас воткнут кабель провайдера и vlan, который отвели под интернет. Во второй бридж у вас уходит wi-fi адаптер и vlan который отвели под гостевую сетку.
4. Запрещаете управление микротом с интерфейсов на которые завязали интернет (если завели отдельный vlan управления, то с любых интерфейсов кроме этого vlan).
datusername вне форума   Ответить с цитированием Вверх
Старый 14.06.2018, 09:45   #17
rasul1986
 
Регистрация: 10.08.2017
Сообщений: 9
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: VPN отваливается - резервирование при двух ISP

Цитата
Сообщение от datusername Посмотреть сообщение
Не то, что бы я был гуру по настройке микротов, но самый простой вариант будет выглядеть примерно так:
1. Заводите на порту микрота который смотрит в сторону wan2 два тэгированных vlan с id, допустим, 2 и 3 (id могут быть любые кроме 1).
1.1. Совсем хорошо, будет завести ещё и третий vlan чисто под управление микротиком, но это не обязательно.
2. На Керио на интерфейсе где у вас wan2 так же заводите два (три) тегированных vlan с теме же id. Тот который вы определите под интернет - помечаете как wan2 и добавляете в группу "интернет интерфейсы", тот который под гостевой wi-fi называете как-нибудь и определяете в группу "гостевые интерфейсы" (учтите, что гости могут ходить в интернет строго по http/https).
2.1. Если решились на отдельный интерфейс управления, то создаете и его и определяете в группу локальный/доверенный.
3. На микроте создаете два бриджа. В первый бридж определяете физический интерфейс куда у вас воткнут кабель провайдера и vlan, который отвели под интернет. Во второй бридж у вас уходит wi-fi адаптер и vlan который отвели под гостевую сетку.
4. Запрещаете управление микротом с интерфейсов на которые завязали интернет (если завели отдельный vlan управления, то с любых интерфейсов кроме этого vlan).

вот это реально похоже на решение )

правда не смогу/не хочу тестировать в продакшене
придется поднимать у себя вирт керио и тестировать со своим домашним микротом.
По результатам отпишусь - если Вам интересно будет.
Еще раз спасибо за подсказку !!
rasul1986 вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 22:14. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях