Форум Kerio-rus

Вернуться   Форум Kerio-rus > Продукты > Kerio VPN

Важная информация

Ответ
 
Опции темы
Старый 16.07.2018, 16:16   #361
datusername
Знатный писарь
 
Аватар для datusername
 
Регистрация: 26.04.2018
Сообщений: 357
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от tip22 Посмотреть сообщение
Как только цифирный ставлю, нормально всё
А если вот так:
12345ABCDEF
Работает?
datusername вне форума   Ответить с цитированием Вверх
Старый 27.07.2018, 13:10   #362
sheffnik
 
Аватар для sheffnik
 
Регистрация: 11.10.2017
Сообщений: 9
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Всем доброго дня.
Ситуация такая. Есть Kerio 9.2 и микротик 750G3
Туннель между ними поднят ipsec инициатор керио , принимает микротик.
Так вот. Сеть за микротиком(филиал) видит сеть за Керио, а вот сеть за керио не видит сеть за микротиком... Туннель поднят внутри локальной сети(так нужно. это как основной канал.+ резерв с белым ип но с ним позже)и с vlan я так и не осилил соединение.
Настройки микротика
Код:
/ip firewall nat
add action=accept chain=srcnat dst-address=192.168.4.0/24 src-address=\192.168.1.0/24
add action=accept chain=srcnat dst-address=192.168.1.0/24 src-address=\ 192.168.4.0/24
add action=masquerade chain=srcnat comment=Prostor out-interface=ether1
add action=masquerade chain=srcnat comment=Chocolate out-interface=ether2
Так же фасттрак(взял отсюда. mangle тоже прописаны)
Код:
/ip firewall filter
add action=fasttrack-connection chain=forward comment=FastTrack \   connection-mark=!ipsec connection-state=established,related
add action=accept chain=forward connection-state=established,related
Сесть за керио 192.168.1.0/24 , за микротиком - 192.168.4.0/24
прикрепил правила на керио.
Изображения
Тип файла: png Керио правила.PNG (29.2 Кб, 4 просмотров)
sheffnik вне форума   Ответить с цитированием Вверх
Старый 27.07.2018, 13:33   #363
datusername
Знатный писарь
 
Аватар для datusername
 
Регистрация: 26.04.2018
Сообщений: 357
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

sheffnik ответите на простой вопрос srcnat и masquerade вам зачем?
datusername вне форума   Ответить с цитированием Вверх
Старый 27.07.2018, 13:56   #364
sheffnik
 
Аватар для sheffnik
 
Регистрация: 11.10.2017
Сообщений: 9
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

datusername, филиал находится удаленно, средствами провайдера проброшен тунель с сетью 168.1.0/24 и скоростью 100мбит она воткнута в eth2 , в eth1 будет воткнут 2 провайдер с белым IP смотрящий соответственно в инернет, а там уже 10мбит, как резерв на случай обрыва первого. Как сделать отказоустойчивость кроме как ipSec туннелем я пока не осилил... поэтому и 4.0 сеть за натом прячу. сейчас посмотрел и правда лишний eth2 masquerade , должен быть на eht3 ибо на нем dhcp висит и dst-address=192.168.4.0/24 src-address=\192.168.1.0/24 тоже
Код:
add action=accept chain=srcnat dst-address=192.168.1.0/24 src-address=\ 192.168.4.0/24
что бы 1 и 4 подсети видели друг друга за НАТом
Убрал все лишнее. завелось, сети видят друг друга. теперь вопрос. как правильно закрыть все лишнее в firewall rules...

Последний раз редактировалось sheffnik; 27.07.2018 в 14:14.
sheffnik вне форума   Ответить с цитированием Вверх
Старый 27.07.2018, 14:47   #365
datusername
Знатный писарь
 
Аватар для datusername
 
Регистрация: 26.04.2018
Сообщений: 357
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Знали бы вы как мне лень переваривать ваш поток сознания...

Цитата
Сообщение от sheffnik Посмотреть сообщение
что бы 1 и 4 подсети видели друг друга за НАТом
Вы про роутинг что то слышали? NAT вам не нужен, маскарадинг вам не нужен. Потому что за NAT вы и чёрта лысого не увидете - такова суть NAT. Настраиваете маршруты, объясняете вашим шлюзам, где какие сети живут и всё заработает.


И идите пить пиво, праздник же!
datusername вне форума   Ответить с цитированием Вверх
Старый 30.07.2018, 14:59   #366
art100
 
Аватар для art100
 
Регистрация: 21.06.2010
Сообщений: 10
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Всех с праздничком.
Я винцо попил мороженкой заел картошечки молодой в мундирчике с подсолнечным маслецом и селедочкой балтийской солененкой.
Сам базар:
Чудо Diffi Helman group алгоритмик
aes128 sha1 modp768
На некротиках-наркотиках версии Microtik RB750Gr3 [Для просмотра данной ссылки нужно зарегистрироваться]
Я конечно решил задачу из пылесосов, авна и палок ковыляя на костылях.
Стенания:
Пните в верном направлении
1.Ждать чудо версии Kerio за 300 баксов?
2.Или есть возможность пересобрать ядро-ведро керио с чудо алгоритмом Diffi Helman group modp768 ?
Никогда не думал. У керио ssh есть и можно чудо модуль чудо пач вживить?
3.Или как и 25 лет назад по старинке .... снимаем и ломаем все что хочется и не нужно по ходу за много много человеко-безчеловечных часов ради "вунь той галки"?

Веселую картинку прилагаю:
Не дружба c Microtik RB750Gr3 алгоритм VPN IPsec aes128 sha1 modp768
Гранаты разных систем.

Попытка осмыслить что тут написано:
Суть проблемы.
Меня встречает VPN сервер с алгоритмом es128-sha1-modp768 с парольной фразой поднятый на Microtik RB750Gr3 [Для просмотра данной ссылки нужно зарегистрироваться] которого не видать в Kerio 9.2.6 es128-sha1-modp1024
Забить?
И вам хорошего настроения.
Изображения
Тип файла: jpg 20180723-211601-ipsec-aes128-sha1-modp768.jpg (198.2 Кб, 20 просмотров)

Последний раз редактировалось art100; 30.07.2018 в 15:12.
art100 вне форума   Ответить с цитированием Вверх
Старый 30.07.2018, 15:19   #367
art100
 
Аватар для art100
 
Регистрация: 21.06.2010
Сообщений: 10
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от sheffnik Посмотреть сообщение
... Kerio 9.2 и НЕкротик 750G3 ...
... ipsec инициатор...
.. керио , принимает НЕкротик. ....
мне бы ваши проблемы
у вас хоть вяжуться только отладить маршруты
забейте
я забил
купил пару оборудования под впн-щину
в моём случай поставил в удаленном офисе
2 компьютера на стол
2 принтсерврера на один принтер
каждому сказал у вас есть флешки в ваших андроидах с вашими чудо-дата-кабелями с моими чудо буферами обмена по рдп с почтовым обменом ради ваших счетов раз в сутки
и забил на проблему

Любое решение имеет два пути
Программное или аппаратное
если программное авно то аппаратное

Как?
Просто?
art100 вне форума   Ответить с цитированием Вверх
Старый 20.08.2018, 15:30   #368
sheffnik
 
Аватар для sheffnik
 
Регистрация: 11.10.2017
Сообщений: 9
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от sheffnik Посмотреть сообщение
Всем доброго дня.
Ситуация такая. Есть Kerio 9.2 и микротик 750G3
Туннель между ними поднят ipsec инициатор керио , принимает микротик.
Так вот. Сеть за микротиком(филиал) видит сеть за Керио, а вот сеть за керио не видит сеть за микротиком... Туннель поднят внутри локальной сети(так нужно. это как основной канал.+ резерв с белым ип но с ним позже)и с vlan я так и не осилил соединение.
Настройки микротика
Код:
/ip firewall nat
add action=accept chain=srcnat dst-address=192.168.4.0/24 src-address=\192.168.1.0/24
add action=accept chain=srcnat dst-address=192.168.1.0/24 src-address=\ 192.168.4.0/24
add action=masquerade chain=srcnat comment=Prostor out-interface=ether1
add action=masquerade chain=srcnat comment=Chocolate out-interface=ether2
Так же фасттрак(взял отсюда. mangle тоже прописаны)
Код:
/ip firewall filter
add action=fasttrack-connection chain=forward comment=FastTrack \   connection-mark=!ipsec connection-state=established,related
add action=accept chain=forward connection-state=established,related
Сесть за керио 192.168.1.0/24 , за микротиком - 192.168.4.0/24
прикрепил правила на керио.
Продолжаю пляски с бубном.
Все правила маскарад и srcnat отключил, кроме
Код:
add action=accept chain=srcnat dst-address=192.168.1.0/24 src-address=\ 192.168.4.0/24
Сети друг друга видят НО несколько странно. Сеть за микротиком(4.0/24) отлично и без всяких проблем видит сеть за керио(1.0/24) а вот в обратном направлении творится какой то полтергейст
Код:
Трассировка маршрута к ws62.***.local [192.168.4.252]
с максимальным числом прыжков 30:

  1    <1 мс    <1 мс    <1 мс  192.168.1.111
  2     1 ms     1 ms     1 ms  192.168.1.242
  3     2 ms     1 ms     1 ms  WS62 [192.168.4.252]

Трассировка завершена.
Трассировка маршрута к ws62.***.local [192.168.4.252]
с максимальным числом прыжков 30:

  1     *        *        *     Превышен интервал ожидания для запроса.
  2     *        *        *     Превышен интервал ожидания для запроса.
  3     *        *        *     Превышен интервал ожидания для запроса.
  4     *        *        *     Превышен интервал ожидания для запроса.
  5     *        *        *     Превышен интервал ожидания для запроса.
  6     *        *        *     Превышен интервал ожидания для запроса.
  7     *        *        *     Превышен интервал ожидания для запроса.
  8     *        *        *     Превышен интервал ожидания для запроса.
  9     *        *        3 ms  192.168.4.252

Трассировка завершена.
Сначала все ок потом через пару минут ни пинг ни трасерт нормально не идет, а еще через пару минут опять все ок. И как я понял это на стороне крио что то не ладно... Где то что то я в правилах трафика намудрил?
Или все же микротик виноват?
Адрес шлюза керио - 192.168.1.111 , адрес микротика 192.168.1.242
Очень нужна помощь. 2 недели бьюсь никак не могу понять где не вижу ошибку...
Изображения
Тип файла: png Керио правила.PNG (42.3 Кб, 6 просмотров)
sheffnik вне форума   Ответить с цитированием Вверх
Старый 16.10.2018, 11:39   #369
Kosh
Навичёг
 
Аватар для Kosh
 
Регистрация: 17.08.2017
Сообщений: 26
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Добрый день, прошу помощи по возможности.
Понимаю вся тема завалина одним и тем же, но не получается поднять тоннель между Kerio 9.2.4 и Mikrotik

Буду признателен на указание ошибки, скрины прилагаю
Изображения
Тип файла: jpg kerio.JPG (67.5 Кб, 8 просмотров)
Тип файла: jpg kerio-firewall.JPG (16.6 Кб, 6 просмотров)
Тип файла: jpg firewall.jpg (64.6 Кб, 8 просмотров)
Тип файла: jpg Peer Profiles.jpg (92.5 Кб, 8 просмотров)
Тип файла: jpg Polices.jpg (76.2 Кб, 6 просмотров)
Тип файла: jpg Policy Proposals.jpg (81.8 Кб, 7 просмотров)
Тип файла: jpg топология.jpg (37.3 Кб, 6 просмотров)
Тип файла: jpg Peers.jpg (79.2 Кб, 6 просмотров)

Последний раз редактировалось Kosh; 16.10.2018 в 12:27.
Kosh вне форума   Ответить с цитированием Вверх
Старый 16.10.2018, 11:51   #370
art100
 
Аватар для art100
 
Регистрация: 21.06.2010
Сообщений: 10
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от Kosh Посмотреть сообщение
... Kerio 9.2.4 и Mikrotik
Смотрим шифрование двухэтапное в керио ваш kerio.JPG 67.5 Кб, и мне показалось, а зачем разные шифрования? А почему бы не начать с полного совпадения на устройствах. Что мы видим некий aesXXX-shaXXX-modpXXXX разный и с некротиком полый расколбас?
И только потом уже ИП выверять.
art100 вне форума   Ответить с цитированием Вверх
Старый 16.10.2018, 11:58   #371
Kosh
Навичёг
 
Аватар для Kosh
 
Регистрация: 17.08.2017
Сообщений: 26
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от art100 Посмотреть сообщение
Смотрим шифрование двухэтапное в керио ваш kerio.JPG 67.5 Кб, и мне показалось, а зачем разные шифрования? А почему бы не начать с полного совпадения на устройствах. Что мы видим некий aesXXX-shaXXX-modpXXXX разный и с некротиком полый расколбас?
И только потом уже ИП выверять.
а какое там выставлять шифрование?, это я нашел на просторах по настройки между керио и микротиком
да и на предыдущих страницах в скринах у человека такое же было

в логах керио

[16/Oct/2018 11:01:37] IPsec: Failed to establish connection with remote endpoint 128.XX.XXX.XXX: Remote id [192.168.9.225] not found in configuration
Kosh вне форума   Ответить с цитированием Вверх
Старый 16.10.2018, 12:05   #372
art100
 
Аватар для art100
 
Регистрация: 21.06.2010
Сообщений: 10
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от Kosh Посмотреть сообщение
а какое там выставлять шифрование?, это я нашел на просторах по настройки между керио и микротиком
да и на предыдущих страницах в скринах у человека такое же было

в логах керио

[16/Oct/2018 11:01:37] IPsec: Failed to establish connection with remote endpoint 128.XX.XXX.XXX: Remote id [192.168.9.225] not found in configuration
а мою веселую картинку керийнонекротическую видел где я долбался матюгался [Для просмотра данной ссылки нужно зарегистрироваться] на этой странице [Для просмотра данной ссылки нужно зарегистрироваться]
есть какие-то проблемы одинаковые галки с чудо шифрами выставить?
я забил на некротик-и
в планах на новую точку писюки купить и пару керио с керио со всякими сетевыми делами в нагрузку виртуальщинокй шарой для сканеров принтеров и т.д. за 350 баксов вместо коробки некротика за 70 баксов
у нас есть решение некротик и выкинуть керио и купить за 1000 баксов новомодный зухел но цену руководсвто по сравнению с двумя писюками моей зарплатой сразу сыграло на пару керио
кратко- как-то так про чудо керио и чудо некротики

но ничего воюй
может получиться
art100 вне форума   Ответить с цитированием Вверх
Старый 16.10.2018, 12:13   #373
Kosh
Навичёг
 
Аватар для Kosh
 
Регистрация: 17.08.2017
Сообщений: 26
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от art100 Посмотреть сообщение
а мою веселую картинку крийнонекротическую видел где я долбался матюгался [Для просмотра данной ссылки нужно зарегистрироваться] на этой странице [Для просмотра данной ссылки нужно зарегистрироваться]
есть какие-то проблемы одинаковые галки с чудо шифрами выставить?
я забил на некротик
такие настройки?
Изображения
Тип файла: jpg kerio2.JPG (15.0 Кб, 10 просмотров)
Kosh вне форума   Ответить с цитированием Вверх
Старый 16.10.2018, 12:15   #374
art100
 
Аватар для art100
 
Регистрация: 21.06.2010
Сообщений: 10
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от Kosh Посмотреть сообщение
такие настройки?
ну славо богу тут без экспериментальщины
а что на некротике?
фигня?
art100 вне форума   Ответить с цитированием Вверх
Старый 16.10.2018, 12:18   #375
Kosh
Навичёг
 
Аватар для Kosh
 
Регистрация: 17.08.2017
Сообщений: 26
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от art100 Посмотреть сообщение
ну славо богу тут без экспериментальщины
а что на некротике?
фигня?
я прошу прощения, с микротиком первый раз "трахаюсь" могу не сразу понимать о чём речь

на всякий, микротик инициатор-керио в пассиве- всё без изменений- не поднимается
Изображения
Тип файла: jpg Ipsec Policy Proposal.JPG (37.5 Кб, 4 просмотров)
Kosh вне форума   Ответить с цитированием Вверх
Старый 16.10.2018, 12:21   #376
art100
 
Аватар для art100
 
Регистрация: 21.06.2010
Сообщений: 10
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от Kosh Посмотреть сообщение
я прошу прощения, с микротиком первый раз "трахаюсь" могу не сразу понимать о чём речь

на всякий, микротик инициатор-керио в пассиве
я сам всегда в первый раз трахаюсь а потом люблю и не люблю
некротик? не люблю
опять смотри мою картинку [Для просмотра данной ссылки нужно зарегистрироваться]
у меня под рукой только пара керио
некротик далеко и смотреть затруднительно

я заметил сам керио 30 секунд минимум в иделае поднимает что-то

я побежал работу работную работать
ну все удачи
art100 вне форума   Ответить с цитированием Вверх
Старый 19.10.2018, 13:20   #377
Kosh
Навичёг
 
Аватар для Kosh
 
Регистрация: 17.08.2017
Сообщений: 26
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

3 дня траха и я поднял ipsec, поделюсь решением ибо на новых прошивках микротика(моя 6.43.2) настройки изменились для IPsec

дано 2 белых ip(kerio-mikrotik)
иницатор Керио 9.2.4 (если инициатор микротик я так и не смог понять в чём косяк с поднятием тоннеля)

Особо обратить внимание, что в Policies(первая закладка) надо создать НОВОЕ правило путём копирования дефолтного(иначе не даст снять галку с "Template" а в закладке Action выставить Level-unique и галку Tunel)

вобщем на картинках всё понятно я думаю..........сука 3 дня убил
Изображения
Тип файла: jpg kerio.JPG (95.7 Кб, 17 просмотров)
Тип файла: jpg kerio2.JPG (83.0 Кб, 16 просмотров)
Тип файла: jpg kerio3.JPG (91.3 Кб, 16 просмотров)
Тип файла: jpg kerio-firewall.JPG (16.6 Кб, 16 просмотров)
Тип файла: jpg Polices.jpg (73.3 Кб, 16 просмотров)
Тип файла: jpg Policy Proposals.jpg (51.8 Кб, 16 просмотров)
Тип файла: jpg Peers.jpg (86.6 Кб, 15 просмотров)
Тип файла: jpg Peer Profiles.jpg (60.0 Кб, 15 просмотров)
Тип файла: jpg firewall.jpg (64.6 Кб, 16 просмотров)
Kosh вне форума   Ответить с цитированием Вверх
Старый 30.10.2018, 14:58   #378
Kosh
Навичёг
 
Аватар для Kosh
 
Регистрация: 17.08.2017
Сообщений: 26
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

дополню еще инфой как построить маршрутизацию на ipsec тоннеле, когда за керио, есть еще тоннели(в моём случае тоже керио) и их надо видеть за микротиком ну и в обратную сторону(я вообще не смог найти мануалов)
и так, схема микротик-керио1-керио2
микротик- 192.168.88.0/24
керио1- 192.168.100.0/24
керио2- 192.168.1.0/24

чтобы сети были видны, создаём на микроте в ip-ipsec-polices подсети, которые находятся ЗА керио2(подробно на скринах), со стороны керио2 прописываем в тоннеле с керио1 удалённые подсети(в моём случаи 192.168.88.0/24)
боле наглядно, всё на скринах
Изображения
Тип файла: jpg ipsec-polices.JPG (58.2 Кб, 7 просмотров)
Тип файла: jpg ipsec-policy-action.JPG (44.2 Кб, 8 просмотров)
Тип файла: jpg ipsec-policy-general.JPG (30.1 Кб, 5 просмотров)
Тип файла: jpg kerio1-vpn.JPG (97.7 Кб, 6 просмотров)
Тип файла: jpg kerio2-vpn.JPG (89.6 Кб, 5 просмотров)
Kosh вне форума   Ответить с цитированием Вверх
Старый 30.10.2018, 16:28   #379
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,558
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Дженерйт полись скажи, у тебя юник там - все политики создаутся сами. Пацаны, вы все время норовите изобрести колесо.
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Старый 31.10.2018, 10:59   #380
Kosh
Навичёг
 
Аватар для Kosh
 
Регистрация: 17.08.2017
Сообщений: 26
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата:
Сообщение от EnMan Посмотреть сообщение
Дженерйт полись скажи, у тебя юник там - все политики создаутся сами. Пацаны, вы все время норовите изобрести колесо.
короче, пока руками не прописал, нихера не заводилось!
Kosh вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 13:47. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2018, vBulletin Solutions Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях