Форум Kerio-rus

Вернуться   Форум Kerio-rus > Продукты > Kerio VPN

Важная информация

Ответ
 
Опции темы
Старый 02.07.2013, 17:12   #41
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,558
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Если вы внимательно прочтете все что я вам писал, а не через строку, то все должно получиться. Все мои эксперименты начинались именно с этого, я пишу вам, что не верно на скриншотах вы даже не говорите исправили или нет. Туннель работает в обе стороны и автоматическим и с ручным созданием политик ipsec. У вас в них ошибка, в предыдущем сообщении я вам на них указал. Отбивает желание помогать, если честно.
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Старый 03.07.2013, 12:55   #42
VladOst
 
Аватар для VladOst
 
Регистрация: 17.05.2013
Сообщений: 13
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Прочитал ВСЁ внимательно. Раз 5 уже ресетил Микротик и настраивал с нуля. Фигня... Проблема не в том, что туннель не устанавливается. В том то и дело, что он устанавливается! Но проблема в том, что Трасерты с самой машины Керио идут не в туннель, а в сеть провайдера. С самого Микротика Трасерауты тоже идут не в туннель, а на провайдера. Не смотря на то, что в таблице маршрутизации в Керио после установки туннеля появляется корректный маршрут в сеть Микротика. И на Микротике, естественно, правило НАТ создано первым (до маскарадингов). Т.ч. здесь не проблема создания туннеля. Скорее всего я гдето не поставил в Керио НАТ на какоето соединение, например...
Ещё раз повторюсь, что туннель подключается, в Керио он активен, в Микротеке появляются Installed SA в оба конца. Remote Peers есть в таблице.
Вот сейчас ещё раз просмотрел Таблицу маршрутизации в Керио после установки туннеля... (Вложение) Интересно, а почему метрика туннелю присваивается такая большая? У соединения с Керио-VPN-клиентом (192.168.10.0/24) метрика 0, а на туннель 10! Это при том, что дефолтный маршрут с метрикой 1... Естественно, пакет для туннеля 192.168.88.1 уйдёт на провайдера (интерфейс МТС, метрика 1), а не в интерфейс туннеля (метрика 10)...
EnMan, если ещё остались силы со мной общаться, можно попросить
1. скрин таблицы маршрутизации с Керио после установки туннеля
2. Трасерт с самого Керио до Микротика (192.168.88.1)
3. Правила трафика из Керио (все, естественно, без последних цифр, нужна последовательность и НАТ где какой)
Изображения
Тип файла: jpg Маршруты Керио.jpg (123.8 Кб, 142 просмотров)
VladOst вне форума   Ответить с цитированием Вверх
Старый 03.07.2013, 14:15   #43
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,558
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от VladOst Посмотреть сообщение
В том то и дело, что он устанавливается!
Когда вы поймете, что ЭТОГО МАЛО. Если ваши пакеты уходят в провайдера, значит у вас НЕ ПРАВИЛЬНЫЕ политики IPsec!
Цитата
Сообщение от VladOst Посмотреть сообщение
Не смотря на то, что в таблице маршрутизации в Керио после установки туннеля появляется корректный маршрут в сеть Микротика.
ЭТОГО МАЛО. Нужно чтобы SAs которым шифрует Kerio расшифровывался аналогичным в Mikrotik. Иначе ваши пакеты будут ОТБРОШЕНЫ!
Цитата
Сообщение от VladOst Посмотреть сообщение
Ещё раз повторюсь, что туннель подключается, в Керио он активен, в Микротеке появляются Installed SA в оба конца.
Повторяю - ЭТОГО МАЛО.
Цитата
Сообщение от VladOst Посмотреть сообщение
Естественно, пакет для туннеля 192.168.88.1 уйдёт на провайдера (интерфейс МТС, метрика 1)
Пусть метерика будет ХОТЬ МИЛЛИАРД. Если есть маршрут для пакета - он пойдет в маршрут. Метрика играет роль при наличии ОДИНАКОВЫХ МАРШРУТОВ.
Цитата
Сообщение от VladOst Посмотреть сообщение
EnMan, если ещё остались силы со мной общаться, можно попросить
Почти не осталось.
Цитата
Сообщение от VladOst Посмотреть сообщение
1. скрин таблицы маршрутизации с Керио после установки туннеля
блеать....

В общем мое предложение такое. В ЛС связь, желательно skype. Тимвьювер до хоста с открытой админконсолью Control и Winbox.
__________________
керио

Последний раз редактировалось EnMan; 03.07.2013 в 14:51.
EnMan вне форума   Ответить с цитированием Вверх
Старый 04.07.2013, 09:37   #44
VladOst
 
Аватар для VladOst
 
Регистрация: 17.05.2013
Сообщений: 13
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата:
Сообщение от EnMan Посмотреть сообщение
В ЛС связь, желательно skype
Даже надеяться не мог на такое предложение инфа отправлена в ЛС
VladOst вне форума   Ответить с цитированием Вверх
Старый 04.07.2013, 14:42   #45
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,558
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Как и ожидалось на починку ушло не больше минуты
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Старый 04.07.2013, 14:50   #46
VladOst
 
Аватар для VladOst
 
Регистрация: 17.05.2013
Сообщений: 13
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

EnMan, СПАСИБО ГРОМАДНОЕ за помощь!!!
Всё срослось, сети видны в обе стороны.
Как я понял, основная проблема была в том, что (если что, поправьте )
1. в IPsec Policy в SA Src нужно было указать 0.0.0.0, а не серый WAN роутера
2. Активировать NAT Traversal в Peer
3. Ну, и Уважаемый EnMan ещё в Керио в Локальных сетях Туннеля прописал принудительно сеть за Керио (но я сейчас экспериментирую, с "автоматическим" присваиванием тоже работает, но потом для работы всё-таки пропишу вручную принудительно)
Ещё раз СПАСИБО!
PS Да, и ещё... Даже сейчас если трасертить с самого Керио до Микротика, то по прежнему пакеты идут на провайдера А вот если с сети ЗА Керио в сеть ЗА Микротиком, то всё работает через туннель. Возможно, это тоже меня сбивало с толку долгое время
VladOst вне форума   Ответить с цитированием Вверх
Старый 04.07.2013, 15:22   #47
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,558
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от VladOst Посмотреть сообщение
1. в IPsec Policy в SA Src нужно было указать 0.0.0.0, а не серый WAN роутера
Можно и серый WAN

Цитата
Сообщение от VladOst Посмотреть сообщение
2. Активировать NAT Traversal в Peer
Да, и это описано в статье. У вас провайдерский NAT.

Цитата
Сообщение от VladOst Посмотреть сообщение
PS Да, и ещё... Даже сейчас если трасертить с самого Керио до Микротика, то по прежнему пакеты идут на провайдера
Посмотрите с какого интерфейса они уходят . Поэтому и на провайдера... Все практически есть в моей статье. И ICMP нужно пускать не с ISP интерфейса, а с бриджа.
__________________
керио

Последний раз редактировалось EnMan; 05.07.2013 в 06:11.
EnMan вне форума   Ответить с цитированием Вверх
Старый 06.11.2013, 15:46   #48
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,558
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от nickolasm Посмотреть сообщение
перечитав весь пост, и pdf с инструкцией в точности по инструкции настроил. (керио пассивный микротик инициатор)
В статье моей только с точностью до наоборот. Микротик принимает подключение, Control их инициирует. Я могу не помнить, но кажется в случае если схема с установкой соединения микротиком, то политики придется ручками делать.

1. Настройки туннеля в Control покажите
2. Результат выполнения команды в терминале "ip ipsec peer export" покажите
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Старый 06.11.2013, 16:12   #49
nickolasm
Песака
 
Аватар для nickolasm
 
Регистрация: 11.05.2006
Адрес: Санкт-петербург
Сообщений: 80
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

спасибо! пока читал и думал, нашел ошибку и все запахало. надо было в политиках указывать подсетку за микротиком которая отлична от 10.0.0.10 (192.168...)
как указал - все поднялось и запахало. все пингуется в обе стороны.
Единственное, IP камера еле еле веб морду открывает по тунелю, хотя и там и там минимум 3мб/с инет
Может где то что то надо еще прописывать? почему так медленно?

Последний раз редактировалось nickolasm; 06.11.2013 в 16:22.
nickolasm вне форума   Ответить с цитированием Вверх
Старый 06.11.2013, 18:55   #50
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,558
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

надо выкинуть yota
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Старый 06.11.2013, 18:56   #51
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,558
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

потрите сообщение с дебаг логом
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Старый 06.11.2013, 21:04   #52
nickolasm
Песака
 
Аватар для nickolasm
 
Регистрация: 11.05.2006
Адрес: Санкт-петербург
Сообщений: 80
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Короче толку с yota практически 0 в моем случае. Пришел домой - все уже отвалилось. ничего не менялось - никакие настройки, ничего (поменялся только внешний yota вский ip)(но он в настройках нигде не фигурирует) - и все. та же петрушка. peer установлен, а тунель в керио не поднят. ничего не пашет

кстати интересно, почему обычный kerio vpn client в тот же момент пашет по этой yota как часы (да он даже через мобильник пашет), а этот ipsec сколько не ебись никакой надежности. хоть прямо там тачку с керио ставь...
nickolasm вне форума   Ответить с цитированием Вверх
Старый 06.11.2013, 21:20   #53
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,558
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

покажите настройки тунеля в керио
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Старый 06.11.2013, 21:47   #54
nickolasm
Песака
 
Аватар для nickolasm
 
Регистрация: 11.05.2006
Адрес: Санкт-петербург
Сообщений: 80
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата:
Сообщение от EnMan Посмотреть сообщение
покажите настройки тунеля в керио

т.е. по факту соединение по протоколу IKE есть а по ipsec nat-t не может он поднять

кстати а в политиках на микротике надо что то указывать в полях src port и dst port в general?

Последний раз редактировалось nickolasm; 07.11.2013 в 08:36.
nickolasm вне форума   Ответить с цитированием Вверх
Старый 07.11.2013, 06:15   #55
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,558
По умолчанию

Отдаленный ID - %any, что бы ниебла смена адреса на yota
и покажите - ip ipsec peer export с микротика

Блин, ну прячьте вы внешние адреса... Я вас не просто так debug log просил потереть,, замулевали бы что ли.

Цитата
Сообщение от nickolasm Посмотреть сообщение
кстати а в политиках на микротике надо что то указывать в полях src port и dst port в general?
политики создаются автоматически?
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Старый 07.11.2013, 08:30   #56
nickolasm
Песака
 
Аватар для nickolasm
 
Регистрация: 11.05.2006
Адрес: Санкт-петербург
Сообщений: 80
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата:
Сообщение от EnMan Посмотреть сообщение
Отдаленный ID - %any, что бы ниебла смена адреса на yota
и покажите - ip ipsec peer export с микротика

Блин, ну прячьте вы внешние адреса... Я вас не просто так debug log просил потереть,, замулевали бы что ли.

политики создаются автоматически?

за ночь сам опять поднялся...
Отдаленный ID - %any - керио не позволяет - ругается, что мол при пассивном подключении нельзя указывать.
политики автоматически не создаются.


... при загрузке терминала выдает

nov/06/2013 18:05:34 ipsec,warning,critical failed to begin ipsec sa negotiation.
nov/06/2013 18:06:34 ipsec,warning,critical failed to begin ipsec sa negotiation.
nov/06/2013 18:07:34 ipsec,warning,critical failed to begin ipsec sa negotiation.
nov/06/2013 18:09:09 ipsec,warning,critical failed to begin ipsec sa negotiation.
nov/06/2013 18:10:09 ipsec,warning,critical failed to begin ipsec sa negotiation.
nov/06/2013 18:11:02 ipsec,warning,critical failed to begin ipsec sa negotiation.
nov/06/2013 18:12:06 ipsec,warning,critical failed to begin ipsec sa negotiation.


...
ip ipsec peer export

[admin@unisi.ru (812)-929-8183] > ip ipsec peer export
# nov/07/2013 09:28:44 by RouterOS 6.5
# software id = KKDQ-LN7Q
#
/ip ipsec peer
add address=46.47.249.ххх/32 dh-group=modp1536 dpd-maximum-failures=12 \
exchange-mode=main-l2tp generate-policy=port-override hash-algorithm=sha1 \
nat-traversal=yes secret=хххххххххххх
[admin@unisi.ru (812)-929-8183] >

кстати по скорости -
закачка на сеть за микротиком примерно 400kb/s, скачка от туда 150kb/s

при том что speedtest.net и если качать что то из инета показывает там где микротик 20mb/s - закачка 3mb/s - отдача

(головной офис подключен кабелем и там стабильно 3-4 mb/s туда сюда)

еще интересно - походу он каждый раз, когда меняется внешний пытается пересоздать Sa -


Последний раз редактировалось nickolasm; 07.11.2013 в 08:45.
nickolasm вне форума   Ответить с цитированием Вверх
Старый 25.11.2013, 10:03   #57
ZHainbay
Навичёг
 
Аватар для ZHainbay
 
Регистрация: 12.11.2007
Сообщений: 21
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Добрый день. уважаемые гуру.
Прошу помощи.
Соеденил микротик (rb 750 v6.6) с керио (contol 8.01 ) по мануалу EnMan.
Связь есть в оба конца. Сети друг друга видят. И вроде бы все прекрасно,
Но пропадает свзяь примерно через 30-60 минут. И не восстанавливается, пока либо не вкл выл ip ipsec peer либо тунль в керио.

Подключение по ipsec активно. Наружний ip микротика пингуется.

Пожалуйста пните в каком направлении искать.
ZHainbay вне форума   Ответить с цитированием Вверх
Старый 25.11.2013, 10:21   #58
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,558
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Вообще я обратил внимание на такое поведение, да. Оно засыпает при отсутствии активности. Причин не выявил. Решил добавлением мониторинга VPN каналов, который раз в пять минут проверяет доступность VPN пингом на серый адрес из одного филиала в другой. И все живет. Костыль, да.
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Старый 25.11.2013, 10:46   #59
ZHainbay
Навичёг
 
Аватар для ZHainbay
 
Регистрация: 12.11.2007
Сообщений: 21
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата:
Сообщение от EnMan Посмотреть сообщение
Вообще я обратил внимание на такое поведение, да. Оно засыпает при отсутствии активности. Причин не выявил. Решил добавлением мониторинга VPN каналов, который раз в пять минут проверяет доступность VPN пингом на серый адрес из одного филиала в другой. И все живет. Костыль, да.
я канал нагружаю в это время. постояный пинг
постоянная передача по этому каналу
ZHainbay вне форума   Ответить с цитированием Вверх
Старый 26.11.2013, 13:07   #60
ZHainbay
Навичёг
 
Аватар для ZHainbay
 
Регистрация: 12.11.2007
Сообщений: 21
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

после 2х дней мозгоаотаке ничего умнее чем каждые 30 минут выключать и включать peer не придумал.
1 % потерь, но все же как-то работает теперь.
Думаю еще обновить керио до 8.2 и поменять саму железку микротик.
ZHainbay вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 13:51. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2018, vBulletin Solutions Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях