Форум Kerio-rus  

Вернуться   Форум Kerio-rus > Продукты > Kerio VPN

Важная информация

Ответ
 
Опции темы
Старый 05.02.2018, 20:56   #1
ua4frr
Песака
 
Аватар для ua4frr
 
Регистрация: 17.01.2008
Адрес: Пенза
Сообщений: 78
Поблагодарили 6 раз(а) в 5 сообщениях
По умолчанию Kerio VPN - не понятные траблы(((

Всем привет! Прошу помощи зала в непонятной мне пока ситуации...

И так, имеет шлюз Керио 9.2.3-2219, настроен руками (не перенос конфига) с его виндового собрата последней виндовой версии, и поставлен в работу опять же вместо старого...

Все было замечательно до момента, пока не вздумалось мне по экспериментировать с реализацией объединения сетей методом IPSec между Керио и железкой Зюксель Омни 2 (удаленно трапы с определенного железа получать, ранее был ВПН до шлюза с виндовым Керио - решил сделать по другому). Так вот - туннель до конца поднять как надо мне не удалось...зато словил прикол:

1. удаленные клиенты перестали подключаться через керио впн (ошибка - "возможно заблокирован UDP-трафик)
2. виндовые впн также перестали работать до машин за керио(((
3. даже фтп-сервер заработал в одностороннем порядке, только чтение и то не всегда

Увидев такое я слегка пребывал в шоке - удалил туннель с которым экспериментировал - не помогло, облазил все настройки, посмотрел в логе, что делал в конфиге, вернул досконально все назад как было и все работало - опять не помогло. Сделал ребут шлюза керио - не помогло. Осталось только последнее - восстановиться с бэкапа, благо это я настроил одним из первый.
Восстановил - и о чудо - все ожило как и прежде. Ну думаю - сам где то накосячил и не нашел. Более не стал ни чего менять. НО ПРОХОДИТ пару дней и ситуация повторяется в точности также. За это время ни каких туннелей не строил и кроме пару изменений в юзерских правилах (кое какие порты забыл открыть при переносе со старого шлюза юзерам) не делал. Опять с тупоре я. При чем глюк какой то не понятный - все соединения впн активные и работоспособны пока не закрыты юзером, рабочий день закончился и все более не подключится. Я и на провайдера грешил - проверяли с его технарями - с их стороны проблем нет, все ходит как надо, до меня все UDP долетаю, с моей стороны идет отказ типа.

И вот уже третий раз восстанавливаюсь с уже отдельно сохраненного бэкапа...разобраться не получается...прошу помощи у зала, как говорится...

Любую нужную инфу предоставлю...

З.Ы. сколько лет уже с керио (уже больше 10 лет точно) - но такое первый раз..
З.Ы.Ы. логирование включал по полной - не нашел почему идет отказ от шлюза по UDP...

Заранее благодарен всем откликнувшимся)))
ua4frr вне форума   Ответить с цитированием Вверх
Старый 05.02.2018, 21:36   #2
naliman
особый
 
Аватар для naliman
 
Регистрация: 19.06.2006
Сообщений: 13,697
Поблагодарили 171 раз(а) в 140 сообщениях
По умолчанию Re: Kerio VPN - не понятные траблы(((

а бекап делал после словленного глюка?

Добавлено через 50 секунд
оппробуй обновиться до актуальной 9.2.4
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу

Последний раз редактировалось naliman; 05.02.2018 в 21:37. Причина: Добавлено сообщение
naliman вне форума   Ответить с цитированием Вверх
Старый 05.02.2018, 21:58   #3
ua4frr
Песака
 
Аватар для ua4frr
 
Регистрация: 17.01.2008
Адрес: Пенза
Сообщений: 78
Поблагодарили 6 раз(а) в 5 сообщениях
По умолчанию Re: Kerio VPN - не понятные траблы(((

Цитата:
Сообщение от naliman Посмотреть сообщение
а бекап делал после словленного глюка?
Нет, бэкапы автоматом делаются в кериве, нашел самый крайний в списке от 31 января и до него восстановился - в общем бэкап до глюков сделан...
Цитата:
Сообщение от naliman Посмотреть сообщение
оппробуй обновиться до актуальной 9.2.4
Думал уже об этом, хотел сначала понять что не так с моим шлюзом...

З.Ы. успел по форуму пройтись по темам - вопросы отлупа керио впн по UDP поднимались уже на свежих версиях Керио..похожей ситуации правда не нашел...у меня сразу и виндовый впн до машины за керио тоже не поднимается...про фтп писал тоже...эт уже сегодня из дома заметил, когда пытался себе домой конфиг тот "волшебный" скачать для восстановления уже в третий раз...
При это при всем другие протоколы работаю - хттп, почта, рдп удаленка, радмин и прочее прочее...

З.Ы.Ы. сейчас еще попробую поискать написано ли у них что сделано в последнем релизе в отличие от моего установленного...

Добавлено через 32 минуты
Добавлю мысли по итогам перекура инета - это или глюк инспектора протокола или косяк в фильтрации содержимого (то бишь в веб-фильтре - на виндовой машине я им не пользовался вообще, ибо не смог пришамать и забыл о нем, а тут он работает как у меня)....

Добавлено через 1 час 9 минут
Еще от нашел обсуждение еще версии 8.2 на руборде:
"Разобрался. В правилах трафика есть колонка "Инспектор". если стоит "по умолчанию" то по этому правилу включается Web Filter , а если "нет" то и не надо ничего фильтровать. И почта и VPN работают. Попытки поставить в этом поле службу не увенчались успехом, поэтому не понятно что разработчик имел ввиду под "Инспектор SMTP". Включить фильтрацию при обнаружении протокола, или наоборот не фильтровать по нему. Не знаю короче, вырубил инспектор на всем кроме выхода в инет пользователей."

"
Действительно, после отключения инспектора на правиле трафика VPN и удаления правила VPN из фильтрации содержимого, керио перестал контролировать VPN трафик и пустил без проблем.

Почту я пустил правилом в фильтрации содержимого эл.почта-керио-разрешить.

Собственно получается то, что я и хотел, керио блочит все, что я не разрешил, кроме VPN трафика.

Спасибо за подсказку!

p.s.: А косяк все же имеется - трафик попадающий под службу kerio VPN не попадает под правило разрешающее VPN в фильтрации содержимого. Иначе аналогичное правило с почтой тоже не сработало бы."

Как писал выше - по последней виндовой версии не пользовался фильтром содержимого вообще...может в этом наравлении двигаться или кто подскажет как правильно им пользоваться? Пока отключил его вообще - наблюда что будет с впн и прочим с ним связанным...

Последний раз редактировалось ua4frr; 05.02.2018 в 23:07. Причина: Добавлено сообщение
ua4frr вне форума   Ответить с цитированием Вверх
2 пользователя(ей) сказали cпасибо:
HOG (06.02.2018), naliman (06.02.2018)
Старый 06.02.2018, 01:18   #4
naliman
особый
 
Аватар для naliman
 
Регистрация: 19.06.2006
Сообщений: 13,697
Поблагодарили 171 раз(а) в 140 сообщениях
По умолчанию Re: Kerio VPN - не понятные траблы(((

Цитата:
Сообщение от ua4frr Посмотреть сообщение
может в этом наравлении двигаться или кто подскажет как правильно им пользоваться? Пока отключил его вообще - наблюда что будет с впн и прочим с ним связанным...
отключил протоколинспектор или контент-фильтр?

вообще что с руборды процитировал - это вариант

уверен если так сделать то твой впн заработает без глюков, по крайней мере надо попробовать и понаблюдать
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 06.02.2018, 08:35   #5
ua4frr
Песака
 
Аватар для ua4frr
 
Регистрация: 17.01.2008
Адрес: Пенза
Сообщений: 78
Поблагодарили 6 раз(а) в 5 сообщениях
По умолчанию Re: Kerio VPN - не понятные траблы(((

Цитата:
Сообщение от naliman Посмотреть сообщение
отключил протоколинспектор или контент-фильтр?
Отключил веб-фильтр, убрал из фильтрации содержимого всех добавленных мною юзеров в графе "Источник"...наблюдаю...
ua4frr вне форума   Ответить с цитированием Вверх
Старый 06.02.2018, 08:57   #6
ua4frr
Песака
 
Аватар для ua4frr
 
Регистрация: 17.01.2008
Адрес: Пенза
Сообщений: 78
Поблагодарили 6 раз(а) в 5 сообщениях
По умолчанию Re: Kerio VPN - не понятные траблы(((

Ну уж и до кучи вырубил протокол-инспектора везде, кроме выхода юзеров в инет через керио...

Наблюдаю....

З.Ы. а экспериментировал я вот с такой схемой объединения двух подсетей - [Для просмотра данной ссылки нужно зарегистрироваться]
Но туннель я меня так и не поднялся...времени не хватило разобраться...а наследующий день произошел уже отлуп по керио/винда впн...

З.Ы.Ы. И так пока все работает - воспроизвел эксперимент по туннелю по ссыллке - работает, подключение идет, сейчас проверю доступность под сетей на обоих концах туннеля и отпишусь...
Соответственно веб-фильтр и инспектор протокола отключен везде, кроме юзерского инета через НАТ...

Последний раз редактировалось ua4frr; 06.02.2018 в 16:20.
ua4frr вне форума   Ответить с цитированием Вверх
Старый 07.02.2018, 10:40   #7
ua4frr
Песака
 
Аватар для ua4frr
 
Регистрация: 17.01.2008
Адрес: Пенза
Сообщений: 78
Поблагодарили 6 раз(а) в 5 сообщениях
По умолчанию Re: Kerio VPN - не понятные траблы(((

Продолжу свое повествование, если конечно к нему есть интерес у публики)))

И так, схема та, что выше - работоспособна. С одной стороны туннеля (Керио и за ним) - локалька Зукселя доступна, с другой стороны туннеля - т.е. за Зюкселем - не совсем, НО у меня изначально от Зюкселя поднять виндовый ВПН и прописан статический маршрут до локалки за Керио (пока не стал ни чего менять, ибо если что - придется ехать за железкой на место и тащить себе, чуть позже сделаю именно так). Пока просто наблюдаю, как оно живет.

На счет ФТП и его не доступности - тут еще интереснее получилось, я таки не учел, что теперь фтп-сервер не на шлюзе, а за ним теперь. По этому пришлось изучать пассивный режим фтп, пробрасывать порты для этого режима, ну опять таки прибил протокол инспектор для фтп-службы, ибо чего то он толи мешает, толи я тормоз и не пойму как он работает.....

Наблюдаем-с дальше...
ua4frr вне форума   Ответить с цитированием Вверх
Старый 09.02.2018, 15:48   #8
Black Cat
Навичёг
 
Регистрация: 30.07.2009
Адрес: Тула
Сообщений: 32
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Kerio VPN - не понятные траблы(((

Я по похожей схеме настраивал, у меня все работает.
Цитата:
Сообщение от ua4frr Посмотреть сообщение
за Зюкселем - не совсем
что у Вас там не работает ?

У меня щас другой вопрос, который я озвучил [Для просмотра данной ссылки нужно зарегистрироваться]
Black Cat вне форума   Ответить с цитированием Вверх
Старый 09.02.2018, 16:57   #9
ua4frr
Песака
 
Аватар для ua4frr
 
Регистрация: 17.01.2008
Адрес: Пенза
Сообщений: 78
Поблагодарили 6 раз(а) в 5 сообщениях
По умолчанию Re: Kerio VPN - не понятные траблы(((

Цитата:
Сообщение от ua4frr Посмотреть сообщение
Продолжу свое повествование, если конечно к нему есть интерес у публики)))
На счет ВПН и прочего - конец рабочей недели - полет нормально, единственное, что не делал - так это для чистоты не перезагружал Кериву...
Цитата
Сообщение от Black Cat Посмотреть сообщение
что у Вас там не работает ?
Да как то частично туннель работает:
С стороны Керио и за ним - пингуется и ходит все что нужно к шлюзу локалки Зюкселя и за ним. Со стороны Зюкселя почему то не пингуются компы из локалки за Керио, смотрел на самом Зюкселе с его веб морды, НО с него же у меня поднимает простой ВПН до ВинСервер2008 (первый вариант который я когда делал) и есть таки предположение, что все пакеты уходят именно в ВПН виндовый до серверной машины, которая раньше была также и шлюзом...у Зюкселя почему то нет трайсроута в диагностике что посмотреть трассировку...за ним - железка которая трапы мне шлет, она это и делает - я их принимаю...пока успокоился...
З.Ы. были у меня еще статический маршрут прописан ранее, я его удалил, но как бы разницы ни какой не заметил, возможно надо было перезагрузить Зюксель...хотя...
ua4frr вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 21:44. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях