Форум Kerio-rus  

Вернуться   Форум Kerio-rus > Продукты > Kerio VPN

Важная информация

Ответ
 
Опции темы
Старый 16.07.2018, 16:16   #361
datusername
Знатный писарь
 
Регистрация: 26.04.2018
Сообщений: 284
Поблагодарили 43 раз(а) в 39 сообщениях
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от tip22 Посмотреть сообщение
Как только цифирный ставлю, нормально всё
А если вот так:
12345ABCDEF
Работает?
datusername вне форума   Ответить с цитированием Вверх
Старый 27.07.2018, 13:10   #362
sheffnik
 
Регистрация: 11.10.2017
Сообщений: 8
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Всем доброго дня.
Ситуация такая. Есть Kerio 9.2 и микротик 750G3
Туннель между ними поднят ipsec инициатор керио , принимает микротик.
Так вот. Сеть за микротиком(филиал) видит сеть за Керио, а вот сеть за керио не видит сеть за микротиком... Туннель поднят внутри локальной сети(так нужно. это как основной канал.+ резерв с белым ип но с ним позже)и с vlan я так и не осилил соединение.
Настройки микротика
Код:
/ip firewall nat
add action=accept chain=srcnat dst-address=192.168.4.0/24 src-address=\192.168.1.0/24
add action=accept chain=srcnat dst-address=192.168.1.0/24 src-address=\ 192.168.4.0/24
add action=masquerade chain=srcnat comment=Prostor out-interface=ether1
add action=masquerade chain=srcnat comment=Chocolate out-interface=ether2
Так же фасттрак(взял отсюда. mangle тоже прописаны)
Код:
/ip firewall filter
add action=fasttrack-connection chain=forward comment=FastTrack \   connection-mark=!ipsec connection-state=established,related
add action=accept chain=forward connection-state=established,related
Сесть за керио 192.168.1.0/24 , за микротиком - 192.168.4.0/24
прикрепил правила на керио.
Изображения
Тип файла: png Керио правила.PNG (29.2 Кб, 2 просмотров)
sheffnik вне форума   Ответить с цитированием Вверх
Старый 27.07.2018, 13:33   #363
datusername
Знатный писарь
 
Регистрация: 26.04.2018
Сообщений: 284
Поблагодарили 43 раз(а) в 39 сообщениях
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

sheffnik ответите на простой вопрос srcnat и masquerade вам зачем?
datusername вне форума   Ответить с цитированием Вверх
Старый 27.07.2018, 13:56   #364
sheffnik
 
Регистрация: 11.10.2017
Сообщений: 8
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

datusername, филиал находится удаленно, средствами провайдера проброшен тунель с сетью 168.1.0/24 и скоростью 100мбит она воткнута в eth2 , в eth1 будет воткнут 2 провайдер с белым IP смотрящий соответственно в инернет, а там уже 10мбит, как резерв на случай обрыва первого. Как сделать отказоустойчивость кроме как ipSec туннелем я пока не осилил... поэтому и 4.0 сеть за натом прячу. сейчас посмотрел и правда лишний eth2 masquerade , должен быть на eht3 ибо на нем dhcp висит и dst-address=192.168.4.0/24 src-address=\192.168.1.0/24 тоже
Код:
add action=accept chain=srcnat dst-address=192.168.1.0/24 src-address=\ 192.168.4.0/24
что бы 1 и 4 подсети видели друг друга за НАТом
Убрал все лишнее. завелось, сети видят друг друга. теперь вопрос. как правильно закрыть все лишнее в firewall rules...

Последний раз редактировалось sheffnik; 27.07.2018 в 14:14.
sheffnik вне форума   Ответить с цитированием Вверх
Старый 27.07.2018, 14:47   #365
datusername
Знатный писарь
 
Регистрация: 26.04.2018
Сообщений: 284
Поблагодарили 43 раз(а) в 39 сообщениях
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Знали бы вы как мне лень переваривать ваш поток сознания...

Цитата
Сообщение от sheffnik Посмотреть сообщение
что бы 1 и 4 подсети видели друг друга за НАТом
Вы про роутинг что то слышали? NAT вам не нужен, маскарадинг вам не нужен. Потому что за NAT вы и чёрта лысого не увидете - такова суть NAT. Настраиваете маршруты, объясняете вашим шлюзам, где какие сети живут и всё заработает.


И идите пить пиво, праздник же!
datusername вне форума   Ответить с цитированием Вверх
Старый 30.07.2018, 14:59   #366
art100
 
Регистрация: 21.06.2010
Сообщений: 2
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Всех с праздничком.
Я винцо попил мороженкой заел картошечки молодой в мундирчике с подсолнечным маслецом и селедочкой балтийской солененкой.
Сам базар:
Чудо Diffi Helman group алгоритмик
aes128 sha1 modp768
На некротиках-наркотиках версии Microtik RB750Gr3 [Для просмотра данной ссылки нужно зарегистрироваться]
Я конечно решил задачу из пылесосов, авна и палок ковыляя на костылях.
Стенания:
Пните в верном направлении
1.Ждать чудо версии Kerio за 300 баксов?
2.Или есть возможность пересобрать ядро-ведро керио с чудо алгоритмом Diffi Helman group modp768 ?
Никогда не думал. У керио ssh есть и можно чудо модуль чудо пач вживить?
3.Или как и 25 лет назад по старинке .... снимаем и ломаем все что хочется и не нужно по ходу за много много человеко-безчеловечных часов ради "вунь той галки"?

Веселую картинку прилагаю:
Не дружба c Microtik RB750Gr3 алгоритм VPN IPsec aes128 sha1 modp768
Гранаты разных систем.

Попытка осмыслить что тут написано:
Суть проблемы.
Меня встречает VPN сервер с алгоритмом es128-sha1-modp768 с парольной фразой поднятый на Microtik RB750Gr3 [Для просмотра данной ссылки нужно зарегистрироваться] которого не видать в Kerio 9.2.6 es128-sha1-modp1024
Забить?
И вам хорошего настроения.
Изображения
Тип файла: jpg 20180723-211601-ipsec-aes128-sha1-modp768.jpg (198.2 Кб, 3 просмотров)

Последний раз редактировалось art100; 30.07.2018 в 15:12.
art100 вне форума   Ответить с цитированием Вверх
Старый 30.07.2018, 15:19   #367
art100
 
Регистрация: 21.06.2010
Сообщений: 2
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от sheffnik Посмотреть сообщение
... Kerio 9.2 и НЕкротик 750G3 ...
... ipsec инициатор...
.. керио , принимает НЕкротик. ....
мне бы ваши проблемы
у вас хоть вяжуться только отладить маршруты
забейте
я забил
купил пару оборудования под впн-щину
в моём случай поставил в удаленном офисе
2 компьютера на стол
2 принтсерврера на один принтер
каждому сказал у вас есть флешки в ваших андроидах с вашими чудо-дата-кабелями с моими чудо буферами обмена по рдп с почтовым обменом ради ваших счетов раз в сутки
и забил на проблему

Любое решение имеет два пути
Программное или аппаратное
если программное авно то аппаратное

Как?
Просто?
art100 вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 00:16. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях