Форум Kerio-rus  

Вернуться   Форум Kerio-rus > Продукты > Kerio VPN

Важная информация

Ответ
 
Опции темы
Старый 06.03.2017, 16:32   #1
Vanor
 
Регистрация: 30.10.2013
Сообщений: 3
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Kerio и cisco asa ipsec

Добрый день,

Вводная
Kerio 8.1.1 patch 3 build 1212
Cisco ASA 5505 (ASA9.2(4))
Так же проверялось на Kerio 9.2 и Cisco 5520

Впн настраивается и поднимается легко
Проблема:
Каждые 02:15:02 происходит разрыв, природу которого гугл мне пояснить не смог, кроме того что это завязано на strongswan
Дебаг:
Код:
[06/Mar/2017 15:28:31] {charon} charon: 03[NET] received packet: from 81.23.1.185[500] to 212.34.59.130[500]
[06/Mar/2017 15:28:31] {charon} charon: 03[ENC] parsed ID_PROT request 0 [ SA V V ]
[06/Mar/2017 15:28:31] {charon} charon: 03[IKE] received NAT-T (RFC 3947) vendor ID
[06/Mar/2017 15:28:31] {charon} charon: 03[ENC] received unknown vendor ID: 40:48:b7:d5:6e:bc:e8:85:25:e7:de:7f:00:d6:c2:d3:c0:00:00:00
[06/Mar/2017 15:28:31] {charon} charon: 03[IKE] 81.23.x.xx is initiating a Main Mode IKE_SA
[06/Mar/2017 15:28:31] {charon} charon: 03[IKE] 81.23.x.xx is initiating a Main Mode IKE_SA
[06/Mar/2017 15:28:31] {charon} charon: 03[ENC] generating ID_PROT response 0 [ SA V V V ]
[06/Mar/2017 15:28:31] {charon} charon: 03[NET] sending packet: from 212.34.x.xx[500] to 81.23.x.xx[500]
[06/Mar/2017 15:28:31] {charon} charon: 14[NET] received packet: from 81.23.x.xx[500] to 212.34.x.xx[500]
[06/Mar/2017 15:28:31] {charon} charon: 14[ENC] parsed ID_PROT request 0 [ KE No V V V V NAT-D NAT-D ]
[06/Mar/2017 15:28:31] {charon} charon: 14[IKE] no shared key found for 'CN=kerio.acme.ru, O=SDS, L=Moscow, C=RU'[(null)] - '%any'[(null)]
[06/Mar/2017 15:28:31] {charon} charon: 14[IKE] trying shared key for '212.34.x.xx'[(null)] - '81.23.x.xx'[(null)]
[06/Mar/2017 15:28:31] {charon} charon: 14[ENC] generating ID_PROT response 0 [ KE No NAT-D NAT-D ]
[06/Mar/2017 15:28:31] {charon} charon: 14[NET] sending packet: from 212.34.x.xx[500] to 81.23.x.xx[500]
[06/Mar/2017 15:28:31] {charon} charon: 01[NET] received packet: from 81.23.x.xx[500] to 212.34.x.xx[500]
[06/Mar/2017 15:28:31] {charon} charon: 01[ENC] parsed ID_PROT request 0 [ ID HASH V ]
[06/Mar/2017 15:28:31] {charon} charon: 01[CFG] looking for pre-shared key peer configs matching 212.34.x.xx...81.23.x.xx[81.23.x.xx]
[06/Mar/2017 15:28:31] {charon} charon: 01[CFG] Including peer config "tunnel_22_1_1_1"
[06/Mar/2017 15:28:31] {charon} charon: 01[CFG] selected peer config "tunnel_22_1_1_1"
[06/Mar/2017 15:28:31] {charon} charon: 01[IKE] deleting duplicate IKE_SA for peer '81.23.x.xx' due to uniqueness policy (CHILD_SA will be preserved).
[06/Mar/2017 15:28:31] {charon} charon: 01[IKE] deleting IKE_SA tunnel_22_1_1_1[121091] between 212.34.x.xx[212.34.x.xx]...81.23.1.185[81.23.x.xx]
[06/Mar/2017 15:28:31] {charon} charon: 01[IKE] deleting IKE_SA tunnel_22_1_1_1[121091] between 212.34.59.130[212.34.x.xx]...81.23.x.xx[81.23.x.xx]
[06/Mar/2017 15:28:31] {charon} charon: 01[IKE] sending DELETE for IKE_SA tunnel_22_1_1_1[121091]
[06/Mar/2017 15:28:31] {charon} charon: 01[ENC] generating INFORMATIONAL_V1 request 2215830552 [ HASH D ]
[06/Mar/2017 15:28:31] {charon} charon: 01[NET] sending packet: from 212.34.x.xx[500] to 81.23.x.xx[500]
[06/Mar/2017 15:28:31] {charon} charon: 01[IKE] IKE_SA tunnel_22_1_1_1[121092] established between 212.34.59.130[212.34.x.xx]...81.23.x.xx[81.23.x.xx]
[06/Mar/2017 15:28:31] {charon} charon: 01[IKE] IKE_SA tunnel_22_1_1_1[121092] established between 212.34.x.xx[212.34.x.xx]...81.23.x.xx[81.23.x.xx]
[06/Mar/2017 15:28:31] {charon} charon: 01[IKE] scheduling reauthentication in 9892s
[06/Mar/2017 15:28:31] {charon} charon: 01[IKE] maximum IKE_SA lifetime 10432s
[06/Mar/2017 15:28:31] {charon} charon: 01[IKE] DPD not supported by peer, disabled
[06/Mar/2017 15:28:31] {charon} charon: 01[ENC] generating ID_PROT response 0 [ ID HASH ]
[06/Mar/2017 15:28:31] {charon} charon: 01[NET] sending packet: from 212.34.x.xx[500] to 81.23.x.xx[500]
[06/Mar/2017 15:28:31] {charon} charon: 02[NET] received packet: from 81.23.x.xx[500] to 212.34.x.xx[500]
[06/Mar/2017 15:28:31] {charon} charon: 02[ENC] parsed INFORMATIONAL_V1 request 2344061420 [ HASH D ]
[06/Mar/2017 15:28:31] {charon} charon: 02[IKE] received DELETE for ESP CHILD_SA with SPI a51a8580
[06/Mar/2017 15:28:31] {charon} charon: 02[IKE] closing CHILD_SA tunnel_22_1_1_1{59} with SPIs cea3509c_i (0 bytes) a51a8580_o (563602 bytes) and TS 192.168.2.0/24 === 10.3.44.0/24 
[06/Mar/2017 15:28:32] {charon} charon: 02[IKE] closing CHILD_SA tunnel_22_1_1_1{59} with SPIs cea3509c_i (0 bytes) a51a8580_o (563602 bytes) and TS 192.168.2.0/24 === 10.3.44.0/24 
[06/Mar/2017 15:28:32] {IPsec} reqIdDown: reqId=59, tunnelId=22 (Right subnet: 10.3.44.0/255.255.255.0 via 3)
[06/Mar/2017 15:28:32] {IPsec} Removing route 10.3.44.0/255.255.255.0
[06/Mar/2017 15:28:32] {IPsec} Tunnel 22:волг-мск is down
Собственно в чейнджлоге керио указано что победили это в 8.4
- Fixed: IPsec tunnel re-authentication with Cisco ASA
но в 9.2 она остается
Поддержка сказала что проблема решаема, но решение дадим при продлении подписки
Естественно хочется решить это в рамках уже имеющегося. Пока обходной вариант это вторая cisco параллельно с керио, но не хочется два шлюза.
Vanor вне форума   Ответить с цитированием Вверх
Старый 06.03.2017, 19:43   #2
exchar
Охуительный пейсатель
 
Регистрация: 21.04.2008
Сообщений: 2,817
Поблагодарили 213 раз(а) в 181 сообщениях
По умолчанию Re: Kerio и cisco asa ipsec

Цитата
Сообщение от Vanor Посмотреть сообщение
в чейнджлоге керио указано что победили это в 8.4
- Fixed: IPsec tunnel re-authentication with Cisco ASA
но в 9.2 она остается
Поддержка сказала что проблема решаема, но решение дадим при продлении подписки
так "победили" или "остается"? или это уже "не та" проблема, которая в ченджлоге?..

при продлении подписки они предлагают как именно проблему решить? на последний релиз перейти или что?
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 07.03.2017, 12:23   #3
Vanor
 
Регистрация: 30.10.2013
Сообщений: 3
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Kerio и cisco asa ipsec

Проблема осталась та же самая без изменений

нет, именно поправить, цитирую: проблема на стороне циски, но мы знаем что поправить внутри керио(по ssh) что бы оно заработало

ну и добавлю: ставить конкретно 8.4 пока не пробовал
Vanor вне форума   Ответить с цитированием Вверх
Старый 07.03.2017, 14:40   #4
exchar
Охуительный пейсатель
 
Регистрация: 21.04.2008
Сообщений: 2,817
Поблагодарили 213 раз(а) в 181 сообщениях
По умолчанию Re: Kerio и cisco asa ipsec

если взять [Для просмотра данной ссылки нужно зарегистрироваться], и увидеть

Цитата At first the lifetime on the strongswan was set to 1 hour and it was disconnecting after exactly one hour, so I knew there was a config value initiating this. I changed the value to 8 hours (28800s) to match the ASA config on the other end, and it stayed up exactly 6 hours. There is definitely a problem here and I would appreciate a patch / fix. If there is a workaround, please do share.
а потом по ssh зайти в конфиг керио,
попробовать найти там аналогичный параметр,
проставить ему значение с циски...

то может все и заведется?
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 07.03.2017, 15:24   #5
HOG
Одменестрадор
 
Аватар для HOG
 
Регистрация: 08.03.2006
Адрес: Из лесу, вестимо...
Сообщений: 5,828
Поблагодарили 82 раз(а) в 72 сообщениях
По умолчанию Re: Kerio и cisco asa ipsec

Цитата
Сообщение от Vanor Посмотреть сообщение
проблема на стороне циски
быть не может, ибо CISCO systems существует гораздо долее Kerio, и тем более по ее стандартам почти 90% вообще всего оборудования работает, так что....
__________________
[Для просмотра данной ссылки нужно зарегистрироваться]

керио
HOG вне форума   Ответить с цитированием Вверх
Старый 07.03.2017, 16:17   #6
Vanor
 
Регистрация: 30.10.2013
Сообщений: 3
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Kerio и cisco asa ipsec

Цитата
Сообщение от exchar Посмотреть сообщение
то может все и заведется?
спасибо, действительно я задал гуглу неверный вопрос, покопаюсь за выходной


HOG, это дословная цитата сотрудника керио, я так даже немного поперхнулся когда это услышал.
Vanor вне форума   Ответить с цитированием Вверх
Старый 07.03.2017, 19:52   #7
exchar
Охуительный пейсатель
 
Регистрация: 21.04.2008
Сообщений: 2,817
Поблагодарили 213 раз(а) в 181 сообщениях
По умолчанию Re: Kerio и cisco asa ipsec

Цитата:
Сообщение от HOG Посмотреть сообщение
быть не может, ибо CISCO systems существует гораздо долее Kerio
Циска - это конечно хорошо, но мысль о непогрешимости любого ПО вызывает изрядный скепсис. Особенно после длительного общения с профессиональными тестировщиками ПО.
Хоть я циску не знаю и не пользуюсь, но емнип у них был и внешний багтрекер, как у многих вменяемых контор...
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 09.03.2017, 11:12   #8
Valery12
Одменестрадор
 
Регистрация: 21.11.2006
Адрес: Владимир, Россия
Сообщений: 2,939
Поблагодарили 23 раз(а) в 20 сообщениях
По умолчанию Re: Kerio и cisco asa ipsec

Цитата
Сообщение от exchar Посмотреть сообщение
Циска - это конечно хорошо, но мысль о непогрешимости любого ПО вызывает изрядный скепсис.
Речь не о непогрешимости, а о наглости службы поддержки.
проблема не в cisco а в совместимости cisco и kerio control и поскольку
Цитата:
Сообщение от HOG Посмотреть сообщение
CISCO systems существует гораздо долее Kerio, и тем более по ее стандартам почти 90% вообще всего оборудования работает
то понятно кто под кого должен подстраиваться!
вернемся к
Цитата
Сообщение от Vanor Посмотреть сообщение
Fixed: IPsec tunnel re-authentication with Cisco ASA
и проблеме автора причина явно в несоответствии параметров lifetime у ipsec туннеля
у керио (согласно их KB) фаза 1 - 3 часа фаза 2 - 60 минут
у cisco asa по умолчанию
фаза 1 - 86400, это в секундах или 24 часа
фаза 2 - 28800, 8 часов

поменять это на циско как "два пальца ..." (могу написать команды, кстати мануал по командам cisco ios более 1000 страниц, там настраивается все, для коммутаторов даже есть команды определения какая из четырех пар в кабеле повреждена и расстояние в метрах до повреждения), а вот где все это у керио сходу не понять
в вэбке похоже нет!
если учесть что керио использует strongswan параметры должны называться так:
фаза 1 - ikelifetime
фаза 2 - keylife
и задаваться в минутах

вот кто то выкладывал кусок конфига туннеля из керио

Цитата
Сообщение от Byuri Посмотреть сообщение
------------------------------------------------------
<list name="VpnTunnels_v2" identityCounter="2">
<listitem>
<variable name="Id">2</variable>
<variable name="Enabled">1</variable>
<variable name="IPsec">1</variable>
<variable name="Name">Мегафон</variable>
<variable name="Server">Y.Y.Y.Y</variable>
<variable name="Fingerprint"></variable>
<variable name="AcceptRoutes">Static</variable>
<variable name="AuthType">0</variable>
<variable name="Secret">D3S:zzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzz zzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzz</variable>
<variable name="LocalIp"></variable>
<variable name="LeftId">LOCAL ID</variable>
<variable name="RightId">Y.Y.Y.Y</variable>
<variable name="RightCert"></variable>
<variable name="RightSendCert">auto</variable>
<variable name="MaxCertReq">5</variable>
<variable name="Ike"></variable>
<variable name="Esp"></variable>
<variable name="DpdAction">clear</variable>
<variable name="ForceEncaps">0</variable>
<variable name="ZeroconfNetworking">0</variable>
</listitem>
</list>
--------------------------------------------------------
как видим нет там ни того ни другого

но бинго! на форуме kerio.com гугл все же нашел искомое, с указанием добавить вручную

<variable name="CustomOptions">dpddelay=30s</variable>
<variable name="CustomOptions">dpdtimeout=120s</variable>
<variable name="CustomOptions">ikelifetime=24h</variable>
<variable name="CustomOptions">lifetime=1h</variable>

тоесть фаза 1 - параметр ikelifetime, фаза 2 - lifetime

вот за это свое головотяпство вместо извинения местные кериоты еще и бабла хотят срубить!!!

возможно будет несовпадение по параметрам dpddelay и dpdtimeout (у cisco за это отвечает keepalive) но с учетом того что связь рвется через два часа причина скорее всего в последних двух.

Добавлено через 6 минут
Vanor, я давал параметры по умолчанию, но возможно на cisco они уже изменены, поэтому следует обратиться к админу и выяснить какие они в реале.

Последний раз редактировалось Valery12; 09.03.2017 в 11:19. Причина: Добавлено сообщение
Valery12 вне форума   Ответить с цитированием Вверх
Пользователь сказал cпасибо:
exchar (09.03.2017)
Старый 09.03.2017, 12:53   #9
exchar
Охуительный пейсатель
 
Регистрация: 21.04.2008
Сообщений: 2,817
Поблагодарили 213 раз(а) в 181 сообщениях
По умолчанию Re: Kerio и cisco asa ipsec

Цитата
Сообщение от Valery12 Посмотреть сообщение
то понятно кто под кого должен подстраиваться!
...
за это свое головотяпство вместо извинения местные кериоты
Покамест реализация алгоритма "от циско" не является отраслевым стандартом, официально принятым как в циско, так и в керио. Это просто бумажка ДСП, которую циско может менять без уведомлений по 10 раз на день и специально подстраиваться под нее никто не должен.

А в остально всё очень по делу, плюсую.
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 09.03.2017, 14:46   #10
Valery12
Одменестрадор
 
Регистрация: 21.11.2006
Адрес: Владимир, Россия
Сообщений: 2,939
Поблагодарили 23 раз(а) в 20 сообщениях
По умолчанию Re: Kerio и cisco asa ipsec

Цитата
Сообщение от exchar Посмотреть сообщение
Покамест реализация алгоритма "от циско" не является отраслевым стандартом, официально принятым как в циско, так и в керио. Это просто бумажка ДСП, которую циско может менять без уведомлений по 10 раз на день и специально подстраиваться под нее никто не должен.
дело не в "подстраиваться" а в том что разработчик не предусмотрел возможности тонкой настройки туннеля из за чего у пользователей постоянные проблемы с организацией этого самого туннеля между керио и другими дивайсами, не только циско кстати!
Valery12 вне форума   Ответить с цитированием Вверх
Старый 25.09.2018, 11:04   #11
MonkLuk
 
Регистрация: 02.06.2014
Сообщений: 1
Поблагодарили 1 раз в 1 сообщении
Радость Re: Kerio и cisco asa ipsec

В версиях 9.2 и выше ставите в настройках туннеля

Шифр фазы 1 (IKE) aes256-sha1-modp1024
Шифр фазы 2 (ESP) aes256-sha1

и туннель с асой поднимется
MonkLuk вне форума   Ответить с цитированием Вверх
Пользователь сказал cпасибо:
naliman (25.09.2018)
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 14:44. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях