Форум Kerio-rus

Вернуться   Форум Kerio-rus > Продукты > Kerio VPN

Важная информация

Ответ
 
Опции темы
Старый 06.02.2020, 15:05   #1
iman61
Навичёг
 
Аватар для iman61
 
Регистрация: 05.08.2010
Сообщений: 27
По умолчанию Туннель Kerio IPsec - Microtic и RemoteApp

Несколько дней назад вместо Kerio VPN клиентов в одном из удаленных офисов настроили туннель между Kerio Control 9.3 и Микротик. Клиенты удаленного офиса раньше работали с 1С в центральном офисе через RemoteApp. После создания туннеля, ярлыки Remoteapp перестали подключаться. Ярлык запускается долго висит, при этом кнопка "Сведения" на нем недоступна (при работе через Kerio Vpn client была доступна), потом выпадает ошибка "Не удается подключиться к удаленному компьютеру...бла бла бла". Вышли из положения создав ярлыки для RDP подключения, через них работает нормально, но хотелось бы восстановить доступ через Remoteapp.
iman61 вне форума   Ответить с цитированием Вверх
Старый 06.02.2020, 15:50   #2
exchar
Пользователь
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 4,806
По умолчанию Re: Туннель Kerio IPsec - Microtic и RemoteApp

что первые, что вторые "ярлыки" являются обычными текстовыми файлами.
открываешь в блокноте файл старый, рядом в блокноте файл новый, включаешь голову и сравниваешь в них опции.
начать можно с проверки разрешения fqdn через dns на клиентах, откуда производится подключение если в старых был fqdn
или проверки корректности ip, если таки был ip-адрес.

проставь туда правильный вариант из новых "ярлыков" и на 99% проблема решится.
не вижу при чем тут вообще керио.
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 06.02.2020, 19:37   #3
iman61
Навичёг
 
Аватар для iman61
 
Регистрация: 05.08.2010
Сообщений: 27
По умолчанию Re: Туннель Kerio IPsec - Microtic и RemoteApp

В обоих стоят IP адреса. Из удаленной сети в центральный офис ping идет до терминального сервера. А с сети центрального офиса до клиентской машины в удаленном офисе пинга нет. Может тут проблема? При этом я по ip подключаюсь к удаленной машине через RDP или DameWare
iman61 вне форума   Ответить с цитированием Вверх
Старый 06.02.2020, 19:51   #4
exchar
Пользователь
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 4,806
По умолчанию Re: Туннель Kerio IPsec - Microtic и RemoteApp

Цитата
Сообщение от iman61 Посмотреть сообщение
А с сети центрального офиса до клиентской машины в удаленном офисе пинга нет.
а маршруты на керио прописаны для отправки трафика из центрального в сеть удаленного офиса через микротик?
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 06.02.2020, 20:00   #5
iman61
Навичёг
 
Аватар для iman61
 
Регистрация: 05.08.2010
Сообщений: 27
По умолчанию Re: Туннель Kerio IPsec - Microtic и RemoteApp

Керио сам создал маршрут когда туннель поднялся. В свойствах туннеля прописана удаленная сеть и локальные сети. Пинг идет до удаленного шлюза
iman61 вне форума   Ответить с цитированием Вверх
Старый 06.02.2020, 20:03   #6
exchar
Пользователь
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 4,806
По умолчанию Re: Туннель Kerio IPsec - Microtic и RemoteApp

Цитата
Сообщение от iman61 Посмотреть сообщение
Пинг идет до удаленного шлюза
предлагаю выложить оба rdp-файла для доступа какого-то конкретного хоста. старый и новый.
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 06.02.2020, 20:12   #7
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 15,549
По умолчанию Re: Туннель Kerio IPsec - Microtic и RemoteApp

Цитата
Сообщение от iman61 Посмотреть сообщение
Пинг идет до удаленного шлюза
ну сделай трассировку
из одной сети в другую, до сервера терминалов например
и из другой сети ( с сервера терминалов же) до клиента

сразу увидишь где затык
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 06.02.2020, 20:44   #8
iman61
Навичёг
 
Аватар для iman61
 
Регистрация: 05.08.2010
Сообщений: 27
По умолчанию Re: Туннель Kerio IPsec - Microtic и RemoteApp

из удаленной в центральный офис до сервера терминалов
C:\Uиз sers\Shevcov-SA>tracert 192.168.100.10

Трассировка маршрута к ds-ts3 [192.168.100.10]
с максимальным числом прыжков 30:

1 <1 мс <1 мс <1 мс 10.0.36.1
2 * * * Превышен интервал ожидания для запроса.
3 * * * Превышен интервал ожидания для запроса.
4 50 ms 47 ms 47 ms ds-ts3 [192.168.100.10]

Трассировка завершена.

С сервера терминалов до шлюза в удаленной сети идет нормально

C:\Users\yis642>tracert 10.0.36.1

Трассировка маршрута к 10.0.36.1 с максимальным числом прыжков 30

1 2 ms <1 мс <1 мс 192.168.100.240
2 13 ms 13 ms 14 ms control.fgup-ycct6.firm [10.10.10.10]
3 50 ms 49 ms 47 ms 10.0.36.1

Трассировка завершена.
А до клиентской машины нет
C:\Users\yis642>tracert 10.0.36.115

Трассировка маршрута к 10.0.36.115 с максимальным числом прыжков 30

1 <1 мс <1 мс <1 мс 192.168.100.240
2 16 ms 16 ms 16 ms control.fgup-ycct6.firm [10.10.10.10]
3 * * * Превышен интервал ожидания для запроса.
4 * * * Превышен интервал ожидания для запроса.

Добавлено через 23 минуты

Это RemoteApp, который работал через Керио клиента, но перестал работать через тунель Керио -Микротик

redirectclipboard:i:1
redirectposdevices:i:0
redirectprinters:i:1
redirectcomports:i:1
redirectsmartcards:i:1
devicestoredirect:s:*
drivestoredirect:s:*
redirectdrives:i:1
session bpp:i:32
prompt for credentials on client:i:1
span monitors:i:1
use multimon:i:1
remoteapplicationmode:i:1
server port:i:3389
allow font smoothing:i:1
promptcredentialonce:i:1
authentication level:i:2
gatewayusagemethod:i:2
gatewayprofileusagemethod:i:0
gatewaycredentialssource:i:0
full address:s:ds-ts3
alternate shell:s:||1cestart
remoteapplicationprogram:s:||1cestart
gatewayhostname:s:
remoteapplicationname:s:1cestart
remoteapplicationcmdline:s:
screen mode id:i:2
winposstr:s:0,3,0,0,800,600
compression:i:1
keyboardhook:i:2
audiocapturemode:i:0
videoplaybackmode:i:1
connection type:i:2
displayconnectionbar:i:1
disable wallpaper:i:1
allow desktop composition:i:0
disable full window drag:i:1
disable menu anims:i:1
disable themes:i:0
disable cursor setting:i:0
bitmapcachepersistenable:i:1
audiomode:i:0
redirectdirectx:i:1
autoreconnection enabled:i:1
prompt for credentials:i:1
negotiate security layer:i:1
remoteapplicationicon:s:
shell working directory:s:
use redirection server name:i:0


А это созданный RDP, через который подключается в туннеле

screen mode id:i:2
use multimon:i:0
desktopwidth:i:1600
desktopheight:i:900
session bpp:i:32
winposstr:s:0,3,0,0,800,600
compression:i:1
keyboardhook:i:2
audiocapturemode:i:0
videoplaybackmode:i:1
connection type:i:2
displayconnectionbar:i:1
disable wallpaper:i:1
allow font smoothing:i:0
allow desktop composition:i:0
disable full window drag:i:1
disable menu anims:i:1
disable themes:i:0
disable cursor setting:i:0
bitmapcachepersistenable:i:1
full address:s:192.168.100.10
audiomode:i:0
redirectprinters:i:0
redirectcomports:i:0
redirectsmartcards:i:0
redirectclipboard:i:1
redirectposdevices:i:0
redirectdirectx:i:1
autoreconnection enabled:i:1
authentication level:i:2
prompt for credentials:i:0
negotiate security layer:i:1
remoteapplicationmode:i:0
alternate shell:s:
shell working directory:s:
gatewayhostname:s:
gatewayusagemethod:i:4
gatewaycredentialssource:i:4
gatewayprofileusagemethod:i:0
promptcredentialonce:i:1
use redirection server name:i:0
drivestoredirect:s:
username:s:fgup-хххх\su8114-498

Последний раз редактировалось iman61; 06.02.2020 в 20:44. Причина: Добавлено сообщение
iman61 вне форума   Ответить с цитированием Вверх
Старый 06.02.2020, 21:21   #9
exchar
Пользователь
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 4,806
По умолчанию Re: Туннель Kerio IPsec - Microtic и RemoteApp

Цитата
Сообщение от iman61 Посмотреть сообщение
В обоих стоят IP адреса.
"Все врут" (с) Грегори Хаус.
Смотрим:
Цитата
Сообщение от iman61 Посмотреть сообщение
Это RemoteApp, который работал через Керио клиента, но перестал работать через тунель Керио -Микротик
full address:s:ds-ts3

А это созданный RDP, через который подключается в туннеле
full address:s:192.168.100.10
И что, в удаленной сети FQDN "ds-ts3" разрешается в 192.168.100.10?
"Не верю!" (с) Станиславский.
так что пока рекомендации не изменились:
Цитата:
Сообщение от exchar Посмотреть сообщение
проставь туда правильный вариант из новых "ярлыков"
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 06.02.2020, 22:57   #10
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 15,549
По умолчанию Re: Туннель Kerio IPsec - Microtic и RemoteApp

Цитата
Сообщение от iman61 Посмотреть сообщение
С сервера терминалов до шлюза в удаленной сети идет нормально
...
...
А до клиентской машины нет
шлюз в удалённой сети = миктотик ?
если да
и если нужен таки доступ на клиентские машины в той сети
то нужно правила подправить
маршрут микротик сам знает а вот фоервол не даёт пакету пройти, сдаётся мне цепочку forward достаточно будет подкрутить
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 06.02.2020, 23:03   #11
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 15,549
По умолчанию Re: Туннель Kerio IPsec - Microtic и RemoteApp

Цитата:
Сообщение от exchar Посмотреть сообщение
И что, в удаленной сети FQDN "ds-ts3" разрешается в 192.168.100.10?
пооффтоплю маленько:

у меня дома вифи-роутер на опенврт (ну то есть линукс)
на нём пптп-сервер
пптп клиенты - родные\знакомые (ихние ройтеры)
соответственно доступ от любого клиента к любому клиенту
все в одном пространстве имён (home.lan) но каждый в своём адресном пространстве (маршрутизация)
а сделал всё это для себя любимого, что б где бы я ни находился - мог иметь доступ к остальным, не только к роутерам но и к компьютерам за роутерами
если интернет "там куда надо попасть" конечно работает
и что б не пояснять долго как запустить тимвьювер или подобное

всё работает каг чесы
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 07.02.2020, 07:06   #12
iman61
Навичёг
 
Аватар для iman61
 
Регистрация: 05.08.2010
Сообщений: 27
По умолчанию Re: Туннель Kerio IPsec - Microtic и RemoteApp

Цитата:
Сообщение от exchar Посмотреть сообщение
И что, в удаленной сети FQDN "ds-ts3" разрешается в 192.168.100.10?
"Не верю!" (с) Станиславский.
так что пока рекомендации не изменились:
На удаленной машине в фале hosts есть запись
192.168.100.10 ds-ts3

Добавлено через 12 минут

Цитата:
Сообщение от naliman Посмотреть сообщение
маршрут микротик сам знает а вот фоервол не даёт пакету пройти, сдаётся мне цепочку forward достаточно будет подкрутить
Мне бы поподробнее, если не сложно. Я не имею доступа до Микротика, он в Сибири, я в Приволжском округе. И там человек мне на все отвечает я все открыл, ничего не блочится. Смотри у себя. Что у него настроить нужно и где?

Последний раз редактировалось iman61; 07.02.2020 в 07:06. Причина: Добавлено сообщение
iman61 вне форума   Ответить с цитированием Вверх
Старый 07.02.2020, 08:19   #13
exchar
Пользователь
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 4,806
По умолчанию Re: Туннель Kerio IPsec - Microtic и RemoteApp

Цитата
Сообщение от iman61 Посмотреть сообщение
На удаленной машине в фале hosts есть запись
192.168.100.10 ds-ts3
на удаленной машине что выдает
nslookup ds-ts3
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 07.02.2020, 12:40   #14
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 15,549
По умолчанию Re: Туннель Kerio IPsec - Microtic и RemoteApp

Цитата
Сообщение от iman61 Посмотреть сообщение
На удаленной машине в фале hosts есть запись
а ДНС у вас отсутствует за ненадобностью?

Цитата
Сообщение от iman61 Посмотреть сообщение
Мне бы поподробнее, если не сложно. Я не имею доступа до Микротика, он в Сибири, я в Приволжском округе. И там человек мне на все отвечает я все открыл, ничего не блочится. Смотри у себя. Что у него настроить нужно и где?
а что у тебя то смотреть если трассировка на микротике затыкается??
1. делаешь трассировку до удалённого хоста
2. фиксируешь скриншотом что "упирается" в микротик
3. шлёшь скриншот "туда" со словами "а как ты это объяснишь?"

странность в том что вроде как "оттуда" пинги "ходят"
а "от тебя " тады - нет
возникает мысль а не включил ли удалённый админ НАТ (маскарадинг на сколько помню в микротиках оно называется) на впн-тоннель
это обясняет почуму оттуда ходит а туда нет
стоило бы прояснить
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 07.02.2020, 12:56   #15
iman61
Навичёг
 
Аватар для iman61
 
Регистрация: 05.08.2010
Сообщений: 27
По умолчанию Re: Туннель Kerio IPsec - Microtic и RemoteApp

Цитата:
Сообщение от naliman Посмотреть сообщение
а ДНС у вас отсутствует за ненадобностью?
В центре все есть, домен, DNS и все дела, недавно создали офис в Новосибе (точнее его нам передали), там все пока как было остается, его еще не успели в домен включить, да и туннель нормально не работает пока.

Цитата:
Сообщение от naliman Посмотреть сообщение
1. делаешь трассировку до удалённого хоста
2. фиксируешь скриншотом что "упирается" в микротик
3. шлёшь скриншот "туда" со словами "а как ты это объяснишь?"
там странно tracert ходит , от центрального офиса до шлюза трасса идет
:\Users\myuser>tracert 10.0.36.1

рассировка маршрута к 10.0.36.1 с максимальным числом прыжков 30

1 1 ms 1 ms <1 мс 192.168.100.240
2 16 ms 16 ms 16 ms control.fgup-ycct6.firm [10.10.10.10]
3 46 ms 47 ms 47 ms 10.0.36.1

рассировка завершена.
а до ПК в удаленной сети только до Керио доходит
C:\Users\myuser>tracert 10.0.36.115

Трассировка маршрута к 10.0.36.115 с максимальным числом прыжков 30

1 <1 мс <1 мс <1 мс 192.168.100.240
2 15 ms 15 ms 11 ms control.fgup-ycct6.firm [10.10.10.10]
3 * * * Превышен интервал ожидания для запроса.
4 * * * Превышен интервал ожидания для запроса.
5 * * * Превышен интервал ожидания для запроса.
6 * * * Превышен интервал ожидания для запроса.
7 * * * Превышен интервал ожидания для запроса.
8 * * * Превышен интервал ожидания для запроса.
iman61 вне форума   Ответить с цитированием Вверх
Старый 07.02.2020, 12:58   #16
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 15,549
По умолчанию Re: Туннель Kerio IPsec - Microtic и RemoteApp

Цитата
Сообщение от iman61 Посмотреть сообщение
В центре все есть, домен, DNS и все дела, недавно создали офис в Новосибе (точнее его нам передали), там все пока как было остается, его еще не успели в домен включить, да и туннель нормально не работает пока.
наличие ДНС от домена не зависит
это вот домен он его наличия зависит, но то отдельная история...

кратко - БЕЗ ДНС НЕ ДЕЛО

это просто, к слову так сказать

а про тоннель понятно что правильно не работает
но в том твоей "вины" может и не быть
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 07.02.2020, 13:04   #17
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 15,549
По умолчанию Re: Туннель Kerio IPsec - Microtic и RemoteApp

Цитата
Сообщение от iman61 Посмотреть сообщение
там странно tracert ходит , от центрального офиса до шлюза трасса идет
Цитата
Сообщение от iman61 Посмотреть сообщение
а до ПК в удаленной сети только до Керио доходит
вот ключевое
и не тамошний админ на твоём керио трассу тормозит, выходит ...

парвила трафика (скриншот, ВСЕ) не наблюдаются
и список маршрутов в керио
+ напомни ка адресацию в "центре" и "там куда не ходит"

Добавлено через 3 минуты

ЗЫ
скриншоты делай, пожалуйста такие, что б на них была только полезная информация
и размером таким что б не на 100500 дюймовом мониторе рассматривать надо было, а и на 19 дюймах было бы видно без елозинья мышой бегунка влево-вправо
а разместить их несложно например на imgur.com
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу

Последний раз редактировалось naliman; 07.02.2020 в 13:04. Причина: Добавлено сообщение
naliman вне форума   Ответить с цитированием Вверх
Старый 07.02.2020, 13:25   #18
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 15,549
По умолчанию Re: Туннель Kerio IPsec - Microtic и RemoteApp

Цитата
Сообщение от iman61 Посмотреть сообщение
там странно tracert ходит , от центрального офиса до шлюза трасса идет
Цитата
Сообщение от iman61 Посмотреть сообщение
а до ПК в удаленной сети только до Керио доходит
кстати, по моему сромному мнению, таке поведение характерно как раз для случая отсутствия маршрута в сеть впн-клиента, то есть микротика
до самого микротика маршрут создаётся по факту его подключения к серверу впн
а вот что там "за ним" (за клиентом) требуется указать дополнительно
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 07.02.2020, 13:30   #19
exchar
Пользователь
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 4,806
По умолчанию Re: Туннель Kerio IPsec - Microtic и RemoteApp

Цитата:
Сообщение от naliman Посмотреть сообщение
возникает мысль а не включил ли удалённый админ НАТ (маскарадинг на сколько помню в микротиках оно называется) на впн-тоннель
это обясняет почуму оттуда ходит а туда нет
с пингами прояснит, но хождение rdp из-за микротика это убить не должно было вроде
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 07.02.2020, 13:35   #20
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 15,549
По умолчанию Re: Туннель Kerio IPsec - Microtic и RemoteApp

Цитата:
Сообщение от exchar Посмотреть сообщение
с пингами прояснит
да
оно ж всё по-уму должно (ну наверное) работать

Цитата:
Сообщение от exchar Посмотреть сообщение
но хождение rdp из-за микротика это убить не должно было вроде
да вот фик знает
микротик он ведь такой..... хитромудрый, помню он мне собака некоторые картинки срезал (типа счтчиков, генерируются которые на стороне) при полном доступе
на kerio-rus.ru в чатности, внизу слева висит яндекс-тиу (ну или как оно щяс называецо), вот его срезало хоть тресни
а потом вожжа под хвост руководства вдарила контролировать\органичивать трафик сотрудников, на сто я быстренько керио развернул, и картиночки чудесным образом стали видны
я ахуел от такого, даже несколько раз шлюз менял местами что б убедиться ...
хотя микротик был настроен максимально прозрачно для меня лично
так шо тут вот у меня к микротику наряду с уважением ещё и некоторое иное чувство, чувство удивительного и неизведанного
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 18:29. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2020, vBulletin Solutions Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях