Форум Kerio-rus

Вернуться   Форум Kerio-rus > Продукты > Kerio VPN

Важная информация

Ответ
 
Опции темы
Старый 07.04.2020, 13:15   #1
Stormbox
 
Аватар для Stormbox
 
Регистрация: 25.09.2019
Адрес: Санкт-Петербург
Сообщений: 10
По умолчанию Kerio 9.3.3 IPsec туннели не видят друг друга

Доброго времени суток всем. Искал похожее по форуму, если пропустил - прошу простить.

Ситуация такая: Есть центральный офис, на входе Kerio 9.3.3, подсеть 192.168.3.0/24.

К нему подключены несколько IPSEC туннелей через Keenetic 4g в удаленных офисах с подсетями:
Офис1 - 192.168.4.0/24
Офис2 - 192.168.5.0/24
Офис3 - 192.168.6.0/24
Офис4 - 192.168.7.0/24

Подсеть ВПН клиентов - 10.172.26.0/24

Так же есть туннель на Keenetic Giga 2(подключал себе для работы из дома), с подсетью 192.168.15.0/24.

В настройках туннелей пользовательские маршруты не включены(включать пробовал - эффекта нет).

Все туннели и впн клиенты отлично видят сеть за Керио(3.0). Из 3-й подсети все остальные тоже видны, включая ВПН клиентов.

Вопрос состоит в том, как заставить домашний туннель видеть остальные туннели(например для РДП подключения из дома к компам в других офисах).
Так же хотелось бы видеть со своего туннеля подсеть ВПН клиентов.

С правилами играться пробовал, даже пробовал НАТ-ить свой туннель на локальный интерфейс, но результатов никаких. На кинетиках маршруты до удаленных подсетей тоже прописывал, при этом все равно traceroute в другую подсеть идет через внешний интерфейс Кинетика.

Помогите пожалуйста, может я чего то не догоняю.
Если что надо дополнить - скажите.
Stormbox вне форума   Ответить с цитированием Вверх
Старый 07.04.2020, 20:13   #2
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 15,550
По умолчанию Re: Kerio 9.3.3 IPsec туннели не видят друг друга

Цитата:
Сообщение от Stormbox Посмотреть сообщение
Если что надо дополнить
надо
Цитата:
Сообщение от Stormbox Посмотреть сообщение
скажите
говорю
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 07.04.2020, 22:29   #3
exchar
Пользователь
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 4,807
По умолчанию Re: Kerio 9.3.3 IPsec туннели не видят друг друга

Цитата:
Сообщение от naliman Посмотреть сообщение
говорю
в нашраше было, что ли:

Цитата - Говори! Кому говорят, говори!
- Мне?..
а если более серьезно
Цитата:
Сообщение от Stormbox Посмотреть сообщение
traceroute в другую подсеть идет через внешний интерфейс Кинетика.
то есть в канал оно не лезет.

ну вот сам наверное знаешь что смотреть нужно - маршруты на кинетике. и трассировку еще раз. но не выложил их. наверное, окружающие угадают что там в интерфейсах кинетика, канала, как прямо сейчас выглядят маршруты. и ipconfig /all с хоста за кинетиком откуда была трассировка они себе неплохо представляют, возможно. и вообще, телепаты наверное.

...
вообще регулярно вижу как ит-вопросы на форумах (не обязательно у нас) народ задает в режиме телефонного звонка. т.е. пишет свое "алло" по теме без полной и в целом очевидной к выкладыванию конкретики, дожидается какого-то "алло" с другой стороны и потом уже добивает подробностями. или не добивает, если задача уже решилась или не актуальна к тому времени.

у этого метода есть пара плюсов для спрашивающего, но читающим 100500 раз подобное этот ненужный им момент диалога малость скучен, из-за чего "алло" выглядит как-то так:
Цитата:
Сообщение от naliman Посмотреть сообщение
надо
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 08.04.2020, 17:02   #4
Stormbox
 
Аватар для Stormbox
 
Регистрация: 25.09.2019
Адрес: Санкт-Петербург
Сообщений: 10
По умолчанию Re: Kerio 9.3.3 IPsec туннели не видят друг друга

Например вот.

В сети основного офиса керио висит с адресом 192.168.3.3

Трассировка до основной сети офиса(3.0) с домашней сети(15.0)
TR1 - с кинетика
TR11 - с компа за кинетиком

И трассировка до сети офиса2(4.0) - при трассировке маршрут уходит на внешний интерфейс.
TR2 - с кинетика
TR22 - с компа за кинетиком

Вот еще два правила, по первому меня пускает в сеть основного офиса, второе - эксперимент, неудавшийся.
Маршруты не менял, все стандартные.
Изображения
Тип файла: png TR1.PNG (21.6 Кб, 6 просмотров)
Тип файла: png TR11.PNG (6.6 Кб, 2 просмотров)
Тип файла: png TR2.PNG (21.3 Кб, 2 просмотров)
Тип файла: png TR22.PNG (6.8 Кб, 1 просмотров)
Тип файла: png Policy.PNG (7.9 Кб, 2 просмотров)
Тип файла: png Route.PNG (37.7 Кб, 3 просмотров)
Stormbox вне форума   Ответить с цитированием Вверх
Старый 08.04.2020, 20:14   #5
exchar
Пользователь
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 4,807
По умолчанию Re: Kerio 9.3.3 IPsec туннели не видят друг друга

Цитата:
Сообщение от Stormbox Посмотреть сообщение
Маршруты не менял, все стандартные.
в недрах Zyxel`я очевидно научились клепать Железных Телепатов и обзывают их Кинетиками. Работают через одного, вам попался нерабочий...

..иначе откуда роутер вообще должен узнать, что пакеты в сеть 192.168.4.0/24 (и не только) нужно пихать в канал (точнее, на конкретный шлюз), если не [Для просмотра данной ссылки нужно зарегистрироваться]?
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 08.04.2020, 22:08   #6
Stormbox
 
Аватар для Stormbox
 
Регистрация: 25.09.2019
Адрес: Санкт-Петербург
Сообщений: 10
По умолчанию Re: Kerio 9.3.3 IPsec туннели не видят друг друга

В этом вся и проблема, при добавлении маршрута в кинетик ничего не меняется. Он все равно продолжает стучаться через внешний интерфейс.
Изображения
Тип файла: png Route_4.0.PNG (17.1 Кб, 4 просмотров)
Тип файла: png TR3.PNG (20.5 Кб, 4 просмотров)
Stormbox вне форума   Ответить с цитированием Вверх
Старый 08.04.2020, 22:18   #7
exchar
Пользователь
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 4,807
По умолчанию Re: Kerio 9.3.3 IPsec туннели не видят друг друга

Цитата:
Сообщение от Stormbox Посмотреть сообщение
при добавлении маршрута в кинетик ничего не меняется.
в адресе шлюза попробуй написать не 3.3 а адрес удаленного конца впн-туннеля
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 08.04.2020, 22:21   #8
Stormbox
 
Аватар для Stormbox
 
Регистрация: 25.09.2019
Адрес: Санкт-Петербург
Сообщений: 10
По умолчанию Re: Kerio 9.3.3 IPsec туннели не видят друг друга

"адрес удаленного конца впн-туннеля" - не совсем понял, что написать?
Внешний адрес керио?
Stormbox вне форума   Ответить с цитированием Вверх
Старый 09.04.2020, 00:39   #9
exchar
Пользователь
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 4,807
По умолчанию Re: Kerio 9.3.3 IPsec туннели не видят друг друга

Цитата:
Сообщение от Stormbox Посмотреть сообщение
"адрес удаленного конца впн-туннеля" - не совсем понял, что написать?
Внешний адрес керио?
там внутри туннеля (и вообще для подсети vpn) есть своя адресация

на керио в интерфейсах есть ip-адрес vpn-сервера, укажи его
либо не указывай шлюз, а укажи интерфейс - туннель (если кинетик это умеет)

Добавлено через 35 минут

хорошо бы скрин политик трафика с керио еще.
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы

Последний раз редактировалось exchar; 09.04.2020 в 00:39. Причина: Добавлено сообщение
exchar вне форума   Ответить с цитированием Вверх
Старый 09.04.2020, 13:25   #10
Stormbox
 
Аватар для Stormbox
 
Регистрация: 25.09.2019
Адрес: Санкт-Петербург
Сообщений: 10
По умолчанию Re: Kerio 9.3.3 IPsec туннели не видят друг друга

"либо не указывай шлюз, а укажи интерфейс - туннель (если кинетик это умеет)" - не умеет.

Идентификаторами IPSec туннеля являются:
192.168.15.1 - Keenetic
192.168.3.3 - Внутренний адрес Керио
Изображения
Тип файла: jpg PolicyAll.jpg (123.8 Кб, 3 просмотров)
Тип файла: jpg Keenetic_IPSec.jpg (61.5 Кб, 3 просмотров)
Тип файла: png Kerio_IPSEc_1.PNG (30.0 Кб, 6 просмотров)
Тип файла: png Kerio_IPSec_2.PNG (26.3 Кб, 2 просмотров)
Тип файла: png Kerio_IPSec_3.PNG (26.5 Кб, 2 просмотров)
Stormbox вне форума   Ответить с цитированием Вверх
Старый 09.04.2020, 13:34   #11
exchar
Пользователь
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 4,807
По умолчанию Re: Kerio 9.3.3 IPsec туннели не видят друг друга

Цитата:
Сообщение от Stormbox Посмотреть сообщение
Идентификаторами IPSec туннеля являются:
192.168.15.1 - Keenetic
192.168.3.3 - Внутренний адрес Керио
вкладка со списком интерфейсов в керио
там отдельной строкой vpn-сервер керио (справа от него отображается его ip в подсети впн)

даблклик на нем, там прописана подсеть для vpn-клиентов/туннелей
так вот, она там не для красоты...
Цитата:
Сообщение от Stormbox Посмотреть сообщение
не умеет
если не трудно, сделай скрин с вариантами, которые кинетик предлагает указать в качестве интерфейса
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 09.04.2020, 14:47   #12
Stormbox
 
Аватар для Stormbox
 
Регистрация: 25.09.2019
Адрес: Санкт-Петербург
Сообщений: 10
По умолчанию Re: Kerio 9.3.3 IPsec туннели не видят друг друга

"вкладка со списком интерфейсов в керио
там отдельной строкой vpn-сервер керио (справа от него отображается его ip в подсети впн)
даблклик на нем, там прописана подсеть для vpn-клиентов/туннелей"

Сеть ВПН Клиентов - 10.172.26.0/24, сервер ВПН - 10.172.26.1

Для туннелей там ничего не прописано.
Изображения
Тип файла: png Route_1.PNG (47.6 Кб, 7 просмотров)
Stormbox вне форума   Ответить с цитированием Вверх
Старый 09.04.2020, 18:17   #13
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 15,550
По умолчанию Re: Kerio 9.3.3 IPsec туннели не видят друг друга

Цитата:
Сообщение от Stormbox Посмотреть сообщение
Для туннелей там ничего не прописано.
а почему у тебя интерфейс LAN а не впн-тоннель ?
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 09.04.2020, 18:23   #14
Stormbox
 
Аватар для Stormbox
 
Регистрация: 25.09.2019
Адрес: Санкт-Петербург
Сообщений: 10
По умолчанию Re: Kerio 9.3.3 IPsec туннели не видят друг друга

Там нет возможности выбрать впн туннель
Stormbox вне форума   Ответить с цитированием Вверх
Старый 09.04.2020, 18:34   #15
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 15,550
По умолчанию Re: Kerio 9.3.3 IPsec туннели не видят друг друга

Цитата:
Сообщение от Stormbox Посмотреть сообщение
Там нет возможности выбрать впн туннель
на скриншоте зачёркнуто чёто у двух впн-тоннелей
они в выпадающем списке но их нельзя выбрать?

а у меня почему то можно
прада у меня PPTP тоннель кинетик поднимает, но я не думаю что это как то влияет
Изображения
Тип файла: png 2020-04-09_18-32-13.png (40.1 Кб, 17 просмотров)
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 09.04.2020, 18:49   #16
Stormbox
 
Аватар для Stormbox
 
Регистрация: 25.09.2019
Адрес: Санкт-Петербург
Сообщений: 10
По умолчанию Re: Kerio 9.3.3 IPsec туннели не видят друг друга

У тебя именно pptp клиент, а уменя ipsec туннель , который не выбрать в маршрутизации.
Типа, керио все эти маршруты должен сам разруливать, а кинетик всего лишь устанавливает соединение с керио.
Stormbox вне форума   Ответить с цитированием Вверх
Старый 09.04.2020, 18:53   #17
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 15,550
По умолчанию Re: Kerio 9.3.3 IPsec туннели не видят друг друга

и, типа, кинетик сам должен догадаться какие маршруты куда направлять?
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 09.04.2020, 20:59   #18
Stormbox
 
Аватар для Stormbox
 
Регистрация: 25.09.2019
Адрес: Санкт-Петербург
Сообщений: 10
По умолчанию Re: Kerio 9.3.3 IPsec туннели не видят друг друга

Я не совсем понимаю, как это должно работать. Но есть подозрение, что керио должен каким то образом отдавать кинетику маршруты, при условии, что кинетику можно ходить в данные подсети.

Не давно искал решение проблемы, что ВПН клиенты с подсети 10.172.26.0/24 ходят только в основную сеть офиса, а надо было нескольких клиентов пустить в сеть офиса 1(4.0), так вот на этом же форуме было найдено решение. Надо было сделать такое правило:
Source: VPN Clients
Dest: VPN_Tunnel
Services: All
Translation: NAT(LAN)

И это правило сработало. При этом на клиенте не прописывается никаких дополнительных маршрутов. Таким же образом можно запустить ВПН клиентов в другие подсети.

Еще одним вариантом решения было поставить для ВПН Клиентов пользовательский маршрут, в моем случае - 192.168.0.0/21, который бы охватывал все рабочие подсети, но это не сработало.

Так вот была мысль, что подобное правило и/или маршрут прокатит и для туннелей, но нифига...
Stormbox вне форума   Ответить с цитированием Вверх
Старый 10.04.2020, 22:14   #19
Semen
Песака
 
Аватар для Semen
 
Регистрация: 18.10.2010
Сообщений: 144
По умолчанию Re: Kerio 9.3.3 IPsec туннели не видят друг друга

Между клиентами через сервер трафик не получится направлять. Это ограничение реализации - маршрутизировать трафик в IPSec-туннель нельзя. Чистый ipsec построен на принципе политик, и совсем не поддерживает маршрутизацию.
Semen вне форума   Ответить с цитированием Вверх
Старый 10.04.2020, 22:26   #20
exchar
Пользователь
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 4,807
По умолчанию Re: Kerio 9.3.3 IPsec туннели не видят друг друга

Цитата:
Сообщение от Semen Посмотреть сообщение
Между клиентами через сервер трафик не получится направлять. Это ограничение реализации - маршрутизировать трафик в IPSec-туннель нельзя. Чистый ipsec построен на принципе политик, и совсем не поддерживает маршрутизацию.
поэтому добавляется статическая маршрутизация ручками
или костыли от вендора, который реализует ipsec в своем комбайне
или что-то другое имелось в виду?
Цитата:
Сообщение от Stormbox Посмотреть сообщение
Я не совсем понимаю, как это должно работать.
у меня пока нет кинетика, на котором можно стенд поставить - все что в наличии стоит в проде. как появится - посмотрю что и как.
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 07:17. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2020, vBulletin Solutions Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях