Форум Kerio-rus

Вернуться   Форум Kerio-rus > Продукты > Kerio VPN

Важная информация

Ответ
 
Опции темы
Старый 12.01.2014, 16:59   #61
Alexanderx10
 
Аватар для Alexanderx10
 
Регистрация: 11.04.2013
Сообщений: 7
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

EnMan, я уже записал себя к дебилам, пытаясь найти "локальные сети" в версии 8.0.1, оказалось надо версию по новее.

При всех танцах с бубнами, которые ты испытал, и я тоже(я про ipsec mikrotik+kerio), отказоустойчивый тонель поднять быстрее на pptp. Я за один вечерок под пивко объеденил через pptp 5 подсетей, где керио был энициатором соединения. Прямая видимость была во все стороны ))). две подсети работали через Draytek 2920 (твоя любимая фирма))), одна через Mikrotik RB2011 и Mikrotik RB950, Kerio 8.0.1 и Kerio 8.0.1 (между керио был свой тонель)


P.S.
[Для просмотра данной ссылки нужно зарегистрироваться]

* Support LAN DNS Resolution (не этого ли ты ждал)

Последний раз редактировалось Alexanderx10; 12.01.2014 в 17:17.
Alexanderx10 вне форума   Ответить с цитированием Вверх
Старый 10.04.2014, 23:31   #62
SpeedBoy
 
Аватар для SpeedBoy
 
Регистрация: 09.04.2014
Сообщений: 10
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Всем привет.
Маленькая поправочка относительно доки в виде PDF'ки.
В версии 6.11 в гуй появилась/есть галочка "Passive" при создании New IPSec peer.
Спасибо за инфо всем, кто принимал в этом участие.
SpeedBoy вне форума   Ответить с цитированием Вверх
Старый 06.05.2014, 11:15   #63
ENS
 
Аватар для ENS
 
Регистрация: 30.04.2014
Сообщений: 4
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Привет!

У кого-нить получилось поднять туннель между пассивным керио и активным микротиком с динамическим айпи? Если да, буду просить помощи
ENS вне форума   Ответить с цитированием Вверх
Старый 06.05.2014, 11:40   #64
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,613
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Я не вижу проблемы, если динамический IP - реально белый. Например, получаемый по PPPoE или L2TP. RouterOS не обновляйте выше 6.10 (уже набил шишки).

Добавлено через 2 минуты
Цитата
Сообщение от SpeedBoy Посмотреть сообщение
Всем привет.
Маленькая поправочка относительно доки в виде PDF'ки.
В версии 6.11 в гуй появилась/есть галочка "Passive" при создании New IPSec peer.
Спасибо за инфо всем, кто принимал в этом участие.
За 6.11 не скажу, на 6.12 не обновляйтесь - туннели начнут падать раз в полтора часа. Проверено на более чем 15 туннелях и на 4-рех разных устройствах, как физически разных железках, так и моделях.

30 обновился до 6.12, 4 го откатился до 6.10. См. картинку
Изображения
Тип файла: jpg 20140506-1209-houo6.jpg (223.5 Кб, 77 просмотров)
__________________
керио

Последний раз редактировалось EnMan; 06.05.2014 в 12:10. Причина: Добавлено сообщение
EnMan вне форума   Ответить с цитированием Вверх
Старый 06.05.2014, 12:28   #65
ENS
 
Аватар для ENS
 
Регистрация: 30.04.2014
Сообщений: 4
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата:
Сообщение от EnMan Посмотреть сообщение
Я не вижу проблемы, если динамический IP - реально белый. Например, получаемый по PPPoE или L2TP
Нет, серый. 4G мегафон.
Я не пойму что писать в удаленном ID на керио если этот WAN адрес на микротике будет постоянно меняться. %any не принимается, 0.0.0.0 тоже.
ENS вне форума   Ответить с цитированием Вверх
Старый 06.05.2014, 12:58   #66
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,613
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от ENS Посмотреть сообщение
Нет, серый. 4G мегафон.
Я не пойму что писать в удаленном ID на керио если этот WAN адрес на микротике будет постоянно меняться. %any не принимается, 0.0.0.0 тоже.
%any приниматься должен, но на серых IP - забудьте про IPSec, это не будет работать
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Старый 06.05.2014, 14:11   #67
SpeedBoy
 
Аватар для SpeedBoy
 
Регистрация: 09.04.2014
Сообщений: 10
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата:
Сообщение от EnMan Посмотреть сообщение

За 6.11 не скажу, на 6.12 не обновляйтесь - туннели начнут падать раз в полтора часа.
Спасибо, будем знать. На 6.11 иногда падает, но, видимо, проблема в инете. Каждые полтора часа точно не падает.
SpeedBoy вне форума   Ответить с цитированием Вверх
Старый 13.05.2014, 10:36   #68
Sozontov
 
Аватар для Sozontov
 
Регистрация: 12.09.2013
Сообщений: 14
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от ENS Посмотреть сообщение
У кого-нить получилось поднять туннель между пассивным керио и активным микротиком с динамическим айпи? Если да, буду просить помощи
ENS, Вам принципиально что бы Mikrotik был инициатором?
Sozontov вне форума   Ответить с цитированием Вверх
Старый 13.05.2014, 11:47   #69
ENS
 
Аватар для ENS
 
Регистрация: 30.04.2014
Сообщений: 4
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от Sozontov Посмотреть сообщение
ENS, Вам принципиально что бы Mikrotik был инициатором?
Не принципиально, но как он, не имея реального айпи, может быть принимающей стороной?
ENS вне форума   Ответить с цитированием Вверх
Старый 13.05.2014, 13:20   #70
Sozontov
 
Аватар для Sozontov
 
Регистрация: 12.09.2013
Сообщений: 14
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Не могу быть уверен, что получится с серым ip, но не давно реализовывал соединение: микротик(динамический белый ip)-kerio(статический ip), где Керио инициатор. Для этого понадобился noip.com и скрипт периодически запускаемый на микротике.
Да поправит меня EnMan )

P.S. хотя... кто знает,dom.ru какие адреса выдает для физ лиц?

Последний раз редактировалось Sozontov; 13.05.2014 в 13:39.
Sozontov вне форума   Ответить с цитированием Вверх
Старый 13.05.2014, 14:52   #71
mipdoodles
 
Аватар для mipdoodles
 
Регистрация: 22.04.2014
Сообщений: 6
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Сломал голову.
Ну ни в какую не поднимается тоннель. Ни в один из концов

Kerio 8.3 + Mikrotik 6.10
Настройки Mikrotik в точности с инструкции.
Адрес внешний, не серый на обоих концах.
В керио светится только IKE все остальные протоколы не проходят.
Пробовал и вручную политики собирать.
Никак не получается.
Изображения
Тип файла: jpg mikrotik.jpg (168.9 Кб, 75 просмотров)
Тип файла: jpg svoistvo kerio tun.jpg (74.1 Кб, 66 просмотров)
Тип файла: jpg svoistvo kerio tun1.jpg (82.1 Кб, 61 просмотров)
Тип файла: jpg kerio rule up.jpg (5.8 Кб, 46 просмотров)
mipdoodles вне форума   Ответить с цитированием Вверх
Старый 13.05.2014, 14:57   #72
Sozontov
 
Аватар для Sozontov
 
Регистрация: 12.09.2013
Сообщений: 14
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от mipdoodles Посмотреть сообщение
Сломал голову.
Ну ни в какую не поднимается тоннель. Ни в один из концов

Kerio 8.3 + Mikrotik 6.10
Настройки Mikrotik в точности с инструкции.
Адрес внешний, не серый на обоих концах.
В керио светится только IKE все остальные протоколы не проходят.
Пробовал и вручную политики собирать.
Никак не получается.
Судя по скринам, у Вас оба конца туннеля пассивные...
Sozontov вне форума   Ответить с цитированием Вверх
Старый 13.05.2014, 15:42   #73
mipdoodles
 
Аватар для mipdoodles
 
Регистрация: 22.04.2014
Сообщений: 6
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от Sozontov Посмотреть сообщение
Судя по скринам, у Вас оба конца туннеля пассивные...
Как жеж так..
я вроде не менял настроек mikrotik, а по-умолчанию он активный.
На Kerio светится входящее подключение. IKE

Последний раз редактировалось mipdoodles; 13.05.2014 в 15:52.
mipdoodles вне форума   Ответить с цитированием Вверх
Старый 13.05.2014, 16:45   #74
Sozontov
 
Аватар для Sozontov
 
Регистрация: 12.09.2013
Сообщений: 14
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Ах, да! Извиняюсь! Exchenge Mode меня попутал)
Правила разрешающие ipsec вносили в firewall? (скриншота не вижу)
Sozontov вне форума   Ответить с цитированием Вверх
Старый 13.05.2014, 17:04   #75
mipdoodles
 
Аватар для mipdoodles
 
Регистрация: 22.04.2014
Сообщений: 6
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от Sozontov Посмотреть сообщение
Ах, да! Извиняюсь! Exchenge Mode меня попутал)
Правила разрешающие ipsec вносили в firewall? (скриншота не вижу)
Да во вложении.
Это если при пассивном режиме микротика
Я уже не знаю что делать, даже правило на исходящие с микротика на куда-угодно написал.

В kerio разрешен стек протоколов объединенных в одну службу.
Во вложении скрины.
Но проходит только IKE
Изображения
Тип файла: jpg mikrotik firewall.jpg (142.8 Кб, 64 просмотров)
Тип файла: jpg trafic rule.jpg (27.5 Кб, 51 просмотров)
Тип файла: jpg trafic rule2.jpg (27.8 Кб, 39 просмотров)
mipdoodles вне форума   Ответить с цитированием Вверх
Старый 13.05.2014, 22:56   #76
ENS
 
Аватар для ENS
 
Регистрация: 30.04.2014
Сообщений: 4
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Короче, я плюнул и сделал через openvpn.
ENS вне форума   Ответить с цитированием Вверх
Старый 14.05.2014, 14:28   #77
mipdoodles
 
Аватар для mipdoodles
 
Регистрация: 22.04.2014
Сообщений: 6
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Может ли уважаемый EnMan помочь в решении )
Кстати, от керио в микротик заработало, только после обновления до 6.12 в обратную сторону не пошло.
mipdoodles вне форума   Ответить с цитированием Вверх
Старый 15.05.2014, 15:59   #78
mipdoodles
 
Аватар для mipdoodles
 
Регистрация: 22.04.2014
Сообщений: 6
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от Exakt86 Посмотреть сообщение
Доброго времени суток!! Стоит KMS на обычной машине с установленной Windows Server 2008 R2, одна сетевая плата, можно сюда поставить и Kerio Control ????
Спасибо!!!!!
Можно, только предыдущую версию. Теперь он линуксовый.
mipdoodles вне форума   Ответить с цитированием Вверх
Старый 15.05.2014, 16:08   #79
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,613
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Exakt86, уважаемый, создайте отдельный топик. Здесь обсуждают конкретную проблему. Ваш вопрос к ней не имеет отношения.

Добавлено через 8 минут
mipdoodles, лог на ipsec включи в микротик
__________________
керио

Последний раз редактировалось EnMan; 15.05.2014 в 16:17. Причина: Добавлено сообщение
EnMan вне форума   Ответить с цитированием Вверх
Старый 19.05.2014, 09:46   #80
mipdoodles
 
Аватар для mipdoodles
 
Регистрация: 22.04.2014
Сообщений: 6
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата:
Сообщение от EnMan Посмотреть сообщение
Exakt86, уважаемый, создайте отдельный топик. Здесь обсуждают конкретную проблему. Ваш вопрос к ней не имеет отношения.

Добавлено через 8 минут
mipdoodles, лог на ipsec включи в микротик
Вроде как соединение устанавливается, но статус подключения в KERIO не меняется.
В силу этого не создаётся маршрут.
В активных подключения на керио он светиться..
Смущает во второй части лога прием проверки активности пира
r-u-there

Правило nat из сети микротика в сеть кери выше всех

П.С. так и не разобрался как экспортировать лог из микротика.
Наверно придется поднимать сервер логирования, что бы на него сбрасывать логи.

UPD. разобрался с логами

Хочу заметить важную деталь.. Всё это добро работало до обновления керио до 8.3 и mikrotik 6.1
Но так как я уже обновлен назад дороги не ищу.
Откат до старого релиза пока не реален.
Изображения
Тип файла: jpg log.jpg (487.3 Кб, 44 просмотров)
Тип файла: jpg log2.jpg (425.5 Кб, 33 просмотров)
Вложения
Тип файла: txt log.txt (19.0 Кб, 18 просмотров)

Последний раз редактировалось mipdoodles; 19.05.2014 в 14:02.
mipdoodles вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 11:16. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2020, vBulletin Solutions Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях