Форум Kerio-rus

Вернуться   Форум Kerio-rus > Продукты > Kerio VPN

Важная информация

Ответ
 
Опции темы
Старый 27.06.2014, 14:10   #81
metallicswar
 
Аватар для metallicswar
 
Регистрация: 26.09.2013
Сообщений: 15
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Добрый день, товарищи. Постигло и меня разочарование в mikrotik. В общем решил обновить керио до 8.3 (сейчас стоит 7.4). Раньше туннель был реализован средствами OpenVPN, а тут обрадовался, IPSec все дела...
В общем на стенде собрано две клиентские машины win7 и керио с микротиком, три сети (между фаевролами 10.8.3.0/24 и две локальных сети за ними 10.8.1.0/24 kerio, 10.8.2.0/24 mikrotik)

Версия kerio 8.3.1 build 2108
Версия mikrotik 6.15
IP адреса kerio 10.8.3.6, mikrotik 10.8.3.5

Настроил всё так, как в мануалах темы. Тоннель поднялся, а вот пинги не ходят ни из сети керио в сеть микротика, ни наоборот. Правило NAT в микротик добавлял не помогло. Бьюсь третий день, сломал себе весь мозг, но так ничего и не получилось.
Настройки в аттаче. На клиентских машинах брэндмауэр выключен. Пинговать пытался и локальные адреса фаерволов и локальные адреса клиентских машин, без разницы.

Поможите чем можете, совсем мне не хочется под обрезком дебиана вкорячивать openvpn, а перенести vpn сервер за керио возможности нет
Изображения
Тип файла: png kerio01.png (182.2 Кб, 65 просмотров)
Тип файла: png kerio02.png (139.6 Кб, 51 просмотров)
Тип файла: png kerio03.png (135.4 Кб, 45 просмотров)
Тип файла: png kerio04.png (144.6 Кб, 41 просмотров)
Тип файла: png mikrotik01.png (72.8 Кб, 67 просмотров)
Тип файла: png mikrotik02.png (18.1 Кб, 53 просмотров)
metallicswar вне форума   Ответить с цитированием Вверх
Старый 27.06.2014, 14:34   #82
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,613
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Можно схему сети картинкой? Зубодробительные подсети, очень сложно на слух. Это первое. Второе у вас SA Srs Address и SA Dst Address в одной подсети. Вас это не смущает? Вам зачем туннель между двумя хостами в одной подсети?
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Старый 27.06.2014, 16:00   #83
metallicswar
 
Аватар для metallicswar
 
Регистрация: 26.09.2013
Сообщений: 15
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата:
Сообщение от EnMan Посмотреть сообщение
Можно схему сети картинкой? Зубодробительные подсети, очень сложно на слух. Это первое. Второе у вас SA Srs Address и SA Dst Address в одной подсети. Вас это не смущает? Вам зачем туннель между двумя хостами в одной подсети?
Это тестовый стенд, виртуальные машины. Сразу сходу за боевые сервера браться как то не хочется ))

Схему приложил, извините за кривость, художник из меня пипец
Изображения
Тип файла: png сеть.png (25.8 Кб, 83 просмотров)
metallicswar вне форума   Ответить с цитированием Вверх
Старый 27.06.2014, 16:15   #84
metallicswar
 
Аватар для metallicswar
 
Регистрация: 26.09.2013
Сообщений: 15
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Откатил RouterOS до версии 6.9, теперь даже соединение не устанавливается Хотя в этот раз я мог чего нить и забыть и не донастроить.

Добавлено через 5 часов 11 минут
Трындец, заработало, когда на mikrotik в NAT добавил два правила: srcnat, src-10.8.1.0/24, dst-10.8.2.0/24, accept и второе тоже srcnat, но src и dst наоборот. Любое из двух выключаешь - перестает работать пинг в обе стороны. Это шутка такая? Злая, несмешная шутка (
Или я последние три дня был слишком трезв, чтобы заработало? О_о Вот что называется "без поллитры не разберешься", видимо

Еще указал на микротике маршрут по умолчанию на несуществующий шлюз, без этого тоже работать отказывалось с любой стороны.

Добавлено через 5 часов 46 минут
На RouterOS 6.15 работает и с одним правилом, видимо мне тупо маршрута не хватало. И всё бы хорошо, но пинги идути "по очереди" )) Если машина из первой сети пингует машину из второй сети, машина из второй сети не может пинговать машину из первой. Только если на первой пинг прервать, и то не сразу, а секунд через 10-20. Это какая то еще более шутейная шутка. Что товарищи из mikrotik курят? На 6.9 та же история. Причём пинги идут какие то несмешные, от 4 до 80 мс. И это в локалке из 4 компов с гигабитными виртуальными сетевыми. В общем теперь я вообще ничего не понимаю.
Скорость канала 25 мегабит получается на гигабитных сетях в прямой видимости, маловато будет. Сколько ж от них останется после прохода через провайдера... Хотя, может зря я грешу на микротик, может дело вообще в VirtualBox`е...

Последний раз редактировалось metallicswar; 27.06.2014 в 22:01. Причина: Добавлено сообщение
metallicswar вне форума   Ответить с цитированием Вверх
Старый 27.06.2014, 22:07   #85
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,613
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от metallicswar Посмотреть сообщение
Откатил RouterOS до версии 6.9, теперь даже соединение не устанавливается Хотя в этот раз я мог чего нить и забыть и не донастроить.

Добавлено через 5 часов 11 минут
Трындец, заработало, когда на mikrotik в NAT добавил два правила: srcnat, src-10.8.1.0/24, dst-10.8.2.0/24, accept и второе тоже srcnat, но src и dst наоборот. Любое из двух выключаешь - перестает работать пинг в обе стороны. Это шутка такая? Злая, несмешная шутка (
Или я последние три дня был слишком трезв, чтобы заработало? О_о Вот что называется "без поллитры не разберешься", видимо

Еще указал на микротике маршрут по умолчанию на несуществующий шлюз, без этого тоже работать отказывалось с любой стороны.
ох... какая же ересь

Вы тыкаете во все кнопки, не понимая для чего, но курят у вас что то именно в Микротике. К вопросу о скорости, которую вы пингами меряете. Я прикрепил скриншот на котором видны пинги из локальных сетей за Control в локальные сети за Mikrotik. Все эти тунели - это тунели Ipsec между Control и Mikrotik.

Изображения
Тип файла: jpg 20140627-2208-bufyq.jpg (36.4 Кб, 80 просмотров)
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Старый 28.06.2014, 00:59   #86
metallicswar
 
Аватар для metallicswar
 
Регистрация: 26.09.2013
Сообщений: 15
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

EnMan,

А я действительно тыкаю во все кнопки, не понимая что происходит. Потому что я менеджер-экономист )) Ну и немножко радиотехник. Вот вы не ругайтесь, а объясните мне в чем причина такого одностороннего пинга? Глядишь, я хоть чуть чуть да поумнею А на счёт скорости, я её мерял прогрузкой большого файла. Вот на VMWare уже пошустрее, почти 50 мегабит.
Ну а про "что курят в микротике", это была такая полушутка, полуотчаяние. Потому что "проверять" как это всё будет работать, мне придется таки на боевом сервере, в виртуальной среде оно себя неадекватно ведет как то...
Ну и я слегка нетрезв, да Точнее уже трезв, но хочу спать. У нас 7 утра.
metallicswar вне форума   Ответить с цитированием Вверх
Старый 29.06.2014, 20:29   #87
metallicswar
 
Аватар для metallicswar
 
Регистрация: 26.09.2013
Сообщений: 15
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Вопрос такой: я как неопытный пользователь микротика не могу догнать: у меня vpn-туннели будут использоваться для раздачи интернета в магазины кроме всего прочего, но как мне им интернет раздавать, если маршрут прокидывать некуда? Или мне прямо шлюз центрального офиса на клиентских машинах прописывать? Но это как то странновато, да и лишняя нагрузка на центр пойдёт (часть интернет-трафика ходит по местным провайдерам магазинов ибо всё равно бесплатно, у нас тут еще есть разница внешка/местные ресурсы).

Объясните плиз как это грамотно сделать, потому что сейчас я просто рядом с ipsec поднял клиента l2tp и пустил интернет по нему. Других мыслей нет
metallicswar вне форума   Ответить с цитированием Вверх
Старый 29.06.2014, 20:49   #88
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,613
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

И вы сделали правильно, потому что IPSec не предназначен для раздачи интернета. Тем более в туннельном режиме, это средство объединения локальных сетей через глобальные каналы связи. Просто до того, как что то начинать делать - думайте. Ну и не обижайтесь, но все-таки доверить такую работу лучше профессионалам, а не менеджерам-экономистам. Которые сначала грозятся "OpenVPN поднять на обрезке Debian", что в общем то далеко не тривиальная задача (я бы, например, с удовольствием бы на это посмотрел\поучился\почитал, хуй с ним с OpenVPN apt-get просто мне продемонстрируйте кто нибудь), а потом через интернет начинают раздавать интернет в филиалы.

Оставьте L2TP - это правильное решение в вашем случае.
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Старый 29.06.2014, 21:56   #89
metallicswar
 
Аватар для metallicswar
 
Регистрация: 26.09.2013
Сообщений: 15
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Где бы еще найти этих профессионалов... Да чтобы еще и сделали не на "отъебись" а по людски. Я хоть и менеджер-экономист, но последние пять лет работаю эникейщиком. Так уж сложилось, ничего не поделаешь. Так вот, по долгу службы я хожу по немалому количеству клиентов и починяю. То 1С, то интернеты, то принтеры... Нагляделся я на этих прохфессионалов, половину я бы к своей сети на пушечный выстрел не подпустил, а вторую только посмотреть. И то с расстояния Хоть я вовсе даже и не админ, а жалкий эникеишка, но уж лучше я сам.

Ну это так, "не обижаюсь" я

А по поводу openvpn в KerioOS, сегодня пол дня занимался как раз тем, что устанавливал туда apcupsd. Жили б в одном городе - позвал бы посмотреть, задача и правда нетривиальная И это всего лишь apcupsd, что бы было с openvpn мне и представить страшно. А профессионалы, в лице Антона Тихонова, мне советовали поставить виртуальную машину с kerio и параллельно какой нить убунтой с apcupsd Я его конечно понимаю, у них политика партии такая - нельзя ничего ставить в их OS и даже смотреть туда не надо.

apt-get кстати ставить не стал, на apcupsd мне и dpkg с основными либами хватило. Ну tar еще обновил, родной не хотел с новым dpkg работать. Секса было и без apt немало, так что очень надеюсь, что в будущих релизах товарищи догадаются в свою OS поддержку UPS вхреначить.

А с l2tp тоже как то не очень хорошо, получается у меня сразу два vpn и ни от одного я отказаться не могу. Оставлю один l2tp - не смогу доступа к магазинам иметь, IPSec интернеты не умеет. Разве что поднять на микротике l2tp сервер и подключаться наоборот из керио, так наверное заработает и то и другое, но такой вариант мне тоже не очень нравится.

Кстати, никто не знает, почему нельзя в статическом маршруте в kerio интерфейсом указать VPNсервер? Я может чего не понимаю, но это ж как то странно.

Последний раз редактировалось metallicswar; 30.06.2014 в 13:23.
metallicswar вне форума   Ответить с цитированием Вверх
Старый 08.07.2014, 10:04   #90
Loader
Навичёг
 
Аватар для Loader
 
Регистрация: 21.04.2009
Сообщений: 29
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

На версии 6.15 в интерфейсе появилась галочка "passive" т.е. можно создавать пассивные подключения.
Однако собрать конструктор по прилагаемой инструкции не получилось. Керио отказано в соединении.
Может дело в обновленной версии микротика?
Loader вне форума   Ответить с цитированием Вверх
Старый 08.07.2014, 10:19   #91
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,613
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от Loader Посмотреть сообщение
На версии 6.15 в интерфейсе появилась галочка "passive" т.е. можно создавать пассивные подключения.
Однако собрать конструктор по прилагаемой инструкции не получилось. Керио отказано в соединении.
Может дело в обновленной версии микротика?
Возможность установить параметр passive через WinBox появилась более ранних версиях. Нет, дело не в прошивке. На 6.15 все замечательно работает. Если нужна помощь - нужно рассказать в чем и объяснить топологию сети (лучше картинкой). И рассказать что делали. "Не получилось" - этого мало.
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Старый 08.07.2014, 10:38   #92
Loader
Навичёг
 
Аватар для Loader
 
Регистрация: 21.04.2009
Сообщений: 29
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Не получается установить само соединение. Пишет "Не удается подключиться к удаленной конечной точке".
88.83.ХХХ - ip керио
217.25.ХХХ - ip микротика
Секреты одинаковые.

Имеет ли значение что интернет на микротике поднят через L2TP подключение?
Изображения
Тип файла: jpg mikro1.JPG (55.7 Кб, 52 просмотров)
Тип файла: jpg kerio.JPG (58.3 Кб, 42 просмотров)
Loader вне форума   Ответить с цитированием Вверх
Старый 08.07.2014, 10:43   #93
Loader
Навичёг
 
Аватар для Loader
 
Регистрация: 21.04.2009
Сообщений: 29
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

По топологии сети
192.168.100.0/24 - сеть kerio
192.168.88.0/24 - сеть mikrotik
10.4.73.0/24 - сеть провайдера (подключена через eth1 микротика)
217.25.ХХХ интернет, поднимаемый микротиком через L2TP
proposal один в один как на скрине инструкции по настройке
Loader вне форума   Ответить с цитированием Вверх
Старый 08.07.2014, 11:35   #94
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,613
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

/ip firewall filter export покажите в микротике
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Старый 08.07.2014, 11:42   #95
Loader
Навичёг
 
Аватар для Loader
 
Регистрация: 21.04.2009
Сообщений: 29
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Код:
[admin@MikroTik] > /ip firewall filter export
# jul/08/2014 11:41:15 by RouterOS 6.15
# software id = TPBP-8L1N
#
/ip firewall filter
add chain=input comment="default configuration" protocol=icmp
add action=drop chain=input src-address=116.10.191.0/24
add chain=input comment="default configuration" connection-state=established
add chain=input comment="default configuration" connection-state=related
add chain=input dst-port=1701 protocol=udp
add chain=input dst-port=8291 protocol=tcp
add chain=input comment="Allow IKE" dst-port=500 protocol=udp
add chain=input comment="Allow IPSec-esp" protocol=ipsec-esp
add chain=input comment="Allow IPSec-ah" protocol=ipsec-ah
add chain=input comment="Allow UDP" protocol=udp
add action=drop chain=input comment="default configuration" in-interface=ether1-gateway
add chain=forward comment="default configuration" connection-state=established
add chain=forward comment="default configuration" connection-state=related
add action=drop chain=forward comment="default configuration" connection-state=invalid
[admin@MikroTik] >
Loader вне форума   Ответить с цитированием Вверх
Старый 08.07.2014, 11:47   #96
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,613
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

в ipsec policy нет ничего? Попытки подключения вы видите? В ipsec remote peers
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Старый 08.07.2014, 11:48   #97
Loader
Навичёг
 
Аватар для Loader
 
Регистрация: 21.04.2009
Сообщений: 29
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

нет ничего
Loader вне форума   Ответить с цитированием Вверх
Старый 08.07.2014, 11:49   #98
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,613
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Попытки подключения?
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Старый 08.07.2014, 11:57   #99
Loader
Навичёг
 
Аватар для Loader
 
Регистрация: 21.04.2009
Сообщений: 29
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Одно - подключение для администрирования, другое похоже и есть этот туннель.
Изображения
Тип файла: jpg kerio_connect.JPG (23.2 Кб, 73 просмотров)
Loader вне форума   Ответить с цитированием Вверх
Старый 07.10.2014, 15:15   #100
RT987
 
Аватар для RT987
 
Регистрация: 08.07.2014
Сообщений: 6
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Уважаемый EnMan! Прошу подтвердить успешную работу VPN по вашей инструкции с версиями Mikrotik 6.20 и Kerio 8.3.4.

Так, при попытке добавить новый интерфейс, согласно 3 части вашей инструкции, следующей командой
add comment="L2TP VPN Client" connect-to=109.172.42.XXX disabled=no max-mru=1460 max-mtu=1460 name=INTERFACE-NAME password=password user=username возвращается ошибка
syntax error (line 1 column 41) (значения переменных разумеется изменил)
RT987 вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 17:57. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2020, vBulletin Solutions Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях