Форум Kerio-rus

Вернуться   Форум Kerio-rus > Продукты > Kerio VPN

Важная информация

Ответ
 
Опции темы
Старый 22.04.2015, 15:48   #121
voffkazz84
 
Аватар для voffkazz84
 
Регистрация: 25.06.2012
Сообщений: 2
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Всем привет! Подскажите пожалуйста, с горем пополам статус туннеля изменился на Подключен, со стороны Микротика я пигую сеть Керио, а из сети Керио не пингуется сеть микротика, куда копать подскажите пожалуйста?
Изображения
Тип файла: jpg 1 mikro.jpg (73.1 Кб, 96 просмотров)
Тип файла: jpg 2 mikro.jpg (100.1 Кб, 92 просмотров)
Тип файла: jpg 3 mikro.jpg (123.9 Кб, 79 просмотров)
Тип файла: jpg kerio.jpg (119.2 Кб, 69 просмотров)
Тип файла: jpg 2 копия.jpg (120.0 Кб, 68 просмотров)
Тип файла: jpg 5.jpg (86.6 Кб, 59 просмотров)

Последний раз редактировалось voffkazz84; 22.04.2015 в 16:02.
voffkazz84 вне форума   Ответить с цитированием Вверх
Старый 22.04.2015, 19:02   #122
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 15,534
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от voffkazz84 Посмотреть сообщение
из сети Керио не пингуется сеть микротика, куда копать подскажите пожалуйста?
полагаю копать в правела фоервольные у микротика
не заметил правила, разрешающего форвардинг из сеть керио в сеть микротика

ну и всё таки трассировку бы...
там видно где затык

возьмите на вооружение:
[Для просмотра данной ссылки нужно зарегистрироваться]
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 23.04.2015, 08:20   #123
voffkazz84
 
Аватар для voffkazz84
 
Регистрация: 25.06.2012
Сообщений: 2
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Спасибо, буду копать в этом направлении
voffkazz84 вне форума   Ответить с цитированием Вверх
Старый 30.04.2015, 16:16   #124
MagiC
 
Аватар для MagiC
 
Регистрация: 10.03.2006
Адрес: Москва
Сообщений: 4
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от MagiC Посмотреть сообщение
Привет!
Есть Керио последней версии 8.5.2 с двумя интернет-интерфейсами в режиме балансировки и MikroTik 2011 RouterOS 6.27 с одним интерфейсом, у всех реальные ip-адреса.
На микротике соответственно созданы два пассивных Peer - один для первого ip керио, второй для второго, с идентичными настройками. Политика генерируется автоматически на обоих (port override). Туннель ipsec работает, все ок, подсети за керио и за микротиком видят друг друга.
На микротике видно, что туннель устанавливается c ip первого интерфейса Керио.
Если на Керио отключить этот первый интерфейс, то туннель переинициируется с ip второго интерфейса, пинги между подсетями достаточно быстро восстанавливаются.
Однако через небольшой промежуток времени (в пределах минуты) пинги между подсетями пропадают, при этом керио показывает что туннель жив, на микротике в Installed SAs тоже все есть, однако в Polices автоматически сгенерированная политика исчезла... Видимо это и есть причина проблемы.
После включения первого интерфейса Керио и отключения второго все восстанавливается. Затем второй включаешь и тоже все ок.

Как думаете, в чем может быть причина пропадания политики в Policies через некоторое время после отключения первого интерфейса Керио?
Вот что ответила мне техподдержка Керио:

"Отдел разработки приложения Kerio Control внимательно изучили предоставленную Вами информацию.
Согласно данным отключение туннеля вызвано изменениями в таблице маршрутизации - в результате восстановления подключения первого интерфейса (ISP1) теряется старый пусть через 2 интерфейс (ISP2), поэтому необходимо выполнить переподключение на первый интерфейс. На данный момент у отдела разработок нет решения как предотвратить данное, но они продолжают работу над данным вопросом, но как быстро будет найдено решение, к сожалению, не можем ответить."

Так что не работает резервирование, по крайней мере при режиме балансировки.
MagiC вне форума   Ответить с цитированием Вверх
Старый 09.06.2015, 08:30   #125
Sergeant_48
 
Аватар для Sergeant_48
 
Регистрация: 06.03.2012
Сообщений: 1
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Мдааааа, в продолжение предыдущего оратора....
Пользуем версией Контола 8.5.3, есть два канала, режим резервирование. Есть уделённые точки на микротиках с серыми адресами, они подключают к нашему микротику по L2TP, который за Контролом. Порт пробрасываем… Так вот наблюдаются тоже глюки и судя по всему Контрола. При разрыве соединения на Контроле, а потом его восстановление, наглухо не хотят восстанавливаться соединения с микротиками! Помогает только перезагрузка Контрола. Пробовал выставлять разные варианты (один канал связи, резервирование и балансировка), один хрен при разрыве сессии от Роса (подключение по PPPoE), а потом её восстановление не хотят восстанавливаться подключения на микротиках!
Вот такая вот заметка, пробую постепенно разные варианты, если что прозреет – напишу!
Sergeant_48 вне форума   Ответить с цитированием Вверх
Старый 10.06.2015, 20:53   #126
MagiC
 
Аватар для MagiC
 
Регистрация: 10.03.2006
Адрес: Москва
Сообщений: 4
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от Sergeant_48 Посмотреть сообщение
[...]При разрыве соединения на Контроле, а потом его восстановление, наглухо не хотят восстанавливаться соединения с микротиками! Помогает только перезагрузка Контрола.[...]
Да, подтверждаю, у нас такая же проблема при микротике за Контролом и микротиками в филиалах - не восстанавливается L2TP между ними при падении одного из каналов на Контроле пока не перезагрузишь Контрол или не передернешь вручную интерфейсы.
MagiC вне форума   Ответить с цитированием Вверх
Старый 17.07.2015, 16:25   #127
SZh
 
Аватар для SZh
 
Регистрация: 29.12.2006
Адрес: Московская область
Сообщений: 4
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Добрый день.
Уже обчитался никак не заведу туннель между Mirotik RB951G-2HnD и Kerio Control 8.6.0.
На последней версии RouterOS 6.30.1 вообще никаких потугов, на 6.10 вроде как соединение устанавливается (политики самостоятельно не создаются) по крайней мере об этом сообщает Kerio, но пинги не ходят.
Сейчас на mikrotik'е установлена 6.27 поведение такое же как и у 6.10, но туннель не устанавливается вообще пока не пустишь пинг в другую сеть.
В общем-то по этому поводу пока два вопроса:
1. Какую версию RouterOS надо использовать для успеха?
2. Должны ли политики генерироваться самостоятельно, если у меня mikrotik инициатор, а kerio принимающая сторона в этом деле?


В правилах firewall'а mikrotik сломал мозг сразу и он у меня так и не выправился в нужное русло.
Буду счастлив если кто-нибудь ответит.
SZh вне форума   Ответить с цитированием Вверх
Старый 28.07.2015, 16:36   #128
SZh
 
Аватар для SZh
 
Регистрация: 29.12.2006
Адрес: Московская область
Сообщений: 4
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата:
Сообщение от EnMan Посмотреть сообщение
Вообще я обратил внимание на такое поведение, да. Оно засыпает при отсутствии активности. Причин не выявил. Решил добавлением мониторинга VPN каналов, который раз в пять минут проверяет доступность VPN пингом на серый адрес из одного филиала в другой. И все живет. Костыль, да.
Добрый день.
А данный костыль реализован на микротике или это на другом оборудовании?
SZh вне форума   Ответить с цитированием Вверх
Старый 31.07.2015, 15:47   #129
makmos
 
Аватар для makmos
 
Регистрация: 09.02.2012
Сообщений: 2
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Добрый день всем!
помогайте ребят, всё поперепробовал, не поднимается туннель и всё тут. Версии менял и керио и mikrotik, поставил как мануале, не работает. Напрямую соединял керио и mikrotik не работает.

В логах керио заходит в цикл:


MIkrotik за серой сетью провайдера, керио статика, нам подойдёт только туннель и только микротик инициатор (кстати пробовал наоборот, керио инициатор, ошибка - несоответствие ID).

в логах микротика:


т.е. зацикливается на этом..
makmos вне форума   Ответить с цитированием Вверх
Старый 13.08.2015, 08:43   #130
makmos
 
Аватар для makmos
 
Регистрация: 09.02.2012
Сообщений: 2
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от makmos Посмотреть сообщение
Добрый день всем!
помогайте ребят, всё поперепробовал, не поднимается туннель и всё тут. Версии менял и керио и mikrotik, поставил как мануале, не работает. Напрямую соединял керио и mikrotik не работает.

В логах керио заходит в цикл:

т.е. зацикливается на этом..
разобрался. сам не внимательно читал, микротик со своей стороны поднимает туннель только после пинга в сеть за керио.

что касается указания в SA Src.Address 0.0.0.0 если провайдер даёт серую сеть то - Подтребуется скрипт подмены динамического ip в SA Src.Address
Вот, что мне дали спецы по микротику...
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
makmos вне форума   Ответить с цитированием Вверх
Старый 13.08.2015, 13:53   #131
SZh
 
Аватар для SZh
 
Регистрация: 29.12.2006
Адрес: Московская область
Сообщений: 4
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от makmos Посмотреть сообщение
разобрался. сам не внимательно читал, микротик со своей стороны поднимает туннель только после пинга в сеть за керио.
Добрый день.
Тоже достаточно долго тормозил на эту тему.
А еще мне нужен был доступ в сеть за микротик, а инициатором должен быть он же. Соответственно, чтобы туннель восстанавливался и не прерывался пришлось в шедулер на микротике просписать пинг в сеть за керио.

Кстати отвечая на свой же вопрос. Последняя версия router OS (6.30.2) и последняя версия kerio (8.6.0) работают.
SZh вне форума   Ответить с цитированием Вверх
Старый 17.08.2015, 15:07   #132
SZh
 
Аватар для SZh
 
Регистрация: 29.12.2006
Адрес: Московская область
Сообщений: 4
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Добрый день.

Судя по всему в последней версии router OS 6.31 поправили и теперь в качестве SA Src. Address можно поставить 0.0.0.0 До этого соединение с таким значением не устанавливалось.
SZh вне форума   Ответить с цитированием Вверх
Старый 13.09.2015, 19:49   #133
Skywoker
 
Аватар для Skywoker
 
Регистрация: 11.09.2015
Сообщений: 3
Печаль Re: IPsec туннель между Mikrotik и Kerio Control

А кто-нибудь сталкивался с проблема фрагментации пакетов в туннеле? Туннель есть, сети пингуются, но вот клиентские приложения не хотят работать (rdp - запрос на логин есть, сеанс не грузит, папки по смб не открывает, ssh - работает...но ооочень медленно, в путти невозможно печакать, одна буква 10 сек печакается.)

Пробовал правила мангл прописывать на размер mtu до 1350 как пишут на форуме микротика, тоже не проканало.
Skywoker вне форума   Ответить с цитированием Вверх
Старый 04.10.2015, 09:47   #134
Dimka74
 
Аватар для Dimka74
 
Регистрация: 10.09.2009
Сообщений: 15
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Коллеги, подскажите подойдет ли эта модель Mikrotik-а ([Для просмотра данной ссылки нужно зарегистрироваться]) для настройки VPN канала с Kerio?
Dimka74 вне форума   Ответить с цитированием Вверх
Старый 06.10.2015, 10:07   #135
Skywoker
 
Аватар для Skywoker
 
Регистрация: 11.09.2015
Сообщений: 3
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от Dimka74 Посмотреть сообщение
Коллеги, подскажите подойдет ли эта модель Mikrotik-а ([Для просмотра данной ссылки нужно зарегистрироваться]) для настройки VPN канала с Kerio?
Подойдет. Правда подумайте прежде, нужно ли вам все это. Может проще в удаленной точке поставить еще один Керио (как сделал я после танцев с бубнами касательно MSS, MTU для ppp сессий ) . Решения проблемы с фрагментацией пакетов керио-микротик не нашел. У кого то заработает у кого то нет. Лежит пылится теперь такой же роутер на полочке.
Skywoker вне форума   Ответить с цитированием Вверх
Старый 06.10.2015, 10:40   #136
Dimka74
 
Аватар для Dimka74
 
Регистрация: 10.09.2009
Сообщений: 15
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Skywoker, Спасибо за ответ, дело в том, что нет возможности поставить ещё один керио
Может другая модель подойдет? Или все попытки обречены?
Dimka74 вне форума   Ответить с цитированием Вверх
Старый 07.10.2015, 23:49   #137
Skywoker
 
Аватар для Skywoker
 
Регистрация: 11.09.2015
Сообщений: 3
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от Dimka74 Посмотреть сообщение
Skywoker, Спасибо за ответ, дело в том, что нет возможности поставить ещё один керио
Может другая модель подойдет? Или все попытки обречены?
Любой Микротик на ROS 4 и выше подойдет, если есть гайд то значит это работает. Просто у меня не заработало. У меня hAP lite - самый простой из микротиков.
Skywoker вне форума   Ответить с цитированием Вверх
Старый 16.03.2016, 14:04   #138
Axizdkr
Навичёг
 
Аватар для Axizdkr
 
Регистрация: 16.03.2016
Сообщений: 40
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

специально зарегался, пол дня голову ломал почему с керио айписек нормально не работает, поднимался туннель только после перезагрузки и падал через пол часа
оказывается в полиси на микротике level надо в unique выставлять, а не require как тут все пишут, мало ли кому пригодится.
Axizdkr вне форума   Ответить с цитированием Вверх
Старый 16.03.2016, 14:40   #139
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,613
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Это не так, этот параметр служит для того, чтобы трафик пошел в туннель, для которых еще не установлены ассоциации, SAs. Т.е. в случае, когда нужно отправить трафик в подсеть за контролом, например. Поэтому если у вас работает так и никак по другому, то в политиках ошибка
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Старый 16.03.2016, 18:44   #140
Axizdkr
Навичёг
 
Аватар для Axizdkr
 
Регистрация: 16.03.2016
Сообщений: 40
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

работает так и только так и именно так работает так как надо, где там ошибиться то можно?
то что вижу то и говорю, реквайр здесь не катит.
перечитал кучу инструкций, все видимо основаны на том что здесь описано на 1х страницах, и думал что инструкция правильная, перепробовал 5 разных прошивок, результат один - лажа.
делашеь флуш интерфейс туннель падает. делаешь килл коннекшн - туннель падает.
меняешь полиси на уникью и всё работает как часы.
Axizdkr вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 05:05. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2020, vBulletin Solutions Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях