Форум Kerio-rus

Вернуться   Форум Kerio-rus > Продукты > Kerio VPN

Важная информация

Ответ
 
Опции темы
Старый 16.03.2016, 18:55   #141
Axizdkr
Навичёг
 
Аватар для Axizdkr
 
Регистрация: 16.03.2016
Сообщений: 40
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата Т.е. в случае, когда нужно отправить трафик в подсеть за контролом, например.
мне туда трафик и надо отправлять.
выходит что рекваер работает только если надо трафик из контрола за микротик прокидывать?
Axizdkr вне форума   Ответить с цитированием Вверх
Старый 06.05.2016, 13:39   #142
xenrat
 
Аватар для xenrat
 
Регистрация: 05.05.2016
Сообщений: 5
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Всем привет!

Тестовая схема:
Kerio: 9.0.3 build 879
MikroTik RouterOS: 6.35.1
Clients: win7 (фаер отключен).
Инет стабильно работает с керио, мтк, клиентов.
Когда только ipsec поднял - все работало. Перезагрузка керио и мтк - инет есть, впн соединился, но внутри ничего не ходит.


client1 [192.168.30.199/24] <-> MTK [lan:192.168.30.1/24; wan:87.*.30.133/28] <-> неуправляемый свитч + инет от прова <-> Kerio [lan: 192.168.31.1/24; wan: 87.*.30.135/28] <-> client2 [192.168.31.100/24]
Делалось по [Для просмотра данной ссылки нужно зарегистрироваться]
Расскажите, ЧЯДНТ?

Скрины настроек мтк и керио:
[Для просмотра данной ссылки нужно зарегистрироваться]

или

[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
xenrat вне форума   Ответить с цитированием Вверх
Старый 06.05.2016, 20:03   #143
Axizdkr
Навичёг
 
Аватар для Axizdkr
 
Регистрация: 16.03.2016
Сообщений: 40
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

поменяй в policy рекваер на уникью и всё будет работать.

Добавлено через 8 минут
да и accept в nat это не то что принято делать... один сделал и за ним все повторяют бездумно.

Последний раз редактировалось Axizdkr; 06.05.2016 в 20:12. Причина: Добавлено сообщение
Axizdkr вне форума   Ответить с цитированием Вверх
Старый 06.05.2016, 21:38   #144
xenrat
 
Аватар для xenrat
 
Регистрация: 05.05.2016
Сообщений: 5
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Axizdkr, спасибо за оперативность.
А каким образом сделать чтобы в MTK-> ipsec - policies вместо require появился unique? MTK ж автоматом их генерит. Понимаю, что надо как-то создать политику, которую будет юзать впн. Ну и переделать ipsec впн. Как сделать - пока не понимаю.

Цитата
Сообщение от Axizdkr Посмотреть сообщение
да и accept в nat это не то что принято делать... один сделал и за ним все повторяют бездумно.
MTK- Firewall - NAT, верно? А какой рабочий вариант?

Последний раз редактировалось xenrat; 07.05.2016 в 13:51.
xenrat вне форума   Ответить с цитированием Вверх
Старый 07.05.2016, 11:27   #145
Axizdkr
Навичёг
 
Аватар для Axizdkr
 
Регистрация: 16.03.2016
Сообщений: 40
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

да политики надо вручную создавать, можете нажать copy на тех что были сгенерированы и исправить level на unique
авто генерация всегда с уровнем require будет, но я писал на предыдущей странице что любая лажа убивает туннель с require, да и даже если интернет ни разу не пропадал и никого из участников туннеля не ребутили он сам по себе может лечь через какое-то время.

ещё момент, у вас что в proposal что в peers 3des выбрано, а некоторые mikrotik имеют аппаратное ускорение aes, но тут от модели зависит. если аппаратное ускорение есть, то лучше aes использовать, но modp в этом случае на керио 2048, если память не изменяет.

по nat, в вашем случае можно в правиле masquerade в поле dst. addres поставить восклицательный значок и указать 192.168.31.0/24 если нужно одну подсеть исключить, если несколько addres-list можно использовать и dst.address уже на вкладке advanced
[Для просмотра данной ссылки нужно зарегистрироваться]

Последний раз редактировалось Axizdkr; 07.05.2016 в 13:47.
Axizdkr вне форума   Ответить с цитированием Вверх
Старый 08.05.2016, 13:29   #146
xenrat
 
Аватар для xenrat
 
Регистрация: 05.05.2016
Сообщений: 5
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Подсети 192.168.30.0/24 и 192.168.31.0/24 видят друг друга
Керио 192.168.31.1/24 видит подсеть 192.168.30.0/24 и может туда ходить
МТК 192.168.30.1/24 не хочет ходить в 192.168.31.1/24

Скрины:
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
xenrat вне форума   Ответить с цитированием Вверх
Старый 08.05.2016, 13:58   #147
Axizdkr
Навичёг
 
Аватар для Axizdkr
 
Регистрация: 16.03.2016
Сообщений: 40
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

на скриншотах проблем не вижу.
Axizdkr вне форума   Ответить с цитированием Вверх
Старый 08.05.2016, 14:04   #148
xenrat
 
Аватар для xenrat
 
Регистрация: 05.05.2016
Сообщений: 5
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Axizdkr, вот клиенты за микротиком видят все сети и все хорошо, но сам микротик (192.168.30.1/24) не хочет пинговать что-либо в впн-сети 192.168.31.0/24

[Для просмотра данной ссылки нужно зарегистрироваться]

При запуске трассировки с микротика [lan: 192.168.30.1/24] до компа в впн-сети [lan: 192.168.31.100], пакеты идут не в Ipsec-канал, а наружу. Как рассказать микротику, что пакеты нужно в впн-канал слать?
*192.168.55.0/24 - это внешняя сеть с инетом для микротика и керио. богон-сети не блокируются.

[admin@MikroTik] /tool> traceroute
address: 192.168.31.1
# ADDRESS LOSS SENT LAST AVG BEST WORST STD-DEV S
1 192.168.55.1 0% 1 1.7ms 1.7 1.7 1.7 0
2 98.123.16.4 0% 1 1.2ms 1.2 1.2 1.2 0
3 98.123.16.34 0% 1 2.8ms 2.8 2.8 2.8 0
4 98.123.16.33 0% 1 1.2ms 1.2 1.2 1.2 0
5 195.143.12.149 0% 1 1.2ms 1.2 1.2 1.2 0
6 100% 1 timeout
7 100% 1 timeout
8 100% 1 timeout
9 100% 1 timeout
10 0% 1 0ms

Если же делать запрос с указанием интерфейса, то пинг с микротика [192.168.30.1/24] в впн-сеть [192.168.31.0/24] ходит.

[admin@MikroTik] > ping address=192.168.31.10 interface=lan
SEQ HOST SIZE TTL TIME STATUS

[admin@MikroTik] > ping address=192.168.31.100 interface=lan
SEQ HOST SIZE TTL TIME STATUS
0 192.168.31.100 56 127 1ms
1 192.168.31.100 56 127 1ms
sent=2 received=2 packet-loss=0% min-rtt=1ms avg-rtt=1ms max-rtt=1ms

Будет работать только с указанием исходящего интерфейса? Автоматом нельзя?

Последний раз редактировалось xenrat; 08.05.2016 в 15:00.
xenrat вне форума   Ответить с цитированием Вверх
Старый 08.05.2016, 15:50   #149
Axizdkr
Навичёг
 
Аватар для Axizdkr
 
Регистрация: 16.03.2016
Сообщений: 40
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

микротик не очень так что бы прям хорошо работает с ipsec, в моём случае на микротике вообще адреса не было с которого можно было бы пинговать, но мне это и не надо, работают клиенты значит всё ок.
Axizdkr вне форума   Ответить с цитированием Вверх
Старый 11.05.2016, 18:26   #150
beria
 
Аватар для beria
 
Регистрация: 11.01.2011
Адрес: Минск, Беларусь
Сообщений: 15
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Доброго времени суток, уважаемые коллеги. Столкнулся с некой загадочной проблемой.
Имею с одной стороны Kerio control (8.6.0) в роли активной стороны, с другой mikrotik rb2011 в роли пассивной. Задача - организовать ipsec тоннель. Все настроено по манам (в керио подсети ручками добавлены), тоннель поднимается исправно, политики создаются, концы "снюхиваются".И принципе тоннель вполне себе исправно работает...до перезагрузки микротика. После перезагрузки тоннель так же поднимается, но пакеты ходят только в одну сторону.

Помогает только откат прошивки (тупо зайти syste - packages и сделать downgrade). При чем после перезагрузки микротика версия прошивки не меняется, но тоннель чудным образом поднимается. Перепробовал всю ветку 6.34 и сейчас 6.35.1 и 6.35.2 - все одинаково. Может есть у кого-нибудь мысли?
Грешу еще на керио с той стороны, поеду на этой неделе и его обновлю (там в 8.6.2 вроде было что то касательно изменений в работе с ipsec от сторонних вендоров).
beria вне форума   Ответить с цитированием Вверх
Старый 11.05.2016, 19:13   #151
xenrat
 
Аватар для xenrat
 
Регистрация: 05.05.2016
Сообщений: 5
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

beria, а правила фаера керио и микротика запостите. Изменено с рекваер на уник? А если сначала пинговать из каждой сети шлюз другой сети?
xenrat вне форума   Ответить с цитированием Вверх
Старый 11.05.2016, 20:26   #152
Axizdkr
Навичёг
 
Аватар для Axizdkr
 
Регистрация: 16.03.2016
Сообщений: 40
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

beria: вы описываете типичное поведение для require ) [Для просмотра данной ссылки нужно зарегистрироваться].
во всех манах написано что надо require ставить, но тогда туннель не работает

Добавлено через 2 минуты
да кстати, при использовании level unique можно задавать политики для разных подсетей, а не выбирать какую-нибудь одну которая может быть заработает.
у меня например 192 и 10 прокидывались, до тех порка routeros с двух концов не поставил.

Последний раз редактировалось Axizdkr; 11.05.2016 в 20:29. Причина: Добавлено сообщение
Axizdkr вне форума   Ответить с цитированием Вверх
Старый 12.05.2016, 00:38   #153
beria
 
Аватар для beria
 
Регистрация: 11.01.2011
Адрес: Минск, Беларусь
Сообщений: 15
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от xenrat Посмотреть сообщение
beria, а правила фаера керио и микротика запостите. Изменено с рекваер на уник? А если сначала пинговать из каждой сети шлюз другой сети?
1. Пробовал руками создавать политики в обоих вариантах = бесполезно.
2. пинговать пробовать в разных вариантах, всеравно пакеты в одну сторону.

Скрины -


Больше того, если я политики создаю руками, то количество поднятых концов будет 3-4 вместо 2х (задвоенные появлются). При этом по прежнему не работает
beria вне форума   Ответить с цитированием Вверх
Старый 12.05.2016, 01:02   #154
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 15,549
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

beria, камрад, в микротике помио правил NAT есть ещё правила Firewall, где должны быть разрешающие forward правила для того самого трафика который ты описываешь правилами НАТа

полагаю фоервол не содержит правил, разрешающих нужный тебе трафик
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 12.05.2016, 09:11   #155
Axizdkr
Навичёг
 
Аватар для Axizdkr
 
Регистрация: 16.03.2016
Сообщений: 40
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

у Вас ещё и провайдеров несколько, мало того что с фаерволом загоны могут быть, ещё и по маршрутам смотреть надо может что-то перемудрили.
по тем скриншотам что Вы дали не понятно где может быть ошибка.
Axizdkr вне форума   Ответить с цитированием Вверх
Старый 12.05.2016, 11:28   #156
beria
 
Аватар для beria
 
Регистрация: 11.01.2011
Адрес: Минск, Беларусь
Сообщений: 15
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата:
Сообщение от naliman Посмотреть сообщение
beria, камрад, в микротике помио правил NAT есть ещё правила Firewall, где должны быть разрешающие forward правила для того самого трафика который ты описываешь правилами НАТа
Да, виноват.
Вот фаервол
Вот маршруты (маршруты до гугло-днс идут через разных провайдеров, использую для netwatch)
beria вне форума   Ответить с цитированием Вверх
Старый 12.05.2016, 12:28   #157
Axizdkr
Навичёг
 
Аватар для Axizdkr
 
Регистрация: 16.03.2016
Сообщений: 40
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

так то вроде всё ок, давайте дальше, proposal policy peer
Axizdkr вне форума   Ответить с цитированием Вверх
Старый 12.05.2016, 12:31   #158
beria
 
Аватар для beria
 
Регистрация: 11.01.2011
Адрес: Минск, Беларусь
Сообщений: 15
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Proposal -
policy -
peer -
beria вне форума   Ответить с цитированием Вверх
Старый 12.05.2016, 13:02   #159
Axizdkr
Навичёг
 
Аватар для Axizdkr
 
Регистрация: 16.03.2016
Сообщений: 40
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

сколько галочек стоит в proposal, ужас )
level надо ставить unique, а не require в policy, об этом с самого начала Вам писали.
Axizdkr вне форума   Ответить с цитированием Вверх
Старый 12.05.2016, 13:04   #160
beria
 
Аватар для beria
 
Регистрация: 11.01.2011
Адрес: Минск, Беларусь
Сообщений: 15
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от Axizdkr Посмотреть сообщение
сколько галочек стоит в proposal, ужас )
ну я с запасом, "концы" все равно между собой договорятся какой выбрать.
Цитата
Сообщение от Axizdkr Посмотреть сообщение
level надо ставить unique, а не require в policy, об этом с самого начала Вам писали.
я вчера уже писал, что пробовал в обоих вариантах - одинаково.
Вечером еще попробую поковырять.
beria вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 15:16. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2020, vBulletin Solutions Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях