Форум Kerio-rus

Вернуться   Форум Kerio-rus > Продукты > Kerio VPN

Важная информация

Ответ
 
Опции темы
Старый 12.05.2016, 13:35   #161
Axizdkr
Навичёг
 
Аватар для Axizdkr
 
Регистрация: 16.03.2016
Сообщений: 40
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

ещё странно что в policy нет указания на proposal, его и в правиле нет? или это print так коряво отобразил?
ещё момент есть, когда первый раз настраивал у меня всё работало, когда второй раз настраивал надо было менять маршруты на керио с одного впн на другой, без перезагрузку керио маршруты не менялись трафик по туннелю не шёл, так что имейте ввиду что его тоже бывает перезагружать надо.
ну и поскольку у вас nat-t стоит, проброс портов на микротик с внешнего ip сделан же?
Axizdkr вне форума   Ответить с цитированием Вверх
Старый 16.05.2016, 10:49   #162
beria
 
Аватар для beria
 
Регистрация: 11.01.2011
Адрес: Минск, Беларусь
Сообщений: 15
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от Axizdkr Посмотреть сообщение
ещё странно что в policy нет указания на proposal, его и в правиле нет? или это print так коряво отобразил?
да, это кривой принт. Там указано "default"
Цитата
Сообщение от Axizdkr Посмотреть сообщение
ещё момент есть, когда первый раз настраивал у меня всё работало, когда второй раз настраивал надо было менять маршруты на керио с одного впн на другой, без перезагрузку керио маршруты не менялись трафик по туннелю не шёл, так что имейте ввиду что его тоже бывает перезагружать надо.
Перегружал и не раз, тем более что обновлял с 8.6.0 до 9.0.2
Цитата
Сообщение от Axizdkr Посмотреть сообщение
ну и поскольку у вас nat-t стоит, проброс портов на микротик с внешнего ip сделан же?
правила на фаерволе в микротике разрешающие есть на цепочке input, а проброс зачем? Он же до нат`а стоит.

В общем после того как сделал policy ручками и поставил unique, отработал почти неделю и все равно умер с теми же симптомами. Из положительных изменений только то, что рестарт микротика помогает. Плюс иногда в списке подружившихся концов отображается 4шт, это как так?
beria вне форума   Ответить с цитированием Вверх
Старый 16.05.2016, 11:22   #163
Axizdkr
Навичёг
 
Аватар для Axizdkr
 
Регистрация: 16.03.2016
Сообщений: 40
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

у вас nat до микротика где-то есть. полагаю на провайдере, но если неделю всё работало то там будем думать всё в порядке.
бывает ещё соединение если у вас сработало переключение на другого провайдера перекидывается на второй канал, и обратно никогда не вернётся, это особенность вообще всего udp трафика, может это и произошло.
если у вас по ipsec файловер не настроен попробуйте добавить маршрут 192.168.184.0/24 с назначением blackhole (в type выбирается), этот маршрут при рабочем ipsec не должен работать, а когда ipsec упадёт не даст подключениям уйти на второго провайдера по маршруту 0.0.0.0/0
Axizdkr вне форума   Ответить с цитированием Вверх
Старый 16.05.2016, 11:28   #164
beria
 
Аватар для beria
 
Регистрация: 11.01.2011
Адрес: Минск, Беларусь
Сообщений: 15
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от Axizdkr Посмотреть сообщение
у вас nat до микротика где-то есть. полагаю на провайдере, но если неделю всё работало то там будем думать всё в порядке.
Да, думаю что "натов" до меня там хватает, хотя и порты все проброшены. Поэтому nat traversal и включен.
Цитата
Сообщение от Axizdkr Посмотреть сообщение
если у вас по ipsec файловер не настроен попробуйте добавить маршрут 192.168.184.0/24 с назначением blackhole (в type выбирается), этот маршрут при рабочем ipsec не должен работать, а когда ipsec упадёт не даст подключениям уйти на второго провайдера по маршруту 0.0.0.0/0
попробовал добавить маршрут. При поднятом ipsec он отрабатывает и соответственно пакеты перестают ходить.
[Для просмотра данной ссылки нужно зарегистрироваться]
beria вне форума   Ответить с цитированием Вверх
Старый 16.05.2016, 11:38   #165
Axizdkr
Навичёг
 
Аватар для Axizdkr
 
Регистрация: 16.03.2016
Сообщений: 40
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

мне казалось что ipsec на себя все маршруты тащит, странное дело, позже проверю.
тогда можно чуть сложнее, создать маршрут до kerio, т.е. указываете его ip без маски или с маской /32 дальше так же как у вас в 0.0.0.0/0, затем такой же маршрут blackhole но метрику 200.
но тут проблема что при падении основного канала до керио вы не достучитесь, другие способы это перезагрузка и скрипт который будет соединения убивать.
Axizdkr вне форума   Ответить с цитированием Вверх
Старый 16.05.2016, 15:47   #166
beria
 
Аватар для beria
 
Регистрация: 11.01.2011
Адрес: Минск, Беларусь
Сообщений: 15
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Цитата
Сообщение от Axizdkr Посмотреть сообщение
тогда можно чуть сложнее, создать маршрут до kerio, т.е. указываете его ip без маски или с маской /32 дальше так же как у вас в 0.0.0.0/0, затем такой же маршрут blackhole но метрику 200.
создал маршрут, что бы все пакеты идущие на 192.168.184.0/24 сваливались на интерфейс eth4 (интерфейс локальной сети, на которую собственно и смотрит конец ipsec 10.0.69.0). Пинги с микротика до узлов с подсети 192.168.184.0 пошли.
Теперь можно как вариант сделать временный костыль ввиде netwatch до Kerio узла раз в 60 сек, что бы неудачной попытке убивал remote peer и тоннель переподнимался.
И такой же netwatch раз в 30 мин, только при неудачной попытке что бы рестарт микротика делал.
Цитата
Сообщение от Axizdkr Посмотреть сообщение
но тут проблема что при падении основного канала до керио вы не достучитесь
не критично, есть другие способы связи.
Цитата
Сообщение от Axizdkr Посмотреть сообщение
если у вас по ipsec файловер не настроен
Failover не настроен, оба канала (isp1 и isp2) от одного провайдера, просто с разной шириной и для разделения трафика.
beria вне форума   Ответить с цитированием Вверх
Старый 16.05.2016, 19:59   #167
Axizdkr
Навичёг
 
Аватар для Axizdkr
 
Регистрация: 16.03.2016
Сообщений: 40
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

тогда лучше вариант с блэкхолом и перезапускать ничего не придётся, netwatch тут не нужен, можно конечно, но геморой лишний.
маршрут до керио, я имел ввиду маршрут до внешнего ip от керио, два маршрута, один рабочий, второй с большей метрикой в блэкхол, если интернет отпадает сработает блэкхол, пакеты будут уничтожаться а не зависать на другом интерфейсе.
Axizdkr вне форума   Ответить с цитированием Вверх
Старый 19.05.2016, 10:51   #168
angel919
Навичёг
 
Аватар для angel919
 
Регистрация: 24.07.2015
Сообщений: 30
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Всем привет. бьюсь уже 4 день с ipsec, описание и проблема в следующем. Есть керио контрол 8 с белым ip адресом, есть mikrotik с белым адресом. kerio у меня активный,mikrotik пассивный. Когда включаю тунель все валиться ошибками. На стороне керио вот такая ошибка IPsec: Failed to establish connection with remote endpoint 1.1.1.1: None of the proposed crypto suites was acceptable где 1.1.1.1 адрес микротика. В чем может быть проблема? Я понимаю ему не нравиться криптографическое шифрование, перепробовал все шифрования, какие поддерживает kerio. Источником была табличка на оф сайте. Помогите плиз гуру микротика)))) Буду оччччччччччч благодарен. Не хочется ночевать на работе, тунель нужен срочно(
Добавлю. Криптографическое шифрование менял в peers,proposals. Может еще где надо менять? Инфу всю перерыл в инете. Настраивал по примеру на первой странице.
angel919 вне форума   Ответить с цитированием Вверх
Старый 19.05.2016, 12:18   #169
Axizdkr
Навичёг
 
Аватар для Axizdkr
 
Регистрация: 16.03.2016
Сообщений: 40
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

телепаты в отпуске, так что видимо ночевать Вам на работе...
посмотрите как xenrat вопрос свой оформил, на скринах все настройки сразу видно,
и как Вы, из Вашего поста вообще не понятно что и как Вы настраивали.
Axizdkr вне форума   Ответить с цитированием Вверх
Старый 19.05.2016, 14:03   #170
angel919
Навичёг
 
Аватар для angel919
 
Регистрация: 24.07.2015
Сообщений: 30
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Axizdkr, Пардоньте вот предоставляю настройки микротика. Он идет пассивным.

Добавлено через 7 минут
это policies сам создавал[Для просмотра данной ссылки нужно зарегистрироваться]
тоже самое только след.вкладка [Для просмотра данной ссылки нужно зарегистрироваться]
это peers [Для просмотра данной ссылки нужно зарегистрироваться] в строке адреса вписал ip керио, в локальном указывал адрес микротика
это proposals [Для просмотра данной ссылки нужно зарегистрироваться]
логи микротика [Для просмотра данной ссылки нужно зарегистрироваться]
на стороне керио ошибка IPsec: Failed to establish connection with remote endpoint 1.1.1.1: None of the proposed crypto suites was acceptable где 1.1.1.1

Добавлено через 12 минут
Axizdkr, буду благодарен если ткнете куда копать или где надо поставить галочку) и почему то,когда указываю адрес в policies во вкладке aktion. в поле SA Src.address внешний адрес микротика с которого идет подключение, SA Dst.Address внешний адрес керио с которого идет подключение. И через какое то время он это сбрасывает почему?

Добавлено через 14 минут
настройки фаервола [Для просмотра данной ссылки нужно зарегистрироваться]

Последний раз редактировалось angel919; 19.05.2016 в 14:17. Причина: Добавлено сообщение
angel919 вне форума   Ответить с цитированием Вверх
Старый 19.05.2016, 14:28   #171
Axizdkr
Навичёг
 
Аватар для Axizdkr
 
Регистрация: 16.03.2016
Сообщений: 40
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

ничего не открывается
Axizdkr вне форума   Ответить с цитированием Вверх
Старый 19.05.2016, 14:38   #172
angel919
Навичёг
 
Аватар для angel919
 
Регистрация: 24.07.2015
Сообщений: 30
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Axizdkr, [Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
а вот так?
angel919 вне форума   Ответить с цитированием Вверх
Старый 19.05.2016, 15:12   #173
Axizdkr
Навичёг
 
Аватар для Axizdkr
 
Регистрация: 16.03.2016
Сообщений: 40
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

в policy надо убрать галку template, у вас не шаблон, а политика.
level - unique, а не requer
если адреса и на микотике и на керио белые nat тоже надо убрать в peer
из какой инструкции у вас null в proposal??!?!? proposal неправильные от слова совсем.
Axizdkr вне форума   Ответить с цитированием Вверх
Старый 19.05.2016, 16:27   #174
angel919
Навичёг
 
Аватар для angel919
 
Регистрация: 24.07.2015
Сообщений: 30
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Axizdkr,
proposal привел в порядок [Для просмотра данной ссылки нужно зарегистрироваться] верно?
при создании policy выдает ошибку [Для просмотра данной ссылки нужно зарегистрироваться] не могу понять что не нравиться.
angel919 вне форума   Ответить с цитированием Вверх
Старый 19.05.2016, 16:27   #175
angel919
Навичёг
 
Аватар для angel919
 
Регистрация: 24.07.2015
Сообщений: 30
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

в policy ввожу айпи адрес за микротиком и айпи адрес за керио
angel919 вне форума   Ответить с цитированием Вверх
Старый 19.05.2016, 17:36   #176
Axizdkr
Навичёг
 
Аватар для Axizdkr
 
Регистрация: 16.03.2016
Сообщений: 40
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

если ошибку ввести в переводчик сразу станет ясно в чём косяк, мозг попытайтесь включать хоть немножко.
Axizdkr вне форума   Ответить с цитированием Вверх
Старый 20.05.2016, 10:26   #177
angel919
Навичёг
 
Аватар для angel919
 
Регистрация: 24.07.2015
Сообщений: 30
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Axizdkr, а сказать никак не?
по этой инструкции все сделал [Для просмотра данной ссылки нужно зарегистрироваться] и policies должны создаться автоматически, на что я и надеялся. Прошу помощи в данной проблеме. Дальше так и не сдвинулся(
и такой вопрос еще я в peers указал в Generte policy-port override посоветовали на оф.сайте микроты. Если выставляю режим no то он дублирует подключения доходило до 30 попыток но поднятия тунеля нема(

Последний раз редактировалось angel919; 20.05.2016 в 10:46.
angel919 вне форума   Ответить с цитированием Вверх
Старый 25.05.2016, 13:38   #178
angel919
Навичёг
 
Аватар для angel919
 
Регистрация: 24.07.2015
Сообщений: 30
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

ап тему))) Во всем разобрался. Тунель поднялся, сети за микротиком вижу, сети за керио вижу. Сегодня 25 мая. 24 мая поставил пинги на микротик 192.168.80.1 и на керио 1.1.1.1. Пришел утром 25 на работу пинги прервались буквально за 1 минуту до прихода. Поставил заново пинги, через 1.30 пинг пропал. Поставил заново пинги пропали через 30 минут. В чем дело может быть? на первых страницах вычитал что я не одинок, но так и оставили эту тему не тронутой. Может кто понял в чем проблема? Версия микротика 6.0 Керио 8.6
когда пинги останавливаются, статус подлкючения на керио подключено.
angel919 вне форума   Ответить с цитированием Вверх
Старый 25.05.2016, 14:28   #179
beria
 
Аватар для beria
 
Регистрация: 11.01.2011
Адрес: Минск, Беларусь
Сообщений: 15
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

Проблема похожая на мою. Просмотрите решения, которые предлагались мне. У меня на данный момент вроде бы устаканилось все.
beria вне форума   Ответить с цитированием Вверх
Старый 25.05.2016, 14:58   #180
angel919
Навичёг
 
Аватар для angel919
 
Регистрация: 24.07.2015
Сообщений: 30
По умолчанию Re: IPsec туннель между Mikrotik и Kerio Control

beria, у вас установилась связь после чего? Когда вы маршрут нарисовали на 4 интерфейс?
angel919 вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 04:51. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2020, vBulletin Solutions Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях