IPsec туннель между Mikrotik и Kerio Control

[datusername]

Цитата

Сообщение от tip22

Как только цифирный ставлю, нормально всё

А если вот так:
12345ABCDEF
Работает?

[sheffnik]

Всем доброго дня.
Ситуация такая. Есть Kerio 9.2 и микротик 750G3
Туннель между ними поднят ipsec инициатор керио , принимает микротик.
Так вот. Сеть за микротиком(филиал) видит сеть за Керио, а вот сеть за керио не видит сеть за микротиком... Туннель поднят внутри локальной сети(так нужно. это как основной канал.+ резерв с белым ип но с ним позже)и с vlan я так и не осилил соединение.
Настройки микротика

Код:

/ip firewall nat
add action=accept chain=srcnat dst-address=192.168.4.0/24 src-address=\192.168.1.0/24
add action=accept chain=srcnat dst-address=192.168.1.0/24 src-address=\ 192.168.4.0/24
add action=masquerade chain=srcnat comment=Prostor out-interface=ether1
add action=masquerade chain=srcnat comment=Chocolate out-interface=ether2

Так же фасттрак(взял отсюда. mangle тоже прописаны)

Код:

/ip firewall filter
add action=fasttrack-connection chain=forward comment=FastTrack \   connection-mark=!ipsec connection-state=established,related
add action=accept chain=forward connection-state=established,related

Сесть за керио 192.168.1.0/24 , за микротиком - 192.168.4.0/24
прикрепил правила на керио.

[datusername]

sheffnik ответите на простой вопрос srcnat и masquerade вам зачем?

[sheffnik]

datusername, филиал находится удаленно, средствами провайдера проброшен тунель с сетью 168.1.0/24 и скоростью 100мбит она воткнута в eth2 , в eth1 будет воткнут 2 провайдер с белым IP смотрящий соответственно в инернет, а там уже 10мбит, как резерв на случай обрыва первого. Как сделать отказоустойчивость кроме как ipSec туннелем я пока не осилил... поэтому и 4.0 сеть за натом прячу. сейчас посмотрел и правда лишний eth2 masquerade , должен быть на eht3 ибо на нем dhcp висит и dst-address=192.168.4.0/24 src-address=\192.168.1.0/24 тоже

Код:

add action=accept chain=srcnat dst-address=192.168.1.0/24 src-address=\ 192.168.4.0/24

что бы 1 и 4 подсети видели друг друга за НАТом
Убрал все лишнее. завелось, сети видят друг друга. теперь вопрос. как правильно закрыть все лишнее в firewall rules...

[datusername]

Знали бы вы как мне лень переваривать ваш поток сознания...

Цитата

Сообщение от sheffnik

что бы 1 и 4 подсети видели друг друга за НАТом

Вы про роутинг что то слышали? NAT вам не нужен, маскарадинг вам не нужен. Потому что за NAT вы и чёрта лысого не увидете - такова суть NAT. Настраиваете маршруты, объясняете вашим шлюзам, где какие сети живут и всё заработает.


И идите пить пиво, праздник же!

[art100]

Всех с праздничком.
Я винцо попил мороженкой заел картошечки молодой в мундирчике с подсолнечным маслецом и селедочкой балтийской солененкой.
Сам базар:
Чудо Diffi Helman group алгоритмик
aes128 sha1 modp768
На некротиках-наркотиках версии Microtik RB750Gr3 [Для просмотра данной ссылки нужно зарегистрироваться]
Я конечно решил задачу из пылесосов, авна и палок ковыляя на костылях.
Стенания:
Пните в верном направлении
1.Ждать чудо версии Kerio за 300 баксов?
2.Или есть возможность пересобрать ядро-ведро керио с чудо алгоритмом Diffi Helman group modp768 ?
Никогда не думал. У керио ssh есть и можно чудо модуль чудо пач вживить?
3.Или как и 25 лет назад по старинке .... снимаем и ломаем все что хочется и не нужно по ходу за много много человеко-безчеловечных часов ради "вунь той галки"?

Веселую картинку прилагаю:
Не дружба c Microtik RB750Gr3 алгоритм VPN IPsec aes128 sha1 modp768
Гранаты разных систем.

Попытка осмыслить что тут написано:
Суть проблемы.
Меня встречает VPN сервер с алгоритмом es128-sha1-modp768 с парольной фразой поднятый на Microtik RB750Gr3 [Для просмотра данной ссылки нужно зарегистрироваться] которого не видать в Kerio 9.2.6 es128-sha1-modp1024
Забить?
И вам хорошего настроения.

[art100]

Цитата

Сообщение от sheffnik

... Kerio 9.2 и НЕкротик 750G3 ...
... ipsec инициатор...
.. керио , принимает НЕкротик. ....

мне бы ваши проблемы
у вас хоть вяжуться только отладить маршруты
забейте
я забил
купил пару оборудования под впн-щину
в моём случай поставил в удаленном офисе
2 компьютера на стол
2 принтсерврера на один принтер
каждому сказал у вас есть флешки в ваших андроидах с вашими чудо-дата-кабелями с моими чудо буферами обмена по рдп с почтовым обменом ради ваших счетов раз в сутки
и забил на проблему

Любое решение имеет два пути
Программное или аппаратное
если программное авно то аппаратное

Как?
Просто?

[sheffnik]

Цитата

Сообщение от sheffnik

Всем доброго дня.
Ситуация такая. Есть Kerio 9.2 и микротик 750G3
Туннель между ними поднят ipsec инициатор керио , принимает микротик.
Так вот. Сеть за микротиком(филиал) видит сеть за Керио, а вот сеть за керио не видит сеть за микротиком... Туннель поднят внутри локальной сети(так нужно. это как основной канал.+ резерв с белым ип но с ним позже)и с vlan я так и не осилил соединение.
Настройки микротика

Код:

/ip firewall nat
add action=accept chain=srcnat dst-address=192.168.4.0/24 src-address=\192.168.1.0/24
add action=accept chain=srcnat dst-address=192.168.1.0/24 src-address=\ 192.168.4.0/24
add action=masquerade chain=srcnat comment=Prostor out-interface=ether1
add action=masquerade chain=srcnat comment=Chocolate out-interface=ether2

Так же фасттрак(взял отсюда. mangle тоже прописаны)

Код:

/ip firewall filter
add action=fasttrack-connection chain=forward comment=FastTrack \   connection-mark=!ipsec connection-state=established,related
add action=accept chain=forward connection-state=established,related

Сесть за керио 192.168.1.0/24 , за микротиком - 192.168.4.0/24
прикрепил правила на керио.

Продолжаю пляски с бубном.
Все правила маскарад и srcnat отключил, кроме

Код:

add action=accept chain=srcnat dst-address=192.168.1.0/24 src-address=\ 192.168.4.0/24

Сети друг друга видят НО несколько странно. Сеть за микротиком(4.0/24) отлично и без всяких проблем видит сеть за керио(1.0/24) а вот в обратном направлении творится какой то полтергейст

Код:

Трассировка маршрута к ws62.***.local [192.168.4.252]
с максимальным числом прыжков 30:

  1    <1 мс    <1 мс    <1 мс  192.168.1.111
  2     1 ms     1 ms     1 ms  192.168.1.242
  3     2 ms     1 ms     1 ms  WS62 [192.168.4.252]

Трассировка завершена.
Трассировка маршрута к ws62.***.local [192.168.4.252]
с максимальным числом прыжков 30:

  1     *        *        *     Превышен интервал ожидания для запроса.
  2     *        *        *     Превышен интервал ожидания для запроса.
  3     *        *        *     Превышен интервал ожидания для запроса.
  4     *        *        *     Превышен интервал ожидания для запроса.
  5     *        *        *     Превышен интервал ожидания для запроса.
  6     *        *        *     Превышен интервал ожидания для запроса.
  7     *        *        *     Превышен интервал ожидания для запроса.
  8     *        *        *     Превышен интервал ожидания для запроса.
  9     *        *        3 ms  192.168.4.252

Трассировка завершена.

Сначала все ок потом через пару минут ни пинг ни трасерт нормально не идет, а еще через пару минут опять все ок. И как я понял это на стороне крио что то не ладно... Где то что то я в правилах трафика намудрил?
Или все же микротик виноват?
Адрес шлюза керио - 192.168.1.111 , адрес микротика 192.168.1.242
Очень нужна помощь. 2 недели бьюсь никак не могу понять где не вижу ошибку...

[Kosh]

Добрый день, прошу помощи по возможности.
Понимаю вся тема завалина одним и тем же, но не получается поднять тоннель между Kerio 9.2.4 и Mikrotik

Буду признателен на указание ошибки, скрины прилагаю

[art100]

Цитата

Сообщение от Kosh

... Kerio 9.2.4 и Mikrotik

Смотрим шифрование двухэтапное в керио ваш kerio.JPG 67.5 Кб, и мне показалось, а зачем разные шифрования? А почему бы не начать с полного совпадения на устройствах. Что мы видим некий aesXXX-shaXXX-modpXXXX разный и с некротиком полый расколбас?
И только потом уже ИП выверять.

[Kosh]

Цитата

Сообщение от art100

Смотрим шифрование двухэтапное в керио ваш kerio.JPG 67.5 Кб, и мне показалось, а зачем разные шифрования? А почему бы не начать с полного совпадения на устройствах. Что мы видим некий aesXXX-shaXXX-modpXXXX разный и с некротиком полый расколбас?
И только потом уже ИП выверять.

а какое там выставлять шифрование?, это я нашел на просторах по настройки между керио и микротиком
да и на предыдущих страницах в скринах у человека такое же было

в логах керио

[16/Oct/2018 11:01:37] IPsec: Failed to establish connection with remote endpoint 128.XX.XXX.XXX: Remote id [192.168.9.225] not found in configuration

[art100]

Цитата

Сообщение от Kosh

а какое там выставлять шифрование?, это я нашел на просторах по настройки между керио и микротиком
да и на предыдущих страницах в скринах у человека такое же было

в логах керио

[16/Oct/2018 11:01:37] IPsec: Failed to establish connection with remote endpoint 128.XX.XXX.XXX: Remote id [192.168.9.225] not found in configuration

а мою веселую картинку керийнонекротическую видел где я долбался матюгался [Для просмотра данной ссылки нужно зарегистрироваться] на этой странице [Для просмотра данной ссылки нужно зарегистрироваться]
есть какие-то проблемы одинаковые галки с чудо шифрами выставить?
я забил на некротик-и
в планах на новую точку писюки купить и пару керио с керио со всякими сетевыми делами в нагрузку виртуальщинокй шарой для сканеров принтеров и т.д. за 350 баксов вместо коробки некротика за 70 баксов
у нас есть решение некротик и выкинуть керио и купить за 1000 баксов новомодный зухел но цену руководсвто по сравнению с двумя писюками моей зарплатой сразу сыграло на пару керио
кратко- как-то так про чудо керио и чудо некротики

но ничего воюй
может получиться

[Kosh]

Цитата

Сообщение от art100

а мою веселую картинку крийнонекротическую видел где я долбался матюгался [Для просмотра данной ссылки нужно зарегистрироваться] на этой странице [Для просмотра данной ссылки нужно зарегистрироваться]
есть какие-то проблемы одинаковые галки с чудо шифрами выставить?
я забил на некротик

такие настройки?

[art100]

Цитата

Сообщение от Kosh

такие настройки?

ну славо богу тут без экспериментальщины
а что на некротике?
фигня?

[Kosh]

Цитата

Сообщение от art100

ну славо богу тут без экспериментальщины
а что на некротике?
фигня?

я прошу прощения, с микротиком первый раз "трахаюсь" могу не сразу понимать о чём речь

на всякий, микротик инициатор-керио в пассиве- всё без изменений- не поднимается

[art100]

Цитата

Сообщение от Kosh

я прошу прощения, с микротиком первый раз "трахаюсь" могу не сразу понимать о чём речь

на всякий, микротик инициатор-керио в пассиве

я сам всегда в первый раз трахаюсь а потом люблю и не люблю
некротик? не люблю
опять смотри мою картинку [Для просмотра данной ссылки нужно зарегистрироваться]
у меня под рукой только пара керио
некротик далеко и смотреть затруднительно

я заметил сам керио 30 секунд минимум в иделае поднимает что-то

я побежал работу работную работать
ну все удачи

[Kosh]

3 дня траха и я поднял ipsec, поделюсь решением ибо на новых прошивках микротика(моя 6.43.2) настройки изменились для IPsec

дано 2 белых ip(kerio-mikrotik)
иницатор Керио 9.2.4 (если инициатор микротик я так и не смог понять в чём косяк с поднятием тоннеля)

Особо обратить внимание, что в Policies(первая закладка) надо создать НОВОЕ правило путём копирования дефолтного(иначе не даст снять галку с "Template" а в закладке Action выставить Level-unique и галку Tunel)

вобщем на картинках всё понятно я думаю..........сука 3 дня убил

[Kosh]

дополню еще инфой как построить маршрутизацию на ipsec тоннеле, когда за керио, есть еще тоннели(в моём случае тоже керио) и их надо видеть за микротиком ну и в обратную сторону(я вообще не смог найти мануалов)
и так, схема микротик-керио1-керио2
микротик- 192.168.88.0/24
керио1- 192.168.100.0/24
керио2- 192.168.1.0/24

чтобы сети были видны, создаём на микроте в ip-ipsec-polices подсети, которые находятся ЗА керио2(подробно на скринах), со стороны керио2 прописываем в тоннеле с керио1 удалённые подсети(в моём случаи 192.168.88.0/24)
боле наглядно, всё на скринах

[EnMan]

Дженерйт полись скажи, у тебя юник там - все политики создаутся сами. Пацаны, вы все время норовите изобрести колесо.

[Kosh]

Цитата:

Сообщение от EnMan

Дженерйт полись скажи, у тебя юник там - все политики создаутся сами. Пацаны, вы все время норовите изобрести колесо.

короче, пока руками не прописал, нихера не заводилось!