IPsec туннель между Mikrotik и Kerio Control

[metallicswar]

Добрый день, товарищи. Постигло и меня разочарование в mikrotik. В общем решил обновить керио до 8.3 (сейчас стоит 7.4). Раньше туннель был реализован средствами OpenVPN, а тут обрадовался, IPSec все дела...
В общем на стенде собрано две клиентские машины win7 и керио с микротиком, три сети (между фаевролами 10.8.3.0/24 и две локальных сети за ними 10.8.1.0/24 kerio, 10.8.2.0/24 mikrotik)

Версия kerio 8.3.1 build 2108
Версия mikrotik 6.15
IP адреса kerio 10.8.3.6, mikrotik 10.8.3.5

Настроил всё так, как в мануалах темы. Тоннель поднялся, а вот пинги не ходят ни из сети керио в сеть микротика, ни наоборот. Правило NAT в микротик добавлял не помогло. Бьюсь третий день, сломал себе весь мозг, но так ничего и не получилось.
Настройки в аттаче. На клиентских машинах брэндмауэр выключен. Пинговать пытался и локальные адреса фаерволов и локальные адреса клиентских машин, без разницы.

Поможите чем можете, совсем мне не хочется под обрезком дебиана вкорячивать openvpn, а перенести vpn сервер за керио возможности нет

[EnMan]

Можно схему сети картинкой? Зубодробительные подсети, очень сложно на слух. Это первое. Второе у вас SA Srs Address и SA Dst Address в одной подсети. Вас это не смущает? Вам зачем туннель между двумя хостами в одной подсети?

[metallicswar]

Цитата:

Сообщение от EnMan

Можно схему сети картинкой? Зубодробительные подсети, очень сложно на слух. Это первое. Второе у вас SA Srs Address и SA Dst Address в одной подсети. Вас это не смущает? Вам зачем туннель между двумя хостами в одной подсети?

Это тестовый стенд, виртуальные машины. Сразу сходу за боевые сервера браться как то не хочется ))

Схему приложил, извините за кривость, художник из меня пипец

[metallicswar]

Откатил RouterOS до версии 6.9, теперь даже соединение не устанавливается Хотя в этот раз я мог чего нить и забыть и не донастроить.

Добавлено через 5 часов 11 минут
Трындец, заработало, когда на mikrotik в NAT добавил два правила: srcnat, src-10.8.1.0/24, dst-10.8.2.0/24, accept и второе тоже srcnat, но src и dst наоборот. Любое из двух выключаешь - перестает работать пинг в обе стороны. Это шутка такая? Злая, несмешная шутка (
Или я последние три дня был слишком трезв, чтобы заработало? О_о Вот что называется "без поллитры не разберешься", видимо

Еще указал на микротике маршрут по умолчанию на несуществующий шлюз, без этого тоже работать отказывалось с любой стороны.

Добавлено через 5 часов 46 минут
На RouterOS 6.15 работает и с одним правилом, видимо мне тупо маршрута не хватало. И всё бы хорошо, но пинги идути "по очереди" )) Если машина из первой сети пингует машину из второй сети, машина из второй сети не может пинговать машину из первой. Только если на первой пинг прервать, и то не сразу, а секунд через 10-20. Это какая то еще более шутейная шутка. Что товарищи из mikrotik курят? На 6.9 та же история. Причём пинги идут какие то несмешные, от 4 до 80 мс. И это в локалке из 4 компов с гигабитными виртуальными сетевыми. В общем теперь я вообще ничего не понимаю.
Скорость канала 25 мегабит получается на гигабитных сетях в прямой видимости, маловато будет. Сколько ж от них останется после прохода через провайдера... Хотя, может зря я грешу на микротик, может дело вообще в VirtualBox`е...

[EnMan]

Цитата

Сообщение от metallicswar

Откатил RouterOS до версии 6.9, теперь даже соединение не устанавливается Хотя в этот раз я мог чего нить и забыть и не донастроить.

Добавлено через 5 часов 11 минут
Трындец, заработало, когда на mikrotik в NAT добавил два правила: srcnat, src-10.8.1.0/24, dst-10.8.2.0/24, accept и второе тоже srcnat, но src и dst наоборот. Любое из двух выключаешь - перестает работать пинг в обе стороны. Это шутка такая? Злая, несмешная шутка (
Или я последние три дня был слишком трезв, чтобы заработало? О_о Вот что называется "без поллитры не разберешься", видимо

Еще указал на микротике маршрут по умолчанию на несуществующий шлюз, без этого тоже работать отказывалось с любой стороны.

ох... какая же ересь

Вы тыкаете во все кнопки, не понимая для чего, но курят у вас что то именно в Микротике. К вопросу о скорости, которую вы пингами меряете. Я прикрепил скриншот на котором видны пинги из локальных сетей за Control в локальные сети за Mikrotik. Все эти тунели - это тунели Ipsec между Control и Mikrotik.

[metallicswar]

EnMan,

А я действительно тыкаю во все кнопки, не понимая что происходит. Потому что я менеджер-экономист )) Ну и немножко радиотехник. Вот вы не ругайтесь, а объясните мне в чем причина такого одностороннего пинга? Глядишь, я хоть чуть чуть да поумнею А на счёт скорости, я её мерял прогрузкой большого файла. Вот на VMWare уже пошустрее, почти 50 мегабит.
Ну а про "что курят в микротике", это была такая полушутка, полуотчаяние. Потому что "проверять" как это всё будет работать, мне придется таки на боевом сервере, в виртуальной среде оно себя неадекватно ведет как то...
Ну и я слегка нетрезв, да Точнее уже трезв, но хочу спать. У нас 7 утра.

[metallicswar]

Вопрос такой: я как неопытный пользователь микротика не могу догнать: у меня vpn-туннели будут использоваться для раздачи интернета в магазины кроме всего прочего, но как мне им интернет раздавать, если маршрут прокидывать некуда? Или мне прямо шлюз центрального офиса на клиентских машинах прописывать? Но это как то странновато, да и лишняя нагрузка на центр пойдёт (часть интернет-трафика ходит по местным провайдерам магазинов ибо всё равно бесплатно, у нас тут еще есть разница внешка/местные ресурсы).

Объясните плиз как это грамотно сделать, потому что сейчас я просто рядом с ipsec поднял клиента l2tp и пустил интернет по нему. Других мыслей нет

[EnMan]

И вы сделали правильно, потому что IPSec не предназначен для раздачи интернета. Тем более в туннельном режиме, это средство объединения локальных сетей через глобальные каналы связи. Просто до того, как что то начинать делать - думайте. Ну и не обижайтесь, но все-таки доверить такую работу лучше профессионалам, а не менеджерам-экономистам. Которые сначала грозятся "OpenVPN поднять на обрезке Debian", что в общем то далеко не тривиальная задача (я бы, например, с удовольствием бы на это посмотрел\поучился\почитал, хуй с ним с OpenVPN apt-get просто мне продемонстрируйте кто нибудь), а потом через интернет начинают раздавать интернет в филиалы.

Оставьте L2TP - это правильное решение в вашем случае.

[metallicswar]

Где бы еще найти этих профессионалов... Да чтобы еще и сделали не на "отъебись" а по людски. Я хоть и менеджер-экономист, но последние пять лет работаю эникейщиком. Так уж сложилось, ничего не поделаешь. Так вот, по долгу службы я хожу по немалому количеству клиентов и починяю. То 1С, то интернеты, то принтеры... Нагляделся я на этих прохфессионалов, половину я бы к своей сети на пушечный выстрел не подпустил, а вторую только посмотреть. И то с расстояния Хоть я вовсе даже и не админ, а жалкий эникеишка, но уж лучше я сам.

Ну это так, "не обижаюсь" я

А по поводу openvpn в KerioOS, сегодня пол дня занимался как раз тем, что устанавливал туда apcupsd. Жили б в одном городе - позвал бы посмотреть, задача и правда нетривиальная И это всего лишь apcupsd, что бы было с openvpn мне и представить страшно. А профессионалы, в лице Антона Тихонова, мне советовали поставить виртуальную машину с kerio и параллельно какой нить убунтой с apcupsd Я его конечно понимаю, у них политика партии такая - нельзя ничего ставить в их OS и даже смотреть туда не надо.

apt-get кстати ставить не стал, на apcupsd мне и dpkg с основными либами хватило. Ну tar еще обновил, родной не хотел с новым dpkg работать. Секса было и без apt немало, так что очень надеюсь, что в будущих релизах товарищи догадаются в свою OS поддержку UPS вхреначить.

А с l2tp тоже как то не очень хорошо, получается у меня сразу два vpn и ни от одного я отказаться не могу. Оставлю один l2tp - не смогу доступа к магазинам иметь, IPSec интернеты не умеет. Разве что поднять на микротике l2tp сервер и подключаться наоборот из керио, так наверное заработает и то и другое, но такой вариант мне тоже не очень нравится.

Кстати, никто не знает, почему нельзя в статическом маршруте в kerio интерфейсом указать VPNсервер? Я может чего не понимаю, но это ж как то странно.

[Loader]

На версии 6.15 в интерфейсе появилась галочка "passive" т.е. можно создавать пассивные подключения.
Однако собрать конструктор по прилагаемой инструкции не получилось. Керио отказано в соединении.
Может дело в обновленной версии микротика?

[EnMan]

Цитата

Сообщение от Loader

На версии 6.15 в интерфейсе появилась галочка "passive" т.е. можно создавать пассивные подключения.
Однако собрать конструктор по прилагаемой инструкции не получилось. Керио отказано в соединении.
Может дело в обновленной версии микротика?

Возможность установить параметр passive через WinBox появилась более ранних версиях. Нет, дело не в прошивке. На 6.15 все замечательно работает. Если нужна помощь - нужно рассказать в чем и объяснить топологию сети (лучше картинкой). И рассказать что делали. "Не получилось" - этого мало.

[Loader]

Не получается установить само соединение. Пишет "Не удается подключиться к удаленной конечной точке".
88.83.ХХХ - ip керио
217.25.ХХХ - ip микротика
Секреты одинаковые.

Имеет ли значение что интернет на микротике поднят через L2TP подключение?

[Loader]

По топологии сети
192.168.100.0/24 - сеть kerio
192.168.88.0/24 - сеть mikrotik
10.4.73.0/24 - сеть провайдера (подключена через eth1 микротика)
217.25.ХХХ интернет, поднимаемый микротиком через L2TP
proposal один в один как на скрине инструкции по настройке

[EnMan]

/ip firewall filter export покажите в микротике

[Loader]

Код:

[admin@MikroTik] > /ip firewall filter export
# jul/08/2014 11:41:15 by RouterOS 6.15
# software id = TPBP-8L1N
#
/ip firewall filter
add chain=input comment="default configuration" protocol=icmp
add action=drop chain=input src-address=116.10.191.0/24
add chain=input comment="default configuration" connection-state=established
add chain=input comment="default configuration" connection-state=related
add chain=input dst-port=1701 protocol=udp
add chain=input dst-port=8291 protocol=tcp
add chain=input comment="Allow IKE" dst-port=500 protocol=udp
add chain=input comment="Allow IPSec-esp" protocol=ipsec-esp
add chain=input comment="Allow IPSec-ah" protocol=ipsec-ah
add chain=input comment="Allow UDP" protocol=udp
add action=drop chain=input comment="default configuration" in-interface=ether1-gateway
add chain=forward comment="default configuration" connection-state=established
add chain=forward comment="default configuration" connection-state=related
add action=drop chain=forward comment="default configuration" connection-state=invalid
[admin@MikroTik] >

[EnMan]

в ipsec policy нет ничего? Попытки подключения вы видите? В ipsec remote peers

[Loader]

нет ничего

[EnMan]

Попытки подключения?

[Loader]

Одно - подключение для администрирования, другое похоже и есть этот туннель.

[RT987]

Уважаемый EnMan! Прошу подтвердить успешную работу VPN по вашей инструкции с версиями Mikrotik 6.20 и Kerio 8.3.4.

Так, при попытке добавить новый интерфейс, согласно 3 части вашей инструкции, следующей командой
add comment="L2TP VPN Client" connect-to=109.172.42.XXX disabled=no max-mru=1460 max-mtu=1460 name=INTERFACE-NAME password=password user=username возвращается ошибка
syntax error (line 1 column 41) (значения переменных разумеется изменил)