IPsec туннель между Mikrotik и Kerio Control

[EnMan]

RT987, да добавьте вы через гуй L2TP клиента. Ну емае... Не обязательно же CLI использовать. Синтаксис мог и поменяться

[RT987]

EnMan, Да конечно в этом нет проблемы, интерфейс был добавлен через гуи, просто думаю обо всём другом, совместимо ли, не изменили ли значения других переменных по умолчанию? Понимаю Ваш гнев и недовольство в обсосанной теме с подробной инструкцией.

Содержимое данной ветки было прочитано и изучено несколько раз. При связке Kerio с Mikrotik по VPN я столкнулся с серьезной проблемой. На решение которой ушла ни одна бессонная ночь. Пробовал по вашей инструкции все варианты подключения, все подключения работают.

Сеть за Kerio видит сеть за Mikrotik
Сеть за Mikrotik видит другие сети VPN в сети Kerio
Но сеть за Mikrotik никак не хочет видеть сеть за Kerio
Вот я и думаю в чем может быть проблема? Отметаю по очереди разные варианты.

[nickolasm]

А давайте усложним задачу, подскажите пожалуйста,

а. 192.168.6.0 (керио 8)
б. 192.168.3.0 (микротик)

и допустим

с. 192.168.1.0 (керио впн клиент)

--
Сетки а. и б. связаны VPN каналом, все хосты пингуются между собой и видят друг друга (основная сетка - где впн сервак керио - а.) адрес впн 172.26.211.1

Есть керио VPN клиенты (например из сетки 192.168.1.0), извне, которые конектятся к сетке а., получают IP из впн сетки 172.26.211.0, после чего начинают видеть всю сетку а.

--
Задача
Надо сделать так чтоб эти клиенты извне видели не только сетку а. но и сетку б.

--
Как что и где прописать?

[EnMan]

Цитата

Сообщение от nickolasm

А давайте усложним задачу, подскажите пожалуйста,

а. 192.168.6.0 (керио 8)
б. 192.168.3.0 (микротик)

и допустим

с. 192.168.1.0 (керио впн клиент)

--
Сетки а. и б. связаны VPN каналом, все хосты пингуются между собой и видят друг друга (основная сетка - где впн сервак керио - а.) адрес впн 172.26.211.1

Есть керио VPN клиенты (например из сетки 192.168.1.0), извне, которые конектятся к сетке а., получают IP из впн сетки 172.26.211.0, после чего начинают видеть всю сетку а.

--
Задача
Надо сделать так чтоб эти клиенты извне видели не только сетку а. но и сетку б.

--
Как что и где прописать?

На Control создаете правило VPN клиенты - к подсети Микротик - разрешить - NAT через локальный интерфейс Control.

Есть более охуенный варианты без ната, но поебаться придется так сильно что мама не горюй. И рассказывать лениво ))

[nickolasm]

Цитата:

Сообщение от EnMan

На Control создаете правило VPN клиенты - к подсети Микротик - разрешить - NAT через локальный интерфейс Control.

Есть более охуенный варианты без ната, но поебаться придется так сильно что мама не горюй. И рассказывать лениво ))

Добавил - не пашет

[andy.su]

Коллеги, подскажите!

Есть туннель ipsec между керио и микротиком, в результате которого на микротике генерится 3 policies на локальные подсети керио
172.27.156.0/24
192.168.0.0/24
192.168.1.0/24

Вот здесь люди пишут [Для просмотра данной ссылки нужно зарегистрироваться]
что микротик будет видеть и пинговать только последнюю подсеть из сгенерированных т.е. 172.27.156.0/24, что и происходит, а мне нужна подсеть только 192.168.0.0/24 и на керио на вкладке локальные сети есть только 192.168.0.0/24, подскажите что можно сделать, чтобы я мог пинговать подсеть 192.168.0.0/24 ??

[stn26]

Цитата

Сообщение от andy.su

Коллеги, подскажите!

Есть туннель ipsec между керио и микротиком, в результате которого на микротике генерится 3 policies на локальные подсети керио
172.27.156.0/24
192.168.0.0/24
192.168.1.0/24

Вот здесь люди пишут [Для просмотра данной ссылки нужно зарегистрироваться]
что микротик будет видеть и пинговать только последнюю подсеть из сгенерированных т.е. 172.27.156.0/24, что и происходит, а мне нужна подсеть только 192.168.0.0/24 и на керио на вкладке локальные сети есть только 192.168.0.0/24, подскажите что можно сделать, чтобы я мог пинговать подсеть 192.168.0.0/24 ??

В твоем случае, думаю что в керио, в настройках моста (локальные сети), достаточно будет убрать галочку "Использовать автоматически определенные локальные сети" и прописать ручками нужную.


Но вопрос все же оставляю открытым. Ибо требуется доступ к нескольким подсетям.

[dednapas]

Добрый день. уважаемые гуру.
Прошу помощи.
Соеденил микротик (rb 751G-2HnD v6.26) с керио (8.4.2 build 2869 ) по мануалу EnMan.
Связь есть в оба конца. Сети друг друга видят. И вроде бы все прекрасно,
Но пропадает свзь примерно через 45 минут. И не восстанавливается, пока либо не вкл выл ip ipsec peer либо тунель в керио. После reboot проходят несколько пакетов до устройств за Mikrotik, после поднятия тунеля пинг пропадает, вкл выл ip ipsec peer, появляется все заново. Заметил еще одну особенность ночью работает примерно 10 часов.

Подключение по ipsec активно. Наружний ip микротика пингуется.

[ZHainbay]

Цитата

Сообщение от dednapas

Добрый день. уважаемые гуру.
Прошу помощи.
Соеденил микротик (rb 751G-2HnD v6.26) с керио (8.4.2 build 2869 ) по мануалу EnMan.
Связь есть в оба конца. Сети друг друга видят. И вроде бы все прекрасно,
Но пропадает свзь примерно через 45 минут. И не восстанавливается, пока либо не вкл выл ip ipsec peer либо тунель в керио. После reboot проходят несколько пакетов до устройств за Mikrotik, после поднятия тунеля пинг пропадает, вкл выл ip ipsec peer, появляется все заново. Заметил еще одну особенность ночью работает примерно 10 часов.

Подключение по ipsec активно. Наружний ip микротика пингуется.

1. поиграться с MTU
2. попробуй постоянный пинг до mikrotika (смешно , но мне только это помогло )

[bazuev]

Подскажите, почему может не прописываться маршрут в керио? соединение установлено, сеть за микротик пингуется - а обратно никак. в Керио в таблице маршрутов нет сети за микротик. Настраивал полностью по этой теме

[Loader]

Ковыряй настройки маршрутизации керио, вернее правила отвечающие за связь между VPN и сетью керио.

[bazuev]

Цитата

Сообщение от Loader

Ковыряй настройки маршрутизации керио, вернее правила отвечающие за связь между VPN и сетью керио.

что именно ковырять? перерыл все - пинги в сеть за микротик идут, но только с собственно керио, из локальной сети маршрутизация уходит в провайдера. а из микротика и вовсе в керио пинг идет только до внешнего айпи

[Loader]

Небольшой экскурс в понимание протокола. Каждый узел сети знает только о своих соседях и все остальные пакеты перенаправляет на основной шлюз. Для того чтобы это изменить и применяются настройки маршрутизации "Routes", работающие по правилу "если IP такой-то с маской подсети такой-то то направлять пакеты на такой-то адрес".
Соответственно в керио должен быть прописан маршрут "если IP подсети микротика то пакеты толкать в VPN" и в микротике должен быть прописан маршрут "если IP подсети керио то пакеты толкать в VPN"

[bazuev]

Цитата

Сообщение от Loader

Небольшой экскурс в понимание протокола. Каждый узел сети знает только о своих соседях и все остальные пакеты перенаправляет на основной шлюз. Для того чтобы это изменить и применяются настройки маршрутизации "Routes", работающие по правилу "если IP такой-то с маской подсети такой-то то направлять пакеты на такой-то адрес".
Соответственно в керио должен быть прописан маршрут "если IP подсети микротика то пакеты толкать в VPN" и в микротике должен быть прописан маршрут "если IP подсети керио то пакеты толкать в VPN"

вот вся проблема в том, что керио в качестве интерфейса не даст указать VPN при создании статического маршрута, а микротик и вовсе не считает туннель интерфейсом

[bazuev]

Цитата

[24/Mar/2015 17:24:02] {IPsec} Registering new route 10.26.0.0/255.255.255.0 for tunnel Имятуннеля
[24/Mar/2015 17:24:02] {IPsec} Touching route 10.26.0.0/255.255.255.0 (via dev: 17)

в дебаге вот такое - якобы маршрут создан..

[blackhorse]

Добрый день!
Болшое спасибое EnMan за ман - все получилось настроить. Отдельное спасибо за выделенную жирным строку в доке про пинг через bridge-local...

Но после настройки осталась задача отправить отдельный трафик в связке VPN Mikrotik (Active)-Kerio (Passive) из сети за Mikrotik в интернет через узел Kerio, а не напрямую через Mikrotik. Пробую добавить в Mikrotike статический Route со шлюзом Kerio, но роут не работает, т.к. система говорит, что host Kerio unreacheable... пинги ходят прекрасно, трафик офис-удаленный офис идет в обе стороны нормально.
Вопрос - что я делаю не так?

PS: очень уж на каждой машине не хочется писать правила роутинга... хочет на микротике сразу и для всех...

[EnMan]

blackhorse, чувак, ну маркировать нужно пакеты и делать отдельный маршрут с роутинг марками. Как то так.

За ман пожалуйста, к сожалению не доходят руки добавить еще одну схему подключения в которой не требуется агрегации подсетей за контролом в одну. Реально некогда. Но я обещаю, скоро будет, я скоро в отпуск, там напишу.

[BashOrgRu]

Добрый день! Участники форума и уважаемый EnMan, не оставьте в беде! Есть Mikrotik RB951g с мегафон-модемом ("серый" динамический IP) и [Для просмотра данной ссылки нужно зарегистрироваться] со статикой. Необходимо подключиться к компу "за" микротиком. Пробовал организовывать IPSec VPN по здешним гайдам и инструкции к нетгиру - безрезультатно. Подскажите, в каком направлении копать? Может, использовать другой тип VPN'а?

[EnMan]

BashOrgRu, копать в сторону нормальных каналов связи. Не получится у вас из поебени сделать не поебень. Ну такова жизнь просто. Причем тут Kerio только...

[MagiC]

Привет!
Есть Керио последней версии 8.5.2 с двумя интернет-интерфейсами в режиме балансировки и MikroTik 2011 RouterOS 6.27 с одним интерфейсом, у всех реальные ip-адреса.
На микротике соответственно созданы два пассивных Peer - один для первого ip керио, второй для второго, с идентичными настройками. Политика генерируется автоматически на обоих (port override). Туннель ipsec работает, все ок, подсети за керио и за микротиком видят друг друга.
На микротике видно, что туннель устанавливается c ip первого интерфейса Керио.
Если на Керио отключить этот первый интерфейс, то туннель переинициируется с ip второго интерфейса, пинги между подсетями достаточно быстро восстанавливаются.
Однако через небольшой промежуток времени (в пределах минуты) пинги между подсетями пропадают, при этом керио показывает что туннель жив, на микротике в Installed SAs тоже все есть, однако в Polices автоматически сгенерированная политика исчезла... Видимо это и есть причина проблемы.
После включения первого интерфейса Керио и отключения второго все восстанавливается. Затем второй включаешь и тоже все ок.

Как думаете, в чем может быть причина пропадания политики в Policies через некоторое время после отключения первого интерфейса Керио?