IPsec туннель между Mikrotik и Kerio Control

[voffkazz84]

Всем привет! Подскажите пожалуйста, с горем пополам статус туннеля изменился на Подключен, со стороны Микротика я пигую сеть Керио, а из сети Керио не пингуется сеть микротика, куда копать подскажите пожалуйста?

[naliman]

Цитата

Сообщение от voffkazz84

из сети Керио не пингуется сеть микротика, куда копать подскажите пожалуйста?

полагаю копать в правела фоервольные у микротика
не заметил правила, разрешающего форвардинг из сеть керио в сеть микротика

ну и всё таки трассировку бы...
там видно где затык

возьмите на вооружение:
[Для просмотра данной ссылки нужно зарегистрироваться]

[voffkazz84]

Спасибо, буду копать в этом направлении

[MagiC]

Цитата

Сообщение от MagiC

Привет!
Есть Керио последней версии 8.5.2 с двумя интернет-интерфейсами в режиме балансировки и MikroTik 2011 RouterOS 6.27 с одним интерфейсом, у всех реальные ip-адреса.
На микротике соответственно созданы два пассивных Peer - один для первого ip керио, второй для второго, с идентичными настройками. Политика генерируется автоматически на обоих (port override). Туннель ipsec работает, все ок, подсети за керио и за микротиком видят друг друга.
На микротике видно, что туннель устанавливается c ip первого интерфейса Керио.
Если на Керио отключить этот первый интерфейс, то туннель переинициируется с ip второго интерфейса, пинги между подсетями достаточно быстро восстанавливаются.
Однако через небольшой промежуток времени (в пределах минуты) пинги между подсетями пропадают, при этом керио показывает что туннель жив, на микротике в Installed SAs тоже все есть, однако в Polices автоматически сгенерированная политика исчезла... Видимо это и есть причина проблемы.
После включения первого интерфейса Керио и отключения второго все восстанавливается. Затем второй включаешь и тоже все ок.

Как думаете, в чем может быть причина пропадания политики в Policies через некоторое время после отключения первого интерфейса Керио?

Вот что ответила мне техподдержка Керио:

"Отдел разработки приложения Kerio Control внимательно изучили предоставленную Вами информацию.
Согласно данным отключение туннеля вызвано изменениями в таблице маршрутизации - в результате восстановления подключения первого интерфейса (ISP1) теряется старый пусть через 2 интерфейс (ISP2), поэтому необходимо выполнить переподключение на первый интерфейс. На данный момент у отдела разработок нет решения как предотвратить данное, но они продолжают работу над данным вопросом, но как быстро будет найдено решение, к сожалению, не можем ответить."

Так что не работает резервирование, по крайней мере при режиме балансировки.

[Sergeant_48]

Мдааааа, в продолжение предыдущего оратора....
Пользуем версией Контола 8.5.3, есть два канала, режим резервирование. Есть уделённые точки на микротиках с серыми адресами, они подключают к нашему микротику по L2TP, который за Контролом. Порт пробрасываем… Так вот наблюдаются тоже глюки и судя по всему Контрола. При разрыве соединения на Контроле, а потом его восстановление, наглухо не хотят восстанавливаться соединения с микротиками! Помогает только перезагрузка Контрола. Пробовал выставлять разные варианты (один канал связи, резервирование и балансировка), один хрен при разрыве сессии от Роса (подключение по PPPoE), а потом её восстановление не хотят восстанавливаться подключения на микротиках!
Вот такая вот заметка, пробую постепенно разные варианты, если что прозреет – напишу!

[MagiC]

Цитата

Сообщение от Sergeant_48

[...]При разрыве соединения на Контроле, а потом его восстановление, наглухо не хотят восстанавливаться соединения с микротиками! Помогает только перезагрузка Контрола.[...]

Да, подтверждаю, у нас такая же проблема при микротике за Контролом и микротиками в филиалах - не восстанавливается L2TP между ними при падении одного из каналов на Контроле пока не перезагрузишь Контрол или не передернешь вручную интерфейсы.

[SZh]

Добрый день.
Уже обчитался никак не заведу туннель между Mirotik RB951G-2HnD и Kerio Control 8.6.0.
На последней версии RouterOS 6.30.1 вообще никаких потугов, на 6.10 вроде как соединение устанавливается (политики самостоятельно не создаются) по крайней мере об этом сообщает Kerio, но пинги не ходят.
Сейчас на mikrotik'е установлена 6.27 поведение такое же как и у 6.10, но туннель не устанавливается вообще пока не пустишь пинг в другую сеть.
В общем-то по этому поводу пока два вопроса:
1. Какую версию RouterOS надо использовать для успеха?
2. Должны ли политики генерироваться самостоятельно, если у меня mikrotik инициатор, а kerio принимающая сторона в этом деле?

В правилах firewall'а mikrotik сломал мозг сразу и он у меня так и не выправился в нужное русло.
Буду счастлив если кто-нибудь ответит.

[SZh]

Цитата:

Сообщение от EnMan

Вообще я обратил внимание на такое поведение, да. Оно засыпает при отсутствии активности. Причин не выявил. Решил добавлением мониторинга VPN каналов, который раз в пять минут проверяет доступность VPN пингом на серый адрес из одного филиала в другой. И все живет. Костыль, да.

Добрый день.
А данный костыль реализован на микротике или это на другом оборудовании?

[makmos]

Добрый день всем!
помогайте ребят, всё поперепробовал, не поднимается туннель и всё тут. Версии менял и керио и mikrotik, поставил как мануале, не работает. Напрямую соединял керио и mikrotik не работает.

В логах керио заходит в цикл:

[31/Jul/2015 18:20:36] {charon} charon: 15[IKE] sending DPD request
[31/Jul/2015 18:20:36] {charon} charon: 15[ENC] generating INFORMATIONAL_V1 request 570470252 [ HASH N(DPD) ]
[31/Jul/2015 18:20:36] {charon} charon: 15[NET] sending packet: from 95.xxx.ххх.ххх[4500] to 85.117.97.209[20219]
[31/Jul/2015 18:20:36] {charon} charon: 02[NET] received packet: from 85.117.97.209[20219] to 95.xxx.ххх.ххх[4500]
[31/Jul/2015 18:20:36] {charon} charon: 02[ENC] parsed INFORMATIONAL_V1 request 3347746694 [ HASH N(DPD_ACK) ]
[31/Jul/2015 18:20:43] {IPsec} TunnelsList|thread: Going to sleep for 60s.

MIkrotik за серой сетью провайдера, керио статика, нам подойдёт только туннель и только микротик инициатор (кстати пробовал наоборот, керио инициатор, ошибка - несоответствие ID).

в логах микротика:

891 Jul/31/2015 18:41:00 memory ipsec, debug, packet ===
892 Jul/31/2015 18:41:00 memory ipsec, debug ISAKMP-SA established 10.70.83.187[4500]-95.xxx.xxx.xxx[4500] spi:1c9c6c37d6e44e60:9a31a5f6be0a1e52
893 Jul/31/2015 18:41:00 memory ipsec, debug, packet ===
902 Jul/31/2015 18:41:14 memory ipsec, debug, packet KA: 10.70.83.187[4500]->95.xxx.xxx.xxx[4500]
903 Jul/31/2015 18:41:14 memory ipsec, debug, packet sockname 10.70.83.187[4500]
904 Jul/31/2015 18:41:14 memory ipsec, debug, packet send packet from 10.70.83.187[4500]
905 Jul/31/2015 18:41:14 memory ipsec, debug, packet send packet to 95.xxx.xxx.xxx[4500]
906 Jul/31/2015 18:41:14 memory ipsec, debug, packet src4 10.70.83.187[4500]
907 Jul/31/2015 18:41:14 memory ipsec, debug, packet dst4 95.xxx.xxx.xxx[4500]
908 Jul/31/2015 18:41:14 memory ipsec, debug, packet 1 times of 1 bytes message will be sent to 95.xxx.xxx.xxx[4500]
909 Jul/31/2015 18:41:14 memory ipsec, debug, packet ff
911 Jul/31/2015 18:41:30 memory ipsec, debug, packet ==========
912 Jul/31/2015 18:41:30 memory ipsec, debug, packet 92 bytes message received from 95.xxx.xxx.xxx[4500] to 10.70.83.187[4500]
913 Jul/31/2015 18:41:30 memory ipsec, debug, packet 1c9c6c37 d6e44e60 9a31a5f6 be0a1e52 08100501 985723ff 0000005c b096a76e
914 Jul/31/2015 18:41:30 memory ipsec, debug, packet 1170140b 4d8f0359 ada46d5d 69a826d2 98c97f18 654a9f93 f928d2a5 50a434a3
915 Jul/31/2015 18:41:30 memory ipsec, debug, packet 7d66e19f fc5bd722 ae5eff6e b162f59b d4a5a1c1 de27882d badd3ae4
916 Jul/31/2015 18:41:30 memory ipsec, debug, packet receive Information.
917 Jul/31/2015 18:41:30 memory ipsec, debug, packet compute IV for phase2
918 Jul/31/2015 18:41:30 memory ipsec, debug, packet phase1 last IV:
919 Jul/31/2015 18:41:30 memory ipsec, debug, packet 9f974670 abc1cc62 7b37ba66 f592baf1 985723ff
920 Jul/31/2015 18:41:30 memory ipsec, debug, packet hash(sha1)
921 Jul/31/2015 18:41:30 memory ipsec, debug, packet encryption(aes)
922 Jul/31/2015 18:41:30 memory ipsec, debug, packet phase2 IV computed:
923 Jul/31/2015 18:41:30 memory ipsec, debug, packet 6cd03a3c a9931f37 5e3efa3c 30fdcd19
924 Jul/31/2015 18:41:30 memory ipsec, debug, packet encryption(aes)
925 Jul/31/2015 18:41:30 memory ipsec, debug, packet IV was saved for next processing:
926 Jul/31/2015 18:41:30 memory ipsec, debug, packet b162f59b d4a5a1c1 de27882d badd3ae4
927 Jul/31/2015 18:41:30 memory ipsec, debug, packet encryption(aes)
928 Jul/31/2015 18:41:30 memory ipsec, debug, packet with key:
929 Jul/31/2015 18:41:30 memory ipsec, debug, packet d528aa62 083be322 f61b7223 21fc4995
930 Jul/31/2015 18:41:30 memory ipsec, debug, packet decrypted payload by IV:
931 Jul/31/2015 18:41:30 memory ipsec, debug, packet 6cd03a3c a9931f37 5e3efa3c 30fdcd19
932 Jul/31/2015 18:41:30 memory ipsec, debug, packet decrypted payload, but not trimed.
933 Jul/31/2015 18:41:30 memory ipsec, debug, packet 0b000018 9f6c0f06 0f0b190f 7b857c5a 27e24a69 46ba8188 00000020 00000001
934 Jul/31/2015 18:41:30 memory ipsec, debug, packet 01108d28 1c9c6c37 d6e44e60 9a31a5f6 be0a1e52 18aab7f5 00000000 00000000
935 Jul/31/2015 18:41:30 memory ipsec, debug, packet padding len=1
936 Jul/31/2015 18:41:30 memory ipsec, debug, packet skip to trim padding.
937 Jul/31/2015 18:41:30 memory ipsec, debug, packet decrypted.
938 Jul/31/2015 18:41:30 memory ipsec, debug, packet 1c9c6c37 d6e44e60 9a31a5f6 be0a1e52 08100501 985723ff 0000005c 0b000018
939 Jul/31/2015 18:41:30 memory ipsec, debug, packet 9f6c0f06 0f0b190f 7b857c5a 27e24a69 46ba8188 00000020 00000001 01108d28
940 Jul/31/2015 18:41:30 memory ipsec, debug, packet 1c9c6c37 d6e44e60 9a31a5f6 be0a1e52 18aab7f5 00000000 00000000
941 Jul/31/2015 18:41:30 memory ipsec, debug, packet HASH with:
942 Jul/31/2015 18:41:30 memory ipsec, debug, packet 985723ff 00000020 00000001 01108d28 1c9c6c37 d6e44e60 9a31a5f6 be0a1e52
943 Jul/31/2015 18:41:30 memory ipsec, debug, packet 18aab7f5
944 Jul/31/2015 18:41:30 memory ipsec, debug, packet hmac(hmac_sha1)
945 Jul/31/2015 18:41:30 memory ipsec, debug, packet HASH computed:
946 Jul/31/2015 18:41:30 memory ipsec, debug, packet 9f6c0f06 0f0b190f 7b857c5a 27e24a69 46ba8188
947 Jul/31/2015 18:41:30 memory ipsec, debug, packet hash validated.
948 Jul/31/2015 18:41:30 memory ipsec, debug, packet begin.
949 Jul/31/2015 18:41:30 memory ipsec, debug, packet seen nptype=8(hash)
950 Jul/31/2015 18:41:30 memory ipsec, debug, packet seen nptype=11(notify)
951 Jul/31/2015 18:41:30 memory ipsec, debug, packet succeed.
952 Jul/31/2015 18:41:30 memory ipsec, debug, packet DPD R-U-There received
953 Jul/31/2015 18:41:30 memory ipsec, debug, packet compute IV for phase2
954 Jul/31/2015 18:41:30 memory ipsec, debug, packet phase1 last IV:
955 Jul/31/2015 18:41:30 memory ipsec, debug, packet 9f974670 abc1cc62 7b37ba66 f592baf1 87cc6b2d
956 Jul/31/2015 18:41:30 memory ipsec, debug, packet hash(sha1)
957 Jul/31/2015 18:41:30 memory ipsec, debug, packet encryption(aes)
958 Jul/31/2015 18:41:30 memory ipsec, debug, packet phase2 IV computed:
959 Jul/31/2015 18:41:30 memory ipsec, debug, packet a01aee65 20f12ecc 9126ef22 42044590
960 Jul/31/2015 18:41:30 memory ipsec, debug, packet HASH with:
961 Jul/31/2015 18:41:30 memory ipsec, debug, packet 87cc6b2d 00000020 00000001 01108d29 1c9c6c37 d6e44e60 9a31a5f6 be0a1e52
962 Jul/31/2015 18:41:30 memory ipsec, debug, packet 18aab7f5
963 Jul/31/2015 18:41:30 memory ipsec, debug, packet hmac(hmac_sha1)
964 Jul/31/2015 18:41:30 memory ipsec, debug, packet HASH computed:
965 Jul/31/2015 18:41:30 memory ipsec, debug, packet a7fa7436 347baddc 4292b7f5 519153ca 13f39726
966 Jul/31/2015 18:41:30 memory ipsec, debug, packet begin encryption.
967 Jul/31/2015 18:41:30 memory ipsec, debug, packet encryption(aes)
968 Jul/31/2015 18:41:30 memory ipsec, debug, packet pad length = 8
969 Jul/31/2015 18:41:30 memory ipsec, debug, packet 0b000018 a7fa7436 347baddc 4292b7f5 519153ca 13f39726 00000020 00000001
970 Jul/31/2015 18:41:30 memory ipsec, debug, packet 01108d29 1c9c6c37 d6e44e60 9a31a5f6 be0a1e52 18aab7f5 ddb0170d 7ff06407
971 Jul/31/2015 18:41:30 memory ipsec, debug, packet encryption(aes)
972 Jul/31/2015 18:41:30 memory ipsec, debug, packet with key:
973 Jul/31/2015 18:41:30 memory ipsec, debug, packet d528aa62 083be322 f61b7223 21fc4995
974 Jul/31/2015 18:41:30 memory ipsec, debug, packet encrypted payload by IV:
975 Jul/31/2015 18:41:30 memory ipsec, debug, packet a01aee65 20f12ecc 9126ef22 42044590
976 Jul/31/2015 18:41:30 memory ipsec, debug, packet save IV for next:
977 Jul/31/2015 18:41:30 memory ipsec, debug, packet 999a295a 00ff2a05 f75b16c3 1940688c
978 Jul/31/2015 18:41:30 memory ipsec, debug, packet encrypted.
979 Jul/31/2015 18:41:30 memory ipsec, debug, packet Adding NON-ESP marker
980 Jul/31/2015 18:41:30 memory ipsec, debug, packet 96 bytes from 10.70.83.187[4500] to 95.xxx.xxx.xxx[4500]
981 Jul/31/2015 18:41:30 memory ipsec, debug, packet sockname 10.70.83.187[4500]
982 Jul/31/2015 18:41:30 memory ipsec, debug, packet send packet from 10.70.83.187[4500]
983 Jul/31/2015 18:41:30 memory ipsec, debug, packet send packet to 95.xxx.xxx.xxx[4500]
984 Jul/31/2015 18:41:30 memory ipsec, debug, packet src4 10.70.83.187[4500]
985 Jul/31/2015 18:41:30 memory ipsec, debug, packet dst4 95.xxx.xxx.xxx[4500]
986 Jul/31/2015 18:41:30 memory ipsec, debug, packet 1 times of 96 bytes message will be sent to 95.xxx.xxx.xxx[4500]
987 Jul/31/2015 18:41:30 memory ipsec, debug, packet 00000000 1c9c6c37 d6e44e60 9a31a5f6 be0a1e52 08100501 87cc6b2d 0000005c
988 Jul/31/2015 18:41:30 memory ipsec, debug, packet abdbc2c5 9e9a60b3 292f6265 1a8d35a9 79c66ca3 971cd743 46442805 2622b8a9
989 Jul/31/2015 18:41:30 memory ipsec, debug, packet 53bd878d 39c19ddd c0f6a971 6d291a0c 999a295a 00ff2a05 f75b16c3 1940688c
990 Jul/31/2015 18:41:30 memory ipsec, debug, packet sendto Information notify.
991 Jul/31/2015 18:41:30 memory ipsec, debug, packet received a valid R-U-THERE, ACK sent
992 Jul/31/2015 18:41:34 memory ipsec, debug, packet KA: 10.70.83.187[4500]->95.xxx.xxx.xxx[4500]
993 Jul/31/2015 18:41:34 memory ipsec, debug, packet sockname 10.70.83.187[4500]
994 Jul/31/2015 18:41:34 memory ipsec, debug, packet send packet from 10.70.83.187[4500]
995 Jul/31/2015 18:41:34 memory ipsec, debug, packet send packet to 95.xxx.xxx.xxx[4500]
996 Jul/31/2015 18:41:34 memory ipsec, debug, packet src4 10.70.83.187[4500]
997 Jul/31/2015 18:41:34 memory ipsec, debug, packet dst4 95.xxx.xxx.xxx[4500]
998 Jul/31/2015 18:41:34 memory ipsec, debug, packet 1 times of 1 bytes message will be sent to 95.xxx.xxx.xxx[4500]
999 Jul/31/2015 18:41:34 memory ipsec, debug, packet ff

т.е. зацикливается на этом..

[makmos]

Цитата

Сообщение от makmos

Добрый день всем!
помогайте ребят, всё поперепробовал, не поднимается туннель и всё тут. Версии менял и керио и mikrotik, поставил как мануале, не работает. Напрямую соединял керио и mikrotik не работает.

В логах керио заходит в цикл:

т.е. зацикливается на этом..

разобрался. сам не внимательно читал, микротик со своей стороны поднимает туннель только после пинга в сеть за керио.

что касается указания в SA Src.Address 0.0.0.0 если провайдер даёт серую сеть то - Подтребуется скрипт подмены динамического ip в SA Src.Address
Вот, что мне дали спецы по микротику...
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]

[SZh]

Цитата

Сообщение от makmos

разобрался. сам не внимательно читал, микротик со своей стороны поднимает туннель только после пинга в сеть за керио.

Добрый день.
Тоже достаточно долго тормозил на эту тему.
А еще мне нужен был доступ в сеть за микротик, а инициатором должен быть он же. Соответственно, чтобы туннель восстанавливался и не прерывался пришлось в шедулер на микротике просписать пинг в сеть за керио.

Кстати отвечая на свой же вопрос. Последняя версия router OS (6.30.2) и последняя версия kerio (8.6.0) работают.

[SZh]

Добрый день.

Судя по всему в последней версии router OS 6.31 поправили и теперь в качестве SA Src. Address можно поставить 0.0.0.0 До этого соединение с таким значением не устанавливалось.

[Skywoker]

А кто-нибудь сталкивался с проблема фрагментации пакетов в туннеле? Туннель есть, сети пингуются, но вот клиентские приложения не хотят работать (rdp - запрос на логин есть, сеанс не грузит, папки по смб не открывает, ssh - работает...но ооочень медленно, в путти невозможно печакать, одна буква 10 сек печакается.)

Пробовал правила мангл прописывать на размер mtu до 1350 как пишут на форуме микротика, тоже не проканало.

[Dimka74]

Коллеги, подскажите подойдет ли эта модель Mikrotik-а ([Для просмотра данной ссылки нужно зарегистрироваться]) для настройки VPN канала с Kerio?

[Skywoker]

Цитата

Сообщение от Dimka74

Коллеги, подскажите подойдет ли эта модель Mikrotik-а ([Для просмотра данной ссылки нужно зарегистрироваться]) для настройки VPN канала с Kerio?

Подойдет. Правда подумайте прежде, нужно ли вам все это. Может проще в удаленной точке поставить еще один Керио (как сделал я после танцев с бубнами касательно MSS, MTU для ppp сессий ) . Решения проблемы с фрагментацией пакетов керио-микротик не нашел. У кого то заработает у кого то нет. Лежит пылится теперь такой же роутер на полочке.

[Dimka74]

Skywoker, Спасибо за ответ, дело в том, что нет возможности поставить ещё один керио
Может другая модель подойдет? Или все попытки обречены?

[Skywoker]

Цитата

Сообщение от Dimka74

Skywoker, Спасибо за ответ, дело в том, что нет возможности поставить ещё один керио
Может другая модель подойдет? Или все попытки обречены?

Любой Микротик на ROS 4 и выше подойдет, если есть гайд то значит это работает. Просто у меня не заработало. У меня hAP lite - самый простой из микротиков.

[Axizdkr]

специально зарегался, пол дня голову ломал почему с керио айписек нормально не работает, поднимался туннель только после перезагрузки и падал через пол часа
оказывается в полиси на микротике level надо в unique выставлять, а не require как тут все пишут, мало ли кому пригодится.

[EnMan]

Это не так, этот параметр служит для того, чтобы трафик пошел в туннель, для которых еще не установлены ассоциации, SAs. Т.е. в случае, когда нужно отправить трафик в подсеть за контролом, например. Поэтому если у вас работает так и никак по другому, то в политиках ошибка

[Axizdkr]

работает так и только так и именно так работает так как надо, где там ошибиться то можно?
то что вижу то и говорю, реквайр здесь не катит.
перечитал кучу инструкций, все видимо основаны на том что здесь описано на 1х страницах, и думал что инструкция правильная, перепробовал 5 разных прошивок, результат один - лажа.
делашеь флуш интерфейс туннель падает. делаешь килл коннекшн - туннель падает.
меняешь полиси на уникью и всё работает как часы.