IPsec туннель между Mikrotik и Kerio Control

[Axizdkr]

ещё странно что в policy нет указания на proposal, его и в правиле нет? или это print так коряво отобразил?
ещё момент есть, когда первый раз настраивал у меня всё работало, когда второй раз настраивал надо было менять маршруты на керио с одного впн на другой, без перезагрузку керио маршруты не менялись трафик по туннелю не шёл, так что имейте ввиду что его тоже бывает перезагружать надо.
ну и поскольку у вас nat-t стоит, проброс портов на микротик с внешнего ip сделан же?

[beria]

Цитата

Сообщение от Axizdkr

ещё странно что в policy нет указания на proposal, его и в правиле нет? или это print так коряво отобразил?

да, это кривой принт. Там указано "default"

Цитата

Сообщение от Axizdkr

ещё момент есть, когда первый раз настраивал у меня всё работало, когда второй раз настраивал надо было менять маршруты на керио с одного впн на другой, без перезагрузку керио маршруты не менялись трафик по туннелю не шёл, так что имейте ввиду что его тоже бывает перезагружать надо.

Перегружал и не раз, тем более что обновлял с 8.6.0 до 9.0.2

Цитата

Сообщение от Axizdkr

ну и поскольку у вас nat-t стоит, проброс портов на микротик с внешнего ip сделан же?

правила на фаерволе в микротике разрешающие есть на цепочке input, а проброс зачем? Он же до нат`а стоит.

В общем после того как сделал policy ручками и поставил unique, отработал почти неделю и все равно умер с теми же симптомами. Из положительных изменений только то, что рестарт микротика помогает. Плюс иногда в списке подружившихся концов отображается 4шт, это как так?

[Axizdkr]

у вас nat до микротика где-то есть. полагаю на провайдере, но если неделю всё работало то там будем думать всё в порядке.
бывает ещё соединение если у вас сработало переключение на другого провайдера перекидывается на второй канал, и обратно никогда не вернётся, это особенность вообще всего udp трафика, может это и произошло.
если у вас по ipsec файловер не настроен попробуйте добавить маршрут 192.168.184.0/24 с назначением blackhole (в type выбирается), этот маршрут при рабочем ipsec не должен работать, а когда ipsec упадёт не даст подключениям уйти на второго провайдера по маршруту 0.0.0.0/0

[beria]

Цитата

Сообщение от Axizdkr

у вас nat до микротика где-то есть. полагаю на провайдере, но если неделю всё работало то там будем думать всё в порядке.

Да, думаю что "натов" до меня там хватает, хотя и порты все проброшены. Поэтому nat traversal и включен.

Цитата

Сообщение от Axizdkr

если у вас по ipsec файловер не настроен попробуйте добавить маршрут 192.168.184.0/24 с назначением blackhole (в type выбирается), этот маршрут при рабочем ipsec не должен работать, а когда ipsec упадёт не даст подключениям уйти на второго провайдера по маршруту 0.0.0.0/0

попробовал добавить маршрут. При поднятом ipsec он отрабатывает и соответственно пакеты перестают ходить.
[Для просмотра данной ссылки нужно зарегистрироваться]

[Axizdkr]

мне казалось что ipsec на себя все маршруты тащит, странное дело, позже проверю.
тогда можно чуть сложнее, создать маршрут до kerio, т.е. указываете его ip без маски или с маской /32 дальше так же как у вас в 0.0.0.0/0, затем такой же маршрут blackhole но метрику 200.
но тут проблема что при падении основного канала до керио вы не достучитесь, другие способы это перезагрузка и скрипт который будет соединения убивать.

[beria]

Цитата

Сообщение от Axizdkr

тогда можно чуть сложнее, создать маршрут до kerio, т.е. указываете его ip без маски или с маской /32 дальше так же как у вас в 0.0.0.0/0, затем такой же маршрут blackhole но метрику 200.

создал маршрут, что бы все пакеты идущие на 192.168.184.0/24 сваливались на интерфейс eth4 (интерфейс локальной сети, на которую собственно и смотрит конец ipsec 10.0.69.0). Пинги с микротика до узлов с подсети 192.168.184.0 пошли.
Теперь можно как вариант сделать временный костыль ввиде netwatch до Kerio узла раз в 60 сек, что бы неудачной попытке убивал remote peer и тоннель переподнимался.
И такой же netwatch раз в 30 мин, только при неудачной попытке что бы рестарт микротика делал.

Цитата

Сообщение от Axizdkr

но тут проблема что при падении основного канала до керио вы не достучитесь

не критично, есть другие способы связи.

Цитата

Сообщение от Axizdkr

если у вас по ipsec файловер не настроен

Failover не настроен, оба канала (isp1 и isp2) от одного провайдера, просто с разной шириной и для разделения трафика.

[Axizdkr]

тогда лучше вариант с блэкхолом и перезапускать ничего не придётся, netwatch тут не нужен, можно конечно, но геморой лишний.
маршрут до керио, я имел ввиду маршрут до внешнего ip от керио, два маршрута, один рабочий, второй с большей метрикой в блэкхол, если интернет отпадает сработает блэкхол, пакеты будут уничтожаться а не зависать на другом интерфейсе.

[angel919]

Всем привет. бьюсь уже 4 день с ipsec, описание и проблема в следующем. Есть керио контрол 8 с белым ip адресом, есть mikrotik с белым адресом. kerio у меня активный,mikrotik пассивный. Когда включаю тунель все валиться ошибками. На стороне керио вот такая ошибка IPsec: Failed to establish connection with remote endpoint 1.1.1.1: None of the proposed crypto suites was acceptable где 1.1.1.1 адрес микротика. В чем может быть проблема? Я понимаю ему не нравиться криптографическое шифрование, перепробовал все шифрования, какие поддерживает kerio. Источником была табличка на оф сайте. Помогите плиз гуру микротика)))) Буду оччччччччччч благодарен. Не хочется ночевать на работе, тунель нужен срочно(
Добавлю. Криптографическое шифрование менял в peers,proposals. Может еще где надо менять? Инфу всю перерыл в инете. Настраивал по примеру на первой странице.

[Axizdkr]

телепаты в отпуске, так что видимо ночевать Вам на работе...
посмотрите как xenrat вопрос свой оформил, на скринах все настройки сразу видно,
и как Вы, из Вашего поста вообще не понятно что и как Вы настраивали.

[angel919]

Axizdkr, Пардоньте вот предоставляю настройки микротика. Он идет пассивным.

Добавлено через 7 минут
это policies сам создавал[Для просмотра данной ссылки нужно зарегистрироваться]
тоже самое только след.вкладка [Для просмотра данной ссылки нужно зарегистрироваться]
это peers [Для просмотра данной ссылки нужно зарегистрироваться] в строке адреса вписал ip керио, в локальном указывал адрес микротика
это proposals [Для просмотра данной ссылки нужно зарегистрироваться]
логи микротика [Для просмотра данной ссылки нужно зарегистрироваться]
на стороне керио ошибка IPsec: Failed to establish connection with remote endpoint 1.1.1.1: None of the proposed crypto suites was acceptable где 1.1.1.1

Добавлено через 12 минут
Axizdkr, буду благодарен если ткнете куда копать или где надо поставить галочку) и почему то,когда указываю адрес в policies во вкладке aktion. в поле SA Src.address внешний адрес микротика с которого идет подключение, SA Dst.Address внешний адрес керио с которого идет подключение. И через какое то время он это сбрасывает почему?

Добавлено через 14 минут
настройки фаервола [Для просмотра данной ссылки нужно зарегистрироваться]

[Axizdkr]

ничего не открывается

[angel919]

Axizdkr, [Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]
а вот так?

[Axizdkr]

в policy надо убрать галку template, у вас не шаблон, а политика.
level - unique, а не requer
если адреса и на микотике и на керио белые nat тоже надо убрать в peer
из какой инструкции у вас null в proposal??!?!? proposal неправильные от слова совсем.

[angel919]

Axizdkr,
proposal привел в порядок [Для просмотра данной ссылки нужно зарегистрироваться] верно?
при создании policy выдает ошибку [Для просмотра данной ссылки нужно зарегистрироваться] не могу понять что не нравиться.

[angel919]

в policy ввожу айпи адрес за микротиком и айпи адрес за керио

[Axizdkr]

если ошибку ввести в переводчик сразу станет ясно в чём косяк, мозг попытайтесь включать хоть немножко.

[angel919]

Axizdkr, а сказать никак не?
по этой инструкции все сделал [Для просмотра данной ссылки нужно зарегистрироваться] и policies должны создаться автоматически, на что я и надеялся. Прошу помощи в данной проблеме. Дальше так и не сдвинулся(
и такой вопрос еще я в peers указал в Generte policy-port override посоветовали на оф.сайте микроты. Если выставляю режим no то он дублирует подключения доходило до 30 попыток но поднятия тунеля нема(

[angel919]

ап тему))) Во всем разобрался. Тунель поднялся, сети за микротиком вижу, сети за керио вижу. Сегодня 25 мая. 24 мая поставил пинги на микротик 192.168.80.1 и на керио 1.1.1.1. Пришел утром 25 на работу пинги прервались буквально за 1 минуту до прихода. Поставил заново пинги, через 1.30 пинг пропал. Поставил заново пинги пропали через 30 минут. В чем дело может быть? на первых страницах вычитал что я не одинок, но так и оставили эту тему не тронутой. Может кто понял в чем проблема? Версия микротика 6.0 Керио 8.6
когда пинги останавливаются, статус подлкючения на керио подключено.

[beria]

Проблема похожая на мою. Просмотрите решения, которые предлагались мне. У меня на данный момент вроде бы устаканилось все.

[angel919]

beria, у вас установилась связь после чего? Когда вы маршрут нарисовали на 4 интерфейс?