VPN проблема - Форум Kerio-rus
Форум Kerio-rus

Вернуться   Форум Kerio-rus > Продукты > Kerio Control (бывший Winroute Firewall) > Рабочие конфигурации

Важная информация

Ответ
 
Опции темы
Старый 18.09.2019, 16:24   #1
RTLong
 
Аватар для RTLong
 
Регистрация: 18.09.2019
Адрес: Санкт-Петербург
Сообщений: 5
По умолчанию VPN проблема

День добрый. Переехал на новый керио (с версии 6) на 9,2. Весь конфиг заработал кроме VPN. Удаленная машина подключается и пингует адрес локального выхода керио но другие компьютеры не пингуются вообще. Подскажите, в чем может быть проблема?
Изображения
Тип файла: jpg Безымянный.jpg (102.8 Кб, 8 просмотров)

Последний раз редактировалось RTLong; 18.09.2019 в 16:48.
RTLong вне форума   Ответить с цитированием Вверх
Старый 18.09.2019, 16:54   #2
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,900
По умолчанию Re: VPN проблема

Цитата
Сообщение от RTLong Посмотреть сообщение
адрес локального выхода керио
что это? конкретно

Цитата
Сообщение от RTLong Посмотреть сообщение
Подскажите, в чем может быть проблема?
например, в маршрутах.
подсети в основном офисе и в сети с удаленным клиентом разные?
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 18.09.2019, 18:23   #3
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,783
По умолчанию Re: VPN проблема

Цитата
Сообщение от RTLong Посмотреть сообщение
Переехал на новый керио (с версии 6) на 9,2. Весь конфиг заработал кроме VPN
как осуществлялся переезд?
какие версии впн-клиентов на клиентах?
Цитата
Сообщение от RTLong Посмотреть сообщение
Удаленная машина подключается и пингует адрес локального выхода керио
это хорошо
то есть, как я понял - ВПН работает
да?
клиент подключается, вопросов нет?
так?
Цитата
Сообщение от RTLong Посмотреть сообщение
но другие компьютеры не пингуются вообще.
на других компюьтерах отключить фоерволы
+ с них же ipconfig и route print
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 19.09.2019, 10:52   #4
RTLong
 
Аватар для RTLong
 
Регистрация: 18.09.2019
Адрес: Санкт-Петербург
Сообщений: 5
По умолчанию Re: VPN проблема

Цитата:
Сообщение от exchar Посмотреть сообщение
что это? конкретно
Имел ввиду Local интерфейс.



Цитата:
Сообщение от naliman
то есть, как я понял - ВПН работает
да?
клиент подключается, вопросов нет?
так?
Да коннект есть и пинг Local интерфейса керио тоже идет. А вот другие компьютеры из локал сети не пингуются.
Цитата:
Сообщение от naliman
как осуществлялся переезд?
Новая установка. Конфиги вносились в ручную.
Изображения
Тип файла: jpg 1111.jpg (82.5 Кб, 7 просмотров)
Тип файла: jpg 1112.jpg (81.1 Кб, 6 просмотров)
RTLong вне форума   Ответить с цитированием Вверх
Старый 19.09.2019, 11:35   #5
RTLong
 
Аватар для RTLong
 
Регистрация: 18.09.2019
Адрес: Санкт-Петербург
Сообщений: 5
По умолчанию Re: VPN проблема

Удаленная машина

====================================================================== =====
Список интерфейсов
41...44 45 53 54 4f 53 ......Kerio Virtual Network Adapter
3...12 b9 a5 d1 a1 f3 ......Microsoft Wi-Fi Direct Virtual Adapter
8...22 b9 a5 d1 a1 f3 ......Microsoft Wi-Fi Direct Virtual Adapter #2
6...e0 b9 a5 d1 a1 f3 ......Qualcomm Atheros AR9485WB-EG Wireless Network Adapter
17...e0 b9 a5 d2 6f 9a ......Bluetooth Device (Personal Area Network)
1...........................Software Loopback Interface 1
====================================================================== =====

IPv4 таблица маршрута
====================================================================== =====
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.43.249 192.168.43.253 50
100.100.0.10 255.255.255.255 On-link 127.0.0.1 76
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
192.168.0.0 255.255.128.0 192.168.200.1 192.168.200.2 1
192.168.43.0 255.255.255.0 On-link 192.168.43.253 306
192.168.43.253 255.255.255.255 On-link 192.168.43.253 306
192.168.43.255 255.255.255.255 On-link 192.168.43.253 306
192.168.200.0 255.255.255.0 On-link 192.168.200.2 257
192.168.200.2 255.255.255.255 On-link 192.168.200.2 257
192.168.200.255 255.255.255.255 On-link 192.168.200.2 257
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 192.168.43.253 306
224.0.0.0 240.0.0.0 On-link 192.168.200.2 257
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 192.168.43.253 306
255.255.255.255 255.255.255.255 On-link 192.168.200.2 257
====================================================================== =====
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
100.100.0.10 255.255.255.255 On-link 1
====================================================================== =====

IPv6 таблица маршрута
====================================================================== =====
Активные маршруты:
Метрика Сетевой адрес Шлюз
6 66 ::/0 fe80::8af8:72ff:fedc:96b6
1 331 ::1/128 On-link
6 66 2a00:1fa0:8221:af75::/64 On-link
6 306 2a00:1fa0:8221:af75:608a:d918:87a6:79a2/128
On-link
6 306 2a00:1fa0:8221:af75:88bc:6168:45c4:d08d/128
On-link
6 306 fe80::/64 On-link
6 306 fe80::608a:d918:87a6:79a2/128
On-link
1 331 ff00::/8 On-link
6 306 ff00::/8 On-link
====================================================================== =====
Постоянные маршруты:
Отсутствует




Настройка протокола IP для Windows


Адаптер Ethernet Kerio Virtual Network:

DNS-суффикс подключения . . . . . : domain.local
IPv4-адрес. . . . . . . . . . . . : 192.168.200.2
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . :

Адаптер беспроводной локальной сети Подключение по локальной сети* 1:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :

Адаптер беспроводной локальной сети Подключение по локальной сети* 10:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :

Адаптер беспроводной локальной сети Беспроводная сеть:

DNS-суффикс подключения . . . . . :
IPv6-адрес. . . . . . . . . . . . : 2a00:1fa0:8221:af75:608a:d918:87a6:79a2
Временный IPv6-адрес. . . . . . . : 2a00:1fa0:8221:af75:88bc:6168:45c4:d08d
Локальный IPv6-адрес канала . . . : fe80::608a:d918:87a6:79a2%6
IPv4-адрес. . . . . . . . . . . . : 192.168.43.253
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : fe80::8af8:72ff:fedc:96b6%6
192.168.43.249

Адаптер Ethernet Сетевое подключение Bluetooth:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
RTLong вне форума   Ответить с цитированием Вверх
Старый 19.09.2019, 11:57   #6
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,783
По умолчанию Re: VPN проблема

Цитата
Сообщение от RTLong Посмотреть сообщение
192.168.43.249
это кто?


Цитата
Сообщение от RTLong Посмотреть сообщение
Адаптер Ethernet Kerio Virtual Network:
это откуда?
с ВПН-клиента?
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 19.09.2019, 12:04   #7
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,900
По умолчанию Re: VPN проблема

192.168.43.0 - сеть удаленного хоста?
она входит в сеть головного офиса 192.168.0.0/17
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 19.09.2019, 13:06   #8
RTLong
 
Аватар для RTLong
 
Регистрация: 18.09.2019
Адрес: Санкт-Петербург
Сообщений: 5
По умолчанию Re: VPN проблема

Цитата:
Сообщение от naliman Посмотреть сообщение
это кто?
Это WiFi через который идет доступ в интернет с этой машины.

Цитата:
Сообщение от naliman
это откуда?
с ВПН-клиента?
Да это соединение впн клиента.

Добавлено через 3 минуты

Цитата:
Сообщение от exchar Посмотреть сообщение
192.168.43.0 - сеть удаленного хоста?
она входит в сеть головного офиса 192.168.0.0/17
Это просто отдельный компьютер с wifi который стоит у черта на куличиках и через керио впн должен входить на машины офиса. Параметры сетей офиса я доложил в скринах выше.
Изображения
Тип файла: jpg 111.jpg (88.1 Кб, 4 просмотров)

Последний раз редактировалось RTLong; 19.09.2019 в 13:08. Причина: Добавлено сообщение
RTLong вне форума   Ответить с цитированием Вверх
Старый 19.09.2019, 13:49   #9
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,900
По умолчанию Re: VPN проблема

Цитата
Сообщение от RTLong Посмотреть сообщение
Это просто отдельный компьютер с wifi который стоит у черта на куличиках и через керио впн должен входить на машины офиса. Параметры сетей офиса я доложил в скринах выше.
tldr - локальные сети на разных концах туннеля не должны пересекаться.
т.к. при создании туннеля на обоих его концах добавляются маршруты в сеть противоположного конца туннеля.
при пересечении этих сетей получаем фарш.
в твоем случае клиент пингует lan фаера, а дальше болт, потому что ровно до этого момента при прохождении трафика не используются маршруты на файерволле.

допустим, прилетает на фаер ответный пакет с хоста локальной сети - куда фаер должен его передать:
а) на виртуальный интерфейс vpn-тоннеля откуда инициирован пинг? этот маршрут есть
б) на локальный интерфейс фаера? и этот маршрут есть

только подсеть одного включает в себя подсеть другого, поэтому имхо все летит на локальный интерфейс и умирает там по arp (т.к. такого хоста в локальной сети конторы нет).
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 19.09.2019, 14:42   #10
RTLong
 
Аватар для RTLong
 
Регистрация: 18.09.2019
Адрес: Санкт-Петербург
Сообщений: 5
По умолчанию Re: VPN проблема

Цитата:
Сообщение от exchar Посмотреть сообщение
tldr - локальные сети на разных концах туннеля не должны пересекаться.
т.к. при создании туннеля на обоих его концах добавляются маршруты в сеть противоположного конца туннеля.
при пересечении этих сетей получаем фарш.
в твоем случае клиент пингует lan фаера, а дальше болт, потому что ровно до этого момента при прохождении трафика не используются маршруты на файерволле.

допустим, прилетает на фаер ответный пакет с хоста локальной сети - куда фаер должен его передать:
а) на виртуальный интерфейс vpn-тоннеля откуда инициирован пинг? этот маршрут есть
б) на локальный интерфейс фаера? и этот маршрут есть

только подсеть одного включает в себя подсеть другого, поэтому имхо все летит на локальный интерфейс и умирает там по arp (т.к. такого хоста в локальной сети конторы нет).
Спасибо. Даже как то и не заметил, что мобильник шарит wifi с адресом локалки. Все заработало )
RTLong вне форума   Ответить с цитированием Вверх
Старый 19.09.2019, 15:16   #11
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,900
По умолчанию Re: VPN проблема

Цитата
Сообщение от RTLong Посмотреть сообщение
Даже как то и не заметил, что мобильник шарит wifi с адресом локалки. Все заработало )
ок
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 19.09.2019, 22:50   #12
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,783
По умолчанию Re: VPN проблема

гуд
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 09:05. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2019, vBulletin Solutions Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях