На одном компе инет и керио. Надо по VPN соединиться с другим компом в этой же сети. Я сделал правило которое инет траффик на порт 1723 перенаправляет на VPN сервак на порт 1723. В итоге когда клиент соединяется то вылазит ошибка 619.
Видимо я не все разрешил в керио. что еще надо разрешить, что бы через керио проложить VPN канал?

про молнию отдельная ветка есть

Разреши все, завипиэнся, читай логи что куда, а потом разрешай что надо

OFF: Молния

(0) а про GRE забыл?

(0) какой VPN-то?

IPSec / SSL/TLS / OpenVPN / PPTP / L2TP / L2TPv3 / VPN-Q / MPVPN / MPLS / L2F ??

стандартный виндовый. Сервак Windows 2003. Клиенты XP. PPTP.

Я добавил только одно правило - инет в файрвол на 1723 перенаправлять на 192.168.1.2:1723. что еще надо добавить?

(7)1723 - это канал, еще на авторизацию надо открыть.... ответь на (5)

в зависимости от ответа на (5) сервис соответствующий надо добавить (PPTP например)

(7) если PPTP, то ещё разрешить GRE (IP Protocol # 47)

только не спрашивай, как это делать в керио.

добавлял и GPE и PPTP в это правило. не помогало. Клиент отваливается с ошибкой 619.

(5) сделал в Винде 2003 принимать входящие соединения. Пробовал в локалке с типом VPN PPTP, работало. Попробовал удаленно, ошибка 619.

может надо обратное правило делат, что бы из локалки в инет разрешал PPTP и GPE?

(3) - "В 1953 году биохимики С. Миллер и Г. Юри показали, что одни из "кирпичиков" жизни - аминокислоты могут быть получены путем пропускания электрического разряда через воду, в которой растворены газы "первобытной" атмосферы Земли (метан, аммиак и водород). Спустя 50 лет другие исследователи повторили эти опыты и получили те же результаты. Таким образом, научная теория зарождения жизни на Земле отводит удару молнии основополагающую роль."


УВЕЛИЧИВАЮ продожительность жизни методом удара по голове. 100 $ за 1 год. Записывайтесь.

ау... есть тут кто?

Micriosoft VPN через КЕРИО  
 
 
Настроил правило в Керио(версия 6.1.4 pacth 2)  
 
Правило:  
 
Source Destination Service Action NAT Protocol inscpector  
 
Internet Firewall PPTP,GRE Permit map 192.168.0.3 PPTP  
 
 
В логах пишет:  
 
 
Цитата :  
[08/Jun/2006 13:17:43] PERMIT \"VPN-Извне\" packet from Internet, proto:47, len:57, ip:81.x.xxx.xxx -> 62.141.79.52, plen:37  
[08/Jun/2006 13:17:43] PERMIT \"VPN-Извне\" packet to Ethernet, proto:47, len:57, ip:81.x.xxx.xxx -> 192.168.6.20, plen:37  
[08/Jun/2006 13:17:47] PERMIT \"VPN-Извне\" packet from Internet, proto:47, len:57, ip:81.x.xxx.xxx -> 62.141.79.52, plen:37  
[08/Jun/2006 13:17:47] PERMIT \"VPN-Извне\" packet to Ethernet, proto:47, len:57, ip:81.x.xxx.xxx -> 192.168.6.20, plen:37  
[08/Jun/2006 13:17:51] PERMIT \"VPN-Извне\" packet from Internet, proto:47, len:57, ip:81.x.xxx.xxx -> 62.141.79.52, plen:37  
[08/Jun/2006 13:17:51] PERMIT \"VPN-Извне\" packet to Ethernet, proto:47, len:57, ip:81.x.xxx.xxx -> 192.168.6.20, plen:37  
[08/Jun/2006 13:17:55] PERMIT \"VPN-Извне\" packet from Internet, proto:47, len:57, ip:81.x.xxx.xxx -> 62.141.79.52, plen:37  
[08/Jun/2006 13:17:55] PERMIT \"VPN-Извне\" packet to Ethernet, proto:47, len:57, ip:81.x.xxx.xxx -> 192.168.6.20, plen:37  
[08/Jun/2006 13:17:59] PERMIT \"VPN-Извне\" packet from Internet, proto:47, len:57, ip:81.x.xxx.xxx -> 62.141.79.52, plen:37  
[08/Jun/2006 13:17:59] PERMIT \"VPN-Извне\" packet to Ethernet, proto:47, len:57, ip:81.x.xxx.xxx -> 192.168.6.20, plen:37  
[08/Jun/2006 13:18:03] PERMIT \"VPN-Извне\" packet from Internet, proto:47, len:57, ip:81.x.xxx.xxx -> 62.141.79.52, plen:37  
[08/Jun/2006 13:18:03] PERMIT \"VPN-Извне\" packet to Ethernet, proto:47, len:57, ip:81.x.xxx.xxx -> 192.168.6.20, plen:37  
[08/Jun/2006 13:18:07] PERMIT \"VPN-Извне\" packet from Internet, proto:47, len:57, ip:81.x.xxx.xxx -> 62.141.79.52, plen:37  
[08/Jun/2006 13:18:07] PERMIT \"VPN-Извне\" packet to Ethernet, proto:47, len:57, ip:81.x.xxx.xxx -> 192.168.6.20, plen:37  
[08/Jun/2006 13:18:11] PERMIT \"VPN-Извне\" packet from Internet, proto:47, len:57, ip:81.x.xxx.xxx -> 62.141.79.52, plen:37  
[08/Jun/2006 13:18:11] PERMIT \"VPN-Извне\" packet to Ethernet, proto:47, len:57, ip:81.x.xxx.xxx -> 192.168.6.20, plen:37  
[08/Jun/2006 13:18:15] PERMIT \"VPN-Извне\" packet from Internet, proto:TCP, len:56, ip/port:81.x.xxx.xxx:4471 -> 62.141.79.52:1723, flags: ACK PSH , seq:1562627426 ack:4286982064, win:65347, tcplen:16  
[08/Jun/2006 13:18:15] PERMIT \"VPN-Извне\" packet to Internet, proto:TCP, len:188, ip/port:192.168.6.20:1723 -> 81.x.xxx.xxx:4471, flags: ACK PSH , seq:4286982064 ack:1562627442, win:17156, tcplen:148  
[08/Jun/2006 13:18:15] PERMIT \"VPN-Извне\" packet from Internet, proto:TCP, len:56, ip/port:81.x.xxx.xxx:4471 -> 62.141.79.52:1723, flags: ACK PSH , seq:1562627442 ack:4286982212, win:65199, tcplen:16  
[08/Jun/2006 13:18:15] PERMIT \"VPN-Извне\" packet to Internet, proto:TCP, len:56, ip/port:192.168.6.20:1723 -> 81.x.xxx.xxx:4471, flags: ACK PSH , seq:4286982212 ack:1562627458, win:17140, tcplen:16  
[08/Jun/2006 13:18:15] PERMIT \"VPN-Извне\" packet to Internet, proto:TCP, len:40, ip/port:192.168.6.20:1723 -> 81.x.xxx.xxx:4471, flags: FIN ACK , seq:4286982228 ack:1562627458, win:17140, tcplen:0  
[08/Jun/2006 13:18:15] PERMIT \"VPN-Извне\" packet from Internet, proto:TCP, len:40, ip/port:81.x.xxx.xxx:4471 -> 62.141.79.52:1723, flags: FIN ACK , seq:1562627458 ack:4286982229, win:65183, tcplen:0  
[08/Jun/2006 13:18:15] PERMIT \"VPN-Извне\" packet to Internet, proto:TCP, len:40, ip/port:192.168.6.20:1723 -> 81.x.xxx.xxx:4471, flags: ACK , seq:4286982229 ack:1562627459, win:17140, tcplen:0    


И после этого клиент отпадывает с Ошибка 619, а если клиент видна 2003 - то ошибка 682? В чем косяк?

(17)Kerio и VPN сервак это разные хосты?

+18) Просто PPTP как и Kerio VPN не работают под натом

(18) NAT нету на этом правиле.
В списке оно самое первое. А в других правилах которые ниже NAT есть.
Причем работает так - если из локальной сети подрубаться через Керио то все нормально. Если из инета, то не работает.
Думаешь стоит вообще NAT отключить на всех правилах?

(20)Так ведь локальные клиенты с сервером VPN находятся в одной подсети? Может они не натятся вовсе, а напрямую к серваку подрубаются.
Давай сюда Traffic Policy и логи при подключении клиентов из локальной сети

(19)почему?

(21) логи при подключении в керио я уже показал. других нету. Traffic Policy настраивал не я, и там вообще всего дофига. Отдельные порты натятся, на этот комп маппинг портов для почты (с натом), показать пока не могу просто далеко до этого компа ехать, что бы показать.
Может где пример завалялся как настроить?

С керио все в порядке - смотри принимающий сервер VPN

Принимающий сервер VPN прекрасно принимает их из локалки, даже если коннектишся на сервер с керио (там для PPTP редирект на сервер VPN).  А внешние компы прекрасно коннектятся к другому серваку, где нету керио, где инет входит сразу на сервер VPN. А вот когда коннектятся на сервак через керио из инета, тогда и глюки.