Имя: Пароль:
IT
Админ
Не проходит VPN канал через Керио. что надо разрешить?
0 Молния
 
06.03.07
11:49
На одном компе инет и керио. Надо по VPN соединиться с другим компом в этой же сети. Я сделал правило которое инет траффик на порт 1723 перенаправляет на VPN сервак на порт 1723. В итоге когда клиент соединяется то вылазит ошибка 619.
Видимо я не все разрешил в керио. что еще надо разрешить, что бы через керио проложить VPN канал?
1 Морозов Александр
 
06.03.07
11:49
про молнию отдельная ветка есть
2 Unforgiven
 
06.03.07
11:50
Разреши все, завипиэнся, читай логи что куда, а потом разрешай что надо
3 Морозов Александр
 
06.03.07
11:51
4 vladon
 
06.03.07
11:55
(0) а про GRE забыл?
5 vladon
 
06.03.07
11:56
(0) какой VPN-то?

IPSec / SSL/TLS / OpenVPN / PPTP / L2TP / L2TPv3 / VPN-Q / MPVPN / MPLS / L2F ??
6 Молния
 
06.03.07
11:58
стандартный виндовый. Сервак Windows 2003. Клиенты XP. PPTP.
7 Молния
 
06.03.07
12:00
Я добавил только одно правило - инет в файрвол на 1723 перенаправлять на 192.168.1.2:1723. что еще надо добавить?
8 Ангел- Хоронитель
 
06.03.07
12:06
(7)1723 - это канал, еще на авторизацию надо открыть.... ответь на (5)
9 maksik
 
06.03.07
12:09
в зависимости от ответа на (5) сервис соответствующий надо добавить (PPTP например)
10 vladon
 
06.03.07
12:14
(7) если PPTP, то ещё разрешить GRE (IP Protocol # 47)

только не спрашивай, как это делать в керио.
11 Молния
 
06.03.07
12:32
добавлял и GPE и PPTP в это правило. не помогало. Клиент отваливается с ошибкой 619.
12 Молния
 
06.03.07
12:33
(5) сделал в Винде 2003 принимать входящие соединения. Пробовал в локалке с типом VPN PPTP, работало. Попробовал удаленно, ошибка 619.
13 Молния
 
06.03.07
12:34
может надо обратное правило делат, что бы из локалки в инет разрешал PPTP и GPE?
14 Молния
 
06.03.07
13:07
(3) - "В 1953 году биохимики С. Миллер и Г. Юри показали, что одни из "кирпичиков" жизни - аминокислоты могут быть получены путем пропускания электрического разряда через воду, в которой растворены газы "первобытной" атмосферы Земли (метан, аммиак и водород). Спустя 50 лет другие исследователи повторили эти опыты и получили те же результаты. Таким образом, научная теория зарождения жизни на Земле отводит удару молнии основополагающую роль."


УВЕЛИЧИВАЮ продожительность жизни методом удара по голове. 100 $ за 1 год. Записывайтесь.
15 Молния
 
06.03.07
19:45
ау... есть тут кто?
17 Молния
 
07.03.07
13:29
Micriosoft VPN через КЕРИО  
 
 
Настроил правило в Керио(версия 6.1.4 pacth 2)  
 
Правило:  
 
Source Destination Service Action NAT Protocol inscpector  
 
Internet Firewall PPTP,GRE Permit map 192.168.0.3 PPTP  
 
 
В логах пишет:  
 
 
Цитата :  
[08/Jun/2006 13:17:43] PERMIT \"VPN-Извне\" packet from Internet, proto:47, len:57, ip:81.x.xxx.xxx -> 62.141.79.52, plen:37  
[08/Jun/2006 13:17:43] PERMIT \"VPN-Извне\" packet to Ethernet, proto:47, len:57, ip:81.x.xxx.xxx -> 192.168.6.20, plen:37  
[08/Jun/2006 13:17:47] PERMIT \"VPN-Извне\" packet from Internet, proto:47, len:57, ip:81.x.xxx.xxx -> 62.141.79.52, plen:37  
[08/Jun/2006 13:17:47] PERMIT \"VPN-Извне\" packet to Ethernet, proto:47, len:57, ip:81.x.xxx.xxx -> 192.168.6.20, plen:37  
[08/Jun/2006 13:17:51] PERMIT \"VPN-Извне\" packet from Internet, proto:47, len:57, ip:81.x.xxx.xxx -> 62.141.79.52, plen:37  
[08/Jun/2006 13:17:51] PERMIT \"VPN-Извне\" packet to Ethernet, proto:47, len:57, ip:81.x.xxx.xxx -> 192.168.6.20, plen:37  
[08/Jun/2006 13:17:55] PERMIT \"VPN-Извне\" packet from Internet, proto:47, len:57, ip:81.x.xxx.xxx -> 62.141.79.52, plen:37  
[08/Jun/2006 13:17:55] PERMIT \"VPN-Извне\" packet to Ethernet, proto:47, len:57, ip:81.x.xxx.xxx -> 192.168.6.20, plen:37  
[08/Jun/2006 13:17:59] PERMIT \"VPN-Извне\" packet from Internet, proto:47, len:57, ip:81.x.xxx.xxx -> 62.141.79.52, plen:37  
[08/Jun/2006 13:17:59] PERMIT \"VPN-Извне\" packet to Ethernet, proto:47, len:57, ip:81.x.xxx.xxx -> 192.168.6.20, plen:37  
[08/Jun/2006 13:18:03] PERMIT \"VPN-Извне\" packet from Internet, proto:47, len:57, ip:81.x.xxx.xxx -> 62.141.79.52, plen:37  
[08/Jun/2006 13:18:03] PERMIT \"VPN-Извне\" packet to Ethernet, proto:47, len:57, ip:81.x.xxx.xxx -> 192.168.6.20, plen:37  
[08/Jun/2006 13:18:07] PERMIT \"VPN-Извне\" packet from Internet, proto:47, len:57, ip:81.x.xxx.xxx -> 62.141.79.52, plen:37  
[08/Jun/2006 13:18:07] PERMIT \"VPN-Извне\" packet to Ethernet, proto:47, len:57, ip:81.x.xxx.xxx -> 192.168.6.20, plen:37  
[08/Jun/2006 13:18:11] PERMIT \"VPN-Извне\" packet from Internet, proto:47, len:57, ip:81.x.xxx.xxx -> 62.141.79.52, plen:37  
[08/Jun/2006 13:18:11] PERMIT \"VPN-Извне\" packet to Ethernet, proto:47, len:57, ip:81.x.xxx.xxx -> 192.168.6.20, plen:37  
[08/Jun/2006 13:18:15] PERMIT \"VPN-Извне\" packet from Internet, proto:TCP, len:56, ip/port:81.x.xxx.xxx:4471 -> 62.141.79.52:1723, flags: ACK PSH , seq:1562627426 ack:4286982064, win:65347, tcplen:16  
[08/Jun/2006 13:18:15] PERMIT \"VPN-Извне\" packet to Internet, proto:TCP, len:188, ip/port:192.168.6.20:1723 -> 81.x.xxx.xxx:4471, flags: ACK PSH , seq:4286982064 ack:1562627442, win:17156, tcplen:148  
[08/Jun/2006 13:18:15] PERMIT \"VPN-Извне\" packet from Internet, proto:TCP, len:56, ip/port:81.x.xxx.xxx:4471 -> 62.141.79.52:1723, flags: ACK PSH , seq:1562627442 ack:4286982212, win:65199, tcplen:16  
[08/Jun/2006 13:18:15] PERMIT \"VPN-Извне\" packet to Internet, proto:TCP, len:56, ip/port:192.168.6.20:1723 -> 81.x.xxx.xxx:4471, flags: ACK PSH , seq:4286982212 ack:1562627458, win:17140, tcplen:16  
[08/Jun/2006 13:18:15] PERMIT \"VPN-Извне\" packet to Internet, proto:TCP, len:40, ip/port:192.168.6.20:1723 -> 81.x.xxx.xxx:4471, flags: FIN ACK , seq:4286982228 ack:1562627458, win:17140, tcplen:0  
[08/Jun/2006 13:18:15] PERMIT \"VPN-Извне\" packet from Internet, proto:TCP, len:40, ip/port:81.x.xxx.xxx:4471 -> 62.141.79.52:1723, flags: FIN ACK , seq:1562627458 ack:4286982229, win:65183, tcplen:0  
[08/Jun/2006 13:18:15] PERMIT \"VPN-Извне\" packet to Internet, proto:TCP, len:40, ip/port:192.168.6.20:1723 -> 81.x.xxx.xxx:4471, flags: ACK , seq:4286982229 ack:1562627459, win:17140, tcplen:0    


И после этого клиент отпадывает с Ошибка 619, а если клиент видна 2003 - то ошибка 682? В чем косяк?
18 Jarik
 
07.03.07
13:41
(17)Kerio и VPN сервак это разные хосты?
19 Jarik
 
07.03.07
13:44
+18) Просто PPTP как и Kerio VPN не работают под натом
20 Молния
 
07.03.07
14:14
(18) NAT нету на этом правиле.
В списке оно самое первое. А в других правилах которые ниже NAT есть.
Причем работает так - если из локальной сети подрубаться через Керио то все нормально. Если из инета, то не работает.
Думаешь стоит вообще NAT отключить на всех правилах?
21 Jarik
 
07.03.07
14:33
(20)Так ведь локальные клиенты с сервером VPN находятся в одной подсети? Может они не натятся вовсе, а напрямую к серваку подрубаются.
Давай сюда Traffic Policy и логи при подключении клиентов из локальной сети
22 Ангел- Хоронитель
 
07.03.07
14:49
(19)почему?
23 Молния
 
07.03.07
14:50
(21) логи при подключении в керио я уже показал. других нету. Traffic Policy настраивал не я, и там вообще всего дофига. Отдельные порты натятся, на этот комп маппинг портов для почты (с натом), показать пока не могу просто далеко до этого компа ехать, что бы показать.
Может где пример завалялся как настроить?
24 ValeriTim
 
07.03.07
16:04
С керио все в порядке - смотри принимающий сервер VPN
25 Молния
 
07.03.07
17:35
Принимающий сервер VPN прекрасно принимает их из локалки, даже если коннектишся на сервер с керио (там для PPTP редирект на сервер VPN).  А внешние компы прекрасно коннектятся к другому серваку, где нету керио, где инет входит сразу на сервер VPN. А вот когда коннектятся на сервак через керио из инета, тогда и глюки.