ViPNet Координатор за Kerio Winroute

[fender]

Как координатор настроить, я понял. А какие правила в керио прописывать, чтобы из внешней сети можно было с координатором связываться?

[Stratos]

fender

Рекомендую Вам обратиться к инструкции по эксплуатации ПО ViPNet Координатор, а так же поискать на форуме информацию о настройке Kerio, такие темы неоднократно уже поднимались.

[fender]

fender

Рекомендую Вам обратиться к инструкции по эксплуатации ПО ViPNet Координатор, а так же поискать на форуме информацию о настройке Kerio, такие темы неоднократно уже поднимались.

Надо сказать, что во всех прочитанных мной инструкциях и руководствах указано, будто бы необходимо на внешнем МСЭ мапить порт UDP 55777, а на самом деле оказалось, что мапить надо порты TCP 5000-5002. Непонятно.

[PinG]

Если у вас Kerio является именно внешним по отношению к Координатору фаерволом, то он (Kerio) по идее вообще не должен видеть TCP 5000-5002 (по этим портам работает ViPNet MFTP - транспортный модуль нашей системы), потому что Координатор весь трафик приложений (в т.ч. и MFTP) упаковывает в UDP 55777. А вот если Координатор установлен на том же сервере, что и Kerio - тогда да, последний может увидеть TCP 5000.

Просьба уточнить схему включения Координатора в ваше сеть...

[fender]

Выяснил интересные вещи. При общении двух координаторов пакеты ходят, действительно, только по UDP на порт 55777. Если посылаем письмо через "Деловую почту", то требуются порты 5000-5002 TCP. То есть всё, как вы писали. Так что вопрос снят. Даже нашёл в мануале по MFTP упоминание о 5000 порте в пункте "Тонкая настройка транспортного модуля". Неочевидно всё, короче.

Теперь расскажу какие есть ещё проблемы. Ситуация: у нас в очереди на отправку в удалённую сеть лежит одно письмо. В окне MFTP видим лог такой:

09.01.2008 16:51:03.500 Have outgoing files for 01BE000A
09.01.2008 16:51:03.500 IP for 01BE000A=11.0.0.4
09.01.2008 16:51:03.500 Start connect to 11.0.0.4 on port #5002
09.01.2008 16:51:03.500 1240 Connecting to 11.0.0.4 ...
09.01.2008 16:51:24.578 1240 Error 10060 in function FD_CONNECT
Connection timed out
09.01.2008 16:51:24.578 1240 Closed

Коннектимся на самом деле не на 11.0.0.4, а на Y.Y.Y.Y (описание явления).

Смотрим логи керио.

[09/Jan/2008 16:08:30] PERMIT "vipnet IN 55777" packet from LAN, proto:UDP, len:125, ip/port:192.168.1.100:55777 -> Y.Y.Y.Y:55777, udplen:97
[09/Jan/2008 16:08:30] PERMIT "vipnet IN 55777" packet to SDSL, proto:UDP, len:125, ip/port:192.168.1.100:55777 -> Y.Y.Y.Y:55777, udplen:97
// эта пара сообщений повторяется 13 раз в течение 1,5 минут
[09/Jan/2008 16:10:07] PERMIT "vipnet IN 55777" packet from LAN, proto:UDP, len:125, ip/port:192.168.1.100:55777 -> Y.Y.Y.Y:55777, udplen:97
[09/Jan/2008 16:10:07] PERMIT "vipnet IN 55777" packet to SDSL, proto:UDP, len:125, ip/port:192.168.1.100:55777 -> Y.Y.Y.Y:55777, udplen:97
// наконец-то пришёл ответ
[09/Jan/2008 16:12:13] PERMIT "vipnet IN 55777" packet from SDSL, proto:UDP, len:165, ip/port:Y.Y.Y.Y:55777 -> X.X.X.X:55777, udplen:137
[09/Jan/2008 16:12:13] PERMIT "vipnet IN 55777" packet to LAN, proto:UDP, len:165, ip/port:Y.Y.Y.Y:55777 -> 192.168.1.100:55777, udplen:137
// и снова посылаем неизвестно что
[09/Jan/2008 16:12:13] PERMIT "vipnet IN 55777" packet from LAN, proto:UDP, len:141, ip/port:192.168.1.100:55777 -> Y.Y.Y.Y:55777, udplen:113
[09/Jan/2008 16:12:13] PERMIT "vipnet IN 55777" packet to SDSL, proto:UDP, len:141, ip/port:192.168.1.100:55777 -> Y.Y.Y.Y:55777, udplen:113
[09/Jan/2008 16:13:38] PERMIT "vipnet IN 55777" packet from LAN, proto:UDP, len:270, ip/port:192.168.1.100:55777 -> Y.Y.Y.Y:55777, udplen:242
[09/Jan/2008 16:13:38] PERMIT "vipnet IN 55777" packet to SDSL, proto:UDP, len:270, ip/port:192.168.1.100:55777 -> Y.Y.Y.Y:55777, udplen:242
[09/Jan/2008 16:13:43] PERMIT "vipnet IN 55777" packet from LAN, proto:UDP, len:141, ip/port:192.168.1.100:55777 -> Y.Y.Y.Y:55777, udplen:113
[09/Jan/2008 16:13:43] PERMIT "vipnet IN 55777" packet to SDSL, proto:UDP, len:141, ip/port:192.168.1.100:55777 -> Y.Y.Y.Y:55777, udplen:113
// пакеты на непонятные адреса
[09/Jan/2008 16:13:43] DROP "Default traffic rule" packet from LAN, proto:UDP, len:141, ip/port:192.168.1.100:55777 -> 10.Z.Z.101:55777, udplen:113
[09/Jan/2008 16:13:43] DROP "Default traffic rule" packet from LAN, proto:UDP, len:141, ip/port:192.168.1.100:55777 -> 10.Z.Z.1:55777, udplen:113
[09/Jan/2008 16:13:43] DROP "Default traffic rule" packet from LAN, proto:UDP, len:141, ip/port:192.168.1.100:55777 -> 195.Z.Z.210:55777, udplen:113
[09/Jan/2008 16:13:43] DROP "Default traffic rule" packet from LAN, proto:UDP, len:141, ip/port:192.168.1.100:55777 -> 10.Z.Z.18:55777, udplen:113

Схема сети:

1. Почему на 15 исходящих пакетов приходит единственный входящий?

2. Откуда берутся 4 последних адреса? Подозреваю, что из адресной структуры удалённой сети (а откуда ещё?). Тогда вопрос: зачем наш координатор может лезть на эти адреса?

3. Если всё на самом деле косячно и не работоспособно, то каким образом удалось получить одно письмо из удалённой сети?

[PinG]

Приведенные схемы являются не полными, т.к. упоминается Деловая Почта, а это означает, что есть еще и ViPNet Клиенты по обе стороны от Координаторов

Еще раз повторюсь, что если схема настроена правильно, то Kerio никаких TCP пакетов видеть не должен. Если видит, то это может означать:

1) неправильно настроенную маршрутизацию на Координаторах/Клиентах

2) неправильно настроенный MFTP на Клиентах

Схема, видимо, все таки такая: Кл1 - Кр1 - Kerio --- Кр2 - Кл2

В этом случае настройки должны быть следующие:

Кл1: в настройках должно быть указано, что "тип МЭ" - Координатор, а в кач-ве Координатора выбран Кр1. В кач-ве GW может быть указано все что угодно, хоть внутренний интерфейс Кр1, хоть любой другой IP из сетки 192.168.1.х. В MFTP все настройки должны быть по умолчанию, ничего руками настраивать не надо.

Кр1: в настройках должно быть указано, что "тип МЭ" - со стат. трансляцией адресов. В кач-ве внешнего IP надо прописать внешний реальный адрес, который Kerio назначает Кр1 (тот самый Х.Х.Х.Х). В кач-ве GW должен быть указан внутренний адрес Kerio.

Kerio: должно быть только прописано: UDP 192.168.1.100:55777 <-> UDP X.X.X.X:55777

Кр2: в настройках - сам себе Координатор. Никаких внешних firewall прописывать не надо.

Кл2: аналогично настройкам Кл1, но только в кач-ве Координатора выбирается Кр2.

[fender]

Кр1: в настройках должно быть указано, что "тип МЭ" - со стат. трансляцией адресов. В кач-ве внешнего IP надо прописать внешний реальный адрес, который Kerio назначает Кр1 (тот самый Х.Х.Х.Х). В кач-ве GW должен быть указан внутренний адрес Kerio.

Спасибо, помогло. В настройках внешнего ФВ был прописан 192.168.1.100. После замены на Х.Х.Х.Х почта стала ходить.

[fender]

Продолжаем изучать сложные VPN-технологии.

Схема сети с клиентами:

Что нужно прописать в ЦУС, чтобы клиент ?.?.?.? общался с клиентом 10.0.0.1 при условии, что адрес ?.?.?.? динамический и установлена только ДП, [Монитора] там нет? Канал связи у обоих клиентов, естественно, через координатора.