Почему не ходит трафик от удаленного клиента Vpn?

Question

[Игорь Кривинцов]

Использую Kerio connect на линуксе, версия 8.6.2 обьеденил филиалы в vpn туннели, трафик между офисами ходит,все отлично, но если пользователь подключается с дома, посредством kerio client то он не может войти в сеть другого филиала а только в ту сеть в роутер которого он подключился...т.е если он подключается к сеть 192.168.10.0 то пользователь не может обратиться к другой сети 10.8.0.0 правила выкладываю.

Answer 1

[Сергей]

не вижу сложности в прохождении трафика на данном этапе. смотри дальше. и обнови до новой версии!

причем не ясно нафига вообще ремоут админ правило то? наружу выставляется только впн. потом пишется правило что "доступ к админке можно только admin1" второе правило "остальных послать нахрен". а только потом по впн стучишься на шлюз пользователем admin1(к примеру) и в вебморде админишь.

и рекомендую удалить пункты а Локальном трафике "все впн туннели" и "все впн клиенты". и указывать конкретные. причин 2. иногда обобщенность работает через ... попу. и уровень безопасности повыше будет

а затык у тебя может быть в маршрутизации. в впн-сервер лучше отдавать адреса "уникальнее" чем 192.168 .. к примеру 10.253. потом на туннеле на том конце прописываешь что данный диапазон адресов находится на за тем-то туннелем и все заводится!

Comments

[Игорь Кривинцов]

У меня пиратка, обновить не смогу

[Сергей]

вы такие ужасные вещи говорите =). делается это довольно просто. берете(там где вы раньше брали) img из установочного диска более свежей версии(в последней версии это SYSTEM-9.0.1_BUILD_547.IMG) и скармливаете в конфигурация - дополнительные опции - проверка обновлений - обновить версию загрузив двоичный образ. ведь ваша работа заключается не чтоб соблюдать лицензионную чистоту. а в том чтоб отвечать и за безопасность в том числе! и рекомендую уважать труд разрабов. и при первой возможности приобрести продукт.
обновление лучше изначально потестить на виртуалке.

[Игорь Кривинцов]

Я поправил политики для трафика, убрал все туннели, но мне не понятно, какие адреса дать на сервер VPN , у меня сейчас на одном сеть для VPN 192.168.15.0 а на втором 192.168.16.0, могли бы подробнее написать ip адреса, для VPN

[Сергей]

тут дело скорее всего в маршрутизации. попробуйте трейсом промониторить маршрут с разных подсетей. скорее всего у вас на том сервере что-то не так с маршрутами или разрешающими правилам. править адреса без необходимости не стоит. найдите сначала в чем затык

[Игорь Кривинцов]

Teracert показывает что сервер находит удаленный шлюз за которым находится адрес назначения, и все, дальше * * * команда Tracert 10.8.0.15 из сети 192.168.1.0
traceroute to 10.8.0.15 (10.8.0.15), 30 hops max, 60 byte packets
1 10.8.0.1 27.293 ms 27.620 ms 27.622 ms
2 * * *
3 * * *
4 * * *
5 * * *
6 * * *

[Сергей]

Смотрите на сервере с которого нет скриншота. Там что-то не так с разрешавшими правилами

[Сергей]

Разрешаюшими*

[Сергей]

И дайте таблицу маршрутизации с обеих серверов

[Сергей]

и проверьте. у вас на обеих сторонах туннеля стоит галочка?

[Игорь Кривинцов]

Сергей:

Таблицы https://yadi.sk/i/7V_VmBmooqLSK https://yadi.sk/i/3AW2ZEVBoqLRx

Эти галочки поставил, только у меня 1 туннел KerioVPN остальные IPSec , и там уже такой галки нет

[Сергей]

галочка просто автоматизирует процесс. можно вписать и руками. а не работает именно распознавание маршрутов через связку керио впн сервер - керио впн сервер - керио впн клиент? смотри на сервере правила. на том котором нет скриншота. возможно есть запрещающее правило выше чем разрешающее.

[Игорь Кривинцов]

Сергей:

.а правила действуют по томуже принципу как и iptables ? сверху вниз и если есть совпадения то дальше по цепочке не проверяется?...должно так вроде.

Не работает маршрутизация если я с дому с клиента ВПН подключаюсь к серверу, не важно к какому... имею доступ только к локалке того офиса к которому я подключился, и не важно КериоВПН или IPSec , не идет ни там нитам. Кстати,поставив галки, как Вы мне сказали, теперь я могу достучаться и до другой сети.. все норм...ток не через Ipsec
Правила на втором сервере https://yadi.sk/i/gX8guPzYoqQJq

[Сергей]

есть вариант номер два. вынеси правило пинга в самое начало. разреши всё и вся. на обеих серверах. включи логирование. и пингуй с 2-х концов. пингуй последовательно все узлы. вот и глянешь где помрет пакет. если все ходит .. дело в правилах.

[Сергей]

да. как только сработка по правилу. то дальше уже не важно

[Сергей]

значит дело было в маршрутах. вписывай руками маршруты которые за ipsec туннелями

[Игорь Кривинцов]

Да я так и делаю, если Вы об этом https://yadi.sk/i/gX8guPzYoqQJq , честно сказать, то что сейчас ходит через KerioVPN этого мне и достаточно, буду если что пускать удаленных пользователей через этот офис....

Не могли бы Вы мне подсказать еще в одном деле, есть хост в лок.сети, внутри сети пинг идет, захожу по веб интерфейсу , все хорошо, но если по клиенту VPN подключаюсь , то пинга нет и соответственно в веб интерфейс зайти не могу.Это что то блокирует? Есть другой хост, с такой же конфигой, с ним все в порядке... что с этиим приключилось не пойму

[Сергей]

не совсем понял. на ресурсе в локальной сети весит сервис? с одного впн клиент видимость сервиса есть. а с другго нет?

[Игорь Кривинцов]

Сергей:

есть в лок.сети FreePBX , на него я захожу по web ,в лок.сети это я могу сделать, а если с дому по ВПН клиенту подключаюсь, то зайти не могу на FreePBX , пинг идет со шлюза до FreePBX, с FreePBX до шлюза...

[Сергей]

правила. я вам уже говорил что в правилах нужно указывать конкретику. "все впн могут ходить в сеть" не равно "впн вася и петя могут ходить в сеть". первое правило работает через одно место. это раз. если вы знаете что ваш трафик можт дойти до данного сервиса. то это не значит что он может вернуться. сервис просто может не знать где вас искать. вы ему не прописали шлюз к примеру)

[Игорь Кривинцов]

Сергей:

Ладно,буду внимательно, смотреть , переделывать правило, но что странно, другие сервисы и компы я могу пинговать, а один ток хост нет..

[Сергей]

я ж говорю. не вы его не можете пинговать. а он вам не может ответить). если при прочих равных все остальное

[Игорь Кривинцов]

Спасибо за советы!

[Сергей]

пж). обращайтесь