Mikrotik и Kerio IPSEC через PPTP?

Question

[demudrol]

Добрый день!
Никак не удается подружить Kerio Control и Mikrotik. Брал инструкцию по настройке тут https://habrahabr.ru/post/216215/

Микротик настроен на интересном провайдере. От него даны данные для WAN и настройки PPTP-соединения для работы интернета. Выделен белый адрес 1.1.1.1

Само соединение устанавливается:
- В Kerio пишет, что "Соединение с 1.1.1.1 установлено".
- В Mikrotik'e:
/ip ipsec peer> print
Flags: X - disabled, D - dynamic
0 address=2.2.2.2/32 local-address=0.0.0.0 passive=yes port=500
auth-method=pre-shared-key secret="secret"
generate-policy=port-override policy-template-group=default
exchange-mode=main-l2tp send-initial-contact=yes nat-traversal=no
hash-algorithm=sha1 enc-algorithm=3des dh-group=modp1536 lifetime=1d
dpd-interval=2m dpd-maximum-failures=5

/ip ipsec policy> print
2 D src-address=192.168.5.0/24 src-port=any dst-address=192.168.0.0/24 dst-port=any protocol=all action=encrypt
level=require ipsec-protocols=esp tunnel=yes sa-src-address=1.1.1.1 sa-dst-address=2.2.2.2 priority=2

/ip firewall nat> print
0 chain=srcnat action=accept src-address=192.168.5.0/24 dst-address=192.168.0.0/24 log=no log-prefix=""
2 chain=srcnat action=masquerade out-interface=pptp-out1 log=no log-prefix=""

[spw@MikroTik] /tool> traceroute
address: 192.168.0.1
# ADDRESS LOSS SENT LAST AVG BEST WORST STD-DEV STATUS
1 172.16.100.51 0% 7 1.2ms 1.2 1.1 1.5 0.1
2 188.124.228.1 0% 7 2.8ms 10.8 1.9 39.9 14.2
3 188.124.228.1 14.. 7 2.2ms 2.9 2 4.1 0.8 host unreachable from 188.124.228.1

Что за IP-адреса при трассировке непонятно...

Люди добрые, как быть, что делать? Как объединить сети за Mikrotik'ом и за Kerio?

UPD1:
Пинги и tracerout также не работают с Kerio

Answer 1

[demudrol]

Всё оказалось слишком просто. Kerio и Mikrotik не могут общаться если в Policies у Mikrotik'а есть более чем одна сеть. После того как в Kerio убрал галку в Local Networks "Use automatically determined local networks" и оставил в "Custom Networks" только нужную одну сеть, то всё заработало.

Answer 2

[Кирилл Васильев]

1) в нат добавьте также обратную запись
chain=srcnat action=accept src-address=192.168.0.0/24 dst-address=192.168.5.0/24 log=no log-prefix=""
когда делаете трассировку указывайте src-adress соответственно он у вас должен быть из сети 192.168.5.0/24

Comments

[demudrol]

Кирилл, спасибо за ответ!
Добавил
/ip firewall nat> prin
0 chain=srcnat action=accept src-address=192.168.5.0/24 dst-address=192.168.0.0/24

1 chain=srcnat action=accept src-address=192.168.0.0/24 dst-address=192.168.5.0/24

2 chain=srcnat action=masquerade out-interface=pptp-out1 log=no log-prefix=""

При трассировке:
traceroute 192.168.0.1 src-address=192.168.5.1
# ADDRESS LOSS SENT LAST AVG BEST WORST STD-DEV STATUS
1 100% 1 timeout
2 100% 1 timeout

Не помогло...

[Кирилл Васильев]

demudrol: а что в логах, когда ipsec не может согласоваться на микроте валятся логи

[demudrol]

Кирилл Васильев: в логах ничего про ошибки с IPSEC, само соединение устанавливается нормально. На Kerio тоже никаких ошибок в логах нету. Подключал дополнительное логирование, ошибок тоже не нет

[demudrol]

Кирилл Васильев:
Ошибки в Mikrotik появились:
18:44:50 ipsec,error phase1 negotiation failed due to time up 1.1.1.1[500]<=>2.2.2.2[500] c52fe75cb3771a05:62bbb9c7f4a4676c
18:45:01 ipsec,error phase1 negotiation failed due to time up 1.1.1.1[500]<=>2.2.2.2[500] a1f4f01fb6a9ad87:3f809637ab41f62b
18:45:13 ipsec,error phase1 negotiation failed due to time up 1.1.1.1[500]<=>2.2.2.2[500] 49dedf94d9e4c56f:f49b00c058f26e16
18:45:34 ipsec,error phase1 negotiation failed due to time up 1.1.1.1[500]<=>2.2.2.2[500] b2749b10085a7c4e:cddf94c952649fb0
18:45:46 ipsec,error phase1 negotiation failed due to time up 1.1.1.1[500]<=>2.2.2.2[500] 8c4a3dfe21b3b905:2d1dbdfc34cfd364
18:45:58 ipsec,error phase1 negotiation failed due to time up 1.1.1.1[500]<=>2.2.2.2[500] 5597656af7b93b36:9f931b2c75137f4a
18:46:19 ipsec,error phase1 negotiation failed due to time up 1.1.1.1[500]<=>2.2.2.2[500] c6c2e32162db6368:f6601eef85d648fc
18:46:31 ipsec,error phase1 negotiation failed due to time up 1.1.1.1[500]<=>2.2.2.2[500] e93b5286de06969a:b4f2956e8f04a799

[Кирилл Васильев]

demudrol: если peer с двух сторон настроенны одинаковы, то проверяйте фильтр в фаерволе, скорее всего там затык