Кто делал IPsec между Kerio и DFL Как устройуство в филиале? Свобсно в 8 версии керио заявлен ipsec, может кто уже делал?

вы хотите получить мануал !?
или уже что то делали ?!

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Не думаю, что принципы построения IPSec на DFL'ке чем-то кардинально отличается от Керио.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Зачем мануал,,я принципиально хочу понять, делал кто или нет, работает или нет,,да и всё,,,как настроить уж разберусь,,просто не хочеться пустой работой заниматься,

Если DFL поддерживает только DES, а скорее так и будет, то Kerio необходим минимум 3DES и с таким обрезанным DFL туннель не установит. Требования Kerio см. тут _http://kb.kerio.com/product/kerio-control/vpn/configuring-ipsec-vpn-tunnel-kerio-control-and-another%09device-1390.html Причём чтобы не было проблем с установкой туннеля рекомендую сразу прописать для нужного туннеля в Winroute.cfg переменную ike с нужным алгоритмом шифрования, например 3des-sha1-modp1024 См.комментарий на вышеприведённой страничке Kerio. У меня без жёсткого указания в winrout.cfg шифра интернет-центр NBG460N EE никак не хотел стабильно работать с Kerio по IPsec. А если добьетесь от своего DFL 3DES или AES, то всё получиться.

Для более сильного шифрования достаточно прошить прошивку for WW

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

У меня работают DSR.
Прошивку по любому ставить WW.
Но есть одно но, Kerio по какой то причине не хочет обновлять ключи на первой фазе IPSec, из-за этого происходит обрыв каждые 3 часа по умолчанию, обещают исправить в версии 8.4
А т.к. Kerio работает на базе Linux, то к ней прикручен и соответственный модуль IPSec, где можно задать любые параметры.

<variable name="Ike">aes128-sha1-modp1024</variable>
<variable name="Esp">aes128-sha1</variable>
<variable name="DpdAction">restart</variable>
<variable name="ForceEncaps">0</variable>
<variable name="CustomOptions">dpddelay=30s</variable>
<variable name="CustomOptions">dpdtimeout=120s</variable>
<variable name="CustomOptions">ikelifetime=24h</variable>
<variable name="CustomOptions">lifetime=1h</variable>

Вот что-то типа того желательно добавить

Я Сделал. Теперь пришёл за помощью =)). Задача стояла следующая - связать 2 АТС Panasonic TDA100 с платами IP-GW16 (платы IP-шлюза) в каждой. Одна в России, другая в Белорусии. С обоих сторон по белому IP, но сами станции за NAT. С нашей стороны DFL-260E, там Kerio Control 8.3.0. Так как платы шлюза пользуют H.323 связать АТС-ки напрямую с пробросом Н.323 за NAT не получилось. Убив килограмм нервных клеток на этом перешёл к варианту с VPN. DFL обновлён до 2.60.02.02 WW. Тоннель устанавливается. Но рвётся каждые несколько секунд. Точнее сказать, что именно рвётся не могу, вижу только, что Керио каждые несколько секунд переподключается к DFL. Почему происходит переподключение и какая сторона в этом виновата - не понимаю. При чём связь (телефонная) устанавливается. Выглядит примерно так: Несколько секунд слышно в обе стороны, далее в какую-нибудь одну, через несколько секунд снова слышно в обе, потом опять в какую-нибудь одну, при чём сам звонок не прерывается. В башке уже каша. вариантов нет. Подскажите, куда лезть. На DFL в логе из негатива только такие вещи
Info IPSEC
1803024

xauth_exchange_done

statusmsg="Authentication failed"

При удачном установлении связи в конце инициализации получаю
Info IPSEC
1803021

ipsec_sa_statistics

done=4138 success=2070 failed=2068

Из чего делаю вывод, что авторизация проходит через раз

Подскажите какие настройки выложить. Сам или лишнего накидаю или всё равно что-нибудь не укажу. Спасибо

сделайте PPTP и пусть керио конектится к DFL .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Столько сил положено... Счастье же уже где-то за углом. Хочется добить, характер такой. Или в этой связке не реально?

Насколько я понимаю, у Вас вот такая схема:
{локалка1, АТС1 }--lan--[DFL1]--------IPSec-------[DFL2]--lan--{АТС2, локалка2 }

На самом деле странно, почему у вас вылетает авторизация...
Попробуйте из первой во вторую локалку поставить на постоянный пинг какие-нибудь хосты.
Это будет поддерживать в тонусе состояние тоннеля.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Вместо DFL2 Kerio Connect 8.3.0

А на счёт тонуса - KeepAlive разве не тем же занимается? и с ним и без него пробовал.

Вот ещё кусок лога
2014-12-17
17:56:15 Warning IPSEC
1800109


ike_quickmode_failed

local_ip=217.79.ххх.ххх remote_ip=178.124.ххх.ххх cookies=f967b1f666646a50835dac6bb1e165c3 reason="Timeout"
2014-12-17
17:56:15 Warning IPSEC
1803020


ipsec_sa_failed
no_ipsec_sa
statusmsg="Timeout"
2014-12-17
17:56:15 Info IPSEC
1800102


ipsec_event

message=" Remote Proxy ID 10.189.69.0/24 any"
2014-12-17
17:56:15 Info IPSEC
1800102


ipsec_event

message=" Local Proxy ID 192.168.10.0/24 any"


Вобще не очень нравится присутствие Remote Proxy ID 10.189.69.0/24 any"
10.189.69.0/24 - диапазон из которого VPN сервер на Керио (10.189.69.1) раздаёт IP VPN-клиентам
Создаётся впечатление, что они по-очереди друг к другу подключаются. Когда Керио к DFL коннектится - всё нормально. Когда наоборот - получаем в маршрут 10.189.69.0/24 который кладёт тоннель...

Сунул эту дебильную виртуальную сеть в правила. То есть на стороне DFL Вместо Remote_Net создал группу сетей, куда загнал реальную удалённую локальную сеть и виртуальную сеть самого VPN сервера и подставил эту группу в настройки IPSec и в правила. Тонель пока ни разу не рвался и в логах пусто. Голос тестить уже не с кем, этим займусь завтра.

Блин... Тоннель есть, звука нет. вообще и в обе стороны. Звонок идёт. Не понимаю, куда сунуть этот виртуальный интерфейс в Керио, чтоб он в канал не лез...