Сервер vpn не отвечает kerio что делать
Перейти к содержимому

Сервер vpn не отвечает kerio что делать

  • автор:

Kerio VPN client не подключается к серверу. У других всё работает.Что делать?

Установил Kerio VPN Client для безопасного подключения.
Раньше всё было нормально, я успешно подключался к серверу
Но почему-то теперь он у меня не работает.
С сервером всё в порядке, даже установил новую версию, но он все равно не пашет
У других всё работает!
Скажите, что делать?

Дополнен 12 лет назад

Исключение в брандмауере не помогло

Голосование за лучший ответ

Сервер vpn не отвечает kerio что делать

Сообщения: 7
Благодарности: 0

VPN-сервер используется для связи концов VPN-туннелей и клиентов с помощью Kerio VPN Клиента.
Доступ к VPN-серверу можно получить на вкладке Интерфейсы (Interfaces)
раздела Настройки/Интерфейсы (Configuration / Interfaces) как к отдельному интерфейсу.

Заходите в эту вкладку и видите среди интерфейсов нужный нам VPN Server. Два раза кликаем
на интерфейсе VPN-сервера — открывается диалог, с помощью которого вы можете установить
параметры VPN-сервера.

В новом окне нужно активизировать VPN-сервер (Enable VPN server). Также нужно указать IP адрес сети для VPN-клиентов.
К примеру, всем локальным пользователям можно назначить адреса типа 192.168.100.xxx, а всем VPN-клиентам 192.168.101.xxx.
При первом запуске после установки WinRoute по умолчанию выбирает свободную подсеть, которую будет использовать VPN.
При стандартных условиях менять исходную сеть нет необходимости. Нужно убедиться, что подсеть VPN-клиентов не вступает в конфликт с локальной подсетью!

На вкладке DNS нужно указать DNS серверы, которые будут назначены VPN-клиентам. Это может стать необходимым в доменной сети, где необходимо получения доступа к компьютерам по NS-именам.

«Использовать специальные серверы DNS (Use specific DNS servers)» — с помощью этой опции можно указать первичный и вторичный DNS серверы для VPN-клиентов. Это может пригодиться,
если в локальной сети используется не DNS-Forwarder, а другой DNS сервер.

Вкладка Advanced (Дополнительное). Она нужна далеко не всем, но все же рассмотрим ее поподробнее.

Слушать порт (Listen on port) — Порт, на котором VPN-сервер принимает подключения извне (по протоколам TCP, и UDP).
По умолчанию установлен порт 4090 (в стандартных условиях что-либо изменять порт нет смысла и необходимости).

Если VPN-сервер уже запущен, в момент смены порта связь со всеми VPN-клиентами автоматически будет разрываться.

Если VPN-сервер не может работать на заданном порту (порт может использоваться другой службой), при нажатии на кнопку
Применить (Apply) в журнале ошибок появится сообщение об ошибке4103:10048) Socket error: Unable to bind socket for service to port 4090.

(5002) Failed to start service «VPN»

bound to address 192.168.1.1.

Для того, чтобы убедиться, что заданный порт действительно свободен, нужно просмотреть Журнал ошибок и проверить, не появлялись ли подобные записи.

Пользовательские маршруты (Custom Routes)

Здесь вы можете указать другие сети, к которым сможете установить маршруты через VPN туннель. Изначально определены маршруты ко всем без исключения локальным подсетям со стороны VPN-сервера.

Полезный совет: используйте маску 255.255.255.255, чтобы определить маршрут к узлу. Это может вам помочь, к примеру, при добавлении маршрута к узлу в DMZ (демилитаризованная зона) со стороны VPN сервера.

Дальше следует создать правило для VPN-пользователей.

Первое правло пропускает пользователей к VPN-серверу из интернета по протоколу Kerio VPN (порт 4090).

Следующее правило пропускает авторизированных и подключенных VPN-пользователей, в локальную сеть и к серверу. Вместо первого правила можно создать группу IP-адресов и включить в неё все IP-адреса клиентов.

Здесь будут отображаться подключенные пользователи. В настройках пользователей можно указать, будет ли VPN-сервер выдавать клиентам адреса автоматически, а можно за каждым клиентом закрепить определенный IP адрес.

Все сделал по статье, VPN соеденение поднимается. Но пингуется только сервер на котором стоит Kerio Winroute а все остальная сетка не видна. Скажите может где в правилах надо что нибудь дописать?
Или хоть куда копать?

Сервер vpn не отвечает kerio что делать

На одном компе инет и керио. Надо по VPN соединиться с другим компом в этой же сети. Я сделал правило которое инет траффик на порт 1723 перенаправляет на VPN сервак на порт 1723. В итоге когда клиент соединяется то вылазит ошибка 619.
Видимо я не все разрешил в керио. что еще надо разрешить, что бы через керио проложить VPN канал?

про молнию отдельная ветка есть
Разреши все, завипиэнся, читай логи что куда, а потом разрешай что надо
(0) а про GRE забыл?

IPSec / SSL/TLS / OpenVPN / PPTP / L2TP / L2TPv3 / VPN-Q / MPVPN / MPLS / L2F ??

стандартный виндовый. Сервак Windows 2003. Клиенты XP. PPTP.

Я добавил только одно правило — инет в файрвол на 1723 перенаправлять на 192.168.1.2:1723. что еще надо добавить?

(7)1723 — это канал, еще на авторизацию надо открыть. ответь на (5)
в зависимости от ответа на (5) сервис соответствующий надо добавить (PPTP например)

(7) если PPTP, то ещё разрешить GRE (IP Protocol # 47)

только не спрашивай, как это делать в керио.

добавлял и GPE и PPTP в это правило. не помогало. Клиент отваливается с ошибкой 619.

(5) сделал в Винде 2003 принимать входящие соединения. Пробовал в локалке с типом VPN PPTP, работало. Попробовал удаленно, ошибка 619.

может надо обратное правило делат, что бы из локалки в инет разрешал PPTP и GPE?

(3) — «В 1953 году биохимики С. Миллер и Г. Юри показали, что одни из «кирпичиков» жизни — аминокислоты могут быть получены путем пропускания электрического разряда через воду, в которой растворены газы «первобытной» атмосферы Земли (метан, аммиак и водород). Спустя 50 лет другие исследователи повторили эти опыты и получили те же результаты. Таким образом, научная теория зарождения жизни на Земле отводит удару молнии основополагающую роль.»

УВЕЛИЧИВАЮ продожительность жизни методом удара по голове. 100 $ за 1 год. Записывайтесь.

ау. есть тут кто?

Micriosoft VPN через КЕРИО

Настроил правило в Керио(версия 6.1.4 pacth 2)

Source Destination Service Action NAT Protocol inscpector

Internet Firewall PPTP,GRE Permit map 192.168.0.3 PPTP

Цитата :
[08/Jun/2006 13:17:43] PERMIT \»VPN-Извне\» packet from Internet, proto:47, len:57, ip:81.x.xxx.xxx -> 62.141.79.52, plen:37
[08/Jun/2006 13:17:43] PERMIT \»VPN-Извне\» packet to Ethernet, proto:47, len:57, ip:81.x.xxx.xxx -> 192.168.6.20, plen:37
[08/Jun/2006 13:17:47] PERMIT \»VPN-Извне\» packet from Internet, proto:47, len:57, ip:81.x.xxx.xxx -> 62.141.79.52, plen:37
[08/Jun/2006 13:17:47] PERMIT \»VPN-Извне\» packet to Ethernet, proto:47, len:57, ip:81.x.xxx.xxx -> 192.168.6.20, plen:37
[08/Jun/2006 13:17:51] PERMIT \»VPN-Извне\» packet from Internet, proto:47, len:57, ip:81.x.xxx.xxx -> 62.141.79.52, plen:37
[08/Jun/2006 13:17:51] PERMIT \»VPN-Извне\» packet to Ethernet, proto:47, len:57, ip:81.x.xxx.xxx -> 192.168.6.20, plen:37
[08/Jun/2006 13:17:55] PERMIT \»VPN-Извне\» packet from Internet, proto:47, len:57, ip:81.x.xxx.xxx -> 62.141.79.52, plen:37
[08/Jun/2006 13:17:55] PERMIT \»VPN-Извне\» packet to Ethernet, proto:47, len:57, ip:81.x.xxx.xxx -> 192.168.6.20, plen:37
[08/Jun/2006 13:17:59] PERMIT \»VPN-Извне\» packet from Internet, proto:47, len:57, ip:81.x.xxx.xxx -> 62.141.79.52, plen:37
[08/Jun/2006 13:17:59] PERMIT \»VPN-Извне\» packet to Ethernet, proto:47, len:57, ip:81.x.xxx.xxx -> 192.168.6.20, plen:37
[08/Jun/2006 13:18:03] PERMIT \»VPN-Извне\» packet from Internet, proto:47, len:57, ip:81.x.xxx.xxx -> 62.141.79.52, plen:37
[08/Jun/2006 13:18:03] PERMIT \»VPN-Извне\» packet to Ethernet, proto:47, len:57, ip:81.x.xxx.xxx -> 192.168.6.20, plen:37
[08/Jun/2006 13:18:07] PERMIT \»VPN-Извне\» packet from Internet, proto:47, len:57, ip:81.x.xxx.xxx -> 62.141.79.52, plen:37
[08/Jun/2006 13:18:07] PERMIT \»VPN-Извне\» packet to Ethernet, proto:47, len:57, ip:81.x.xxx.xxx -> 192.168.6.20, plen:37
[08/Jun/2006 13:18:11] PERMIT \»VPN-Извне\» packet from Internet, proto:47, len:57, ip:81.x.xxx.xxx -> 62.141.79.52, plen:37
[08/Jun/2006 13:18:11] PERMIT \»VPN-Извне\» packet to Ethernet, proto:47, len:57, ip:81.x.xxx.xxx -> 192.168.6.20, plen:37
[08/Jun/2006 13:18:15] PERMIT \»VPN-Извне\» packet from Internet, proto:TCP, len:56, ip/port:81.x.xxx.xxx:4471 -> 62.141.79.52:1723, flags: ACK PSH , seq:1562627426 ack:4286982064, win:65347, tcplen:16
[08/Jun/2006 13:18:15] PERMIT \»VPN-Извне\» packet to Internet, proto:TCP, len:188, ip/port:192.168.6.20:1723 -> 81.x.xxx.xxx:4471, flags: ACK PSH , seq:4286982064 ack:1562627442, win:17156, tcplen:148
[08/Jun/2006 13:18:15] PERMIT \»VPN-Извне\» packet from Internet, proto:TCP, len:56, ip/port:81.x.xxx.xxx:4471 -> 62.141.79.52:1723, flags: ACK PSH , seq:1562627442 ack:4286982212, win:65199, tcplen:16
[08/Jun/2006 13:18:15] PERMIT \»VPN-Извне\» packet to Internet, proto:TCP, len:56, ip/port:192.168.6.20:1723 -> 81.x.xxx.xxx:4471, flags: ACK PSH , seq:4286982212 ack:1562627458, win:17140, tcplen:16
[08/Jun/2006 13:18:15] PERMIT \»VPN-Извне\» packet to Internet, proto:TCP, len:40, ip/port:192.168.6.20:1723 -> 81.x.xxx.xxx:4471, flags: FIN ACK , seq:4286982228 ack:1562627458, win:17140, tcplen:0
[08/Jun/2006 13:18:15] PERMIT \»VPN-Извне\» packet from Internet, proto:TCP, len:40, ip/port:81.x.xxx.xxx:4471 -> 62.141.79.52:1723, flags: FIN ACK , seq:1562627458 ack:4286982229, win:65183, tcplen:0
[08/Jun/2006 13:18:15] PERMIT \»VPN-Извне\» packet to Internet, proto:TCP, len:40, ip/port:192.168.6.20:1723 -> 81.x.xxx.xxx:4471, flags: ACK , seq:4286982229 ack:1562627459, win:17140, tcplen:0

И после этого клиент отпадывает с Ошибка 619, а если клиент видна 2003 — то ошибка 682? В чем косяк?

(17)Kerio и VPN сервак это разные хосты?
+18) Просто PPTP как и Kerio VPN не работают под натом

(18) NAT нету на этом правиле.
В списке оно самое первое. А в других правилах которые ниже NAT есть.
Причем работает так — если из локальной сети подрубаться через Керио то все нормально. Если из инета, то не работает.
Думаешь стоит вообще NAT отключить на всех правилах?

(20)Так ведь локальные клиенты с сервером VPN находятся в одной подсети? Может они не натятся вовсе, а напрямую к серваку подрубаются.
Давай сюда Traffic Policy и логи при подключении клиентов из локальной сети

Kerio Control IPsec VPN.

Назначением описываемого далее VPN является подключение через Kerio Control пользователей, расположенных за пределами локальной сети организации к серверу в локальной сети для работы со спец. ПО. Все участники схемы подключены в Интернет.

VPN создан с помощью Kerio Control 9.3.5. Керио установлен, настроен и работает. У ЛВС назначен внешний статический IP-адрес. Для VPN использован протокол IPsec (сокращение от IP Security) wiki. Клиенты подключаются через встроенное в Windows приложение для VPN.

Порядок действий.

1.Активация.

Активация VPN-сервера в Kerio Control происходит на вкладке бокового меню «Интерфейсы». Необходимо кликнуть по VPN-серверу мышкой два раза и войти в настройку. Для добавления нового VPN в нижней части окна нажмите на кнопку «Добавить» и выберите желаемый способ из раскрывшегося списка.

2.Настройки VPN-сервера.

Переходим в свойства VPN-сервера и выполняем следующие настройки.

1.Включить сервер IPsec VPN – отмечаем галочкой.

2.VPN-сеть: 192.168.100.0 — удобный IP-адрес для сети VPN.

3.Маска 255.255.255.0 – маска, соответствующая IP.

4.Сертификат первоначально не используем. Когда VPN заработает можно добавить сертификат.

5.Использовать сертификат для клиентов – галочку не ставим.

6.Использовать предопределенный ключ: указываем сложный ключ-пароль из латинских букв разного регистра, цифр и спец.символов.

7.Включить аутентификацию MS-CHAPv2 – отмечаем галочкой.

На вкладках KerioVPN, DNS, WINS настройки не изменялись. Если Керио привязан к домену, в настройках DNS нужно указать IP-адрес DC.

Нажимаем ОК для сохранения настроек. Сервер IPsec VPN начнет работать.

3.Правила трафика.

Для работы VPN понадобятся разрешающие правила трафика. Переходим в боковом меню в раздел «Правила трафика» и создаем новые или редактируем существующие правила. Должно получится 3 правила как на картинке ниже.

Internet access (NAT) – правило позволяет выходить в Интернет. В графе «Источник» должны быть указаны «Клиенты VPN».

Local traffic – правило разрешает локальный трафик. VPN клиенты получают доступ к общим ресурсам в локальной сети.

VPN – правило разрешает подключение из Интернета в Керио по Ipsec и Kerio VPN.

4.Настройка пользователя VPN в сервер.

В разделе пользователей нужно указать кому можно подключатся к VPN. Для этого выбираем пользователя из списка.

Открываем редактирование пользователя и на вкладке права отмечаем галочку «Пользователь может подключ., используя VPN».

На вкладке «Адреса» каждому клиенту можно назначить статический IP-адрес в VPN.

Нажимаем ОК для сохранения введенных параметров.

Настройка VPN подробно расписана в официальном мануале Керио.

5.Настройка VPN-клиента.

Клиентами VPN будут компьютеры с ОС Windows 7 и Windows 10, расположенные вне локальной сети и подключенные к Интернету.

Создадим новое VPN подключение в Центре управления сетями и общим доступом. Для Windows 7-10 этот процесс почти одинаковый.

Выбираем создание нового подключения или сети.

Выбираем вариант подключения – Подключение к рабочему месту.

Если ранее в компьютере уже создавались VPN подключения, то на возникший вопрос – «Использовать имеющееся подключение» выбираем ответ – «Нет, создать новое».

Выбираем «Использовать мое подключение к Интернету (VPN).

В следующем шаге мастера указываем внешний статический IP адрес Керио. Имя указываем любое понятное.

Указываем имя VPN пользователя в Керио и его пароль.

Через некоторое время после нажатия кнопки «Создать» подключение будет готово.

Отредактируем свойства созданного VPN подключения в сетевых соединениях.

На вкладке «Безопасность» вводим следующие настройки.

1.Тип VPN: L2TP Ipsec VPN.

2.Шифрование данных: обязательное (отключится, если нет шифрования).

3.Разрешить следующие протоколы: Протокол Micrsoft CHAP версии 2 (MS-CHAP v2)

На этой же вкладке «Безопасность» переходим в дополнительные свойства.

1.Отмечаем точкой настройку – «Для проверки подлинности использовать предварительный ключ.

2.Вводим ключ-пароль, такой же как в настройках Керио.

3.Нажимаем ОК для сохранения.

Переходим на вкладку «Сеть».

1.Выбираем Протокол Интернета версии 4 (TCP/IP).

Нажимаем кнопку «Свойства».

Переходим в раздел дополнительных свойств.

На вкладке параметры IP есть настройка «Использовать основной шлюз в удаленной сети».

Если галочка стоит, то весь трафик пойдет через Керио. В этом случае его можно контролировать, и он попадает под все правила и настройки Kerio Control. Недостаток в замедлении скорости передачи.

Если галочку убрать, то пользователь VPN будет использовать свой стандартный шлюз для выхода в Интернет, а в Керио будут идти только пакеты для назначенных целей.

В результате тестов установлено, при отсутствии выше названой галочки у клиента VPN отсутствует доступ к внутренним ресурсам сети.

Проблема решается статическим маршрутом на ПК клиента VPN.

1.В командной строке вводим

route print

для уточнения номера соединения. (VPN-KERIO = 65)

При каждом новом создании, пересоздании VPN-соединения номер меняется.

route add 192.168.1.0 mask 255.255.255.0 192.168.100.1 metric 1 if 65 — p

192.168.1.0 mask 255.255.255.0 — сеть назначения с маской

192.168.100.1 – IP-адрес VPN-сервера (VPN шлюз)

metric 1 – метрика

if 65 – номер интерфейса

-p – сохранение маршрута после перезагрузки ПК.

Удаление маршрута (если понадобится).

route delete 192.168.1.0 mask 255.255.255.0 192.168.100.1 metric 1 if 65 — p

6.Подключение VPN.

Чтоб активировать VPN, нажимаем на значок компьютера (сеть) в нижней правой части экрана. В раскрывшемся списке выбираем нужное соединение и нажимаем кнопку «Подключение».

В открывшемся подключении вводим логин и пароль учетной записи пользователя VPN. Нажимаем кнопку «Подключение».

Чтоб это окно не появлялось каждый раз можно убрать галочку «Запрашивать имя, пароль, сертификат и т.д.» в свойствах подключения на вкладке «Параметры».

Если все настройки выполнены правильно и нет проблем с Керио, его активацией, дистрибутивом, версией и прочих нюансов, то произойдет VPN подключение.

Можно пробовать пинговать сервер в локальной сети с компьютера VPN клиента. Часто доступу препятствует антивирус. Так же можно проверить доступ к общим папкам в локальной сети или подключение к удаленному рабочему столу сервера.

В меню Kerio Control отобразятся подключенные пользователи в разделе «Клиенты VPN».

7.Автозапуск VPN при включении ПК.

Все действия выполняются на ПК клиента VPN. Автозапуск осуществляется через добавления параметра в реестре.

1.Входим в реестр Windows. Win+R >> regedit

2.Переходим по ветке каталогов.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run – автозапуск для всех пользователей.

(HKEY_CURRENT_USER – только для текущего пользователя)

3.Создаем новый строковый параметр со значением rasdial VPN-KERIO admin Password12345.

vpn – любое понятное имя латиницей

rasdial – приложение, которое запускает VPN

VPN-KERIO – название VPN соединения (как при создании)

admin – имя VPN пользователя в Керио

Password12345– пароль VPN пользователя в Керио

Нажимаем ОК и перезагружаем ПК.

Теперь после входа в учетную запись будет появляться командная строка с ходом подключения к VPN.

VPN подключится автоматически.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *