Перейти к содержимому
Калькуляторы

Не работает FortiClient через микротик

Добрый день,

 

В качестве домашнего роутера использую RB951G-2HnD, по работе периодически приходится использовать remote access VPN к заказчикам.

 

Обнаружил, что через микротик не работает FortiClient(с другими роутерами все нормально), при чем независимо от способа подключения ipsec или ssl.

Устанавливается соединение, но в VPN клиенте не видно никакого трафика в обратном направлении, тестировалось на двух подключениях в разные компании.

Пробовал сбрасывать микротик в дефолт и настраивать с конфигом по умолчанию из quick set, симптомы те же.

 

Может быть кто небудь сталкивался с подобным.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Какие порты использует этот софт? Вдруг они пересекаются со служебными портами микротика.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

44 minutes ago, Saab95 said:

Какие порты использует этот софт? Вдруг они пересекаются со служебными портами микротика.

По идее, вот полный список портов:

https://help.fortinet.com/fclient/olh/5-6-6/FortiClient-5.6-Admin/400_Installation_prep/0600_Required services ports.htm]

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

14 часов назад, v.v.s. сказал:

Устанавливается соединение, но в VPN клиенте не видно никакого трафика в обратном направлении, тестировалось на двух подключениях в разные компании. 

 

Пробовал сбрасывать микротик в дефолт и настраивать с конфигом по умолчанию из quick set, симптомы те же.

Может, у Вас IP-адреса пересекаются? Не должен микрОтик влиять на трафик внутри защищенного соединения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 minutes ago, TheUser said:

Может, у Вас IP-адреса пересекаются? Не должен микрОтик влиять на трафик внутри защищенного соединения.

Нет, таких адресов которые выдаются в ВПН или должны быть доступны через него у мня точно нет.

Опять же, через другой роутер либо напрямую у меня все работает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@v.v.s. друг я тебе хочу помочь и как многие из тех кто сидит на форуме и у кого есть микротики в продакшене.

Но!!! Я сегодня пил кофе и на дне кружке не увидел предсказание по поводу твоего конфига как и многие другие.

 

З.ы. нарисуй схему, выложи конфиг и шанс того, что тебе помогут(возможно не сразу) возрастёт в несколько раз. 

 

З.з.ы. в каждой шутке есть доля шутки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Схема самая простая:

FortiClient----Microtik----Internet----FortiGate

 

По поводу конфига, проблема проявляется даже на дефолтном конфиге

default.rsc

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@v.v.s. То есть просто меняете ротуер на другой, и туннель сразу работает, с того же компа? С высокой вероятностью на Fortigate не включен NAT Traversal. С другими роутерами работает за счет NAT helpers для IPSEC, но в Микротиках таких "удобств" нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

11 hours ago, jffulcrum said:

@v.v.s. То есть просто меняете ротуер на другой, и туннель сразу работает, с того же компа? С высокой вероятностью на Fortigate не включен NAT Traversal. С другими роутерами работает за счет NAT helpers для IPSEC, но в Микротиках таких "удобств" нет. 

Да, при чем аналогичная ситуация для SSL VPN, на сколько я понимаю, для него никаких хелперов не нужно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Короче, мистика какая-то))

Запустил вайршарк, обнаружил, что он не видит мою сетевую карту.

Подключил другую сетевуху, ее и снифер увидел и vpn нормально запустился.

Видимо, дело все таки не в микротике, а в кривых драйверах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, v.v.s. сказал:

Короче, мистика какая-то))

Запустил вайршарк, обнаружил, что он не видит мою сетевую карту.

Подключил другую сетевуху, ее и снифер увидел и vpn нормально запустился.

Видимо, дело все таки не в микротике, а в кривых драйверах.

Готов поспорить, что проблемы не было, если бы изначально было установлено ДВА микротика.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да, когда везде микротики используются, и никаких других вендоров на сети нет, все работает без проблем и настраивается парой кликов мышки.

Не зря рекомендуют придерживаться одного производителя.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 31.05.2020 в 19:00, Saab95 сказал:

Да, когда везде микротики используются, и никаких других вендоров на сети нет, все работает без проблем и настраивается парой кликов мышки.

Не зря рекомендуют придерживаться одного производителя.

Ну а тем у кого мышки нет что делать то? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тут как-то любят из одной крайности в другую, то в консоли торчать, то все мышкой. Можно и так и сяк.

Есть очень много дел, которые решаются парой нажатия мышки, например посмотреть что происходит. А какие-то более полные настройки можно и командами вставить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.