Jump to content
Калькуляторы

ZyWALL USG 50 не пускает L2Tp и KerioVPN внутрь

Здравствуйте, очень нужна помощь. Не могу подключиться к Kerio Controll который находится в одной из подсетей. 

Впервые столкнулся на практике с подобной штукой ZyWALL USG 50 .

Ситуация такая: 

В Wan порт приходит интернет соединение от провайдера по DHCP 

Далее создано Port Role 2 сети Lan1 192.168.100.1 и Lan 2 192.168.200.1

Интернет делится между ними. Все настройки отключены или удалены. Фаервол и т.п. 

Кроме NAT

В нате настраивал, что все входящие соединения с любыми портами будут уходить в LAN2 . Там стоит Kerio Control с VPN Server. 

 

Настройка NAT: 

Incoming Interface: wan1

Original IP:User Defined

User-Defined Original IP: x.x.x.x

Mapped IP: User Defined

User-Defined Mapped IP:192.168.200.33

Port Mapping Type: Ports 

Protocol Type:UDP

Original Start Port:500

Original End Port:500

Mapped Start Port:500

Mapped End Port:500
Еще пробросил порты 1701 , 51, 50, 4500  так же.

Но соединения не происходит. Говорит Запрос на установление соединения отклонен сервером. 

Очень прошу помощи. 

 
 

Share this post


Link to post
Share on other sites
32 минуты назад, EvRo сказал:

Здравствуйте, очень нужна помощь. Не могу подключиться к Kerio Controll который находится в одной из подсетей. 

Впервые столкнулся на практике с подобной штукой ZyWALL USG 50 .

Ситуация такая: 

В Wan порт приходит интернет соединение от провайдера по DHCP 

Далее создано Port Role 2 сети Lan1 192.168.100.1 и Lan 2 192.168.200.1

Интернет делится между ними. Все настройки отключены или удалены. Фаервол и т.п. 

Кроме NAT

В нате настраивал, что все входящие соединения с любыми портами будут уходить в LAN2 . Там стоит Kerio Control с VPN Server. 

 

Настройка NAT: 

Incoming Interface: wan1

Original IP:User Defined

User-Defined Original IP: x.x.x.x

Mapped IP: User Defined

User-Defined Mapped IP:192.168.200.33

Port Mapping Type: Ports 

Protocol Type:UDP

Original Start Port:500

Original End Port:500

Mapped Start Port:500

Mapped End Port:500
Еще пробросил порты 1701 , 51, 50, 4500  так же.

Но соединения не происходит. Говорит Запрос на установление соединения отклонен сервером. 

Очень прошу помощи. 

 
 

Не нужно все входящие с любыми портами настраивать. Нужно настроить только нужные порты и отправить их на Керио. Кстати, а сама эелезка не может ВПНы поддерживать? Зачем вам Керио?

Share this post


Link to post
Share on other sites
11 минут назад, VolanD666 сказал:

Не нужно все входящие с любыми портами настраивать. Нужно настроить только нужные порты и отправить их на Керио. Кстати, а сама эелезка не может ВПНы поддерживать? Зачем вам Керио?

Спасибо за ответ. Железка может VPN , но тут 2 независимых сети. для Lan 1 только интернет нужен, для Lan2 нужен туннель во внутреннюю подсеть с керио где есть другие сервера и разные сервисы. Так сложиись, что в силу обстоятельств, эти сети стали недавно завязаны тольео одним именно этим каналом и тут поделать ничего нельзя. 

 

Кроме этого, читал гдето тут, что железка плохо поддерживает более 10 vpn туннелей, а нужно больше раза в полтора два. На то и керио. 

Пробовал расшарить все порты от 1 до 65000, а так же удалить 1-65000 и настроить как сейчас только 50, 51, 1701 и 4500 как описано в форуме керио. что вроде бы эти порты керио слушает. Результат одинаковый. При прочих и как 1:1 и как Virtual Service/  Сейчас попробую оставить только 1701 порт. 

Share this post


Link to post
Share on other sites
1 минуту назад, EvRo сказал:

Спасибо за ответ. Железка может VPN , но тут 2 независимых сети. для Lan 1 только интернет нужен, для Lan2 нужен туннель во внутреннюю подсеть с керио где есть другие сервера и разные сервисы. Так сложиись, что в силу обстоятельств, эти сети стали недавно завязаны тольео одним именно этим каналом и тут поделать ничего нельзя. 

 

Кроме этого, читал гдето тут, что железка плохо поддерживает более 10 vpn туннелей, а нужно больше раза в полтора два. На то и керио. 

Пробовал расшарить все порты от 1 до 65000, а так же удалить 1-65000 и настроить как сейчас только 50, 51, 1701 и 4500 как описано в форуме керио. что вроде бы эти порты керио слушает. Результат одинаковый. При прочих и как 1:1 и как Virtual Service/  Сейчас попробую оставить только 1701 порт. 

Смотрите. По поводу Зюкселя я не скажу, это надо читать спеку. Но 15 туннелей- есть надежда что он вытащит (опять же зависит от количества трафика). Если нужно, чтобы с VPN была доступна только одна подсеть- для этих целей есть Firewall.

Если вы таки решили, что без Керио никак - посмотрите как устроен его впн. Там может быть какой-то стандартный протокол (типа L2TP+IPSEC) или может у них своя какая-то технология. Дальше посмотрите как его прокинуть через НАТ. Не нужно перебирать порты, нужно понять как это работает и что нужно зафорвардить в сторону Керио.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now