Перейти к содержимому
Калькуляторы

ZyWALL USG 50 не пускает L2Tp и KerioVPN внутрь

Ответить

EvRo   

EvRo
Опубликовано · Жалоба

Здравствуйте, очень нужна помощь. Не могу подключиться к Kerio Controll который находится в одной из подсетей. 

Впервые столкнулся на практике с подобной штукой ZyWALL USG 50 .

Ситуация такая: 

В Wan порт приходит интернет соединение от провайдера по DHCP 

Далее создано Port Role 2 сети Lan1 192.168.100.1 и Lan 2 192.168.200.1

Интернет делится между ними. Все настройки отключены или удалены. Фаервол и т.п. 

Кроме NAT

В нате настраивал, что все входящие соединения с любыми портами будут уходить в LAN2 . Там стоит Kerio Control с VPN Server. 

 

Настройка NAT: 

Incoming Interface: wan1

Original IP:User Defined

User-Defined Original IP: x.x.x.x

Mapped IP: User Defined

User-Defined Mapped IP:192.168.200.33

Port Mapping Type: Ports 

Protocol Type:UDP

Original Start Port:500

Original End Port:500

Mapped Start Port:500

Mapped End Port:500
Еще пробросил порты 1701 , 51, 50, 4500  так же.

Но соединения не происходит. Говорит Запрос на установление соединения отклонен сервером. 

Очень прошу помощи. 

 
 

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

VolanD666   

VolanD666
Опубликовано · Жалоба
32 минуты назад, EvRo сказал:

Здравствуйте, очень нужна помощь. Не могу подключиться к Kerio Controll который находится в одной из подсетей. 

Впервые столкнулся на практике с подобной штукой ZyWALL USG 50 .

Ситуация такая: 

В Wan порт приходит интернет соединение от провайдера по DHCP 

Далее создано Port Role 2 сети Lan1 192.168.100.1 и Lan 2 192.168.200.1

Интернет делится между ними. Все настройки отключены или удалены. Фаервол и т.п. 

Кроме NAT

В нате настраивал, что все входящие соединения с любыми портами будут уходить в LAN2 . Там стоит Kerio Control с VPN Server. 

 

Настройка NAT: 

Incoming Interface: wan1

Original IP:User Defined

User-Defined Original IP: x.x.x.x

Mapped IP: User Defined

User-Defined Mapped IP:192.168.200.33

Port Mapping Type: Ports 

Protocol Type:UDP

Original Start Port:500

Original End Port:500

Mapped Start Port:500

Mapped End Port:500
Еще пробросил порты 1701 , 51, 50, 4500  так же.

Но соединения не происходит. Говорит Запрос на установление соединения отклонен сервером. 

Очень прошу помощи. 

 
 

Не нужно все входящие с любыми портами настраивать. Нужно настроить только нужные порты и отправить их на Керио. Кстати, а сама эелезка не может ВПНы поддерживать? Зачем вам Керио?

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

EvRo   

EvRo
Опубликовано · Жалоба
11 минут назад, VolanD666 сказал:

Не нужно все входящие с любыми портами настраивать. Нужно настроить только нужные порты и отправить их на Керио. Кстати, а сама эелезка не может ВПНы поддерживать? Зачем вам Керио?

Спасибо за ответ. Железка может VPN , но тут 2 независимых сети. для Lan 1 только интернет нужен, для Lan2 нужен туннель во внутреннюю подсеть с керио где есть другие сервера и разные сервисы. Так сложиись, что в силу обстоятельств, эти сети стали недавно завязаны тольео одним именно этим каналом и тут поделать ничего нельзя. 

 

Кроме этого, читал гдето тут, что железка плохо поддерживает более 10 vpn туннелей, а нужно больше раза в полтора два. На то и керио. 

Пробовал расшарить все порты от 1 до 65000, а так же удалить 1-65000 и настроить как сейчас только 50, 51, 1701 и 4500 как описано в форуме керио. что вроде бы эти порты керио слушает. Результат одинаковый. При прочих и как 1:1 и как Virtual Service/  Сейчас попробую оставить только 1701 порт. 

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

VolanD666   

VolanD666
Опубликовано · Жалоба
1 минуту назад, EvRo сказал:

Спасибо за ответ. Железка может VPN , но тут 2 независимых сети. для Lan 1 только интернет нужен, для Lan2 нужен туннель во внутреннюю подсеть с керио где есть другие сервера и разные сервисы. Так сложиись, что в силу обстоятельств, эти сети стали недавно завязаны тольео одним именно этим каналом и тут поделать ничего нельзя. 

 

Кроме этого, читал гдето тут, что железка плохо поддерживает более 10 vpn туннелей, а нужно больше раза в полтора два. На то и керио. 

Пробовал расшарить все порты от 1 до 65000, а так же удалить 1-65000 и настроить как сейчас только 50, 51, 1701 и 4500 как описано в форуме керио. что вроде бы эти порты керио слушает. Результат одинаковый. При прочих и как 1:1 и как Virtual Service/  Сейчас попробую оставить только 1701 порт. 

Смотрите. По поводу Зюкселя я не скажу, это надо читать спеку. Но 15 туннелей- есть надежда что он вытащит (опять же зависит от количества трафика). Если нужно, чтобы с VPN была доступна только одна подсеть- для этих целей есть Firewall.

Если вы таки решили, что без Керио никак - посмотрите как устроен его впн. Там может быть какой-то стандартный протокол (типа L2TP+IPSEC) или может у них своя какая-то технология. Дальше посмотрите как его прокинуть через НАТ. Не нужно перебирать порты, нужно понять как это работает и что нужно зафорвардить в сторону Керио.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
Перейти к списку тем Активное оборудование Ethernet, IP, MPLS, SDN/NFV...