Вообще принцип какой? Стоит у тебя Kerio Winroute. Слушает сетевые интерфейсы. Приходит запрос с интернета на него, он видит, что это клиент VPN, обрабатывает его, если всё ок — подцепляет к себе и устанавливает постоянное с ним соединение.
Посему. Клиентом ты должен ломиться на машину, где у тебя стоит Winroute. Я не совсем понял как у тебя организованы машины, прокси там какой-то. Если ты ломишься на прокси, а винроута там нет, то и не выйдет ничего.
Цитата:
Пробовал указать и тот некий адрес, который стоит Interfaces —> VPN Server. Вообще, что это за адрес?
Это внутренний адрес, у клиентов будут IP в этой подсетке, кажется. Я вообще клиентов не цеплял, но у меня организовано 4 VPN-туннеля.
Результат остался тем же.
Вот высылаю протокол:
[21/06/2006 10:48:42] D[VPN client] VPNClient[0006] — connecting to 89.208.Z.Z:4090, username Vladimir
[21/06/2006 10:48:42] D[VPN client] VPNClient[0006] — server name resolved — 89.208.Z.Z
[21/06/2006 10:48:42] D[VPN client] VPNClient[0006] — unable to add route to server — unable to get route, error 22
[21/06/2006 10:49:03] D[VPN client] VPNClient[0006] — network error occured while sending message to peer, closing connection
[21/06/2006 10:49:03] Ошибка (165): Сервер VPN не отвечает.
######
Вопрос. У меня есть удаленный комп с адресом 212.119.Y.Y. Это его статический IP от скайлинка. Его я (надеюсь) подсоединю через VPN клиента к своей сети. Я буду его видеть в сети? Если «да», то с каким IP? из диапазона 192.168.5.1-254? Если «нет», то как сделать чтобы было «да»?
Добавлено:
SaintVillaint Посмотри вот тут — http://zpt.net.ru/kerio-v4.zip пункт 12. Это «Kerio WinRoute Firewall 6.0 — Руководство администратора» на русском, 1.2Мб. Пока читаешь, я попробую ответить на твои вопросы..
Цитата:
Вопрос. У меня есть удаленный комп с адресом 212.119.Y.Y. Его я (надеюсь) подсоединю через VPN клиента к своей сети. Я буду его видеть в сети? Если «да», то с каким IP? из диапазона 192.168.5.1-254?
Скорей всего да, с таким ip. Клиентов я не подключал, но точки, сидящие через vpn-туннели доступны по ip, которые указаны на их WinRout’ах. У меня WinRoute на обоих концах, поэтому я без клиента обхожусь.
Цитата:
Этот пользователь, я так понимаю, не пользователь из AD, и он должен быть задан в Керио. Или все-таки он берется из AD?
Скорее всего тот юзер, который прописан в WinRoute. Если ты не проставил в WinRoute работу с AD.
Цитата:
[21/06/2006 10:48:42] D[VPN client] VPNClient[0006] — unable to add route to server — unable to get route, error 22
я не соображу что это за ошибка.
Цитата:
Ну а вообще, чтобы удаленный комп видел, компы моей локальной сети, никаких особых настроек не надо?
Никаких особых не надо, можешь заходить по ip в свою локалку. Если сообразишь как сделать, чтобы сетевое окружение локалки видно было — сообщи
SUicide пока только одна мысль — Traffic Policy неправильно настроено. Или может с лицензией проблема и керио просто всё рубит?
С такими настройками терминал через Citrix не работает. В логах пишет, что
DROP «Default traffic rule» packet to Local Area Connection, proto:UDP, len:78, ip/port:192.168.1.1:1604 -> 192.168.1.37:1307, udplen:50
как настроить vpn в kerio
Обычно подобные задачи выполняет системный администратор: если в штате сотрудников отсутствует эта должность, то всегда можно воспользоваться услугами it аутсорсинга. Однако можно попытаться и самостоятельно настроить VPN в Kerio, следуя указаниям инструкции.
VPN-сервер используется для связи концов VPN-туннелей и клиентов с помощью Kerio VPN Клиента. Доступ к VPN-серверу можно получить на вкладке Интерфейсы (Interfaces) раздела Настройки/Интерфейсы (Configuration / Interfaces) как к отдельному интерфейсу.
Заходите в эту вкладку и видите среди интерфейсов нужный нам VPN Server. Два раза кликаем на интерфейсе VPN-сервера — открывается диалог, с помощью которого вы можете установить параметры VPN-сервера.
В новом окне нужно активизировать VPN-сервер (Enable VPN server). Также нужно указать IP адрес сети для VPN-клиентов. К примеру, всем локальным пользователям можно назначить адреса типа 192.168.100.xxx, а всем VPN-клиентам 192.168.101.xxx.
При первом запуске после установки WinRoute по умолчанию выбирает свободную подсеть, которую будет использовать VPN. При стандартных условиях менять исходную сеть нет необходимости. Нужно убедиться, что подсеть VPN-клиентов не вступает в конфликт с локальной подсетью!
На вкладке DNS нужно указать DNS серверы, которые будут назначены VPN-клиентам. Это может стать необходимым в доменной сети, где необходимо получения доступа к компьютерам по NS-именам.
«Использовать специальные серверы DNS (Use specific DNS servers)» — с помощью этой опции можно указать первичный и вторичный DNS серверы для VPN-клиентов. Это может пригодиться, если в локальной сети используется не DNS-Forwarder, а другой DNS сервер.
Вкладка Advanced (Дополнительное). Она нужна далеко не всем, но все же рассмотрим ее поподробнее.
Слушать порт (Listen on port) — Порт, на котором VPN-сервер принимает подключения извне (по протоколам TCP, и UDP). По умолчанию установлен порт 4090 (в стандартных условиях что-либо изменять порт нет смысла и необходимости).
Примечания:
Если VPN-сервер уже запущен, в момент смены порта связь со всеми VPN-клиентами автоматически будет разрываться.
Если VPN-сервер не может работать на заданном порту (порт может использоваться другой службой), при нажатии на кнопку Применить (Apply) в журнале ошибок появится сообщение об ошибке:(4103:10048) Socket error: Unable to bind socket for service to port 4090.
(5002) Failed to start service «VPN»
bound to address 192.168.1.1.
Для того, чтобы убедиться, что заданный порт действительно свободен, нужно просмотреть Журнал ошибок и проверить, не появлялись ли подобные записи.
Пользовательские маршруты (Custom Routes)
Здесь вы можете указать другие сети, к которым сможете установить маршруты через VPN туннель. Изначально определены маршруты ко всем без исключения локальным подсетям со стороны VPN-сервера.
Полезный совет: используйте маску 255.255.255.255, чтобы определить маршрут к узлу. Это может вам помочь, к примеру, при добавлении маршрута к узлу в DMZ (демилитаризованная зона) со стороны VPN сервера.
Дальше следует создать правило для VPN-пользователей.
Первое правило пропускает пользователей к VPN-серверу из интернета по протоколу Kerio VPN (порт 4090).
Следующее правило пропускает авторизированных и подключенных VPN-пользователей, в локальную сеть и к серверу. Вместо первого правила можно создать группу IP-адресов и включить в неё все IP-адреса клиентов.
Здесь будут отображаться подключенные пользователи. В настройках пользователей можно указать, будет ли VPN-сервер выдавать клиентам адреса автоматически, а можно за каждым клиентом закрепить определенный IP адрес.
После установки drweb-900-win-space не работает Kerio VPN
После установки space 9 Kerio VPN Client не может установить соединение:
«Невозможно организовать туннелирование данных (возможно, заблокирован трафик UDP)».
Причём отключение брандмауэра не помогает. Как и установка всех возможных разрешений для Kerio.
Только после деинсталяции drweb 9 — нормальная работа VPN клиента восстанавливается.
#2 pig
#3 maxic
Keep yourself alive
Попробовать добавить клиент в исключения SpiderGate. Гейт сейчас перехватывает весь трафик, и непонятный ему просто не пропускает.
#4 menson
Так я отключаю его полностью, вместе с брандмауэром — всё равно блокировка.
Сношу web — работает.
#5 VVS
Так я отключаю его полностью, вместе с брандмауэром — всё равно блокировка.
Так ведь Вам и не советовали его отключать, Вам советовали добавить клиент в исключения SpiderGate.
—
меня вот что возмутило. что даже не начинают толком диалог сразу дампы. © alehas777
#6 maxic
Keep yourself alive
menson, отключение не поможет.
#7 EvgenWL
menson, отключение не поможет.
т.е. после отключения компонента он продолжает работать?
#8 VVS
menson, отключение не поможет.
т.е. после отключения компонента он продолжает работать?
Терминология компонентов уже устарела и используется разве что по привычке или для удобства изложения.
После отключения «компонента» он перестаёт анализировать проходящий через него трафик, но трафик через него всё равно проходит.
—
меня вот что возмутило. что даже не начинают толком диалог сразу дампы. © alehas777
#9 EvgenWL
После отключения «компонента» он перестаёт анализировать проходящий через него трафик, но трафик через него всё равно проходит.
#10 VVS
После отключения «компонента» он перестаёт анализировать проходящий через него трафик, но трафик через него всё равно проходит.
maxic как раз этого не утверждает, а пишет как раз обратное — «menson, отключение не поможет».
Сообщение было изменено VVS: 24 Октябрь 2013 — 12:27
—
меня вот что возмутило. что даже не начинают толком диалог сразу дампы. © alehas777
#11 EvgenWL
Перечитайте #4 в этой теме.
Сообщение было изменено EvgenWL: 24 Октябрь 2013 — 12:32
#12 maxic
Keep yourself alive
EvgenWL, трафик через нетфильтр все равно проходит. Потому и не поможет отключение, а только добавление в исключения.
#13 VVS
maxic как раз этого не утверждает, а пишет как раз обратное — «menson, отключение не поможет».
Рекомендую внимательно несколько раз прочитать указанное Вами сообщение.
В нём maxic пишет тоже самое, что и я.
—
меня вот что возмутило. что даже не начинают толком диалог сразу дампы. © alehas777
#14 maxic
Keep yourself alive
Особенно круто, когда браузер не может достучаться до соответствующей страницы и приходится добавлять его в исключения.
#15 EvgenWL
EvgenWL, трафик через нетфильтр все равно проходит. Потому и не поможет отключение, а только добавление в исключения.
Я и спрашиваю — почему в состоянии «отключено» компонентом над трафиком что-то делается?
VVS,в своём сообщении я подразумевал, что maxic подтверждает слова ТС о непрохождении трафика в отключеном состоянии гейта, а не Ваши.
Сообщение было изменено EvgenWL: 24 Октябрь 2013 — 12:48
#16 maxic
Keep yourself alive
EvgenWL, такая архитектура ©
Очень надеюсь, что с этим что-то сделают. Потому что. потому что. слов нет
#17 VVS
EvgenWL, трафик через нетфильтр все равно проходит. Потому и не поможет отключение, а только добавление в исключения.
Я и спрашиваю — почему в состоянии «отключено» компонентом над трафиком что-то делается?
VVS,в своём сообщении я подразумевал, что maxic подтверждает слова ТС о непрохождении трафика в отключеном состоянии гейта, а не Ваши.
И я подтверждаю слова о возможности непрохождении трафика в отключеном состоянии гейта.
Собственно об этом я и говорил в своих сообщениях в этой теме.
—
меня вот что возмутило. что даже не начинают толком диалог сразу дампы. © alehas777
Сертификаты, CA все есть на обоих машинах, я делал импорт-экспорт в обе стороны.
Туннель KerioVPN на этих сертификатах, работает. Думаете в них проблема?
Хочу понять, как понимать ошибку «Несоответствие сетей или ИД».
Какая логика и алгоритм настройки у IPSec туннеля?
Вложение 879405
Вложение 879406
Вот в логах есть такое…
[07/Nov/2017 11:34:22] {charon} charon: 05[ENC] parsed INFORMATIONAL_V1 request 684428360 [ HASH N(INVAL_ID) ]
[07/Nov/2017 11:34:22] {charon} charon: 05[IKE] received INVALID_ID_INFORMATION error notify
[07/Nov/2017 11:34:22] {IPsec} TunnelsList|thread: 'ipsec up tunnel_4_1_2_1' returned 0
Какие должны быть ID? Что подразумевается? На некоторых форумах я читал что ID можно указать как %any
Вот это есть на сервере
[07/Nov/2017 11:40:05] {charon} charon: 16[IKE] no matching CHILD_SA config found
[07/Nov/2017 11:40:05] {charon} charon: 16[ENC] generating INFORMATIONAL_V1 request 883736520 [ HASH N(INVAL_ID) ]
CHILD_SA — что он имеет ввиду?
Windows, Windows 10, Windows 7, Windows 8, Windows Server, Windows Vista, Windows XP
- 14.11.2016
- 89 040
- 9
- 02.05.2021
- 222
- 216
- 6
- Содержание статьи
- Описание
- Решение проблем
- Ошибка 1920
- Ошибка 28201
- Комментарии к статье ( 9 шт )
- Добавить комментарий
Kerio Control VPN Client используется для подключения компьютера к серверу Kerio Control VPN. Установка и настройка клиентоской части не должна вызвать никаких проблем даже у совсем малограмотных пользователей, но если вы не уверены в своих действиях — смело ориентируйтесь на эту статью!
Описание
Скачиваем данный клиент отсюда.
- В строке «Select a product» выбираем «Kerio Control«, а затем — нужную версию (очень желательно, чтобы версии клиента и сервера совпадали), после чего нажимаем «Show files».
- В разделе «Installation packages» находим Kerio Control VPN Client под нужную версию Windows.
Скачиваем и запускаем установщик. Первым делом появится вопрос о языке установки, выбрав нужный переходим к следующему пункту.
После этого появится стандартное окно приветствия программы установки, которое можно пропустить не читая, нажав кнопку «Далее». В следующем окне программа установки спросит куда устанавливать Kerio Control VPN Client, по умолчанию устанавливая его в папку Program Files. Если нужно, то вносим изменения и нажимаем кнопку «Далее», затем , в следующем окне кнопку «Установить». Начнется установка программы.
Во время установки может возникнуть окно с предупреждением о невозможности проверить издателя устанавливаемого драйвер. Обязательно нужно нажать на кнопку «Все равно установить этот драйвер».
По окончанию установки появится окошко с соответствующим уведомлением, а так же с предложением запустить установленную программу по выходу из программы установки. Если нету причин откладывать это, то галочку следует оставить.
Запустившись, программа покажет окно с четыремя пустыми полями, которые нужно заполнить следующим образом:
- Соединение — указываем имя соединения, под которым оно будет отображаться (данное поле появилось в более новых версиях программы, в старых версиях его может не быть);
- Сервер — адрес VPN сервера, их может быть несколько;
- Пользователь — логин пользователя;
- Пароль — его пароль.
- Постоянное соединение — в случае выбора этого пункта, соединение будет устанавливаться автоматически при загрузке системы, не зависимо от авторизации пользователя.
Решение проблем
Если вы используете пробную версию Kerio Control, и получаете ошибку при соединении, то скорее всего версия вашего VPN клиента отличается от версии сервера. Попробуйте найти либо одинаковую с сервером версию, либо более старую. Например, версию 8.1.1-928 можно скачать с нашего сайта по ссылкам ниже:
Kerio Control VPN Client 8.1.1.928 (32 bit)
Kerio Control VPN Client 8.1.1.928 (64 bit)
Ошибка 1920
В определенных случаях, при установке Kerio Control VPN Client версии 9.2.4 под Windows 7 x64, может возникнуть ошибка 1920:
Error 1920. Service Kerio Control VPN Client Service (KVPNCSvc) failed to start. Verify that you have sufficient privileges to start system services.
Это связано с тем, что файл установки клиента не может установить не подписанные драйвера, необходимые для работы VPN клиента Kerio. Решается это следующим образом (согласно официальной документации):
- Отключаем антивирус и фаирволл на вашем компьютере.
- Затем необходимо полностью удалить Kerio Control VPN Client с вашего компьютера. Для полной очистки компьютера от всех следов присутствия данной программы на компьютере, возможно понадобится стороннее обеспечение, вроде бесплатной пробной версии Revo Uninstaller.
- В «Диспетчере устройств» необходимо открыть сетевые адаптеры и если среди них присутствует Kerio Virtual Network Adapter — удалить его.
- Выполняем перезагрузку компьютера.
- Скачиваем версию 9.2.3 по этой ссылке. Устанавливаем эту версию под пользователем с правами администратора.
- После установки версии 9.2.3 идем на официальный сайт за загрузкой версии 9.2.4. Скачиваем её, но не торопимся запускать.
- Открываем свойства скачанного файла, и находим в самом низу кнопку «Разблокировать», которую необходимо нажать.
- Запускаем файл установки с правами администратора, и устанавливаем программу как описано в самом начале статьи.
Ошибка 28201
Если при установке Kerio Control VPN Client вы получаете ошибку следующего содержания:
Ошибка 28201: Не удалось установить драйвер устройства VNP. Причина: CREATE. Действие: UpdateDevice. Результат: 0x80070490, unspecified error.
То её решение описано в этой статье.
Приветствую, Камрады!
Ошибка ниже:
С пользователем все нормально, подключается с другого ПК без проблем. С ноута не хочет. Перепробовал все варианты, может подскажете что еще проверить.
1. С внешки порт открыт, проверено на speed-tester, да и с других ПК нормально подключается.
2. Антивирь отключал.
3. Брендмауэр службу гасил, а так же включал, но все подключения разрешал.
4. Ставил разные версии клиента и т.д.
5. Система одинаковая у всех.
Что еще потестить? Проблема явно с ноутом но все очевидные вещи кажися проделал.
На чтение 6 мин. Опубликовано 15.12.2019
When trying to install or upgrade Kerio VPN client on Windows 8/8.1 operating system, the installer stops, and displays the error:
There may be various error codes:
- Failed to install VPN device driver, 0x800F0244
- Failed to install VPN device driver, 0x800F020B
This article contains instructions to resolve each of these errors.
Windows 8/8.1/10 and Server 2012.
Below are the steps to resolve the error with the 0x800F020B code.
- Check Windows Programs and Features and uninstall the Kerio VPN client if it’s listed there.
- In Windows, navigate to Start > Run.
- Run Regedit .
- Delete this key HKEY_LOCAL_MACHINESOFTWAREWOW6432NodeKerio
Right-click the .exe file, go to Properties > Unblock and Run it as Admin.
Below are the steps to resolve the error with the 0x800F0244 code.
- Download the attached VPN.zip file and extract it.
- Navigate to Control Panel > Device Manager.
- Click Network Adapters > Kerio Virtual Network Adapter.
- Right-click and select Properties.
- Go to the Details tab, select Inf name from Property select box.
Copy the name displayed in the Value section (like oem22.inf). Your name of the file might be different.
Kerio VPN Client can be installed successfully.
Kerio Control VPN Client используется для подключения компьютера к серверу Kerio Control VPN. Установка и настройка клиентоской части не должна вызвать никаких проблем даже у совсем малограмотных пользователей, но если вы не уверены в своих действиях — смело ориентируйтесь на эту статью!
Описание
Скачиваем данный клиент отсюда (сайт очень не дружит с установленными блокировщиками рекламы, так что в случае проблем с ним попробуйте отключить) под нужную вам версию Windows, и запускаем установщик. Первым делом появится вопрос о языке установки, выбрав нужный переходим к следующему пункту.
После этого появится стандартное окно приветствия программы установки, которое можно пропустить не читая, нажав кнопку «Далее». В следующем окне программа установки спросит куда устанавливать Kerio Control VPN Client, по умолчанию устанавливая его в папку Program Files. Если нужно, то вносим изменения и нажимаем кнопку «Далее», затем , в следующем окне кнопку «Установить». Начнется установка программы.
По окончанию установки появится окошко с соответствующим уведомлением, а так же с предложением запустить установленную программу по выходу из программы установки. Если нету причин откладывать это, то галочку следует оставить.
Запустившись, программа покажет окно с четыремя пустыми полями, которые нужно заполнить следующим образом:
- Соединение — указываем имя соединения, под которым оно будет отображаться (данное поле появилось в более новых версиях программы, в старых версиях его может не быть);
- Сервер — адрес VPN сервера, их может быть несколько;
- Пользователь — логин пользователя;
- Пароль — его пароль.
- Постоянное соединение — в случае выбора этого пункта, соединение будет устанавливаться автоматически при загрузке системы, не зависимо от авторизации пользователя.
Обычно подобные задачи выполняет системный администратор: если в штате сотрудников отсутствует эта должность, то всегда можно воспользоваться услугами it аутсорсинга. Однако можно попытаться и самостоятельно настроить VPN в Kerio, следуя указаниям инструкции.
VPN-сервер используется для связи концов VPN-туннелей и клиентов с помощью Kerio VPN Клиента. Доступ к VPN-серверу можно получить на вкладке Интерфейсы (Interfaces) раздела Настройки/Интерфейсы (Configuration / Interfaces) как к отдельному интерфейсу.
Заходите в эту вкладку и видите среди интерфейсов нужный нам VPN Server. Два раза кликаем на интерфейсе VPN-сервера — открывается диалог, с помощью которого вы можете установить параметры VPN-сервера.
В новом окне нужно активизировать VPN-сервер (Enable VPN server). Также нужно указать IP адрес сети для VPN-клиентов. К примеру, всем локальным пользователям можно назначить адреса типа 192.168.100.xxx, а всем VPN-клиентам 192.168.101.xxx.
При первом запуске после установки WinRoute по умолчанию выбирает свободную подсеть, которую будет использовать VPN. При стандартных условиях менять исходную сеть нет необходимости. Нужно убедиться, что подсеть VPN-клиентов не вступает в конфликт с локальной подсетью!
На вкладке DNS нужно указать DNS серверы, которые будут назначены VPN-клиентам. Это может стать необходимым в доменной сети, где необходимо получения доступа к компьютерам по NS-именам.
«Использовать специальные серверы DNS (Use specific DNS servers)» — с помощью этой опции можно указать первичный и вторичный DNS серверы для VPN-клиентов. Это может пригодиться, если в локальной сети используется не DNS-Forwarder, а другой DNS сервер.
Вкладка Advanced (Дополнительное). Она нужна далеко не всем, но все же рассмотрим ее поподробнее.
Слушать порт (Listen on port) — Порт, на котором VPN-сервер принимает подключения извне (по протоколам TCP, и UDP). По умолчанию установлен порт 4090 (в стандартных условиях что-либо изменять порт нет смысла и необходимости).
Примечания:
Если VPN-сервер уже запущен, в момент смены порта связь со всеми VPN-клиентами автоматически будет разрываться.
Если VPN-сервер не может работать на заданном порту (порт может использоваться другой службой), при нажатии на кнопку Применить (Apply) в журнале ошибок появится сообщение об ошибке:(4103:10048) Socket error: Unable to bind socket for service to port 4090.
(5002) Failed to start service «VPN»
bound to address 192.168.1.1.
Для того, чтобы убедиться, что заданный порт действительно свободен, нужно просмотреть Журнал ошибок и проверить, не появлялись ли подобные записи.
Пользовательские маршруты (Custom Routes)
Здесь вы можете указать другие сети, к которым сможете установить маршруты через VPN туннель. Изначально определены маршруты ко всем без исключения локальным подсетям со стороны VPN-сервера.
Полезный совет: используйте маску 255.255.255.255, чтобы определить маршрут к узлу. Это может вам помочь, к примеру, при добавлении маршрута к узлу в DMZ (демилитаризованная зона) со стороны VPN сервера.
Дальше следует создать правило для VPN-пользователей.
Первое правило пропускает пользователей к VPN-серверу из интернета по протоколу Kerio VPN (порт 4090).
Следующее правило пропускает авторизированных и подключенных VPN-пользователей, в локальную сеть и к серверу. Вместо первого правила можно создать группу IP-адресов и включить в неё все IP-адреса клиентов.
Здесь будут отображаться подключенные пользователи. В настройках пользователей можно указать, будет ли VPN-сервер выдавать клиентам адреса автоматически, а можно за каждым клиентом закрепить определенный IP адрес.