» Kerio WinRoute Firewall (часть 3)

Господа прошу помочь, бубен уже сломал
стоял KWF 6.2.3 в центральном офисе с прямым IP, включен VPN SERVER к нему настроен VPN туннель с удаленного компа с керио 6.2.2 - все работало,
обновил керио до 6.3.1 настройки скопировал, тунель настроил как было, клиент к серверу коннектится, маршруты поднимаются, пинг идет, ну епрст radmin 3 работает только в одну сторону, с клиента к серверу, наоборот после ввода пароля останавливается на заставке, поставил VNC - та же песня, обновил керио до 6.4.0 - не помогло, ну не хочу я откатываться назад на 6.2.3, он на соединении с инетом провайдера раз в сутки лагал, замучил, в чем грабли?
правило стоит:
source: local,firewall,all vpn tunnels,all vpn cliens
destination: local,firewall,all vpn tunnels,all vpn cliens
service: any
permit allways

в общем, HELP

седня обнаружил у себя странный глюк: керио 6.3.1, НАТ, авторизация пользователей - автомат, по IP. Керио пустил в инет пользователя с неактивным аккаунтом. Поведение такое, что ему наплевать на галочку "Account disabled", лишь бы был пользователь и автологин его по IP. Проверьте кто может у себя, плз.

Доброго времени суток.
Есть проблемс следующий: керио стоит отдельной машинке под вин2003, езеров берет (не импорт) с АД установленного на другом компе, керио видит всех пользователей прекрасно, но когда с третьей машины пытаюсь выйти в и-нет то керио предлагает автроризоваться на что я ей ввожу пользователя с паролем из АД а в ответ получаю снова такое же окошко авторизации с пустым паролем. надеюсь понятно обьяснил.
с нетерпением жду ответа.

komal

Цитата:

source inetaccess@mydomain.local
dest OutLan (Интерфес смотрящий в интернет)
service any
Translation NAT

создал это правило

Arakcheev

Цитата:

Source - LAN
Dest - OutLan (Интерфес смотрящий в интернет)
Service - DNS, HTTP
Action - Allow
Trabslation - NoNAT

данное правило установлено по дефолту

результат тот же - не пускает

ЗЫ с керио установленном на том же компе где АД такого не было.

KWF 6.2.3 build 2027
админконсоль-Status-Connections
стандарное правило NAT, подключения отображаюца в столбце Destination в виде ХХХ.ХХХ.ХХХ.ХХХ.in-addr.arpa

Что означает .in-addr.arpa ?
Почему днс-имена не кажет ?

AFT
а галку отображать днс имена поставил?

SHRIKE74
Enabled DNS forwarding галка есть

Цитата:

ХХХ.ХХХ.ХХХ.ХХХ.in-addr.arpa

Пинча словил? Ничего, бывает. Я у себя уже штук 10 грохнул, да всё ломает как-то зараженную машинку переинсталлить Лень-матушка админская
Пока только хосты (а иногда и range'и) вбиваю в TP, дабы не пущалось туда. Антивирь его не ловит, спайварь/грейварь сканеры тоже молчат, а траф паразитный просто ломовой получается.

и это кстати DNS-имя ты его пингани и увидишь, что IP будет не XXX.XXX.XXX.XXX
или у тебя ваще все коннекшны так отображаются?

Добавлено:

Цитата:

керио 6.3.1, НАТ, авторизация пользователей - автомат, по IP. Керио пустил в инет пользователя с неактивным аккаунтом

в правиле NAT что указано в Source? IP'ы? Тогда керии ваще пох, что за юзер там ломится.

AlOne
все коннекшены так отображаюца, кроме правила для DNS

Добавлено:
AlOne

72.232.29.238 айпи отображаеца как 238.29.232.72.in-addr.arpa

т.е. переворачивает

Добавлено:
AlOne
как это лечица?

Цитата:

72.232.29.238 айпи отображаеца как 238.29.232.72.in-addr.arpa
т.е. переворачивает

помоему это DNS косячит... обратная зона.
у меня было раз и прошло после перезагрузки DNS службы.

Народ хелп!

Пересмотрел кучу ТП, но все юзают НАТ! А я не хочу через НАТ! Кому не жалко выложите ТП у кого БЕЗ НАТа инет юзается.

Просто никак не могу решить для себя банальный вопрос. Как надо правильно организовать доступ юзеров к инету.
Щас сделано примерно так:

<лок_сеть> - Firewall - Any - permit
Firewall - <внешний_интерфейс> - <список_разрешенных_сервисов> - Permit

При таком раскладе получается что в http.log пишется не полная информация, а в connection.log она хоть и полнее, но там весь траф пишется от имени прокси и проанализировать на какой локальный IP действительно ушел траф - невозможно

Lovec
я использую proxy, а не NAT
правила в принципе такие же, как и у тебя, только у меня
<лок_сеть> - Firewall - <список_разрешенных_сервисов> - permit

Извините, братья! Вы знаете, как мы сможем получать ключи файла Kerio WinRoute Firewall версия 6.4? У меня ни как ни получилось.

whatislove
Как обычно! Идем в соответствующую ветку, читаем, берем лекарство там, и вперед.

kevinkf
оказываеца днс у прова не пахал вчера, седня уже всё ок

Lovec

Цитата:

<лок_сеть> - Firewall - Any - permit
Firewall - <внешний_интерфейс> - <список_разрешенных_сервисов> - Permit

На правах имхи:

у KWF статистика к юзерам привязываецца ведь.
напиши вместо лок_сети authenticated users и должно быть как надо.
тока юзверей, естессно, создать надоть (если их до сих пор нету).

как вариант - считай траф с помощью WRspy. Хотя я неуверен, что он нормально логи 6-го обработает, но с 4.2.5 дружил прекрасно.

Добавлено:
AFT

Цитата:

как это лечица?

хз (т.е. хочется знать )
заведомо рабочий метод - reinstall all

AlOne
да, конечно там стоит IP Adress Group, щас планирую заменить ее на доменную группу

all
Юзер заходит через веб-морду в Керио и видит на странице IE: Статистика по квотам на трафик, Ограничения web-доступа. Так вот хочу убрать пункт "Ограничения web-доступа" с этой страницы. Могу?

Lovec

Цитата:

да, конечно там стоит IP Adress Group

ну вот. юзер с этих IP'ов может вообще не авторизоваться и спокойно ходить в инет.
IP есть смысл использовать только в некоторых случаях и только для серверов, которым нужен доступ в инет, но авторизация может по тайм-ауту отвалиться.

Здравствуй
ситауция такая:
есть 2 сетвухи
1. локалка + звонить по ВПН
2. домашняя локалка

около полутора лет юзал персонал фаер от керио
в силу ряда причин вынужден переходить на винроут
снёс персонал, поставил винрут, воспользовался визардом...
инета на серваке нет...
я что то упустил?
понимаю что причина в фаере, но разве визарда не достаточно для того, что бы инет был на компе, где поставлен винроут?
пинг идёт только по домашней локалке.
заранее спасибо

lavren

Цитата:

http://kerio-rus.ru/index.php?option=com_content&task=view&id=12&Itemid=26
http://kerio-rus.ru/index.php?option=com_content&task=view&id=92&Itemid=78
http://www.redline-software.com/rus/support/docs/winroute/ch10s03.php

После прочтения данных статей ни чего нового не узнал.
Вопрос остается открытым.

AlOne
Щас делаю по нормальному. Всех юзеров, которым разрешен доступ в инет, загоняю в одну группу, потом юзер, заходя в домен регистрируется и в керио и в ТП будет прописан доступ только для этой доменной группы.

В связи с этим повторю свой вопрос, а то дело пока токо в него упирается...

Цитата:

all
Юзер заходит через веб-морду в Керио и видит на странице IE: Статистика по квотам на трафик, Ограничения web-доступа. Так вот хочу убрать пункт "Ограничения web-доступа" с этой страницы. Могу?

Добавлено:
Ekzarh
Супер!

Цитата:

я что то упустил?

Наверно не мало Вопрос из области "у меня ничего не работает, не пойму почему"
При чем тут персонал файер и KWF - вааще не понятно......
ТП + ipconfig /all с машины керио и клиента

IL81
Показывай закладки в разделе Users.

Lovec

Цитата:

хочу убрать пункт "Ограничения web-доступа" с этой страницы. Могу

не знаю, не пробовал надо порыскать.

Lovec
[more]

[/more]

Lovec

Ёпрст!!! Как в картинной галерее...

Ekzarh
Copy&Paste религия не позволяет????

IL81
Машина в домене? Если да то включи NTLM
Enable Windows NT Domain.....
И как ты имя пользователя пишеш при запросе керио? И попробуй выключить Force non-trnsparent proxy.

Добавлено:

Да и спрячьте картинки за /more

Блин, никак не могу открыть НАТ на отдельно взятом компе...
Правила такие:
<ip компа> - Firewall - Any - Permit
<ip компа> - <внешний интерфейс> - - Any - Permit - NAT
На тестируемом компе никакой реакции, ни на пинги, ни на открытие сайтов соответственно. Даже если ниже добавить правило "всем можно все".

Думаю в настройках ДНС трабл. Вообще через прокси инет идет без проблем, но хотелось попробовать НАТ.

В настройках внешнего адаптера на прокси стоит примари ДНС - наш DC, альтернативный ДНС - ДНС прова.

Ruza

Цитата:

Ёпрст!!! Как в картинной галерее...

1. комп не в домене.
2. пробовал "пользователь", "домен\пользователь", "домен.local\пользователь".
3. убрал, перезапустил сервис - не помогло.

IL81
Слушай, что то я запутался в том что ты хочешь сделать...
С компа который не в домене, с помощью керио что стоит на другой машине (она в домене?), подключиться к инету, при этом авторизовавшись на третьей машине - DC.
Так что ли?

Lovec

Цитата:

пункт "Ограничения web-доступа"

что-то нифига не получилось
вроде бы за это отвечает webPolicy, я required'ы на него закомментировал - ваще перестала веб-морда грузицца


IL81

Цитата:

1. комп не в домене.
2. пробовал "пользователь", "домен\пользователь", "домен.local\пользователь".
3. убрал, перезапустил сервис - не помогло.

1) Юзверь заведён в локальной базе? Откуда KWF узнает, что за юзер пришёл, если он и в домене-то не авторизован?
2) Пробуй "пользователь" из локальной базы KWF

Lovec
НЕТ
комп-клиент из домена обращается к компу-шлюзу (керио собсна) не из домена. домен на третьем компе.

Добавлено:
AlOne

Цитата:

1) Юзверь заведён в локальной базе? Откуда KWF узнает, что за юзер пришёл, если он и в домене-то не авторизован?

дык в керио маппинг настроен вот

Цитата:

2) Пробуй "пользователь" из локальной базы KWF

из локальной отлично логинется

Может кто-нить может озвучить решение чтоб две сетки видели друг друга в сетевом окружении по постоянному впн каналу, доменов нет, рабочие группы.