» Kerio WinRoute Firewall (часть 3)

SHRIKE74
Для KerioVPN - нет, а для OpenVPN - легко Пробросил тунель и дал адреса из одной подсети. Wins поднимать в обеих сетях. Иначе перевыборы мастер-браузера тебя достанут.

IL81
Без домена кина не будет...

SHRIKE74
По идее такого нет если в VPN не передаётся netbios

Добавлено:

Хотя как сказал andrejvb с WINS должно вырулится.

IL81
Согласен с Ruza, скорее всего нужно проксю вгонять в домен, ну и поиграться с галочками на закладках в Users.

Ekzarh
Если проблему еще не решил, можешь ситуацию описать по подробнее структуру сети и что не получается с инетом?

AlOne и все кому интересно как убрать пункт "Ограничения web-доступа" из страницы авторизации юзера.
Пришел знакомый спец по php и помог мне решить эту траблу. Теперь когда происходит логин юзера в веб-морду, он видит это. Т.е. он не видит ограничения которые заданы на прокси, хотя их дофига. Идеальным вариантом было бы вообще убрать строку "Ограничения web-доступа" и все что ниже нее, но дальше возиться стало просто лень. Сойдет и так
Делается это путем редактирования файла webPolicy.inc, что в папке ..\Program Files\Kerio\WinRoute Firewall\webiface\core. Есть в нем массив $ew, в который и собираются данные по существующим ограничениям. Конкретно была изменена следующая строка:

Код:
$ew[$h0]['data'] = ''; //implode('<br>', $hx['url']);

Lovec
спасибо, добрый человек =)
задача практически решена. решил переустановкой мастдая.
сия мысля пришла после того, как я в политиках траффика разрешл вся, всему, всегда и везде, но, инета не было по-прежнему... =)
ща попопаюсь ещё немного и всё будет готово. спасибо!

Lovec
nice
Я как раз его тоже ковырял, но в силу цейтнота не доковырял.

2 ALL
добавил шлюз в домен и все поехало. СПСБ.

Друзья мои, трабла такая:

Сетка 192.168.0.0/24
kerio 192.168.0.1
dns & pdc 192.168.1.2
vpn 192.168.1.6
ftp 192.168.1.4

Работает все ))) Все работает чеоез нат. Ползьзователи подтянуты через домэинмаппинг.
Работает маппиногом внутренний фтп

Не работает только vpn server (pptp) из локалки пашет...

правило исходящее:
vpn_in - WAN - Firewall - pptp,GRE,4090 порт - accept - MAP 192.168.1.6

исходящее обычное правило через НАТ.

И не работает! =( И в логах чисто. КТо подскажет, где косяк или как у Вас реализовано?

Подскажите, есть 2 машины на одной стоит Active Dirctory, на другой соответсвенно kerio, керио берет зверей из AD но при выходе в инет всеровно просит авторизацию (авторизация из AD проходит нормально), но как сделать что бы сразу при входе в домен не выводил страницу авторизации а сразу пускал в инет?

Ilyha58343 Так включи нат =) У тебя виндимо они лизут по хттп-прокси.

huntertor Nat естественно включен, прокся ваще вырублина

очень нужна помощь.
начиная с керио 6.3.0 при работе eMule он примерно каждые 15 минут теряет соединение с сервером. на версии 6.2.3 и более старых все нормально. правила прописал. все настройки сделал как надо. для проверки создал правило any, any, any, permit. все равно отваливается. откатываюсь на предыдущую версию фаера - все работает.
где копать?

r_dmitry
трафик инспектор можно попробовать отключить в правиле по которому осел работает

Привет Всем.
Может кто в курсе.
На машине стоит w2k3 ,WinRoute 6.4.0 build 3176 и поднят терминальный сервер.
Так вот есть проблема если терминальную сессию оставлять активной и не работать в ней тоисть свернуть окно то примерно через 20-30 минут, она вылетает. Приходится входить заново.
Причем если снести винроут то терминальная сессия может активной висеть хоть целый день.
Может кто сталкивался с проблемой. Причем если в ней работать то все окей. Проблема только тогда когда ее оставлять активной и не работать в ней. Вес настройки касательно винды стоят никогда не разрывать терм. сессию. Может что еще посмотреть.

Доброго всем времени суток
Имеется следующая проблема: при интенсивном обмене данными с файловым сервером загрузка процессора резко возрастает (процесс WinRoute.exe - до 60-70%). Существует ли возможность вообще исключить обмен по протоколу SMB из рассмотрения фаерволлом? Заранее спасибо

aljd

Цитата:

трафик инспектор можно попробовать отключить в правиле по которому осел работает

отключал. не помогает.

Подскажите плиз, может этот вопрос конечно надо в ветке с каспером задавать, но ......
Вообще стоит Керио 6.4, поставил KIS 6, так вот как я не боролся с кисом, ничего не получилось, блокирует соединение Керио и все тут, отключаю кис, все работает.

Как излечить?

ПС1: Не бейте сразу ногами.

TohaDub
файловый и проактивку в каспере оставь и побежит инет по керио ))

Цитата:

файловый и проактивку в каспере оставь и побежит инет по керио ))

А остальное вырубить чтоли?

TohaDub
Да. А вообще, их нельзя держать вместе, в скором времени такиееееее "приходы" начнутся.....

Хммм. Ну полюбому антивирь должен быть. Что тогда посоветуете????
На этой машине человек сидит и лазиет ведь в инет с него. Как тогда защищаться то?

TohaDub
Если ты про защиту от вирусов ИЗ сети, то керио и сам может на вирусы проверить...
Обязательно внеси папку керио в исключения каспера

спасибо. попробую.

TohaDub
попробуйте KWR в связке с NOD32. В NOD отключите IMON, исключений не ставьте. В Kerio должен быть активирован встроенный антивирус от MacAffee

Добрый день
подскажите плиз нужно поднять фтп на компе который является шлюзом.
фтп поднял на serv-U, но вот столкнулся с проблемой никто его не видет снаружи.
Шлюз поднят на керио версия 6.2.3. билд 2027
далее оказалось что мой ip даже не пингуется снаружи причем при условии если керио вообще останавливаю как службу.
пробовал писать правило первой строкой соурс=ани дисенайшен=ани службы=ани и разрешить, но даже в этом случае наш ip снаружи не пингуется
разговор с провайдерами ничего не прояснил они говорят у них все открыто, это типа у нас режется гдето. но вопрос где если все стоит ани или если керио вообще останавливается.
подскажите плиз как решить проблему?
и должна ли машина с остановленным керио и выключенным браундмаузером пинговаться из сети?
P.S. модем zyxel 660 настроен в режиме моста

4esz
IP напиши - можно в ПМ


Цитата:

должна ли машина с остановленным керио и выключенным браундмаузером пинговаться из сети?

Должна но зависит и от некоторых других настроек.

88.200.180.190
какие настройки посмотреть?

traceroute to 88.200.180.190 (88.200.180.190), 30 hops max, 40 byte packets
1 dynamic.adsl.datagroup.com.ua (85.159.2.1) 21.036 ms 23.755 ms 27.378 ms
2 adsl.transit-2-ge-0-0-23.ua-kiev.datagroup.com.ua (80.91.172.65) 28.570 ms 31.407 ms 34.632 ms
3 transit-1-ge-3-6.ua-kiev.datagroup.com.ua (80.91.160.169) 36.231 ms 38.650 ms 40.672 ms
4 transit-1-v455.de-fra.datagroup.com.ua (80.91.160.166) 76.158 ms 76.914 ms 78.915 ms
5 ae0-200.RT721-001.fkt.retn.net (81.222.4.137) 87.054 ms 91.135 ms 91.891 ms
6 ae0-3.RT502-001.msk.retn.net (81.222.15.1) 135.939 ms 97.559 ms 97.476 ms
7 GW-StartTelecom.retn.net (81.222.7.106) 103.514 ms 105.525 ms 106.310 ms
8 81.16.117.177 (81.16.117.177) 141.404 ms 142.160 ms 143.341 ms
9 81.16.117.178 (81.16.117.178) 164.122 ms 166.133 ms 170.179 ms
10 62.213.0.58 (62.213.0.58) 172.192 ms 175.016 ms 176.219 ms
11 * * *
29 * * *
30 * * *
Если керио выключен был то пинай прова... И покажи route print и ipconfig /all при выключенном керио. Да и список правил не помешает. Хотя с верхним эни-эни-эни-пермит по идее ничего другого не надо.

Добавлено:
А пинга нет действительно...

Ruza
в ПМ отправил ipconfig и route print
на момент твоего предыдущего сообщения файр был включен


Добавлено:
щас пробую пингануть себя вот с этого сайта
http://www.hq42.net/cgi-bin/remote_ping.cgi
вот ответ
щас керио включен первым правилом стоят все эни.
может быт какая нибудь кривизна при установке керио?

190 is a legal value for a host number.
180 is a legal value for a class C net.
200 is a legal value for a class B net.
88 is a legal value for a class A net.
Back to the Networking Tools page
Back to the Home page
Back to the Remote ping page
Watch the progress bar on your browser... it will tell you when the ping is completed.
PING 88.200.180.190 (88.200.180.190) from 66.23.192.50 : 56(84) bytes of data.

--- 88.200.180.190 ping statistics ---
10 packets transmitted, 0 received, 100% loss, time 9000ms

Ping completed. 00%
0% in the result record will indicate the host does not exist or is unreachable
00% will indicate the host exists but did not respond

чтобы раздавть инет winrout модем должен быть настроен как шлюз или роутором

Неправда. У меня настроен винроут мостом со второй сетевой картой на шлюзе и все прекрасно раздается. Так даже удобнее в итоге.
А если МОдем - роутер, да и еще НАТ поднят , плюс НАТ на керио, как у нас вначале было - то тот еще геморрой получается.