Gatti
из лана через инет на комп по РДП
5555555
совершенно верно
из лана через инет на комп по РДП
5555555
совершенно верно
» Kerio WinRoute Firewall (часть 3)
of topic -----heeeeellllpppp!!!!!
ни одного браузера? А IE куда делся?
Gatti
пуск\программы\стандартные\связь\подключение к удаленному рабочему столу
и ни каких браузеров )
пуск\программы\стандартные\связь\подключение к удаленному рабочему столу
и ни каких браузеров )
snayper7
С каждым постом ситуация становится все запутанней
Итак, на сколько я себе представляю:
1. Пользователю находящемуся в ЛАН необходимо подключится к удаленному хосту с помощью клиента RDP.
2. ЛАН отгорожен от внешнего мира с помощью KWF.
3. В Traffic Policy должен быть прописан именно юзер, а не IP адрес или hostname
Если все выше сказанное верно, то необходимо:
1. Правило которое вы уже написали. Но само по себе это правило работать не будет, по-этому
2. В Advanced Options в KWF на вкладке Web interface ставим галку Enable HTTP или HTTPS Web interface, в поле Winroute Server name прописываем hostname машины с Kerio
3. Инструктируем пользователя, что бы он перед тем как подключаться с помощью клиента RDP сначала в браузере ввел адрес http://имя_машины_c_kerio:4080 или https://имя_машины_c_kerio:4081, в зависимости от того какой интерфейс включили в п 2, в открывшемся окне ввести логин и пароль и только после этого подключаться по RDP.
Уф, надеюсь ясно написал.
С каждым постом ситуация становится все запутанней
Итак, на сколько я себе представляю:
1. Пользователю находящемуся в ЛАН необходимо подключится к удаленному хосту с помощью клиента RDP.
2. ЛАН отгорожен от внешнего мира с помощью KWF.
3. В Traffic Policy должен быть прописан именно юзер, а не IP адрес или hostname
Если все выше сказанное верно, то необходимо:
1. Правило которое вы уже написали. Но само по себе это правило работать не будет, по-этому
2. В Advanced Options в KWF на вкладке Web interface ставим галку Enable HTTP или HTTPS Web interface, в поле Winroute Server name прописываем hostname машины с Kerio
3. Инструктируем пользователя, что бы он перед тем как подключаться с помощью клиента RDP сначала в браузере ввел адрес http://имя_машины_c_kerio:4080 или https://имя_машины_c_kerio:4081, в зависимости от того какой интерфейс включили в п 2, в открывшемся окне ввести логин и пароль и только после этого подключаться по RDP.
Уф, надеюсь ясно написал.
shiko3000
если есть задача снифать трафик аськи - то рекомендую GiveMeToo 2.50 - проверено на практике - на машине с керио работает 100%.
если есть задача снифать трафик аськи - то рекомендую GiveMeToo 2.50 - проверено на практике - на машине с керио работает 100%.
Проблема с vpn: поднял vpn на winroute, нормально подключаюсь к нему клиентом. С сервера на клиент пинг идет, обратно-нет. VPN нужен в ключе radmina. Radmin в правилах на сервере разрешен и нормально коннектится к нему по статическому ip сервера(по ip внутри vpn-нет)ю В чем может быть проблема?
Выскакивает ошибка: "...Не удалось пройти аутентификацию"
Версия kwf и админки 6.4.1
[more=user.cfg]
<listitem>
<variable name="Name">Admin</variable>
<variable name="AccStatus">0</variable>
<variable name="auth_type">0</variable>
<variable name="Rights">31</variable>
<variable name="Password">NUL:123</variable>
<variable name="Groups">[Admins]</variable>
<variable name="FullName"></variable>
<variable name="Description"></variable>
<variable name="EMail"></variable>
<variable name="HTTPFilter">AJPRS</variable>
<variable name="QuotaDayEnabled">0</variable>
<variable name="QuotaDayType"></variable>
<variable name="QuotaDay">0</variable>
<variable name="QuotaWeekEnabled">0</variable>
<variable name="QuotaWeekType"></variable>
<variable name="QuotaWeek">0</variable>
<variable name="QuotaMonthEnabled">0</variable>
<variable name="QuotaMonthType"></variable>
<variable name="QuotaMonth">0</variable>
<variable name="QuotaAction"></variable>
<variable name="QuotaSendAlert">0</variable>
</listitem>
[/more]
[more=winroute.cfg]<table name="Administration">
<variable name="RemoteAdmEnabled">1</variable>
<variable name="RemoteAdmPort">44333</variable>
<variable name="RemoteAdmAcl"></variable>
<variable name="WebAdmEnabled">1</variable>
<variable name="WebAdmPort">40080</variable>
<variable name="WebAdmSslEnabled">1</variable>
<variable name="WebAdmSslPort">40081</variable>
<variable name="HTTPSPriority">1</variable>
<variable name="WebAdmRequireAuth">1</variable>
<variable name="WebAdmAcl"></variable>
</table>
...
<list name="TrafficRules_v2">
...
<listitem>
<variable name="Order">2</variable>
<variable name="Enabled">1</variable>
<variable name="Color">8</variable>
<variable name="Name">temp admin</variable>
<variable name="Description"></variable>
<variable name="Src">мой_ип</variable>
<variable name="Dst">iface:"INET"</variable>
<variable name="Dst">Firewall</variable>
<variable name="Proxy"></variable>
<variable name="Service"></variable>
<variable name="ValidTime"></variable>
<variable name="Action">permit</variable>
<variable name="SNAT">auto</variable>
<variable name="DNAT"></variable>
</listitem>
[/more]
Первое правило в списке - разрешение трафика из инета на фаер (определенный сервис)
Подскажите, плиз как решить проблему
Версия kwf и админки 6.4.1
[more=user.cfg]
<listitem>
<variable name="Name">Admin</variable>
<variable name="AccStatus">0</variable>
<variable name="auth_type">0</variable>
<variable name="Rights">31</variable>
<variable name="Password">NUL:123</variable>
<variable name="Groups">[Admins]</variable>
<variable name="FullName"></variable>
<variable name="Description"></variable>
<variable name="EMail"></variable>
<variable name="HTTPFilter">AJPRS</variable>
<variable name="QuotaDayEnabled">0</variable>
<variable name="QuotaDayType"></variable>
<variable name="QuotaDay">0</variable>
<variable name="QuotaWeekEnabled">0</variable>
<variable name="QuotaWeekType"></variable>
<variable name="QuotaWeek">0</variable>
<variable name="QuotaMonthEnabled">0</variable>
<variable name="QuotaMonthType"></variable>
<variable name="QuotaMonth">0</variable>
<variable name="QuotaAction"></variable>
<variable name="QuotaSendAlert">0</variable>
</listitem>
[/more]
[more=winroute.cfg]<table name="Administration">
<variable name="RemoteAdmEnabled">1</variable>
<variable name="RemoteAdmPort">44333</variable>
<variable name="RemoteAdmAcl"></variable>
<variable name="WebAdmEnabled">1</variable>
<variable name="WebAdmPort">40080</variable>
<variable name="WebAdmSslEnabled">1</variable>
<variable name="WebAdmSslPort">40081</variable>
<variable name="HTTPSPriority">1</variable>
<variable name="WebAdmRequireAuth">1</variable>
<variable name="WebAdmAcl"></variable>
</table>
...
<list name="TrafficRules_v2">
...
<listitem>
<variable name="Order">2</variable>
<variable name="Enabled">1</variable>
<variable name="Color">8</variable>
<variable name="Name">temp admin</variable>
<variable name="Description"></variable>
<variable name="Src">мой_ип</variable>
<variable name="Dst">iface:"INET"</variable>
<variable name="Dst">Firewall</variable>
<variable name="Proxy"></variable>
<variable name="Service"></variable>
<variable name="ValidTime"></variable>
<variable name="Action">permit</variable>
<variable name="SNAT">auto</variable>
<variable name="DNAT"></variable>
</listitem>
[/more]
Первое правило в списке - разрешение трафика из инета на фаер (определенный сервис)
Подскажите, плиз как решить проблему
Помогите настроить FlylinkDC++ под Kerio - у меня динамический ip - к хабам подключается но ничего качать не может... нифига найти не может... хотя service DC++ и eDonkey включены... что делать? Хелп!!!
Кто подскажет, что такое: в Connections постоянно висит соединение(DNS) через NAT на адрес 202.83.197.234, в логах фильтра такое:
PERMIT "NAT" packet to inet, proto:UDP, len:72, ip/port:xx.xx.xx.xx(контроллер домена):1034 -> 202.83.197.234:53, udplen:44
PERMIT "NAT" packet from inet, proto:UDP, len:164, ip/port:202.83.197.234:53 -> yy.yy.yy.yy (внешний ip):59086, udplen:136
PERMIT "NAT" packet to local, proto:UDP, len:164, ip/port:202.83.197.234:53 -> xx.xx.xx.xx:1034, udplen:136
PERMIT "NAT" packet from local, proto:UDP, len:72, ip/port:xx.xx.xx.xx:1034 -> 202.83.197.233:53, udplen:44
Kwf стоит на отдельной машине,не на контроллере. В политиках траффика правило для NAT такое:
NAT local(source) any(destination) any(service) разрешить NAT(inet)(translation)
PERMIT "NAT" packet to inet, proto:UDP, len:72, ip/port:xx.xx.xx.xx(контроллер домена):1034 -> 202.83.197.234:53, udplen:44
PERMIT "NAT" packet from inet, proto:UDP, len:164, ip/port:202.83.197.234:53 -> yy.yy.yy.yy (внешний ip):59086, udplen:136
PERMIT "NAT" packet to local, proto:UDP, len:164, ip/port:202.83.197.234:53 -> xx.xx.xx.xx:1034, udplen:136
PERMIT "NAT" packet from local, proto:UDP, len:72, ip/port:xx.xx.xx.xx:1034 -> 202.83.197.233:53, udplen:44
Kwf стоит на отдельной машине,не на контроллере. В политиках траффика правило для NAT такое:
NAT local(source) any(destination) any(service) разрешить NAT(inet)(translation)
Цитата:
Прошу помощи знатоков...
На базе керио огранизованы два канала - один через Nat, второй через прокси отправляет запросы на другой parent. При этом, в первом случае на локальный сайт вида 192.168.0.х заходит, во втором случае, естесственно, нет. Вопрос: как сделать так, чтобы был доступен именно 192.168.0.100 и запросы на него не уходили далее на parent прокси? Пробовал через HTTP-policy - результата нет...
неужели совсем никто не знает как такое чудо сделать?
И если можно еще один вопрос: почему при скачивании с этого же сервера по FTP-протоколу керио загружает проц на все 100% ?
Sibtech
Смотри какая служба у тебя работает с ИП Singtel'a
Цитата:
А по идее это нормально когда опрос днс проходит, но не совсем понятно как у тебя настроен керио в отношении форвардинга.
Paparazzi777
Внимательно взгляни на свой вопрос со стороны. И подумай можно ли на него ответить... Есть каналы, есть керио, есть сайт, а что где ????
Смотри какая служба у тебя работает с ИП Singtel'a
Цитата:
whois 202.83.197.234
[Querying whois.apnic.net]
[whois.apnic.net]
% [whois.apnic.net node-1]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
inetnum: 202.83.192.0 - 202.83.223.255
netname: SINGTEL-HK
descr: Singtel Hong Kong Limited
descr: Unit 2519-2530
descr: 11 On Lai Street
descr: Corporation Park
А по идее это нормально когда опрос днс проходит, но не совсем понятно как у тебя настроен керио в отношении форвардинга.
Paparazzi777
Внимательно взгляни на свой вопрос со стороны. И подумай можно ли на него ответить... Есть каналы, есть керио, есть сайт, а что где ????
Ruza
Попробую поподробнее
На сервере два интерфейса: LAN - 192.168.0.100 и Internet - 192.168.1.1. Последний смотрит на adsl-модем. Юзеры ходят через прокси, который делает редирект на parent proxy через адсл-модем, все остальные сервисы идут по NAT через тот же модем. Есстественно в браузерах каждый юзер прописывает адрес локального прокси. Есть локальный сайт на апачах на порту 80 на этой же машине. При настройке браузера через прокси на локальный сайт зайти они не могут - видимо запрос уходит далее на parent proxy, на котором такого адреса (192.168.0.100) он просто не находит. Вопрос в том, как не меняя настроек у пользователей разрешить им ходить на локальные сайты вида 192.168.0.*, т.е. чтобы запрос не уходил далее на parent proxy, или на крайний случай возвращался обратно (там тоже стоит kerio 6.4.1)?
Заранее спасибо за ответы.
Попробую поподробнее
На сервере два интерфейса: LAN - 192.168.0.100 и Internet - 192.168.1.1. Последний смотрит на adsl-модем. Юзеры ходят через прокси, который делает редирект на parent proxy через адсл-модем, все остальные сервисы идут по NAT через тот же модем. Есстественно в браузерах каждый юзер прописывает адрес локального прокси. Есть локальный сайт на апачах на порту 80 на этой же машине. При настройке браузера через прокси на локальный сайт зайти они не могут - видимо запрос уходит далее на parent proxy, на котором такого адреса (192.168.0.100) он просто не находит. Вопрос в том, как не меняя настроек у пользователей разрешить им ходить на локальные сайты вида 192.168.0.*, т.е. чтобы запрос не уходил далее на parent proxy, или на крайний случай возвращался обратно (там тоже стоит kerio 6.4.1)?
Заранее спасибо за ответы.
Paparazzi777
Домен есть?
Добавлено:
И адрес машины с керио?
Домен есть?
Добавлено:
И адрес машины с керио?
Ruza
домена нет, адрес машины 192.168.0.100
домена нет, адрес машины 192.168.0.100
Проблему решил установкой поверх версии 6.4.1 и патча.
Перед установкой Kerio естественно остановил engine.
Перед установкой Kerio естественно остановил engine.
Paparazzi777
Попробуй через редирект в URL Rules на HTTP полисях.
Попробуй через редирект в URL Rules на HTTP полисях.
Paparazzi777
Подумай зачем в настройках браузера, там где указываешь прокси сервер, есть поле "Исключения". Если не сообразишь - встань на это поле и нажми волшебную кнопку F1.
Подумай зачем в настройках браузера, там где указываешь прокси сервер, есть поле "Исключения". Если не сообразишь - встань на это поле и нажми волшебную кнопку F1.
obtim
В том что ВПН сеть состоит с двух компов: твоего и компа с керио!
В том что ВПН сеть состоит с двух компов: твоего и компа с керио!
Подскажите, плиз как решить проблему с аутентификацией
http://forum.ru-board.com/topic.cgi?forum=8&topic=22219&start=1340#20
http://forum.ru-board.com/topic.cgi?forum=8&topic=22219&start=1340#20
sadafaga
именно так и работает, вопрос был как раз в другом...
Yips
пробовал уже... безполезно...
именно так и работает, вопрос был как раз в другом...
Yips
пробовал уже... безполезно...
Paparazzi777 в днс его забацать...
obtim
Цитата:
1. Проверь маршруты на клиенте, route print, должен быть маршрут в подсеть vpn сервера при установленном подключении
2. Присвой в winroute клиенту, под которым конектишься, статический ip (users and groups->users->select user properties->вкладка ip adresses->vpn client adress, он должен быть из диапазона адресов vpn сервера(не обязательно, но так проще).
3. сервер пингуй с клиента по ip адресу vpn сервера, посмотреть мона в configuration->interfaces->vpn server ->ip adress
4. если с клинта хочешь доступ к локальной сети сервера, разберись с маршрутами на сервере configuration->interfaces->vpn server ->properties->advanced ->custom routes
Цитата:
Проблема с vpn: поднял vpn на winroute, нормально подключаюсь к нему клиентом. С сервера на клиент пинг идет, обратно-нет. VPN нужен в ключе radmina. Radmin в правилах на сервере разрешен и нормально коннектится к нему по статическому ip сервера(по ip внутри vpn-нет)ю В чем может быть проблема?
1. Проверь маршруты на клиенте, route print, должен быть маршрут в подсеть vpn сервера при установленном подключении
2. Присвой в winroute клиенту, под которым конектишься, статический ip (users and groups->users->select user properties->вкладка ip adresses->vpn client adress, он должен быть из диапазона адресов vpn сервера(не обязательно, но так проще).
3. сервер пингуй с клиента по ip адресу vpn сервера, посмотреть мона в configuration->interfaces->vpn server ->ip adress
4. если с клинта хочешь доступ к локальной сети сервера, разберись с маршрутами на сервере configuration->interfaces->vpn server ->properties->advanced ->custom routes
lavren
Цитата:
Поясни, не понял фразу
Добавлено:
Еще вопрос по апгрейду. Есть kerio версии 6.1 Для апгрейда до последней 6.4 он хочет промежуточный апгрейд до 6.2. Я не смог ее найти.
Поэтому думаю скопировать конфиги, затереть 6.1, поставить 6.4 и вернуть конфиги. Работать будет такая схема?
Цитата:
В том что ВПН сеть состоит с двух компов: твоего и компа с керио!
Поясни, не понял фразу
Добавлено:
Еще вопрос по апгрейду. Есть kerio версии 6.1 Для апгрейда до последней 6.4 он хочет промежуточный апгрейд до 6.2. Я не смог ее найти.
Поэтому думаю скопировать конфиги, затереть 6.1, поставить 6.4 и вернуть конфиги. Работать будет такая схема?
странно, недолжен ничего просить, я также обновлял - без проблем, он должен обновить систему сохранив только нгастройки, у меня тогда вопрос - где керио хранит свои настройки))))
obtim
Ссылка
После подключения ВПН-сеть состоит из двух компов: твой комп в интернете и сервер с керио с сетевим интерфейсом ВПН!
Тебе нужно соответственно правила настроить чтобы они друг друга хорошо видели!
Ссылка
После подключения ВПН-сеть состоит из двух компов: твой комп в интернете и сервер с керио с сетевим интерфейсом ВПН!
Тебе нужно соответственно правила настроить чтобы они друг друга хорошо видели!
obtim
Я апгрейдил с весии 5.1.10, всё нормально работает.
Делал так:
Код: 1. Сохранил все *.cfg файлы 5.1.10
2. Деинсталировал 5.1.10
3. Инсталировал 6.3.1 и остановил сервис винроута
4. Убил все *.cfg.bak
5. Востановил файлы от 5.1.10, замещением
6. Запустил сервис винрута
Я апгрейдил с весии 5.1.10, всё нормально работает.
Делал так:
Код: 1. Сохранил все *.cfg файлы 5.1.10
2. Деинсталировал 5.1.10
3. Инсталировал 6.3.1 и остановил сервис винроута
4. Убил все *.cfg.bak
5. Востановил файлы от 5.1.10, замещением
6. Запустил сервис винрута
как запретить аське отсылать файлы?
она зараза сейчас если напрямую не может то подымает на своих серверах прокси на тот же порт (5190) и хз как его запретить....
хост для прокси у её выделяется каждый раз разный, подсеть если заблочить - логинится не будет
у кого есть варианты?
она зараза сейчас если напрямую не может то подымает на своих серверах прокси на тот же порт (5190) и хз как его запретить....
хост для прокси у её выделяется каждый раз разный, подсеть если заблочить - логинится не будет
у кого есть варианты?
Всем привет, кто сталкивался с такой ошибкой:
Цитата:
Выскакивает окно при установки Kerio WinRoute Firewall 6.4.1-3519 на Kerio WinRoute Firewall 6.3.1.2906, замечу что устанавливал на другие компы, где обновлял керио, всё нормально стало, а вот на этом компьютере выделывается!
Заранее благодарен за ответы.
Цитата:
Product: Kerio WinRoute Firewall -- Error 1325. KWFDriver is not a valid short file name.
Выскакивает окно при установки Kerio WinRoute Firewall 6.4.1-3519 на Kerio WinRoute Firewall 6.3.1.2906, замечу что устанавливал на другие компы, где обновлял керио, всё нормально стало, а вот на этом компьютере выделывается!
Заранее благодарен за ответы.
а ты скопируй конфиги отдельно, удали старый керио
потом поставь новый начистую и подлей конфиги)
потом поставь новый начистую и подлей конфиги)
Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808182838485868788
Предыдущая тема: Не расшариваются SYSVOL и NETLOGON
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.