» Kerio WinRoute Firewall (часть 4)

Цитата:

Цитата:УУкогонить получалось использовать мапинг на сервер подключенный к шлюзу по VPN???


У меня получалось и год работало... В чём проблема то?

у меня тоже все класно работало, но потом обновил kwf до версии 6.5.0 и Kerio VPN Client подключается, но теперь зайти в сеть не могу, видно, что пакеты идут в интернет, в чем дело, понять не могу

эммм... вопрос остался открыт... но могу сказать что пересылку пакетов он не делает.... ииии... хрень какаято получается.... ладно пойду дальше разбираться

Hrist

Цитата:

но все же в чем проблема? в 6.5.0.4794 - она то же была - и пришлось откатиться обратно на 6.4.2.3672

Проблема в руках кериевцев
На самом деле я точно заметил, что суть скрывается в неправильной работе с IE версии ниже чем 6.0, короче того который идет в виндах до XP. В итоге я решаю проблему установкой более новых версий IE или альтернативных браузеров, например, Opera.

Mystical
у меня везде стоит ie6.sp1_rus
я бы предположил тогда что проблемы в работе с ИЕ версии ниже ie6.sp2
написать бы кериевцам - неужели две версии подряд не могут заметить грабли и исправить их? или все за рубежом работают исключительно под ХП и под ИЕ7 ?

Hrist

Цитата:

у меня везде стоит ie6.sp1_rus
я бы предположил тогда что проблемы в работе с ИЕ версии ниже ie6.sp2

Тогда все понял. У меня по умолчанию стоит https авторизация. В этом случае со старыми ИЕ не работало.
Т.е. если я правильно понял, то по http и с IE 6 не работает?

Mystical

Цитата:

http и с IE 6 не работает

похоже именнот так - http - с ие6 сп1 - не работает
https - работает везде и с ие6 сп1 и с ие6 с2 и с ие7
правда иногда отваливается напрочь и оно - приходиться перезагружать проксю - хотя такое и раньше бывало - возможно отваливалась не авторизация а днс

Добавлено:
кстати
вот напрягает - за каким фигом он поднимает вебморду на всех интерфейсах
и не дает визуальной возможности указать где оно надо а где совсем нет

[11/Nov/2008 13:04:00] Service "WebInterface" bound to address 172.22.40.46 stopped
[11/Nov/2008 13:04:00] Service "WebInterface" bound to address 192.168.0.4 stopped
[11/Nov/2008 13:04:00] Service "WebInterface" bound to address 172.16.0.108 stopped
[11/Nov/2008 13:04:00] Service "WebInterface" bound to address 127.0.0.1 stopped

может кто знает как это исправить и жестко задать?
может от суда и растут грабли?

еще одна проблема наколюнулась
в XP SP3 c IE7
при переходе на запрос авторизации по https
вылезает частенько на некоторых компах ошибка сертификата - типа сертификат создан не для этого узла и все такое...

установка сертификата в доверенные корневые - ничего не дает...

В общем пока зделал так
Сперва группы пользователей



те кого нет в списке имеют интернет весь

Затем правило в котором я закрываю конкретные порты




Но вижу что есть куча проблем и надо пересмотреть все в корне.
1. Судя по всему нужно переопределить политику и в NAT(выход в интернет) указать конкретные порты.
2.Некоторым нужно будет выходить переодически на конкретные сайты. То есть как зделать так чтоб конкретному IP дать выход по HTTP на конкретные сайты. да и NOD32 у всех обновляетса по http.

janno
1. это да - открывать ВСЕ порты - это лохой тон и нарушение безопасности.

открыть нужно только то что нужно

на вскидку

DNS
Ping
ICQ (если надо)
HTTP
HTTPS
FTP (если нужно)
SMTP и POP3 и IMAP (если почта внешняя нужна)

[more=у меня правила вот такие]

[/more]

т.е. у меня включена авторизация - соотв. те кто не имеют логин пароля - те и в инерет могут только по ICQ выйти да на несколько открытх мной в доступ без пароля сайтов

2. запрет и разрешения на определенные сайты я делаю в политиках Http



иа в политиках использую группы URL

хотя можно и в трафик полисях прописать так же - конкретным ип на конкретную группу урлов (или адреса сайтов) разрешить идти...

Добавлено:
janno
кстати можно куда проще идти не от запрета (самым последним правилом все равно запрет стоит по умолчанию - т.е. работает принцип запрещено все что не разрешено выше)
а от разрешения - т.е. первое правило

группа ип которым можно все - открыть доступ на основные их порты
потом группа ип которым можно только некоторые сайты - открыть только доступ к некоторым сайтам по некоторым портам...

Hrist
ты несовсе прав по поводу правил... ну да ладно...
а вот на счет сертификата тут просто... нужно чтоб он соотведствовал требованиям мелкософта. тобш был актуален, выдан для опред машины... (имя) и тд. переделай сертификат, если поднят цент сертификации то получи с него...)))

Hrist
Ок открыл то что нужно.



список юзеров



Пункт 2-й остаетса пока открытым.

ребят подскажите куда и что вбивать скажем если у меня есть конкретный компьютер(192.168.0.7) которому я закрыл интернет (http) но ему нужен будет конкретный сайт (mail.ru). Как только его пустить на конкретный сайт? желательно без того чтоб заводить пользователей а если заводить то по подробнее плиз я 2-й день керио вижу

а обязательно http NAT-ить ? , тебе тады не в политики трафа надо а в фильтр содержимого . Если юзеру надо разрешить тока сайт mail.ru и все то самый простой я думаю вариант это сначало запретить ему все сайты , а следующим правилом в политике http разрешить на mail.ru.

это если ЮЗЕРУ, а так его еще надо создать ))). Дружище, зайди в раздел "Юзеры", полистай пару минут, все станет ясно. А лучше еще почитать мануал. В остальном - хттп рулез))

Labigo4you

Цитата:

ты несовсе прав по поводу правил... ну да ладно...

очень весомо звучит - а по сути?


Цитата:

а вот на счет сертификата тут просто... нужно чтоб он соотведствовал требованиям мелкософта. тобш был актуален, выдан для опред машины... (имя) и тд. переделай сертификат, если поднят цент сертификации то получи с него...)))

сертификат выдает керио - керио его под себя и затачивает - при чем тут центр сертификации?

Добавлено:
janno

Цитата:

ребят подскажите куда и что вбивать скажем если у меня есть конкретный компьютер(192.168.0.7) которому я закрыл интернет (http) но ему нужен будет конкретный сайт (mail.ru). Как только его пустить на конкретный сайт? желательно без того чтоб заводить пользователей а если заводить то по подробнее плиз я 2-й день керио вижу

этому юзеру нужно прежде всего разрешить таки хттп (если ты ему запретишь весь протокол - то как ты потом что то ему разрешишь)

а в http рулесах создаешь два правила
1ое - разрешающее этому ип сайт маил.ру
2ое - запрещаешь этому ип все остальные сайты

т.е. для начала - создаешь группу ип - которым хочешь разрешить маил.ру и запретить все остальное...

потом в хттп рулесах создаешь правило

[more=далее]



на второй закладке этого правила указываеш что оно работает только для этой группы адресов



ну и потом ниже создаешь правило запрещающее им все остальное по хттп


только не забудь на второй закладке и этого же правила указать что оно то же действует только для этой группы адресов (а то запретит все для всех)

ну и естественно этому ип нужно в политиках трафика разрешить хттп.

это вариант через хттп правила

а можно попробвать и через трафик политки - смотри у меня правило рем_моб для юзера раздешена группа адресов мобилс

так же и ты можешь на верху создать правило только не для юзера а для ип и указать группу адресов куда забьешь сайт маил.ру или какой другой

[/more]

2 ALL
Народ заканчивайте картинную галерею делать!!!
Читать же не возможно...

Кажется у меня уникальная проблема:
Добавляю пассивный VPN туннель, вставляю удалённый фингерпринт, даю название, жму ок, интерфейс появляется, затем после нажатия кнопки "обновить" тут же пропадает...... собственно также как и если зайти в другой пункт меню, или просто подождать соединения.

What the hell?

Подскажите, как можно НЕ чтиывать трафик с определенных сайтов?
Причем пускать на них и после того, как пользователь превысит квоту.

ShamaN
неучитывать можно попробовать в Учет - Исключения - Не собирать статистику веб-узла для URL, относящихся к... - там указываете группу адресов которую исключить

ну а пускать на них после того как превысил квоту - если у вас стоит полная блокировка трафика - то для начала юзеру придеться запомнить что нужно разлогиниться.

а уже потом как у меня выше было в картинках описано - создаете правило в хттп правилах что бы пускать всех и без авторизации на эту группу урлов...


кстати
переводчики керио просто веселуха

представтье себе - простому пользователю приходит письмо об окончании лимита трафика интернет по такой темой

Тревога: Превышена квота на перенос данных для пользователя

о как! перенос данных. я сам сначало удивился...

дальше чуть лучше но все равно заумно

Квота на передачу данных для пользовaтеля превышена
Хост или пользователь сети превысили ограничение на объем передаваемых данных за указанный период времени. В зависимости от настроек скорость работы в сети для данного хоста может быть ограничена или работа полностью запрещена до начала следующего временного интервала.

люди будут пугаться однозначно

Hrist

Цитата:

Учет - Исключения - Не собирать статистику веб-узла для URL

спасибо, но я так и делал, но при заходе на указанные сайты в статистике все равно количество скачанного увеличивается.

как правильно настроить работу с VPN-клиентом? Год назад перестал с ним работать (до этого около 2-х лет работа на нем) Сейчас пытаюсь настроить, не получается. клиент подключается, но интернет не раздать. В логе подключения клиента вижу что проключается в маршрут другой подсети, где нет интернета. Добавляю маршрут, он появляется в таблице, но появляется после ненужного мне маршрута, который является видимо основным, и я не могу его исправить. Вот этот лог. Подсеть 192.168.0.64 - не нужная мне подсеть, там нет интернета.

[16/11/2008 17:42:58] GUI: connecting to '192.168.0.1'
[16/11/2008 17:42:58] D[VPN client] VPNClient[0004] - connecting to 192.168.0.1:4090, username mikl
[16/11/2008 17:42:58] D[VPN client] VPNClient[0004] - server name resolved - 192.168.0.1
[16/11/2008 17:42:58] D[VPN client] VPNClient[0004] - route to server added, gw = 10.10.0.1 (adapter 0x10004)
[16/11/2008 17:42:58] D[VPN client] VPNClient[0004] - local TCP address = 10.10.3.93:4055
[16/11/2008 17:42:59] D[VPN client] VPNClient[0004] - SSL connection successfully established
[16/11/2008 17:43:01] D[VPN SSL] Certificate checked, result = 0x00000805, revocation checking disabled in Internet Options
[16/11/2008 17:43:01] D[VPN client] VPNClient[0004] - sending VERSION message, version = 2
[16/11/2008 17:43:02] D[VPN client] VPNClient[0004] - received VERSION message, version = 2
[16/11/2008 17:43:03] D[Cipher] BLF[3/1]: generating blowfish parameters
[16/11/2008 17:43:03] D[Cipher] BLF[3/1]: allocated memory for blowfish cipher configuration.
[16/11/2008 17:43:03] D[Cipher] BLF[3/1]: blowfish parameters randomized
[16/11/2008 17:43:03] D[Cipher] BLF[3/1]: blowfish parameters generated
[16/11/2008 17:43:03] D[Cipher] BLF[3/1]: generating config message
[16/11/2008 17:43:03] D[Cipher] BLF[3/1]: generating config message
[16/11/2008 17:43:03] D[VPN client] VPNClient[0004] - received R_IPCONFIG message, IP = 192.168.252.3/255.255.252.0, CEP = 3600 s.
[16/11/2008 17:43:03] D[VPN client] VPNClient[0004] - connection added in driver.
[16/11/2008 17:43:03] D[Cipher] BLF[3/1]: generating config message
[16/11/2008 17:43:03] D[Cipher] BLF[3/1]: generating config message
[16/11/2008 17:43:03] D[VPN client] VPNClient[0004]: primary cipher added in driver
[16/11/2008 17:43:03] D[VPN client] VPNClient[0004] - driver started sending secret to 192.168.0.1:4090.
[16/11/2008 17:43:03] D[VPN client] VPNClient[0004] - waiting for SECRET_RECEIVED from 192.168.0.1:4090
[16/11/2008 17:43:03] D[VPN client] VPNClient[0004] - SECRET_RECEIVED received
[16/11/2008 17:43:03] D[VPN client] VPNClient[0004] - driver stopped sending secret to 192.168.0.1:4090.
[16/11/2008 17:43:03] D[KRIPL] VPNClient[0004] - maintenance started
[16/11/2008 17:43:03] D[KRIPL] VPNClient[0004] - route 192.168.252.0/255.255.252.0 (loc/added) added into list
[16/11/2008 17:43:03] D[KRIPL] VPNClient[0004] - maintenance done
[16/11/2008 17:43:03] ОК (10): Соединение установлено успешно.
[16/11/2008 17:43:03] D[VPN client] VPNClient[0004] - received ROUTES message
[16/11/2008 17:43:03] D[KRIPL] VPNClient[0004] - maintenance started
[16/11/2008 17:43:03] D[KRIPL] VPNClient[0004] - route 192.168.1.0/255.255.255.248 (sys/added) added into list
[16/11/2008 17:43:03] D[KRIPL] VPNClient[0004] - route 192.168.0.64/255.255.255.252 (sys/added) added into list
[16/11/2008 17:43:03] D[KRIPL] VPNClient[0004] - maintenance done

Ребят! Кто нибуть решил проблему с "Параметры дозвона". Она описывалась тут http://forum.ru-board.com/topic.cgi?forum=8&topic=27988&start=480#18

Кнопка "Параметры доззвона" сама не активна. незнаю что уже и делать или не делать ))

formatb
Попробуй создать еще одно диал-ап соединение. Во втором должно быть доступно.

Прошу помощи в реализации входа пользователей по логину и паролю.
Раньше всё было прекрасно любой пользователь зная свой пароль-логин, мог
сесть за любую (внутри офиса) машину и юзать инет ... НО в "статистике" траф. не отображался ...
Теперь когда сделал привязку пользователей к IP - Статистика чудненько вешается на каждого зверя, НО теперь не проконтролируешь кто именно из юзверей сидел за компом ...

-Как бы сделать так чтоб и статистика отображалась и при каждой новой сессии, юзер каждый раз проходил авторизацию?

Pr0d1
логины на англ языке?
трафик инспектор не отключал на правилах или в протоколах хттп?
у меня никогда не было проблем с счетом тафика при авториазции логин - паролем...

Hrist
Да логины на англ.


Цитата:

трафик инспектор не отключал на правилах или в протоколах хттп?

не понял ... где смотреть? -можно подробнее?


Цитата:

у меня никогда не было проблем с счетом тафика при авториазции логин - паролем...

т.е. пользователи каждый раз проходят авторизацию на проксе? и при этом в консоле KWF "Статистика" - в реальном времени виден кач по пользователям?
-Тоже так ХОЧУ!!!
Как же мне это реализовать?

да вообще это не чудо, не барабашка какое-то, а просто такой механизм )) просто надо указывать шлюз на сетевом интерфейсе, иначе как узнает программа, что ты хочешь считать? и шлюз должен быть один ))) "в реальном времени" - в админской консоли в диаграмме интервал 20 сек, в статистике "СТАР" несколько дольше- 20-25 минут

Liderdomofon

Цитата:

просто надо указывать шлюз на сетевом интерфейсе

это простите как? и в совокупе с чем? с "привязкой пользователей по IP" ? - Чтоб статистика начала отображаться и пользователи логинились на проксю, а не автоматом?

Добрый день , подскажи где я накосячил в правилах
вот скрин моего traffic policy

Проблема в том, что когда пользователь включает комп в инет его не пускает, пока не проделаешь вот такую вещь:
1. Надо создать правило any any any allow
2. Потом попробовать с машины пользователя полезть в инет (его все рано не пустит)
(И если не выполнить пункт 2. , тоже работь не будет ...)
3. Удалить правило созданное в пункте 1.

Тогда инет у пользователя появляться и все работает до перезагрузки, потом опять все сначала.

Или подскажите как под другому можно сделать правила, что бы давать разным группам пользователей, разные права на инет.

Уважаемые! Вопрос такой, может на последней версией это сработает:
У нас много удаленных коннектов по RDP из интернета. Имеется 2 интернет канала. Резервирование каналов включено. Когда работает основной канал, то пользователи не могут подключиться по RDP через 2й канал. Сейчас это можно обойти?

Такая проблема.
Керио 6.5.1 5000.

Стоит аутентификация пользователей при доступе к вэб-страницам.

А на самом хосте Firewall во всех приложениях инет работает, а в браузерах выдает:
"Запрошенная страница не найдена. Пожалуйста, свяжитесь с администратором межсетевого экрана."

Почему так?