» Kerio WinRoute Firewall (часть 4)

KFW 6.0.6 (пытался ставить 6.5.1.5000 - не пошло, видимо из-за того, что описано ниже, но додумался я до этого поздно уже).

Правила по умолчанию.
Если для NAT и Firewall включен Protocol inspector (Default), то ничего кроме ICQ не гуляет. Если инспектор отключить - то все замечательно, но тогда логи http и web не пишутся.

В чем может быть проблема? Что инспектору не нравится?

WELL
Как клиенты пытаются выходить в сеть? Через NAT или через прокси?

В случае NAT, если я правильно понимаю, трафик рабочих станций идет по правилу "Локальная сеть 2" (если запрос идет с локального адреса 192.168...) и до правила "NAT" дело не доходит... Отсюда вопрос включен ли на этом правиле NAT (колонку не видно)?

И всё-таки, кто пользуется VPN, упорно не удаётся настроить на последней версии раздачу интернета через VPN клиента. В старых версиях пользовался, здесь не раздаётся инет, хоть тресни )). Кто-нить опыт имеет?

Цитата:

Как клиенты пытаются выходить в сеть? Через NAT или через прокси?

В случае NAT, если я правильно понимаю, трафик рабочих станций идет по правилу "Локальная сеть 2" (если запрос идет с локального адреса 192.168...) и до правила "NAT" дело не доходит... Отсюда вопрос включен ли на этом правиле NAT (колонку не видно)?

Клиентов вообще желательно бы сделать через NAT с аутентификацией по ip-шнику.
Чтобы софт типа банк-клиента и т.п. мог нормально работать через керио.
Но мне не совсем очевидно как в керио это сделать.
Помоги, пожалуйста.

P.S. NAT в "Локальная сеть 2" не включен.

WELL

Цитата:

Клиентов вообще желательно бы сделать через NAT с аутентификацией по ip-шнику.

Тогда что-то типа такого:
1. заводишь в керио группу пользователей, для которой будет разрешен выход в инет;
2. в настройках пользователей на закладке "IP Addresses" ставишь галку "Specific host IP addresses" и прописываешь адрес, с которого будет работать этот пользователь
3. в разделе "Users" на закладке "Authentication Options" ставишь галку "Always require users to be authenticated when accessing web pages"
4. в трафик полиси создаешь такие правила:
Source Destination Port/Service Action NAT Description

Почитал описание, вроде как получается, что возможности раздавать инет через Керио-ВПН и нету:
" Для доступа в Интернет VNP клиенты используют свое текущее Интернет соединение. VPN клиентам не разрешается связываться с Интернет через WinRoute (настройки шлюза по умолчанию для клиентов установить невозможно)."

ne0_2002
Спасибо, буду пробовать.


Цитата:

PS. UserGate уже не устраивает?

Да я им и не пользовался. Так - ломал давно

Может кто-то все же подскажет по протокол инспектору?

Версия 6.0.6. Правила по умолчанию, созданные визардом.

Провел некоторое исследование.
Тестировалось с машины в локальной сети.

В итоге имеем такие варианты:
1. Протокол инспектор отключен для правил NAT и Firewall.
Веб, почта - все гуляет замечательно. В списке соединений все нормально, т.е. то что ожидалось.
Но не ведутся логи http и web - что плохо.

Скрин соединений в Kerio


2. Протокол инспектор включен для NAT, отключен для Firewall.
Веб, почта гуляет нормально. Но в списке соединений появляются дублирующие соединения с компьютера, где установлен Kerio.

Скрин соединений в Kerio


3. Протокол инспектор включен и для NAT и для Firewall.
Веб и почта полностью встает. В соединений творится что-то непонятное. Мало того что соединения дублируются, так еще от машины с Kerio их становится бесконечно много.

Скрин соединений в Kerio


Кто-нибудь может объяснить такое поведение протокол инспектора?

Бухгалтер у тебя залогинился в фаерволе, и соотетственно, его пользует. Это уже не его трафик, и даже не наш ))) это уже трафик firewall ))) А в это время, остальные НОРМАЛЬНВЫЕ юзеры,ходят натом на Гизметео ))). У меня как раз наооборот ситуация: я использую вообще для юзеров проксю для хттп, НАТ для аськи, но бухгалтерия - исключение, тк ее программы всеразличные, не увидев НАТ, начинают тупить, и мешать друг другу

Liderdomofon

Я сломал мозг пытаясь понять о чем ты.
Если объяснял как керио работает - то я это и так знаю.
Ключевое в том эксперименте было то, что на firewall'е никакой активности не было, но при включенном протокол инспекторе с него появлялись левые соединения/ За время эсперимента нагенерился чуть ли не дневной трафик конторы.

возникла проблема с отправкой почты по SMTP.
посоветовали обратиться сюда.
прошу прочитать и подсказать)

Sexton666
Ты протокол инспектор не отключай на правилах, если тебе надо его зачем-то выключить, ты его выключи в Сервисах. При отключенном инспекторе в правиле возникает запутка, я много раз пытался с этим разобраться, и понял что не надо трогать (выключать). Нормальный вариант - дефоулт. А с в сервисах задай ему этот дефаулт, что там укажешь, то и будет работать в правиле.
Теперь поясняю по твоей ситуации с дублированием трафика(моё мнение): твои пользователи создают трафик, который учитывается и равен сумме наработки общего числа пользователей. Но этот же трафик у тебя проходит (проходит-проходит) через фаервол, и учитывается также еще и там. Возможно, в топ-20 статистике он указан как "трафик не опознанных пользователей". И объём его как раз почти равен объёму трафика всех пользователей, но чуть меньше, тк часть трафика пользователями береться из кэша. Такая ситуация может быть из-за того, что на сервере указано несколько шлюзов, либо из-за такого сочетания правил, при которых пользователям разрешен фаервол, а фаерволу разрешен инет. Приложи скрин с трафик полиси.

Здравствуйте, господа!
У меня такая проблема - не работает NAT.
Ситуация следующая: необходимо чтобы вся почта с компьютера Comp1 (он же mail server) шла через VPN тунель на Comp2.
На компьютере Comp1 в керио создаю правило

но оно не работает. Т.е. пакеты как шли на адрес 217.29.84.10, так на него и него и идут.
Перепробовал все что знал: убивал и создавал правилос заново, проапгрейдил Winroute до 6.5 (был 6.4)....больше нет идей.
Причем NAT не работает не только в случае с тунелем, но и если вместо 192.168.0.11 указать любой другой IP.

Liderdomofon

Вот правила, в них ничего криминального


Добавлено:
ivan_r

Я правда с VPN не связывался никогда. Но я не понимаю зачем транслировать 25 порт с одного IP на другой. Можно ведь сразу указать mail servery чтоб он отправлял почту на 192.168.0.11?

ivan_r
Посмотри порядок правил. Правила обрабатываются сверху вниз. Чтобы выяснить какое правило срабатывает при соединении, смотри журнал connections или filter.

а кто подскажет как организовать вещание ipTV через керио?

Здравсвуйте!
Вопрос связан с балансировкой нагрузки (версия 6.5)...
Сервер WinRout: локальный интерфейс + 2 интернет-интерфейса (один из них требует внешнего прокси). Можно ли в этой ситуации организовать балансировку нагрузки (настройки WinRout требуют Parent Proxy - для одного из интерфейсов)? Или, хотя бы, разделить пользователей по интернет-интерфейсам.

Добрый день!

Возникла вот такая проблема. Поднят VPN на Kerio 6.5.1 build 5000. Все работает замечательно, но при переподключениях клиенту присваивается другой айпи, вместо того, который прописан в настройках пользователя. Это очень не удобно, т.к. у пользователей подключена удаленная папка. Подскажите, куда копать?

P.S. Или подскажите, чего делать, чтобы не по айпи искать впн'овские компы, а по netbios-имени.

нет времени - а разбираться нужно с каждым в отдельности и обычно очень долго - потому как дистанционно все не посмотришь... а тут и правильно все должно прописано в сетевухах и браузере на компах, и на сервере должен быть шлюз один только и метрики сетевух правильные, и ы правилах должен быть определенный порядок и НАТ и протокол инспектор включен там где надо...

вот тут собраны ясные инструкции по первичной и подробной настройкам - с картинками - http://kerio-rus.ru/index.php?option=com_content&task=view&id=13&Itemid=36
для начала их должно хватить - а потом просто нужно разобраться что и как работает и что и зачем делается...

Sexton666
по правилу Local traffic пользователь из локалки может залогиниться в фаерволе, и дальше его трафик будет параллельно считаться кроме его собственной подписки еще и в фаерволе. Если у тебя пользователи авторизуются, разреши им правило только на 4081 для подключения к серверу авторизации, а ни как ни "Any". Однако, не понятно еще со шлюзами, шлюз должен быть указан только на одном подключении, иначе косячить будет статистика.

Похоже сайт http://kerio-rus.ru/ тихо и мирно отдыхает или ему в этом очень помогли.

Помогите определить в чем может быть проблема. KWF 6.5.0. Пользователи никак не хотят авторизироваться по IP. Создаю пользователей, делаю привязку по IP адресу. Общет с этих хостов всё равно идет как "неавторизированные пользователи". Ставлю обязательную авторизацию "при запросе к web страницам", пользователям предлагается форма для ввода логина-пароля - оно меня не устраивает. Ещё момент - пробую зайти в систему статистики keriostar (стата по веб), ничего кроме верхнего заголовка (синяя линия сверху) он мне не показывает. До этого был опыт установки, схема подключения была практически та же сама, версия так же, настройки теже и всё считалось корректно с привязкой по IP. Где искать проблему, ума не приложу...

Подскажиет, как быстро и безболезненно перенести раздачу интернета (>230 клиентов) с Traffic Inspector на Kerio? А то уж больно TI сервер грузит. Может кто переносил и что-то посоветует?

spat0820, посмотри настроена ли у тебя веб морда на керио (включена). Для того, чтобы трафик лился на авторизованных пользователей у тебя в правиле для достпа в инет должны быть указаны Аутентифицированные пользователи, никаких интерфейсов и хостов.

KlimKlim

Цитата:

Подскажиет, как быстро и безболезненно перенести раздачу интернета (>230 клиентов) с Traffic Inspector на Kerio? А то уж больно TI сервер грузит. Может кто переносил и что-то посоветует?

Ну не знаю как насчет перенести. Мне кажется для керио лучше происталить и построить систему с нуля. Вы побольше информации дайте, тогда можно подсказать какие-то оптимальные пути: 1. Вы трафик сами считать будете или провайдер считает по каждому клиенту в раздельности. 2. Ваши клиенты это одна локальная сеть, или это совершенно разные друг от друга изолированные сети (напр. разные юрлица в бизнес центре, разные квартиры в жилом доме и т.д.)
3. Ваши клиенты будут сидеть на реальных IP, или за НАТом (прокси), но при этом каждый клиент должен иметь реальный IP (статический, динамический) или достаточно одного реального IP на всех.
4. Вы планируете как-то фильтровать трафик (по протоколам, по контенту и т.д) или полный доступ для клиентов в нет.
5. у вас будут какие-то финансовые взаиморасчеты с клиентами.

Liderdomofon

Цитата:

по правилу Local traffic пользователь из локалки может залогиниться в фаерволе, и дальше его трафик будет параллельно считаться кроме его собственной подписки еще и в фаерволе. Если у тебя пользователи авторизуются, разреши им правило только на 4081 для подключения к серверу авторизации, а ни как ни "Any". Однако, не понятно еще со шлюзами, шлюз должен быть указан только на одном подключении, иначе косячить будет статистика.

Это стандартные правила, созданные визардом. Они всегда были такими. Я все же уверен, что проблема не в правилах, а в пртокол иснпекторе.

Цитата:

Цитата:
Подскажиет, как быстро и безболезненно перенести раздачу интернета (>230 клиентов) с Traffic Inspector на Kerio? А то уж больно TI сервер грузит. Может кто переносил и что-то посоветует?

Ну не знаю как насчет перенести. Мне кажется для керио лучше происталить и построить систему с нуля. Вы побольше информации дайте, тогда можно подсказать какие-то оптимальные пути: 1. Вы трафик сами считать будете или провайдер считает по каждому клиенту в раздельности. 2. Ваши клиенты это одна локальная сеть, или это совершенно разные друг от друга изолированные сети (напр. разные юрлица в бизнес центре, разные квартиры в жилом доме и т.д.)
3. Ваши клиенты будут сидеть на реальных IP, или за НАТом (прокси), но при этом каждый клиент должен иметь реальный IP (статический, динамический) или достаточно одного реального IP на всех.
4. Вы планируете как-то фильтровать трафик (по протоколам, по контенту и т.д) или полный доступ для клиентов в нет.
5. у вас будут какие-то финансовые взаиморасчеты с клиентами.

Спасибо за столь глобальны подход к вопросу
Ситуация следующая:
1. Мы - промышленное предприятие (сеть > 300 ПК)
2. Соответственно клиенты - одна локальная сеть.
3. Считать трафик надо самим.
4. Необходимо наличие нормального шейпера.
5. Необходима возможность в режиме реального времени отслеживать активность пользователей (текущая скорость, какие ресурсы посещает).
6. Используется NAT + прозрачный прокси (то есть некоторые клиенты работают только через прокси, а некоторые и через NAT и через прокси).
7. Фильтровать трафик - необходимо! Имеются фильтры в TI > 19000 строк фильтров. Плюс необходимы фильтры по времени и портам. Например:
Фильтр А. Группе ОМТО разрешено пользоваться интернетом с 8:00 до 17:00 с понедельника по пятницу. Разрешённый порты: 80, 443, 8080. Ограничения 256 кбит/с. Работа через прокси.
Фильтр Б. Группам Дирекция и Админы разрешено пользоваться интернетом круглосуточно 7 дней в неделю. Без ограничений. Работа через прокси и NAT.
Фильтр В. Группа БРИС имеет доступ в интернет 7 дней в неделю, но с 9:00 до 12:00 и с 14:00 до 16:00 запрещён доступ на 80 порт. Остальное время без ограничений. Работа через прокси и NAT.
....групп больше 10, и у всех различные временные ограничения

SeriusDanil
Мое правило самое верхнее, т.е. первое обрабатываается.
В Filter Kerio пишет:
[25/Nov/2008 16:39:08] PERMIT "MailToTunel" packet to , proto:TCP, len:48, ip/port:192.168.100.2:2284 -> 217.29.84.10:25, flags: SYN , seq:2180591498 ack:0, win:65535, tcplen:0
т.е. он явно говорит что НЕ делает порт-мапинг, хотя и применяет правило MailToTunel.

KlimKlim
была такая ситуация, переносил в итоге все руками, кроме фильтров

angelform
а фильтры как? не руками что-ли?