» Kerio WinRoute Firewall (часть 4)

DarkLan
ну ка расскажи как у тебя шлюз построен? гложут меня смутные сомнения что клиент прописав у себя основным шлюзом к примеру IP 192.168.0.103 получит доступ к интернету не зависимо от настроек керио.... И версию керио напиши - так для информативности т.к. версия ниже 6.5 такого не сможет.

Столкнулся с проблемой. Вообще первый раз устанавливал керио, но перед этим все внимательно прочитал. Так вот, собственно проблема - на машине с керио имеюются три сетевых интерфейса, один инетовский ван (192.168.0.1), и два лана (192.168.1.1 и 192.168.2.1). В керио их я так и определил. Далее создаю пользователей. Из одной подсети один (192.168.1.2 - admin) и из другой подсети другой (192.168.2.2 - admin-2). Далее создаю правило - источник admin и admin-2, назаначение файрвол, сервисы ping, netbios, http proxy, разрешить. Теперь сама проблема - с кампа 192.168.1.2 я пингую сервак, захожу на сетевые шары сервака и прокси работает, а вот с другого кампа 192.168.2.2 нифига это не работает. Что бы все заработало приходится в правиле указывать источником не пользователя admin-2, а втупую вбивать хост 192.168.2.2, тогда все работает и в статистике подключений пишет "пользователь admin-2". Намучился сегодня пол дня, все триста раз перепроверил, не пойму в чем байда...

PODs
Правила покажи...
И смысл в этом:

Цитата:

источник admin и admin-2, назаначение файрвол, сервисы ping, netbios

?

Цитата:

ну ка расскажи как у тебя шлюз построен? гложут меня смутные сомнения что клиент прописав у себя основным шлюзом к примеру IP 192.168.0.103 получит доступ к интернету не зависимо от настроек керио.... И версию керио напиши - так для информативности т.к. версия ниже 6.5 такого не сможет.

Так вот я и спрашиваюсь. "Может ли он...". Сейчас у меня стоит 4 шлюза:
192.168.0.1 - стоит ЛАН2НЕТ. Все контролируется.
192.168.0.101 ---
192.168.0.102 -------- Это просто модемы. Тоесть без контроля.
192.168.0.103 ---

Вот я спрашиваю админов - юзеров, которые пользуются керио, можно ли такое сделать??

История:
Было время, когда я керио пользовался...Все отлично было, ограничени скорости, трафика, статистика - все работало...Был лог с настройками. Но вот посоветували испытать ЛАН2НЕТ - так вот и пользуюсь им досих пор.

А теперь, нужно сделать такое, чего не может сделать ЛАН2НЕТ, тоесть прямая маршрутизация.
Была попытка на юзергейдж - бестолку..ФТП - не отвечает на локальных машинах, хотя и правило позволяет открыть 21 порт... да и глючный он.

Вот теперь опять вертаюсь к старому и доброму керио. Вообщем у меня стояла версия 4 вроде... там это не получится сделать.

Помогите,, кто знает как выйти с этой ситуации.

DarkLan

Цитата:

тоесть прямая маршрутизация.

Это как?

Цитата:

ФТП - не отвечает на локальных машинах, хотя и правило позволяет открыть 21 порт...

Не правда Ваша... Для локальных машин отвечает... И правила тут совершенно не при чём.

Цитата:

да и глючный он.

Ну эт только сторонники этой проги могут оспорить.
Видно без наводящих вопросов никак...
1. "Просто модемы" - это как, что и зачем?
2. user > server > NAT > SWITCH > Modem - Это что за схема ?

покажи ipconfig /all

Ruza
Ну ты даешь, как это "смысл"? Посмотри по портам и службам которые я открыл и поймешь смысл. Наверное же мне надо из машин пользователей пинговать сервак и заходить на его сетевую шару ))))) Без этого правила как то не работает )))) А правило считай у меня одно и оно работает наполовину. Ладно, сегодня еще помучаюсь, может глюк винды

PODs
Конечно даю... Фигли использовать брандмауер для шары... Может проще разрешить локальный трафик и раздать шары средствами windows.

Ruza
Дак так и есть ) Шары раздаются посредством винды, просто что бы к этой шаре добраться локальным пользователям нужно же сначала разрешить это действие в винроуте. Вот я его и разрешил.

PODs
У тебя не будет обрабатываться указанное правило (админ админ2 - файрвол) до тех пор, пока клиент не залогинется (смотри в Активных хостах колонку Пользователь)!
Т.е. тебе в настройках пользователей надо указать привязку к айпи адресу, тогда при получении любого пакета от этих айпи керио будет авторизовать их, после чего будет работать твое правило. А сейчас у тебя второй комп не авторизован, из-за чего правило в котором указан ПОЛЬЗОВАТЕЛЬ, не работает. При указании вместо пользователя айпи адреса - все будет работать.
Поэтому косяк у тебя в авторизации пользователей.

Vedmak2
Да, большое спасибо, так и есть, я уже и сам разобрался. Надо было просто сразу это сказать Ruza ) Просто в этом продукте, в отличии от юзергейта, все немного не так заведено, я бы даже сказал кардинально не так. Сегодня попробую полностью настроить, если что неясно буду спрашивать

Ситуация такая: есть сеть, шлюз, на нём керио (ну это как обычно)). и есть в сети комп с линуксом. задача: цеплятся к нему через ssh или telnet через интернет. сейчас это делаю так: цепляюсь к шлюзу удалённым рабочим столом (для этого в керио стоит правило [мой IP] | на firewall | на сервис RDP | permit.) и уже там запускаю Putty.
как ускорить процесс? хочу чтобы этим же Putty можно было соединяться прямо с удалённого компа, не через RDP.
насколько я знаю, для этого надо в керио в Traffic policy поставить переадресацию соединения, но у меня не получается! уже кучу вариантов перепробовал!

как сделать?

Цитата:

Надо было просто сразу это сказать Ruza

Надо было - но кто то ни словом не обмолвился на счёт методы авторизации... А на счёт шар - это как говорится кто как хочет так и держит руку...
SAURONoff
Правило должно быть похожим на это:
any (либо твой удалённый IP) - firewall - port TCP 22 (либо любой свободный) - permit - MAP Linux IP:22

Ruza
не пашет. создал правило:
[мой IP] | firewall | порты: tcp 22, udp 22 | permit | MAP 192.168.0.240:22
Putty выдаёт connection timed out.

SAURONoff
Хм... Выключи Protocol Inspector

Ruza
поставил "протокол инспектор: none"
ничего не меняецца=(

SAURONoff
Список правил покажи. И таблицу маршрутизации с linux

Доброго времени суток!

Уже который день бьюсь над следующей проблемой. Kerio Winroute Firewall 6.5.2 ни в какую не хочет пропускать Dial-Up соединение.

У меня установлена Windows XP x86 SP3 Rus. Установил Kerio Winroute Firewall 6.5.2, для чистоты эксперимента отключил сетевую карту (чтобы не было посторонних маршрутов). Создал новое подключение к сети интернет через Dial-Up модем "Zyxel Omni 56K". Прописал правило в Kerio "Any -> Any, Any Service, Разрешить" (опять же таки чтобы быть уверенным что всё разрешено и ничего не мешает моему соединению). Подключаю своё модемное соединение. Всё нормально - связь 37 Кб/с (ip-адрес, шлюз по-умолчанию и адреса dns-серверов получаются при установке соединения). Делаю ipconfig /all, проверяю - всё получено. Пытаюсь сделать ping ya.ru, но в ответ тишина - имя не разрешается в адрес. Но при этом модем помаргивает, такое ощущение, что всё-таки dns-запрос уходит по модему, и как мне кажется, что и ответ тоже приходит, но не доходит до системы (об этом свидетельствует увеличивающееся число принятых и отправленных пакетов). Пытяюсь сделать ping 213.180.204.8, т.е. уже сам подставляю адрес. Результат тот же - не пингуется, хотя активность модема видна. Не разрывая соединение останавливаю сервис Kerio и всё начинает работать. Снова включаю, опять пинги пропадают. В чём может быть проблема?
И ещё - можно ли ка-нибудь заставить соединение идти мимо Kerio (снятие крыжика напротив Kerio Winroute Firewall в настройках сети в списке компонентов, используемых этим подключением, не помогает )?

P.S. Пробовал разные версии Kerio - от 6.2.3 до 6.5.2. Dial-Up заработал только в версии 6.2.3 (там как раз в настройках сетевого подключения не устанавливается компонент Kerio Winroute Firewall).

SAURONoff
Блин забылось...
второе правило должно быть:
IP Linux - any (Твой IP) - any - permit - NAT (IF) - PI Off

Добавлено:
idiMAN
Ну а если сделать что бы керио поднимал соединение тогда работает?

Ruza

Цитата:

Ну а если сделать что бы керио поднимал соединение тогда работает?

Так не пробовал, потому то мне надо чтобы Dial-Up соединение поднималось вручную, т.к. это соединение нужно не всегда.

idiMAN
Ну так а в чём проблема - в керио нажал кнопочку Dial

Не удаётся сделать привязку по ай пи - указываю нужный адрес клиента, но логиняться под этим именем с любой станции. В чём может быть ошибка? Версия последняя.

Помогите разобраться.
Windows 2008 64 (Только установленная без дополнений)
Kerio 6.5.2-5172-win64
Провайдер Corbina (через L2TP)
Две сетевые : Local + Inet


Недоступна вкладка Параметры дозвона в свойствах VPN
Заранее всем большое спасибо!







Код:
Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : WIN-Z5E3OOFZSNF
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Да
WINS-прокси включен . . . . . . . : Нет

Адаптер PPP VPN-подключение:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : VPN-подключение
Физический адрес. . . . . . . . . :
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 93.81.251.177(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз. . . . . . . . . : 0.0.0.0
DNS-серверы. . . . . . . . . . . : 192.168.1.1
213.234.192.7
NetBios через TCP/IP. . . . . . . . : Отключен

Ethernet adapter Local:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Marvell Yukon 88E8056 PCI-E Gigabit Ethernet Controller
Физический адрес. . . . . . . . . : 00-22-15-32-E6-15
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.1.1(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . :
DNS-серверы. . . . . . . . . . . : 192.168.1.1
NetBios через TCP/IP. . . . . . . . : Включен

Ethernet adapter Inet:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : D-Link DGE-530T V.B1 Gigabit Ethernet Adapter
Физический адрес. . . . . . . . . : 00-21-91-1F-D8-C1
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 10.164.33.238(Основной)
Маска подсети . . . . . . . . . . : 255.255.248.0
Основной шлюз. . . . . . . . . : 10.164.32.1
DNS-серверы. . . . . . . . . . . : 192.168.1.1
213.234.192.7
85.21.192.5
85.21.192.3
NetBios через TCP/IP. . . . . . . . : Отключен

Ethernet adapter Подключение по локальной сети:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Kerio VPN adapter
Физический адрес. . . . . . . . . : 44-45-53-54-C2-30
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::68bf:cbf:5538:1a05%18(Основной)
IPv4-адрес. . . . . . . . . . . . : 169.254.9.237(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Аренда получена. . . . . . . . . . : 24 декабря 2008 г. 1:57:21
Срок аренды истекает. . . . . . . . . . : 24 декабря 2008 г. 2:24:09
Основной шлюз. . . . . . . . . :
DHCP-сервер. . . . . . . . . . . : 169.254.9.236
DNS-серверы. . . . . . . . . . . : fec0:0:0:ffff::1%1
fec0:0:0:ffff::2%1
fec0:0:0:ffff::3%1
NetBios через TCP/IP. . . . . . . . : Отключен

Ruza

Цитата:

Ну так а в чём проблема - в керио нажал кнопочку Dial

Я то конечно попробую, но думаю вряд ли это поможет. К тому же за компом будет работать бухгалтер у которой стоит программа "Клиент-банк", которая в свою очередь и поднимает соединение.

У меня кабан перестал блокировать сайты знакомств, одноклассники и всю подобную хрень! Еще недавно прекрасно блокировал Причем никаких ошибок не выдает, остальные категории блокирует... В чем может быть причина? Никто не сталкивался?

Zedd
Может быть в этом дело?

Народ - помогите настроить ВПНку.
Есть две сетевухи
192.168.107.10 - локалка
192.168.1.2.- для нета - модем настроен в режиме роктера с адресом 192.168.1.1
для нетовской карточки прописал шлюз 192.168.1.1 - иначе нету конекта в нет
а для ВПНа - модем подключаеться по ЮСБ - получаем ещо одну сетевую
ВПН модем тоже в режиме роутера.
И тут начинаются приколы - если для впновской сетевой ставлю адрес 192.168.1.20
керио ругается что есть два шлюза.Причем шоб впн карточка увидела модем ей нада прописать шлюз - ругается система на два шлюза.
Если ставлю впн карте 192.168.107.8 а модему 192.168.107.7 - не могу увидеть модем
На даний момент на впн модеме стоит 192.168.107.7 - и воткнут в свич.
И че дальше делать х..з
Адрес впн-ки в телекоме 192.168.110.6
Как правильно настроить ВПН, желательно шоб не надо было ставить клиентам Керио ВПН клиент - так как есть тачки с 98 виндой.а клиент их не поддерживает?
Какай айпишник писать для ВПН сервера?
Заранее пасиб

Ruza
Ваш способ не сработал. Я сделал по-своему и получилось))
1) правило: [мой IP] | Firewall | any | permit (без переаресации)
2) врубил в керио функцию прокси, с галочкой на "all TCP ports".
3) в Putty прописал адрес прокси (файрвола), в строке "с чем соединяться" прописал локальный IP комп с линуксом.

В итоге Putty при соединении попадает на прокси (файрвол) а оттуда на линукс.

Учтите на будущее))

Цитата:

Zedd
Может быть в этом дело?

Очевидно в этом. Только к сожалению решения я так понял на данный момент нет Вкладки "социальные сети" у меня тоже нет, хотя kerio последней версии...

В догонку к предыдущему посту -
мне надо будет подключатся к другому ВПН серверу(вышестоящей организации) и шобоб могли подключиться ко мне

SAURONoff

Цитата:

1) правило: [мой IP] | Firewall | any | permit

Цитата:

Учтите на будущее))

Будущего нет...

Добавлено:
sublimity
Предлагаю выкладывать картинки размером никак не меньше 2048х2048 что бы всё разглядеть можно было...