» Kerio WinRoute Firewall (часть 4)

Доброго времени суток, вообще пока понять не могу поставить Керио 6,5,2 билд 5172 пользоваталей пока активизировал 5, атунтификая и сами пользователи из домена, когда стояла автоматическая аутнтификаци, статистику не считало, поставил галко Принудительно требовать аутентификацию при каждом запуске браузера, стало правильно считать статистику только у одного, у остальные кто пользуются статистика показывается как незарегистрированный пользователь, хотя в трафик полисе правила на инет
Аутентифицированные пользователи - Интернет - ну и службы перечисленны...
где нужно камень подводный искать?
заранее благодарю за предложенную информацию

Добавлено:
да еще поставил ограничение по пропускной способности на всех 20 Кб/с а все равно у всех 5 пользователей инет работает со скоростью 50

exdee
такая же шляпа и у меня.. слежу за темой, если найдешь решение, отпишись плиз

AlexRT
Думаю на выходный перейду на последнюю версию, и там уже буду копать если проблема не исчезнет.

у меня 6.5.2 билд 5172...
правда ставил не с нуля, а апгрейдился..

вообщем привязал каждого из 5 пользователей конкретному IP вроде статистику начал считать по пользователям, но все равно прилитает непонятно от куда трафик от незарегистрированных пользоваталей, почтовик пока не пускал в инет от него лететь не должно, слушая предложения

много траффика?? сам керио тож кушает. В политике трафика других нет IP? кроме 5ти которые ты прописал?

да вообщем сейчас копейки...пока жду пока полетит, до того как ни привязал к IP смотрел на серфинг буха по инету, что она открывала все привязывалась к неизвестному трафику, а когда привязал пока нет....
сейчас не могу понять двух вещей, что стоит ограничение общей скорости 15 Кб/с что нет, все равно больше все 5 пользователи получают
и второе, как керио решает к кому приписывать трафик, то есть у меня учетки автоматом из АД..я сижу в инете, он то , что я насиживаю привязывает к Admin винроута, то к моей учетки админской контроллера домена...

Добавлено:
в политиках трафика в источнике только стоят "аутентифицированные пользователи" другие ни локал ни кто другой в назначении "инет" ни кто не прописан

ну у меня нет AD, я прописал IP вручную кому идет инет. А ограничение должно срабатывать при привышении лимита траффика, не блочить ему инет, а понизить скорость. Но я это не практикую))

с обеда как IP привязал к учеткам вроде за 4 часа серфинка пока незарегистрированного трафика нет, а что касается урезать скорость хотел попробовать
урезать большое количество поставил просто ограничение 15, а считать большим количеством 20 Кб не сработало )))
А приходиться понижать скорость изначально так как для примера приведу стоимость инета у нас для предприятия 5600 р за 2 гига + 2,5 за метр превышения
ссори за офтоп

вроде бы почти все..единственное не могу добиться, чтобы пинг и телнет гулял с локальных машин, со шлюза идет, с локальных нет
хотя правила стоят такие
фаирвол - инет разрешить правила в которых стоит как пинг, так и телнет
аутентифицированные пользователи - инет, правила тоже вместе с телнетом и пингом
локалка - инет отдельно правиал только на телнет и пинга, и все равно нет
В знакомой конторе тоже самое, но работает...настройки свиряли один в один

HotBeer
HotBeer
Чето у тебя куча глюков - мне кажеться в софте где то! Мож винда? какой СП стоит? Или может че из файрволов старое не снеслось корректно? У меня был проблемы еще с старым английским керио, но щас с самыми последними никогда не бывает проблем! Хочу тока научиться как правильно кабана заставить блочить сайты - нужна в этом реальная помощь, ибо сам скока не писал и настраивал - не блочить!
Чтоб не было трафа на незарегистрированных юзеров:
Админу в винроут в свойствах пользвателя ставишь галку МЕЖСЕТЕВОЙ ЭКРАН на последней закладке! В НАТ ставишь в источнике тока атор. пользователей и ставишь принудительную авторизацию в настройках! Трафик может пройти мимо если ты вдруг останавливал винроут или пускалась система после ребута, но служба керио еще не запустилась до конца! Еще может считаться если открыт внешний доступ на сервак и слив идет инфы с хоста с керио(допустим стоит ФТП или САЙТ, хотя после галки на Админе должно пропасть вроде). Привязку к IP можешь снять и юзать ДХЧП в керио! Главное в НАТ пиши автор. пользователей! IP подменить как два пальца))))

Цитата:

уважаемые, тут есть кто-нить с форума Kerio RUS??
помогите зарегистрироваться, тамошний тест прохожу с первого захода, заполняю анкету логин/пасс/мыло/CAPTCHA.. после этого меня опять посылают проходит "тест на дибилизм" без разъяснения причин (мыло не то, логин занят, и т.п.). плюс есть еще "Проверка вопроса системы антиспама "NoSpam!" мы Бот?" - что хотят в качестве ответа - да/нет или yes/no
после восьмой попытки чувствуешь себя неполноценным..

nospam там отключили
были там какие то траблы - вроде поправили

Уважаемые Гуру керио, подскажите - если я настрою vpn соединение (vpn kerio клиента с офисной сетью), то смогу ли я подключатся , через RDP или тот же Radmin напрямую без портмаппинга, то бишьгрубо говоря прописать IP адрес внутренней сетки?!

HotBeer

Цитата:

локалка - инет отдельно правиал только на телнет и пинга, и все равно нет

А вы в правиле для локалки НАТ включить не забыли?

дыг у меня и так стоит, авторизированные пользователи, и принудительная авторизация тоже стоит
самое, что забавное не могу до сих пинг пустить, чтобы от клиентов шел,...уже сбезысходности врубил эни эни, чтобы проверить вообще пинг пройдет, врубал с админской консоли, дыг керио такое эни эни сделало, что даже пинг до шлюза пропал, пришлось физически идти до шлюза убирать правило, только тогда шлюз стал обратно виден в сети

Добавлено:
vimaret НАТ включен в этом правиле, хотя он не обязателен, так как я использую непрозрачный прокси, НАТ не делаю, так как у меня клиенты сидят под другим шлюзом по умолчанию, который в глобальный каталог смотрит

Добрый день...подскажите как граммотно обновится до новой версии? Просто удалить и поставить новую версию? или есть какие нибудь подводные камни?
Заранее благодарен.

ВСе спасибо всем , разобрался со своим вопросом.
Керио пришлась по душе после слегка косячного UG5 (единственно есть конечно в нем интересные задумки, а вот реализация очень не стабильна, как и в предыдущих релизах).

Цитата:

Уважаемые Гуру керио, подскажите - если я настрою vpn соединение (vpn kerio клиента с офисной сетью), то смогу ли я подключатся , через RDP или тот же Radmin напрямую без портмаппинга, то бишьгрубо говоря прописать IP адрес внутренней сетки?!

да

exdee
Не удаляй через виндовое "Установка и удаление программ"
Для удаления керио используй её инсталлятор - типа запусти его и тебе будет предложено удалить, восстановить или переустановить.Новую версию накати поверху косяков пока небыло встанет с предыдущими настройками.

Как автоматически добавлять пользователей
т.е. из "неопознанные пользователи" разделяя их по MAC адресам заполнять список пользователей Kerio
P/s необходимо для открытой wi-fi сети

Помогите, пожалуйста, настроить сетевой телефон (X-Lite)?
Kerio 6.4.2, Нат настроен на две локальные сети (Local и Wi-Fi) и выход на локалку провайдера Prov.
У провайдера такая инфа:

Цитата:

При использовании firewall нужно открыть:
1. Входящий tcp-трафик от хоста voip.neone.ru(83.167.65.74) с порта 5060 на порт 5060.
2. Исходящий tcp-трафик с порта 5060 на хост voip.neone.ru(83.167.65.74) на порт 5060.
3. Входящий udp-трафик от хоста voip.neone.ru(83.167.65.74) с порта 5060 на порт 5060.
4. Исходящий udp-трафик с порта 5060 на хост voip.neone.ru(83.167.65.74) на порт 5060.
5. Входящий udp-трафик со всех адресов с портов 5000-65535 на порты 5000-65535.
6. Исходящий udp-трафик с портов 5000-65535 на все адреса на порты 5000-65535.
В случае работы софтфона за роутером с NAT:
1. Указать в настройках софтфона STUN-сервер - voip.neone.ru.
1. Настроить на роутере редирект tcp-порта 5060 на компьютер софтфона на порт 5060.
2. Настроить на роутере редирект udp-порта 5060 на компьютер софтфона на порт 5060.
3. Настроить на роутере редирект udp-портов 5000-65535 на компьютер софтфона на порты 5000-65535.

Как нужно настроить правила, чтобы внутренняя (Local и Wi-Fi) сеть могла использовать сетевой телефон (X-Lite).
Заранее благодарен!
PS: Подскажите сколько могут подключиться максимально людей из сети провайдера на локальную сеть при работе Kerio 6.4.2 если на одной из машин стоит сервисная служба к которой подключаются юзеры?

У меня на одной машине используется DC на базе Windows Server 2003 Rus EE R2 SP2 и Kerio WinRoute Firewall 6.5.2. На сервере два сетевых интерфейса: один локальный, а другой для Интернет с подключением модема в режиме роута. Настройки DNS сделал в соответствии с инструкцией. По сети и локально всё замечательно резолвится, но при попытке открыть оснастку с груповыми политиками вываливается ошибка: Контроллер домена для операций групповой политики недоступен. Таким образом настройки GPO недоступны. Я прописал в hosts следующее: 127.0.0.1 server.domain.local и всё заработало! Связано ли это с Kerio (в соответствии с интсрукцией DNS Forwarder был отключён) или собака зарыта в настройках DNS сервера?

YuraseK

Цитата:

Я прописал в hosts следующее: 127.0.0.1 server.domain.local и всё заработало! Связано ли это с Kerio (в соответствии с интсрукцией DNS Forwarder был отключён) или собака зарыта в настройках DNS сервера?

А строка "127.0.0.1 localhost" в hosts у Вас есть?


Добавлено:
alfin13

Цитата:

Как автоматически добавлять пользователей
т.е. из "неопознанные пользователи" разделяя их по MAC адресам заполнять список пользователей Kerio
P/s необходимо для открытой wi-fi сети

Автоматически добавлять не получится. Нужно как минимум сначала завести пользователей во внутренней базе Керио, сделать привязку каждого пользователя к IP адресу. Поднять DHCP сервер в Керио (если его нет в винде). В DHCP настроить привязку (резервирование) IP адресов к MAC адресам. Тогда каждому MAC адресу будет сопоставлен Пользователь.


Добавлено:
exdee

Цитата:

подскажите как граммотно обновится до новой версии? Просто удалить и поставить новую версию? или есть какие нибудь подводные камни?

Если у Вас легальная версия, то просто накатывайте ее поверх (читайте рекомендации разработчика), в противном случае идите сюда http://forum.ru-board.com/topic.cgi?forum=35&topic=35888&start=2040 и читайте рекомендации врачей.
Подводные камни могут быть всегда, причем только у вас проявиться. Это зависит от конфигурации Вашей системы. Поэтому золотое правило любых изменений на сервере - это сначала сделать Acronis- ом образ для отката, а потом обновлять.

Добавлено:
HotBeer

Цитата:

НАТ включен в этом правиле, хотя он не обязателен, так как я использую непрозрачный прокси,

непрозрачный прокси в Керио урезанный и реализован далеко не на все протоколы, Я пока использую версию 6.3.1 так вот в ней только HTTP и FTP, если у вас более поздняя версия, то возможно там они добавили еще протоколов, я не отслеживал, Но пинги и торенты врядли работают через прокси. Им нужен нат.

Цитата:

НАТ не делаю, так как у меня клиенты сидят под другим шлюзом по умолчанию, который в глобальный каталог смотрит

А вот это уже более интересно. Если можно подробнее, т.к. нифига не понятно, но причина возможно здесь.

По поводу проблемы с ограничением прав доступа для локального пользователя сервера с Керио.
Вот скрины с настроек керио


HTTP policy


Traffic policy


На сервере, где установлен сам Керио - пользователь Admin
В Traffic policy правило для сервака - Firewall

Вроде Admin как и все добавлен в правило, но тольку никакого.
И еще по логам заметил, что когда из сети ходим то в логах идет внутренний IP типо 192.168.0.xxx
при хождении в нет с ПК с керио в логах показывает IP внешний наш

vimaret

Цитата:

непрозрачный прокси в Керио урезанный и реализован далеко не на все протоколы, Я пока использую версию 6.3.1 так вот в ней только HTTP и FTP, если у вас более поздняя версия, то возможно там они добавили еще протоколов, я не отслеживал, Но пинги и торенты врядли работают через прокси. Им нужен нат.

Тогда как правильно сделать НАТ , если ситуация такава
Контроллер домена с часть СУБД, общие шары, Гарант, почтовый сервак...
Маршрутизатор циско
на моей крыше точка от циско
роутер
сервак контроллеп домена второго уровня (2003 с DHCP)
моя подсеть
и один из компов моей подсети, через два свитча от сервака стоит являются шлюзом (дополнительным интернетом, который в последтсвии стал основным)
Просто если делать НАТ, то тогда надо, чтобы у клиентов стоял шлюз по умолчанию машина с керио, а так сделать не могу, так как шлюз по умолчанию в DHCP забит точка циско, которая смотрит в глобальный каталог.
Можно конечно на клиентах прописать дополнительный постоянный маршрут к глабальному каталогу, а шлюзом по умолчанию забить машину с керио, но винда в двумя шлюзами всегда работает со странностями, то есть то в части контор нормально, то нет, или я чего то недопонимаю

HotBeer
Вы сложно объясняете или я трудно въезжаю, но картина рисуется следующая:
Из вашей локальной сети есть два выхода как-бы наружу. Один через керио в инет, второй через циско к контроллеру домена. Если это так, то выход на КД тоже можно считать локальной подсетью. Шлюз должен быть один и только один и указывать на выход в инет, т.е на керио. Вторую локалу (к КД) нужно тоже пропустить через ваш Керио (добавить еще одну сетевуху), только разрешить все протоколы и убрать инспектора. Ну также как стандартное правило для локалки. А дальше уже настраивать. Такая звезда должна заработать. Если я не правильно понял вашу схему, тогда рисуйте ее более подробно. лучше картинкой с указанием IP-шников. Приводите ipconfigi и route print-ы, ну и правила конечно.

Перешёл на последнюю версию, но проблема так и осталась не решённой...

Цитата:

Добрый день. Проблема в следующем: Kerio 6.4.0.3176, перестала работать такая штука. Есть url группа запрещающая просмотр определённых сайтов и есть соответствующее http policy в котором при заходе на запрещённую страничку должна у пользователя выскакивать надпись о запрете на просмотр данной страницы. Так проблема в том, что до недавнего времени всё отлично работало, а сейчас перестало. Вместо страницы с словами о запрете выскакивает просто: Невозможно отобразить страницу. В чем может проблема? Заранее благодарен.

Может буду какие-нибудь соображения? Пользователи не понимают, когда у них страница не открывается не потому что проблемы с нетом, а потому что просмотр её запрещён политикой организации.

Добавлено:
Добрый день. Обновился до последний версии, но проблема так и не решилась

Цитата:

Проблема в следующем: Kerio 6.4.0.3176, перестала работать такая штука. Есть url группа запрещающая просмотр определённых сайтов и есть соответствующее http policy в котором при заходе на запрещённую страничку должна у пользователя выскакивать надпись о запрете на просмотр данной страницы. Так проблема в том, что до недавнего времени всё отлично работало, а сейчас перестало. Вместо страницы с словами о запрете выскакивает просто: Невозможно отобразить страницу. В чем может проблема? Заранее благодарен.

Может будут какие-нибудь соображения? Пользователи просто замучали...не понимают что у них страничка не открывается не потому что проблемы с нетом, а потому что это запрещено политикой компании.

Всем доброго времени суток! Возник такой вопрос: у меня стоит Керио версии 6.5.2, сеть одноранговая, пользователи авторизуются по IP-адресам. В статистике появился "неопознанные пользователи", который имеет львиную долю траффика, никак не могу понять что это за "пользователь" такой. Не могли бы подсказать, как решить этот вопрос. Заранее благодарен...

Керио 6.4.2
Провайдер раздает инет через VPN (на сервере с керио 2 сетевых карты + VPN подключение).
У провайдера имеется Proxy сервер, через который требуется пропускать инет, даже если используемое приложение само по себе не умеет работать с прокси.

На керио настроено 3 правила (сверху вниз)
1. С локалки разрешен доступ на сервер (сервис any)
2. С сервера разрешен доступ везде (сервис any)
3. C локалки в VPN (сервис any)
В правиле 3 настроен NAT (translate to IP adres of interface; и плюс портмаппинг на IP и порт proxy провайдера)

Теоретически такие правила должны бы перенаправлять все пакеты из локалки на прокси прова, а тот в свою очередь должен бы отправлять эти запросы адресатам, однако этого почему то не происходит (приложения которые настроены на прокси прова в инет выходят нормально, а все остальные, на которых прокси не настроен обрубаются намертво)

Подскажите пожалуйста как настроить правила керио чтобы весь травик из локалки слался на прокси провайдера? а то у меня уже фантазии не хватает(

при включенном SSL VPN можно ли обогнуть Kerio Clientless SSL VPN и повесить другой Web-сервис (например, сайт), сохранив при этом доступ через httpS ?