nikolaevsergey
я тут тоже покавыряю, но я уже и так и эдак ковырял, не получается(
я тут тоже покавыряю, но я уже и так и эдак ковырял, не получается(
» Kerio WinRoute Firewall (часть 4)
Подскажите решение проблемы, ее суть заключается в том что время от времени Kerio блокирует доступ на почту (mail.it*******.ru) и на определенные сайты (к примеру тоже www.it******.ru) и достучаться невозможно, при проверке tracert'ом все нормально по оп хттп доступа нет как и по почте (на клиенте), но на сервере все работает замечательно, в правилах kerio все настроено нормально, и доступ на сайты непонятно как появляется и не понятно как исчезает.... уже все перепробывал... в чем проблема может быть? 
Господа, такой вопрос:
Можно ли в KWF менять правила из командной строки? Типа - сделать cmd-файлик, чтобы он добавлял/удалял определенное правило?
Спасибо.
Можно ли в KWF менять правила из командной строки? Типа - сделать cmd-файлик, чтобы он добавлял/удалял определенное правило?
Спасибо.
Jonny_Grekoff
IMHO, нельзя. Но можно попытаться написать программульку/скриптик для внесения изменений в winroute.cfg (благо стандартный xml). Только после изменений вероятно придется перестартовать сервис керио.
Добавлено:
doskaa
А точно виноват керио? Включи логирование запрещающих правил и определи причину.
IMHO, нельзя. Но можно попытаться написать программульку/скриптик для внесения изменений в winroute.cfg (благо стандартный xml). Только после изменений вероятно придется перестартовать сервис керио.
Добавлено:
doskaa
А точно виноват керио? Включи логирование запрещающих правил и определи причину.
ЗАпрещенных правил уже нет, все разрешил, только проблема вермя от времени проявляется, не чему блокировать кроме kerio, я думал что проблема из-за частого обращения к этим сайтам... нокажется это не то... если есть предложения решения проблемы буду рад ))) а то уже все перерыл...
doskaa, а без керио как доступ к сайту себя ведет?
DreamWorker, слишком геморно, керя такого не умеет.
zepterman, ТП это траффик полиси)
DreamWorker, слишком геморно, керя такого не умеет.
zepterman, ТП это траффик полиси)
Цитата:
doskaa, а без керио как доступ к сайту себя ведет?
DreamWorker, слишком геморно, керя такого не умеет.
zepterman, ТП это траффик полиси)
проблема, вроде разрешилась!!! проблема была в kerio !!! заключалась в том что есть такая фича "Connecting Limit" по дефолту стоит 600 (per host) по ходу когда часто проверяешь к примеру почту, он не успевает закрыть прошлые соедининия и добавляет в очередь, когда очередь превышает 600, то доступ прекращается (на тот сайт)... пока что догадки но походу так и есть! а трафик полиси тут не причем точно! как разберусть отпишусь
У кого-нить похожие проблемы были?!
Хелп ми плиз!!!
Не проходит автоматическая аутентификация в интернет обозревателе.
Kerio FireWall 6.4.2 build 3672.
Я правда подымал уже этот вопрос, но так и не разобрался.
Все я понял, всем спасибо, он русские букавки в логине не понимает, а ето им косяк-))
Не проходит автоматическая аутентификация в интернет обозревателе.
Kerio FireWall 6.4.2 build 3672.
Я правда подымал уже этот вопрос, но так и не разобрался.
Все я понял, всем спасибо, он русские букавки в логине не понимает, а ето им косяк-))
Цитата:
ТП это траффик полиси)
kievnet - соединение Пк_1 с провайдером
local - соединение Пк_1 с Пк_2
Подскажите пожалуйста. Можно ли организовать авторизацию в керио по мак адресу?
voffka1984, не-а.
zepterman, так, а зачем ты включил нон-транспарент прокси, если хочешь работать через непрозрачный? Вообще по правилам косяка не вижу, ну разве что можно поднять правило локал траффика в самый верх. Для диагностики нода пока лучше отрубить. Также хотелось бы узнать привязан ли у тебя хоть один юзер к файерволу?
zepterman, так, а зачем ты включил нон-транспарент прокси, если хочешь работать через непрозрачный? Вообще по правилам косяка не вижу, ну разве что можно поднять правило локал траффика в самый верх. Для диагностики нода пока лучше отрубить. Также хотелось бы узнать привязан ли у тебя хоть один юзер к файерволу?
мне нужно, чтобы клиенты не вводили пароли.
транспарент - прозрачный прокси, как то, что мне нужно.
Поэтому в HTTP Policy=>Proxy server пункт "Enable non-trasparent proxy server" я не включал.
П.С.
Локал трафик переместил вверх - результат, тот же.
Нод выключен.
транспарент - прозрачный прокси, как то, что мне нужно.
Поэтому в HTTP Policy=>Proxy server пункт "Enable non-trasparent proxy server" я не включал.
П.С.
Локал трафик переместил вверх - результат, тот же.
Нод выключен.
zepterman, у тебя инета нигде нет, или только на клиентах?
нет на клиентах, а также на ПК, который подключен к провайдеру и на котором запущен kerio, как только выбираю "stop kerio winroute firewall" и-нет на этом пк начинает работать.
zepterman, у тебя есть пользователь, привязанный к файерволу?
Пк_1 (где, крунутиться kerio и который не может выйти в и-нет):
User and groups=>Users=>Ip addresses
Assume user on the following hosts:
- firewall
- 172.20.20.1
ПК_2(клиент)
User and groups=>Users=>Ip addresses
Assume user on the following hosts:
- 172.20.20.2
User and groups=>Users=>Ip addresses
Assume user on the following hosts:
- firewall
- 172.20.20.1
ПК_2(клиент)
User and groups=>Users=>Ip addresses
Assume user on the following hosts:
- 172.20.20.2
zepterman, у зверя, что к файерволу привязан убери вторую привязку к айпи. Оставь только файервол.
помогите разобраться или подскажите в каком направлении искать
Есть сервак с двома сетевухами:
192,168,1,1 - мотрит в локалку
172,42,160,142 - смотрит на ADSL модем
подключеием создаеться подключения для И-нета с адресом типа 196,148,108,*
это все чудненько работает
правила политики и NAT
но тут встал вопрос VPN подключения через инет
к Железной дороге
ТОЕСТЬ
поверх И-нета
надо создать Vpn с ихним сервером 10,10,10,12 по L2TP
и это роздать юзерам в локалке !!!
Какие потры надо открыть и какие правила создать ???
Есть сервак с двома сетевухами:
192,168,1,1 - мотрит в локалку
172,42,160,142 - смотрит на ADSL модем
подключеием создаеться подключения для И-нета с адресом типа 196,148,108,*
это все чудненько работает
правила политики и NAT
но тут встал вопрос VPN подключения через инет
к Железной дороге
ТОЕСТЬ
поверх И-нета
надо создать Vpn с ихним сервером 10,10,10,12 по L2TP
и это роздать юзерам в локалке !!!
Какие потры надо открыть и какие правила создать ???
Цитата:
Подскажите пожалуйста. Можно ли организовать авторизацию в керио по мак адресу?
вроде бы нет... но есть хорошая штука как авторизация по IP адресу, и авторизация по AD этого хватать должно
Как мне сделатьтак чтобы керио помещал логи на другой физический диск?
Не могу найти.
Не могу найти.
besruk
Цитата:
вооще-то есть одна идея
Монажна спец утилитой от мелкомягких
смонтировать папку в папку
Junction.exe монтирует папку в папку
тока папа назначения должна быть пустая
останавливаешь керио
тоесть делаешь папку
D:\folder
потом перемещаем все с c:\Program Files\Kerio\WinRoute Firewall\logs\*.*
потом утилитой монтируем
junction [какую папку] [куда(в какую)]
junction D:\folder c:\Program Files\Kerio\WinRoute Firewall\logs
думаю все получиться !!!
Цитата:
как мне сделатьтак чтобы керио помещал логи на другой физический диск?
Не могу найти.
вооще-то есть одна идея
Монажна спец утилитой от мелкомягких
смонтировать папку в папку
Junction.exe монтирует папку в папку
тока папа назначения должна быть пустая
останавливаешь керио
тоесть делаешь папку
D:\folder
потом перемещаем все с c:\Program Files\Kerio\WinRoute Firewall\logs\*.*
потом утилитой монтируем
junction [какую папку] [куда(в какую)]
junction D:\folder c:\Program Files\Kerio\WinRoute Firewall\logs
думаю все получиться !!!
Версия KWF 6.4.2 Build 3672
Проблема такая пока не запустишь PING <внешний IP>
не хочет отображать броузер страницу.
Это возникает лишь на некоторых компах.
Проблема такая пока не запустишь PING <внешний IP>
не хочет отображать броузер страницу.
Это возникает лишь на некоторых компах.
Cosmit
Спасибо!
Я уже думал диск подмонтировать как папку - тоже вариант.
Просто думал что есть стандартные способы Керио - ему-то в принципе какая разница где его логи лежать будут...
Спасибо!
Я уже думал диск подмонтировать как папку - тоже вариант.
Просто думал что есть стандартные способы Керио - ему-то в принципе какая разница где его логи лежать будут...
Petro8i4
Цитата:
Цитата:
А чего логично, фигли kerio поймёт. только надо подключаться по mstsc + морзянкой передать что надо на второй сервер.
Цитата:
О! так надо ещё и флажками помахать что бы керио порт понял...
А если подумать то получается что один внешний порт НИКАК нельзя разрулить на два внутренних, т.е. надо 2 правила:
1.destination: firewall
service: RDP (или TCP 3389)
action: permit
MAP to внутренний адрес ПК с керио:3389
2. destination: firewall
service: TCP 3390 (порт другой!)
action: permit
MAP to внутрений адрес второго сервера:3389
voffka1984
Цитата:
Можно. Но гиморойно и не совсем авторизацию.
Cosmit
Цитата:
ППЦ!!! От керио рулит!!! Надоть разработчикам памятник поставить. Епта первый фаер с подключением !!! к Железной дороге!
Цитата:
Ну так нельзя это точно! 10.10.10.12 не маршрутизируется ни одним провайдером.
Надо сначала создать L2TP подключение к Железной дороге (2 ALL Ни фига смешного!!!
А как ещё назвать внешний IP)
а вот правила должно быть такими для начала:
firewall - railway - any - permit - nat - PI Off
railway - firewall - any - permit - none - PI Off
И добафить интерфейс L2TP в правило local traffic, как в source так и в destenation.
Должно зарабтать, но это полное разрешение между сетями.
zepterman
Уважаемый а можно спросить... вот эти все танцы с бубном из-за 2-х ПК?
И стоит всё же показать ещё и HTTP политики. А также лог Filter.
Цитата:
source: any
destination: firewall
service: RDP (или TCP 3389)
action: permit
Цитата:
Никак не могу настроить, чтобы ко второму был доступ по RDP из инета или по радмину, создаю ТП:
А чего логично, фигли kerio поймёт. только надо подключаться по mstsc + морзянкой передать что надо на второй сервер.
Цитата:
есть мнение, что трабла связана с тем, что на серваке сервер терминалов поднят, и поэтому с инета нет входа по рдп.
О! так надо ещё и флажками помахать что бы керио порт понял...
А если подумать то получается что один внешний порт НИКАК нельзя разрулить на два внутренних, т.е. надо 2 правила:
1.destination: firewall
service: RDP (или TCP 3389)
action: permit
MAP to внутренний адрес ПК с керио:3389
2. destination: firewall
service: TCP 3390 (порт другой!)
action: permit
MAP to внутрений адрес второго сервера:3389
voffka1984
Цитата:
Можно ли организовать авторизацию в керио по мак адресу?
Можно. Но гиморойно и не совсем авторизацию.
Cosmit
Цитата:
но тут встал вопрос VPN подключения через инет к Железной дороге
ППЦ!!! От керио рулит!!! Надоть разработчикам памятник поставить. Епта первый фаер с подключением !!! к Железной дороге!
Цитата:
надо создать Vpn с ихним сервером 10,10,10,12 по L2TP
и это роздать юзерам в локалке !!!
Ну так нельзя это точно! 10.10.10.12 не маршрутизируется ни одним провайдером.
Надо сначала создать L2TP подключение к Железной дороге (2 ALL Ни фига смешного!!!
А как ещё назвать внешний IP) а вот правила должно быть такими для начала:
firewall - railway - any - permit - nat - PI Off
railway - firewall - any - permit - none - PI Off
И добафить интерфейс L2TP в правило local traffic, как в source так и в destenation.
Должно зарабтать, но это полное разрешение между сетями.
zepterman
Уважаемый а можно спросить... вот эти все танцы с бубном из-за 2-х ПК?
И стоит всё же показать ещё и HTTP политики. А также лог Filter.
Привет!
Есть сеть: контроллер домена (Win 2003, DNS, DHCP), сервер(Win2003) через который в инет лезут 15 машин с Win XP
Поставил на сервер(Win2003) Керио Винроут фаервол 6.4.1, настроил трафик полиси(коряво, потому что в первый раз),
по настройкам которые нашел в инете, но ни хрена не работает! Керио даже меня не пускает в инет! Но если отключу во внешнем интерфейсе Керио то инет пашет! А юзеры могут выходить в инет только под моим аккаунтом, хотя аутентификация настроена чтоб БД юзеров грузилось с домена, но Керио не может соединиться сдоменом пишет "анабл то коннект то домен"
Вот!
подскажите как быть?
может надо больше инфы? какой?
сильно не пинайте
Есть сеть: контроллер домена (Win 2003, DNS, DHCP), сервер(Win2003) через который в инет лезут 15 машин с Win XP
Поставил на сервер(Win2003) Керио Винроут фаервол 6.4.1, настроил трафик полиси(коряво, потому что в первый раз),
по настройкам которые нашел в инете, но ни хрена не работает! Керио даже меня не пускает в инет! Но если отключу во внешнем интерфейсе Керио то инет пашет! А юзеры могут выходить в инет только под моим аккаунтом, хотя аутентификация настроена чтоб БД юзеров грузилось с домена, но Керио не может соединиться сдоменом пишет "анабл то коннект то домен"
Вот!
подскажите как быть?
может надо больше инфы? какой?
сильно не пинайте
Georgi4
сначало вот здесь
http://kerio-rus.ru/index.php?option=com_content&task=view&id=13&Itemid=36
читаем инструкции
сначало вот здесь
http://kerio-rus.ru/index.php?option=com_content&task=view&id=13&Itemid=36
читаем инструкции
Есть PC:
Win 2003 server SP1
AMD двухголовый, гиг оперативы..
На ентой машине стоит керио 6.4.2 и поднят спутниковый инет от SkyDsl (v8.2) который раздаёццо на сеть через проксю(кеш вкючен), обратный канал АДСЛ.
Раз в сутки виснет KWF, рестарт спасает...
Ктоньть сталкивалси с подобной траблой?
Нужно поправить, чую скоро будут п***юли...
Win 2003 server SP1
AMD двухголовый, гиг оперативы..
На ентой машине стоит керио 6.4.2 и поднят спутниковый инет от SkyDsl (v8.2) который раздаёццо на сеть через проксю(кеш вкючен), обратный канал АДСЛ.
Раз в сутки виснет KWF, рестарт спасает...
Ктоньть сталкивалси с подобной траблой?
Нужно поправить, чую скоро будут п***юли...
Ruza
выдает ошибку
[07/Aug/2008 11:23:09] (8405:792) RAS error: Unable to dial "Укр Зал" (Попытка L2TP-подключения не удалась, поскольку истекло время согласования режима безопасности.)
вот правила
что не так ???
выдает ошибку
[07/Aug/2008 11:23:09] (8405:792) RAS error: Unable to dial "Укр Зал" (Попытка L2TP-подключения не удалась, поскольку истекло время согласования режима безопасности.)
вот правила
что не так ???
Cosmit
Упс тупанул малость... Извини.
Убери нат во втрой строке (на картинке). И тунели в правилах тож не надо.
Упс тупанул малость...
Извини. Убери нат во втрой строке (на картинке). И тунели в правилах тож не надо.
Ruza
В сделал но ничего не изменилось
[07/Aug/2008 11:23:09] (8405:792) RAS error: Unable to dial "Укр Зал" (Попытка L2TP-подключения не удалась, поскольку истекло время согласования режима безопасности.)
Если подключаться не в керио а з Винды делать дозвон
с выключеным Керио - то все работает
А с керио - никак
если с винде делаю дозвон
то Ошибка 792 одключения не удалась, поскольку истекло время согласования режима безопасности
В сделал но ничего не изменилось
[07/Aug/2008 11:23:09] (8405:792) RAS error: Unable to dial "Укр Зал" (Попытка L2TP-подключения не удалась, поскольку истекло время согласования режима безопасности.)
Если подключаться не в керио а з Винды делать дозвон
с выключеным Керио - то все работает
А с керио - никак
если с винде делаю дозвон
то Ошибка 792 одключения не удалась, поскольку истекло время согласования режима безопасности
Страницы: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768
Предыдущая тема: realtek rtl8169 and vlan
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.