» Kerio WinRoute Firewall (часть 4)

Germanus и
DJ_Diablo
СПС ВАМ!!!

Добавлено:
Germanus и
DJ_Diablo
Я так понял, что после перустановки сервака копируем файлы Cache, Logs, McAfee, Star
в папку Керои

ofj
Да. Либо после анинстала пред. версии, сразу забрасываешь их (папки и файлы, о которых в предыдущих постах) назад по пути,
для х86: C:\Program Files\Kerio\WinRoute Firewall\
для х64: C:\Program Files (x86)\Kerio\WinRoute Firewall\
И поверх инсталлируешь новую версию. Инсталлятор сам сохранит старые данные.

Присет Всм!
Я хочу узнать, можно ли ограничить скорость входяшего инета через керои.
не ругайте меня за токой вопрос, я начинаю юзать керио.

День добрый! Ребят, помогите разобраться! На сервере неожиданно перестали открываться web-страницы. Не работает никакой http трафик: ни обновления антивиря, ни обновления такскома и т.п. Остальные службы работают нормально (POP, SMTP, МТС и т.п.), все DNS пингуются, по именам сайтов тоже пинг нормальный.
В правилах трафика первым правилом стоит строка Источника Firewall - Назначение Любой - Служба Любой - Действие Разрешить - Маппинга нет. Сервер с прямым айпишником, поднят VPN для клиентов. Никаких настроек прокси в браузере не прописано (если поднять прокси и прописать в браузере, то проблема все равно остается). Если остановить керио, то http трафик начинает нормально работать. Испробовал уже все логичные и нелогичные варианты. Помогите диагностировать проблему!!

P.s. Windows 2003 Server Rus, Kerio Winroute 6.5.0.4794 (обновить пока нет возможности)

lipser

Цитата:

На сервере неожиданно перестали открываться web-страницы. Не работает никакой http трафик: ни обновления антивиря, ни обновления такскома и т.п. Остальные службы работают нормально (POP, SMTP, МТС и т.п.), все DNS пингуются, по именам сайтов тоже пинг нормальный.

Все -таки ищите проблему в DNS. У вас нет разрешения имен. Либо нет доступа к DNS-ам провайдера, либо слетел/не настроен форвардинг DNS запросов к внутреннему DNS серверу. В шапке форума есть "Красная" ссылка о том, как правильно настроить DNS для керио.
Проверьте имена сайтов не пингом, а nslookup

vimaret
У меня не совсем такая ситуация как описана в шапке. У сервера только ОДИН сетевой интерфейс, если не считать интерфейса VPN. Он же и является внешним интерфейсом. И пинг по имени проходит, что говорит о правильном разрешении имени в айпи:

C:\Documents and Settings\Администратор>ping www.mail.ru
Обмен пакетами с www.mail.ru [194.67.57.126] с 32 байт данных:

Ответ от 194.67.57.126: число байт=32 время=2мс TTL=120
Ответ от 194.67.57.126: число байт=32 время=2мс TTL=120
Ответ от 194.67.57.126: число байт=32 время=2мс TTL=120
Ответ от 194.67.57.126: число байт=32 время=2мс TTL=120

Статистика Ping для 194.67.57.126:
Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 2мсек, Максимальное = 2 мсек, Среднее = 2 мсек

А вот открыть тот же маил.ру введя айпишник в строке адреса в ИЕ также не получается. Плюс при отключении Керио все начинает работать, поэтому складывается ощущение что как будто проблема в каком-то правиле, но первым стоит правило разрешающее фаерволу все во все стороны...
Как еще можно попробовать диагностировать проблему ? Может попробовать вести логи по каким-то правилам и уже в логах посмотреть ?

lipser
ты так http://194.67.57.126/ вводишь адрес ?

Да, так и ввожу. На всякий случай проверил на другой машине то что вводил на сервере - работает.

lipser
какая реакция на команду
telnet 194.67.57.126 80

пробовали другой браузер? (opera мозила)


Добавлено:
попробуй настроить керио через стандартный wizard

Добавлено:
и заодно на всякий случай картинку с правилами скинь

Цитата:

какая реакция на команду
telnet 194.67.57.126 80

никакая. черный экран, на нажатия клавиш реагирует сдвиганием белого курсора вправо (уже тестировал, точно так же себя ведет когда не может подключиться к порту)


Цитата:

пробовали другой браузер? (opera мозила)

да, мозилла тоже не открывает, уже пробовал


Цитата:

попробуй настроить керио через стандартный wizard

вот тоже ненароком подумал что может какой-то глюк в правилах случился, у меня некоторые умники раза три машинку ресетом перезагружали ... попробую.


Цитата:

и заодно на всякий случай картинку с правилами скинь

сейчас попробую....

Цитата:

никакая. черный экран, на нажатия клавиш реагирует сдвиганием белого курсора вправо (уже тестировал, точно так же себя ведет когда не может подключиться к порту)

Это означает что трафик по 80 порту пропускается.

Кстати а почему выключено правило на входящий http?

Попробуй все таки визард

Добавлено:
можно еще попробовать правило всем отовсюду и везде по любому протоколу. Так будет понятно правила рубят или нет.

lipser
Почитал, посмотрел - правила вроде не виноваты.
А посмотри ка на http rules и log'и мож там ответ скрывается... В первом правиле поставь журналирование...

pilotro
Воспользовался визардом, заново завел все правила. Эффекта почти ноль (( При открытии какой-либо страницы вместо сайта получаю в браузере одно слово "Resolver"
Добавил первым правило: все во все места по всем сервисам разрешить - не помогает.

Ruza
нет там ничего страшного. на всякий случай добавил HTTP-правило разрешающее все. то же самое - Resolver вместо нужного сайта. ИМХО это правила, которые действуют в случае использования прокси-сервера, у меня не используется.

lipser
Хм... Давай тогда так сделай правило типа:
any - any - DNS - permit - NAT
Поставь его самым верхним и проверь... Если заработает то смотри настройки сетевых адаптеров DNS в частности, возможно не в том порядке перечислены адаптеры/привязки.
Если нет ipcofig и route /print смотри.

lipser
хорошо хоть какое то слово есТь.
убери все птички связанные с авторизацией. Принудительную, автоматическую и т.д.

Так, что есть за выходные:
1. Полностью снес Kerio
2. Полностью удалил папку C:\Program Files\Kerio
3. Убил в реестре ветку HKLM\Software\Kerio
4. Установил и пропатчил версию Kerio 6.6.0.5729
5. Завел заново все правила с учетом последних рекомендаций:

6. Вот листинг ipconfig и route

Настройка протокола IP для Windows
Internet IT-Soft - Ethernet адаптер:
DNS-суффикс этого подключения . . :
IP-адрес . . . . . . . . . . . . : 195.93.180.207
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 195.93.180.1

Kerio VPN - Ethernet адаптер:
DNS-суффикс этого подключения . . :
IP-адрес . . . . . . . . . . . . : 10.0.0.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :

IPv4 таблица маршрута
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x40003 ...00 30 48 81 2f 6f ...... Intel(R) PRO/1000 MT Network Connection #2 - Kerio WinRoute Firewall
0x40004 ...44 45 53 54 4f 53 ...... Kerio Virtual Network Adapter - Kerio WinRoute Firewall
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 195.93.180.1 195.93.180.207 20
10.0.0.0 255.255.255.0 10.0.0.1 10.0.0.1 20
10.0.0.1 255.255.255.255 127.0.0.1 127.0.0.1 20
10.255.255.255 255.255.255.255 10.0.0.1 10.0.0.1 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
195.93.180.0 255.255.255.0 195.93.180.207 195.93.180.207 20
195.93.180.207 255.255.255.255 127.0.0.1 127.0.0.1 20
195.93.180.255 255.255.255.255 195.93.180.207 195.93.180.207 20
224.0.0.0 240.0.0.0 10.0.0.1 10.0.0.1 20
224.0.0.0 240.0.0.0 195.93.180.207 195.93.180.207 20
255.255.255.255 255.255.255.255 10.0.0.1 10.0.0.1 1
255.255.255.255 255.255.255.255 195.93.180.207 195.93.180.207 1
Основной шлюз: 195.93.180.1
===========================================================================
Постоянные маршруты:
Отсутствует


Еще заметил одну вещь: слово Resolver вместо сайта появляется не всегда. Иногда страница просто не открывается. А сегодня выдал вот такое сообщение:
Proventia-Filter-Server
Version 3.2.5.3
Activated yes
Database version 4.15688
Last updated 20:04:2009

Что это за фильтр ????!!!

P.s. Все действия с открыванием страниц делаю с рабочего стола администратора, VPN используется только для подключения пользователей к серверу с помощью RDP. Это я к тому, что NAT вроде как и не должен совсем использоваться.

lipser

Цитата:

Proventia-Filter-Server

А это откуда выскочило с инета?
А если без всяких файерволов, напрямую любой комп посадить в сеть 195.93.180.0 на тот же адрес 195.93.180.207, что и сервер, он будет открывать сайты?

lipser
Отключи на первом правиле NAT (он только для теста надо был)


Цитата:

Proventia-Filter-Server
Version 3.2.5.3
Activated yes
Database version 4.15688
Last updated 20:04:2009

Это у тебя cobian filter ругается. Отключи его нах, ИМХО он только для тормозов придуман и танцев с бубнами.

vimaret
Да, это в окне IE отображается вместо сайта.
выше уже писал: если отключить Kerio все работает без проблем
Ruza
Да, уже отключил и вернул все правила в первоначальное состояние, т.к. теперь вообще какая-то ерунда происходит: не приходит входящая почта, потому что невозможно с внешних адресов подключиться к портам 25 и 110. Локально нормально подключаюсь и по айпи и по имени хоста, а удаленно не могу: соединение происходит, а приветствия почтового сервера нет, черный экран и все. Точно такая же ситуация как я описывал выше при попытке с сервера подключиться куда либо к 80-му порту. Попробуйте сами:
telnet mail.kindecor.ru 25
telnet mail.kindecor.ru 110

Слышал про этого кабана, но никогда им не пользовался, подскажите что значит сообщение и как его пока вообще отключить ??

Ситуация не совсем стандартная:

1. KWF настроен и удовлетворительно выполняет функции фаерволла.
2. Авторизация пользователей локальной сети встроенными в Керио средствами не используется. И, тем не менее, необходимо учитывать потребление трафика по хостам локальной сети.
3. Пробовал варианты настройки KWF как с непрозрачным прокси, так и через НАТ. Оба варианта работают удовлетворительно.
4. Для сбора статистики используются журналы HTTP.LOG и CONNECTION.LOG. Они аккумулируются сторонним счетчиком трафика - Trafic Inspector. К счетчику претензий нет.

Всегда суммарный входящий трафик, полученный обработкой указанных логов (HTTP.LOG и CONNECTION.LOG), меньше на 10-20% суммарного входящего трафика с внешнего интерфейса KWF (из встроенной статистики Kerio).

В инете проходила информация, что через внешний интерфейс Керио считаются все пакеты (по сетевому уровню модели OSI). А когда считаются пакеты из внутренней сети наружу (неважно, через прокси или через НАТ), используется более высокий уровень – уровень приложения модели OSI.
Например, встречал такие фразы: "WinRoute считает трафик протоколов HTTP, TCP/UDP, FTP итд., то есть не учитываются длины заголовков пакетов IP/TCP/UDP. Расхождение по этой причине зависит от MTU (Maximum Transfer Unit - для Ethernet размер сетевого кадра)".

Поэтому возник принципиальный вопрос:

Можно ли в вышеописанной ситуации получить очень близкое (например, до долей процента) совпадение общего входящего трафика (потребленного хостами локальной сети) посчитанное по правилам из трафик полиси и при помощи встроенной в Керио статистики?

ЗЫ
Речь везде о входящем трафике, поскольку именно он и оплачивается. Интересно было бы получать и точные расчеты по исходящему трафику. Но это - из разряда пожеланий.

lipser

Цитата:

потому что невозможно с внешних адресов подключиться к портам 25 и 110.

Посмотри на каком IP слушает почтовик, если надо добавь МАР в правилах.

Цитата:

Слышал про этого кабана, но никогда им не пользовался, подскажите что значит сообщение и как его пока вообще отключить ??

В керио встроен огрызок от "Proventia™ Web Filter" ("Cobion’s OrangeBox Web").
Вроде как призван фильтровать страницы по своим фильтрам, но ИМХО каждый запрос передавать ещё и на сервера Proventia это глупость...
На закладке ISS OrangeWeb Filter можно ставить/убирать птичку Enable


Добавлено:
HankHank


Цитата:

Можно ли в вышеописанной ситуации получить очень близкое (например, до долей процента) совпадение общего входящего трафика (потребленного хостами локальной сети) посчитанное по правилам из трафик полиси и при помощи встроенной в Керио статистики?

Вряд ли т.к. есть трафик самого керио, кеши, фильтры, антивирусы...

Ruza:

Цитата:

Цитата: Цитата:Можно ли в вышеописанной ситуации получить очень близкое (например, до долей процента) совпадение общего входящего трафика (потребленного хостами локальной сети) посчитанное по правилам из трафик полиси и при помощи встроенной в Керио статистики?

Вряд ли т.к. есть трафик самого керио, кеши, фильтры, антивирусы...

И еще в соединениях обнаружил вот такую информацию:


Что=-то ничего не понимаю - куда он у меня ломится столькими коннектами по HTTP ?? Тем более что HTTP не работает ?

Здравствуйте

Возникла проблема с автоматической аутентификацией при использовании AD.

следующие пункты отмечены галочками

Параметры аутентификации:
Включить аутентификацию в Active Directory

Active Directory:
Перенести учетные записи из домена Active Directory в межсетевой экран KWF

пользователи в списке отображаются, но автоматическая аутентификация не происходит

Версия керио KWF 6.5.2 b5172

Цитата:

Перенести учетные записи из домена Active Directory в межсетевой экран KWF

Вот этого не надо.

lipser
Ты cobion то выключи...

Цитата:

Вот этого не надо.

отключил, учетки пропали. импортировал одну из AD для проверки.

Все равно автоматическая аутентификация не работает.

Может существуют какие-либо тонкости?

например: комп с керио НЕ должен быть в домене, зависит от прокси и т.п.

неужели вроде как документированная способность керио внешней автоматической аутентификации не работает?
или так влияет триальная версия? Мы сейчас пробуем перед покупкой, но если тут такие проблемы, то придется обратить свой взор на ISA

pubb7 на kerio-rus.ru ходи там все расписано.
у меня так:
Параметры аутентификации:
+ всегда требовать аутентификацию ...
- включить принудит...
+ Включить автомат. аут. веб обозревателями
-
-
+включить аут домена winnt

Active Directory:
+перенести...
+включить аут. winnt для данного домена

Прокси:
+ Включить непрозрачный

Ruza
Отключил. Нифига не помогает, почта так и не ходит, страницы с сервера не открываются, что-то и не знаю даже уже куда копать ...

pubb7

Цитата:

отключил, учетки пропали. импортировал одну из AD для проверки.

Ничего не надо импортировать... Вот почитай:
http://www.kerio.com/manual/kwf/6.5/en/sect-domains.html
http://www.kerio.com/manual/kwf/6.5/en/sect-ntlm.html

lipser
На приведённой картинке как раз не отключил...


Цитата:

почта так и не ходит

Почтовый сервер где?

Ruza
Снял галку в Конфигурация - Фильтрация содержимого - Политика HTTP - Фильтр ISS OrangeWeb Filter - Включить фильтр.

Все равно соединения переодически появляются и пропадают (как на картинке)

Почтовик на этой же машине стоит