» Kerio WinRoute Firewall (часть 4)

lipser
Ну тогда правило:
any - firewall - SMTP - permit - log - PI off

Добавлено:

Цитата:

Все равно соединения переодически появляются и пропадают (как на картинке)

смотри http policy

Столкнулся с интересным фактом в Kerio WF 6.6.0 На работе две сетки 192.168.0.0/24 и 10.0.0.0/8. Через VPN туннель и соответственно VPN Client 192-я сетка видна вся, а вот с 10-ой проблема, видны адреса только в диапазоне 10.0.0.1-10.0.0.254, а дальше темнота, с KWF 6.5.2 было все норм, просто обновил его на 6.6.0 и вылезла такая петрушка... Есть ли у кого соображения на эту тему, это новый керио такой?

Цитата:

Есть ли у кого соображения на эту тему

Думаю, что смотреть надо IP адреса впн серверов в керио...Они у меня постоянно вида 10.0.0.0.. Вот может от сюда и не видешь пол сети

kerio 6.5.2 не ведет статистику потраченного трафика, при нажатии на internet usage statistics по иконке в трее выходит сообщение в браузере
Не удалось подключиться к удалённому серверу

Вы попытались получить доступ к адресу http://proxy.incom.local:4080/star, который сейчас недоступен. Убедитесь, что веб-адрес (URL) введен правильно, и попытайтесь перезагрузить страницу.
Убедитесь, что соединение с Интернет активно, и проверьте, работают ли другие приложения, использующие это соединение.

Не могу понять куда рыть.. то ли керио, то ли домен?!

Недавно заметила, что в списке юзеров авторизированых осталось процентов 10..(при чем поочередно меняются). Остальные керио считает как unrecognzed и статистику не ведет. А в логах все так и лазят по инету.
Все юзера стянуты с Active Directory. Несколько месяцев работало как часы....
В логах нашла такое:

(8705:335544373) DB: unable to connect to database, Firebird DB error message follows:
(8705:335544373) Firebird DB: *** IBPP::SQLException ***
(8705:335544373) Firebird DB: Context: Database::Connect
(8705:335544373) Firebird DB: Message: isc_attach_database failed
(8705:335544373) Firebird DB:
(8705:335544373) Firebird DB: SQL Message : -902
(8705:335544373) Firebird DB: Unsuccessful execution caused by a system error that precludes
(8705:335544373) Firebird DB: successful execution of subsequent statements
(8705:335544373) Firebird DB:
(8705:335544373) Firebird DB: Engine Code : 335544373
(8705:335544373) Firebird DB: Engine Message :
(8705:335544373) Firebird DB: operating system directive CreateFile failed
(8705:335544373) Firebird DB: Не удается найти указанный файл.
(8705:335544373) Firebird DB:
(8705:335544373) Firebird DB:
(8503:81) Active Directory/LDAP error: DOMEN.com: Сервер отключен

DJ_Diablo


Цитата:

Думаю, что смотреть надо IP адреса впн серверов в керио...Они у меня постоянно вида 10.0.0.0.. Вот может от сюда и не видешь пол сети

У меня адреса впн сервера 172.17.x.x, так что это отпадает, тем более керио не дал бы поднять впн туннель, если бы были совпадения по адресам.


Добавлено:
ev_robert

Цитата:

kerio 6.5.2 не ведет статистику

проверь что стоят галки:
1) Учет ==> Статистика/квота ==> (V) Собирать статистику использования Интернета
(V) Собирать записи о работе пользователей

2) Дополнительные параметры ==> Веб-интерфейс/SSL-VPN ==> (V) Включить вэб интерфейс HTTP

Добавлено:
Tarnish

Цитата:

...Все юзера стянуты с Active Directory...

Если пользователи не авторизуются автоматически браузером, то статистика вестись и не будет... Посмотри в настройках Пользователи -> Параметры аутентификации нада на этой странице настроить правильно, а также поставить галки на "Всегда требовать аутентификации..." и "Включить автоматическое выполнение аутентификации..."
Ну и сответственно настроить параметры которые ниже. Если все правильно введено, то должно работать нормально.
Кстати, в закладке Active Directory(R) вообще можно все поснимать, т.к. все пользователи будут автоматически добавляться в базу Kerio...

7KirOV7

Цитата:

Кстати, в закладке Active Directory(R) вообще можно все поснимать

как-то у меня наоборот, если я на данной закладке указываю домен, то на User Accounts соответственно выбрав его, я вижу всех юзеров и галки в Параметрах аутентификации эти стоят.
А вот в Active Host есть только несколько юзеров...

А если настроить только вторую закладку, то не работает

Tarnish

При настройке закладки Active Directory(R) Керио подключается к AD, сответственно ты видишь всех юзеров, которые у тебя заведены в домене.

Я бы посоветовал тебе вообще не трогать эту закладку, а сделать вот что:
1. Полностью деактивировать все настройки на закладке Active Directory(R).
2. Удалить в Керио тех пользователей, которые остались от предыдущей настройки. (Оставить только встроенную изначально в Керио учетку Admin)
3. Настроить вот так



При такой настройке Пользователь пытающийся выйти в интернет будет автоматически логинится через браузер и добавлятся в локальную базу Керио

ev_robert

Цитата:

http://proxy.incom.local:4080/star

Попробуй прям в строке браузера напечатать вместо "proxy.income.local" внутрисетевой адрес сервера, если пытаешься рулить керио из Лан или же 127.0.0.1, если прям с хоста Керио, предварительно удостоверившись в том, что из Лан или с хоста разрешено подключение к ентому самому хосту по порту TCP 4080 (KWF WebAdmin службу добавь в разрешённые - то же самое ). Должно получиться нечто типа http://127.0.0.1:4080/star или же http://192.168.1.1:4080/star (192.168.1.1 - енто придуманный мной только что IP сервера).

ALL
Как правильно раздавать DHCP на конкретный интерфейс, а не на все? Я настроил так: тупо включил сервис DHCP в Керио и правилами ограничил ему доступ во все сети, кроме нужной мне. Теперь у меня ругается в логе:

[18/Apr/2009 21:04:08] (4103:10048) Socket error: Unable to bind socket for service to port 67.
[18/Apr/2009 21:04:08] (5002) Failed to start service "DHCP" bound to address 10.0.0.100.
[18/Apr/2009 21:04:08] (4103:10048) Socket error: Unable to bind socket for service to port 67.
[18/Apr/2009 21:04:08] (5002) Failed to start service "DHCP" bound to address 10.0.10.100.
[18/Apr/2009 21:04:08] (4103:10048) Socket error: Unable to bind socket for service to port 67.
[18/Apr/2009 21:04:08] (5002) Failed to start service "DHCP" bound to address 10.0.20.100.
[20/Apr/2009 16:00:51] (4001) Unable to create proxy thread.
[20/Apr/2009 16:00:51] Last message repeated 53 times
[22/Apr/2009 19:04:12] (4001) Unable to create proxy thread.
[22/Apr/2009 19:04:12] Last message repeated 15 times
[22/Apr/2009 19:04:12] (4001) Unable to create proxy thread.
[22/Apr/2009 19:04:13] Last message repeated 97 times

18-го я стартанул криво настроенный DHCP, а про прокси ещё дал кусочек лога, потому что просто не понимаю, что ему не нравится ) Но скорее следствие настройки DHCP убогой...

ALL2
И ещё такой момент: жёстко ограничил к хосту керио доступ изнутри сети правилом. На хосте есть шара сетевая, при попытке доступа к ней начало спрашивать пароль почему-то у пользователя, причём вводишь в окошко логина-пароля любые значения - пускает (доступ к шаре у всех в винде прописан, без ограничений). Снимаешь ограничение по протоколам на досту к хосту - пароль спрашивать перестаёт. Какой портик забыл разрешить, чтобы не спрашивало?

Проблемка.
Есть SkyLink модем. На нем инет.
Ставим Керио... Работают все порты кроме 80-го.
Глушим Керио - появляется 80-й.
В чем прикол?
Правило одно - "всем всем можно куда угодно"
В браузере все повисает на фразе "Ожидание ответа от...".
Включал логи - идет запрос на DNS, ответ DNS, далее запрос www.ya.ru:80 и тишина с отваливанием по тайм-ауту.
Все настройки транспарент прокси и нон-транспарент пробовал в разных комбинациях - нифига. Пока включен Керио - 80-й не отвечает.

Вопрос снят - мешал KIS.

7KirOV7

Спасибо, так получилось.

Только интересует один ньюанс, а юзера, которые не в домене, смогут авторизоваться как-то?

вопрос такой стоит 6.5.2 (build 5172) когда сидиш под админом на сервере в 0 сеансе всё гуд если кто то заходит с админскими или юзерскими правами и запускает Engine Monitor то керио выпадает и предложило отправить баг репорт ! в версиях до 6.4 таких багов не видал
вопрос это только у меня такое ?

Tarnish

Цитата:

Спасибо, так получилось.

Незачто.

Чтобы юзера, которые не в домене смогли авторизоваться, необходимо отдельно завести в базу Керио с логинами и паролями, кот. они используют на своих компах.

Подскажите, можно ли в Керио сделать ограничения по скорости каждому пользователю или для группы. Или это не возможно?

Я нашёл такое решение, ставлю квоту юзеру 0Mb и у казываю ограничение в полосе пропускания. Но это правило для всех, а хотелось бы для каждого пользователя отдельно.

Ещё вопрос, так какой же надо прописывать DNS на внутренней сетевухе и клиентских машинах? В одной инструкции написано IP сетевухи с Kerio, на другом IP внешнего DNS сервера.

DSM_Fronex

Цитата:

В одной инструкции написано IP сетевухи с Kerio

Я вот так вот прописывал ) И работает.

DSM_Fronex
нету этого в керио можно на группу ip ставить

Еще один маленький вопросик

Юзера все авторизованы и все гуд. Но если я снимаю галки использовать прокси, то в Active Host не отображается текущая статистика, скорость загрузки юзера.
Можно это реализовать без прокси???

Tarnish

Цитата:

Но если я снимаю галки использовать прокси, то в Active Host не отображается текущая статистика, скорость загрузки юзера.
Можно это реализовать без прокси???

Можно, если закрепить за каждым юзером IP адрес. (В настройках пользователя есть вкладка IP addresses). Но тогда не будет истинной аутентификации, потому что это функция прокси, файервол же работает с IP адресами (анализирует заголовки IP пакетов). И если пользователь сядет не за свой компьютер, или выйдет из под терминала, то статистика будет неверной. Вам придется еще как-то обеспечить выход юзера с нужного IP адреса.

ktonibut podskajite mojet li winrout rabotat na adnom servere s active directory esli da pajalusta skajite kak eta delaetsia

mixako
просто установил и всё !

tak prosta umenia ne vishla mojet podskajesh zaranee spasiba

DSM_Fronex

Цитата:

Ещё вопрос, так какой же надо прописывать DNS на внутренней сетевухе и клиентских машинах? В одной инструкции написано IP сетевухи с Kerio, на другом IP внешнего DNS сервера.

На внутренней сетевухе компутера с kwf нужно прописывать адрес внутреннего DNS-сервера. На внешней ... тоже адрес внутреннего DNS-сервера . Внутренний DNS-сервер заставляешь форвардить на DNSы провайдера.

Если внутреннего DNSа нема, тогда в машины сети и внутреннюю сетевуху компьютера с kwf забиваешь АйПи компьютера с kwf. 192.168.0.1, например.

Уважаемые гуру.

Подскажите, пожалуйста, решение такой ситуации (я думаю, что она элементарна, но у меня что-то грабли получаются):

Имеется 2 точки подключения к интернету: офис и склад. Обе они подключены через одного провайдера. Через этого же провайдера через эти же точки (модемы Zyxel) подключена внутренняя корпоративная сеть по LAN IP-адресам модемов.
Один модем имеет адрес 192.168.0.100, второй 192.168.0.111. Соответственно все компьютеры по обе стороны имели статические IP из данной подсети. Для подключения к интернету с большинство юзеров использовало общий доступ к WAN подключению на одном из компьютеров (он стоял у них как шлюз в свойствах TCP/IP), более «важные» персоны использовали собственные WAN PPPOE подключения на каждом из компов.

В связи с тотальным бардаком и пр. было принято решение о наведении порядка. С КАЖДОЙ стороны был установлен сервер с WinRoute, к ним непосредственно был подключен каждый из модемов (интерфейс «Модем-интернет» 192.168.0.9/10 ), второй интерфейс («Локальная сеть integrated» 192.168.10.1/2) уже непосредственно в свич, поднят DHCP (с каждой стороны со своим пулом IP, чтобы они не пересекались).
Третьим виртуальным интерфейсом сделано PPPoE соединение с провайдером («ADSL.by») и он был через правило также роздан всем подключенным. Всё в кол-ве 2 шт с каждой стороны почти идентично.

По отдельности с каждой стороны всё работает замечательно, ЗА ИСКЛЮЧЕНИЕМ внутренней связи между этими сетями. Максимум, чего удалось добиться при такой настройке внутреннего трафика (см рисунок),



это то, что сервера увидели друг друга в сетевом окружении. Т.е. каждый сервер видит компы из своего сегмента и другой сервер и всё. Компьютеры из другой подсети не видны. Не пингуются.

Все компьютеры в одной подсети (192.168.10.x). Внешние интерфейсы серверов и модемы тоже в одной подсети (192.168.0.x).

Подскажите, пожалуйста, что исправить/добавить нужно, чтобы заработала связь офис/склад?

Parrot
во-первых необходимо создать впн-туннель между серверами с керио. Обмен нешифрованным трафиком через инет чреват последствиями, знаете-ли...
во вторых, сети в офисе и складе должны быть разные. например, офис 192.168.10.x а склад - 192.168.11.x
После этого надо настроить маршрузацию через туннель. И настроить, чтобы из локалки через инет соединение шли только протоколы впн и нттпс.
Все остальное - через туннель.
Инет-трафик - через нат на соответствующем сервере.

Настройка маршрутов склад/офис производится в свойствах vpn-туннеля.

Я думаю многие столкнулись с прогаммой PortableTor и с шибко умными юзерами у себя в сети , вопрос прост: как в KWF блокировать ее, т.к. работать она может и по 80, 8080 портам?
P.S. авторизация пользователей по ИП, менять нельзя.

utp_ss
установи у себя этот "бублик", проследи откуда скачиваются списки серверов и заблокируй этот адрес. Потом вытяни уже скачанные адреса и сделай для них тоже блокировку. Потом поделись с народом списком серверов

utp_ss
Если в масштабах предприятия, то есть гораздо более "умный" совет - лог за н-ное время шефу на стол и в приказном порядке лишение н-ного количества денег у шибко умных граждан навсегда и прочно отбивает охоту к последующему умничанию!

Germanus
Это да. Но административные и технические меры обязательно должны взаимодополняться.
По отдельности они намного менее эффективны.

Parrot
как то сложно. Из прочитанного я понял, что оба сегмента (офис, склад) из одной подсети (192.168.0.x)? Если да то так настроить не получится. Если не вдаватся в подробности то можно сказать что winroute не работает в режиме bridge. Как минимум необходимо разделить на разные подсети (например 192.168.1.х и 192.168.2.х). Потом на каждом из winrout компов нужно настроить маршруты, если трафик для 192.168.2.х то его в такую то сетевуху (модем) и т.д.

Добавлено:
Если можно то нарисуйте структуру сети. Или ответы route print и ipconfig /all с обеих серверов пришлите

Добавлено:
utp_ss
еще можно поигратся с orange web фильтром. по моему там есть что то типа file host или proxy.

Добавлено:
Если это домен то можно еще груповыми политиками запретить изменение настроек прокси, или установку определенной проги, блокировку запуска определенного exeшника.

Добавлено:
хотя на самым действенным способом будет заставить оплачивать определенный трафик из собственного кармана, на статистике он будет очень четко виден.

Добавлено:
и еще один способ.
через nat запретить 80 и 8080 порты, а http трафик направить через собственный непрорачный proxy.

Цитата:

через nat запретить 80 и 8080 порты, а http трафик направить через собственный непрорачный proxy.

Ок, буду разбираться с непрозрачным прокси, что к чему, и как это все организовать)