Tihon_one
я исправил свой пост, глянь
я исправил свой пост, глянь
» Kerio WinRoute Firewall (часть 5)
snayper7
да, правильно, выбери только нужный внешний интерфейс.
да, правильно, выбери только нужный внешний интерфейс.
Tihon_one
ок, спб. второй вопрос не знаешь?
ок, спб. второй вопрос не знаешь?
snayper7
можно конечно.
можно конечно.
Tihon_one
т.е. нет, вопрос снят, у меня другая проблема, надо как-то сдела, чтобы в локалке заходили на сервер терминалов по стандартному порту, а с интернета, чтобы на него замаппились, получается порт надо добавлять.
потому что если я захочу под своим пользователем зайти на сервер1, а меня по умолчанию будет маппить на сервер2, тогда надо порт еще
т.е. нет, вопрос снят, у меня другая проблема, надо как-то сдела, чтобы в локалке заходили на сервер терминалов по стандартному порту, а с интернета, чтобы на него замаппились, получается порт надо добавлять.
потому что если я захочу под своим пользователем зайти на сервер1, а меня по умолчанию будет маппить на сервер2, тогда надо порт еще
snayper7
с трудом вкурил
ты делаешь источник-интернет, назначение firewall, служба tcp port-65535 map 192.168.1.1 port 3389 к примеру. прально понял?
с трудом вкурил
ты делаешь источник-интернет, назначение firewall, служба tcp port-65535 map 192.168.1.1 port 3389 к примеру. прально понял?
Tihon_one
да но как указать в подключении удал.раб. стола что я именно по этому порту стучусь?
да но как указать в подключении удал.раб. стола что я именно по этому порту стучусь?
ip:port
так не подходит разве?
так не подходит разве?
Tihon_one
пробовал знач не таб траблы, ок. спасибо. буду ковыряться
пробовал знач не таб траблы, ок. спасибо. буду ковыряться
snayper7
ну ты попробуй на этом правиле отключить инспектор протоколов.
ну ты попробуй на этом правиле отключить инспектор протоколов.
Tihon_one
все готово
все готово
Подскажите как решить следующую ситуацию:
Есть прокся на базе Kerio WinRoute Firewall вроде все работает открытые почтовые порты на прямую без требования логина и пароля все остальное через залогинивание. Но тут понадобилось открыть доступ на один сайт по конкретному порту напрямую. Захожу в HTTP policy прописываю правило что на данный сайт не требовать аутентификацию потом захожу в Traffic policy добавляю к правилам где прописаны открытые почтовые порты нужный мне порт через нат. Вроде как думается все должно работать, но по ходу к нужному мне серверу так же открыаю еще 2 других порта для соединения 2 программ с сервером по своим портам. Загвоздка в том что проги по своим портам работают нормально, а на попытку открыть сайт в браузере вывод сообщение "Соединение с сервером [адрес нужного сервера] сбой (Сервер не отвечает.)". Я уже и в services лазил создавал сервис и указывал протокол и порт назначения и баловался с трафик инспектором, а толку никакого. Сайт работает и у других людей открывается, но не у меня.
Есть прокся на базе Kerio WinRoute Firewall вроде все работает открытые почтовые порты на прямую без требования логина и пароля все остальное через залогинивание. Но тут понадобилось открыть доступ на один сайт по конкретному порту напрямую. Захожу в HTTP policy прописываю правило что на данный сайт не требовать аутентификацию потом захожу в Traffic policy добавляю к правилам где прописаны открытые почтовые порты нужный мне порт через нат. Вроде как думается все должно работать, но по ходу к нужному мне серверу так же открыаю еще 2 других порта для соединения 2 программ с сервером по своим портам. Загвоздка в том что проги по своим портам работают нормально, а на попытку открыть сайт в браузере вывод сообщение "Соединение с сервером [адрес нужного сервера] сбой (Сервер не отвечает.)". Я уже и в services лазил создавал сервис и указывал протокол и порт назначения и баловался с трафик инспектором, а толку никакого. Сайт работает и у других людей открывается, но не у меня.
Tihon_one
в этом правиле в sourse стоит один из каналов по которому необходимо заходить юзером на терминал, сейчас там нужен список подсетей с которых можно зайти, а куда тогда указать канал?
Makvolfed
покаж еще рисунки, так проще
в этом правиле в sourse стоит один из каналов по которому необходимо заходить юзером на терминал, сейчас там нужен список подсетей с которых можно зайти, а куда тогда указать канал?
Makvolfed
покаж еще рисунки, так проще
snayper7
так ты хочешь разрешить для доступа к терминалу только через один сетевой интерфейс и только определённой группе ip адресов? надо подумать.
так ты хочешь разрешить для доступа к терминалу только через один сетевой интерфейс и только определённой группе ip адресов? надо подумать.
Tihon_one
да правильно, может тоже через трансляцию?
да правильно, может тоже через трансляцию?
хм, голова плохо варит, проверить сейчас нечем.
но давай попробуем:
создавай правила:
прим:if0-первый внешний интерфейс
if1-второй внешний интерфейс
даёшь доступ через второй интерфейс
1) источник if0 назначение firewall служба tcp-65535 действие запретить
2) источник группа ip адресов назначение firewall служба tcp-65535 действие разрешить map 192.168.1.1:3389
хз надо поплясать с бубном на реальной системе. таких ограничений пока не делал ещё.
но давай попробуем:
создавай правила:
прим:if0-первый внешний интерфейс
if1-второй внешний интерфейс
даёшь доступ через второй интерфейс
1) источник if0 назначение firewall служба tcp-65535 действие запретить
2) источник группа ip адресов назначение firewall служба tcp-65535 действие разрешить map 192.168.1.1:3389
хз надо поплясать с бубном на реальной системе. таких ограничений пока не делал ещё.
adjuster
snayper7
спасибо за советы....
snayper7
спасибо за советы....
Доброго всем времени суток.
Подскажите как решить проблему:
Хочу перевести сеть с вингейта на винроут. В вингейте порт прокси был 80, соответственно и у всех клиентов. Чтобы не ходить и всех не перенастраивать (около 150 машин) поставил в винроуте тоже 80 порт, но нем ничего не пашет, т.е. ошибок никаких не выдает, в журнале error по этому поводу ничего не пишется, но клиенты не могут попасть в инет. Любой другой порт - без проблем.
Винда - 2003 Enterprise SP2 свежеустановленная (ставилась по умолчанию, никакие дополнительные сервисы не поднимались), кроме винроута стоит только акронис ентерпрайс сервер 9 для бэкапа.
В чем затык, винроут на 80 не хочет по простому работать или это проделки винды ...или еще чего?
Подскажите как решить проблему:
Хочу перевести сеть с вингейта на винроут. В вингейте порт прокси был 80, соответственно и у всех клиентов. Чтобы не ходить и всех не перенастраивать (около 150 машин) поставил в винроуте тоже 80 порт, но нем ничего не пашет, т.е. ошибок никаких не выдает, в журнале error по этому поводу ничего не пишется, но клиенты не могут попасть в инет. Любой другой порт - без проблем.
Винда - 2003 Enterprise SP2 свежеустановленная (ставилась по умолчанию, никакие дополнительные сервисы не поднимались), кроме винроута стоит только акронис ентерпрайс сервер 9 для бэкапа.
В чем затык, винроут на 80 не хочет по простому работать или это проделки винды ...или еще чего?
Nogard2
Цитата:
зайди в сервисы и отключи Протокол Инспектор на протоколе HTTP (выстави в none).
Цитата:
всех не перенастраивать (около 150 машин) поставил в винроуте тоже 80 порт, но нем ничего не пашет
зайди в сервисы и отключи Протокол Инспектор на протоколе HTTP (выстави в none).
Цитата:
тот порт, какой надо банку возможно надо еще и входящий порт
Цитата:
Тебе лень в руководство банк-клиента посмотреть? Или ты не знаешь, как известный порт разрешить?
спасибо за ответы , но просто не знаю пока даже как этот банк клиент называется( удаленный пользователь) , предположил что все банк клиенты как правило используют один и тот же порт.
кстати , насчет разрешить порт , как это правильно сделать ( в каком правиле )?
Добавлено:
подскажите еще пожалуйста, что делает трафик испектор ?
Цитата:
зайди в сервисы и отключи Протокол Инспектор на протоколе HTTP (выстави в none).
спасибо, попробую завтра
Tihon_one
не плохо! буду пробовать,
проблема другая (, я думал это из-за старой версии, оказалось последняя тоже не помогла, у меня 2 канала - один статика, один динамика, не могу настроить динамику, оба канала вместе заведенные не пашут, сейчас сижу на статике, но она лимитная. (
не плохо! буду пробовать,
проблема другая (, я думал это из-за старой версии, оказалось последняя тоже не помогла, у меня 2 канала - один статика, один динамика, не могу настроить динамику, оба канала вместе заведенные не пашут, сейчас сижу на статике, но она лимитная. (
http://yfrog.com/2j57378833j
http://yfrog.com/2857770766j
http://yfrog.com/2958930258j
Вот зделал пару скринов траabr трафик полоси. Если мало или не то пишите конкретней какие "рисунки" вам надо.
http://yfrog.com/2857770766j
http://yfrog.com/2958930258j
Вот зделал пару скринов траabr трафик полоси. Если мало или не то пишите конкретней какие "рисунки" вам надо.
Добрый день
Скажите
Kerio KWF 6.6.0 не позволяет устанавливать PPTP-соединения - те попросту не дает подключаться VPN из-за него - это в принципе невозможно или как-то разруливается настрйками?
Сейчас в Керии 3 правила
Firewall -> все -> все протоколы -> разрешено
Все -> Firewall -> все протоколы -> разрешено
Local -> Inet -> все протоколы -> разрешено - NAT
Работает все - а VPN-соединения наружу не проходят
Куда копать?
Спасибо!
Скажите
Kerio KWF 6.6.0 не позволяет устанавливать PPTP-соединения - те попросту не дает подключаться VPN из-за него - это в принципе невозможно или как-то разруливается настрйками?
Сейчас в Керии 3 правила
Firewall -> все -> все протоколы -> разрешено
Все -> Firewall -> все протоколы -> разрешено
Local -> Inet -> все протоколы -> разрешено - NAT
Работает все - а VPN-соединения наружу не проходят
Куда копать?
Спасибо!
snayper7
с момента про динамику подробней, что от куда и как получаешь, модем или на прямую от прова подключение? в каком режиме не можешь настроить? Если что пиши в личку, чтобы тут не флудить.
Добавлено:
NoISeRR
тебе надо пропустить pptp соединение из локалки к внешнему windows vpn серверу? у тебя в тырнету подключение как осуществляется? адсл?
с момента про динамику подробней, что от куда и как получаешь, модем или на прямую от прова подключение? в каком режиме не можешь настроить? Если что пиши в личку, чтобы тут не флудить.
Добавлено:
NoISeRR
тебе надо пропустить pptp соединение из локалки к внешнему windows vpn серверу? у тебя в тырнету подключение как осуществляется? адсл?
Tihon_one
Inet - подключение прямое - оптика (через конвертер в Ethernet)
в соединениях в Керии - pptp подключение клиента к внешнему источнику вижу
но соединения не происходит - отваливается с ошибкой 800
с самого сервера коннектится - все ок
openvpn при этом с клиента работает без проблем
пробывал и map и fullcone nat
не пашед (((
Inet - подключение прямое - оптика (через конвертер в Ethernet)
в соединениях в Керии - pptp подключение клиента к внешнему источнику вижу
но соединения не происходит - отваливается с ошибкой 800
с самого сервера коннектится - все ок
openvpn при этом с клиента работает без проблем
пробывал и map и fullcone nat
не пашед (((
NoISeRR
короче, косьяк именно с виндовым pptp
создай два правила:
источник-довереная локальная сеть(или ip адрес компа с которого до вин впн конектишся): назначение-сервер впн, служба pptp и gre, действие разрешить, трансляция NAT
второе правило сразу под ним
источник-сервер впн, назначние-firewall, служба pptp и gre, действие разрешить, map на ip который устанавливает соединение, криво конечно но судя по всему пока только так.
причём с openvpn всё пашет нормально.
короче, косьяк именно с виндовым pptp
создай два правила:
источник-довереная локальная сеть(или ip адрес компа с которого до вин впн конектишся): назначение-сервер впн, служба pptp и gre, действие разрешить, трансляция NAT
второе правило сразу под ним
источник-сервер впн, назначние-firewall, служба pptp и gre, действие разрешить, map на ip который устанавливает соединение, криво конечно но судя по всему пока только так.
причём с openvpn всё пашет нормально.
Спасибо
Буду пробывать
Добавлено:
Попробывал
ничего не пашед
с сервера пашед
Правила тут
http://www.noizz.ru/public/Incoming/TrafficRulesVPN-KERIO.JPG
Ниже этих
Все разрешено всем
Буду пробывать
Добавлено:
Попробывал
ничего не пашед
с сервера пашед
Правила тут
http://www.noizz.ru/public/Incoming/TrafficRulesVPN-KERIO.JPG
Ниже этих
Все разрешено всем
Цитата:
Подскажите как решить следующую ситуацию:
Есть прокся на базе Kerio WinRoute Firewall вроде все работает открытые почтовые порты на прямую без требования логина и пароля все остальное через залогинивание. Но тут понадобилось открыть доступ на один сайт по конкретному порту напрямую. Захожу в HTTP policy прописываю правило что на данный сайт не требовать аутентификацию потом захожу в Traffic policy добавляю к правилам где прописаны открытые почтовые порты нужный мне порт через нат. Вроде как думается все должно работать, но по ходу к нужному мне серверу так же открыаю еще 2 других порта для соединения 2 программ с сервером по своим портам. Загвоздка в том что проги по своим портам работают нормально, а на попытку открыть сайт в браузере вывод сообщение "Соединение с сервером [адрес нужного сервера] сбой (Сервер не отвечает.)". Я уже и в services лазил создавал сервис и указывал протокол и порт назначения и баловался с трафик инспектором, а толку никакого. Сайт работает и у других людей открывается, но не у меня.
У меня уже и то что работало перестало работать!
Подскажите как решить следующую проблему: сбрасываю пароль в userDB.cfg (по инструкции из FAQ) запускаю керио, под админом зайти не могу смотрю в userDB.cfg пароль на месте.
Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667
Предыдущая тема: CISCO ROUTER Проброс группы портов
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.