» Kerio WinRoute Firewall (часть 5)

Serg0FFan
печать по какому протоколу? Есть сбор статистики на предмет активности отдельных ПК? Citrix версия? Удалённый офис - домен\ворк_груп?

faust72rus
Печать по протоколу WinPrint-RAW (если я правильно понял что ты имел ввиду)
Есть только показания Kerio Star
Citrix - MetaFrameXP FR3+SP4
Удалённый офис - рабочая группа, server с Citrix расположен на контроллере домена в головном офисе.

Народ, ни кто не сталкивался каким образом можно подружить керио (апленс - линух) с http://rejector.ru,
в плане интерисует чтоб была возможность по группам на самом сервере бить, этих через реджект, этих на прямую..
Возможно в ДНС сервере можно выставить какие то опции...???

Serg0FFan
у меня нет вариантов, конфигурация тривиальная, нужно смотреть какой конкретно трафф привышает, по цитриксу в таком случае нужно опубликовать приложение в виде веб файла (а не использовать стандартный клиент, он может создавать доп. коннекты), возможно поможет смена адресации сетей (т.к. 192.Х.Х.0 сети windows определяет как локальные и потому может делать доп коннекты и жрать больше трафика)
ArtCont
Первое что пришло в голову:
Вырубаем на Керио ДНС редирект (что бы освободить порт). У всех клиентов по DHCP (или ручками) назначем ДНС=IP_kerio;
В политиках трафика для одной группы (тех кого направляем в reject.ru) IP адресов:

Код: Сорс IP_группа; Дест Kerio; Сервисы DNS; Action Allow; MAP 95.154.128.32:53

[faust72rus]
Огромное Спасибо!!!! Попробую вечером по играться)))

ArtCont
Я не знаю как аплянсе. Но в винде у меня стоит в настройках интерфейсов в керио не брать DNS из системы, а использовать прописанные вручную, и прописаны ДНСы режектора.
Кроме того в настройках ДНС в керио стоит птица "Использовать польз. переадресацию" и правило "Запрос к ДНС имени" - * --> переадресовывать - ИПы режектора.

[Germanus]

И переадресация у вас действует для всех или только для конкреной группы???

У меня просто 2-а канала инета, керио настроен на аварийное переключение...
И боюсь как бы при отваливании 1-го канала мои настройки были отработаны на 2-м для группы которая использует не лиметированый(без ограничений) инет... (ИТ центр и дирекция).

[faust72rus]

К вам дурной вопрос, параметр Дест. Керио имееться ввиду Firewall????

Germanus
Человек по-группам дробить хочет:

Цитата:

этих через реджект, этих на прямую

В твоём случае ты всех на реджект отпинываешь или ручками у каждого настраивать человека заставляешь.

ArtCont

Цитата:

параметр Дест. Керио имееться ввиду Firewall????

Да, имеется в виду обращение на интерфейс Kerio.

Пропустил. Для всех, конечно.

kWF 6 разных версий под разными платформами (WinXP, Win2k3) - везде одна проблема:

не открывается сайт www.mvs.gov.ua

просто мистика какая-то, прям политический бойкот, какой-то...

как только керио отключишь - всё открывается...

фильтры все отключал (оранж)

прокси включал выключал (и теневой, и 3128, и провайдерский)

антивирь встроенный вкл/выкл (не помогает) (внешние разные, где нортон, где авира, где каспер 7 - кстати отключал их тоже, в половине случаев снес - болт)

пробовал зайти по айпишнику (болт), один раз пришлось хостс везде прописать (с другим сайтом), но в этом случае не помогло

прописывал адрес к сайту напрямую - открывал доступ к айпишнику напрямую в правилах (тоже болт)

нашел в логах использование портов 3000-3200, открыл (хрен)

господи, что еще можно попробовать, задрали журналюги - нужен им этот сайт, через туннель медленно и неприятно... помогите, христа ради, а то ужо зае...си зовсим, моченьки уж нет эти пасьянсы раскладывать - ну не веб программер я... уф.

harit
У меня версия KC 7.0.0 RC2 bild 630 - открывается отлично.

Походу проблема у тебя.
Проверяй по IP http://212.1.76.10/ - так открывается?

Хм, тоже попробовал - не открывается.
В логах пишет Security
если через прокси: [21/Apr/2010 10:34:33] HTTP: Non-ASCII bytes detected in HTTP response: client: 192.168.0.1, server: 0.0.0.0
если через NAT: [21/Apr/2010 10:37:21] HTTP: Non-ASCII bytes detected in HTTP response: client: 192.168.0.1, server: 212.1.76.10
Отключаем Протокол инспектор - всё нормально заходит =)

Вопрос О НЕАКТИВНОЙ КНОПКЕ "ДОЗВОН" обсуждался, но решён не был. По всем топику прошёлся - ничего нет.

ПОМОГИТЕ: Почему "Дозвон" опция неактивна ?!

W Server 2003 Sp2, Kerio 6.71.

harit
Тоже не открывается без отключения протокол инспектора

ryanblack
Начисто снеси Керио. В системе убери галку "Разрешить другим пользователям использовать данное подключение к интернету... " на подключении к интернету. Так же проверь что во вкладке "Сеть" активным является только(!) IP4. Все остальное выруби. Ставь Керио. Должна быть активна.

b]Germanus[/b]
Благодарю, появился дозвон.

При дозвоне к провайдеру по vpn (vpn.corbina.ru), пишет

Unable to dial line "vpn.corbina.ru" (Unable to establish the VPN connection. The VPN server may be unreachable, or security parameters may not be configured properly for this connection.)

У корбины при настройке туннеля, нужно убирать шифрование. В Kerio нигде такой опции нет.
Подозреваю что проблема в
security parameters may not be configured properly for this connection.

Кто знает решение ?

Germanus, есть какие идеи ?

Добавлено:
Здесь чел сталкивался с проблемой:
http://bagunda.ru/?p=743

Как я понял MS-CHAP не реализовано в Kerio.
Для подключения к Beeline как раз в опциях VPN нужно отключить шифрование.

Где это можно сделать - не понятно...

adjuster
понимаю, но у меня стоит 6 разных версий, и их везде переставливать на семерку выход конечно, но может я где-то галку пропустил... и всё наладится без глобальных телодвижений (ломает ездить по всем офисам)...


Billtm
вот оно счастье - спасибо!!!!

не могУ настроить достУп к локальномУ компьютерУ в сети через Radmin. У сервера 2-е сетевые, в сторонУ интернет 192.168.0.3, в сторонУ коммУтатора локальной сети 192.168.1.1. Необходим достУп к компьютерУ в локальной сети 192.168.1.31.

Порт для слУжбы Radmin настроил допУстим 8801, трансляцию Указал. Ничего не работает. Не могУ подключиться извне. К серверУ свободно, к компьютерУ в локальной сети нет.

harit
на будущее - если что-то не работает, то стоит проверять работу PI (Инспектора Протоколов) - отключением PI на конкретном правиле.

Добавлено:
nanoraptor
А у на клиенте шлюз = KWF ???
Если нет, то ничего не получится без прописывания маршрута с этого клиента...

Решение: на удаленном клиенте в настройках Radmin клиент добавь еще одну машину-сервер:
192,168,1,31, поставь галку Подключаться через... и выбери свою шлюз KWF.

В таком случае придется вводить 2 раза пароль - первый на KWF, второй на клиента.

В верхнем правиле удали порт-меппинг.
В таком случае сможешь подключаться к любой машине из локалки - не нужно будет каждой машине прописывать правило в KWF.

на клиентах шлюз 192.168.1.1, т.е. сервер.

Просто хочУ решить как это должно быть, с перенаправлением

nanoraptor

Цитата:

Просто хочУ решить как это должно быть, с перенаправлением

Тогда отключай PI на данном правиле, так как у тебя 2 разных порта используется - из одного порта мепишь в другой.

ryanblack

Цитата:

Germanus, есть какие идеи ?

Нет. С карбиной не сталкивался. Однако поиграйся с настройками вкладки Безопасность виндового подключения к провайдеру. Керива, хоть и звонит, но использует системные настройки дозвона. То есть, фактически, только команду подает. Если у тебя до того все работало, то и сейчас должно работать. Непонятно.

ryanblack

Цитата:

Здесь чел сталкивался с проблемой:

На развод статья смахивает - автор не смог к инету подключится, но дал логин-пасс и керийцы вошли - просто чудеса.

Germanus

Вчера до "Однако поиграйся с настройками вкладки Безопасность виндового подключения к провайдеру. Керива, хоть и звонит, но использует системные настройки дозвона." сам додумался.

DNS Forwarders настроил на ip 2х сереверов корбины.
Разрешаются любые имена vpn.corbina.ru, ya.ru, ...
Понятно что без туннеля в Инет не пустит.
Зато открывается lk.beeline.ru - личный кабинет. Это нормально, так как локальные ресурсы доступны без Инета.
Пингуется сервер beeline-а - vpn.corbina.ru.

Отключил Kerio. Попробовал виндовое подключение к vpn.corbina.ru. Всё работает.

Включил Kerio. Опять пробую виндовое подключение. Долго думает. - Ошибка 800.
Попробовал дозвон через Kerio.
В dial log пришет:
Unable to dial line "vpn.corbina.ru" (Unable to establish the VPN connection. The VPN server may be unreachable, or security parameters may not be configured properly for this connection.)

По идее раз виндовое подключение используется и все настройки там прописываются - должно всё работать. Очевидно проблема с правилами.

Кто подскажет, как создать правило, которое бы разрешало бы всё в оба направления ?

Цитата:

Включил Kerio. Опять пробую виндовое подключение. Долго думает. - Ошибка 800.

необходимо входящее правило для GRE протокола.

adjuster

Цитата:

необходимо входящее правило для GRE протокола.

GRE и PPTP давно добавлен

Интерфейсы:


Правила:

Добрый день.
Стоит сабж 7 rc2.
Попросили ввести квоты на трафик.
Включил, но сообщения у пользователей, при привышении квоты не появляются.
На бородатых 5-ых и первых 6-ых версиях была переадресация на страницу керии с сообщением, что лимит трафика исчерпан. С тех пор лимитами трафика не пользовался.
Может что-то настраивать надо для работы этих уведомлений пользователей?

П.С. Пользователи просматривать страницу статистики могут, автоматическая переадресация на страницу аутентификации работает, страница уведомлений о заблокированом содержимом тоже корректно отображается.

adjuster



отключен инспектор. Он и был отключен.

Никто не знает как запретит выключать керио простому пользователю? А то через Kerio монитор его кто угодно может выключить

SibD
Нет нынче такого, к сожалению. Через мыло разве.

vladimir oz
Не понял. Какие пользователи? КВРФ ставится только на сервере. А там из пользователей только админ должон быть
Ну а если уж на сервере усеры тусуются... ну используй на крайний случай Watchman (так же здесь посмотри) или Watchcat. Обе контролируют доступ усеров к интерфейсам программ.
Если заинтересуют и не найдешь, свисни, выложу. У меня они есть.