» Kerio Control (ex Kerio WinRoute Firewall)

Доброе Утро.

Керива 8.2.0 b1334 - наблюдается невероятный высокий пинг до самой прокси, в бетах было тоже самое, на 8.1.1 p3 - такоего нет.

У кого подобная трабла, отзовитесь.

Цитата:

вот это проделал?

В консоли нашего Керио жмакаем ALT+F2 вводим логин (root) и пароль, далее пишем:
start-ssh и mount -o remount rw /
затем подрубаемся через WinSCP, идем по пути /opt/kerio/winroute/ находим файлик winroute копируем его к себе на комп, открываем текстовым редактором, ищем строку https://1.rs.af.cm и заменяем на https://8.hp.af.cm. Ну теперь копируем этот файлик обратно.
И не забудьте проверить chmod после копирования этого файла - должен быть rwxr-xr-x (0755)

Я все это делал, так же с дашборда подсовывал ключ. Факт в том что у меня ничего не активированно, но все категории работают)

Apache33
где взять ключ с дашборда ? можно ссылочку ?

Kerio Control 8.2.0. Изменились правила фильтрации содержимого. Задача блокировать внешнюю почту пользователям как бы решается включением категории WebFilter "Информация/связь" Эл. почта. Но поскольку это правило теперь содержит как URL фильтрацию так и систему обнаружение приложений блокируется почтовый сервер находящийся за фаерволом. Приходится открывать эту категорию, причем для всех. В правилах трафика есть правило "Источник - Любой, Назначение - Брандмауэр, Службы - SMTP(все),Разрешить, Трансляция - MAP на внутренний адрес почтаря", которое до обновления прекрасно и главное понятно выполняло свою задачу. Собственно вопрос. Как открыть доступ снаружи к почтарю, и в тоже время закрыть внешнюю почту пользователям? И второе. Чей приоритет сейчас выше "Правила трафика" или "Фильтрация содержимого"?

Цитата:

Ключ в конфиг надо из лицензионного фала совать а не ключ веб-фильтра.

п.с Люди! У меня вопрос...
Кто Вы все? Вы точно админы?

Да, админ. Просто недавно начал работать, и вот задание, поднять Kerio на Линуксе. Никогда раньше не работал с серверами, поэтому и пытаюсь выяснить все по максимуму, и не надо такого отношения, мол что за вопросы и т.д Если твое высокомерие не позволяет тебе общатся с новичками, такими как я, изволь не отвечать на вопросы.

Ок.
Договорились

rivan65
всё просто, запретите эл.почту кому-то конкретному а не всем.

Tihon_one
Т.е. чтобы это работало нужно построить цепочку по категории WebFilter "Информация/связь" Эл. почта.-
1 разрешено для группы Mail Allow (кому можно)
2 запрещено для группы Proxy Allow (все пользователи)
3 разрешено всем (поскольку под это правило попадают все внешние SMTP соединения)
Не красиво как то.

Вопрос такой:
После обновления на 8.2 перестал работать VPN. Правила трафика настроены верно, косяк в правиле типа любое содержимое-любой источник-удалить, в фильтрации содержимого. Оно у меня всегда последним стояло в политиках http и перешло по наследству.

Смысл в том, что у меня используются белые и черные списки сайтов (группы url) и через фильтр содержимого раздаются разным группам юзеров, без последнего правила, запрещающего все, белый список бесполезен.

После создания правила типа kerio vpn,l2tp,ipsec-группа юзеров-разрешить, vpn не заработал. VPN начинает работать ТОЛЬКО с правилом типа kerio vpn,l2tp,ipsec-внешний ip юзеров-разрешить, что является нереальным косяком.

От последнего правила в фильтрации содержимого, блокирующего все, я отказаться не могу. Сам вопрос: почему в фильтрации содержимого правило разрешающее vpn на определенных пользователей не работает, почему приходится указывать внешние ip пользователей в правиле? Кто-нибудь с подобным сталкивался?

p.s.: В логах видно, что пользователь подключается на 10 секунд и выпадает. Так же видно, что правило частично работает, т.е. подключение происходит, а потом udp пакет от юзера с порта 105** идет на порт 4090 керио и блочится последним правилом. Дополнительный вопрос: почему трафик, попадающий под службу kerio vpn и разрешенный для юзеров правилом, не попадает под это само разрешающее правило? Соответственно блокируется последним правилом.

p.p.s.: в керио vpn клиенте у юзеров выпадает ошибка "Невозможно организовать туннелирование данных (возможно, заблокирован трафик UDP)".

rivan65
всё красиво, главное понимать для чего нужен контент фильтр. Если хотите всем почту зарубить то создайте выше ОДНО разрешабющее правило для разрешённый пользователей и для группы IP кода будет входить IP адрес вашего почтового сервера, всего делов-то.

pereh

Цитата:

После создания правила типа kerio vpn,l2tp,ipsec-группа юзеров-разрешить, vpn не заработал. VPN начинает работать ТОЛЬКО с правилом типа kerio vpn,l2tp,ipsec-внешний ip юзеров-разрешить, что является нереальным косяком.

Никакого косяка, как вы думаете контрол должен понять что к нему с внешнего IP подключается именно тот юзер который вы указали ему в правиле, ещё ДО того как он пройдёт аутентификацию? - ответ, никак. Посему, если вы хотите создать правило фильтрующее весь WEB доступ для всех пользователей то и создайте его для URL и в качестве URL укажите *

Tihon_one

Цитата:

Никакого косяка, как вы думаете контрол должен понять что к нему с внешнего IP подключается именно тот юзер который вы указали ему в правиле, ещё ДО того как он пройдёт аутентификацию? - ответ, никак. Посему, если вы хотите создать правило фильтрующее весь WEB доступ для всех пользователей то и создайте его для URL и в качестве URL укажите *

Логика понятна, спасибо. Не понятно другое - аутентификация то проходит, т.е. логин\пароль приняты и по логам юзер подключился, на 10 секунд но подключился. И не понятно почему трафик от udp порт 10*** к udp порт 4090 не попадает под правило разрешающее службу керио vpn и блочится следующим правилом?

А если я хочу не только весь web, а остальной трафик тоже заблокировать? Можно ли создать правило для VPN без использования списка внешних ip юзеров? Что-то типа kerio vpn,l2tp,ipsec-внешний адрес керио-разрешить (конкретно это не работает), т.е. разрешить весь VPN трафик для любого.

И да, если kerio vpn,l2tp,ipsec-внешний адрес керио-разрешить не работает, то почему после добавления эл.почта-внешний адрес керио-разрешить начинает работать эл. почта?

pereh
Tihon_one
Разобрался. В правилах трафика есть колонка "Инспектор". если стоит "по умолчанию" то по этому правилу включается Web Filter , а если "нет" то и не надо ничего фильтровать. И почта и VPN работают. Попытки поставить в этом поле службу не увенчались успехом, поэтому не понятно что разработчик имел ввиду под "Инспектор SMTP". Включить фильтрацию при обнаружении протокола, или наоборот не фильтровать по нему. Не знаю короче, вырубил инспектор на всем кроме выхода в инет пользователей.

rivan65
Действительно, после отключения инспектора на правиле трафика VPN и удаления правила VPN из фильтрации содержимого, керио перестал контролировать VPN трафик и пустил без проблем.

Почту я пустил правилом в фильтрации содержимого эл.почта-керио-разрешить.

Собственно получается то, что я и хотел, керио блочит все, что я не разрешил, кроме VPN трафика.

Спасибо за подсказку!

p.s.: А косяк все же имеется - трафик попадающий под службу kerio VPN не попадает под правило разрешающее VPN в фильтрации содержимого. Иначе аналогичное правило с почтой тоже не сработало бы.

Tihon_one

Цитата:

для группы IP кода будет входить IP адрес вашего почтового сервера, всего делов-то.

Это само сабой. Но Веб фильтр при включенном инспекторе блокировал входящие соединения от внешних серверов.



Добавлено:
pereh
По поводу VPN тоже сначала не заработал, но добавил правило разрешения в фильтрацию и туннель собрался и клиенты подключились. Как то все неоднозначно с 8.2.

Добрый день уважаемые форумчане !!! Хочу задать вопрос по этой самой гадости именуемой керио контрол 8.1.1 build 928 (Linux). Вопрос вот собственно в чем .. у меня в качестве выхода в интрнет используется флешка от YOTA. когда она перегревается она отключается потом автоматически сама постанавливается а интерфейс в керио отключается и сам не востанавливается в связи с чем у меня обрывается интернет, Чтобы его включить необходимо заходить в веб интерфейс керио и постоянно передергивать ручками интерфейс модема YOTA, отключать его "применять" изменения, снова включать и "применять" изменения. Это по сути делать легко когда ты ежесекундно находишься за компом, но бывают случае когда ты на выезде и нету тебя за компом то начинается шквал звонков на телефон от негодующих из-за отсутствия интернета своих коллег ... Помогите как сделать чтобы сервер сам автоматически при потери пинга передергивал сетевой интрфейс =)

Вообщем не использовал керио с 2008 года, и тут снова пришлось.
Вообщем работает без проблем, только одно НО.
Выставляю хост, диапазон или интерфейс в источнике и пускает в назначение по службам и портам, которую укажу.
А вот ставлю доменную учетку в источник и не фига...

DiabloLCF
Керио пофиг на пинги, отваливается сам интерфейс. Т.е. теряется он в никсах, а керио про это и не знает. Надо проверить для начала, есть ли коннект из под консоли, в обход самого керио.

Если и никсы инета не видят, то навесить скрипт, который по определенному таймауту после потери пинга рестартит сетевого демона и, если надо, керио.

Если же никсы инет видят, а керио не раздает, то... все равно то же самое, после потери пинга по определенному таймауту рестартить демон керио.

p.s.: вообще хз, можно ли навесить в потроха bash скрипты и как они будут работать, но попробовать стоит))

HotBeer
Керио в принципе ужасно работает с доменом, лично мои правила и квоты я не смогу распространить на доменные учетки и группы. Если речь идет о правилах трафика, то как вариант могу предположить, что правила трафика не работают на юзерах потому, что они еще не авторизованы в керио.

Добрый день. Существует такая проблема, подскажите куда капать... Давно существует, еще с 7 версии тянется - пару раз возникала.
На текущий момент имеется:

Kerio Control 8.1.1 patch 3 build 1212
Контроллер домена и сервер терминалов в одном лице: win2k8r2

Настроено сопоставление учетных записей керио и службы каталогов.
Включена принудительная аутентификация непрозрачного прокси, для каждого сеанса браузера, только для терминального сервера.
Включена автоматическая NTLM аутентификация.
Защита от перебора паролей отключена.

Периодически некоторые пользователи не могут авторизоваться на прокси с терминального сервера. При этом у остальных проблем нет вообще, а сами проблемные пользователи спокойно ходят на нужные ресурсы с локальных машин(NTLM)

Пока-что лечится перезагрузкой керио, но уже достало - ситуация возникает третий раз за месяц.

В журнале наблюдаем вот что:

[21/Nov/2013 10:18:30] Authentication: HTTP Proxy: Client: 192.168.1.10: Invalid password for NT/Kerberos user 911
[21/Nov/2013 10:18:32] Authentication: HTTP Proxy: Client: 192.168.1.10: Invalid password for NT/Kerberos user 911

Где 911 - проблемный юзер
192.168.1.10 - сервер терминалов.
И таких записей десятки. Пароль 100% верный.

В последний раз я добавил в политики HTTP правило для ресурса, на который ходят только с терминального сервера:
Действие - разрешить, УРЛ - выбрал нужную группу, Пользователи - Не аутентифицировать. И сделал его самым верхним. Но так как ситуация повторилась - не помогло...
Тест подключения на вкладке "Службы каталогов" проходит на ура...

DiabloLCF
это ваш свисток от ёты гудость редкосная, меняйте.

HotBeer и pereh

учите мат часть, как использовать учётные записи в правилах трафика: hxxp://manuals.kerio.com/control/adminguide/en/sect-usersinrules.html



Цитата:

Керио в принципе ужасно работает с доменом,

- вообще никак не подкреплённое утверждение.

kersantinov
а вы пробовали отладку со стороны DC делать?

Tihon_one

Цитата:

учите мат часть, как использовать учётные записи в правилах трафика: hxxp://manuals.kerio.com/control/adminguide/en/sect-usersinrules.html

Это вообще к чему? Я использую учетки в правилах трафика и намекнул человеку копать в сторону авторизации. Будет она автоматической или нет - его дело.

И да, если даем ссылки, то хоть без ошибок.

Tihon_one

Цитата:

это ваш свисток от ёты гудость редкосная, меняйте.

Цитата:

- вообще никак не подкреплённое утверждение.

Ничего не напоминает про не подкрепленное утверждение?

Tihon_one
А насчет работы с доменом приведу один простой пример. У меня много пользователей, у которых квоты и интервалы для квот индивидуальны. Я не собираюсь создавать на КД кучи ненужных мне групп, чтобы потом в керио этим группам можно было раздать шаблоны нужных квот, тупо из-за того, что керио не позволяет задать индивидуальные квоты доменным юзерам. Ну и т.д. и т.п.

p.s.: я хоть какие-то советы дал, стараясь помочь, а Вы только и делаете, что агритесь на всех подряд, не дав при этом ни одного дельного совета и, видимо, даже не попытавшись понять сути вопросов(это видно по тому, как Вы ответили на мой первый вопрос про баг в правиле). Если действительно нечего ответить по делу, попрошу проходить мимо моих постов.

pereh

Не будем спорить, но проблема у товарища HotBeer не в аутентификации а в неверном подходе к использованию имён учётных записей и групп пользователей в правилах трафика, та ссылка, которая по всем правилам, приведена с "ошибкой" в наименовании используемого веб протокола, заключает в себе информацию о том, как это делать правильно, от сюда и намёк на "мат.часть".

Утверждение про свисток состоял в том, что "редкостной гадостью" является то оборудование которое перегревается и требует постоянного перезапуска(кстати использовать для корпоративного использование оборудование, которое для этого не предназначено, это вообще п*****ц, но речь не об этом конечно же) а не ПО которое не готово к оборудованию такого низкого качества, но это моё личное "ИМХО" построенное на некотором опыте работы с сетевыми устройствами, и имеет оно всё же больше аргументации нежели утверждение уважаемого DiabloLCF

Ну и домен наконец-то, видно что вы всё-таки упустили некоторую часть той самой "мат.части"(прошу простить за тавтологию), так вот навесить квоты можно на любою учётку в интерфейсе администрирования Kerio Control, возможно вы пропустили использование шаблонов домена, использование которого для доменных пользователей можно отключить. Если у вас есть ещё какие-то непобеждённые проблемы при работе Kerio Control и пользователей из домена AD, закиньте их сюда, может сможем решить вместе?

По поводу первого вопроса, да, каюсь, действительно не хватило времени подумать над ним, по скольку сам столкнулся только с проблемой почты. Но и сейчас не спешу утверждать, что проблема в недоработке(хотя всё может быть, с программистов станется), надо просто всё внимательно проверить, а не бежать на форумы и говорить, что что-то не работает, ведь прежде чем спросить надо постараться понять в чём дело-то. Я обещаю, что на неделе протестирую эту проблему со своей стороны и если это бага, будем писать в керио, пускай разбираются. Так же прошу не пропадать, если есть лицензия на продукт, то два оповещения о неисправности всегда лучше, чем одно.

Мир

Добавлено:
UPD

проверил Kerio VPN с включением блокировки для брандмауэра всего трафика, и разрешением Kerio VPN для всех вышестоящим правилом, 10 минут полёт нормальный все туннели подключены, все клиенты подключены, никаких проблем.

И всё таки pereh я убеждён вы просто поторопились, возможно из-за нервозности происшествия, кстати на будущее, чтобы ответы любого из здешних пользователей были максимально точными, от вопрошающего было бы не плохо получить скрины того, что он сделал, вы не представляете как это упрощает задачу отвечающему, это так к слову о хорошем тоне.

Tihon_one

Цитата:

Не будем спорить, но проблема у товарища HotBeer не в аутентификации а в неверном подходе к использованию имён учётных записей и групп пользователей в правилах трафика

Честно говоря не особо понял, что он неверно делал с правилами трафика. Он создавал правило типа доменный юзер\группа-ресурс-служба\протокол-разрешить. Что не так?

Про то, что свисток - УГ, если он перегревается и вырубается, это и так ясно. Просто придрался к словам))). А вот сможет ли он поменять его на что-то более адекватное - непонятно.

Про AD согласен, пример неудачный. Тут скорее с более старых версий накопилось, субъективно сужу.

И да, по поводу первого вопроса. Можно увидеть скрины правил трафика и фильтра? У меня пара боевых серверов(обновлял конечно же на тестовом) и все себя одинаково ведут. Вот лог [more=фильтра][15/Nov/2013 15:07:21] PERMIT "Service Kerio VPN" packet from inter, proto:TCP, len:48, 83.149.44.193:27492 -> kerio:4090, flags:[ SYN ], seq:1873466715/4294967295 ack:0, win:64380, tcplen:0
[15/Nov/2013 15:07:21] PERMIT "Service Kerio VPN" packet to inter, proto:TCP, len:48, kerio:4090 -> 83.149.44.193:27492, flags:[ SYN ACK ], seq:4283570500/4294967295 ack:1873466716, win:14600, tcplen:0
[15/Nov/2013 15:07:21] PERMIT "Service Kerio VPN" packet from inter, proto:TCP, len:40, 83.149.44.193:27492 -> kerio:4090, flags:[ ACK ], seq:1873466716/0 ack:4283570501, win:64380, tcplen:0
[15/Nov/2013 15:07:21] PERMIT "Service Kerio VPN" packet from inter, proto:TCP, len:133, 83.149.44.193:27492 -> kerio:4090, flags:[ ACK PSH ], seq:1873466716/0 ack:4283570501, win:64380, tcplen:93
[15/Nov/2013 15:07:21] PERMIT "Service Kerio VPN" packet to inter, proto:TCP, len:40, kerio:4090 -> 83.149.44.193:27492, flags:[ ACK ], seq:4283570501/0 ack:1873466809, win:14600, tcplen:0
[15/Nov/2013 15:07:21] PERMIT "Service Kerio VPN" packet to inter, proto:TCP, len:1009, kerio:4090 -> 83.149.44.193:27492, flags:[ ACK PSH ], seq:4283570501/0 ack:1873466809, win:14600, tcplen:969
[15/Nov/2013 15:07:22] PERMIT "Service Kerio VPN" packet from inter, proto:TCP, len:394, 83.149.44.193:27492 -> kerio:4090, flags:[ ACK PSH ], seq:1873466809/93 ack:4283571470, win:63411, tcplen:354
[15/Nov/2013 15:07:22] PERMIT "Service Kerio VPN" packet to inter, proto:TCP, len:40, kerio:4090 -> 83.149.44.193:27492, flags:[ ACK ], seq:4283571470/969 ack:1873467163, win:15544, tcplen:0
[15/Nov/2013 15:07:22] PERMIT "Service Kerio VPN" packet to inter, proto:TCP, len:290, kerio:4090 -> 83.149.44.193:27492, flags:[ ACK PSH ], seq:4283571470/969 ack:1873467163, win:15544, tcplen:250
[15/Nov/2013 15:07:22] PERMIT "Service Kerio VPN" packet from inter, proto:TCP, len:40, 83.149.44.193:27492 -> kerio:4090, flags:[ ACK ], seq:1873467163/447 ack:4283571720, win:63161, tcplen:0
[15/Nov/2013 15:07:23] PERMIT "Service Kerio VPN" packet from inter, proto:TCP, len:93, 83.149.44.193:27492 -> kerio:4090, flags:[ ACK PSH ], seq:1873467163/447 ack:4283571720, win:63161, tcplen:53
[15/Nov/2013 15:07:23] PERMIT "Service Kerio VPN" packet to inter, proto:TCP, len:40, kerio:4090 -> 83.149.44.193:27492, flags:[ ACK ], seq:4283571720/1219 ack:1873467216, win:15544, tcplen:0
[15/Nov/2013 15:07:23] PERMIT "Service Kerio VPN" packet to inter, proto:TCP, len:93, kerio:4090 -> 83.149.44.193:27492, flags:[ ACK PSH ], seq:4283571720/1219 ack:1873467216, win:15544, tcplen:53
[15/Nov/2013 15:07:23] PERMIT "Service Kerio VPN" packet from inter, proto:TCP, len:125, 83.149.44.193:27492 -> kerio:4090, flags:[ ACK PSH ], seq:1873467216/500 ack:4283571773, win:63108, tcplen:85
[15/Nov/2013 15:07:23] PERMIT "Service Kerio VPN" packet to inter, proto:TCP, len:40, kerio:4090 -> 83.149.44.193:27492, flags:[ ACK ], seq:4283571773/1272 ack:1873467301, win:15544, tcplen:0
[15/Nov/2013 15:07:24] PERMIT "Service Kerio VPN" packet to inter, proto:TCP, len:93, kerio:4090 -> 83.149.44.193:27492, flags:[ ACK PSH ], seq:4283571773/1272 ack:1873467301, win:15544, tcplen:53
[15/Nov/2013 15:07:24] PERMIT "Service Kerio VPN" packet from inter, proto:TCP, len:109, 83.149.44.193:27492 -> kerio:4090, flags:[ ACK PSH ], seq:1873467301/585 ack:4283571826, win:63055, tcplen:69
[15/Nov/2013 15:07:24] PERMIT "Service Kerio VPN" packet to inter, proto:TCP, len:40, kerio:4090 -> 83.149.44.193:27492, flags:[ ACK ], seq:4283571826/1325 ack:1873467370, win:15544, tcplen:0
[15/Nov/2013 15:07:24] PERMIT "Service Kerio VPN" packet to inter, proto:TCP, len:93, kerio:4090 -> 83.149.44.193:27492, flags:[ ACK PSH ], seq:4283571826/1325 ack:1873467370, win:15544, tcplen:53
[15/Nov/2013 15:07:24] PERMIT "Service Kerio VPN" packet from inter, proto:TCP, len:253, 83.149.44.193:27492 -> kerio:4090, flags:[ ACK PSH ], seq:1873467370/654 ack:4283571879, win:63002, tcplen:213
[15/Nov/2013 15:07:24] PERMIT "Service Kerio VPN" packet to inter, proto:TCP, len:40, kerio:4090 -> 83.149.44.193:27492, flags:[ ACK ], seq:4283571879/1378 ack:1873467583, win:16616, tcplen:0
[15/Nov/2013 15:07:25] PERMIT "Service Kerio VPN" packet to inter, proto:TCP, len:509, kerio:4090 -> 83.149.44.193:27492, flags:[ ACK PSH ], seq:4283571879/1378 ack:1873467583, win:16616, tcplen:469
[15/Nov/2013 15:07:25] PERMIT "Service Kerio VPN" packet from inter, proto:TCP, len:40, 83.149.44.193:27492 -> kerio:4090, flags:[ ACK ], seq:1873467583/867 ack:4283572348, win:64380, tcplen:0
[15/Nov/2013 15:07:27] PERMIT "Service Kerio VPN" packet from inter, proto:UDP, len:161, 83.149.44.193:10594 -> kerio:4090, udplen:133
[15/Nov/2013 15:07:27] DROP [Rule] 'БЛОК ВСЕ' [Connection] Kerio VPN 83.149.44.193:10594 -> kerio (kerio):4090 [Content]
[15/Nov/2013 15:07:30] PERMIT "Service Kerio VPN" packet from inter, proto:UDP, len:33, 83.149.44.193:10594 -> kerio:4090, udplen:5
[15/Nov/2013 15:07:35] PERMIT "Service Kerio VPN" packet to inter, proto:TCP, len:40, kerio:4090 -> 83.149.44.193:27492, flags:[ FIN ACK ], seq:4283572348/1847 ack:1873467583, win:16616, tcplen:0
[15/Nov/2013 15:07:35] PERMIT "Service Kerio VPN" packet from inter, proto:TCP, len:40, 83.149.44.193:27492 -> kerio:4090, flags:[ ACK ], seq:1873467583/867 ack:4283572349, win:64380, tcplen:0
[15/Nov/2013 15:07:37] PERMIT "Service Kerio VPN" packet from inter, proto:TCP, len:93, 83.149.44.193:27492 -> kerio:4090, flags:[ ACK PSH ], seq:1873467583/867 ack:4283572349, win:64380, tcplen:53
[15/Nov/2013 15:07:37] PERMIT "Service Kerio VPN" packet from inter, proto:TCP, len:40, 83.149.44.193:27492 -> kerio:4090, flags:[ FIN ACK ], seq:1873467636/920 ack:4283572349, win:64380, tcplen:0
[15/Nov/2013 15:07:37] PERMIT "Service Kerio VPN" packet to inter, proto:TCP, len:40, kerio:4090 -> 83.149.44.193:27492, flags:[ RST ], seq:4283572349/1848 ack:0, win:0, tcplen:0
[15/Nov/2013 15:07:43] PERMIT "Service Kerio VPN" packet to inter, proto:TCP, len:40, kerio:4090 -> 83.149.44.193:27492, flags:[ RST ], seq:4283572349/1848 ack:0, win:0, tcplen:0
[/more] После дропа vpn рвется.

pereh
короче по поводу проблемы с пользователями и у\з пользователей, это всё к внимательному прочтению той ссылки, что я дал, тут добавить больше нечего.

Про свистки и прочее, я вообще удивлён что он определился в KControl, давно не смотрел в список используемых драйверов, а вообще, для ёты если мне не изменяет память есть какие-то маршрутизаторы, которые и стабильнее и больше нагрузки на себя держат, всё таки думаю лучше использовать их.

По фильту






Добавлено:
т.е. после создания запрещающего правила для самого шлюза, блокировать всю сеть я не могу, работа всё-таки, я дропнул клиента, он переподключился уже с новыми правилами и всё ок, тунели даже не шелохнулись.

По поводу твоего косяка, выложи свои правила фильтра содержимого, посмотрим что с ними а заодно в debug включи протоколирование packets droppe for some reason на всякий пожарный и посмотри помещаются ли туда сообщения о дропе пакетов Kerio VPN протокола...

На рисунке стандартное правило керио для vpn. У меня такое же, за исключением того, что в источнике выбран конкретный интерфейс, на который и стучусь.

Создание правил фильтрации типа kerio vpn-юзеры-разрешить или kerio vpn-брандмауэр-разрешить тоже не помогало. Именно с этими правилами шел дроп в логах фильтра. В логах дебага пусто, вышеописанное делал.

Вот правила фильтра
Сейчас там нет правила для vpn, в правилах трафика отключен инспектор, и все работает.

p.s.: так понимаю в группу local входят все локальные подсети? Я тоже так делал и vpn работал. А вот если любой-любой-удалить, то переставал.

pereh
сегодня приехал спецом пораньше, и сделал полностью блокирующее правило, нет никаких намёков на описанные тобой проблемы.

вот то что я сделал в итоге:




Цитата:

так понимаю в группу local входят все локальные подсети?

нет, в эту группу входит только переменная "брандмауэр" это видно тут http://s7.postimg.org/f2qjaortj/image.jpg

ты мне лучше вот что скажи, какой билд у тебя не бета ли случайно?

Tihon_one
Странно, именно такое правило и делал. 8.2.0 build 1334 официально прилетевшее обновление. Может некорректно что-то обновилось.

pereh
очень странно, короче чтобы не парить себе мозг, сделай следующее правило трафика, если ещё не сделал конечно же:

источник_интернет
назначение_брандмауэр
служба_все протоколы VPN какие планируешь использовать
действие_разрешить
инспектор_нет

и в контент фильтр тогда не включай ничего. Кстати у тебя чистый software appliance или на виртуалке стоит?

Tihon_one
Сделано конечно же, поначалу про инспектор забыл совсем, rivan65 на прошлой странице подсказал)

Нет, без виртуалки. Спасибо за помощь) Как-нибудь, как освобожусь, попробую с нуля накатить и вручную забить конфиг, посмотрим.

pereh
если что, пиши, попробуем порешать, но тут дело явно в исключительных обстоятельствах, иначе я бы смог воспроизвести

Здравствуйте, Уважаемые!
Назрел такой вроде бы банальный вопрос. Есть сервер, на нем две виртуалки на одной win server 2012 с Домен контролем, на второй керио контрол. Две сетевухи, одна смотрит в интернет, вторая в локальную сеть. Выход в интернет имеют только авторизованные пользователи. Появилась необходимость гостевого доступа без авторизации. Возможно по wifi. Подскажите как настроить.