Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Kerio Control (ex Kerio WinRoute Firewall)

Автор: WolfBlack11
Дата сообщения: 12.05.2014 21:11
Скиньте пожалуйста серийный номер E-Soft. Всё облазил не могу найти... Под решёткой(ковриком) каким-то... уже и правила форума перечитал ничего про коврики не нашёл...
Автор: volodkomv
Дата сообщения: 13.05.2014 10:59
Alexis72

Цитата:
Приветствую всех форумчан!
Подскажите, почему Kerio Control не хочет мапировать входящий с интернета 80-й порт TCP на компьютер в локальной сети?
Kerio Control 6.7.1 на Win 2008 Server, два интерфейса (в интернет и в локалку), DNS сервера в локальной сети (они же указаны в качестве DNS локального интерфейса машины с Kerio), неразрешенные запросы передаются на DNS сервера в интернете. На внешнем интерфейсе компьютера с Kerio DNS не прописаны. В самом Kerio служба DNS-форвардинга отключена.  Веб интерфейс Керио использует стандартные порты 4080 и 4081. Также в локальной сети работает почтовый сервер.
В общем, Интернет, почта, FTP работают без проблем, а Веб-сервер, сидящий на отдельной машине в локальной сети с интернета недоступен.
Причем только на 80 порту. Для проверки даже создал правило, транслируещее (MAP) диапазон портов (TCP 79 - 81) на локальный ВЕБ-сервер. На 79 и 81 портах сайт доступен, а на 80 - глухо. Инспектор трафика в этом правиле, естественно, отключен. Но Kerio почему-то перехватывает на себя входящие с интернета запросы на 80 порт. (идет редирект на порт 4081 самого kerio). В файле конфигурации (winroute.cfg) ничего подозрительного не нашел...
В чем может быть причина, в принудительном режиме отрабатывает инспектор трафика? последствия таблетки?


Скорее всего причина в том что он сам использует 80 порт. есть способ смены...
Автор: Tihon_one
Дата сообщения: 13.05.2014 11:46
Alexis72
отключите применение URL фильтрации для локальных серверов. "правый нижний угол в окне правил URL."
Автор: chefruboard
Дата сообщения: 13.05.2014 11:58
Здравствуйте, не могу решить проблему:
Компьютер из интренет соединяется с сервером с выделенным ip по kerio vpn и становится членом внутренней сети с адресом 192.168.2.3
Из внутренней сети, которая стоит за сервером этот компьютер доступен по порту 80
Пытаюсь сделать проброс чтобы пользователь соединяющийся с сервером по выделенному ip по порту 8888 попадал на клиента подключенного по kerio vpn, но если пытаюсь зайти из интренет по прямому ip сервера с портом 8888 - ничего не получается.
Автор: Maza777
Дата сообщения: 13.05.2014 22:44
пишу себе заметку на будущее , Kerio и nod32 очень плохо совместимы. Если до этого такая связка стояла и работала, то на другой машине с теми же самыми настройками она может уже не работать. Весь день сегодня потратили на выяснение этой фигни. правила 1в1 как были на старой машине, но при этом инет и VPN не работает. Пока в службах не отключили антивирь для проверки, так ничего и не заработало, после отключения ,сразу все стало работать.

Кстати кто пользуется Керио, какой антивирь у вас стоит? Т.К. мне пришлось отказаться от Nod32 и сервак сейчас вообще без антивиря.

Добавлено:
chefruboard

Цитата:
чтобы пользователь соединяющийся с сервером по выделенному ip

как этот пользователь попадает на KWF, по VPN ?
если да, то выбирай нужных пользователей или группу.
Или нужно весь инет, всех подряд пускать по порту 8888 на сервак 192,168,2,3:80 ?
Автор: chefruboard
Дата сообщения: 13.05.2014 23:27

Цитата:
как этот пользователь попадает на KWF, по VPN ?

Пользователь по VPN попадает из интернета:
ПК > ADSL Роутер с внутренним адресом провайдера > Провайдер > Интернет > Сервер с KWF с фиксированным IP.

Цитата:
Или нужно весь инет, всех подряд пускать по порту 8888 на сервак 192,168,2,3:80 ?

Да, нужно чтобы любой пользователь из интренета мог попасть на ПК через сервер с KWF с фиксированным IP.
При включении nat, независимо от того стоит ли галка напротив пункта "Разрешить обратные соединения", при попытке зайти, после долгой паузы браузер перебрасывает на http://192.168.2.3/...
И соотвественно от оне может отобразить страницу.

Видимо вэб сервер на ПК отдаёт не правильный ip ответа?
Автор: Alexis72
Дата сообщения: 14.05.2014 05:20

Цитата:
отключите применение URL фильтрации для локальных серверов

Tihon_one
Спасибо! Краткий, четкий и правильный ответ.
Автор: MAGNet
Дата сообщения: 14.05.2014 09:56
wwladimir
вся безопасность везде на нуле.
при попытке зайти на 80-й порт ловлю такое:

Код: {pktdrop} packet dropped: filtered and dropped by traffic rules (from WAN2 (Riss), proto:TCP, len:60, 94.180.xx.xx:43205 -> 80.66.xx.xx:80, flags:[ SYN ], seq:3468013140 ack:0, win:29200, tcplen:0)
Автор: Starshark2007
Дата сообщения: 14.05.2014 14:00
MAGNet

Может у Вас "разрешительных" правил для этого клиента нет? Или его рубит снорт, айпишник клиента входит в "подозрительные" списки.

Если у Вас из-за "плохого" клиента блочатся остальные за "натом" - то сделайте туннель с удаленного роутера на ваш керио. И не нужно будет "плохим" клиентам вообще вводить пароли.
Автор: wwladimir
Дата сообщения: 14.05.2014 14:38
MAGNet
А что у вас работает на 80 порту, мапится внутренний сайт ?
А порт 4081 (админка) этому хосту доступен ?
Я понимаю так, когда в строке {pktdrop} нет названия правила, то пакет отбрасывается по причине отсутствия правила соответствующего этому пакету (т.е. последней строкой правил).
Я бы попробовал для адреса 94.180.xx.xx создать отдельный "трафик полиси" и столбце
"действие"-"учет" чекбокс на "запись в журнал.." И опять смотреть в журналах.

По блокировке по подбору пароля ничего нового не скажу, нового ничего не нашел.
Если птица снята (или создана группа "неблокируемых" IP), блокироваться не должно.
Если установлена, то 5 неверных попыток дают бан на 10 минут.
Вся официальная информация здесь ,
она же и в админгайде на стр 187.
Автор: Idef0
Дата сообщения: 15.05.2014 07:15
Добрый день

Используем kerio 7.0

Есть потребность в том, что бы отдельным группам пользователей запретить доступ в интернет. Хочется это сделать без использования web авторизации. И без привязки к ip (ради этого делать резервирование на кучу адресов не хочется). Хочется, что бы керио подхватывал авторизацию из ad. Залогинился пользователь в windows и нет нужды повторно логин/пароль вводить, что бы получить доступ в интернет. Это возможно в нашей версии? а в более новых ?
Или смотреть надо в сторону Forefront ? Либо скрипт юзать ?
Автор: wwladimir
Дата сообщения: 15.05.2014 08:38
Idef0
NTLM работает с очень ранних версий Керио. Вот только не все браузеры
ее умеют (IE конечено умеет).
А вот в ISA/TMG для "нормальной" аутентификации на каждую машину
еще и "Firewall Client for ISA" придется "деплоить".

В современных DHCP, в их интерфейсах, резервирование выполняется щелчком одной
правой лапки мыши.
Автор: Crazy2
Дата сообщения: 16.05.2014 10:50
Idef0
Дополню ответ wwladimir. Так чтобы без каких либо телодвижений и все браузеры и машина - нету в керио.
Вот варианты, как автоматизировать через скрипт и GPO - это имхо самый универсальный способ, после этого неважно что на компутере хочет в инет - будет доступ:
http://kb.kerio.com/product/kerio-control/microsoft-active-directory-apple-open-directory/how-to-use-a-windows-active-directory-group-policy-object-gpo-to-logon-and-logout-automatically-users-from-kerio-control-917.html

Попроще в GPO можно разрешить ИЕ автоматически передавать юзер/пасс. - но тогда пока ИЕ не запустишь - остальным прогам что в инет ломяться не будет доступа.

Автор: aocenter
Дата сообщения: 18.05.2014 11:39
Доброго дня!
Решил поиграться с Kerio Control.
Качнул пробную демо версию готовой виртуальной машины.
На сервере с Win2008R2 стоит виртуальная машина VMWare.
На компе на самом деле еще несколько виртуальных машин, все машины общие и доступны по rdp из вне.
Сетевая карта eth получает интернет из роутера посредством PPTP. Настроен динднс на роутер, порты проброшены. Сам роутер раздает прямой интернет.
Теперь хотелось всех пользователей (за исключением себя) посадить на Kerio Control 8.3. который на виртуальной машине. Eth настроен как Мост, таким образом сама виртуальная сашина получила автоматом адрес 192.168.1.43 от роутера.
Я со свего компа через WiFi захожу в админку https://192.168.1.43:4081/admin
Это удобно, так как моя машина будет интернет получать напрямую с роутера как и раньше за Kerio и из вне (удаленно из интернета) хотелось бы доступ к админке иметь.

Как настроить вторую сетевую карту?
Ее тоже в режиме моста (Bridge) или Host Only или NAT надо на виртуальной машине поставить?
Предполагается, что в эту сетевую карту будет подключен другой WiFi роутер, который будет раздавать интернет по WiFi ну или по кабелю.
В этом случае DHCP, DNS надо отключать в этом роутере, а службы будут Kerio раздаваться?

Так вот, вошел в админку, а он пишет, что
eth 192.168.1.43 - локальная сеть
eth1 192.168.18.129 - интернет

По сути должно быть наоборот, интернет на eth, а локальная сеть - на eth1.

Пока напрямую кабель воткнул в свой ноут из eth1 - настроил получение ip и dns автоматом (службу DHCP и DNS включал при первом запуске виртуальной машины Kerio), но ip ноут по LAN не получает.
Нет интернета и сети.

Пробовал в админке переставлять
eth - интернет
eth1 - локальная сеть
на самой машине стало писать вход в админку https://192.168.18.129:4081/admin
и все, в админку не могу зайти ни по WiFi ни по кабелю. Что настроил не так, подскажите, пожалуйста.
Автор: Tihon_one
Дата сообщения: 19.05.2014 11:57

Цитата:
арезервировать часть канала для VoIP в тоннеле?


перейти на версию Kerio Control 8.3

Добавлено:
Germanus


Цитата:
Цитата:
в чём проблема аплианса?

Дак, в линухе, это же очевидно.



Что, под линь кряки писать сложнее?

Админится шлюз даже проще чем на видне.


Цитата:

Цитата:
Что заставляет сидеть на "масдае"?

Универсальность, всеядность, доступность, эргономичность.


Спорно, очень спорно, виртуализация, даже в самой винде, позволяет агрегировать всё это, со значительно большим КПД. Это конечно ИМХО, т.к. разводить споров тут не хочу.


Цитата:

Цитата:
и в чём собственно неудобство веб-морды?

Ну, тут уж совсем прозрачно - в тормознутости, плюс ПКМ, конечно.


Тормознутость? - Не замечал, всё вроде в норме, хотя да, бывает, правда не чаще, чем со старой админкой. А что такое ПКМ?

Кстати, именно новая админка позволила опубликовать API для продуктов Kerio, которые, в свою очередь позволbb "продвинутым" админам, сделать много больше в плане управления шлюзом, мне вот например надо было управлять VPN туннелями не входя в админку, вполне реализуемо.
Автор: DerAppetit
Дата сообщения: 19.05.2014 12:27
Tihon_one
можно ссылку на API для Control ?
Автор: Merlin2006
Дата сообщения: 19.05.2014 15:49
Извиняюсь за наверное глупый вопрос, я новичок:
- Есть kerio control 7.2 Включен DHCP. У некоторых пишет: зарезервирован, срок истек. Я так понимаю, что этому хосту будет присваиваться любой своюодный адрес? И как продлить резервирование (аренду). Просто хочется точного сопоставления пользователей и IP.
Спасибо.
Автор: Tihon_one
Дата сообщения: 19.05.2014 16:18
DerAppetit
http://www.kerio.com/learn-community/developer-zone

API один для всех продуктов, т.к. админки однотипные, но по контролу API ещё не документировано, можно общаться через бета форум или разбираться самому, но обещали скоро открыть документацию уже.

Merlin2006
если зарезервировано. то при следующем запросе конфигурации хост получит адрес из резерва.
Автор: Merlin2006
Дата сообщения: 19.05.2014 16:31

Цитата:
если зарезервировано. то при следующем запросе конфигурации хост получит адрес из резерва.

Просто сегодня смотрю: "Зарезервирован, срок истек" а хост работает под другим IP. Как быть? Мне нужно чтобы он работал именно под этим зарезервированным ip. Может как-то пролдить срок аренды или перерегестрировать заново?
Спасибо.
Автор: Tihon_one
Дата сообщения: 20.05.2014 09:38
Merlin2006

надо смотреть в лог debug с включенными опциями протоколирования DHCP собранный в момент получения неверного адреса.
Автор: Merlin2006
Дата сообщения: 20.05.2014 10:20

Цитата:
надо смотреть в лог debug с включенными опциями протоколирования DHCP собранный в момент получения неверного адреса.

лог посмотрел, но похоже не включено протоколирование DHCP. Где это включить?
Автор: Tihon_one
Дата сообщения: 20.05.2014 10:58
ПКМ по окну сообщений лога debug\сообщения\дальше ищи 80))
Автор: MAGNet
Дата сообщения: 20.05.2014 13:26
wwladimir
вроде разобрались. на 80-й порт не пускал потому что был включен мапинг двух портов в одном правиле.
с блокировками ИП тоже вроде разобрались. посмотрю, что дальше будет
Автор: sVIVs
Дата сообщения: 20.05.2014 14:02
Добрый день!

Подскажите как на Керио опубликовать два внутренних ресурса(owa и web) через https, при этом не меняя порты?
Есть два статических адреса из одной подсети, если их назначить на две сетевухи, то все работает, при условии, что на обеих прописан одинаковый default gateway(правда Керио ругается при этом очень).
В принципе с этим можно было бы жить, но керио начинает отправлять почту со второго ip, при этом чужие почтовые сервера после этого начинают ругаться на нас.
Да и неправильно это как то.

Версия Kerio 8.1.1 patch 3 build 1212
Автор: MAGNet
Дата сообщения: 20.05.2014 14:39

Цитата:
В принципе с этим можно было бы жить, но керио начинает отправлять почту со второго ip, при этом чужие почтовые сервера после этого начинают ругаться на нас

У меня прописано правило:
Источник - Доверенные/локальные
Назначение - Интернет-интерфейсы
Служба - SMTP
Правило - NAT Использовать конкретный исходящий интерфейс

Это то, что касается отправки почты через "привязанный" адрес.
Про остальное не очень понятно..
Автор: Tihon_one
Дата сообщения: 20.05.2014 15:09
sVIVs
обновитесь на 8.3 там есть обратный прокси он позволит это сделать
Автор: aadenisenko
Дата сообщения: 20.05.2014 15:11
Добрый день!
Подскажите пожалуйста, что означает фраза "корпоративного уровня, созданным специально для малого и среднего бизнеса".
Потянет ли 2000+ пользователей + логирование их действий?
Автор: Tihon_one
Дата сообщения: 20.05.2014 15:13
а про отправку уважаемый MAGNet уже написал


Добавлено:
aadenisenko
на 2000+ можно попробовать, но зависит от того что надо реализовать, корпоративный уровень имеется в виду набор функционала, а малый и средний бизнес имеется ввиду нагрузку в духе количетсво новых соединение в еденицу времени, если вы хостите сайт google.* то контрол тут слабоват конечно...
Автор: MAGNet
Дата сообщения: 20.05.2014 15:25

Цитата:
Потянет ли 2000+ пользователей

Что значит "потянет"? Будет зависеть от железяки.
От уровня логирования, от количества включенных фильтров, от настройки кэша..
У меня, например, при включении кэша через сутки ложится, а с выключенным кэшем на 150 юзеров вот:
Автор: sVIVs
Дата сообщения: 20.05.2014 15:35

Цитата:
У меня прописано правило:
Источник - Доверенные/локальные
Назначение - Интернет-интерфейсы
Служба - SMTP
Правило - NAT Использовать конкретный исходящий интерфейс

Это то, что касается отправки почты через "привязанный" адрес.
Про остальное не очень понятно..


У меня правило для почты немного другое:
Источник - Интернет-интерфейсы
Назначение - Брандмауэр
Служба - SMTP
Трансляция- MAP на почтовый сервер

С почтой я разобрался, просто вначале у меня обе сетевухи были в группе интернет-интерфейсы которая и была в правиле для почты.
Переместил вторую сетевуху в Другие интерфейсы - сейчас все работает.


Цитата:
обновитесь на 8.3 там есть обратный прокси он позволит это сделать

Может на следующей неделе попробую, сейчас пока даже боязно как то.

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117

Предыдущая тема: Права доступа NTFS


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.