» Kerio Control (ex Kerio WinRoute Firewall)

xstaford
не знаю как у Вас, у меня похожая ситуация.
Есть 2 провайдера:
1. через ADSL модем - тут все норм
2. через PPPOE, так вот он сначала создается сетевое подключение, а потом подымается PPPOE.
вот сетевое подключение и говорит что "проблема с подключением".
С этого интерфейса керио не может пропинговать 8.8.8.8 вот и ругается что нету подключения.
Все работает проблем нету, висит и висит.

ну потому что у вас на сетевом подключение инета и нет он есть на PPOE. Да и зачем у вас сетевое подключение в интернет интерфейсах?

Я так понимаю это баг) не подскажите куда это накатать им? напишу на правах 30-ти дневного триальщика))))

xstaford
Если я его убираю из "интернет интерфейсов" трафик через рррое перестает ходить.
В правилах разделено каким правилам какой интерфейс использовать.

almunia
Не совсем поннимаю суть) у вас модем подключен по сети к компу это и есть "сетевое подключение", далее идет авторизация по ppoe? Верно?

xstaford
Идет оптика от провайдера, это и есть сетевое подключение, далее идет авторизация по pppoe.

Дело конечно ваше, но чет у вас там в правилах намудренно) сет.подл можно в раздел Другие) в правилах фаервол с трансляцией на ppoe и локал юзеры с трансляцией опять же на ppoe.

almunia
извините, а зачем Вам IP на эзернете при создании PPPoverEthrnet подключения?

[more] Добрые люди, дайте совет пожалуйста. Постараюсь вкратце и конкретно описать проблему:
Есть два офиса на большом расстоянии друг от друга. пусть будет офис lan1 и офис lan2. В обоих офисах стоит kerio control 8.6.1. Задача сделать vpn-туннель, для объединения локальных сетей для пользования общими сетевыми ресурсами. Керио успешно установлены и настроенны в качестве шлюзов в обоих офисах. Так же успешно создан vpn - туннель, оба офиса подключены. Из офиса lan1 ( сеть 192.168.10.0 ) есть полный доступ к сети lan 2 ( сеть 192.168.0.0),а вот обратной связи нету т.е. lan2 не может получиться доступ ни к одному ресурсе в сети lan1, кроме керио находящегося в lan1. Из сети 192.168.0.0 на любом ПК пингуется керио в сети 192.168.10.0. Я уже и маршруты в ручную писал, и все возмонжные виды политики правил перепробовал,ничего не помогает. Еще один очень интересный момент, керио в сети 192.168.0.0 с помощью веб-морды и тамошних IP-инструментов прекрасно пингуется любой ресурс в сети 192.168.10.0, любой, сам керио пингует. Что можно посмотреть\сделать что б исправить проблему? Могу наделать скринов правил и настроек,если необходимо. Заранее спасибо [/more]

Tihon_one
такая конфигурация у провайдера. Все адреса выдаются провайдером через DHCP, на эзернете динамический адрес, на PPPoverEthrnet белый.

Доброе время всем.
Хотелось бы дельный совет.
Есть сеть - Контроллер домена, Резервный контроллер, Файловый сервер, Прокси (с Керио Контрол- 2 соединения -Внешняя сеть+Внутренняя статика) -всё это работает на 2003 серверах. + 20 рабочих станций в домене.
Хочу перейти на 2012 r2 на серверах.

Вопрос:
1 Cтоит ли Прокси делать на 2012 r2 подымать на нём Hiper-V и настраивать Kerio Control Software Appliance ?
2. Или все сервера на 2012 r2 и поставить на Прокси 2012 r2 и старый работающий Керио Контрол?
3. Или все сервера на 2012 r2 и поставить на Прокси 2012 r2 Hiper-V и Linux и Kerio?

Заранее благодарен.

Цитата:

3 инет интерфейса  потому что 2 провайдера

что за ересь?
Если 2 подключения, то и 2 интерфейса должно быть.
Если BCC - это локальная сеть провайдера, а интернет уже по авторизованному каналу бегает, то BCC не должен быть в интернет-интерфейсах.
Сноси его в Другие.
И разреши правилом повыше ходить Керии на эту сеть.

Добавлено:
usenkov99999
Туннель на нативном кериовском типе VPN поднят?
1) Покажи таблицу маршрутизации.
2) Покажи правило трафика для локальной сети.

Цитата:

Туннель на нативном кериовском типе VPN поднят?  
1) Покажи таблицу маршрутизации.
2) Покажи правило трафика для локальной сети.

Да,тунель на нативном типе.

1) офис 1: https://gyazo.com/715142e92ac3bcff81abf64041896777
офис 2: https://gyazo.com/1abb30e805ea982418c605e568117f92

2) офис 1: https://gyazo.com/2a1f469a143810c399c3ed46730d16d1
офис 2: https://gyazo.com/cd811aa4d726665feeeef55af4f258cb

almunia
вам не нужен там ни IP адрес ни тем более шлюз, просто уберите из ip конфигурации физического интерфейса шлюз, и переместите данный интерфейс в группу "другие интерфейсы"

usenkov99999
а ну ка ещё Удалённые сети покажи в свойствах туннеля.
Я что-то не пойму, зачем из сети 192.168.0.0 прописан маршрут на себя саму?

PS: и интерфейсы 10й сети. Что то ты их наплодил похоже... гостевые какие-то...
Что характерно, на стороне 0й сети маршрутизация более понятна и правильна (за исключением VPN маршрута, направленного на свою же сеть).
А вот на 10й каша какая то имхо.

1. https://gyazo.com/c8136b934ad250b2d0673cdc6e2c9607
2. https://gyazo.com/21f71b52cfbf49c928dd7e2411306a6d

Добавлено:
не знаю,поможет ли это делу. Раньше в офисе 1 была занята подсеть 192.168.0.0/22 гостевой локальной сетью и удаленный офис имеет локальную сеть 192.168.0.0/24. Я в офисе 1 осводил адресное пространство 192.168.0.0, передвинув гостевую сеть на 192.168.1.0/22. Гостей много,поэтому использую 192.168.1.10-192.168.3.254. Отправил их в гостевые интерфейсы. вот скрин интерфейс в офисе 1 : https://gyazo.com/d698e7e651f0de2991ce06c701759d02

Цитата:

что за ересь?
Если 2 подключения, то и 2 интерфейса должно быть.

BCC Провайдер 1 (сет. подкл, adsl, на модеме ppoe)
sarkor Провайдер 2 (ppoe соединение, оптоволокно)
HMA ВПН (L2TP соединение)
Итого 3 интерфейса в Интернет подключениях!
Если впн перетащить в другие то статус "подключен" но трафик не бегает.

Сам керио (firewall) настроен на использование Sarkor (Провайдер 2)
При данной конфигурации все работает, только керио показывает статус ВПН "Проблема с подключением" и получается нельзя настроить использование другого интерфеса при реальном отваливание ВПН) так как керио считает что он уже отвален.

usenkov99999
1) Поставь пользовательские маршруты во-избежании излишнего энтузиазма автоматики.
на стороне 10й сети пропиши сеть 192.168.0.0 и наоборот соответственно. Автоматические убери.
2) Свои внешние IP на скринах палить совсем необязательно


Добавлено:
xstaford
А L2TP куда поднимается?

Цитата:

xstaford
А L2TP куда поднимается?

Как понять куда? к удаленному серваку в России (Hidemyass.com)
ВПН нужен в связи с блокировками в нашем регионе (skype, viber ну и так далее...)

Пользовательские делал именно как вы говорите. так же и работало, из 10-й подсети 0-ую вижу, а обратно, из 0-й 10-ую нет, только адрес самого керио 192.168.10.5.

usenkov99999

Цитата:

Адрес:    192.168.1.0
Сетевая маска:    255.255.252.0 = 22

Сеть:    192.168.0.0/22
Минимальный IP:    192.168.0.1
Максимальный IP:    192.168.3.254

Я бы лучше гостевуху в 192.168.4.0/22 перевёл.
Возможно, именно тут собака роется. Керио может посчитать клиента удалённой сети за юзера гостевой локалки, коим доступа в LAN не дано, а токмо на себя самого по гостевым сервисам.


ЗЫЖ смотрел только в сторону маршрутов и не заметил вот какую штуку - а зачем правило для туннелей на выход в интернет?

Цитата:

Керио может посчитать клиента удалённой сети за юзера гостевой локалки, коим доступа в LAN не дано, а токмо на себя самого по гостевым сервисам.

скорей всего так и происходит, особенно глядя на системный маршрут до 192.168.0.0 на гостевой шлюз. Только вот можно уточню, если я переведу сетевуху на 192.168.4.1, что изменится то? чем оно будет отличаться от 192.168.1.1? И я правильно понимаю,если я делаю перевод сет.карты то и старт адресов клиентов не ниже 4-й посдети пойдет? т.е. 192.168.4.2-192.168.7.254 к примеру, так?

Добавлено:
и еще вопрос. почему удаленный керио (офис2) своими инструментами прекрасно пингует любой ресурс из офиса 1? из 10-й подсети.

usenkov99999
Возьми любой сетевой калькулятор и посмотри что получается. Посмотри на минимальный IP (выше в цитате)
Да, адреса пойдут с 4.1 и т.д. А гостям не пофиг ли?

Сделал переезд на 4.1, ситуация не поменялась, из 0-й подсети в 10-ю доступ не появился. Что это может быть? Баг керио или мои кривые руки? Что еще попробовать? В мануалах про эти туннели все проще простого,а на деле не пашет.

usenkov99999
сейчас какие таблицы маршрутизации?
Автоматы убрал с Удалённых сетей? Поставь только пользовательские:
на шлюзе сети 192.168.10.0 укажи удалённую сеть 192.168.0.0/255.255.255.0, а на 192.168.0.0 - 192.168.10.0/255.255.255.0 и, если нужна ещё и гостевая сеть, 192.168.4.0/255.255.252.0 (хотя зачем она? ).

И здесь: https://gyazo.com/2a1f469a143810c399c3ed46730d16d1
опусти Firewall traffic в самый низ, а NAT'ы подними над Local traffic.

Можно ещё для Local traffic отключить инспектор протокола. Ни к чему оно в локалке.

Tihon_one
делал таким образом, убирая в Керио шлюз и переводя в "Другие интерфейсы" получаю следующую ошибку
https://gyazo.com/58d0f0921c9a5704ac17312ad0d4ee6b

Убрать шлюз в настройках интерфейса ОС не могу, т.к. получаю его по DHCP.

almunia
это всё по тому же вопросу? PPPoE через оптику?
Параметры по DHCP получаются от провайдера, потом авторизация по PPPoE. Так?
А когда этот интерфейс в Другие сносите, правило прописываете, разрешающее керии ходить на данный интерфейс? Где-нибудь повыше.
Да, я знаю, что в конце есть правило, разрешающее керии всё везде, но помнится мне, что в одном месте (использующем подобную систему авторизации) не работало без вышеобозначенного правила.

Цитата:

С этого интерфейса керио не может пропинговать 8.8.8.8 вот и ругается что нету подключения

он и не должен пинговать чужой DNS в локалке провайдера.

AlOne

Цитата:

это всё по тому же вопросу? PPPoE через оптику?
Параметры по DHCP получаются от провайдера, потом авторизация по PPPoE. Так?

Да

Вы про это правило ? Оно стоит самое первое.
https://gyazo.com/a87d5bab42ef2e6f60874810c0a96676

Добавлено:
В существующей конфигурации все работает, проблем не наблюдается.
В правилах прописано кому, куда и через какой интерфейс ходить, не резервирование, а распределение нагрузки по интерфейсам.
Правила работают, единственное когда падает PPPoE и начинает использоваться другой интерфейс, стоит галочка "разрешить использовать другой интерфейс, когда данный интерфейс не доступен, то немного замедляется загрузка страниц.

AlOne
Спасибо большое за ответы,за помощь, нашел я косяк. Не зря сам керио из 0-й подсети пинговал любой ресур в 10-й, все оказалось просто. Раньше мы использовали для создания туннеля cisco - cisco на обеих сторонах и делали ручные маршруты в системе. Циски то я убрал,а про маршруты забыл, как только я вспомнил о них,все встало на своим место, все заработало после их удаления! 2 недели ломал голову бестолковую Спасибо!

Добавлено:
А что за инспектор протокола?)) Как его отключить?

usenkov99999
Йоперный театр! А мы тут репы чешем.
правой кнопкой на заголовке любого столбца - Столбцы - выбрать отображаемые. Там и инспектор есть.
almunia
это не то правило. Это правило для локальной сети, разрешающее обмен в LAN и VPN-туннелях/клиентах, а надо:
источник Брандмауэр, назначение Интерфейс оптоволоконного подключения, Разрешить.
И кажется даже в обе стороны (даже скорее всего так надо). То есть и в источнике и в назначении указывать и керию, и сеть провайдера.
И повыше его поднять.
А сам интерфейс снести в Другие, поскольку он НЕ интернет, а только локалка провайдера.

AlOne
Если Вы имеете ввиду это ?
https://gyazo.com/52002b78fdd27e4710be32d1cac36115 или https://gyazo.com/860ac4ce595408c99ab53e26783ac5eb
снес интерфейс в другие
https://gyazo.com/cffd3c293141aa408293bc4fef815a52

то все равно получаю
https://gyazo.com/7672b97c95a8ef675ae1701d23ae9572