» Настройка Kerio Winroute серии 5.x и 6.х

Gane
странно .... у меня часть компов по именам и запрещена.. работает однако
по маку нельзя... увы..

если сеть маленькая то пропиши с каких IP можно в инет.. а остальное нельзя... и пусть себе меняют скока хотят

Mikes

Цитата:

если сеть маленькая то пропиши с каких IP можно в инет.. а остальное нельзя... и пусть себе меняют скока хотят

Мысль интересная, но частично ошибочная. Если они изменят IP на тот у которого есть доступ в Инет в то время как тот комп будет выключен, то ничто не помешает им попасть в Инет.

Gane
Я бы решил поставленную тобой задачу с помощью Tmeter, там есть привязка к МАКу. Не совсем, как-бы, красиво, но тем не менее работает

Accessor
вроде бы в Керио можно приязать IP к МАКу... интересно если кто то другой займёт этот IP то он получит доступ или все пакеты от него DROP ???

MAC при желании тоже можно очень легко поменять...

Mikes

Цитата:

вроде бы в Керио можно приязать IP к МАКу...

Поведай, как это сделать ?

Accessor лучше в твоем случае юзать керио с vpn и vpn клиента керио , с arp не эксперементировал ? arp /? создаешь батник - пишешь в него строки с ip и маками и пихаешь его в автозагрузку на машине - которая является шлюзом локальной сети
arp -s 157.55.85.212 00-aa-00-62-c6-09
свободные ip забей нулевыми маками

Accessor
ээ... это скорее был вопрос чем утверждение...
если в параметрах DHCP создаёшь резервацию... то nfvтам ь можно выбрать МАК так ведь? вот и вопрос.. если кто нить другой поставит себе этот IP то будут ли от него пакеты приниматся.. или всё будет drop
ни разу не пробовал просто интересно стало.. как в этом отношении ведёт себя Керио

Домен w2k3, Winroute 6.0.10 стоит на отдельной тачке под w2k3
Установки Traffic Policy:
Source Dest Service Action Trans
Firewall Lan Any Permit
Lan Firewall Any Permit
Firewall Modem Any Permit
Lan Modem Any Permit NAT

В рассматриваемый момент в сети работают только сервер и шлюз.
С какого перепугу вдруг инициализируется модемное соединение, если
никакие броузеры\качалки на них не запущены, и всякие возможности Live Update в устновленном софте отключены?????
Сообщение в Logs\dial: (192.168.0.10 - адрес шлюза)
Packet UDP 192.168.0.10:3205 -> 192.0.0.192:161 initiated dialing of line "Orbita-Online"
Собсно, в результате трафик в этом соединении(~20мин) всего несколько кил
в обе стороны, но платим то мы по повременке!! И так "барабашки" длятся
аж до утра, т.е. дозвон возобновляется через каждые неск. минут, кстати никакие Time Rаnge не срабатывают, если задашь
интервал для последних двух строчек полисей - моментально отрубается
инет по сетке, если в первых двух - ничего не происходит.
Короче, ХЭЛП!

forb
Ну, у тебя, насколько я понимаю, выставлено Dial on demand, т.е. звонить по требованию, следовательно кто-то просится в Инет. Судя по логу, это какая-то служба. Я делаю такое залючение, т.к. порт 161 является служебным. Запрос идет UDP - еще один аргумент в пользу такого мнения.

Добавлено:
нашел, судя по всему, служба SNMP на твоем сервере 2003.

Accessor

Цитата:

нашел, судя по всему, служба SNMP на твоем сервере 2003.

Что-то я такой службы в локальных на w2k3Ent не вижу
В другом месте искать?

forb
Речь идет про 192.168.0.10, там установлен ws2003 ?
В любом случае, отследить коннект от неё на kwf не сложно, например аутпостом, короче именно на этой машине надо копать.

А может, кто сталкивался с такой проблемой...
Стоит 2003s kwf 6.1.2 настроена трансляция на обычный pptp vpn, подключённый постоянно, через который течёт инет...
после установки и настройки всё работало прекрасно... но вот вдруг через 2 дня впн не может подключится... в error логах гворит не правильное шифрование... как выяснилось винроут сам сбросил всё настройки для впн подключения... от чего это... такое же происходит сразу если поставить вызов по требованию...
может кто поможет...

Accessor

Цитата:

Речь идет про 192.168.0.10, там установлен ws2003 ?
В любом случае, отследить коннект от неё на kwf не сложно, например аутпостом, короче именно на этой машине надо копать.

Дело в том, что именно на 192.168.0.10 установлен kwf под ws2003

forb

Цитата:

Дело в том, что именно на 192.168.0.10 установлен kwf под ws2003

ну, возьми, отследи, какое приложение инициирует исходящий коннект, например netstat -o или tcpview или ещё чем-то.

Проблема с KFW 6.0.8
К серверу на котором стоит KFW подключен сетевой принтер к порту 10001.
Если послать сразу несколько документов проходит печать только первого с очереди,
остальные тормозятся. Помагает, если перегрузить принтер.
Проблема пропадает если отключить KFW

Help, pls
После обновления КВФ с версии 6.1.2 до 6.1.3 пропала авторизация через http://керио:4080/fw/ntlm/login.

Подключится к нету возможно только через прокси сервер - там окошко авторизации выскакивает принимает пароль и все ок.

При попытке подключится без проксей отсылает к администратору файервола или вообще молчит - типа страница не найдена.

Где копать?

Люди умные помогите с проблемкой
есть вынь ХР со вторым СП
на ней заведён интернет от прова выделенка и есть локальная сеть
авторизация у прова через ВПН т.е. пока ВПН не актиаируешь не получишь белый адрес.
необходимо настроить на 6,0,3
по мануалу (русскому) настраиваю диал ап но пишет ошибку 800 невозможно произвести звонок
необходима инструкция пошаговая желательно
буду очень благодарен
заранее спасибо

Добрый день. В сети есть сервер и несколько пользователей. На всех машинах Windows XP Pro SP2.
На сервере стоит DВМИ-карта, принимающая спутниковый сигнал. Исходящий канал сделан через GPRS-Мегафон.
Без участия Kerio подключение выглядит так: звоню в Мегафон, подключаюсь к Интернету. Запускаю программу OpenVPN, настроенную на провайдера PlanetSky (Она работает через виртуальный сетевой контроллер, в котором прописаны IP-адрес для подключения, маска, основной шлюз и два DNS сервера провайдера). Подключаюсь к серверу PlanetSky, создается туннель, через который все запросы идут именно PlanetSky, а возвращаются через спутник. Все работает.
Теперь ставлю на сервер Kerio WF 6. На юзерах в настройках сетевых плат прописываю основной шлюз - 192.168.0.1 - на нем Интернет и Керио (адреса статические). Таким образом, все должны идти в Интернет через НАТ.
Здесь начинаются проблемы.
1. После установки Kerio Интернет через OpenVPN перестает работать ДАЖЕ при выключенном Керио. Выглядит это так: соединяюсь с Мегафоном, работает. Подключаю виртуальный VPN адаптер - Интернет встает. Выключаю Керио, где только можно - не помогает. Интернет на сервер возвращается только после удаления с него Керио.
2. В Керио не могу настроить политики трафика для работы через OpenVPN. Снова через Мегафон, все работает, у юзеров есть Интернет но включаю VPN, все встает. Добавляю OpenVPN в NAT Destination - не помогает. Делаю политику: 1. Сеть - Мегафон - Нат и 2. OpenVPN - сеть НАТ. не помогает.
Поделитесь опытом пожалуйста. Бюсь давно, здорово поможете.

Выключи anti-spoofing.

Всем привет!!!! В общем проблема состоит в следующем: KWR выкидывает периодически матерясь, что прога нелицензионная!!! что делать???? ХЕЛП

nvk1234
Для начала, уяснить самому себе, лицензионный ли у тебя KWF. После этого появляется два варианта развития событий, а именно:
1. если KWF лицензионный, то обратиться за помощью к разработчику или продавцу
2. если KWF не лицензионный, то обратиться за помощью в Варезник

SAA
есть такая же проблемма вот что пишет
может кто занает в чём дело?
[21/Dec/2005 17:01:46] (8405:800) RAS error: Unable to dial "test" (800)

Всем привет!
Уже второй день, возникла проблема с отправкой почты через Outlook.
После попытки отправки/получения почты - Outlook выдает ошибки.
Залез в Керио, в Connections количество подключений с моего хоста превышает 50!!!! т.е. вместо одного подключения к почтовому серверу возникают десятки подключений!!! (Ограничение в 50 подключений с одного хоста было задано вручную при конфигурировании Керио, несколько месяцев всё отлично работало)

Подскажите пожалуйста, где искать причину возникновения такого болльшого количества однотипных подключений?

Проверься на вирусы...

Использую Symanyec AV - базы свежие, просканировал также AD-aware - безрезультатно

Симантек лохует частенько с обновлениями баз попробуй др.вэб ... судя по количеству вирей приходящих ко мне в инете грядет очередная эпидемия Собера

Действительно проблема оказалась в SAV (семантек антивирус).
На шлюзе была обновлена клиентская часть SAV, но установки проверки почты остались нескорректированными. После настройки их всё пошло нормально. Керио не причем!!!
Всем спасибо за советы!!!

Ситуация такая: Kerio Winroute в настройках прокси стоит "форвардить запросы на родительский прокси" при этом в качестве родительского запроса стоит localhost,только другой порт (так надо). Не работало т.к. kerio пытался авторизовать локальные запрсы. Решил проблему так: создал пользователя localuser и назначил ему автологин если он логинится с этого хоста. Но теперь весь трафик kerio пишет на его баланс, а у пользоватей стоят нули.

Люди! Такой вопрос:

Хочу организовать доступ к серверу терминалов из мира. Но чтобы доступ получил только определенный пользователь KWF. То-есть если указываю правило типа:
sorce=inet (внешний интерфейс)
Destination=Firewall
Service=RDP
Action=Permit

То все пашет, но проверка доступа выполняется только самим сервером териналов. А как сделать так чтоб сначала нужно было еще ввести логин и пароль самого KWF?
Если разрешить доступ только созданному пользователю, то:
1) как организовать аутентификацию (прокатит ли через web-интерфейс)?
2)можно ли подключится одновременно под одним пользователем нескольким компам или для каждого нужно отдельного пользователя создавать?

LostWarrior
а если поставить
source = [имя_пользователя]
destination = firewall
service = RDP
action = permit

но мне что то так не кажется.. врядли..
если хочешь пущей безопасности то задвинь RDP на какой нить левый порт ...