Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Kerio WinRoute Firewall (часть 2)

Автор: Dead Admin
Дата сообщения: 20.07.2006 01:45
Привет! тут такая бяда есть!
Стоит Kerio WF 6.2 (самый последний из тех, что в варезнике нашел). Машина напрямую смотрит в интенет. Отдельно от нее Active Directory (Win 2000). В WinRoute настроен "Map Active Directory", в разделе "пользователи" появился весь список из моего домена. При этом комп, на котором стоит Kerio неприсоединен к домену.(Вернее так: запись, о том, что такой комп есть - есть на контроллере домена, но при доступе к ресурсам домена постоянно спрашивается пароль, но из домена комп идеально видно)


Проблема 1: Kerio не ловит пользователей домена (при авторизации из браузеров).
Ловит только тогда, когда пользователя добавляешь импортом из AD в локальную БД и меняешь ему пароль.

Проблема 2: При подключении извне по VPN та же беда и компы домена видно только по IP, по именам - никак... только если mycomp.mydomain (и то только ip nslookup'ом)...


Коллеги!! Помогайте! не знаю у кого помощи просить!!!! Можт тама правила какие надо дописать?
Автор: ICY_fire
Дата сообщения: 20.07.2006 09:54
motor2hg, я разобрался со всеми как мне казалось, чудесами... Твои правила на скриншотах, будут работать если не включен прокси сервер, а HTTP траффик разруливает NAT, тогда да, вроде как должно работать. Если же включен проксик, то любые правила NAT для HTTP бесполезны (можешь сам посмотреть в разделе Connections, к.о. устанавливаются прокси-соединения и каким NAT). Т.е. все мои беды были из-за того, что я слона и не заметил-думал что проксик попадает под правила НАТ.
Автор: Prince Corvin
Дата сообщения: 20.07.2006 10:44
Мне кто-нибудь что-нибудь посоветует?
Автор: motor2hg
Дата сообщения: 20.07.2006 10:53
ICY_fire
Совершенно верно прокси не должен быть включен!!
Автор: ICY_fire
Дата сообщения: 20.07.2006 11:31
motor2hg, вот и фиг то!!! ))) Немножко не поняли друг друга+я ложанул...
Автор: Dead Admin
Дата сообщения: 20.07.2006 11:38
Люди!!! АУУ!! Тут 5 записями выше бяда!! Помогите!!
Посоветуйте что делать? или никто с таким не сталкивался?
Автор: Ilya Le
Дата сообщения: 20.07.2006 11:41
Господа и товарищи!!! Помогите в такой ситуации. Стоит версия 6.1.2.603 Winrouta. Все, что настроено для пользователей сети, работает. Но! В закладке Status\Hosts/Users не отображаются клиенты. Ничего, кроме Host name = firewall. Соответственно не считается статистика ни по чем, кроме файервола. Где копать?

Причем этот трабл "вылез" после перехода с w2k (enterprise)+SP4+hostfix на 2003 (enterprise)+SP1

Контроллер домена построен на NT 4.0

Причем интересный трабл: Winroute однажды упал...... и после переустановки - он начал собирать статистику и отображать активные соединения.... Потом он еще раз упал..... И после очередной переустановки - вышеописанный трабл.....
Автор: UkgDaemon
Дата сообщения: 20.07.2006 13:00
motor2hg

Цитата:
любой пользователь открывший свой браузер и набравший в строке адрес любого сайта автоматически перемещается на страницу авторизации Kerio (только если этот пользователь ещё не авторизирован)!
Смотри третее правило с верху на рисунке

Что-то я сильно сомневаюсь, что третье правило вообще здесь играет какую-то роль. Пользователи авторизуются потому, что включена опция "Always require users to be authenticated when accessing web pages". Третье же правило пропускает пакеты из локалки в инет, подменяя адрес отправителя на внутренний адрес керио (маршрут определяется по Destination, а не по подмененному адресу отправителя). Дальше этот пакет просто обрубится на провайдерской циске. Но если бы этого правила не было, просто для таких пакетов действовало бы последнее правило и рубило трафик от "непривилигированных" пользователей с тем же успехом и даже красивее (не сыпался бы мусор к прову). Проверь - отключи третье правило. Юзеры будут также форвардиться на страницу авторизации.
Автор: ICY_fire
Дата сообщения: 20.07.2006 13:32
UkgDaemon, согласен с тобой!

Цитата:
Третье же правило пропускает пакеты из локалки в инет, подменяя адрес отправителя на внутренний адрес керио (маршрут определяется по Destination, а не по подмененному адресу отправителя). Дальше этот пакет просто обрубится на провайдерской циске

подозреваю что это будет только тогда, когда на внутреннем адресе в настройках сетевухи указан шлюз Инета. А иначе, пакеты дальше свитча и не должны уйти...
Автор: AnLe
Дата сообщения: 20.07.2006 15:51
morjov
Ну это и так опция по желанию.
Просто клиентик свой надоставить есть версии и под 64 битную винду

А в чём проблема с оживлением, вобщемто парой правил всё решается в общем случае, прям как по мануалу.

Dead Admin
Эм, у вас что там 10 доменов?
Зачем вам мапить акки эти?
Всё это нужно только если у вас есть несколько доменов.
У меня оно прекрасно всех через нтлм и ад аутентифицирует, пароль логин вводят только любители оперы, в которой нтлма нету
Автор: morjov
Дата сообщения: 20.07.2006 16:30
AnLe
а где брать этот клиентик. Как настраивать? мануал я читал, но нифига не понял
Автор: root_p
Дата сообщения: 20.07.2006 17:10
Прочитал ветку, но так не нашел ответа как мне сделать доступным для некоторых пользователей только асю. И больше ничего. Авторизация NHLM но автоматом он ее не проходит. все пользователи в домене. для хттп все ясно, но для некоторых надо только определенные порты.

Хелп плиз.

Добавлено:
также вопрос- вместо веб авторизации может мона автоматом какие-нить клиенты расставить.
и еще- если у меня не 2, а 3 канала, вин роут сможет это переварить или подобного вида маршрутизация для него уже илишком?
Автор: crapaud
Дата сообщения: 20.07.2006 17:15
morjov
С оф.сайта
Автор: motor2hg
Дата сообщения: 20.07.2006 18:18
UkgDaemon
ICY_fire
Парни когда третьего правила небыло, толпа выла как недорезаные свиньи.
Видете ли им было в падло загрузить ссылку на страницу авторизации Керио из закладок.
Тогда поплющив репу, пременив на практике метод "Научного тыка" присущий всем славянским группам, было определенно это правило, теперь всем в кайф!!!

Несмотря на то что "Always require users to be authenticated when accessing web pages" включено но пользователи ещё не залогинились!!! По этому интернет трафик никакой повторяю никакой невозможен!!!! По этому хер вам страница авторизации автоматом!! Всё чётко по моему керио просто супер!

А третье правило, поэтому и нужно, чтобы дать браузеру возможность нюхнуть HTTP но только до локальной машины иначе они, так, по этому правилу и ухерачат на просторы веб и положат х. на второе правило. Это особо чётко видно по логам соединений, так что работает, а раз работает то чё бога гневить!

Есть только одна неразрешённая проблема, это обновление WinXP с локальной машины, это не работает!!! Как разрешить этот вопрос непонятно. К стати как я уже и писал если локальная машина прицепится к серваку керио через модем, то обновление WinXP происходит, а если по шнурку так хер! Я не понимаю почему это происходит? Так что если есть соображения подскажите. Прокси отключена.
Автор: Filoret
Дата сообщения: 21.07.2006 03:06
забыл пароль администратора
как быть?

вопрос отпал
Автор: AnLe
Дата сообщения: 21.07.2006 07:35
morjov
Да хотябы в шапке надпись Kerio VPN Client кликать не пробовали для разнообразия?
Автор: ICY_fire
Дата сообщения: 21.07.2006 09:01
motor2hg, ты попробуй его отключи(3-е пр-ло), и посмотри что получиться(в плане перенаправления на веб-морду), траффик при этом от хоста до веб-морды файера должен пройти по 4-му или 5-му пр-лу(их следовало бы в одно пр-ло объеденить). Ну не может 3-ее пр-ло перенаправлять автоматом на веб-морду. Да, выходить незарегеным юзерам оно не даст, но для этого можно создать другое пр-ло, а не такое "мутное". Ты как сам представляешь, как это пр-ло перенаправяет, опиши. Кстати, не понял зачем ты проксик отключил. А по поводу обновы XP, то надо бы поподробнее.
Автор: motor2hg
Дата сообщения: 21.07.2006 13:33
ICY_fire
Автоматом не перекинет! 100% Смотри почему-> допустим у юзера XXX стартовая страница браузера http://www.google.com ну как у меня, при запуске браузера он то есть браузер пытается соединится с хостом по адресу http://www.google.com, но как ты понимаешь, ни одно кроме правил NAT и третьего правила не разрешают работу с интернет сетью (правила 4 и 5 для локальной сети и разделены только для того что бы просекать логи для модемщиков и шнурков- так мне удобнее). Правило NAT не может выполнить проброс так как это ещё неопознаный юзер он не залогинился, третьему правилу насрать на юзера (оно смотрит на IP входящего если IP разрешено шарахаться по сетке та и в путь дорожку) оно пытается пробросить любого юзера из групы разрешённых IP в инет по соответствующим протоколам и вот тут и получается перенаправление на ВЕБ МОРДУ автоматом. Компроме.?

Прокси я отключил по одной простой причине, протестируй свой сервак XSpider 7.0 мне не совсем нравится информация которую выдаёт программа тестер. Да в новых версиях Керио ничего опасного, но нахер эксперементировать.

На счёт обновлений подымал Venchik и я но пока нихера не слышно.
Автор: ICY_fire
Дата сообщения: 21.07.2006 16:12

Цитата:
и вот тут и получается перенаправление на ВЕБ МОРДУ автоматом.

Как???!!!(все что выше-абсолютно понятно и раньше было). Я с UkgDaemon'ом согласен, по поводу этого пр-ла...
По поводу обновлений-мыслей нет. Попробуй проследи куда что и как идет, в разделе Connections, в процессе обновления модемных машин, а потом локальных, может подтолкнет на что-нить.
Автор: motor2hg
Дата сообщения: 21.07.2006 21:25
В том то и базар что даже разделил группы локальных пользователей, но логи не дают никакой информации чтобы чёто прикрутить. Такое чувство создаётся, что модем мимо роутера херачит. Но это нонсонс!
Автор: overbah
Дата сообщения: 23.07.2006 23:05
Что с сайтом kerio-rus.ru ? Очень охота почитать. Или киньте ссылку на русик фейса для Kerio Winroute Firewall v6.2.1.1454. Я для начала хочу разобраться в нём что к чему.
Автор: mirfut
Дата сообщения: 24.07.2006 08:26
Проблема.
Есть сервер, на нем керио 6.2.0 билд 1323
3 интерфейса (1 интернет - прямой доступ стат IP, 2 интернет - VPN подключение через локалку провайдера, 3 - локальная сеть моя)

На 1 интерфейсе выставлены все IP. На 2 интерфейсе выставлены все IP (адреса внутренние, DNS внешний адрес). Когда отрублен интерфейс 2 все ОК. Из локалки все идут в интернет по 1 интерфейсу. Как только подрубаю 2 интерфейс, сразу DNS lookup и все. Я понимаю, что происходит конфликт по DNS, но не знаю как его разрешить. В керио выставляю DNS forwarding (from DNS servers known to OS) - не помогает. Отключаю DNS forwarding - аналогично ничего.
Автор: kliv1
Дата сообщения: 25.07.2006 09:38
На сервере 6.2.0 билд 1323, у бухгалтеров Банк Клиент не хочет отправлять сообщения, при этом при каждой попытке соединения в debug логах винрута пишет следующее:
[24/Jul/2006 17:16:09] {pktdrop} packet dropped: 3-way handshake not completed (from local, proto:TCP, len:1500, ip/port:192.168.0.7:2280 -> xxx.xxx.xxx.xxx(адрес банка):10250, flags: ACK , seq:1941862976 ack:3983237854, win:65445, tcplen:1460)
[24/Jul/2006 17:16:10] {pktdrop} packet dropped: could not lookup connection for ICMP packet (from internet, proto:ICMP, len:56, ip:xxx.xxx.xxx.xxx-> yy.yy.yy.yy(наш внешний адрес), type:11 code:1 (orig: yy.yy.yy.yy -> xxx.xxx.xxx.xxx))
[24/Jul/2006 17:16:16] {pktdrop} packet dropped: could not lookup connection for ICMP packet (from internet, proto:ICMP, len:56, ip:xxx.xxx.xxx.xxx -> yyy.yyy.yyy.yyy, type:11 code:1 (orig: yy.yy.yy.yy -> xxx.xxx.xxx.xxx))
[24/Jul/2006 17:16:22] {proxy} proxy thread - wait canceled
Кто знает, что за причина 3-way handshake not completed, и что это {proxy} proxy thread - wait canceled и как это лечится?
Автор: baribal
Дата сообщения: 25.07.2006 15:47
KWF 6.2.1 и удалённый доступ к W2K3 серверу через RDP- как настроить такое? Управляю удалённо сервером через терминалы с домашнего компа (подключаюсь по ВПН в инет и айпи у прова меняется). Почитал мануальник по керио - если айпи моего домашнего компа статический, то прекрасно создаётся traffic policy и всё работает. Но как быть с динамическим айпи? www.dyndns.org не хочу юзать. Можно как-нибудь через имя пользователя-пароль сделать доступ через терминалы к серваку защищённому KWF? Помогите, я только сегодня перелез на KWF с юзергейта.

ЗЫ Почему-то под Vmware у меня KWF не добавляет Dial-up интерфейс (впн), т.е. его не позволяет выбрать.
Автор: afoninand
Дата сообщения: 25.07.2006 17:48
Как правильно настроить KWF для подсчета трафика для спутникового интернета с ускорителем.
Система сетка 10 компов инет по земле WIFI, спутник PlanetSky подключение Open VPN.
Все считалось нормальн.
Подвязал сюда еще ускоритель ТС( работает как прокси на фаерволе). Керио считает траффик ускоритель-фаервол локальным. как сделать что бы он насчитывался конкретным юзерам.
Автор: orsi
Дата сообщения: 26.07.2006 11:19
Можно как нибудь по честному сделать чтоб web-интерфейс был на русском?
Я пока в папке weblang переименовал файлы.
И не пойму почему в експлорере показывается один интерфейс а в опере другой, в смысле я изменил страницу статистики, в опере показывется измененная а в эксплорер первоначальная.
Автор: Mikes
Дата сообщения: 26.07.2006 13:35
orsi
версия 6.2.0 у меня web интерфейс русский изначально

Цитата:
И не пойму почему в експлорере показывается один интерфейс а в опере другой, в смысле я изменил страницу статистики, в опере показывется измененная а в эксплорер первоначальная.

то есть? подробнее.. что значит изменил страницу?
ты можешь менять web интерфейс ?? тогда расскажи как.. там помоему всё запаковано zend optimizer .....
Автор: orsi
Дата сообщения: 26.07.2006 14:35
В папке C:\WinRoute Firewall\weblang\
есть файлы этих страниц, я думал все от туда берется, видимо опера от туда а експлорер запакованные.
(Изменил - просто убрал данные о блокированном контенте и IP адреса)
Автор: koltz
Дата сообщения: 27.07.2006 13:58
Доброго времени суток!

Долго я искал ответ на свой вопрос, но так и не нашел(

У меня такая ситуация:

есть локальная сеть, интернет поставляется через сервер с установленным керио,
внешний IP один (на модеме ADSL). транслируется NAT.


если человек в локальной сети у себя запускает VPN клиент , то все работает
правило в kerio
Source ADSL
Destination Firewall
Service GRE
Action Allow
MAP 192.168.X.15 (ip машины на которой запущен VPN клиент)

Проблема:

если кто-либо с сети запустит VPN (при одновременно работающем), то он и не сможет подключиться.
это и правилно (рулы не позволят)

Как сделать чтобы несколько пользователей смогли соединяться через VPN к различным / одному серверу

VPN используется от windows



Автор: Mikes
Дата сообщения: 27.07.2006 14:44
koltz
ещё раз... не совсем понятно

VPN клиент соединяется с VPN сервером как правило так что в сети должен быть этот самый VPN сервер
а другие значит с ним соединяются

тут 2 вопроса..
если VPN сервер во внутренней сети и клиенты тоже то зачем Керио....
если клиенты во внутренней сети а VPN где то в инете то описанные правила совсем не верны. при правильной настройке проблем с подлючением к разным VPN проблем не должно быть

если VPN сервер во внутренней сети а к нему подключаются люди из инета и хочется запустить второй VPN в той же сети то ответ НЕТ из инета смогут только к одному подключатся увы.. для инета вся внутренняя сеть это 1 IP

Добавлено:
неплохо бы подробнее описать что и как и чего хочется то

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869

Предыдущая тема: Microsoft Exchange Server


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.