Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Kerio WinRoute Firewall (часть 2)

Автор: koltz
Дата сообщения: 27.07.2006 14:51
у меня в сети нет vpn серверов .

Я имел ввиду два vpn подключения [два клиента]
(один на одной машине , второй на другой)
Автор: Mikes
Дата сообщения: 27.07.2006 14:59
koltz
два vpn подключения настроены куда то в инет??? тогда в чем проблема?

local - internet - (сервисы) Permit NAT
Автор: vidoq123
Дата сообщения: 27.07.2006 15:09
народ, у меня керио новый 6.2.1 - 1454 так и ломится в инет за своим обновлением, из - за этого иногда бывает что он в сети не доступен((( как от этого избавиться, а???
Автор: koltz
Дата сообщения: 27.07.2006 15:54
При использовании правала
local - internet - (сервисы) Permit NAT
[map по GRE на какой-либо комптютер не делается]
происходит следуещее:
не приходят ответы от vpn - сервера, хотя к серверу они пошли
Автор: bredonosec
Дата сообщения: 27.07.2006 16:39

Цитата:
так и ломится в инет за своим обновлением, из - за этого иногда бывает что он в сети не доступен((( как от этого избавиться, а???
наверно, отключить автообновление. И обновлять нажатием "обновить" вручную.

Автор: vidoq123
Дата сообщения: 28.07.2006 09:25
обновление отключено, он сам почему то пытается обновиться!!! че за дела, как убрать то?
Автор: Mikes
Дата сообщения: 28.07.2006 11:12
koltz
ну неплохо было бы посмотреть трафик полиси и какие именно сервисы ты разрешаешь
Автор: morjov
Дата сообщения: 28.07.2006 19:15
Всё не могу победить VPN. Ситуация такая:
- есть Ras-In соединение (IP-клиента(звонящего) - 192.168.1.9; IP-сервера(мой) - 192.168.1.5), так же у меня есть сетевуха у которой IP 192.168.1.1

-человек звонит мне и может ходить в инет (но глючно)

-В Kerio->Interfaces кликаю edit для VPN Server и вписываю туда только одно поле для IP: 10.253.65.0 (mask: 255.255.255.0)

- добавляю юзера, разрешаю ему подключаться через VPN

-человек подключается ко мне через модем и VPN-клиентом коннектится ко мне через 192.168.1.5. Всё хорошо, но инет через VPN не работает. Ipconfig у человека вот такой:

Код: Настройка протокола IP для Windows


Подключение по локальной сети - Ethernet адаптер:

Состояние сети . . . . . . . . . : сеть отключена

Kerio VPN - Ethernet адаптер:

DNS-суффикс этого подключения . . :
IP-адрес . . . . . . . . . . . . : 10.253.65.5
Маска подсети . . . . . . . . . . : 255.255.255.0
IP-адрес . . . . . . . . . . . . : 169.254.20.21
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :

ps - PPP адаптер:

DNS-суффикс этого подключения . . :
IP-адрес . . . . . . . . . . . . : 192.168.1.9
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз . . . . . . . . . . : 192.168.1.9
Автор: Vil2000
Дата сообщения: 31.07.2006 08:29
На одном компе есть инет через VPN на нем все пашет. В качастве прокси стоит KWF 6.2.1. Kerio Mail Server работать отказался не находит домен с которого забирать почту. На другом компе HTTP через прокси работает. Бат и любой FTP-клиент не соединяются, говорят, что домен не найден. Почта, естественно, не забирается. Порты открыты, все разрешено. DNS стоит, шлюз тоже. Может быть знаете в чем может быть причина? Хелп плиз.
Автор: Minuel
Дата сообщения: 31.07.2006 13:28
Ребята, спасайте....
Стоит KFW 6.2.1 (build 1454)под Win 2003 SP1 Ent. Два LAN - один в I-нет другой в локал. Все было чудесно, но после переустановки ОС и KFW происходит следующее:
пропадает локальный трафик. Т.е. пинги и dns запросы проходят, а остальное ...


Код:
[30/Jul/2006 17:35:25] PERMIT "Service SMTP" packet from Local, proto:TCP, len:44, ip/port:172.16.0.2:1914 -> 172.16.0.1:25, flags: SYN , seq:2770607485 ack:0, win:65535, tcplen:0
[31/Jul/2006 11:01:20] PERMIT "Local Traffic" packet from Local, proto:TCP, len:48, ip/port:172.16.0.48:1567 -> 172.16.0.1:143, flags: SYN , seq:3715158351 ack:0, win:64240, tcplen:0
[31/Jul/2006 11:01:20] PERMIT "Local Traffic" packet from Local, proto:TCP, len:48, ip/port:172.16.0.43:1198 -> 172.16.0.1:143, flags: SYN , seq:990735664 ack:0, win:65535, tcplen:0
Автор: kliv1
Дата сообщения: 31.07.2006 20:39
Minuel
вообще исключи локальный интерфейс из обработки
в файле конфигурации пропиши для локального интерфейса
<variable name="FirewallExclude">1</variable>, к томуже бодрее локальный трафик будет
Автор: tarasius2
Дата сообщения: 01.08.2006 09:32
Господа, у кого 2 kerio соединены между собой по VPN? как много трафика тратится и какова скорость работы и надежность такого VPN решения?
Автор: obtim
Дата сообщения: 03.08.2006 11:17
Помогите со следующей задачкой
Надо настроить Radmin
Имеем одну машину, которая выходит в интрнет через vpn провайдера(со слов провайдера все порты открыты).
Имеем еще одну машину, которая выходит в инет через корпоративный winroute(nat, 1 выделенный корпоративный ip для инета).
Какое правило надо создать для второй машины в kerio для того, чтобы с первой можно было коннектиться через radmin ко второй?
Автор: BlackFox
Дата сообщения: 04.08.2006 12:04
где в настройках указать что после 8 вечера до 6 утра инета ниукого не будет?.
Автор: Arakcheev
Дата сообщения: 04.08.2006 12:06
BlackFox
HTTP Policy & Time Ranges
Автор: kliv1
Дата сообщения: 04.08.2006 12:35
BlackFox
можно в трафик полиси на правиле локаль-инет указать Time Ranges, по умолчанию там стоит always
Автор: VoVuX
Дата сообщения: 04.08.2006 14:25
Следующая беда.
С провайдером АДСЛ, поверх него ВПН - так мы получаем интернет, дальше натом раздаём народу (http https icq ftp) и порт наружу выкидываем для RDP.
Керио 6.2.1 Болеет следующим (или не оно) периодически разрывает ВПН соединение, потом пытается подключиться заново и обламывается - не видит ВПН сервер. После короткого промежутка времени (30 секунд - 10 минут) соединение восстанивливает. Такое случается с периодичностью 1-3 раза в день. Пробовал ставить бук и с него поднимать сессию - держится где то сутки - двое.
Если кто встречался с таким - научите его (керио) стабилизировать.
Автор: BlackFox
Дата сообщения: 07.08.2006 14:48
Version 6.2.2 - August 7, 2006
+ added TCP MSS altering to work around nonworking PMTU discovery due to blocked ICMP
(this typically fixes nonworking HTTPS pages on PPPoE connections)
* Administration Console now remembers last view in IP Address Groups, DHCP Scopes and Leases, HTTP URL Groups, Time Ranges screens
* cache memory size configuration value has been removed (the best value is now auto-detected)
* the timeout for half-open TCP connections has been decreased
- fixed deadlock in UPnP service if an interface goes up or down
- in SSL-VPN downloaded files are now forced to be saved to disk instead of opened in IE
- fixed creating of huge antivirus temporary files even though size limit was configured
- fixed occasional WinRoute service crashes during system shutdown
- fixed crashing when loading user configuration where no user has administrative rights
- fixed opened Administration Console aborting normal system shutdown
- fixed problem with temporary files occasionally remained on disk after the antivirus scanning
- fixed a potential bug that antivirus process(es) won't start during WinRoute initialization
- fixed national characters handling in the administrative password dialog in the installation wizard
- fixed loading of web pages on nonstandard TCP ports when going through multiple proxies
- fixed nonworking CNN pipeline stream videos
- fixed possibility to remove some interface statistics for some interfaces
- fixed IP addresses for hostnames in the traffic policy not being updated often enough
- fixed old half-closed FTP connections through the firewall sometimes remaining open for very long times
- antivirus scanning failures are now logged into security log
- fixed client FTP connections not being correctly reset if virus was found during the transfer.
- fixed FTP inspector could parse certain (illegal) responses incorrectly causing the affected connection to hang
- fixed bandwidth limiter behaving incorrectly if the IP address group selected there was deleted
- fixed inability to send mail through certain rare servers if TLS transfers are denied by WinRoute
- fixed possible file corruption during antivirus scanning on chunked HTTP connections
- fixed nonworking quarantine storage of infected files found in FTP transfers
- fixed changes to the default SSL web interface TCP port of 4081 not being applied until restart of WinRoute
- user manually imported from AD now have their email addresses imported (affects only newly imported users)
- fixed file and folder icons failures to load when browsing FTP via the HTTP proxy server

Kerio VPN Client 1.2.2
- fixed route to remote network being added to system even if it already exists
Автор: ghost3k
Дата сообщения: 08.08.2006 09:48
А как заставить проксю стартовать только на одном интерфейсе? Что то надо было в .cfg подправить, забыл сейчас.
И еще вопросик, при установке, когда спрашивали включить ли remote access, было отвечено нет - как теперь разрешить этот remote access?
Автор: CuS
Дата сообщения: 08.08.2006 12:25
obtim

Цитата:
Надо настроить Radmin


Удобнее всего на машине с Керио поставить Radmin Server. Правило:
S-Internet, Dest - Firewall host, serv - TCP4899, permit, transl-no. При этом если в локалке разрешено всё, средствами Radmina через машину с Керио подсоединяешься к любой в локалке с Radmin.
Второй вариант. S-Internet, Dest-(IP LAN твоей машины), serv-4899, trans-MAP: Internet 4899 - IP Lan 4899. По личному опыту - лучше при маппинге портов не менять - быстрее работает. Если надо ещё одну машинку - там вешаешь Radmin на другой порт, и еще одно правило с маппингом.

ghost3k

Цитата:
при установке, когда спрашивали включить ли remote access, было отвечено нет - как теперь разрешить этот remote access?

Это Керио хотел знать, при удалённой установке не включить ли IP машинки, с которой ставишь, в число доверенных. Делает он это так - создаёт правило с IP той машинки которую скажешь на Firewall host можно всё. Тогда после перезагрузки и запуска мастера настройки у тебя есть удалённый доступ (например через тот же Radmin) к машине с Керио. Так что теперь сам лапками создай то правило, которое тебе хочется

Цитата:
А как заставить проксю стартовать только на одном интерфейсе?

Не понятно, чего надо. Чтоб доступ был только с локалки? Оно так и есть. Или 2 карточки внутрь торчат? Или что?
Автор: ghost3k
Дата сообщения: 08.08.2006 13:56
CuS
Цитата:
Это Керио хотел знать, при удалённой установке не включить ли IP машинки, с которой ставишь, в число доверенных. Делает он это так - создаёт правило с IP той машинки которую скажешь на Firewall host можно всё. Тогда после перезагрузки и запуска мастера настройки у тебя есть удалённый доступ (например через тот же Radmin) к машине с Керио. Так что теперь сам лапками создай то правило, которое тебе хочется

Ммм, щас не помню уже что там точно было... казалось что-то про удаленный доступ с консоли - вот она и не работает... консоль админская с другого компа в локалке не хочет коннектится...
/с этим разрулил, усе пахает/


Цитата:
Не понятно, чего надо. Чтоб доступ был только с локалки? Оно так и есть. Или 2 карточки внутрь торчат? Или что?

Debug log
Service "HTTP Proxy" started, ........ 192.168.2.1
Service "HTTP Proxy" started, ........ 192.168.0.1
Service "HTTP Proxy" started, ........ 192.168.10.254
Разве это не значит что прокси стартует для каждого интерфейса?
Вот толи еще в 4ке или 5ке, подправив winroute.cfg можно было заставить проксю стартовать только на одном интерфейсе.
Хоть прокся из вне и не доступна, сканирование все равно говорит что имеется HTTP Proxy...
Да, внутри вообще 3 интерфейса, можно в полиси запретить конечно... но вот эта фишка с возможностью оставить прксю на одном интерфейсе, не дает покоя!

Добавлено:
Все! Вспомнил вроде. Winroute.cfg > секция "Interfaces" - в каждой записи, соответсвующей интерфейсу ГДЕ НЕ НУЖЕН proxy, параметру "outside" вместо 0 ставим 1. Прокся стартует только на тех интерфейсах, где стоит 0!
Вот, мож кому пригодится...
Всем спасибо.
Автор: seven2000
Дата сообщения: 08.08.2006 21:28
В Kerio есть БОЛЬШАЯ бяка, он не считает трафик в statistics если подключение идет через прокси и указан каскадный прокси сервер провайдера (галочка Forward to parent proxy server)

Есть возможность это как либо исправить?
Автор: Goricvet
Дата сообщения: 09.08.2006 15:28
Приветствую!

Есть такая проблема - за шлюзом с внешним айпи стоит сервер с терминальным сервером, соответственно, нужно настроить порт терминального доступа на шлюзе. (3389)
то есть настроить так, чтобы запросы на этот порт форвардились на порт сервера внутри сети.

версия 6.1.2 build 603
Автор: AnLe
Дата сообщения: 09.08.2006 15:36
Goricvet
И?
Простейшее правило:

name rdp
source inet (это интерфейс смотрящщий в инет или поставьте ип с которого лезете еси постоянный)
destination firewall host
service tcp/3389
action permite
translation map ипшнегтермсерва в локалке
Автор: Goricvet
Дата сообщения: 09.08.2006 16:51
AnLe

Да я тупой, признаю...
Щас так и сделаю)
Просто руки не доходил посмотреть подальше направо в трафикполисе)
Автор: GufinHalyGaly
Дата сообщения: 09.08.2006 20:00
Проблема. Не могу настроить керо в связке с нодом. При выборе нода появляется надпись " Antivirus is not running. AvPlugin failed to initialize: Error loading scanner DLL (126)" Версия керио 6.2.0 build 1323.


Автор: katras
Дата сообщения: 10.08.2006 15:24
Нид хелп.
Пришлось перелесть с "вингада" на это чудо.
Как правильно настроить SOCS протокол (и какая у него версия) и HTTPS (443 port).
SOCS хоть ладно, просто похоже ни чего не пускает, в том числе и месенджеры (icq).
А HTTPS просто удивляет. На Опере ни в какую не работает, на Лисе и IE то да, то нет ...
HTTPS мне нужен позарез, через это клиент банки работают у нас
Автор: bredonosec
Дата сообщения: 10.08.2006 21:00

Цитата:
Как правильно настроить
так в шапке же ссылы на маны - напр http://kerio-rus.ru/workgroup.html
что именно не так?
Автор: Mafia80
Дата сообщения: 11.08.2006 14:19
Есть вопрос.

Поставил последний Kerio WinRoute Firewall 6.2.2 Build 1746.

Имею дело с ним впервые.
Сеть такая:
сервер почты Ftgate.
Прямой ип идёт на меня перенаправлением, т.е. *.*.*.1 (внешний) на машине *.*.*.56, идёт в обоих направлениях без ограничений на порты (через керио у пров.).
На компе 2 сетевухи, надо дать пользователям нет через себя, не теряя почтового сервака (впн или что другое - не важно).
Ставлю правила разрешающие всё. - нет хттп трафика (выход есть, входа нет).
Ставлю несколько правил, с нета на локал, с локала на нет, переназначение ната и т.п. - тоже самое. Смтп и пинг идёт - хттп - нет. Браузер пытается выйти на 80-й порт - нет ответа, начинает кидать на 50000-е порты по порядку - фаер орёт что с моего айпи идёт скан портов.
Отрубил все ограничения, фильтрацию, антивирь встроенный (каспера не отрубал).
Тоже самое..
Даже не знаю на что думать.
Уже задумался над работоспособностью лекарств.(хотя признаков никаких нет)
Приходил настройщик, который у пров. керио настраивал - тоже не врубился.

Кто-нибудь подскажите что-нибудь дельного.
Автор: AnLe
Дата сообщения: 11.08.2006 14:44
Mafia80
http://kerio-rus.ru/workgroup.html
А еси чота не поедет, то скриншот трафик полиси (даи роутинг тейбл) в студию.

И сразу такой момент, на машине с керио только на одном из сетевых интерфейсов должен прописан быть шлюз. На остальных его убрать.

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869

Предыдущая тема: Microsoft Exchange Server


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.