» Kerio WinRoute Firewall (часть 2)

Arakcheev
Mikes
нашел типа такое решение.
если пользователь выжрал весь интернет (ХТТП и ФТП), то его учетную запись нужно отключить ручками (логаут не поможет). тогда он станет неавторизированным и сможет получать почту и аську анлимитно.

Logrim
скорее всего у пользователя стоит автоматическая авторизация на основе IP или что нить в этом роде.
потому сразу после того как он logout делает .. то логинится обратно

Господа! Прошу о помощи! Ситуация следующая:

Есть сервер (Firewall) с прямым айпи, на нём стоит винроут и поднят впн сервер. При коннекте к этому серверу(Firewall) на порт 3389 (RDP) происходит трансляция на аналогичный порт другого сервера(RDP) во внутренней сети.

Задача: Сделать так, чтобы коннектится к серверу RDP можно было только посредством использования Kerio Vpn Client.

Какими правилами это должно быть разрешено?

P.S. На данный момент VPN клиент коннектится к серверу.
Есть правило

source = incoming vpn clients
destination = firewall
service = tcp 3389
action = yes
mapping = 10.2.2.25 (сервер RDP)

Коннекта по RDP нет...
Ставлю в source any - всё работает...
Что не так?

Goricvet
добавь в service сервис RDP

Спасибо, не помогло!
Долго коннектится и сбрасывает...

Goricvet
а что в ошибках регестрится при сбросе?

Клиенту не удалось подключиться к удалённому серверу и тд.

В общем если написать любой айпи из головы, ошибка будет такая же)

Может дело в DNS форварде или в трансляции порта?

В логе Керио ничего не пишется)

noblekey
доброе дело делаете...
маленький совет -если люди жалуються на проблемы с отправкой писем (особенно больших) не спешите отправлять их в топки по почтовикам - часто проблема во включенном протокол инспекторе на почтовых сервисах...

У меня вопрос по настройке
какой порт надо открыть игре Lineage C4 ?
фаер 6.2

alexmats
пробуешь запустить игру и в логах смотришь что отфутболивает вот и определишь

alexmats
Для lineage я открыл порты 2106, 7777

Извените ради ... не упоминать же в суе.

Как сделать SOCKS proxy, SMTP proxy, POP3 proxy ?

Ну ICQ пустил через HTTPS, работает, но хотелось бы eсетаки как у нормальных людей ... SOCKS5. (собственно а какая версия протокола поддерживаеться ?)

Проты 25, 110, 143 ... заняты своим почтовиком. Как пользователей пустить до, ну условно mail.ru, через 8110 и 2525 ?
И как к этому в почтовом клиенте обратиться сервису ? C wingate было понятно test#mail.mail.ru

katras

Цитата:

Как пользователей пустить до, ну условно mail.ru, через 8110 и 2525 ?

local - internet - (TCP 8110) NAT MAP pop.mail.ru
local - internet - (TCP 2525) NAT MAP smtp.mail.ru

Цитата:

И как к этому в почтовом клиенте обратиться сервису ?

в настройках клиента прописать сервер входящей и исходящей почты твой шлюз ... и соотв порты


Цитата:

Ну ICQ пустил через HTTPS, работает, но хотелось бы eсетаки как у нормальных людей ... SOCKS5

как у всех нормальных?? .. у меня допустим ICQ идёт через NAT ....
для SOCKS тоже можно порт открыть

2Mikes
Это не прокси, а форвординг ...
Вот, почему применимо к винруту прокси сделали только для http
Что-то на подобие и сделал, не очень удобно.
На самом деле открыл и просто 25 и 110 через nat. Как они у меня не ругаються с MDaemon, понять не могу, но вся почта ходит. А то на все свободные почтовые сервера маппинги кидать рука отвалиться.
Жаль Kerio совсем забыли про socks4 и 5 , хоть сокс_носки вешай.

Вопрос по MSN, научил его соединяться с сервером и общаться даже можно, но только письменно.
Что ему еще нужно что бы т.н. video conversation заработала ?
Служба повисает в ожидании подключения, т.е. работает но ждет подключения. Такой же эффект при попытке принять файл через месенджер (qip), тоже висит ожидая подключения.
Что это значит, что открыть снаружи, но так что бы не только до машины на котором работает kerio, а и во всей сети народ мог принять такие соединения ?

Кажеться понял, поправьте если не так чего.
Если icq выпустить через NAT, то файлы через нее принять не получиться. Та же история и с MSN.
NAT полезен, но не всегда.

Конфигурация сети:
Клиенты - WinXP SP2
Домен - Win2K3 SP1
Шлюз - WinXP SP2 + Kerio 6.0.9
Проблема: после перстановки домена юзеры из Active Directiry импортируются, но Kerio не может их идентифицировать через IE6, хотя раньше при тех же настройках нормально идентифицировал.

superpalych
а на клиентах шлюз прописан?

Цитата:

а на клиентах шлюз прописан?

Конечно, они нормально выходят в Интернет, а вот Аутентификация - никак.

superpalych
посмотри чтобы был запущен http или https веб интерфейс. через него аутентификация происходит

Цитата:

посмотри чтобы был запущен http или https веб интерфейс. через него аутентификация происходит

Происходит попытка NTLM аутентификации, затем вылазиет окошко ручного ввода имени и пароля, а мне надо автоматом.

superpalych
свойства IE - безопастность - другой - проверка подлинности пользователя - автоматический вход в сеть с текущим именем пользователя и пароля

Цитата:

свойства IE - безопастность - другой - проверка подлинности пользователя - автоматический вход в сеть с текущим именем пользователя и пароля

Шлюз в ходит в зону Интрасети, поэтому браузеру по умолчанию разрешено передавать имя пользователя и пароль на шлюз. Даже смена настройки с "автоматический вход в сеть только в зоне интранета" на "автоматический вход в сеть с текущим именем пользователя и пароля" ситуацию не изменило.


Добавлено:
Использование https интерфеса ситуацию не изменило.

Всё, разобрался: KWF не понимает русских имен юзверей.

Такой вот к Вам вопрос знатоки KWF
Система Win2003R2En с MUI Rus с последними обновами, поднят DC, DNS, DHCP
Установлен Citrix PS4
Установлен Kerio Mail6.2.0.1492
Установлен KerioWinroute6.2.3.2027
Оффтоп не большой всё работает тьфу,тьфу тьфу без ошибок!
KMF раздаёт инет (диалап) пользователям (аутификация через AD с привязкой по IP) через ПРОКСИ порт 8080, а я теперь хочу чтоб они все работали через НАТ. Хотя в правилах и так стоит что они должны работать через НАт, но не работает! Когда отключаю не прозрачный прокси пользователи авторизуются но работает только ICQ и пинги по HTTP их не пускает они не могут не зайти не наодну страницу инета!
Что делать как исправить?

5/Nov/2006 13:37:58] (4103:10048) Socket error: Unable to bind socket for service to port 53.
Поможите пжлст
[15/Nov/2006 13:37:58] (5002) Failed to start service "DNS" bound to address 0.0.0.0.
[15/Nov/2006 13:37:58] (4103:10048) Socket error: Unable to bind socket for service to port 4080.
[15/Nov/2006 13:37:58] (5002) Failed to start service "WebAdmin" bound to address 0.0.0.0.
[15/Nov/2006 13:37:58] (4102:10048) Socket error: Unable to bind socket for HTTP proxy to port 3128.
[15/Nov/2006 13:37:58] (5002) Failed to start service "HTTPProxy" bound to address 0.0.0.0.
[15/Nov/2006 13:37:58] (4103:10048) Socket error: Unable to bind socket for service to port 4081.
[15/Nov/2006 13:37:58] (5002) Failed to start service "WebAdminSSL" bound to address 0.0.0.0.
[15/Nov/2006 13:37:58] (4103:10048) Socket error: Unable to bind socket for service to port 4090.
[15/Nov/2006 13:37:58] (5002) Failed to start service "VPN" bound to address 0.0.0.0.


Это то что показывает в логе ошибок Керио а клиент пишет последннее : generating config message
а потом истекло время ожидания ((( все излазил не могу натить
Соеденяюсь с ноута через мобильный или дома через адсл

Цитата:

KMF раздаёт инет (диалап) пользователям (аутификация через AD с привязкой по IP) через ПРОКСИ порт 8080, а я теперь хочу чтоб они все работали через НАТ. Хотя в правилах и так стоит что они должны работать через НАт, но не работает! Когда отключаю не прозрачный прокси пользователи авторизуются но работает только ICQ и пинги по HTTP их не пускает они не могут не зайти не наодну страницу инета!

Судя по всем, проблема в DNS запросах. Попробуй включить пересылку DNS запросов (DNS forwarding) на адреса, указанные провайдером.

superpalych
А точно нужно в Керио включить DNS forwarding у меня он вообще выключен, все DNS обрабатывает винда?

Saftor
А в браузере у пользователей проксю убрал?;)

Saftor
1. ставить керио на контроллер домена и держать всё в одном не лучшая идея.
2. вам нельзя включать да и не получится включить пересылку днс в керио, у вас уже есть днс сервер винды который нужен ад.
3. покажите вашей траффик полиси скриншоты прежде всего, так будет гораздо нагляднее.

А также желательно ipconfig /all с клиентов которые не воркают и самого компа-домена\инетораздатчика когда он подключен к инету.

Saftor
в DNS контроллера в пересылке укажи DNS провайдера и в керио в форвардинге то же самое

KWF 6.2.3-2027 не дает добавить в список своих интерфейсов ни одно из Dial-Up соединений, которые существуют и отлично работают в системе Windows Server 2003 SP1 EN. Мне кажется, проблема возникла после переноса KWF с другой системы на эту.
Наверняка, надо где-то конфиги подправить. Подскажите пожалуйста.
Спасибо.

Добавлено:
Уже разобрался. Нужно было выбирать "Для всех пользователей" при создании соединений.