» Kerio WinRoute Firewall (часть 2)

Mikes

Цитата:

width=100px height=100px

Цитата:

не останется если ставить не просто drop а redirect на пустой рисунок размером 1х1 который будет лежать например там же где и web интерфейс

этот пиксель растянется до указанных в теге img размеров.
опять же, останется ссылка на то место, куда ведет баннер..
в общем оптимальным как по мне будет решение в виде прокси, который вырезает лишнее из страницы... что-то вроде Proxomitron... именно он как-то слишком сильно корежит страницу, часть сайтов перестает открываться.. может конечно надо получше покрутить его настройки..

Всем доброго дня.
Столкнулся с такой проблемой. Есть сеть на 15 компов и сервер под Windows Server 2003. Устанавливаю Winrout 6-й версии (уже проверенный на другой сетке), разрешаю в нем всем все делать. После этого сервер у меня перестает пинговаться, а с сервера к клиентам пинги идут.
На сервере еще стоит ISA Server 2004, но перед установкой винроута я все его службы выключаю и виндовые фаерволы тоже.

Есть идеи?

alexitd

Цитата:

опять же, останется ссылка на то место, куда ведет баннер..

по ссылке откроется тот же 1 пиксель. только в новом окне...

Цитата:

Добавлено:
Еще дополнение.
При дебуге в логах нет ни единой записи от ftp_handle
Т.е. протокол инспектор дейстительно не работает.

Проблема решена. В конфиге есть переменные:
<variable name="TransparentProxyEnabled">1</variable>
<variable name="TransparentProxyPort">13266</variable>
Должны быть именно так. В противнос случае ProtocolInspector не работает, и соответственно, не будут работать "сложные" протоколы типа FTP, PPTP/GRE

Е еще один камень в огород ProtocolInspector-а.
При работающем инспекторе на SMTP протоколе, керио не умеет переключаться на TSL (команда starttls).Он тупо блокирует работу TLS. Это разумно, т.к. при этом будет идти криптованый трафик, который не может быть проверен антивирусом и самим инспектором протоколов.
ИМХО корректнее было бы ввести настройки для инспектора протоколов, которые регламентировали бы подобные ситуации.
В моем конкретном случае, пришлось просто отключить инспектор для SMTP.

Цитата:

Всем доброго дня.
Столкнулся с такой проблемой. Есть сеть на 15 компов и сервер под Windows Server 2003. Устанавливаю Winrout 6-й версии (уже проверенный на другой сетке), разрешаю в нем всем все делать. После этого сервер у меня перестает пинговаться, а с сервера к клиентам пинги идут.
На сервере еще стоит ISA Server 2004, но перед установкой винроута я все его службы выключаю и виндовые фаерволы тоже.

Есть идеи?

aia1199
надо правила смотреть... так не угадать )))

Mikes
Если ты имеешь в виду правила фаервола. То в них ставлю всем все разрешено.
Пробовал и подругому. Даю разрешение конкретной машинке на пинг сервера и наоборот.
И все равно с сервака пингуеться, а с указанной машины нет.

Может ISA закрывает какие-то порты даже когда ее службы руками останавливаешь?

aia1199
логи включены? что пишется когда пингуешь? что пишет при запуске керио? там в дебаге проблем нету?

когда ставил, конфиг правил? (отключить firewall на внутреннем интерфейсе.. прописать внешний и внутренний..)

Всем доброго дня!

Господа, вопрос есть по FTP policy. Установлена версия KWF 6.2.3 build 2027.
Можно ли блокировать FTP-сервера по маске?
Т.е. например необходимо запретить посещение ресурса, содержащего слово "ftpserver" у которого еще куча дополнительных серверов вида:

ftpserver1.com
ftpserver2.com
ftpserverrus.ru
newftpserver.com.ru
addon.newftpserver-group.com

Забивание маски *ftpserver* в графу SERVER на закладке GENERAL результата не дает.

Буду очень признателен, если кто-то подскажет в каком направлении стоит копать.

Господа, помогите разобраться, у меня ну никак не получается настроить одновременное использование двух интернет соединений на одном шлюзе с Керио.
Не пойму броблема в настройках Керио или таблицы маршрутизации самой винды. А теперь собственно описание траблы:
На шлюзе (WinServ2003+Kerio 6.2.3 2027) есть три сетевых подключения:
LAN - 192.168.101.0
Inet1(VPN - 128k - 4гига лимит) - 217.117.x.x
Inet2(ADSL - 64к безлимитка) - 82.207.x.x
Вот ipconfig и route print

Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : gate
Основной DNS-суффикс . . . . . . : xxx.com
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : xxx.com

Modem - Ethernet адаптер (смотрит на модем)
Описание . . . . . . . . . . . . : VIA VT6105 Rhine III Compatible Fast Ethernet совместимый адаптер
Физический адрес. . . . . . . . . : 00-15-E9-41-98-02
DHCP включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес автонастройки. . . . . . : 169.254.169.31
Маска подсети . . . . . . . . . . : 255.255.0.0
Основной шлюз . . . . . . . . . . :
NetBIOS через TCP/IP. . . . . . . : отключен

LAN - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet NIC
Физический адрес. . . . . . . . . : 00-13-8F-BA-7F-B9
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.101.254
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 192.168.101.254

POtun - Ethernet адаптер (Для установки ВПН соединения с провом)
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : SURECOM EP-320X-R 100/10/M PCI адаптер
Физический адрес. . . . . . . . . : 00-02-44-2E-E2-C8
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.111.50
Маска подсети . . . . . . . . . . : 255.255.255.252
Основной шлюз . . . . . . . . . . :

Inet2 - PPP адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Физический адрес. . . . . . . . . : 00-53-45-00-00-00
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 217.117.x.x
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 217.117.x.x
217.117.x.x
Inet1 - PPP адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Физический адрес. . . . . . . . . : 00-53-45-00-00-00
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 82.207.x.x
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 195.5.x.x
195.5.x.x
NetBIOS через TCP/IP. . . . . . . : отключен

Поубирал броадкасты и пр.
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 82.207.x.x 82.207.x.x 1
82.207.x.x 255.255.255.255 127.0.0.1 127.0.0.1 50
192.168.101.0 255.255.255.0 192.168.101.254 192.168.101.254 20
192.168.101.254 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.111.48 255.255.255.252 192.168.111.50 192.168.111.50 20
192.168.111.49 255.255.255.255 192.168.111.50 192.168.111.50 20
192.168.111.50 255.255.255.255 127.0.0.1 127.0.0.1 20
195.5.61.75 255.255.255.255 82.207.x.x 82.207.x.x 1
217.117.x.0 255.255.255.0 217.117.x.x 217.117.x.x 3
217.117.x.x 255.255.255.255 127.0.0.1 127.0.0.1 50
Основной шлюз: 82.207.x.x


Поскольку оба соединения не постоянные, то при каждом переподключении то одного то другого менялся шлюз по умолчанию, то есть появлялись
два маршрута вида:
0.0.0.0 mask 0.0.0.0 x.x.x.x, только с разной метрикой тот кот. подключался позднее получал меньшую метрику.
Поэтому в настройках Inet1(VPN), я убрал галку "использовать шлюз в удаленной сети" и прописал стат. маршрут в сеть провайдера Inet1, в Inet2 я её оставил.
В локалке шлюз по умолчанию тоже убрал.

Я поставил Керио и прописал в трафик полиси следующее:
NAME Source Destination Service Action Translation

VIP 101.2 Any Any Permit NAT 82.207.x.x

Proxy 101.1, 101.3-101.253 Any TCP8080 Permit NAT 217.117.x.x

IT (ipшники отдела айти) Any Any Permit NAT 82.207.x.x

FirewallAllow Firewall Any Any Permit NoTranslation

Это не все правила, но остальные не влияют на данный вопрос.
Задумка была следующая, юзер с айпишником 101.2 ходит в инет через НАТ(82.207.x.x), все остальные ходят используя Кериовскую
проксю, которая висит на 8080 порту и все запросы с неё транслируется в 217.117.x.x, ну и отдел IT при желании может в качалке не указывать прокси и качать через медленный 82.207.x.x, а серфится через проксю как и все.
То есть шлюз - безлимитка АДСЛ, а ВПН инет только для Керио-прокси.
Но Керио(или Винда?) не бросает пакеты на Inet1, пока не прописать его как маршрут по умолчанию.
Вобщем пакеты идут только на тот интерфейс, на который есть запись вида:
0.0.0.0 mask 0.0.0.0 x.x.x.x metric 1.
А в Керио происходит следующее, пользователь Admin обратился к ресурсу
www.xxx.ru используя прокси 192.168.101.254:8080, смотрю логи
[12:51:16][Rule] Proxy [User] Admin [Connection] TCP 192.168.101.77:1693 -> GATE:8080
[12:51:17][Rule] FirewallAllow [Service] HTTP [Connection] TCP GATE:4355 -> xxx.ru:80
[12:51:18][Rule] FirewallAllow [Service] HTTP [Connection] TCP GATE:4350 -> xxx.ru:80
[12:51:18][Rule] Proxy [User] Admin [Connection] TCP 192.168.101.77:1691 -> GATE:8080
Вобщем пользователь шлет то запрос на прокси, Керио обрабатывает его, режет если что то в ХТТП полиси указано, но после этого забивает на то, что я ему указал использовать НАТ через 217.117.x.x и просто кидает все данные через шлюз по умолчанию то есть 82.207.x.x. На страничке на котрорую я перехожу есть скрипт который показывает с какого айпишника я зашел, и это всегда дефоултгейтвей.
Кто что может подсказать?
ЗЫ Извиняюсь если слишком много, но хотелось как можно подробнее описать конфигурацию.
Что не так?

как сделать чтобы кериоVPN клиенты видели компы локальной сетки?
при ВПН подключении компы в локалке к которой идет подключение не пингуются, как настроить?

Для тех кто юзает Визнетик, думаю будет интересно, цитаты:
"Внимание! По предварительным оценкам VisNetic AntiVirus Plug-in 4.6.1.2 работает нестабильно и пропускает вирусы. Если Вы используете версию 4.6.1.1 - не спешите ее обновлять. Если у Вас нормально работает версия 4.6.1.2 - попытайтесь не отключать ее лишний раз из консоли WinRoute или MailServer. Сказать что-то конкретней Мы пока не можем..."
"Снова вышла новая версия антивирусного плугина VisNetic AntiVirus Plug-in 4.6.1.3. К сожалению пропускает даже извесные вирусы с новыми базами Касперского как и предыдущая версия 4.6.1.2. Не рекомендуем к использованию..."
источник

Всем привет.
я установил Kerio WinRoute Firewall 6.2.3 (build 2027) на w2003
примерно 130 юзеров. Включил подсчет трафика и блокирование.
керио считает трафик не правильно, врет примерно раза в 2 или 3.
Проверял статистику программой WrSpy.
Может кто сталкивался с такой праблой.
Раньше стояла WinRoute Firewall 6.1.1-419 все было в порядке.

что значит эта запись в error:
VPN client: Unable to register VPN connection in driver?

Господа!
Такая проблема странная возинкла, не знаю что и делать.
Переставлял сервер с w2k до w2k3, накатил керио и все его конфиги. Все сохранилось и работает отлично. Кроме прокси. Куда копать?

Проблема такая Kerio 6.0.11 На машине есть VPN соединение. В Керио в свойствах интерфейса указан имя пользователя, пароль и тип соединения persistent. Так вот через определенное время (всегда по-разному) имя пользователя и пароль пропадают, а тип соединения становиться manual. Все это наблюдается на разных компах и возникает через разное время. Пробовал версию посвежее тоже самое.
Как побороть?

P.S. Сори если вопрос уже был. Искал, но не нашел.

Garreth
а как конфиги накатывал, не простой ли перезаписью?

ICY_fire
Остановил сервис и перезаписал.

Подскажите как сделать такое:
Kerio WinRoute Firewall стоит на WIN 2003, раздает инет в локалку, есть 2 внешних интерфейса в инет:
1 WAN (через роутер ZyXEL) 1Мбит/с но без внешнего IP
2 Dial-Up (через модем с соответствующей скоростью) с внешним фиксированым IP.
Можно ли както совместить их чтобы был доступ из инета, хотя бы через Radmin и доступ к почтовому серверу на этой же машине?
Если запустить Dial-Up, то весь инет-траффик идет через него.
Где и что нужно прописать в таблице маршрутизации? Может кто сталкивался с таким?

alexvn555 вот вот я задал такой же вопрос восемью постами выше, глухо как в танке.

Pub
По твоему вопросу скажу что в керио предусмотренно два инетовских фейса но только один может быть исходящим, а другой принимающим, то есть настройка типичная для использования спутникового инета, так что развести юзеров по разным фэйсам не выйдет, кроме как использовать две разные тачки с проксей, я тоже неделю провозился с этим вопросом и пришел к выводу что единственный выход это две тачки, теперь у меня работает по следующей схеме у всех пользователей прописан прокси 192.168.0.5 порт 8080, а для IT установлен шлюз 192.168.0.6, через который и серваки смотрят в нет, посему получается, что при работе через http ходят через однин канал, а при перехвате менеджером закачки файла скачка идет через другой канал, так как в менеджере закачки не указан прокси и он использует шлюз по умолчанию, надеюсь понятно объяснил, если я не прав то извиняйте, но другого выхода я не нашел.

Pub
неужели никто не сталкивался или такой редкая ситуация?

alexvn555

Цитата:

Можно ли както совместить их чтобы был доступ из инета, хотя бы через Radmin

Да, достаточно разрешить входящие подключения на порт радмина (4899, кажется).


Цитата:

и доступ к почтовому серверу на этой же машине

А это как понять? Что нужно делать с сервером? Использовать его как SMTP? Ну так это не проблема - откройте к нему доступ на 25-й порт. Или POP3? Тогда 110. Только я рекомендую сделать SSL.

В чем вообще проблема? Мне на форуме неудобно объяснять. Можем в ICQ пообщаться...думаю, сделаем без особых проблем...потом расскажешь народу как сделали.

Всем привет! Нужен совет в решении проблемы.
Есть ПО для телефонных звонков через Интернет, называется HelloWorld! установлено на локальных машинах в сети. До установки Keriо Winroute Firewall сеть была подключена к Инету через аппаратный роутер. Настройки Winroute были сделаны с помощью мастера в режиме "разрешить все сервисы".
HelloWorld! работает с сервера, но не работает с компьютеров в сети. Для работы этой софтине необходимы порты:
TCP 2222
TCP 2224
UDP 2222
UDP 2224

вот скриншоты моих правил http://adl.ho.com.ua/bd_screen2.gif
и ешё лог при попытке (неудачной) соединения с локальной машины и с сервера(когда всё работает). IP несколько изменены из соображений безопасности



Код:
с локальной машины
[08/Dec/2006 09:11:53] PERMIT "HelloWorld!" packet to Inet, proto:TCP, len:48, ip/port:192.168.0.13:1352 -> 217.6.189.115:2224, flags: SYN , seq:3130749831 ack:0, win:64512, tcplen:0
[08/Dec/2006 09:11:59] PERMIT "HelloWorld!" packet from Local Area Connection, proto:TCP, len:48, ip/port:192.168.0.13:1352 -> 217.6.189.115:2224, flags: SYN , seq:3130749831 ack:0, win:64512, tcplen:0
[08/Dec/2006 09:11:59] PERMIT "HelloWorld!" packet to Inet, proto:TCP, len:48, ip/port:192.168.0.13:1352 -> 217.6.189.115:2224, flags: SYN , seq:3130749831 ack:0, win:64512, tcplen:0
с сервера
[08/Dec/2006 09:18:10] PERMIT "HelloWorld!" packet to Inet, proto:TCP, len:48, ip/port:62.64.117.5:2728 -> 217.6.189.115:2224, flags: SYN , seq:1462091646 ack:0, win:16384, tcplen:0
[08/Dec/2006 09:18:10] PERMIT "HelloWorld!" packet from Inet, proto:TCP, len:48, ip/port:217.6.189.115:2224 -> 62.64.117.5:52462, flags: SYN ACK , seq:2388607640 ack:1462091647, win:64512, tcplen:0
[08/Dec/2006 09:18:10] PERMIT "HelloWorld!" packet to Inet, proto:TCP, len:40, ip/port:62.64.117.5:2728 -> 217.6.189.115:2224, flags: ACK , seq:1462091647 ack:2388607641, win:17184, tcplen:0
[08/Dec/2006 09:18:10] PERMIT "HelloWorld!" packet to Inet, proto:TCP, len:71, ip/port:62.64.117.5:2728 -> 217.6.189.115:2224, flags: ACK PSH , seq:1462091647 ack:2388607641, win:17184, tcplen:31
[08/Dec/2006 09:18:10] PERMIT "HelloWorld!" packet from Inet, proto:TCP, len:70, ip/port:217.6.189.115:2224 -> 62.64.117.5:52462, flags: ACK PSH , seq:2388607641 ack:1462091678, win:64481, tcplen:30

SlavaLi
Включи Nat на правиле HelloWorld! аналогично тому что у тебя в правиле NAT

Народ, ну ничего не получается, совсем уже отчаялся, наверно придется от керио отказываться, так как проблема не терпит времени.

У меня в локалке (192.168.100.х маска 255.255.255.0) керио и инет на 192.168.100.5 с внешним интерфейсом (инет) 195.151.226.129. Есть клиент с другого города. Пытается он подключиться к нашей сети через кериоВПНклиент. Керио назначает ему адрес 192.168.1.2 с маской 255.255.255.0. Связь устанавливается, держится. Но клиент не видит ПК в локалке, а локалка не видит его. Проходят только пинги с фаервола на клиента и с клиента на внешний адрес фаервола, внутрь сети пинги не проходят. Всё!!!

Получается, что локалка в подсетке 192.168.100.х
Клиенту назначается адрес 192.168.1.х
маска в обоих 255.255.255.0

Что делать? Куда копать?

вот еще: клиенту нужен доступ к двум машинам в нашей локалке, на них прога стоит им нужная коннектится по 407 порту. Пытался порт вынести ничего не вышло....

Bear39
создай правило разрешаюшее полный проход клиента к этим машинам, либо примапь порты которые нужны на сервак чтобы клиент сразу цеплялся прогой обращаясь к серверу.

Добавлено:
правило вида source VPNclients Destination ip адреса тех машин service то что нужно смотри по логам, action разрешаем, если на тех машинках не стоит шлюзом твой WinRouter включаем NAT

vicpo
в правилах ВПНклиент -> фаервол+локалка -> всё

не помогает!

клиент вообще в локалке никого не видит, не пингует.

Bear39
двусторонию. сделай чтобы лолкалка имела доступ к нему

Добавлено:
и у тебя на тех тачках которые в сети должен быть прописан шлюз твой Winrouter

vicpo
ну да, у меня локал трафик по умолчанию...

соурс локалка; фаервол; ВПНклиент -> дестинейшион локалка фаервол ВПНклиент

+ правило для ВПН:
инет -> фаер -> кериоВПН

Bear39
Включи логирование и логи запроса с клиента в студию, без логов тяжело судить о том что творится