» Kerio WinRoute Firewall (часть 2)

yurkovsky
Да, если так сделать подтверждаю.

Вобщем да, похоже на баг, можно им на форуме отписать.
Но при отключенном антивирусе, пи на смтп тож неимеет значения, и его можно отрубить и всё зарулит. Либо включить антивирус - поставить галку - отключить.
Ну либо таки поставить прям в конфиге <variable name="AllowTls">1</variable>.

Нужна помощь. Есть подсетка - рабочая группа, на сервере этой рабочей группы стоит Kerio WinRoute Firewall, на сервере и на рабочих машинах стоит Radmin. Какое правило в KWF я должен прописать, чтобы извне Радмином коннектиться не только к серверу, но и к клиентским машинам? То есть, с сервером проблем нет, коннектится, а с клиентами такая картинка - я ввожу пароль, появляется табличка "Loading Initial Screen" - и все, больше ничего... Такое впечатление, что на сервере обратный ответ от машин режется...

Siamdra
Ты должен сделать маппинг для каждого клиента.

Siamdra
http://forum.ru-board.com/topic.cgi?forum=8&bm=1&topic=19072#1
это как раз для тебя

Очень нужна помощь! Есть сервер (2003), к нему подключен интернет (VPN-провайдера). Необходимо поднять на нем свой ВПН-сервер. Клиенты будут подключаться к этому ВПН и использовать интернет (Провайдера). Короче надо расшарить Провайдерский VPN на свой внутренний ВПН. Можно ли так сделать с помощью Kerio?

kornvladimir
Безусловно, можно. Только зачем использовать Kerio? Чтоб ставить на всех клиентах Kerio VPN Client? Ну это уже тебе решать, конечно.

Venchik

Цитата:

Чтоб ставить на всех клиентах Kerio VPN Client?

его ставить не обязательно .. ведь в керио есть clientless ssl-vpn server

Mikes
Вот это уже интересней. Можно подробней?

если можно поподробнее, как все это дело настроить в Керио

Я вижу в настройках KWF "Enable Kerio Clientless SSL-VPN server". Но у меня пока что не получилось подключиться. Галочка стоит. Юзер создан. На клиенте создаю VPN соединение. Все по-умолчанию. Ввожу лог, пас. Ошибка 800. Причем телнетом заходит на 443-й порт. Значит сервер виден. Но что-то не так в настройках, видимо.

Добавлено:
Попробовал приконнектиться на другую машину с KWF. Теперь не правильный лог/пас. Куда копать?

Добавлено:
Блииин....я по-сельски все делал
Надо было просто в браузере ввести айпишник машины с KWF и порт 443 через двоеточие.
Ну ладно, теперь-то я до этого додумался...ввожу...а авторизацию всеравно пройти не могу))))
Где теперь собака зарыта?

Добавлено:
Кажется, я понял в чем дело.
http://www.kerio.com/manual/kwf/en/ch21s02.html


Цитата:

Warning: Only accounts authenticated in Active Directory or Windows NT domain (NT/Kerberos 5 authentication) can be used for access to the SSL-VPN interface. Accounts authenticated only in WinRoute (Internal user database authentication) cannot be used to access SSL-VPN. For details on local user accounts, refer to chapter 13.2 Local user accounts.

Получается, что юзеры, которые авторизируются не в домене и не в AD и т. п., а в самом KWF - не могут пользоваться этой штуковиной

Добавлено:
А как делается NTLM авторизация? Нужно в ОС создать пользователя и такого же в KWF?
Если можно, по-подробней расскажите...очень хочется сделать то, о чем говорилось в этом сообщении: http://forum.ru-board.com/topic.cgi?forum=8&topic=18301&start=1020#6
Но без домена. С доменом я уже понял что можно...но вот очень хочется без домена

день добрый всем присутствующим, вопрос:


как в KWF (стоит 6.2.2 build 1746) сделать так, чтобы в конце месяца к примеру, можно было посмотреть список сайтов каждого пользователя, который привязан в правилах только по IP.?
а то он только суммирует трафик и показывает общую статистику пользователя?

заранее спасибо

deathjoker
только в сторонних программа .. например internet access monitor ....

винроут спай лучше всех анлизирует логи винроута

Здраствуйте, может этот вопрос поднимался но просто не ту больше времени. У меня встала проблема на компе WinServ 2003 подключен интернет (комп является шлюзом для пользователей инета) создаю мастером правила всё работает нормально, но как в правиле NAT за место всей локальной сети в первой колонке добовляю отдельные хосты за место всей локальной сети инет не работает для этих хостов я не пойму почему??? ПОМОГИТЕ ПОЖАЙЛУСТА

HELP!!!!
стоял Win2003srv на нем все: DC, AD,.. + KWF + MD
получилось так что надо было отселить KWF + MD с Win2003.
взял машинку поставил туда KWF + MD, а на Win2003 оставил минимум.
(Win2003 винт сдох)
поставил по новой все и настроил там company.local домен внутренний.(DC, AD, DNS, и тд)
на другом компе соответственно KWF + MD.(на него заходит инет)
по IP все друг друга видят, проблема в том что из KWF я не могу импортировать базу пользователей AD...
не видит KWF -> company.local
и получается что если в KWF включена авторизация поьзователей, они не могут открыть ни одной страницы..
В чем может быть проблема??
и еще, когда в DNS запускаю NSLOOKUP. то не определяется имя сервера на котором стоит DNS.

Добавлено:
да машинка на которой KWF в workgroop.
остальные в домене.

nii294
Я так понимаю это всё делается ради прозрачной аутентификации по нтлм?
Её без ввода машины в домен не будет.
Если вам только импорт, попробуйте воркгруппу назвать идентично домену.

Акасательно невозможности открыть при затребовании аутентификации... Случайно нигде гейтвей второй не затесался (смарите сразу в свойствах интерфейсов.)?

AnLe
завел в домен.
нифига..
получается что на пинг по имени сервера отвечает kwf.
это нормально?

У меня проблема на компе WinServ 2003 подключен интернет (комп является шлюзом для пользователей инета) создаю мастером правила всё работает нормально, но как в правиле NAT за место всей локальной сети в первой колонке добовляю отдельные хосты за место всей локальной сети инет не работает для этих хостов я не пойму почему??? ПОМОГИТЕ ПОЖАЙЛУСТА

AnLe
Все замутилось..
только как я понял, DNS на сервере не корретно отрабатывает и переылает запросы на KWF!!
что может быть??

nii294
вобщем, отдельным правилом навремя разрешить интерфейсу локалки и фаерволу полный обмен. Это раз.

Второе, я так понял проблема в том что сейчас пока просто не импортятся?
При импорте указывается имя домена, например domain.local, и в следующщем поле просто имя сервера без хвоста domain.local. Ну и дальше имя юзера имеющщего право доступа туда. Если машина не может получить список уже надо далее смотреть что там наворочено, и для проверки показать ipconfig /all с заиксоваными октетами белых ип...

AnLe

Цитата:

nii294
вобщем, отдельным правилом навремя разрешить интерфейсу локалки и фаерволу полный обмен. Это раз.

Второе, я так понял проблема в том что сейчас пока просто не импортятся?
При импорте указывается имя домена, например domain.local, и в следующщем поле просто имя сервера без хвоста domain.local. Ну и дальше имя юзера имеющщего право доступа туда. Если машина не может получить список уже надо далее смотреть что там наворочено, и для проверки показать ipconfig /all с заиксоваными октетами белых ип...

помоги плиз

nii294
Ы ???
А чисто случайно, у самого сервера с днс, ипадрес керио в свойстваз сетяшки или на вкладке пересылки днс сервера адрес керио не указан? ))


portadmin
Лучше показать скрин трафик полиси что есть до и что есть в результате после.

в первом случае в правиле NAT после создания правил визардом в колонке SOURCE указан LAN интерфей т.е. вся локальная сеть транслиркется в интернет - тут всё работает

второй случай мне нужно отдельно по машинам раздать инет, я в колонке SOURCE за место LAN указываю отдельные адресные группы которые уже содержат ip адреса - инет не работает

p.s. я бы не заморачивался и оставил бы в nat правиле всю локалку, а на отдельных машинах только которым нужен инет прописал бы шлюз, но у меня надо счтобы на всех клиентах был прописан шлюз так как все пользователи аси а инет только отдельным машинам. Для аси я создаю отдельное правило которое распологаю выше там я всей локалке разрешаю службу icq.

portadmin
А, а вот с группами там именно какойто фокус, небудет оно так работать.
Нужно указывать именно ипадреса нужных клиентов или юзеров сразу, в группе гдето тут писали что отказывается оно работать.

У меня стоит квота на каждого пользователя 75 мег в неделю. Мне надо чтобы WinRoute посылал пользователям письма когда их трафик превысит 50 мег. Причём было бы очень хорошо если я сам могу написать содержимое письма. Как это реализовать? Возможно ли это вообще?

Dragonim
Теоретически, в папке квф есть папочка templates в ней есть папка email а в ней уже темплейты которые он юзает.

так в моём случае эта конфигурация так работала а сейчас отказывается так работать

ну тут не всё так просто это я тебе сказал про группы, но у меня без разницы хоть группа, хоть хост(ip адрес) отдельно, хоть юзера созданого туда впихну в SOURCE всё равно не работает!!!

AnLe
Папку нашёл и фаил который используется для посылку сообщения тоже (queot_en). НО как я понял изменения данного файла поможет мне решить только одну проблему, а именно "написать содержимое письма самому". До сих пор у меня остаётся открытым вопрос - Как послать пользователю письмо о том что скоро он превысит квоту?

AnLe
зы!!
нет не указан.
все пошло, нормально работает. все импортирует.
я тупанул..(не спал больше суток)
на своем хосте в днс указал не тот адремс..
Вери биг сенкс!!

можете меня кем угодно называть: но поиск в теме БЕСТОЛКОВЫЙ !!!
что за изврат, когда нужно для поиска открывать всю тему за раз и делать поиск броузером!
мне почему-то денег жалко каждый раз.
может я все таки чего не понимаю, научите меня волшебному способу поиска в теме.

проблема простая, может встречалась, тему периодически перечитываю, но не помню такого.

стоит сервак win2003ee одна сетевая, kerio winrout firewall 6 NAT. по этой сетевой работает домашняя локальная сеть компов 20, и так же подымается по ppp соединение с инетом. так же папки по netBIOS readonly открыты и они же по ftp writeonly (были проблемы с вирусом hidrag).
из локалки люди заходят на сервер броузером по ssl, авторизуются логин-пароль и они в инете. Само собой перед выключением компа нада зайти по ssl броузером на kerio и осуществить выход клиента. Если он этого не сделает после выключения его компа можно поставив его ip выходить в инет без авторизации за чужой счет.
как решить эту проблему? требуется, чтобу человека тож было какоето соединение по vpn или еще как чтоб заходя под ним он получал выход в инте и выключая комп связь разрывалась.

сумбурно все.
в догонку: требуется именно NAT причем сейчас сервер раздает DHCP указывая GATEWAY и DNS себя. В результате все программы ломятся через него в инет. А хотелось бы так: DHCP раздает без GATEWAY и DNS, клиент подключается как через обычный модем значком в сетевых подключениях по vpn или ppp и там уже получает gateway и dns, и отключается просто разорвав это соединение.
Спасибо

вот нашел в windows xp есть такое:
виртуальная частная сеть (VPN)
минипорт WAN (PPTP)
она мне уже нравится. Похоже требуется на 2003 сервере поднять RRAS или/и крутить настройки в kerio