Господа, пользователи VisNetic, в частности версии 4.6.1.1, проблем с обновлением не наблюдается?
» Kerio WinRoute Firewall (часть 2)
Так чего???
никто по VPN не ответит??
если где было, ткните ссылочку, я не нашел!
Всех с наступающими..
никто по VPN не ответит??
если где было, ткните ссылочку, я не нашел!
Всех с наступающими..
nii294
О каком разрешении у доменной записи впн идёт речь?
Разрешение конектица по керио впн даётся только и только в самом керио. В свойствах акка, или в свойствах общего темплейта.
Машина нормально вхожа вдомен?
Может элементарно она не может номано работать с ад и потому керио шлёт керио впн клиентов.
О каком разрешении у доменной записи впн идёт речь?
Разрешение конектица по керио впн даётся только и только в самом керио. В свойствах акка, или в свойствах общего темплейта.
Машина нормально вхожа вдомен?
Может элементарно она не может номано работать с ад и потому керио шлёт керио впн клиентов.
Не знаю может гдето в томже проблема... Ситуация такая: Есть vpn между двумя контролерами домена , и правила включено все! И вот репликации между домена не идут... в принципе механизмы используемые при авторизации и репликации теже... Второй вопрос как сделать чтобы сетки видели друг друга. ДНС включены и записи там и там одинаковы. пока они были физически в одной сетке все ок через впн проблемы. винс тоже почистил и проверил.
Да кстати авторизироватся удаленные клиенты начинаю через 2-3 иногда 5 минуты после поднятия канала. Все-бы ладно но вот репликация домена.... А по твоему вопросу посмотри или у тебя включена автоматическая проверка по ад. Там пароль и тд админовский. У меня работает. Ну я думаю о птичке в правах говорить не будем. Тоесть нуно не только при импорте вписать пароль доступа но+ и для того чтобы керио сверялся при авторизации.
Да кстати авторизироватся удаленные клиенты начинаю через 2-3 иногда 5 минуты после поднятия канала. Все-бы ладно но вот репликация домена.... А по твоему вопросу посмотри или у тебя включена автоматическая проверка по ад. Там пароль и тд админовский. У меня работает. Ну я думаю о птичке в правах говорить не будем. Тоесть нуно не только при импорте вписать пароль доступа но+ и для того чтобы керио сверялся при авторизации.
AnLe
С AD все нормально.
я пробовал под разными аккаунтами.
Моя компина входит в домен без проблем..
В керио импортируются аккаунты из AD, с этим проблем нет.
в свойствах своей учетки(после того как она имортируется в керио) я выставил что настройки индивидуальные. там же разрешил этому аккаунту коннектится через VPN.
Так вот когда захожу через локалку просто в домен все в порядке.
когда я пытаюсь соединится через VPN из локалки или с наружи, ни черта не пускает.
я вижу в керио что конектится но не проходит авторизацию..
Такой вот косяк..
Добавлено:
И в общем темплейте включил..
Везде где можно...
никак
С AD все нормально.
я пробовал под разными аккаунтами.
Моя компина входит в домен без проблем..
В керио импортируются аккаунты из AD, с этим проблем нет.
в свойствах своей учетки(после того как она имортируется в керио) я выставил что настройки индивидуальные. там же разрешил этому аккаунту коннектится через VPN.
Так вот когда захожу через локалку просто в домен все в порядке.
когда я пытаюсь соединится через VPN из локалки или с наружи, ни черта не пускает.
я вижу в керио что конектится но не проходит авторизацию..
Такой вот косяк..
Добавлено:
И в общем темплейте включил..
Везде где можно...
никак
VisNetic 4.6.1.1 сдох по непонятным причинам. В варезнике рапортуют те же симптомы.
Если у кого стоит - обновляйте до 4.6.1.3 =)
Если у кого стоит - обновляйте до 4.6.1.3 =)
nii294
А для самого керия учетная запись заведена?
Дело в том, что когда ты импортируешь юзеров из АД, то подключаешься к базе под своим аккаунтом; если вход в систему не выполнен, то керий должен получить доступ к АД под каким-нибудь другим аккаунтом.
А для самого керия учетная запись заведена?
Дело в том, что когда ты импортируешь юзеров из АД, то подключаешься к базе под своим аккаунтом; если вход в систему не выполнен, то керий должен получить доступ к АД под каким-нибудь другим аккаунтом.
Вопрос такой....
Непонятности творяться с Керио 6.х...
Точнее устанавливаю керио, визард проводит настройки и...
Творяться непонятки... не могу выскочить в инет с машины на которую утановлен Керио...
Ставил правила уже по всякому, более того заказал этой сволочи пускать всех везде, максимум чего добился это хождения ДНС до провайдера, далее связи нет никакой, даже под юзера конекты не выдает...
Проблемка в первый раз возникла до этого все гладко стартовало без особых проблем...
Где засада может быть?
Непонятности творяться с Керио 6.х...
Точнее устанавливаю керио, визард проводит настройки и...
Творяться непонятки... не могу выскочить в инет с машины на которую утановлен Керио...
Ставил правила уже по всякому, более того заказал этой сволочи пускать всех везде, максимум чего добился это хождения ДНС до провайдера, далее связи нет никакой, даже под юзера конекты не выдает...
Проблемка в первый раз возникла до этого все гладко стартовало без особых проблем...
Где засада может быть?
Ситуация такова. На машине, кот. служит шлюзом в инет установлен KWF 6.2.3 и база Terrasoft CRM (система управления продажами и маркетингом) на sql-e. Все нормально работало, но недавно пользователи перестали коннектится к базе. То есть они сервер находят, можно выбрать пользователя выводится запрос имени пользователя, пользователь вводит пароль программа загружает некоторые компоненты но на этапе "Открытие списка пользователей" виснет. Такое наблюдается только при запущеном Kerio. Как только я останавливаю ядро Керио, пользователи снова нормально коннектятся. Я уже в Трафик Полисях поразрешал от клиентов к серверу и наоборот абсолютно весь трафик - не помогло, в логах фильтра тоже ничего не пишется. В чем может быть проблема?
Господа,поможИте!
KWF 6.2.3 2027, W2k3, 3 сетевых интерфейса. 1- LAN , 2 и 3 - ADSL. Один из них -статика. На нем DNS, Mdaemon,IIS и иже с ними. Другой ADSL - помедленнее, но практически дармовой. В системе маршруты на 0.0.0.0 идут каждый на свой шлюз, с разницей в метриках. У статики -1 у халявы- 20. Само собой Mdaemon работает по статике. Теперь трабла: хочу юзеров выпущать через халяву и прописываю этот интерфейс в Connection failover как Primary, статику -Secondary. Но траффик идет через Secondary. Подозреваю, что дело в метриках, но менять их нельзя, бо почтовик работает по маршруту с меньшей метрикой. Где рыть?
KWF 6.2.3 2027, W2k3, 3 сетевых интерфейса. 1- LAN , 2 и 3 - ADSL. Один из них -статика. На нем DNS, Mdaemon,IIS и иже с ними. Другой ADSL - помедленнее, но практически дармовой. В системе маршруты на 0.0.0.0 идут каждый на свой шлюз, с разницей в метриках. У статики -1 у халявы- 20. Само собой Mdaemon работает по статике. Теперь трабла: хочу юзеров выпущать через халяву и прописываю этот интерфейс в Connection failover как Primary, статику -Secondary. Но траффик идет через Secondary. Подозреваю, что дело в метриках, но менять их нельзя, бо почтовик работает по маршруту с меньшей метрикой. Где рыть?
"Есть в инете сервер, на который нужно коннектиться терминалом.
Есть сервер с Керио, который даёт инет в локалку по НАТ.
Проблема: компы из локалки не могут подключиться (вообще нет коннекта) по RDP к серверу в нете.
При этом, с самого сервака с Керио (который НАТ дает) легко всё подключается, заходит и отлично работает. В чём загвоздка, вообще не врубаюсь"
Та же самая проблема!!!
Все работало как часы потом неожиданно перестало.
Протокол инспектор вкл и выкл. НАТ для правила ставил и вручную и дефолтовый. Ничего не помогает! Помогите!!!
Есть сервер с Керио, который даёт инет в локалку по НАТ.
Проблема: компы из локалки не могут подключиться (вообще нет коннекта) по RDP к серверу в нете.
При этом, с самого сервака с Керио (который НАТ дает) легко всё подключается, заходит и отлично работает. В чём загвоздка, вообще не врубаюсь"
Та же самая проблема!!!
Все работало как часы потом неожиданно перестало.
Протокол инспектор вкл и выкл. НАТ для правила ставил и вручную и дефолтовый. Ничего не помогает! Помогите!!!
rudback
Вряд ли дело в метриках.
Я за KWF наблюдал одну недоработку: при потере коннекшна по примари он переходит на альтернатив, но если примари интерфейс поднимается, то обратного перехода не происходило. Проблема наблюдалась на первых минорных версиях 6, устранена ли в 6.2.3 -- не знаю.
Может в этом дело?
Пинг на тестовые хосты разрешен в трафик полиси? Хосты всегда доступны?
Добавлено:
Peroon_N
sa19
Мало информации. Трафик полиси -- в студию!
Вряд ли дело в метриках.
Я за KWF наблюдал одну недоработку: при потере коннекшна по примари он переходит на альтернатив, но если примари интерфейс поднимается, то обратного перехода не происходило. Проблема наблюдалась на первых минорных версиях 6, устранена ли в 6.2.3 -- не знаю.
Может в этом дело?
Пинг на тестовые хосты разрешен в трафик полиси? Хосты всегда доступны?
Добавлено:
Peroon_N
sa19
Мало информации. Трафик полиси -- в студию!
TomAlex
Дело не в правилах , на них всё работало а они не менялись.
Правило самое 1ое:
sourse:192.168.1.10,1.20 b т.д.
destinate: Внешний IP терминала
service:RDP
action:Permit
Nat(Inet)
PI enable
Правило создовал и новые, отключал PI, NAT ставил и дефолтовый и принудительно на внешний интерфейс. И всё это комбенировал. Результат нулевой. Со шлюза подключиться к удаленному Терминалу можно из сетки нельзя.
На удаленном Терминале тоже Kerio.И правило на нем простое
sourse:Мой внешний IP
distanse:Firewall
RDP
Permit
Причем в списке соеденений что у меня что в удаленом КЕРИО появляеться соеденение по RDP.Но вот окна с вводом логина не видать. Ну и RDP клиент выдает ошибку.
RDP протокол настроен правильно, правила в Kerio тоже всё не один раз проверялось.
Спасите?
Дело не в правилах , на них всё работало а они не менялись.
Правило самое 1ое:
sourse:192.168.1.10,1.20 b т.д.
destinate: Внешний IP терминала
service:RDP
action:Permit
Nat(Inet)
PI enable
Правило создовал и новые, отключал PI, NAT ставил и дефолтовый и принудительно на внешний интерфейс. И всё это комбенировал. Результат нулевой. Со шлюза подключиться к удаленному Терминалу можно из сетки нельзя.
На удаленном Терминале тоже Kerio.И правило на нем простое
sourse:Мой внешний IP
distanse:Firewall
RDP
Permit
Причем в списке соеденений что у меня что в удаленом КЕРИО появляеться соеденение по RDP.Но вот окна с вводом логина не видать. Ну и RDP клиент выдает ошибку.
RDP протокол настроен правильно, правила в Kerio тоже всё не один раз проверялось.
Спасите?
ПИ я бы отключил... Я помню, что это ничего не меняет, но все же.
РДП клиент Микрософтовский?
Коннектится к ТС? Легальный? или 90-дневная лицензия?
РДП клиент Микрософтовский?
Коннектится к ТС? Легальный? или 90-дневная лицензия?
AnLe
в керио выставил импорт из АД пользователей с учетной записью от компа на котором стоит керио.
все нормально, все записи импортируются.
А вот ВПН подключения не пускает. ЕЩЕ вот кусок лога подключения
[09/01/2007 10:03:52] D[VPN client] VPNClient[0007] - connecting to мойдомен.com:4090, username юзер
[09/01/2007 10:03:52] D[VPN client] VPNClient[0007] - server name resolved - ххх.ххх.ххх.ххх
[09/01/2007 10:03:52] D[VPN client] VPNClient[0007] - route to server added, gw = 192.168.0.2 (adapter 0x2)
[09/01/2007 10:03:52] D[VPN client] VPNClient[0007] - local TCP address = 192.168.0.3:1174
[09/01/2007 10:03:52] D[VPN client] VPNClient[0007] - SSL connection successfully established
[09/01/2007 10:03:52] D[VPN SSL] Certificate checked, result = 0x00000805, revocation checking disabled in Internet Options
[09/01/2007 10:03:52] D[VPN client] VPNClient[0007] - sending VERSION message, version = 2
[09/01/2007 10:03:53] D[VPN client] VPNClient[0007] - received VERSION message, version = 2
[09/01/2007 10:04:09] Ошибка (161): Сбой аутентификации.
Добавлено:
может есть где описание каким образом это настроить??
в керио выставил импорт из АД пользователей с учетной записью от компа на котором стоит керио.
все нормально, все записи импортируются.
А вот ВПН подключения не пускает. ЕЩЕ вот кусок лога подключения
[09/01/2007 10:03:52] D[VPN client] VPNClient[0007] - connecting to мойдомен.com:4090, username юзер
[09/01/2007 10:03:52] D[VPN client] VPNClient[0007] - server name resolved - ххх.ххх.ххх.ххх
[09/01/2007 10:03:52] D[VPN client] VPNClient[0007] - route to server added, gw = 192.168.0.2 (adapter 0x2)
[09/01/2007 10:03:52] D[VPN client] VPNClient[0007] - local TCP address = 192.168.0.3:1174
[09/01/2007 10:03:52] D[VPN client] VPNClient[0007] - SSL connection successfully established
[09/01/2007 10:03:52] D[VPN SSL] Certificate checked, result = 0x00000805, revocation checking disabled in Internet Options
[09/01/2007 10:03:52] D[VPN client] VPNClient[0007] - sending VERSION message, version = 2
[09/01/2007 10:03:53] D[VPN client] VPNClient[0007] - received VERSION message, version = 2
[09/01/2007 10:04:09] Ошибка (161): Сбой аутентификации.
Добавлено:
может есть где описание каким образом это настроить??
Всех с прошедшими и наступающими!
Какие настройки в Керио и аутлуке поставить чтобы только почта ходила? Инет работает. В аутлуке ставлю IP сервера. А что и где поставить в керио?
Какие настройки в Керио и аутлуке поставить чтобы только почта ходила? Инет работает. В аутлуке ставлю IP сервера. А что и где поставить в керио?
TomAlex
Да легальный, да MS, да лизензии не временные.
На другом удаленном терминале та же ситуация. Коннект появляеться и всё.
Т.е. в 2х разных местах что одинаково и одновремменно произойти не могло. Выввод проблема у меня в сети откуда пытаюсь подключиться.Раз коннект на удаленной машине в Керио появляеться значит запрос RDP доходит а вот почему клиент в моей сетиего не подхватывает?Может криво маршрут работает?И в моей сетке Керио не знает куда слать ответ?
Да легальный, да MS, да лизензии не временные.
На другом удаленном терминале та же ситуация. Коннект появляеться и всё.
Т.е. в 2х разных местах что одинаково и одновремменно произойти не могло. Выввод проблема у меня в сети откуда пытаюсь подключиться.Раз коннект на удаленной машине в Керио появляеться значит запрос RDP доходит а вот почему клиент в моей сетиего не подхватывает?Может криво маршрут работает?И в моей сетке Керио не знает куда слать ответ?
TomAlex
Хосты доступны. Наружу пока разрешил все сервисы. При отключении одного внешнего интерфейса траффик прет по второму. Собсно чего и хочется. Но через первый работает почта и DNS. Как только его включаешь- прощай второй канал (хоть и выставлен Primary). Пробовал в полиси выставлять Destination только второй канал. Тогда ваще никто никуда не идет (пока первый не вырубишь). Кто-нибудь работает на двух перманентных внешних каналах? А то приходиться шейпить юзверей
Хосты доступны. Наружу пока разрешил все сервисы. При отключении одного внешнего интерфейса траффик прет по второму. Собсно чего и хочется. Но через первый работает почта и DNS. Как только его включаешь- прощай второй канал (хоть и выставлен Primary). Пробовал в полиси выставлять Destination только второй канал. Тогда ваще никто никуда не идет (пока первый не вырубишь). Кто-нибудь работает на двух перманентных внешних каналах? А то приходиться шейпить юзверей
nii294
Так всё делает по мануалу вобщемто.
У меня всё ок при этом.
Не совсем ясно где у вас такой косяк, может гдето юзаются русские логины пароли а?
Так всё делает по мануалу вобщемто.
У меня всё ок при этом.
Не совсем ясно где у вас такой косяк, может гдето юзаются русские логины пароли а?
sa19
Цитата:
Маршруты, конечно, важны, но не были бы прописаны, вообще соединения не было бы. Путь ответного пакета не зависит от маршрута -- он приходит на рутер и пересылается на хост в соответствии с таблицей запроса.
С рутера (там где керио стоит) точно все работает?
А если поставить вопрос по другому?
ТС в и-нете находится, или просто две сетки, разделенные рутерами?
Добавлено:
rudback
Мне по крайней мере не удалось заставить керий корректно работать с двумя каналами.
Имхо -- крупные надоработки у них с коннекшн файловер.
Получится -- отпишись, интересно будет посмотреть.
Перечитал саму постановку задачи... А вообще-то нужен тебе файловер? Может просто прописать в трафик полиси: и-нет через один интерфейс, почта и ДНС -- через другой?
Цитата:
Может криво маршрут работает?И в моей сетке Керио не знает куда слать ответ?
Маршруты, конечно, важны, но не были бы прописаны, вообще соединения не было бы. Путь ответного пакета не зависит от маршрута -- он приходит на рутер и пересылается на хост в соответствии с таблицей запроса.
С рутера (там где керио стоит) точно все работает?
А если поставить вопрос по другому?
ТС в и-нете находится, или просто две сетки, разделенные рутерами?
Добавлено:
rudback
Мне по крайней мере не удалось заставить керий корректно работать с двумя каналами.
Имхо -- крупные надоработки у них с коннекшн файловер.
Получится -- отпишись, интересно будет посмотреть.
Перечитал саму постановку задачи... А вообще-то нужен тебе файловер? Может просто прописать в трафик полиси: и-нет через один интерфейс, почта и ДНС -- через другой?
TomAlex
Дык если бы так работало , так и хрен бы с ним. Через полиси не получается. Как только не изголялся. Делаю HTTP на второй интерфейс из локалки, правило ставлю первым. Керька на него ложит и прет по первому интерфейсу.(дальше правило на оба интерфейса стоит, его отключал - ваще тишина)
Дык если бы так работало , так и хрен бы с ним. Через полиси не получается. Как только не изголялся. Делаю HTTP на второй интерфейс из локалки, правило ставлю первым. Керька на него ложит и прет по первому интерфейсу.(дальше правило на оба интерфейса стоит, его отключал - ваще тишина)
rudback
Я работаю. Тоже в свое время заманался, пока не понял идею керио. Дать скриншот моих настроек?
Я работаю. Тоже в свое время заманался, пока не понял идею керио. Дать скриншот моих настроек?
Arakcheev
давай, мне тоже любопытно
давай, мне тоже любопытно
rudback
Как сделано у меня:
и-нет только через прокси
правило на ХТТП:
source:Firewall
destination: WAN1 Connection
service: HTTP, HTTP Proxy, etc.
action:Permit
PI Default
почта (мдемон), правда, на другом серваке, привязана к внутреннему ИП (это может оказаться решающим, почему у меня работает)
правило на отправку почты:
source:внутренний ИП
destination: WAN2 Connection
service: SMTP
action:Permit
NAT(внешний ИП почты, соответствует MX записи)
PI None
правило на прием почты:
source:WAN2 Connection
destination: (внешний ИП почты, соответствует MX записи)
service: SMTP, POP3, IMAP
action:Permit
MAP внутренний ИП
PI None
Как сделано у меня:
и-нет только через прокси
правило на ХТТП:
source:Firewall
destination: WAN1 Connection
service: HTTP, HTTP Proxy, etc.
action:Permit
PI Default
почта (мдемон), правда, на другом серваке, привязана к внутреннему ИП (это может оказаться решающим, почему у меня работает)
правило на отправку почты:
source:внутренний ИП
destination: WAN2 Connection
service: SMTP
action:Permit
NAT(внешний ИП почты, соответствует MX записи)
PI None
правило на прием почты:
source:WAN2 Connection
destination: (внешний ИП почты, соответствует MX записи)
service: SMTP, POP3, IMAP
action:Permit
MAP внутренний ИП
PI None
TomAlex
Цитата:
Один просто комп с Керио и терминал сообственно на нем,2ой сетка за Керио Терминал внутри сети на керио мапинг на терминальный сервер.
Да с роутера все точно работает, изнутри моей сетки нет.
Цитата:
А если поставить вопрос по другому?
ТС в и-нете находится, или просто две сетки, разделенные рутерами?
Один просто комп с Керио и терминал сообственно на нем,2ой сетка за Керио Терминал внутри сети на керио мапинг на терминальный сервер.
Да с роутера все точно работает, изнутри моей сетки нет.
Arakcheev
Давай конечно. А то чего-то шибко мудрено у них.
Добавлено:
Arakcheev
Давай конечно. А то чего-то шибко мудрено у них.
Давай конечно. А то чего-то шибко мудрено у них.
Добавлено:
Arakcheev
Давай конечно. А то чего-то шибко мудрено у них.
All
Вот мои трафполиси для работы на двух перманентных каналах.
http://rapidshare.com/files/11031307/kerio_t.zip.html
Вот мои трафполиси для работы на двух перманентных каналах.
http://rapidshare.com/files/11031307/kerio_t.zip.html
sa19
Цитата:
Тогда НАТ зачем?!!
ИП в одной подсети находятся? -- тогда нафиг и НАТ и маппинг!
в разных -- тоже нафиг, только нужно убедиться, что маршруты прописаны и ДНС резолвится.
Не надо плодить сущностей сверх меры.
НАТ и маппинг стоит применять только для отображения реальных ИП на локальные.
но это так, лирика.
по делу -- открыть все, поставить лог пакетов и уже по логу анализировать чего ТС не хватает.
У меня все в подобной ситуации работает. Только клиент не микрософтовский.
А что касается продуктов М$, то 60% проблем возникает, как я уже говорил, от нечеткой работы ДНС и отсутствия маршрутов.
Цитата:
Один просто комп с Керио и терминал сообственно на нем,2ой сетка за Керио Терминал внутри сети на керио мапинг на терминальный сервер
Тогда НАТ зачем?!!
ИП в одной подсети находятся? -- тогда нафиг и НАТ и маппинг!
в разных -- тоже нафиг, только нужно убедиться, что маршруты прописаны и ДНС резолвится.
Не надо плодить сущностей сверх меры.
НАТ и маппинг стоит применять только для отображения реальных ИП на локальные.
но это так, лирика.
по делу -- открыть все, поставить лог пакетов и уже по логу анализировать чего ТС не хватает.
У меня все в подобной ситуации работает. Только клиент не микрософтовский.
А что касается продуктов М$, то 60% проблем возникает, как я уже говорил, от нечеткой работы ДНС и отсутствия маршрутов.
Arakcheev
Очень интересно. Ща начну эксперименты. Один вопросик- как насчет настроек шлюзов и метрик на внешних интерфейсах? Чтобы эксперимент совсем уж был полным.
Очень интересно. Ща начну эксперименты. Один вопросик- как насчет настроек шлюзов и метрик на внешних интерфейсах? Чтобы эксперимент совсем уж был полным.
Цитата:
Один просто комп с Керио и терминал сообственно на нем,2ой сетка за Керио Терминал внутри сети на керио мапинг на терминальный сервер
Это удаленые терминалы и сети к которым я цепляюсь
Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869
Предыдущая тема: Microsoft Exchange Server
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.