» Kerio WinRoute Firewall (часть 2)

Добрый день! Есть такой вот вопрос. На интернет-машине стоит Kerio Winroute Firewall 6.3.2 и на ней же стоит Kerio Mail Server 6.1.0. Хотел обновить Kerio Mail Server до версии 6.3.1. После того как обновления стали, САМ Kerio Winroute Firewall начал выдавать ошибку со следующим кодом :"code 1053 " и ерестал запускатся. Кто сталкивался с такой проблемой прошу помочь!!!!

Добавлено:
Я извеняюсь Kerio Winroute Firewall 6.2.3

Подскажите, нормально ли функционирует топик версии 6.x на Windows 2003 Server, с настроенным RRAS, используемом IPSec и PPTP VPN?

tcup
да, использую его уже как год, все нормально - глюков не замечено!

Вопрос:
есть машина под керио и к ней же спутниковая карта подцеплена.
На ип адрес (реальный) спутника настроен почтовый сервак (почтовый сервак стоит в нутри сетки), т.е. по спутнику мы качаем почту. Но вот сейчас проблема, коннектится все нормально и инет с этого сервака юзается, а вот кто хочет нам почту отправить - не получается. Они подконнекчиваются к моему серваку, и висят там пока по тайм ауту не вылятят!
В правилах стоит такое:
все коннекты со спутниковой карты - на хост фаервола - по порту 25 - перенаправлять (map to) внутренний ип почтового сервера.

на почтовом никаких фаерволов нет! может сервис какой поднять надо?
сервак 2003, почтовый эксчендж 2003

еще отдельный вопрос, может конечно не в тему...
можно ли 2 сайта прикрутить на 1 сервак? с 1 ип адресом!

vidoq123
можно... apahe + virtualhosts ... керио тут не причём

Mikes
про апач знаю, забыл написать что это нужно сделать под IIS на Win2003
а про kerio, так у меня некоторые сайты внутри сетки, и чтобы на них переводить пользователей из Интернета, приходится использовать Керио - вот только нехрена не получается(

vidoq123
iis тоже умеет виртуал хосты

У кого нить получилось "скрестить" КАВ 6.0 с винроутом? Чтобы кав проверял весь трафик.. проходящий через винроут? После применения патча, так называемого PatchOB они в принципе заработали в паре, НО! При условии что winroute.exe добавлен в доверенные приложение и не контролируется его сетевой трафик. Иначе каспер перехватывает все HTTP запросы.. и на этом все становится.. Т.е. в логах веб-антивируса в каспере вижу что да..идут запросы..т.е. загружаются странички, он их проверяет.. и на этом всё! Дальше никуда не идёт ничего, т.к. конечный пользователь не получает ответа от винрута.. Блин. Как побороть это? Очень хочется чтобы каспер монитор трафик и пр. на вирусы а не полудохлый плагин от виснетика, который не поддерживает и половины фич которые есть в кав 6.0..

Добавлено:
Только просьба не давать советов перейти на другие антивири которые поддерживает винроут.. Хочется именно КАСПЕРА! 6.0.. По ряду причин. Встроеный плагин для каспера в винруте нифига не работает..

Добавлено:
Мысль есть одна по этому поводу.. после экспериманта:
Снимал галку в довереных приложениях с файла winroute.exe и что? Наблюдаю следующее: в КАВ 6.0 в логах веб-антивируса вижу что странички прокачиваются..т.е. он их "видит"!!!!! Т.е. прокачивает index.html "разбирает" его.. прокачивает картинки и прочие объекты на страничке.. везде все проверяте говорит Ок.. В винруте наблюдаю следующее: в Status - Hosts/Users на host name = Firewall вижу кучу соединений по 80 порту... помните проблему с трафик инспектором 25 порта и проверкой почты на лету каспером? Конфликт был.. т.е. куча открытых соединений по 25 порту..и ..тишина. Почту получить было не возможно пока не отрубишь trafic inspector в сервисах винроута у сервиса SMTP.. позже проблему кериовцы решили как то.. Так вот тут такая же фигня наблюдается, соединений дофига.. а толку чуть. Такое ощущение что каспер после проверки "не отдаёт" трафик винруту.. как бы его заставить это делать? %)

есть такая програмка хамачи (виртуальное соединеие рабочих груп через интернет, для игор и тд) но ее не пускает на сервере файрвол Kerio WinRoute Firewall убиваю процес файрвола все зеленые индикаторы в хамачи когда файрвол работает синии можеж чем помочь файрвол я сам настраивал но как эту проблему решить не знаю????
хамачи стоит на другому компютере который работает по правилу ПЕРМИТ

Кто-нибудь щупал Kerio WinRoute Firewall 6.3 beta ?
http://www.kerio.com/beta_section.html

Есть некоторые вкусности. цитата

23.01.2007 20:05 / Новости мира ПО

Kerio Technologies объявила о первом выпуске бета-версии Kerio WinRoute Firewall 6.3. Версия находится в свободном доступе, все желающие могут скачать и протестировать ее. Новинка версии 6.3 - статистический модуль StaR (Statistics and Reporting), который позволяет просматривать и распечатывать графики и таблицы со статистикой трафика, посещаемых страниц, использования пропускной способности и многого другого.

Модуль полезен не только для администраторов, но и для руководства, т.к. предоставляет полезную информацию о действиях сотрудников в Интернете в графическом формате. Таким образом, полученные данные проще отображать и распечатывать, что очень ценно для клиентов.

В версию 6.3 также включен новый драйвер межсетевого экрана, что обеспечивает увеличение пропускной способности и позволяет запускать Kerio WinRoute Firewall на 64-битных системах Windows.

Наверное новые возможности и баги + с защитой намучимся

MARSIANIN

Цитата:

распечатывать графики и таблицы

насчет распечатывать я что-то не заметил, можь не глубоко рыл еще, а просматривать можно(если в настроках пользователя разрешишь), правда можно или всю статистику(всех пользователей) или никакую, а чтоб только свою, так нельзя. вэб морда ваще кардинально поменялась. посмотрим что в релизе будет

AnLe
меня больше волнует проблема, почему из внешки не могут попасть на мой внутренний сервак с сайтом.
хотя правила сделаны при помощи кериовского визарда.
что делать то? из-за чего такое происходит, может какой сервис отключен или не установленн?

Прошу вашей помощи - стоит Керио 6.2.2. Есть такая проблема не корректно функционируют правила для пользователей (пользователи внутренней базы керио). Некоректность проявляется в том что если я разрешаю какой либо учетке что-либо, например ICQ, то долступ к ICQ получают ВСЕ учетные записи
Бился часа три

Прошу помощи - совета.

На керио поднят непрозрачный прокси, отвечающий на порту 8080.

Как надо прописать траффик полиси, чтобы дать доступ к этому прокси 2 статическим IP адресам не из локалки, а из мира.

Делал так: создал адресную группу, в которую включил эти два адреса. Назомем к примеру группу VIP-Inet


Имеем traffic Policy
Sourse Destination Service Action Translation

VIP-Inet Firewall 8080 Разрешить Пусто

И не работает. С виповского внешнего стат. IP нет доступа к прокси.

Пробовал делать трансляцию на внутреннй локальный адрес файрвола - не работает.

Есть мысли, рекомендации?!


Т.е. прокси привязать не только ко внутреннему интерфейсу, а и ко внешнему.
Просто на городской траффик дешевый, а на хосте с Винроутом - толстый анлим в мир.

Serg0FFan
1. открыть реестр HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KL1
2. добавить туда DWORD параметр "PatchOB" и установить значение 0
3. перегрузиться
4. проверить работает ли ?
Я до кучи еще в каспере добавил в доверенной зоне, в доверительные приложения это файл WinRoute.exe и C:\WINDOWS\system32\drivers\wrdrv.sys разрешив им все! ...чтобы не было конфликтов.
Но чтобы все совсем хорошо работало пришлось в настройках сети в КАВ6.0 убрать все галки "Контролировать порты" на необходимых портах.

Это всё вышеуказанное Я проделал получилось пасиб... теперь вот что интересно, может ты уже писал но я что то не до конца понял: Я пока контроль портов не выключу всех в каспере (ну может не все, честно говоря я вибирать не стал) нивига инет не грузится... так вот если я порты выключаю, каспер перестаёт их проверять, и как он тогда как антивирусник работает?

Fizik512
Ты какую версию используешь? Я проверял это на 6.0.2.600 билде..бетке. Релизы по моему этого не умеют.. т.е. там обязательно либо отрубить проверку портов либо просто удалить из списка.. В своей сборке ничего этого не трогал.. только добавил winroute.exe в список доверенных.. и все.

Возможно ли опубликовать непрозрачный прокси, встроенный в Kerio на порту 8080 на внешнем (который смотрит в интернет) интерфейсе?

Если да, то как?

Dombay
А чё мешает то?
По умолчанию этот проксик поднимается и слушает на всех интерфейсах, далее уже только в трафик полиси определяеш с какого интерфейса или ипшника можно на нужный тебе интерфейс и порт давать доступ.

На шлюзе стоит KWR 6.1.2. требуется создать VPN соединение стандартными средствами Windows XP наружу, т.е. в интернет через NAT.
Кто так делал, у кого работает?
Сколько не пробовали, не получается, пока KWR не отключишь. Говорят что KWR ломает пакеты VPN.

Bojenov1

Цитата:

Говорят что KWR ломает пакеты VPN

Не верь им! если с отключенным KWR работает, то просто создай нужное правило и всё. Версия на кот это всё у меня работает 6.1.4.1086:
ServiceVPN -> Inet -> firewall -> PPTP,OpenVPN,KerioVPN -> Permit

Некоторое время назад, точнее с установкой 6.2.3 версии, вылезла проблема непрохождения писем по pop3 и smtp с логгированием ошибки вида

Unable to delete mailFilterFree(): d:\programs\inet\kerio\winroute firewall\tmp\wr-email-4590-4.tmp.

Путь естественно у каждого свой. Можно выключить protocol inspector'ов на smtp и pop3 протоколах, а можно таки создать папку tmp, которая почему-то не создается инсталлятором, но возможно тащится из настроек старых версий.

Сорри, если повторяюсь, но может кому поможет.

Привет форумчанам! Такой вопросик, может конечно он уже и звучал, просто нету времени форум перелапачивать. Есть сервак Win2003 с двумя сетевухами, одна смотрит в локалку, другая через маршрутизатор по VPN подключена в инет. Нужно раздать инет с органичениями доступа в локалке. Я так понимаю, что для WinRoute - VPN это тотже диалап, но в интерфейсах при создании диалапа он не видет моего настроеннго VPN. ЧТо делать?

afdenis
а как сетевой интерфейс он видит его?
и когда впн ставили - ставили - для всех пользователей?
алл
многократно поднимался вопрос - о работе по двум исходящим каналам на керио - но так и не нашел реального решения - что бы одни пользватели работали по одному каналу - другие по другому... и вопрос - это проблема винды или керио? если керио - то какие альтернативы?

Добавлено:
birdlazy

Цитата:

Некоторое время назад, точнее с установкой 6.2.3 версии, вылезла проблема непрохождения писем по pop3 и smtp с логгированием ошибки вида

у меня правила протокл инс. отключены всегда еще с того времени когда он мешал прохождению больших писем вообще... и это кстати помогает избежать отключения этих портов при превышении квот пользователям... (то же самое и для аськи)

Hrist
У меня есть решение этой проблемы. Я в офисе как раз два канала имею.

Arakcheev
можно по подробнее - по шагам - как это сделать?
насколько я понял вся байда в маршрутизации - если винда имеет один основной шлюз - она на него все пакеты и шлет - и плюет на правила керио - да и они же только разрешают и запрещают - т.е. принудительно на второй интерфейс не переправляют пакеты...

Добавлено:
Arakcheev
http://rapidshare.com/files/11031307/kerio_t.zip.html
http://rapidshare.com/files/11165911/roure.jpg
ага - т.е. оба интерфейса указываються в правилах - но суть вся в том что бы натить все запросы нужной группе пользователей на нужный интерфейс... хм... нужно будет попробовать...

Цитата:

когда впн ставили - ставили - для всех пользователей?

Спасибо за совет. В этом и была причина. Пересоздал подключение, поставил для всех и все зарабоатало. Еще раз фенкьс.

Цитата:

Как надо прописать траффик полиси, чтобы дать доступ к этому прокси 2 статическим IP адресам не из локалки, а из мира.

Делал так: создал адресную группу, в которую включил эти два адреса. Назомем к примеру группу VIP-Inet


Имеем traffic Policy
Sourse Destination Service Action Translation

VIP-Inet Firewall 8080 Разрешить Пусто

И не работает. С виповского внешнего стат. IP нет доступа к прокси.

Пробовал делать трансляцию на внутреннй локальный адрес файрвола - не работает.

Есть мысли, рекомендации?!

Керио был не виноват. Пришлось "пообщаться" с провайдером и проблема отпала сама собой.

Hrist
Так у меня так и есть. Часть пользователей в один канал, другая в другой!
Там как раз группа WEB на канал2, группа WEB&DOWN на канал1

Hrist
Думаю так можно сделать (мысль..ничего более.. потому не пинать если в чем не прав):
В локалке на одном сегменте прописываем один шлюз например А, на другом сегменте другой - В, т.е. фактически это две сетевые карты на машине с винрутом которые смотрят в локалку.. Так вот часть компов настроена на А часть на В, ну а уже на компе с сабжем настраиваешь маршрутизацию на сетевуху С и Д.. для А маршут на С например, а для В на Д.. Не знаю только как это осуществить, но думаю таблицу марштуров редактировать надо просто ..

Ввот тут ещё есть упоминание про работу с разными каналами одновременно:
http://forum.ixbt.com/topic.cgi?id=7:12821#1091