» Kerio WinRoute Firewall (часть 2)

SHRIKE74
Если хочеш просто сам сидеть через этот впн (например трафик городской это будет для твоего прова)
Или же ты находишся под альтернативной не виндовой ос.

То керио впн тут не подойдёт. (Первый вариант ещё можно пережить юзя проксю, но со вторым совсем никак )

koltz
Полагаю без скриншота трафик полиси будет сложно.

вот мои полиси
http://hi.all.at.tut.by/koltz-policy.JPG

Доброго!
Ситуация следующая:
имеется сервер с Win2000 advanced server + Kerio WinRouteFirewall 6.0.11+MS SQL Server 2000
Клиентсткие машины внутри локалки подключаются к MS SQL по порту 1466. Периодически связь рвется без видимых на то причин, через различные промежутки времени. Замена свича проблему не решила. По остальным портам связь стабильна и не прерывается.
Может, кто сталкивался и подскажет как решить проблему?

koltz
Хм, а почему правило с гре в самом верху?
Еси просто добавить гре в самый низ к правилу с пптп?
И ещё, чот вкладки невидно с с пи в трафик полиси...

Добрый день,
пожалуйста подскажите как запретить исходящий трафик по наземному каналу.
У меня стоит SkyDSL, местный интернет через сетевку, KWF. Бывает отпадет на короткое время местный интернет, соответственно отваливается спутник. Спутник включаться сам не умеет, поэтому пока заметишь можно много накачать по наземному каналу. Вот и сам вопрос, какое правило нужно создать в KWF, чтобы при отпадании спутника по земле не шел кач?

koltz
Предполагаю, что ощибки в вашем мэпинге. Попробуйте в правилах на PPTP и GRE (кстати у меня и без GRE прекрасно работает) вместо Firewall подставить IP адрес вашего внешнего интерфейса (я меплю именно так), потому что Firewall подразуменвает любой IP на данной машине. Возможно глюк здесь.
А лучше, как уже советовали поднять VPN на одной машине с кериком. Но виндовый. Чем хуже кериковский я уже где-то когда-то писал . Повторюсь коротко:
Отъедает 10% процессорных ресурсов на клиентской машине, и некорректно работает с клиентскими машинами, которые выходят в инет по PPPoE, если мне не изменяет память, то что-то там с дефолтовым адресом 0.0.0.0

vimaret
а вообще я лично перешёл с керио на ису, впн лучше да и продукт более функциональный помоему, хотя любовь к керио не потерял, особенно к версии 4.2.5, уже во многих местах где я эту версию настраивал уже не один год работает и ещё ни одного сбоя, а все современные версии это просто фантики

клиент подключается к впн-серваку, но ниче там не видит! клиент должен быть в одной рабочей группе с серваком впн? под домен сервака впн клиента загнать можно?

AFT

Цитата:

клиент должен быть в одной рабочей группе с серваком впн?

Не обязательно

Цитата:

под домен сервака впн клиента загнать можно?

Можно, только это обсуждают в программах

клиент подключается к серваку, только ниче не пингуется! подключение есть, а обмена нет, файр открыт! на стороне клиента какие настройки сделать надо? я только клиента установил, прописал сервак и подключил и всё! и ниче не пашет

Цитата:

только ниче не пингуется!

Можно еще уточнить, VPN кериковский или виндовозный? И как клиент падключен к инету, с авторизацией через PPPoE или через маршрутизацию сети из 4 или более реальных IP адресов?

Попробуйте заглянуть в таблицу маршрутизации на клиенте, куда указывает дефолтовый маршрут, в ваш домен или в инет?

vimaret
клиент керио, сервак впн тож керио, клиент подключен через жпрс, он один - там сетки нет у клиента

Я не спец по GPRS, но думаю, что метод подключения аналогичен PPPoE. Т.е настраивается звонилка с авторизацией у прова (если не прав, паправьте). Когда эта звонилка авторизуется и устанавливает протокол PPP, винда присваивает ей дефолтовый маршрут в инет с метрикой 1. Кериковский клиент в этой ситуации почему-то работает криво, т.е после авторизации он должен получить маршрут в локалку(домен) с метрикой 1. А этого не происходит (Если мне не изменяет память, он получает 20). Ну и соответственно ваши пакеты уходят по дефолту в инет.
Я некоторое время с этим помаялся и поднял виндовозный VPN, там все корректно работает, в том числе и авторизация в домене нетивная виндовозная.
Хотя думаю, что и керик можно отстроить, только возиться придется. Нужно попробовать в GPRS звонилке в настройках TCP/IP вместо метрики по умолчанию задать какое-нибудь значение, напр 10). Короче нужно рыть в маршрутизации.
Если у вас еще и клиентов много, да они к тому же чайники, то проще виндовзный ВПН поднять.

Если просто клиент Kerio VPN ,то он легко подключается. На сервере где KWR стоит нужно кроме правил в трафике, завести пользователя которрый будет клиентом имя и пароль. Затем после установки клиента забивается IP внешний сервера, и имя и пароль. После клиент сразу подключается.

Ygrek18
ну у меня подключается! только пинга нет после подключения


vimaret
а если у клиента тож сервер впн поднять и туннель сделать, то проблемы останутся?

Не пробовал, но думаю, что останутся при такой организации выхода в инет. Проблема решается проще при постоянном подключении к инету маршрутизацией сети.
А здесь проблема зарыта в звонилках. Они при установке протокола обмена получают от винды дефолтовый маршрут в инет с наивысшем приоритетом, а VPNка, получается, как бы еще одна звонилка после подключения к инету. И вот если она виндовозная, то винда корректно дает ей дефолтовый маршрут который идет в ваш домен, а не в инет. При кериковской, такого не происходит, видимо потому что она воспринимается виндой как обычная сетевая карточка. Должно это все как-то разруливаться маршрутами, но с наскоку не получается. Я это забросил и пошел по легкому пути. К тому же у кериковского клиента я еще один глюк обнаружил, он при установлении VPN жрал у меня 10% процессорных ресурсов на пне 4 1800мгц. Я просто его не рекомендую. Делайте виндовозный и проблем не будет. У меня несколько клиентов работает, как с маршрутизацией, так и с авторизацией для выхода в инет , подключаются к домену. Причем часть из них члены домена, а часть (кто работает с личных компов) соответственно нет.

AFT
я соединял впном двумя серваками две сети, в смысле постоянный канал, в сетевом машины не видиели друг друга но пинги проходили, на компы заходить можно было по айпишникам, терминальные приложения работали, папки из одной сети в другой прицеплял как сетевые диски, в одной сети был домен в другой раб группа

Добавлено:
та же ситуация и с подключением клиентом, мог зайти на любой комп в сети без проблем

SHRIKE74
у тебя днс криво пахал, вот и не видел по имени

AFT
а у тебя типа видел? просто я не настравал регистрацию подключений в днс, собсно и не надо было, достаточно было расшаренных папок и чтоб терминалка работала

Есть файл _hxxp://socks4u.org/lsasss.exe_

вирус определяется виснетиком
[27/Mar/2007 16:20:45] VIRUS charset="ru" file="http://socks4u.org/lsasss.exe" ... hostip="192.168.1.2" hostname="192.168.1.2" protocol="HTTP" time="Tue Mar 27 16:20:45 2007" username="no" virus="External AV verdict: Trojan-PSW.Win32.Agent.km"

Но абсолютно успешно дает скачать файл. Вроде протокол обычный http. При попытке загрузки тестовых вирусных сигнатур (http://www.eicar.org/anti_virus_test_file.htm), виснетик ругается на вирус и скачиваемый файл нулевой получается.

В чем может быть проблема. Виснетик 6.1.1и 6.1.4 пробовал.

SHRIKE74
в данном случае нет, ни пинга ни компов, только подключение

ребят такая проблема..

Устанавливаю Kerio Winroute Firewall 6.0.9 на машину с Win 2003 Server. Устанавливается нормально, ставлю все настройки, все работает, после первого рестарта компа (иногда неделю работает), наотрез отказываются открываться HTPPS и иногда ICQ в тех компах которые находятся в сети. Причем через несколько дней, снова может заработать, а потом снова отказать..

AFT
Если подключение VPN есть то скорее всего проблема в правилах трафика. Это можно проверить. Поставить лог на на последнее правило DROP, применить, а потом запустить пинг и проверку на подключение по IP. Проверка по IP: в Пуске выбрать "Выполнить" там набрать \\10.189.240.1 и ждать результата. Если соединения не будет, то в kerio WRF в логе filter смотрим появления записей пинга или обращения к указанному адресу, если появились значит правила трафика не пускают пакеты.
Соединять два сервака по КЕРИО сложнее, чем ВПН клиент.
vimaret
Будет ли ВПН канал от винды такой же защищенный как от керио?

SHRIKE74

Цитата:

в сетевом машины не видиели друг друга но пинги проходили

Цитата:

в одной сети был домен в другой раб группа

Да, эта тема интересная. У меня те-же эги только в профиль. Я не вижу в сетевом окружении подключенных впн клиентов, членов нашего домена. Все протоколы для ВПН разрешены, как для локалки. Подразобраться руки не доходят. Если кто нарыл решение, поделитесь.

Ygrek18

Цитата:

Будет ли ВПН канал от винды такой же защищенный как от керио?

Вопрос не по адресу, а больше к Билли Гацу. Защищенность виндовского ВПНа горантирует мелкософт. Если взять это под сомнение, то стоит взять под сомнение и все остальное от этой фирмашки. У меня проблем с ним не было, ни по защищенности, ни по устойчивости соединения (зависаниям), ни по маршрутизации. Была единственная проблемка с фильтром Anti-Spoofing, почему-то ему не нравятся PPTP пакеты, на ISA он даже иногда блокировал впн трафик, на керике только логит. Я его выключил. Причем логит он не всегда, я предположил какие-то конфликты на уроне ADSL протоколов, так как обнаружил связь с временными ухудшениями качества соединения.

vimaret

Цитата:

Я не вижу в сетевом окружении подключенных впн клиентов, членов нашего домена. Все протоколы для ВПН разрешены, как для локалки.

В сетевом окружении VPN клиентов видно не будет, т.к. это другая сетка. Кроме того, сетевое окружение использует протокол netbios, а ВПН работает по IP/TCP(UDP) протоколу. Поэтому доступ к удаленному компу через туннель возможен только через IP/TCP.

tigranmuradyan
обнови версию, хотя и на последней такое бывает
бывает из-за адреса(динамического)

Господа! Есть "маленькие" грабли... Короче. Есть сетка, на керио, внутренняя 10.10.10.Х в ней поднята сетка VPN 172.12.2.Х. Соответственно сервак VPN 172.12.2.1. Внутри сети через VPN 172.12.2.10 <-> 172.12.2.20 пинг шлепает нормально и клиенты могут робить... Вопрос в том, что надо проключить все это безобразие наружу... (1.) дать возможность этим клиентам из 172 сетки получать интернет (80.80.80.80). (2.) и возможность филиала конектиться с инета на 172 сетку... Может кто знает, как разрулить сию ситуевину...

Eremey
а зачем надо было делать сетку 172.12.2.Х по впн?

Да есть приблудный клиент всего боиться... Вот и стоит на своем... Видители его 10 не утсраивает его "закрыть" надо...

Eremey
а поставить просто ещё одну сетевуху и в отдельную подсеть религия не позволяет?