» Kerio WinRoute Firewall (часть 2)

Winroute 6.3.0 не крякнутый (триал). Втянул Юзверей через Active directory. Не могу залогиниться под этими пользователями, в логах Security "Invalid passwd for NT\kerberoes User" пароль ввожу правильный под этим же паролем и втягивал пользователей.

Добавил машину в домен заработало!!!

туннель подключен, серваки пингуются только по айпи которые получили от керио (Kerio VPN), компы в сетевом окружении не видны, каковы причины могут быть?

Добавлено:
Lan1 192.168.0.10-99 внешайпи: 88.88.88.88
Lan2 192.168.0.100-200 внешайпи: 77.77.77.77
это разные офисы

туннель подключается, пингуются серваки только по айпишникам, которые им выдал керио! по айпишникам локалки не пингуется, в полисах да серваках разрешен обмен между этими внешними айпи и файрволом (всё разрешено туды-сюды), в локалках разрешены туннели и там и тут. При этом пинга нет ни поайпи в локалках, ни по именам днс. Я не вижу в сетевом окружении компы через туннель. В чем может быть проблема?

AFT
vimaret
Ребята, бросьте морочить себе голову с KerioVPN. Там столько глюков и ограничений... проще забить. PPTP от Винды тоже имеет несколько маленьких подлостей .Проще (и надёжнее) поставить OpenVPN, один раз потрахаться, настроить и забыть навсегда. Почитайте http://forum.ru-board.com/topic.cgi?forum=8&bm=1&topic=0152#1 И ещё, протокол GRE (Виндовый VPN) блокируется некоторыми провайдерами (мобильными точно), поэтому трижды подумайте, нужен ли он Вам. Будут вопросы - милости прошу в ПМ (или асю)

Кто-то на мой вопрос ответит!!!

Artcv
Если ты по поводу скорости, то я юзаю)))
Ограничени скорости устанавливаеться на один коннект, и срабатывает при привешении трафика за единицу времени.

Artcv
Это появилось в версиях 6.2.Х Раньше не было.

Fizik512

напремер я могу 512 кбит/c нарезать: 3 по 128 и 2 по 64 кбит/c????

Artcv
Нет! Ты можешь поставить только ограничение на коннект или на один поток (для ясности к примеру Dmaster по дефолту качает в 5 потоков) причём ограничение на скорость будет срабатывать при привешение скачивания, например при тех же 128Кб за некое время к примеру 5 сек.

коллеги, я смотрю - и в этой теме, и в смежных, несколько раз поднимался вопрос по protocol inspector, но что-то вразумительных решений нет.
вот например здесь:
http://forum.ru-board.com/topic.cgi?forum=8&topic=20101 была ситуация из той же серии, вроде... только там виноватым объявили, возможно и справедливо, персональный файер машины. в моем случае такого нет, винрут стоит на сервере единственным файером. но проблема по описанию уж больно знакомая.

так вот, кто знает - между линейками 6.1 и 6.2 есть разница в логике работы этих самых инспекторов протоколов?
описываю собственно проблему.

в основных правилах стоит достаточно обычный руль с названием, допустим, 'HTTP out', который разрешает соединения по стандартному сервису HTTP [машинам из LAN] и Firewall куда угодно через NAT, установлен protocol inspector в default, считаются коннекты.
в политиках HTTP ряд правил, в настройках - обязательная авторизация пользователей.

через браузер все отлично - неавторизованные пользователи лезут на сайт, их перебрасывает на страницу авторизации - и дальше вперед, все отлично.
но. в коннекшн-логе вдруг были обнаружены записи о подключениях без указания пользователя. казалось бы - откуда? проверяю политики HTTP - вроде все нормально, но для гарантии ставлю запрет всего и вся... и, все правильно, - через браузер больше никуда не выйти. но записи идут.
они - от обновлений антивиря на машинах и Google Desktop, который сильно скучает по родным гугловским серверам.
для окончательной проверки рублюсь телнетом на 80-й порт - все так, в коннекшн-логе появляется строчка об успешном обмене пакетами, "виновным" объявляется на тот самый руль 'HTTP out'.
netstat также свидетельствует в пользу коннекшн-лога.

то есть, как я понимаю, теперь инспектор, в данном случае HTTP, включается, только если по 80-му передаются некие "стандартные" HTTP-запросы, а во всех остальных случаях стыдливо молчит и разрешает дефолтный action руля?

но ведь я не сошел с ума вроде, раньше-то, в 6.1.x, было по-другому? ведь именно тогда мне пришлось выбросить в отдельное правило HTTPS-запросы, иначе их глушил инспектор, пришлось для антивиря собирать список его апдейт-серверов в группу и создавать отдельный руль без инспектора.

если так - то может кто-нить знает - как же тогда реализовать фичу с автоматическим редиректом на авторизацию?
а если я ошибаюсь - подскажите, плз, где же я мог так накосячить?

заранее благодарен.

--UPD--
нет, как-то по-другому дела обстоят.
по всей видимости, ответные пакеты все-таки блокируются.
может быть, в такому случае, руль разрешает прохождение SYN-пакетов, но вот инспектор отвечает за открытие порта на вход, чего не происходит и такое неавторизованное соединение, нагнав некоторое количество служебного трафика, потом тихо умирает, оставляя причудливые следы в логе?

Может уже спрашивали, но в ФАКе не нашел:
мне надо открыть доступ к моему сайту. Сайт расположен на том же сервере, что и KWF. Сервер не является контроллером домена. Есть один внешний IP.
Ткните, где почитать, пожалуйста. Или м.б. кто-то на пальцах сможет растолковать, что и где прописать надо.
Буду весьма признателен.
Спасибо.

туннель подключен, серваки пингуются только по айпи которые получили от керио (Kerio VPN), компы в сетевом окружении не видны, каковы причины могут быть?


Lan1 192.168.0.10-99 внешайпи: 88.88.88.88
Lan2 192.168.0.100-200 внешайпи: 77.77.77.77
это разные офисы

туннель подключается, пингуются серваки только по айпишникам, которые им выдал керио! по айпишникам локалки не пингуется, в полисах да серваках разрешен обмен между этими внешними айпи и файрволом (всё разрешено туды-сюды), в локалках разрешены туннели и там и тут. При этом пинга нет ни поайпи в локалках, ни по именам днс. Я не вижу в сетевом окружении компы через туннель. В чем может быть проблема?

nag
на 72 стр. сайты есть мож поможет.

Добрый всем день!
Такая проблема у меня. Поставил я KWF. Создал правила
1. я в инет (Firewall - Sirius)
2. локалка ко мне (local - Firewall)
3. я в локалку (Firewall - local)
4. локалка в инет (local- Sirius) (NAT dafault)

Все работает. Все компы из локалки при прописании шлюза видят инет. Вне зависимости от того, прописан их IP в users или нет. Меня это очень не устраивает. Я хочу, чтобы доступ был только с определённых IP. Даже если на недозвоненных IP правильно прописан шлюз.
А если (NAT dafault) выключаю, то вообще из компов в сети в инет пробиться не могу, не взирая на то, что их IP прописаны в users.

Очень прошу, подскажите, как ограничить права доступа - а именно - разрешено только с определённых IP. Как должны выглядеть правила??
С уважением
Сергей

День добрый Уважаемые
подскажите возможно ли такое сделать на керио
машина с win xp sp2
к ней зацеплен модем adsl который вяжиться Dial-Up PPP Connection
и сетка смотрящая в локалку
и так на эту машину хочеться поставить керио для раздачи инета и как фаер
позволяет ли керио сделать это и что бы все работало. если не сложно ссылку где почитать

123Maximus123
Да, позволяет. Отлично работает. Я так на работе сделал. Интернет на машине с ХР, сетка ходит в инет.
Единственное, в сетевых подключениях всех компов, кому надо в инет, настрой шлюзом комп с инетом. Потом в Керио мастер и словарь английского языка тебе помогут.



Добавлено:
Serg1212
У меня такая же проблема была, но никто мне не ответил.
Я сделал так.
1. В DHCP сервере сделал резервирование компам, которые должны ходить в нет. Указал им шлюзом комп с интернетом. У остальных оставил 192.168.0.1
2. В Traffic Policy вместо LAN указал Authenticated users.
3. В самый верх правил добавил ещё один руль: Local Ident | Dial-in, LAN, WLan | Firewall | Ident | Permit.
Не знаю, что делает этот протокол Ident, но после него заработала идентификация пользователей.

Добавлено:
nag
Делаешь в трафик полицае руль, разрешающий из Internet доступ к Firewall по протоколам http и https. Само собой, у тебя на машине должен быть установлен web-сервер. Хотя бы встроенный в винду IIS.

vimaret Основная сеть 10.10.10.Х/255.255.255.0 - офис (главный)... Инет - 80.80.80.Х. Чистый от прова. В локалке 10.10.10.х на KWF поднят VPN сервер и сеть у него 172.17.1.Х. Сам керио выбрал... Значит VPN сервер имеет адрес 172.17.1.1. Клиетнт по сети 10.10.10.х (технологич. сеть) подключается по локалке к керио VPN серверу... И получает IP 172.17.1.20 данный при его регитсрации в керио. Клиент через керио VPN клиент подключается к серверу... 1.2.3.4.-N (172.17.1.N) клиентов. Между собой пинг идет по 172.17.1.x сетке через VPN. Как их этих 172.17.1.х клиентов проключить в инет... 172.17.1.X->Inet. Сеть 10.10.10.X получается как транзитная сеть. Она только для главного офиса. А филиалы через VPN. Вот в чем соль... Есть локалка внутри поднят впн и его надо проключитьв инет... усе...

to BarsukovAV.
Спасибо за совет, разбираюсь.
Но дело в том, что у меня DHCP выключен, включать его не хотелось бы...
У компов в моей локалке не динамические IP, а статические.
Что посоветуете?

Serg1212
а что мешает вместо [локальный интерфейс] -> [инетовский интерфейс] через NAT
собрать нужные машины по айпишникам в отдельную address group, к примеру, [inet-allowed comps] и правило заменить на [группа inet-allowed comps] -> [инетовский интерфейс] через NAT?
и не надо никакой авторизации... если список разрешенных машин изменится - просто исправите список...



Добавлено:

Цитата:

DHCP выключен, включать его не хотелось бы...

зря вы так не любите DHCP. кстати, встроенный в KWF очень даже неплохо работает.

Как настроить Vpn на WinRoute 6

http://rapidshare.com/files/24094602/____________ue_Vpn____WinRoute_6.rar.html

Serg1212
Посоветую тоже самое, что и раньше, только пункт 1 опускаешь...

не всё выходит. Ситуация такая - есть nat - машину в инет пускает. Нет nat - не пускает.
Вне зависимости от того, прописана её ip в пользователях или нет. А нельзя ли без nat обойтись?

Хочу настроить обновление макаки через редиректы... Где в KWF редиректы настроить???


Добавлено:
Serg1212
Либо NAT, либо прокси-сервер. НАТ удобен своей прозрачностью. Прокси требует настройки каждого клиента, и далеко не все программы работают через прокси.

Serg1212
без nat не обойдешься
все просто делается: создается address group, нужные айпишники добавляются в данную группу и создается правило, которое разрешает данной address group выход в инет через nat

Где настроить редиректы урлов???

BarsukovAV
в хттп-полиси все настраивается... делаешь новое правило, ставишь запрещать и на 2ой вкладке окна ставишь урл куда редиректить...

Цитата:

aljd

А NAT по дефолту надо прописывать? В смысле - там Radiobutton выбора - один и вариантов . Второй обычно у меня стоял - NAT по дефолту. Или нужен другий выбор - позиции 3 или 4?

Есть у кого крек на Kerio WinRoute Firewall 6.3.0.2683????? Просьба выложить...

tootooy123
в варезник

Serg1212
там можно выбрать либо default gateway, либо явно указать внешний сетевой интерфейс(например, если у тебя на сервере их несколько и ты хочешь чтобы пакеты летели именно в выбранную сетевушку)