» Kerio WinRoute Firewall (часть 2)

Привет.
Кто нибудь сталкивался с такой проблемой:
Имеется сервер 2003 НЕ принадлежащий ни к какому домену. На нем стоит KWF (6.3).
Имеется домен и в нем контроллер домена. KWF успешно маппит пользователей и группы из AD контроллера домена, но, при этом не производит аутентификацию по базе пользователей из AD, когда, например, вызывается страничка статистики, т.е. имеем "Authentication: WebInterface: Client: XXX.XXX.XXX.XXX Invalid passwd for NT/Kerberos user YYYYYYY".
Я понимаю, что для разрешения этой проблемы проще всего ввести сервер с KWF в этот домен, но специфика работы такова, что это сделать нельзя.

Вопрос: Возможно ли все таки как-то заставить KWF корректно проверять пароли пользователей из AD котроллера домена? Может надо что-то подкрутить в самом контроллере домена или в KWF?...

PS KWF и контроллер домена находятся в одном IP сегменте...

Вчера вечером обновил у себя в голвоном офисе керио, после чего словил такой глюк:
в удаленных филиалах стала не доступна сеть головного офиса с компьютера где стоит файрволл, причем с остальных компьютеров в филлиале все работает нормально.
Настройки пакетного фильтра остались прежние, пробовал дописывать туда адреса ВПН серверов керио, не помогает. Причем счто самое интересное что компьютер из голвоного филлиала пинговать удаленный сервер может, а наоборот нет.
Кто в курсе что сменили в правилах описания правил в пакетном фильтре ?

подскажите: ставлю 6.3.0(build 2683) - первое окошко инсталятора выскочило, полоса пробежала и все на этом, ни каких движений??
kwf выгружен

Всем добрый день! Не получается всё равно настроить нормально работу в инете для клиентов локальной сети.
Попытаюсь дать полный список настроек... Если сможете - скажите, как правильно..
1. Interfaces
local 192.168.1.13 255.255.255.0 Подключение по локальной сети Realtek RTL
inet 213.179.245.182 255.255.255.10 ukrtelekom NdisWan Adapter
Dial-In
VPN Server

2. Traffic policy
Ident InetUsers (группа это) Firewall Ident Permit
ICMP traffics InetUsers, Firewall inet ping Permit
Локалка в инет InetUsers inet Any Permit NAT default
Я в инет Firewall inet Any Permit
Локалка ко мне InetUsers, local Firewall Any Permit
я в локалку Firewall local Any Permit
Service HTTPS inet Firewall HTTPS Permit
Default rule any any any drop

3. Users
Admin
Naiv -group Inetusers - specific host Ip adresses - 192.168.1.5 (номер IP этой машины в сети)

4. Groups
Inetusers

5. HTTP Policy - Proxy server - отключен (нет галочки в чекбоксе)

6. DNS Forwarder - Enable
Simple DNS resolution - "host file" - включен
DHCP lease table - включен

Спецы, подскажите, пожалуйста, что не так??
Шлюз и DNS на локальных машинах прописаны
Цель, ещё раз говорю , такая - есть пользователь в списке группы Inetusers - есть у него инет. Нету его машины в списке - нет у него инета. Вне зависимости от того, прописан на локальной машине шлюз или нет . А то ситуация такая - то пускает всех подряд, у кого шлюз прописан, несмотря на группу. То вообще никого не пускает - немотря на группу.
Выручайте...

Serg1212
Для этих целей, я завел у себя адресную группу пользователей, которым доступ в инет запрещен, и отдельно для этой группы правило в траффик полиси, запрещающее выход на внешний интерфейс:

1."Блокировать весь Входящий траффик",inet,WithOutInetGroup,any,Deny
2."Блокировать весь Исходящий траффик",WithOutInetGroup,inet,any,Deny

Если не создать правило, запрещающее доступ в инет, то KWF будет считать, что раз нет запрета, так на то и суда нет.



Добавлено:
snayper7
Скорее всего тормоз происходит в момент обновления драйвера VPN...
Я справлялся в этой ситуации так:

Копирую папку с KWF от прошлой версии куда-нибудь, деинсталлю старый KWF... Обычно и тут трабла с деинсталляцией на этапе сноса дравера VPN... Убиваю процесс деинсталла, убиваю папку KWF, убиваю всякое упоминание о Kerio в реестре (некоторые ветви реестра удалятся отказываются, но не проблема, ставлю галочку на Полный доступ в секурити пермишен для "всех" и удаляю ветку... Удаляю из Sisyem32\Drivers\kwf*.* удаляю из Windows\inf\oem*.inf в которых есть упоминание о Kerio... Ребучу комп и ставлю новую версию... Не ребутясь копирую из бекапа папки от старой KWF логи и файлы настроек (.CFG и .STAT)... Лечу (или не лечу, если легалка) и ребучу комп...




Добавлено:
longnet
А настроки самих сетевых интерфейсов проверял? В частности, когда ставится KWF 6.3, то он почему-то сносит настройки TCP\IP... ставит их в позу получи все от DHCP...

Есть такая проблема:
Настроил Winrout 6.2.3, водружен на win2000 Server, на компе 2 сетевухи, одна в инет 62.183.х.х, другая локальная 192.168.91.2, в локалке поднят DC на WinNT4 sp6a IP: 192.168.91.1, на DC стоит Exchange 5.5, DNS, DHCP. При настройке Winrout все правила настроил визардом, указал что у меня pop и smtp подняты на машине в локальной сети (порт мапинг на этот адресс), указал адрес...Все вобщем прилично работает, за одним но:
Клиенты, которые отправляют почту с удаленых компов через инет могут отправить 1 или 2 или 3 письма (если маленькие то уходит несколько, если большое то одно), потом оутлук експресс пишет ошибку сервера и отваливается, повторная попытка отправить письма удается нормально, отправляется следующая порция писем и так далее. Расшифровка числовой ошибки - сервер занят.
Ранее стоял Winrout 4.1 в нем было одно правило
incoming на внешнем интерфейсе
Permit TCP Any Address Any External_Interface Any TCP Flags - Established
Я думаю оно держало коннект, в 6 winroute не нашел этого флага, кто может помочь, что нужно сделать что бы коннект клиентов по SMTP не рвался ?

Как можна скачат ключи для Kerio WinRoute Firewall 6.2.3-2027 ?

Kering
А в шапку глянуть не судьба?

в варезнике народ хвалит версию 6.3, мол и впрямь шустрее стала. а у меня при аплоаде файлов загрузка проца 43 процента. или это нормально?

ak545
спасибо
а мож через интернет обновить? пробовал кто? патч потом спасет?

Подскажите плиз как ностроить удаленное управление этип ПК из вне
прокси Kerio 6 IP статика 2 сетевушки Internel и External (Статика) не могу подключиться к пека из вне терминально

если серваки могут пинговать друг друга по айпи, которые они получили от керио, а другие компы не пингуются, то значит туннель пашет, но траффикполисы кривые, так что ли?

Подскажите, как можно прикрутить к сабжу шейпер, типа TMeter или какой другой.
Нужно прописывать в шейпере все IP, котрые нужно резать? Может есть вариант попроще?

Доброе время суток.
Установил KWF 6.3.0
Все работает нормально, за исключением квот.
Заметил такую траблу. Может кто знает как решить.
Сижу на машине где стоит KWF 6.3.0, инет раздается нормально без сбоев и учет идет верно, но когда на данную машину начинаю заливать файлы, то локальный трафик считается на пользователей у которых стоит квота, при чем в алфавитном порядке, до тех пор пока пользователя не блокирует за превышение трафика, после этого по алфавиту считает на следующего, и так пока пока пользователи с квотами не заканчиваются, и только после этого начинает считать на аккаунт админа, то есть меня.

Кто замечал подобную вещь.

Правила перенастраивал.
KWF 6.3.0 интегрирован с WIN2K3S1R2 через KERBEROS/
Выполнял полную перенастройку KWF 6.3.0, ни фига не помогает.
Что может быть.

Заранее благодарен

Товарисчи подскажите , можно ли на интерфейсе смотрящем в инет , в качетсве секондари вбить 2 айпишник да или даже 3 айпишника из одно внешней подсетке , не взглючит ли керио ?

Всем привет! Сильно не пинайте, если повторюсь с вопросом, но вроде ничего не нашел. Ежели просмотрел, ткните, plz!

Есть сервак с 3 (тремя) сетевухами - 1 внешняя (инет) и 2 внутренние (192.168.0.1 и 192.168.1.1). На сервере установлен KWF 6.3.0. Клиенты из 2х внутренних подсетей ходят в инет, друг друга не видят, инфой не обмениваются!!!

Вопрос: как добиться, чтобы ИЗБРАННЫЕ клиенты из внутренних подсетей видели друг друга для обмена файлами?

Народ, помогите плз. есть следующая ситуация:
3 сетевухи - 1 - локальная сеть, вторая выделенка резервного канала в инет, в третью воткнут SDSL модем.
локалка 192.ххх /24
выделенка 212.ххх
мопедная сетевая - ей поставил адрес, как на локальной, потому что если ставить авто - то выдается по апипа и ни хрена не работает.
Керио 6.2.3
подключает соединение wan через pppoe.
инет есть только на этом компе, в локалку инет не выдает. все правила настроены через визард, только добавил туда, где указан первичный канал, еще и резервный.
вижу, что народа коннект висит в connections но инет не выдается, я спокойно хожу.
в чем дело? посоветуйте плз, может правила правильно настроить, может адрес сетевухе мопедной другой выдать?
Вин ХРень Проф.
PS мож ссылку на русский мануал, на форуме ссылки битые на него.

Yuri63
А в траффик полиси есть правила, разрешающие входящий и исходящий траффики между двумя внутренними интерфейсами?

Еще посмотри здесь

Добавлено:
fistushechka
Смотри туда же куда указано смотреть и Yuri63

ak545

Спасибо! Проблема решилась!

Статистика в 6.3.0 (2683) у кого-нибудь нормально отображается?
У меня при попытке открыть страничку "Пользователи" или при попытке детализации трафика по пользователям из других отчетов сносит службу kerio на сервере.
Причем пока не закроешь в браузере окно, служба остается подвисшей.

ak545
спасибо) с помощью твоей ссылки все нормально настроил. свои мозги работать отказывались)

Стоит KWF 6.3.0.
С этой машины запускаю WOW.
Все нормально, кроме одной мелочи - через 10-15 секунд выкидывает из мира.

Если фаервол остановить - все работает нормально.

Что може ему мешать?

на одном конце на серваке стоит winxpsp2, на втором конце - win2003sp1
Это же не должно мешать туннелю?

Объясните, пожалуйста, в 2-х словах. Не могу сообразить.

Итак, есть машина с локалкой и инетом, приходит по одному кабелю, инет - впн.
Есть ноут, на который по вайфай средствами керио расшарено: инет, локалка и диски компа.

Вопрос простой (если было, извините, никак нет времени читать тему сначала): обзавелся прямым айпишником, что нужно сделать для его проброса на основной комп - вся p2p стоит именно на нем. Без керио осел естественно зеленый, торренты тоже. Нужен, как вы понимаете highID при работающем керио.

Похоже, что 6.3.0 - нестабильная версия. Поставил у себя на W2000Serv SP4 (у меня сервак раздает 512Кбит HDSL на ~50 юзеров). Служба KWF на сервере умирает и перезапускается каждые ~30-40 минут. Пришлось откатиться обратно на 6.2.3 - все пучком.
Будет очень обидно, если при заточке KWF под Vista он перестанет стабильно работать на старых ОС (типа моей W2000Serv SP4).

народ, помогите еще раз, плз) не могу пустить удаленное управление извне на комп в локальной сети.
т.е. коннект идет на 83.ххх.ххх.х (внешний) и я должен его перекинуть на 192.ххх.ххх.х
сделал такое правило:
source firewall
destination 83.ххх.ххх.х
action allow
service rdp
map 192.ххх.ххх.х

может что не так? может порт указать, или в source - destination ошибся?
ftp сервер поднял, из локальной сети виден, извне нет, в чем дело?

fistushechka

source: 83.x.x.x
destination: firewall
service:rdp
map: 192.x.x.x:3389
PI:default
Вроде так должно быть.

Добавлено:
сорри.. Был невнимателен.
в source надо указать откуда будешь соединяться либо IP либо указать сетевой интерфейс.
а вот destination тут тебе надо указать либо 83.х.х.х либо firewall, что собственно для твоих целей почти одно и тоже.

пишет, что не может соединиться, а ftp сервак просто недоступен, его извне не видно

Krechet
А случаем, не срабатывает ли P2P Client is probalbly using a peer2peer network ? Проверь, как настроено у тебя поведение при подобной ситуации, в частности, в настройках юзера (Users/Rights/User is allowed to use P2P networks (галочка должна стоять, т.е. разрешаем пользователю P2P сети))... Дело в том, что иногда WOW распознается KWF как пиринговый клиент...

AFT
Если для организации тунеля использовать на обоих концах KWF (и в частности его VPN), то однозначно нет, не должно мешать... Если же использовать виндовый VPN, то в KWF надо добавить разрешение для IPSec, L2TP и PPTP протоколов...

Andrey Lopatnev
У меня 6.3 работает стабильно. Таблетка от Farby (смотрим в смежной теме)

fistushechka
source 83.ххх.ххх.хxx или Внешний сетевой интерфейс KWF
destination firewall
service rdp
action allow
map 192.ххх.ххх.хxx:TCP(3389)

И еще относительно RDP - во-первых на машине 192.ххх.ххх.хxx должна быть включена соотвествующая возможность. Во-вторых, если машина 192.ххх.ххх.хxx не находится в домене, то при подклюении с удаленной машины надо вводить в качестве логина, логин, который прописан на машине 192.ххх.ххх.хxx, и в таком виде: ИМЯ_МАШИНЫ\имя_пользователя. Если машина 192.ххх.ххх.хxx находится в домене, а удаленная машина НЕ находится в этом же домене, то подключение по RDP скорее всего станет не возможным (ну в любом случае надо смотреть, как групповые политики домена настроены, в частности, "доступ к компьютеру по сети")

Для FTP нужно отдельное правило в траффик полиси

source 83.ххх.ххх.хxx или Внешний сетевой интерфейс KWF
destination firewall
service ftp
action allow
map 192.ххх.ххх.хxx:TCP(21)

спасибо, сейчас попробую)
машина в домене, управление осуществляется с машин из других доменов. все нормально настроено, просто решил поставить Керио из-за необходимости переключения между резервными каналами в инет. вот пытаюсь разобраться)
раньше работало все) правда шлюз был через фриску, там и ftp был поднят и порт форвардинг на нужную машину)