» Kerio WinRoute Firewall (часть 2)

aljd
5023) Unable to send message - relay not configured, message: c:\program files\kerio\winroute firewall\mqueue\d00fe7c0-7fa0-45b4-b960-3ac6dc747ac0.eml, retryNo: 3
Это система алертов керио. То есть она пытается по почте известить администратора, но в конфиге не настроено куда и кого извещать! (configutarion -> Advanced Options -> SMTP Relay)
5024 тоже из той оперы - керио пишет что почтовый релей хочу.


Добавлено:
tishkir
У меня после обновления с KWF6.2.3 до KWF6.3.0 в инет выходило толька машина с Керио (правда такая проблемка было только с одной машин из 5 где стоит керио), проверь в сетевых подключениях (ИНЕТ , ЛОКАЛ) стоят ли галлка для драйвера Kerio WinRoute Firewal Driver- Lower Layer!?

Добавлено:
Arakcheev
А такое пробывал

Цитата:

Отключи Winroute.
Создай PPPoE соединение.
Запусти соединение, введи логин\пароль.
Подключись к провайдеру.
Интернет на этой машине есть?
Есть - хорошо, идем дальше. Нет - смотри где накосячил при создании PPPoE.

В винроуте на вкладку Interfaces.
Если не появился новый dial-up интерфейс, создай его и привяжи к PPPoE.
Настрой созданный интерфейс !Логин и пароль вбивай ручками, не надейся, винроут очень редко верно импортирует эти данные!

Traffic Policy
Во всех правилах, которые раньше выпускали юзеров в интернет замени Destination на PPPoE интерфейс.
Всё должно заработать.

Кстати, статический адрес тебе может назначать провайдер, то есть не нужно его прописывать в настройках тцпип PPPoE, сначала попробуй получить адрес автоматически.

Добавлено:
Arakcheev
По ICQ:
Правило для FW:

Цитата:

Src: Firewall, Internet
Dest: Firewall, Internet
Service: ICQ
Action: Permit
PI: None

Изменение сервиса ICQ в Definitions->Services

Цитата:

Name: ICQ
Protocol: TCP/UDP
Src Port: In Range 5190-5200
Dest Port: In Range 5190-5200

AnLe
Да. АДСл модем, действительно работает на сетевуха.
А как же клиенты без шлюза пойдут в инет?

Добавлено:
Saftor
Без керио на сервера инет конечно бегает легко. да и с керио тоже бегает. Но клиентам не раздается.
Вот и думаю, как керио показать дефолтный шлюз, ведь их на сервере получается две штуки.
Вручную штоль static route прописать.

Arakcheev
_http://forum.ixbt.com/topic.cgi?id=7:12821-81 здесь видел твой пост, попробуй как он советует, а потом отпешись!

Ребзя, помогите!
Как сделать что бы в своей статистике пользователь не смог видеть WEB ограничения, т. е. те ресурсы, которые запрещены.
Оч. надо!!!

Labutin
Хм, а ип адреса точно статически прописаны на обоих компах?

Arakcheev
Дефолт шлюз клиенты получат после конекта пппое имхо. что мешает попробовать то собственно?

AnLe

Цитата:

Хм, а ип адреса точно статически прописаны на обоих компах?

100%

помогите как сделать чтобы user мог только один или два сайта посещать, а на другие запрет

sanchoskor
В нттр полиси создаеш 2 правила:
1-е разрешаешь юзерам ходить на указанные сайты
2-е запрещено всем везде

я так и сделала, теперь на все сайты зайти не могут

sanchoskor
Точно? В керио правила действуют сверху вниз...
и прописывать надо типа *mail.ru*

да, я знаю что сверху вниз, но почему-то браузер пишет заблокировано прокси

на вин 2000 сервер

6.2.3.2027 обновил до 6.3.0.2683

там же лежат базы 1С 7.7

люди стали ругаться на тормоза дикие...

где то кажись пробегала инфа что волшебная строка в конфиге <variable name="FirewallExclude">1</variable> исчезла

че делать? как величить быстродействие локалки?

в правилах - локалка на самом верху...

Hrist
Писал Serg0FFan

Цитата:

Понял в чем суть проблемы когда трафик не проходит из локалки в нет. Т.е. не обрабатываются DNS запросы. Значит так.. во первых в трафик полиси ОБЯЗАТЕЛЬНО должно присутствовать правило разрешающее Local Traffic. Во вторых в свойствах сетевого интерфейса должен присутствовать WinRoute MiniPort low level driver. И галка должна стоять на ней должна! Тогда и по сетке пускать комп должно и все запросы обрабатываются нормально.
З.Ы. Просто раньше удалял локальный интерфейс из трафик полиси вообще и в winroute.cfg вносил изминения.. типа FirewallExclude=1 Сейчас эта фишка не срабатывает.
С патчем от Farby всё работает на ура За что ему и спасибо.

А вообще тормаза я только наблюдаю при управление консолью админа, раньше (в 6,2,3) не было такой задержки как в версии 6,3,0! Проверь галги на этот драйвер и этот ли патч ты использовал!? Поробуй пошаманить с протокол инспектором поставить его в NONE. ИМХО

aljd

Цитата:

неправильно, если бы было так ошибка была бы вот такая:
(3550) Unable to send alert message, connection to SMTP relay failed, or relay not configured.
ошибка 5023 - это, похоже какой-то почтовый сервер пытается почту отправить через керио и что-то не получилось

Возможно.

muttter
http://forum.ixbt.com/topic.cgi?id=7:12821-74

tishkir
Попробуй правила заново перебить.

sanchoskor

Цитата:

да, я знаю что сверху вниз, но почему-то браузер пишет заблокировано прокси

Попробуй ребутнуть сервак с керио - у меня недавно такой же косяк был - правила не отрабатывали.

Arakcheev
http://forum.ixbt.com/topic.cgi?id=7:12821-81#6504

Собственно то что я вам и сказал. У меня лан модем стоит бриджем и на интерфейсе стоит ип адрес без шлюза.
Пппое отлично колнектица привнося свой шлюз нужный.
Еси нужны ресурсы в локалке прова не забудьте про route add до нужных ресурсов в батничке или с ключиком -p

Спасибо всем кто ответил,

как оказаласось, керио тормозил часть почты и пытался отправить сообщение отправителям, после прописания релея пол дня никто почту отправить не мог, керио весь канал забил, пришлось убрать, подскажите как запретить отправку таких сообщений,
кроме как не прописывать релей

muttter
Может просто устранить причину по которой он вас пытается предупреждить етими сообщениями? )

AnLe
Спасибо. Получилось. Просто убрал TCP/IP с виртуальной сетевухи и один набор адресов сам отвалился. Как вариант, также можно было просто "завинуть" вверх дефолтный шлюз.

Гм, на превый взгляд причина - спамеры или люди посылающие вирусню. Только, по ходу керио меня не об этом предупреждал, а о том что не может им мессагу отправить )

Arakcheev
Хм... оказывается как всё просто вышло!

Saftor
Эт точно. Век живи - век учись.

Saftor

Цитата:

Писал Serg0FFan


А вообще тормаза я только наблюдаю при управление консолью админа, раньше (в 6,2,3) не было такой задержки как в версии 6,3,0! Проверь галги на этот драйвер и этот ли патч ты использовал!? Поробуй пошаманить с протокол инспектором поставить его в NONE. ИМХО

то что писал сергоффан я читал давно... у меня работает и сетка и интернет - в отличие от описанного сергофаном... правила для лан у меня то же есть... керио рулю не первый год и не на одной точке...

крякал фарби кряком - т.е. то же то что надо...

галка на драйвере есть...

Добавлено:
а вот 1с тормозит - когда человек десять в сети и все с серваком работают... раньше такого не было... и появилось на след день после апгрейта керио...

Hrist
Самый действенный способ уменьшит тормоза это задвинуть локальный траффик вверх и в нем отключить протокол инспектор.

Мне нада сделать такое:
есть 4 юзера нада разделить им по НАТ скорость:
юзер1 - 20 кб/сек
юзер2 - 10 кб/сек
юзер3 - 10 кб/сек
юзер4 - 10 кб/сек

metaltuman
Керио не черта нормально не режит скорость, для этого используй сторонии продукты!

Какие?

metaltuman
Тебе же сказали, сторонние. usergate погляди, например.

Подскажите, потерал пароль от Admin, есть возможность его восстановить?

Londo_Mollary
останавливаешь керио - users.cfg - находишь там своего админа и чистишь поле <variable name="Password"></variable> запуск керио - заходишь с пустым паролем

Arakcheev
правила давно на верху... отключение протокол инсп. ни чего не дало.. короче прихожу к неизбежному - разделение сервера и интернет сервера на отдельные машины...

Добавлено:
Admin CSB

Цитата:

Тебе же сказали, сторонние. usergate погляди, например.

это уже не сторонний продукт - а конкретно другая прокся...

metaltuman
сторониий продукт - это типа Tmeter

Имею KWF 6.2.3, юзеров берёт из AD (пользуясь терминологией официального руководства - Transparent cooperation with Active Directory (Active Directory mapping))
Всё работает замечательно, кроме уже порядком надоевшей проблемы - в HTTP Policy, в URL Rules - при указании доменной группы правило игнорируется, а при указании конкретных доменных юзеров - нормально отрабатывает. Думал, может KWF умеет работать только с юзерами, но в руководстве написано - WinRoute can use accounts and groups stored in Active Directory directly. Это у меня одного такой глюк или нет? Группы применаю Security Global.
Самое интересное, что если создать последним разрешающее правило и указать, что такой-то группе можно всё, то в логах указывается, что это правило отрабатывает. А если после этого правила добавить, что всем всё запрещено, то доступ пропадает.
Ничего не понимаю. Хелп.