» Настройка Kerio Winroute серии 5.x и 6.х (часть 2)

Xapkep
Ты посмотри куда он бегает?
Прогони софом который статистику анализирует.
Internet Access Monitor
Proxy Inspector
Или хотя бы на web статистике деятельность неизвестного пользователя покажи.

Уважаемые форумчане!..Помогите решить проблему...Стоит Kerio 6.3, уж давно, прекрасно работает, но вот с логами беда какая-то..Пытаюсь их анализировать IAM..
Начал Импорт лог файлов (логи Керио настроил, как требуется IAM)...и вот процесс уже идет часа 4...Логи за один месяц..Connections.log - в среднем 20-30 Мегабайт в день, http.log - 20-40 Мегабайт в день...Затык происходит с файлами Connections.log..вот на них очень долго...Писал в тех.поддержку IAM, вот что ответили:
"Здравствуйте.
Мы проанализировали ваши лог файлы.

Похоже, проблема заключается в структуре ваших лог файлов.

В большинстве случаев, в лог файлах присутствуют изменённые DNS имена вместо IP адресов.

Программа не может отделить эту информацию, и поэтому импорт проходит довольно медленно.

К сожалению, мы не сможем вам в этом помочь, вам необходимо разобраться с форматом ваших лог файлов.

Убедитесь, пожалуйста, что ведение лог файлов настроено корректно.
http://www.redline-software.com/rus/support/docs/iam/trouble_1_iamwr.php

По вопросам связанным с настройкой Kerio Winroute Firewall, вам необходимо обратиться к разработчикам:
http://www.kerio.ru/support.html"

В том то и дело, что настроено все именно так как требуется IAM.

В чем может быть еще затык?

Да не лазает он нинакакие сайты

Xapkep
Ну откуда трафик набегает, посмотри.

EugenRad
Так что так и не можешь дождатся окончания?
Посмотри на каком файле затыкается, попробуй перенеси его в другое место.
Общий объем логов посмотри.

pilotro,

Нет...до сих пор идет(часов 20 уже) ...Затыкается на файлах connections.log...каждый файл обрабатывается около 2,5 часов...размер каждого файла около 30 Мегабайт..Перенес файлы на другой комп сразу, мощный..Общий объем логов - около 1 Гб...
Нет мыслей?

Пользую Керио 6.5.2. В связке с нод 32 разве что коряво коряво пинги проходит и ничего не открывается. Снес. Заработал инет.

Но нельзя ж сервер без антивируса нормального оставлять! Что посоветуете? Сейчас стоит касперский секурити. Не очень фен шуй...

айпи инет интерфейса все время долбится по разным ip шкам во внешку.

Можно ли удалить правило firewall traffic и сделать так чтобы работал инет без нее?

как я понял на машине завелась зараза. но антивиры ее пока не палят. хотелось бы хотябы заткнуть

Нужно отредактировать файл логов (web и http), положить назад, чтобы керио продолжил их вести дальше.
Отредактировать сам файл web.log - не вопрос. Только вопрос, зачем там файл web.idx?

распишу как что..

Использую инет по авторизации пользователя. Вот трафик полис:

Но по веб стате. присутствует пользователь 'вход в систему невыполнен(неизвестный пользователь)':

Он использует какието другие протоколы


Пробовал удалить из правила фаервол трафик в сервисах почередно все службы.. и оказалось что ей для работы нужен только DNS служба.

Думал что какойнить троян или вирус.. пробовал вырубать фаер. но вместе с фаером престает бегать и трафик.

Стоит KWF 6.5.2



вот отчет сделанный по ip 10.20.10.121:
http://s54.radikal.ru/i144/0901/58/b886032e2b8b.jpg

10.20.10.121 это i адрес интернет интрфейса:


также проблема с почтовыми программами. они не могут подключится.
Хотя в трафик полис стоит smtp, pop, imap, telnet (в фаервол трафик тоже стояла)

Цитата:

также проблема с почтовыми программами

эти программы поддерживают прокси?

EugenRad
Антивирус какой есть? У меня с каспером такие симптомы были, при отключении оного импортировалось хорошо.

Подскажите плиз (на форуме ничего конкретного не нашел) от чего зависит тот факт, что в connection.log пишутся то dns-имена то ip адреса? dns настроен нормально, по крайней мере локальные адреса отдает всегда. Ну и собственно как решать в ту или иную сторону?

-- вот кусок лога например бегин --

[17/Jan/2009 18:41:50] [ID] 103577 [Rule] NAT [Service] HTTP [Connection] TCP admin.domain:1708 -> 72.232.29.238:80 [Duration] 124 sec [Bytes] 2496/74150/76646 [Packets] 38/84/122
[17/Jan/2009 18:41:53] [ID] 103579 [Rule] NAT [Service] HTTP [Connection] TCP admin.domain:1710 -> 88.212.196.77:80 [Duration] 122 sec [Bytes] 1232/534/1766 [Packets] 5/4/9
[17/Jan/2009 18:42:48] [ID] 103580 [Rule] NAT [Service] POP3 [Connection] TCP admin.domain:1711 -> 77.222.41.25:110 [Duration] 122 sec [Bytes] 379/431/810 [Packets] 8/8/16
[17/Jan/2009 18:44:56] [ID] 103582 [Rule] NAT [Service] HTTP [Connection] TCP 192.168.11.10:1712 -> 72.232.29.238:80 [Duration] 123 sec [Bytes] 1491/36150/37641 [Packets] 20/41/61
[17/Jan/2009 18:44:57] [ID] 103584 [Rule] NAT [Service] HTTP [Connection] TCP 192.168.11.10:1713 -> 81.19.80.17:80 [Duration] 121 sec [Bytes] 746/459/1205 [Packets] 5/4/9
[17/Jan/2009 18:44:59] [ID] 103585 [Rule] NAT [Service] HTTP [Connection] TCP 192.168.11.10:1714 -> 88.212.196.77:80 [Duration] 122 sec [Bytes] 866/537/1403 [Packets] 5/4/9

-- вот кусок лога например енд --

--
Kerio Winroute 6.4.2
Windows 2003 ES

привязал пользователя к хосту firewall теперь все cчетается через него...

если заблокировать пользователя то инет уже неработает.. немогу понять за счет чего бегает трафик?

Xapkep
Очень интересно. Есть еще пара вопросов.
1. Сетевой интерфейс VIA VT61... (Тот который в Дpyгиe интepфeйcы) Он отключен или там нету tcp\ip?
2. Что за интерфейс Kerio VPN в неизвестных (потому как Интерфейс vpn kerio существует отдельно в категории интерфейсы vpn, пардон за каламбур)?
3. Через какой физический интерфейс подымается tvt ispolkom. Этот интерфейс необходимо тоже перенести в категорию интернет.

А вот если tvt ispolkom подымается через тот же нтерфейс через который ты смотришь в локалку то статистика будет считатся неправильно. (Судя по твоим картинкам именно так и происходит).

Что быть уверенным что все будет правильно, физический провод, по которому ты интернет получаешь (от модема или от чего другого), воткни в сетевуху в серваке.

Далее. Судя по твоим записям для правила "Трафик межсетевого экрана" необходимо только DNS? Если это так то отключить это правило можно следующим образом. Необходимо выяснить ip внешних dns твоих (посмотри на внешнем интерфейсе), и клиентам раздать по DHCP (или руками прописать, не знаю как у тебя настроено). Т.е. сейчас они dns запросы отправляют на твой шлюз, а он перенаправляет их далее, а надо что бы твои кленты отправляли dns запросы сразу к твоему провайдеру. После того ты сможешь выключить правило "Трафик межсетевого экрана".
Только готов поспорить даже после этого сервер у тебя будет в интернет лазить

И просто совет, не используй ip начинающиеся на 10 в локальной сети. Используй 192.168.x.x.

Добавлено:
Vadik_K

Цитата:

эти программы поддерживают прокси?

в данном случае все работает через NAT, и потом в определенных ситуациях поддерживают (это реализованно например в usergate 2.8)

Добавлено:
Кстати а что там с почтовыми программами?

Xapkep
Если авторизация по логин/паролю, то блокировка пользователя, привязанного к firewall машине приводит к блокировке трафика через http проксю во всей локальной сети.
При переводе пользователей на NAT - блокировки у оных не произойдет.


Добавлено:
Vadik_K
Если еще не получил ответа:
можешь отредактировать правило дляч firewall по сервисам: для корректной работы локалки с инетом необходимо и достаточно, чтобы на шлюзе работал сервис: DNS.
Если, конечно, речь идет о сетевухе со статическим IP (внешняя).

Добавлено:
shuiks
Прошу прощения - а 1. авторизация каким образом настроена?
2. керио стоит на АД машине?

Все оказалось проще и дело было не в керио. Админ ктоторый админил до меня ставил трафик инспектр видать чтобы счетать трафик т.к у старой версии керио веб стата отсутсвовала.
Когда я обнавлял не придал значение ТИ. вчера поудалял все лишнее с сервака и все нормально стало.

Добавлено:
pilotro

Цитата:

И просто совет, не используй ip начинающиеся на 10 в локальной сети. Используй 192.168.x.x.

почему нельзя?

Xapkep
я не говорю что нельзя. Просто нелогично и сложнее. диапазон на 10 предназначен для сетей на 16 млн. компьютеров. А на 192.168 можно сделать 62 тыс. и это проще для вычисления масок и соединения нескольких сетей. Хотя наверное мне так удобнее

adjuster, 1. Авторизация NTLM, хотя какое это имеет отношение?
2. Нет, на отдельной.

shuiks
про авторизацию спросил на всякий случай - чтобы понять в целом схему..
про DNS: машина с керио находится а домене? - если нет, то причина ясна... - ищи проблему именно здесь.

В домене в том и дело. В машине два интерфейса, один в инет смотрит, другой в локалку. Вообщем как обычно. Что может быть с настройками? Где крутить, вопрос, в DNS серваке или в Winrout'e?

shuiks
В логах всегда пишется ip на внешние адреса, или иногда и имена проскаивают? Просто в том куске лога на внешние адреса только ip написаны. В принципе проверка проста. Берешь на машине со шлюзом запускаешь nslookup, и вводишь тот ip который в логе имеет вид ip. Если видишь примерно такой ответ:

> 100.100.100.100
Server: server.mydomen.com
Address: 192.168.19.11

*** server.mydomen.com can't find 100.100.100.100: Non-existent domain

то разбирайся со связкой фаервол <-> DNS сервер или с самим dns

помогите настроить керио...пожалуйста....сервер с 2мя картами,локалка и внешний...установлен Керио 6.5.1,настроен DNS и DHCP,компов всего 10.почтового нет.у меня есть первоначальная настройка,но тут все как то напутано...кто может помочь,отзовитесь...

Renatach пиши в аську: двести 2венад-ать - шест100 пятьдесят - 358 (9 знаков)

Помогите, пжлст, с настройками сервера с Kerio 6.5.2 !!!

Есть доменная сеть. На Керио 6.5.2 отдельный сервер от контроллера домена.

На контроллере домена такие настройки:
IP-192.168.0.1
mask-255.255.255.0
(Gate)шлюз-192.168.0.2
Dns-192.168.0.1
-xx.xx.xx.xx (DNS интернет провайдера)
wins- 192.168.0.1

Сервер с Kerio Winroute 6.5.2 :
2 Сетевые карты:

Первая:
Смотрит в интернет (на ADSL модем, его IP - 192.168.3.3)
IP- 192.168.3.4
mask-255.255.255.0
(Gate)шлюз-192.168.3.3
Dns-192.168.3.3
-192.168.0.1
-xx.xx.xx.xx (DNS интернет провайдера)
wins-192.168.0.1


Вторая смотрит в сеть:
IP-192.168.0.2
mask-255.255.255.0
(Gate)шлюз-192.168.3.4
Dns-192.168.3.4
-192.168.0.1
-xx.xx.xx.xx (DNS интернет провайдера)
wins-192.168.0.1

На клиентских машинах:
IP-192.168.0.5 - 192.168.0.100
mask-255.255.255.0
(Gate)шлюз-192.168.0.2
Dns-192.168.0.1
-xx.xx.xx.xx (DNS интернет провайдера)
wins- 192.168.0.1


Есть подозрение что в этих настройках что-то не так...

что именно подозреваешь? ))))) в принципе можно и так, все должно работать. но можно и подругому с DNS сделать.

adjuster, проблема с логами решилась.

shuiks, Как решилась проблема с логами?

Ребята помогите пожалуйста разобраться с настройками керио версии 6.5.2 а также сетевыми интерфейсами. Ситуация банальная- отдельный комп на кот стоит винроут, одноранговая сеть, выход в инет через адсл модем привожу ip-config all

Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : inet
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
DSL - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet NIC
Физический адрес. . . . . . . . . : 00-0E-2E-6C-64-82
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.0.100
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.0.1
DNS-серверы . . . . . . . . . . . : 192.168.1.99
192.168.0.1
Local - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Attansic L1 Gigabit Ethernet 10/100/1000Base-T Controller
Физический адрес. . . . . . . . . : 00-18-F3-8B-74-CF
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.1.99
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 192.168.1.99
Ukrtelecom - PPP адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Физический адрес. . . . . . . . . : 00-53-45-00-00-00
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 92.112.114.139
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз . . . . . . . . . . : 92.112.114.139
DNS-серверы . . . . . . . . . . . : 195.5.46.12
195.5.46.11
NetBIOS через TCP/IP. . . . . . . : отключен

И-нет не работает.Правила стандартные мастера сбил и поставил полный доступ any/any/any.Пинг с компа с винроутом, например на ya.ru идет нормально, но доступа в интернет нету, с компов сети после аутентификациини пингов нет. Не могу понять где накосячил, ощущение что неверны настройки адаптеров.

dreamworker666:

Посмотри мои настройки пару постов выше...
Думал, что напутал что-то поначалу...потом оказалось что всё правильно и работает...
Начальные правила брал тут:
http://www.windowsfaq.ru/content/view/320/22/1/2/

Подскажите как составить следующее правило:

Есть сеть под Winroute 6.4.2

надо чтобы определенный айпишник соединялся с определенным cisco VPN сервером
с помощью Cisco VPN клиента.

подскажите как это сделать, а то уже об стену биться начинаю.

Archusha2
1. Для исходящего: когда "определенный IP" находится в локалке:
сурс "определенный IP"
дест Inet
сервис TCP=1723 (либо тот, который используется на сервере Cisco)
NAT

2. Для входящего: когда "определенный IP" находится в инете, а сервак в сети:
сурс "определенный IP"
дест Firewall
сервис TCP=1723 (либо тот, который используется на сервере Cisco)
Port-mapping на IP машины с циско-серваком.