» Kerio WinRoute Firewall (часть 3)

2 SHRIKE74, Anglobal
Данке Шон !

Может кто поможет избавится от тупизны провайдера (Краснодар)
Вообщем, у прова закрыт исходящий порт 4090 и выше/ Как соединения VPN туннеля или VPN клиента перекинуть на открытые для исходящего трафика порты (например, 121 или 1723)?

Установи у сервера VPN порт любой другой. советую от 50000 до 65000. Не используй малые номера, их чаще сканируют.
А в VPN клиенте в адресе укажи
IP:Порт (например 222.222.222.222:60000)

Что-то не коннектится, сменил в VPN сервере порт на 1723, нажал apply.
С тестового компа (не в Краснодаре telnet ip 1723 работает, а kerio VPN clinet пишет: "Выполняется установление соединения...", а потом пишет: "Сбой соединения. Ошибка (145): истекло время ожидания"

Anglobal
а на VPN клиенте в строке адреса сервера прописано
IP_Адрес:1723
указан?

Да, в VPN клиенте ip:1723. Имя пользователя и пароль точно правильные

советую использовать порт, который не используется какими-либо приложениями

Добавлено:
Anglobal
далее в ПМ. чтоб не засорять.

Да, на тестовом компе по порту 7070 смог подключится (1723 не хочет).
Правило KVS Service - inet - firewall - kerio VPN masked - premit - log connections
Сервис Kerio VPN masked полностью списан с Kerio VPN, только порт поменял на 7070
Создано ли правило, разрешающее вход из интернета на winroute по порту 1723? Это и есть правило KVS Service)

Но проблема в том, что переключении и правила и сервера на порт 1723, компьютер из Краснодара не может подключится по SSL, чтобы получить сертификат (порт 443 закрыт)

Цитата:

D[VPN client] VPNClient[0014] - unable to establish SSL connection - SSL error -1/5
Ошибка (120): Внутренняя ошибка.

Есть ли возможность разрулить доступ в инет через спутник (SAT) при помощи KWF? Может кто подскажет...

Anglobal
посмотри ПМ

Eremey
А в чем проблема-то? Спутник, можем, выделенка - KWF без разницы. Указываешь в TP нужный интерфейс и вперед.

Eremey
http://www.pcsecurity.net.ru/forum/viewtopic.php?t=265
http://www.pcsecurity.net.ru/forum/viewtopic.php?p=2846#2846

Ребята помогите у меня такая проблема наверно керио не хочет пускать прогу нет по порту где в керио 6.1.2 настроить это машина локальная программа WebMoney Keeper Classic 3.5.0.2
Помогите пожалуйста!!!

Добавлено:
ну кто нить поможет???

Olezka
Создай Service под название WebMoney:
Protocol TCP; protocol inspector (none)
Source port Any; Destiation port equal to 2802

Потом добавь в стандартное правило NAT этот сервис и нажми apply.

PS: может кто подскажет по моему вопросы выше?

как удалить пароль админа в керио 6.31 ???

vini_dron
Здесь написано как.

Anglobal спасиба но стал настраивать и ничего у меня не получается ставил керио 2 года тому назад и больше к нему и нелазил а тепер проблема непойму куда и что прописывать может кинь скрин

Цитата:

Есть ли возможность разрулить доступ в инет через спутник (SAT) при помощи KWF? Может кто подскажет...

На kerio.kiev.ua описание настройки ВинРоута с интерфейсом через тарелку. Раздел примеры правил - Цетральный шлюз

Пробовал сегодня ставить Kerio Winroute 6.3.1 триал для тестирования.
Две сетевухи одна смотрит в инет, вторая в локалку, все как по мануалу настроил
и беда - не могу залогиниться на комп через рдп из локалки,

в чем может быть трабла? если останавливаешь серсис винроута, то РДП работает.
Раньше я ставил винроут такого не было, или это какое-то нововведение?

koltz

Цитата:

Раньше я ставил винроут такого не было, или это какое-то нововведение?

Этож когда было то?
Создай правило такого плана:
sourse destenation service action blablabla
any/localnet/твой IP FirewallHost RDP Permit
И задвинь его практически на самый верх.

Цитата:

При запуске WinRoute выдает "Multiple default gateways detected" и тд по тексту.
В чем тут, собственно, дело?

У тебя указано два основных шлюза!!!!!!!! Винда не может работать с двумя основными шлюзами!

собственно периодически сталкиваюсь с такой же проблемой на домашнем компе...
заморочка в том, что есть у меня подключение по локальной сети(Lan), айпи, шлюз (192,168,10,254), днс и т.п. вбиты вручную...

инет настроен через впн-соединение(Inet VPN), настроенное в хр(сетевые подключения - подключить к сети ВПН - подключение к виртуальной частной сети и т.п.)...
керио данное впн-соединение видит как Ras-dialup, если я не ошибаюсь...

через подключение по локалке(Lan) идет только локальный трафик+пиринг с других сетей...
в таблице роутинга прописаны конкретные локальные адреса(в том числе пиринговые) для введенного вручную шлюза Lan(192,168,10,254), для того, чтоб локальный траффик шел не через впн-соединение, а через подключение по локалке(т.е. Lan)
сделано так, потому, что если пустить весь траффик через Inet-VPN, при скачивании данных из локальной сети(в том числе пиринговой) Inet VPN в какой-то момент начинает тупить, в связи с тем, что скорость канала Inet VPN ограничена 2 мегабитами, а скорость по локале - 100 мегабит...
Получается 2 вещи:
либо когда скачаешь по локале, при включенном Inet VPN допустим 3 гигабайта(пара-тройка фильмов) инет начинает тормозить(страницы медленно открываются), либо падает скорость скачивания по локале допустим с 20-30 мегабит до 2 мегабит(т.е. до ширины канала Inet VPN)

в керио происходит следующее:

в таблице роутинга в керио есть такое значание:

adress - mask - gateway - interface - metric

0.0.0.0 - 0.0.0.0 - 192.168.10.254 - Lan - 20

т.е. ето при отключенном впн-соединении(читай инете)

когда подключаешь впн-соединение(inet vpn), в таблице роутинга появляется еще одна строка:

adress - mask - gateway - interface - metric

0.0.0.0 - 0.0.0.0 - 192.168.254.27 - Inet VPN - 1
0.0.0.0 - 0.0.0.0 - 192.168.10.254 - Lan - 20

и в результате керио начинает ругаться, что "Multiple default gateways detected"
в итоге ето заканчивается тем, что Inet VPN он полностью начинает игнорить, ничего через него не пропуская, а все пуская через Lan, точнее через шлюз, указанный в настройках Lan(192.168.10.254)
Inet VPN(у которого шлюз свой - 192,168,254,27), хоть и подключен, через него ничего не проходит и инет не пашет=(

собственно кто-нить может подсказать возможно ли разрулить данную ситуацию?

спасибо...

сегодня поковырялся...
разрешилась ситуевина...
в таблице роутинга в керио удалил строку:

adress - mask - gateway - interface - metric
0.0.0.0 - 0.0.0.0 - 192.168.10.254 - Lan - 20

оставив таким образом вместо нее:

adress - mask - gateway - interface - metric

0.0.0.0 - 0.0.0.0 - 192.168.254.27 - Inet VPN - 1

+ остальные пиринговые адреса пустил через Lan - соединение...
вроде пашет нормально...

допер почему обрубался инет, и керио ничего не пропускал...
во всем виноват был BWMeter 3.2.0
после его выноса - сразу стало все норм...

теперь собственно вопрос:
Возможно ли подружить керио с BWMeter 3.2.0?
в топике по Outpost Firewall где-то мельком видел, там так же обсуждалась проблема, как подружить BWMeter с Agnitum Outpost Firewall...

заранее благодарен...

Подскажите, можно-ли настроить в керио обновления встроенного MacAfee с альтернативных серверов?

allhimik
Нет. Не слышал ни разу о таком.

allhimik
В варезнике есть один вариант с обновлением макаки не с сервера керио а через оф. сервер самой Макафи - для обхода защиты Так что это в принципе возможно.

crapaud
Это другое
Человеку нужно с альтернативных

Добрый день!
Пользую KWF 6.3.0.2683 в небольшой сетке. 2 интерфейса (локальный и наружный), короче, всё, как обычно...
Юзеры ходят в инет через NAT, вся ходьба описывается одним правилом:

Цитата:

source - юзеры из базы users : dest - внешняя серевуха : service - хттп, фтп и т.д. : translation - внешняя серевуха

Пытаюсь разделить правило, чтобы одним юзерам можно было ходить по хттп, а другим по хттп и фтп -пишу в правиле 1, что юзер 1 может польховать сервис хттп, фтп а в правиле 2, что юзер 2 может пользовать только сервис хттп. Соотв. dest и translation указываю одинаковые для 2х правил.
В результате получаю, что часть юзеров начинает работать по этим правилам, а другая часть вообще не пускается в инет. Причём, если просто применить правила без рестарта сервиса, то некоторое время правила пашут (не всегда), а после рестарта - кому как повезёт.
Юзеров у меня, конечно, не 2шт а побольше, но суть от этого не меняется. Причём я делал и правило, где 1 source и много services и наоборот.... результат одинаковый.
Короче непонятно мне, либо я правила совсем неправильно пишу, либо....

Yips
Ну а в чем принципиальная разница? Другое дело - КАК создать или найти такой "альтернативный" сервер (я в возможности создания зеркал у Макафи никада не вдавался, но в корпоративке это наверняка есть. Думаю, именно это имеет в виду allhimik ))) ) Но если он сделан по всем правилам макаки - то проблем, думаю, не возникнет.

allhimik
это называется редиректом смотри на pcsecurity.net.ru

Хех, да можно и с официального Макафе лишь бы не с Керио (апдейт с Керио закрыт в правилах). Все настройки просмотрел но так и не нашел где вбивается адрес сервера (при обновлении макаки упорно лезет на сайт керио), обследование папки macafee ничего не дало. В update.ini никаких вообще строк а к остальным кодировку так и не подобрал. Да...pcsecurity.net.ru что-то не фурычит!