» Kerio WinRoute Firewall (часть 3)

khris2005
Ищи проги которые с процессов сервисы делают! Например здесь!
И к настройке керио это не имеет отношения!

lavren
извените а какое отношение к почтовику ?

Подскажите как настроить если можно пошагово, чтобы, есть сервер с реал айпи допустим 200.200.200.1 и есть локальный адресок 192,168,3,6 надо сделать чтобы из вне конектились на реальный а попадали на локальный по определённым портам керя у меня стоит 6,2,3 кто сталкивался расскажите как настроить правильно

Господа - после установки керио на машину с двумя сетевыми - на машине с керио пропал доступ к внутренним шарам, точнее через \\server\ddd все проходит а вот сетевое окружение недоступно. Сеть без домена - раб группа.
Наверняка есть сольюшн. Трафик с локального интерфейса на файрвол и обратно по всем портам открыл.

khris2005
А причем здесь почтовик? Я об AppToService говорил!!!

cfkmdbz
Configuration\Traffic Policy в колонке Translation двойной клик и в Destination NAT (Port Mapping) ставишь куда и на какой порт перенаправлять

При настройке возникла проблема. Выход в инет настроен через NAT. С инет серфингом нет проблем, а вот аська например не работает. Приходится ее через проксю пускать. Порт для аськи в правиле прописан. Также ping и telnet не хотят работать с юзверьских тачек. В status\connections я вижу попытки пинга и подключения по telnet, а также попытки коннекта асечных клиентов, но для юзерских машин сервисы не доступны. Я даже в колонке service ставил any. Не помогает. Может где-то галочка есть хитрая какая-нибудь. Версия Kerio 6.3.

Добавлено:
Кстати mailagent например вчера работал(причем только у меня;на других компах не работал), а сегодня при тех же условиях не работает(только через проксю).

Dr_Spectre

Цитата:

после установки керио на машину с двумя сетевыми

Мало инфы. По IP зайти можешь? Правило локалки на самый верх поставил?

Hi ALL!
Стоит винроут 6.4.0.3176
2 сетевухи + инет через PPPoE.
Проблема:
все время флудит в лог сообщениями
[30/Oct/2007 19:33:08] DIAL firewall="<имя хоста тут>" hostip="127.0.0.1" hostname="localhost" line="" reason="Custom settings for dial line" time="Tue Oct 30 19:33:08 2007" username="not logged yet"
[30/Oct/2007 19:33:11] DIAL firewall="<имя хоста тут>" hostip="127.0.0.1" hostname="localhost" line="" reason="Custom settings for dial line" time="Tue Oct 30 19:33:11 2007" username="not logged yet"
[30/Oct/2007 19:33:14] DIAL firewall="<имя хоста тут>" hostip="127.0.0.1" hostname="localhost" line="" reason="Custom settings for dial line" time="Tue Oct 30 19:33:14 2007" username="not logged yet"
[30/Oct/2007 19:33:17] DIAL firewall="<имя хоста тут>" hostip="127.0.0.1" hostname="localhost" line="" reason="Custom settings for dial line" time="Tue Oct 30 19:33:17 2007" username="not logged yet"
[30/Oct/2007 19:33:20] DIAL firewall="<имя хоста тут>" hostip="127.0.0.1" hostname="localhost" line="" reason="Custom settings for dial line" time="Tue Oct 30 19:33:20 2007" username="not logged yet"
[30/Oct/2007 19:33:23] DIAL firewall="<имя хоста тут>" hostip="127.0.0.1" hostname="localhost" line="" reason="Custom settings for dial line" time="Tue Oct 30 19:33:23 2007" username="not logged yet"
[30/Oct/2007 19:33:26] DIAL firewall="<имя хоста тут>" hostip="127.0.0.1" hostname="localhost" line="" reason="Custom settings for dial line" time="Tue Oct 30 19:33:26 2007" username="not logged yet"
[30/Oct/2007 19:33:29] DIAL firewall="<имя хоста тут>" hostip="127.0.0.1" hostname="localhost" line="" reason="Custom settings for dial line" time="Tue Oct 30 19:33:29 2007" username="not logged yet"
[30/Oct/2007 19:33:32] DIAL firewall="<имя хоста тут>" hostip="127.0.0.1" hostname="localhost" line="" reason="Custom settings for dial line" time="Tue Oct 30 19:33:32 2007" username="not logged yet"
[30/Oct/2007 19:33:35] DIAL firewall="<имя хоста тут>" hostip="127.0.0.1" hostname="localhost" line="" reason="Custom settings for dial line" time="Tue Oct 30 19:33:35 2007" username="not logged yet"

При этом PPPoE подключено а в этих сообщениях даже не появляется имя соединения ( line="" ). Как это безобразие прекратить?

Kerio Winroute Firewall ограничивает траффик

стоит KWF 6.2.1 b1454. при скачивании с этой машины скорость ~3мб/с
Если KWF отключить - скорость ~20-30мб/с. bandwidth limiter отключен.
Подскажите плз - где собака порылась?

Yips
Именно! Инет есть только в терминале, а не в локальной сетке. И на этом терминале ничего кроме керия, АД и антивируса нет.
Про мощь керия не понял что имелось ввиду.

Добавлено:
Hrist
Всё правильно разжевал, спасибо!
АД здесь юзается для однократной аутентификации на терминале. Можно и не пользоваться она не влияет на ситуацию.

Вот только в текущей версии керия (6.4.0) эта фича

Users and Groups - Users - Authentication Options - Enable non-transparent proxy server authentication (Each browser session will require user authentication. This is useful in Citrix or Terminal Service environments, where multiple users authenticate to the firewall from the same computer.)

работает криво. (
1. Не пишется база STaR и как следствия не работают квоты.
2. Не работает вместе с автоматической аутентификацией через браузеры.

Зато в http.log всё правильно!

Врет статистика на KWF 6.3

Стоял Kerio Winroute Firewall 5-х версий, потом перешел на 6.1, а недавно из-за отчетов по статистике пользователей перешел на 6.3 (поставил поверх) и получил врущую статистику по нескольким пользователям. Например, показывет, что юзверь ползовал инет ночью, когда абсолютно точно его комп был выключен. Снес весь KWF и переписал только user.cfg winroute.cfg (неохота все правила и всех юзьверей по-новой заводить), но все повторилось. Кто сталкивался с таким? Где могут быть грабли?

Спасибо.

JohnnySE

Цитата:

Может надо снести это:
<variable name="AdPasswd">DE3:76aac40d70462cf59531deccafd523da3a901054ab4c5c717fd3b2712069</variable>???????
Добавлено:
Попробовал - не помогает, правда службу не перезапускал

именно его и надо снести... вот только конфиги правять при выключенном - остановленном - сервисе иначе изменения не примуться...


Добавлено:
kvazigorynich

Цитата:

При настройке возникла проблема. Выход в инет настроен через NAT. С инет серфингом нет проблем, а вот аська например не работает. Приходится ее через проксю пускать. Порт для аськи в правиле прописан. Также ping и telnet не хотят работать с юзверьских тачек. В status\connections я вижу попытки пинга и подключения по telnet, а также попытки коннекта асечных клиентов, но для юзерских машин сервисы не доступны. Я даже в колонке service ставил any. Не помогает. Может где-то галочка есть хитрая какая-нибудь. Версия Kerio 6.3.

вы уверены что локальные машины серфят через нат? в настройках ИЕ на этих машинах отключено использование прокси-сервера? в настройках сетевых - забиты шлюзом и днс ип машины на которой стоит керио? вобщем то правило хорошего тона - задавая подобные вопросы - выкладывать результаты ipconfig на машине с керио и локальной машины + скриншот трафик полисей

Добавлено:
x_Dream

Цитата:

При этом PPPoE подключено а в этих сообщениях даже не появляется имя соединения ( line="" ). Как это безобразие прекратить?

скриншот закладки интерфейцес в керио - и распиши какой интерфейс для чего оставлен.

Добавлено:
rainforcer

Цитата:

Стоял Kerio Winroute Firewall 5-х версий, потом перешел на 6.1, а недавно из-за отчетов по статистике пользователей перешел на 6.3 (поставил поверх) и получил врущую статистику по нескольким пользователям. Например, показывет, что юзверь ползовал инет ночью, когда абсолютно точно его комп был выключен. Снес весь KWF и переписал только user.cfg winroute.cfg (неохота все правила и всех юзьверей по-новой заводить), но все повторилось. Кто сталкивался с таким? Где могут быть грабли?

какие отчеты имеются в виду? стар через веб морду? там отчетов то по сути нет толковых...

врет по всем юзерам? проксиИнспектор по логам то же самое показывает? с того же ип юзверь ночью засветился или с другого? я бы скорее всего задумался - с какой машины и кто и как мог зайти под логином юзера в интернет

Добавлено:
jeraf

Цитата:

работает криво. (
1. Не пишется база STaR и как следствия не работают квоты.
2. Не работает вместе с автоматической аутентификацией через браузеры.

Зато в http.log всё правильно!

по второму пункту понятно - оно и не будет - ведь привязка идет к каждой сессии браузера а не к машине+логин входящего...

по первому пункту странно - работа через не прозрачный проксик тарифицируется нормально кажись - вот только у вас может получилась ситуация что - некоторые порты работают через нат - некоторые через проксик непрозрачный... может быть еще у вас отключен протокол инспектор на правиле проксика - его советуют отключать иногда дл поп и смтп - люди отключают забывая сделать раздельные правила и в итоге отрубают на все протоколы скопом... а может и еще что то - настроек много где можно накосячить...

Добавлено:
taooo

Цитата:

Kerio Winroute Firewall ограничивает траффик
стоит KWF 6.2.1 b1454. при скачивании с этой машины скорость ~3мб/с
Если KWF отключить - скорость ~20-30мб/с. bandwidth limiter отключен.
Подскажите плз - где собака порылась?

прввила на локалку - в самый верх, на этих правилах отключить протокол инспектор - будет по быстрее...

(kerio 6.3, прикручен кабан)
31.10.2007 обнулилась статистика по нескольким пользователям, причем так обнулилась, что больше не обновляется.. само собой все квоты у меня не работают. В керио-старе статистика нормально отображается, все логи живы. Кто сталкивался с проблеммой?

paparaci
Читай предыдущие страницы

Hrist


Цитата:

rainforcer

Цитата:Стоял Kerio Winroute Firewall 5-х версий, потом перешел на 6.1, а недавно из-за отчетов по статистике пользователей перешел на 6.3 (поставил поверх) и получил врущую статистику по нескольким пользователям. Например, показывет, что юзверь ползовал инет ночью, когда абсолютно точно его комп был выключен. Снес весь KWF и переписал только user.cfg winroute.cfg (неохота все правила и всех юзьверей по-новой заводить), но все повторилось. Кто сталкивался с таким? Где могут быть грабли?


какие отчеты имеются в виду? стар через веб морду? там отчетов то по сути нет толковых...

врет по всем юзерам? проксиИнспектор по логам то же самое показывает? с того же ип юзверь ночью засветился или с другого? я бы скорее всего задумался - с какой машины и кто и как мог зайти под логином юзера в интернет

Статистика - она одна. Стар - вариант ее отображения (имхо).
Таких пользователей несколько.
Никто под паролем пользователя не входил точно.
Бог бы с ними с отчетами, нельзя использовать квоты - наутро у человека стоит, что он использовал 100% трафика.

Подскажите люди добрые, хочу поставить kerio winrout но при этом использовать родной VPN (система 2003R2 SP2) насколько я понимаю это вполне реально, если да то что мне нужно сделать открыть какие то порты , вопрос какие? Мапить насколько я понимаю не надо так как RRAS на той же машине что и winrout жить будет то есть на шлюзе.

спасобо за ответы, уже сам разобрался, вопрос снимается

Hrist
Не совсем понял почему по 2ому пункту так и должно быть? Причём здесь привязка к каждой сессии браузера и невозможность NTLM аутентификации через него? Никаких особых правил ни в трафик, ни в хттп полиси нет, это тестовая конфигурация. Пользователи в инет (только хттп и хттпс) ходят только через прокси, никакого ната нет. Протокол инспектор включен.

Кто подскажет? Стояла версия 6.2.3, сейчас стоит 6.3.1 . В обеих проблема при работе с ФТП с хоста с KWF . Соединение подвешивается при выполнении команды LIST, STOR. С других машин(работают через НАТ) проблем с этим нет.

аналог KWF под линухой есть?

paparaci

Цитата:

(kerio 6.3, прикручен кабан)
31.10.2007 обнулилась статистика по нескольким пользователям, причем так обнулилась, что больше не обновляется.. само собой все квоты у меня не работают. В керио-старе статистика нормально отображается, все логи живы. Кто сталкивался с проблеммой?

да. слетела у многих... как вернуть ее так и не нашел... но статистика обновляется и квоты работают - правда я stats.cfg и вообще все конфиги скинул из предыдущего этому дню архива - может по этому...

jeraf

Цитата:

Не совсем понял почему по 2ому пункту так и должно быть? Причём здесь привязка к каждой сессии браузера и невозможность NTLM аутентификации через него? Никаких особых правил ни в трафик, ни в хттп полиси нет, это тестовая конфигурация. Пользователи в инет (только хттп и хттпс) ходят только через прокси, никакого ната нет. Протокол инспектор включен.

нет - конечно по логике не долно быть так... а по лоигке керио - фиг поймешь... ведь даже без НТЛМ керио должен был бы понять что если на том же самом компе чел работает под другим логином - то у него должна быть новая верификация - ан. нет. если под другой сессией (логином) уже успели зайти на этом компе и авторизоваться - то и этот пойдет в инет под предыдущим юзером... маразм конечно... тут или включать запрос логина на каждую сессию эксполера или включать автомат разлогинивания каждые 5 минут - и так и так - будет куча воплей юзверов - что достало остоянно вводить логин пароль...


Добавлено:
rainforcer

Цитата:

Статистика - она одна. Стар - вариант ее отображения (имхо).
Таких пользователей несколько.
Никто под паролем пользователя не входил точно.
Бог бы с ними с отчетами, нельзя использовать квоты - наутро у человека стоит, что он использовал 100% трафика.

я бы то же верил что она одна - а тут люди утверждают что у них статистика обнулилась а в старе видна... хм...

а если логи включить на всех правилах и посмотреть по логам - что ночью там происходит?


AFT

Цитата:

аналог KWF под линухой есть?

в варезном разделе посмотри - есть и под линух... и говорят есть даже и под аппл

Добавлено:
http://www.fcenter.ru/online.shtml?articles/software/interview/22632
интервью с руководителями - менеджерами Керио

Цитата:

нет - конечно по логике не долно быть так... а по лоигке керио - фиг поймешь... ведь даже без НТЛМ керио должен был бы понять что если на том же самом компе чел работает под другим логином - то у него должна быть новая верификация - ан. нет. если под другой сессией (логином) уже успели зайти на этом компе и авторизоваться - то и этот пойдет в инет под предыдущим юзером... маразм конечно... тут или включать запрос логина на каждую сессию эксполера или включать автомат разлогинивания каждые 5 минут - и так и так - будет куча воплей юзверов - что достало остоянно вводить логин пароль...

Бинго! Для этого и нужна автоматическая NTLM аутентификация через браузер! В теории всё получается очень красиво, а на практике имеем такой ответ из техподдержки керия:

And automatic user authentication via NTLM is disabled for performance reasons. Web browser sends authentication request every time when user creates a new connection and each request would have to be process by firewall and it takes some time (about three seconds).

По статистике вот это ответили:

this option affect http(s) communication only, so user quota won't work correctly

т.е. просто банально отключили её в этом случае.

Нигде в документации не описав ничего.

Hrist


Цитата:

rainforcer

Цитата:
Статистика - она одна. Стар - вариант ее отображения (имхо).
Таких пользователей несколько.
Никто под паролем пользователя не входил точно.
Бог бы с ними с отчетами, нельзя использовать квоты - наутро у человека стоит, что он использовал 100% трафика.
я бы то же верил что она одна - а тут люди утверждают что у них статистика обнулилась а в старе видна... хм...

а если логи включить на всех правилах и посмотреть по логам - что ночью там происходит?

Ночью сервер ломится в инет за обновлениями антивирусов. В логах (HTTP) все корректно (серверы проходят авторизацию по IP, а не по логин-пароль).

Что может быть, как думаете?

Уважаемые, подскажите, какие из последних версий х86 ставятся на платформу х64?
К примеру 6.4.0 наотрез отказывается, требует только х64 для х64

dm81 там вроде как две версии всегда было х86 и х64

проблема со статистикой в 6.4 тоже проявляется? есть ли смысл переходить?

Сограждане есть такая проблема:
1) Имееться 2 выхода в инет (спутник и ADSL)
2) Есть разные виды трафика (игровой, HTTP и еще другие =) )

Нужно как то сделать так что бы в зависисмости от протокола трфик лез в разные "Ворота" (Gateway). Конечно я наслышан что в Винде такое не решаеться ее средствами, но вот сторонними программами решаеться. Хотел узнать ест литакая возможность в керио ну или возможно ли прикрутить еще чо нить что бы решить эту проблему. Конечно рассматривал вариант прописать статические маршруты до игровых серверов ручками... но вот решение это явно не гипкое и ненаджежно в силу того что IP адресочки могут и замениться... Возможно есть решение через какие нибудь протоколы маршрутизации? Если кто что нить думал на этот счет - поделитьесь! Заранее благодарен.

попробовал переместить логи из папки LOGS.. 0-эффект. Также удалял stats.cfg, безрезультатно. Как у кого успехи? Есть мысли в чем заглюк?


кстати у кериостара точно своя база, и что поразительно совершенно не косячит

Написал кучу запретов после чего winrout.cfg стал примерно 500к
перезагрузил машину winrout.cfg уменьшился до 190к - где копать ?

SVR
Если коротко - то можно.
Но! Выход.траф будет все равно через один канал. А вот вход.траф - с какого нужно.

Цитата:

Arakcheev

SVR
Если коротко - то можно.
Но! Выход.траф будет все равно через один канал. А вот вход.траф - с какого нужно.

Такой способ я понял, но вот он не годиться, нужен как раз настоящий "развод", чтобы и исходящие каналы были разные.

Цитата:

Такой способ я понял, но вот он не годиться, нужен как раз настоящий "развод", чтобы и исходящие каналы были разные.

У тебя что, спутниковый интернет двусторонний?!
Если обычный - тарелка только на прием - то предложенный тебе вариан правильный