» Kerio WinRoute Firewall (часть 3)

помогите!!!!

Есть шлюз в сети 192.168.1.1

Есть машина с КериоФайрВол 192.168.1.40 (одна сетевая карта!!!!!!!!!!)
Срочно нужно настроить так, чтобы все пользователи выходили через неё!!!!
(пускай с гемороем)

почему так надо потом объясню!!!!!! извините, надо срочно, поставить вторую сетевую не вариант!!!!

Jedai109

Ты меня конечно извини, но чтобы все пользователи ходили через 1.40 с одной сетевой картой, нужно проделать в системнике дверь.

Если тебе СРОЧНО!!!!!!!!!!!!! НУЖНО!!!!!!!!!!!!!!!!!! пускай с гемороем!!!!!!!!!!!!!!

то советую сразу разбежаться и убить себя об стену. Только разбежись побыстрее, чтобы наверняка.

А если тебе нужно по-быстрому на базе KWF соорудить шлюз с интерфейсом 1.40, то ты должен знать, что шлюз - это такое устройство, которое предполагает две и более сетевые карты. И без вариантов.

Как ваирант, можно заюзать 1.40 в качестве прокси, тогда, действительно, достаточно одной сетевой карты, но шлюзом все равно для этого прокси должен быть 1.1.

И если ты хочешь чтобы все можно было сделать очень быстро, что тогда у тебя должны быть выполнены следующие требования:

Развернут Active Directory
Развернут DHCP и DNS на контроллере домена
Поднят локальный web-сервер
Все юзеры используют Internet Explorer
Всеми этими штуками ты должен уметь пользоваться.

Вот тогда можно действительно относительно быстро настроить прокси и, не вставая со своего рабочего места, принудительно перенаправить всех пользователей на этот прокси.
Но судя по тону твоего вопроса, я сильно сомневаюсь, что все эти условия выполнены.


Добавлено:
anatoly2002

KWF как раз та программа, которая отслеживает портсканы. Посмотри внимательно в логах - при обнаружении портскана KWF пишет, с какого IP произошел портскан. А дальше ты делаешь скрин всего того что установлено на машине, а также скрин диспетчера процессов - и выкладываешь в студию.

Почти 100% что это - скайп.

Jedai109
Что стоит на 1.1???
HotPaganini

Цитата:

Если тебе СРОЧНО!!!!!!!!!!!!! НУЖНО!!!!!!!!!!!!!!!!!! пускай с гемороем!!!!!!!!!!!!!!
то советую сразу разбежаться и убить себя об стену. Только разбежись побыстрее, чтобы наверняка.
А если тебе нужно по-быстрому на базе KWF соорудить шлюз с интерфейсом 1.40, то ты должен знать, что шлюз - это такое устройство, которое предполагает две и более сетевые карты. И без вариантов.

Ну зачем же так котегорично... Некоторые рекомендуют такой вариант когда шлюз отправляет трафик на сниффер...


Цитата:

Развернут Active Directory
Развернут DHCP и DNS на контроллере домена
Поднят локальный web-сервер
Все юзеры используют Internet Explorer

А локальный web-сервер зачем? С остальным вроде понятно... Хотя DHCP тож не критично... Если юзер локальный админ он сменит ИП как с DHCP так и без него...

И самое главное не забываем ещё и о прозрачном проксировании, правда не уверен на счёт HTTPS но вполне можно замутить...

спасибо за посыл об стену...
пишу с кпк - долго объяснять почему нельзя вторую сетевую. итак:


на 192.168.1.1 стоит никс-он является шлюзом в интернет. на нем есть и вторая сетевая-интернет интерфейс. Жаль что у нас только один выделенный ip.
к этой машине доступа у мня нет. но машина должна быть..на ней кроме почты много чего....


есть машина 192.168.1.100
на ней есть AD, dns, dhcp

есть моя машина 192.168.1.40

прошу дать более подробное решение задачи, используя KWinrouteFirewall
(очень прошу не давть решения-типа убранить никс сервер, заказать второй выделенный ip, .. убиться о стену и т.д. , прошу дать развернутый ответ на задачу с одной сетевой платой)
может можно вирт сетевуху поднять или как в данном случае исп снифер и какой) если можнл чуть подробне

Jedai109, что то похожее обсуждается здесь

Jedai109

Написал там - хочешь прочти.

вообщем я так и не разобрался с https
из локалки через керио устанавливается нттрс всё работает но тока не через ie
когда в ie открываю страницу https к примеру gmail то бразузер просто закрывает ничего не говоря, страно что webmoney открывается но сначала ставит сертификат
генерировал сертификат на керио и подставлял его в ie всё равно вырубается
в других браузерах всё ок но нужен ie (и добавлял в довер. и сертификаты и всё пох)
как настроить чтоб в ie открывались все https (вчастности gmail)
в керио всё ок
не открывается только https (gmail) и не которые другие https
и может ли ie вырубатся если не может проверку провести сертификатов
я так понимая проблема не с керио тк с других браузеров открывает и скорей всего ie через керио сертификат дето теряет
ишака чёт вообше загибает https (тока не говорите новую 7 версию поставить,не помогает)
проблема не с почтой не путайте а с https googla и с др.

Jedai109

Цитата:

на 192.168.1.1 стоит никс-он является шлюзом в интернет. на нем есть и вторая сетевая-интернет интерфейс. Жаль что у нас только один выделенный ip.
к этой машине доступа у мня нет. но машина должна быть..на ней кроме почты много чего....

Тогда практически никак...

Цитата:

StBender

Цитата:

Yips

u menia stait dhcp no v table dhcp pachemuta ne pakazivaetsa hostaname tolko pishet ip adress i mac adress a v hostname savsem puto.
a esli ia kaknibut zabalakiruiu ego mac adress on uje ne smojet polzavatsa inetam i sam pribijit kamne za pomoshiu

i vtaria prablema vtom chto on vruchnuiu pitalsa pastavit ip adress servera. i u servera bil canflict ip. a venetax ia pasmatret i tam napisano chto tot samii mac adress pitalsa

vot takaia prablema

народ, а что пишется в лог diag?

незнаю, но каким-то образом, но сегодня всё стало работать!!!!!!
вот фотки.

вторую сетевуху не поставить - стоит одна WIFI 192.168.1.40

как быть дальше с этим пока не знаю

svanidze, поставь в тп, чтобы только авторизованные пользователи имели доступ в инет. И тогда сколько бы он не пытался, без авторизации он получит шишь с маслом. ТЫ знаешь где у тебя какой компьютер стоит? Дошёл бы до него, по ушам съездил. Или у тебя просто домашняя сетка?

Jedai109

Цитата:

незнаю, но каким-то образом, но сегодня всё стало работать!!!!!!

Угу

Только как то странно оно работает... Я увидел ТОЛЬКО твои соединения на ру-боард и на винроуте.ру мож я ошибаюсь но у тебя вроде как не один сетевой интерфейс...

Цитата:

StBender

da net na rabote
sdes 6 etajov gde ego iskat i ne znaiu atobi sudavolstviem.
ti skazal pastavit tp a eta chto takoe ??

dumaiu skoro kupiat cisco firewall i takix prablem ne budet

svanidze, гкхм. В керио есть такая вкладка как Traffic Policies, в простонародье ТП. В котрой задаются основные правила доступа различных источников к различным сервисам в интернете. Если почитать керивский фак, и немножко приложить голову, то все проблемы решатся созданием одного или нескольких правил в ТП. Насколько понимаю, у тебя сейчас настроено, чтобы просто локальная сеть ломилась в инет. Никакой авторизации у пользователей нет? Если так, то ты можешь задать не локальную сеть, а конкретный диапазон IP адресов, которым можно выходить в интернет. (Заменяешь интерфейс локал на диапазоны IP-шников.) Ничего сложного там нет, просто надо приложить некоторые умственные усилия.

Jedai109, а может тебе просто поставить какой-нибудь Юзер Гейт, для твоих целей?

Помогите советом. Стоит задача синхронизировать КПК с разных мест с компьютером в локальной сети. Сейчас ТП выглядят примерно так:



Как видите правило "Palm Symchronizing" все отлично разруливает, если заходить с чужих точек доступа.
Какое правило нужно создать чтоб не меняя настроек на КПК (там прописан внешний IP интерфейса "Star") синхронизироваться, подключившись к локальной Wi-Fi сети. Точка доступа подключена к другой сетевой карте - "Подключение по локальной сети" 192.168.1.1)

AndV
Попробуй такое (должно быть выше Local Traffic):
Name - local net - Firewall - TCP 14238 - Permit - x - NAT (интерфейс локльной сети)
MAP 192.168.1.3:14238

Всем добрый день.

Есть вопрос.
У меня поднят сервер 2003 на нем стоит Kerio.
На сервере поднял виндовый VPN, только если включен Kerio он не работает.

Подскажите пожалуйста как их подружить.

Заранее спасибо.

kharkovmax
Правило для разрешений и интерфейс создай в керио.

Ruza

Правило для разрешений на PPTP и ERP?

А интерфейс какой ?
VPN тунель ?

Может подскажете более подробно как нужно сделать?

kharkovmax
Из того что ты написал - не совсем понятно какую роль играет сервер - либо он VPN сервер либо клиент...

Поэтому и размытый ответ. Ты уж сам придумай что делать...

Когда я делал впн-сервер с керио то разрешал входящий РРТР и отключал protocol inspector потому как с ним что-то не работало.

kharkovmax, в случае с сервером правило вида:
Сурс: инет_фейс
Дест: файервол
Сервис : ППТП и ГРЕП
Акшен: галкка
Транслейшн: нон

Если ты клиент, то сурс и дест меняются местами, а на транслейшене будет стоять инет_фейс.
Должно и работать.

Разъясню ситуацию.

Есть Сервер 2003. На нем как фаервол стоит Kerio.

Хочу Сервер 2003 изпользовать как сервер VPN, VPN хочу поднять не от Kerio, а обычный виндовый.

Без керио я виндовый VPN сервер настроил и он работает, но если включаю Kerio, то клиент цепляется, т.е. проходит авторизацию на сервере VPN и т.д., но ни какие пакеты никуда не ходят.

kharkovmax

Видимо в трафик полиси (Керии) не прописаны никакие разрешения на сеть (айпишники) выдаваемые вонью2003 ВПН клиентам.

kharkovmax, а правила, что я тебе написал не пашут чтоли?

Цитата:

grechikhin

Да этого я не прописывал, но как тогда указать с какого интерфейса приходят пакеты?
Ведь на сколько я понял виндовый VPN поднимает что то типа виртуального интерфейса, а в Kerio он не появляется, поэтому от чего давать разрешения ?

Общее развешение на сетевую на которую конектится клиент (которая смотрит на инет) есть.


Цитата:

StBender

Еще не пробовал т.к. это все дома стоит, вечером попробую. Но вопрос тот же, какой Сурс: инет_фейс указывать ???

Возможно я чего то не понимаю, не пинайте меня сразу )))

Интерфейс интерфейс... какой такой интерфейс... не видел никакого интерфейса (с) Кирпич из "Места встречи изменить нельзя"

На нижнем уровне под интерфейсом кериа всегда понимает айпишники или сети айпишников, так что твоим решением вполне может быть правило, в которм в сурсе указана айпи сеть впновская, а в дестинейшене айпи сеть в которую нужно попасть впн клиентам, а вот натить тебе или роутить (то бишь достаточно будет галки "пермит) зависит от настроек винды.

VPN сервер раздает клиентам адреса с 192.168.30.1 по 192.168.30.10
Адрес сервера VPN при подключении получается 192.168.30.1

Прописал в керио правило с этих адресов на фаервол и с фаервола на эти адреса.
Пробовал натить не работает. Правило поставил первым, включил в нем протокол ICMP, как минимум пинг должен ходить.

Ничего не работает и не пингуется, только выключаю Kerio все нормально работает.
Наверное Вы не правы. Не может быть такого что VPN от Kerio при его включении как то активируется и блокирует другие подключения по VPN, в том числе и виндовое.


Добавлено:
Добавлю не пингуется ни сервер ни клиент. Т.Е. адрес сервера 192.168.30.1 а клиента 192.168.30.2 тут нечего натить или роутить.

Но чудес то не бывает... или я не прав?!

Интересно конечно было бо взглянуть на само правило, хотя мало что оно само по себе мне скажет... Я бы попробовал расширить зону доступа для впн клиентов не только к керии но и дальше, опять таки может существуют какие-либо блокирующие правила?

Ну и проверить таблицу маршрутов:
при выключенном керии и включенном впн соединении
при включенном керии и включенном впн соединении

А то есть подозрение, что просто сеть 192.168.30.0/24 существует как сама по себе
На эту тему можно пробовать в керии маршрут прописать, но так как эта опция оперирует виндовой таблицой маршрутов думаю, что при проверке все и обнаружится.

Собсно успехов Вам!

Добавлено:
Да и кстати, не плохо бы разрешить несущий протокол GRE или на чем впн поднят?

kharkovmax
Hint: Попробуй включить логирование на последнем правиле ("Deny All To All") и посмотри в логе что блокируется при попытке подключения по впн.