» Kerio WinRoute Firewall (часть 3)

2noblekey
Настройки c двумя сетевыми...в домене...
Интернет подключен через оптоволокно, стоит маршрутизатор Dlink (как шлюз) 192,168,1,7 для выхода в интернет в котором прописан IP провайдера, шлюз, маска, днс, ну и так порты закрыты не нужные...

На клиентах пишут,- что нужно указывать шлюз IP-компа с установленным KWF, а по сути, у нас есть ещё один шлюз (маршрутизатор) 192,168,1,9-для подключений по туннелям (не интернет) к офисам?

1.localka
192.168.1.55-ip
255.255.255.0
gateway-не указал.
192.168.1.2 DNS_локальный сервер

2.ineternet
192.168.1.5-ip
255.255.255.0
192.168.1.7-gateway
192.168.1.2-dns

далее правила: уже после дорлги попыток самостоятельно настроить , создал с помощью мастера...
Где lan-локалка, где internet-сетевая в интернет...

Loacl traffic->lan,firewall,dial-in,vpn-client->lan,firewall,dial-in,vpn-client->ANY
Firewall traffic->firewall->internet->DNS,FTP,HTTP,HTTPS,IMAP,POP3,SMTP,TELNET,PPTP
NAT->lan,dial-in->internet->DNS,FTP,HTTP,HTTPS,IMAP,POP3,SMTP,TELNET,PPTP
Ident->internet->firewall->Ident
ICMP traffic->Firewall->Any->Ping
ISS OrangeWab Filter->Firewall->Any->HTTPS,TCP 6000
Service HTTPS->internet->Firewall->HTTPS
Service Kerio VPN->internet->Firewall->KerioVPN
Ну подскажите! Голова уже скоро в кубик рубик превратится! Уже 3 дня пытаюсь с двумя сетевухами настроить ит не получается!

блин... да поместите уже в шапку ссылку на FAQ
brizer, пристальное внимание уделить пункту 10.1

Мужики, подскажите плиз!

проблема собственно сам сервак с Kerio WinRoute наружу не ходит,
т.е. HTTP, FTP... не по имени не по ипишнику... IE Експлолер шото пытаеться, потом окна на усиленну безопасность "блокирование узла about:internet" и т.п. -> страница недоступна.
Пинг проходит и по имени и по ИП. Все другие машины домена ходят легко.

извиняюсь за предидущую "потеряную" строчку

Wise_Man, у тя что... KWF на 2kX Server'е стоит?

[q][/q]
не

w2k3
ну вот, ответил уже - нет

Serv2003 sp2 + DC

---

диалог:
- у тебя керио стоит на w2k3?
- нет, - на Serv2003sp2

Wise_Man
я это и имел в виду 2kХ - 2000, 2003 или 2008 Server.

Цитата:

Такая важная для каждого сисадмина программа, как Internet Explorer, по умолчанию в Windows Server 2003 имеет очень жесткие настройки безопасности: он переведен в состояние Internet Explorer Enhanced Security Configuration, в котором открыт доступ только к проверенным доменам. На практике это означает блокировку всего Интернета. Чтобы привести настройки безопасности IE в нормальное состояние, необходимо в диалоге Internet Options на странице Security перевести движок в положение Medium.

Цитата:

Рассматриваем три самых распространеных общих случая:

1. Одноранговая сеть, без домена, точнее без DNS-сервера, в качестве шлюза в Интернет используется отдельная машина с установленным Winroute;
2. Сеть с доменом, DNS-сервер находится на DC (контроллере домена), в качестве шлюза в Интернет используется отдельная машина с установленным Winroute;
3. Сеть с доменом, DNS-сервер находится на DC, Winroute также установлен на этот DC.

Третий вариант категорически не рекомендуется по соображениям безопасности и здравого смысла, но к сожалению применяется довольно часто в небольших сетях, где домен уже есть, а денег уже нет

Да пробовол я, и понизить безопасность, и добавить в доверенную зону...
Работает токо если остнаовлю Керию.

Wise_Man, тады показывай Traffic Policy.
Правило Firewall traffic есть?

Цитата:

Правило Firewall traffic есть?

есть: Firewall -> wan DNS,HTTP,FTP и пр. Permit...
Заприщающих политик выше нету.

2ALOne
Всё спасибо заработало!!!
Щас в правлилах по закрываю дыры и буду тестить...
А в ДНС пересылку включить нужно на адрес внутреней (локальной сетевухи) или на внешнию сетевуху, и то же на клиентах- в шлюзе указывать IP адресс внутренней сетевухи? Правлильно понимаю, везде - там и там адрес внутренней (локальной) сетевухи!

brizer, да на внутренний интерфейс машины с KWF, а на KWF поставить DNS forwarding на DNS сервер прова.
На клиентах: шлюз - внутренняя карта KWF, DNS - DC.


Добавлено:
Wise_Man
всё-таки "сфоткай" TP. Так будет яснее.

AlOne

Цитата:

всё-таки "сфоткай" TP. Так будет яснее.

Подскажи плиз как проще эт сделать.
Я то скриншоты зделал, а как и куда их выкласть ?? извини, в Инете еще слаб...
с Керио на CTR+S токо интерфейсы в текст сохраняет мож есть другой способ?

Цитата:

куда их выкласть ??

http://www.imageshack.us/

Wise_Man
http://foto.radikal.ru/

5555555,AlOne


_http://img53.imageshack.us/my.php?image=ker1zr0.jpg
_http://img169.imageshack.us/my.php?image=ker2lh1.jpg

Добавлено:
AlOne

Цитата:

Цитата:Такая важная для каждого сисадмина программа, как Internet Explorer, по умолчанию в Windows Server 2003 имеет очень жесткие настройки безопасности: он переведен в состояние Internet Explorer Enhanced Security Configuration, в котором

для полноты экпиремента попробовал Мозилу - "Время ожидания соединения истекло"...


Цитата:

3. Сеть с доменом, DNS-сервер находится на DC, Winroute также установлен на этот DC.
Третий вариант категорически не рекомендуется по соображениям безопасности и здравого смысла, но к сожалению применяется довольно часто в небольших сетях, где домен уже есть, а денег уже нет

та ото ж

Добавлено:
еще:
я возможно перемурил, при установке VPN поставил, потом отключил (в сетевые подключения он висит токо запрещен)

Wise_Man
ipconfig /all (хотя бы внутреннего интерфейса)

Настройка протокола IP для Windows


Имя компьютера . . . . . . . . . : routreg
Основной DNS-суффикс . . . . . . : regal.loc
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : regal.loc

lan - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet NIC #2
Физический адрес. . . . . . . . . : 00-хх-хх-хх
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.0.100
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 192.168.0.100
192.168.0.5


wan - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet NIC
Физический адрес. . . . . . . . . : 00-хх-хх-хх
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 10.142.1.100
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 10.142.1.97
NetBIOS через TCP/IP. . . . . . . : отключен

Wise_Man
dns серверы указаны в настройке своей зоны по пересылке?
а на внешнем-то интефейсе пробиты dns?

Сервер DNS поднят на той же машине, пресылка там включена, тесты проходят. В Керии ДНС форвардинг отключен. Кроме того по ИП тож не идет. И, повторяюсь, останавлюю карию - все работает. ???

Столкнулся с такой проблемой. При включении IIS OrangeWeb Filter и соответствующего правила в URL Rules для него () неавторизованные пользователи получают частичный доступ в интернет. В настройках пользователей стоит галочка - требовать авторизации. Авторизация осуществляется через Active Directory. Пока правило не задействовано - все работает правильно, доступ в интернет имеют только определенные пользователи. Однако после его включения - у "левых" пользователей подключается к сети программа Mail Agent, настроенная через прокси, но безо всякой авторизации( При этом через браузер выйти в интернет у них не получается - выскакивает табличка авторизации. Что за странный глюк??? При этом URL правило мучил по-всякому - и для всех, и для определенных пользователей... Все равно такая хрень. Может кто сталкивался?

AlOne
10nx вроде все разрулил

все таки попробуй прописать днсы на внешнем интерфейсе, да и в керио на первый взгляд не помешают (по крайней мере попробовать можно ) такое подозрение, что с локали запросы днм по кругу ходят

Wise_Man, FAQ читал?
цитирую в применимой к твоему случаю части:

Цитата:

1. Настройка DNS в одноранговой сети.

Настройки внутренней сетевой

192.168.0.1 - IP-адрес компьютера с Winroute
255.255.255.0 - маска.
192.168.0.1 - в качестве DNS-сервера указываем IP-адрес этой же сетевой

Шлюз НЕ указываем!


Дальше, берем настройки, данные нам провайдером, допустим такие:

ip 80.237.0.99 - реальный IP
mask 255.255.255.240 - маска
gate 80.237.0.97 - шлюз
dns 80.237.0.97 - DNS провайдера


Но! Не забиваем их втупую во внешнюю сетевую, а делаем немного по-своему:

ip 80.237.0.99
mask 255.255.255.240
gate 80.237.0.97
dns 192.168.0.1 - в качестве основного DNS-сервера указываем IP-адрес внутренней сетевой;
80.237.0.97 - в качестве альтернативного DNS-сервера указываем DNS-сервер провайдера


Жмем Advanced. В закладке DNS убираем галочку на Register this connectionТs addresses in DNS, в закладке WINS убираем Enable LMHOSTS lookup и ставим Disable NetBIOS over TCP/IP. Также, галочек НЕ ДОЛЖНО БЫТЬ на Client for Microsoft Networks, Network Load Balancing, Fail and Printer Sharing Microsoft Networks.

Кстати, удобно переименовать внешний интерфейс, назвать не Local Area Connection (Подключение по локальной сети), а например Internet Interface.

Дальше, заходим в Панель управления, Cетевые подключения, в этом окне (окно проводника) меню Дополнительно -> Дополнительные параметры. Во вкладке "Адаптеры и привязки" передвигаем "Local Area Connection" ("Подключение по локальной сети") на самую верхнюю позицию.



На клиентском компьютере настройки сетевой карты будут примерно такие:

ip 192.168.0.2
mask 255.255.255.0
gate 192.168.0.1 - в качестве шлюза указываем IP-адрес компа с Winroute
dns 192.168.0.1 - в качестве основного DNS-сервера указываем IP-адрес компа с Winroute


В Winroute, Configuration -> DNS Forwarder ставим галку "Enable DNS Forwarding", указываем DNS-серверы провайдера. (тебе не надо - см. ниже)

Цитата:

3. Сеть с доменом, DNS-сервер находится на DC, Winroute также установлен на этот DC.

Все настройки идентичны первому случаю, за исключением некоторых очень важных моментов:

3.1 В сети, которая подключена к Интернету через шлюз, являющийся контроллером домена с запущенной службой DNS-сервер, на этом контроллере в конфигурации внутреннего и внешнего интерфейса DNS-сервер должен быть настроен сам на себя.
В зонах прямого просмотра DNS следует убрать зону ".", если она там есть. После этого перезапустить службу "DNS-сервер".
В свойствах DNS-сервера на закладке "Пересылка" (Forwarding) следует разрешить пересылку на DNS-сервер провайдера. Перезапустить службу "DNS-сервер"

3.2 Необходимо создать зону обратного просмотра (у правильных админов она наверняка создана еще при поднятии DNS ), так как без нее DNS-сервер не может определить свое имя. В качестве кода сети указываем первые 3 группы цифр своего IP-адреса.
Для проверки заходим в свойства зоны и убеждаемся там в наличии нашего DNS-сервера (или серверов, если их несколько) на закладке "Серверы имен". Если серверов не хватает, добавляем их туда. Желательно делать это с помощью "Обзора". Всё. Осталось разрешить динамическое обновление, чтобы клиентские машины регистрировались в этой зоне, хотя можно обойтись и без этого.

3.3 На контроллере домена в свойствах DNS нужно разрешить пересылку на IP-адрес DNS-сервера провайдера, в данном случае 80.237.0.97;

3.4 DNS Forwarder в Winroute выключаем (убираем галку "Enable DNS Forwarding");

3.5 Настройки клиента:

ip 192.168.0.2
mask 255.255.255.0
gate 192.168.0.1 - в качестве шлюза указываем IP-адрес DC с Winroute
dns 192.168.0.1 - в качестве основного DNS-сервера указываем IP-адрес DC с Winroute


Для проверки на клиенте следует выполнить команды:
Код:
nslookup {GateWayName}
nslookup {GateWayIP}
nslookup yandex.ru
nslookup 213.180.204.11


Если в результате выполнения всех вышеперечисленных команд нет сообщений об ошибках - значит все у вас получилось.

5555555
Еще почему на ДНС не грешу - пинг по имени катит.

Еще Трафик Инспектор пока стоит на той же машине, его стенку я отключал\включал - без изменений.

Larix, силь ву пле

Wise_Man

Цитата:

Сервер DNS поднят на той же машине, пресылка там включена, тесты проходят. В Керии ДНС форвардинг отключен. Кроме того по ИП тож не идет. И, повторяюсь, останавлюю карию - все работает. ???

Как я понимаю пересылку указывают тогда когда керио поднято на другой машине и в сети есть свой DNS сервер, а в твоём случае пересылку указывать не нужно, только отключить ДНС форвардинг в керио и поставить авто определение днс!!
У меня пересылка на сервере в закладке Пересылка -- "Все др DNS домены" всё ходит нормально!
Вообще странно Раз пинги с сервера уходят, клиенты работают нормально, а машина с Керио в мир не может! А ты случаем не через прокси работаешь? Может забыл указать настройки прокси в браузере?

Wise_Man
мдас, ну действительно если пинги-трасиировка прокатывает - остается только настройку клиента ковырять

---

(даже незвисимо от корректности настройки пересылок, форвардеров и т.п.)