» Kerio WinRoute Firewall (часть 4)

voffka1984

Цитата:

некорректное отключение проги

не отключение, а ОТУЧение (что-то неправильно было сделано при использовании кряка), по времени - как раз подходит...

voffka1984

Цитата:

резко замедляется скорость

Что-нибудь тяжелое случайно не лезет в интернет, забивая весь канал?

5555555
кряк нормально вроде встал и не ругается ни на что.... показывает зарегеная версия, все дела.
Leo1000
а это в каких логах посмотреть можно?!

voffka1984

Цитата:

не ругается ни на что

обновление откючено?

voffka1984
Проще всего это отследить в Status - Active Hosts, там посмотреть наличие "качка".

5555555
хз... а где это ставится?!
Leo1000
ок, пасиб, ща гляну

Нужна помощь, я просто не понимаю как.
Имею сервер с KWF 6.4.2 по адресу 192.168.0.xxx. На этом же сервере пашет почтовый сервер MDaemon по вторичному адресу 192.168.0.yyy. Правила KWF построены мастером так чтобы всех везде пускать. В сети статические ip. По ip авторизуются 30 пользователей которые могут ходить в инет у них прописан шлюз на 192.168.0.xxx, у остальных пользователей шлюз не прописан. Теперь из этих 30 пользователей, только 5 пользователей должны писать e-mail на сервера в интернете, остальные 25 плюс пользователи которые не ходят в инет пишут только на 192.168.0.yyy. Но на самом деле вирусняк на любом из этих 30 компов, которые ходят в инет, может слать спам в инет.
Вопрос в том, как запретить smtp в интернет всем кроме 5 определенных пользователей?

alexsht

Цитата:

Правила KWF построены мастером так чтобы всех везде пускать.

так а что тогда удивляться-то?
Цитата:

как запретить smtp

вероятно разрешить http (или что там надо), остальное - запретить, а 5-ти разрешить еще smtp на хост 192.168.0.yyy с соответствующей сорттировкой правил применения..

voffka1984 кстати, насчет тормозов соглашусь. керио купленый. а что самое интересное, если отследить тормоза и начать открывать всякие яндексы мимо кири - то все летает. тоесть, дело именно в самом КВФ. Седня как раз буду все подкручивать, может, найду косяк.

причём тупит он как-то периодически... а где обновление-то отключается?!

Цитата:

Цитата:Правила KWF построены мастером так чтобы всех везде пускать.
так а что тогда удивляться-то?
Цитата:как запретить smtp

А что разрешить все, запретить только smtp нельзя?

Цитата:

вероятно разрешить http (или что там надо), остальное - запретить, а 5-ти разрешить еще smtp на хост 192.168.0.yyy с соответствующей сорттировкой правил применения..

Не не так, все могут smtp на хост 192.168.0.yyy а 5 еще smtp в инет.

alexsht

Цитата:

Не не так, все могут smtp на хост 192.168.0.yyy а 5 еще smtp в инет.

да, правильно - такие длинные тексты уже разучился читать, показалось - только 5-ти надо пользоваться внутренним почтовым сервером..
Цитата:

А что разрешить все, запретить только smtp нельзя?

почему нельзя? можно:
1. запретить smtp
2. разрешить все остальное.
Тогда при анализе смтп будет сразу отбиваться, остальные - на дальнейший анализ.
Только лучше пользоваться правилом - запрещать все, что не разрешено, т.е. по необходимости только разрешать что-то. Кстати по умолчанию все файеры так и работают (та же иса) и это имхо - правильно...

народ, что ни у кого больше скорость не падала на керио?!
раз в день он стандартно снижает пропускную способность...

niichavo


Цитата:

Цитата:Если соединяюсь клиентом с сервером без Kerio, то все работает, как минимум сервер и клиент пингуются.

Так всё работает или не всё? Хотя бы по IP-адресам можешь зайти на компы локальной сети? Они к тебе? Ты по имени пингуешь или по IP? Какой адрес, если по IP? Возможно с маршрутизацией у тебя трудности. Разбей задачу на 2 этапа. Пусть у тебя вначале всё заработает без Kerio, а потом уже можешь врубать его и ковыряться в правилах.

Цитата:3. Поднимается VPN сеть (192.168.30.1 - 192.168.30.10) у сервера 192.168.30.1 клиенту выдается 192.168.30.2

Ты выделяешь для VPN-клиентов IP-адреса из подсети отличной от твоей локальной - 192.168.10/24. У тебя с маршрутизацией всё в порядке? Когда включаешь Kerio, в маршрутах есть путь, обеспечивающий связь между VPN-клиентами и твоей локалки? Проще было бы выделить для VPN-клиентов IP-адреса из твоей локальной сети 192.168.10/24. Тогда не нужно заботиться о маршрутах.

Цитата:Правила для VPN...

Убери из своего первого и единственного правила группу VPN Microsoft. Это правило только для PPTP туннеля. В качестве сервисов достаточно оставить PPTP и GRE. Второе правило создай для локального трафика, куда положи в source и destination DialIn и VPN Microsoft (мне кажется, что необходимости в этой группе нет). Ещё раз рекомендую посетить первую страничку и посмотреть на мои правила.

Сделал так как вы говорите, и так как у вас на картинках, не работает
Клиент цепляется но пинги не ходят и сетка не пашет, ни по имени ни по IP

Уважаемые я очень Вас прошу давайте разберем все по порядку.

Если клиент цепляется то значит до сервера IP 192.168.30.1 по PPTP пакеты доходят.
И если клиенту выдается указанный IP то значит и к клиенту PPTP приходит.

Тогда остается что не работает шифрованый канал GRE.

Думаю что у клиента в настройках все нормально раз без Kerio работает.

Сервер и его адрес из сети 192.168.10.0 пингуется нормально, хотя странно одно
когда я с компа внутри локалки 192.168.10.11 делаю tracert 192.168.30.1 пакеты почему то не проходят через сетевую 192.168.10.1 которая является промежуточным, по идее, между ними интерфейсом.

Народ что делать !!! Help. Давайте с начала по шагам начнем, совсем запутался ...

Есть сеть: контроллер домена (Win 2003, DNS, DHCP), шлюз(Win2003)керио 642 через который в инет лезут 15 машин с Win XP
проблема в том что в инет я выхожу только если отключу на шлюзе, в настройках внешнего инт-са Керио ВинРоут Фаревол.
Плюс база юзеров берется с домена, но под своими именами они выйти не могут, только под моим админовским. Создаю локальную керивскую базу юзерей, тогда всё ровно, но
не ведется учёт трафика.
Подскажите как быть?

+ скорость в инет по локалке жутко медленая, хотя на шлюзе скорость как провайдер прописал.

Цитата:

Плюс база юзеров берется с домена, но под своими именами они выйти не могут, только под моим админовским. Создаю локальную керивскую базу юзерей, тогда всё ровно, но
не ведется учёт трафика.

покажи праивла, и покажи как настраиваеш связь с АД (там 3 закладки в USERS) . кстати импорт или мап настраиваешь?


Цитата:

скорость в инет по локалке жутко медленая, хотя на шлюзе скорость как провайдер прописал

не зарегистрированая версия ограничивает скорость до 5 кбс

Цитата:

покажи праивла, и покажи как настраиваеш связь с АД (там 3 закладки в USERS) . кстати импорт или мап настраиваешь?

[img] [/img]
эти трафик полиси я нашёл в инете.

у меня настроен мапинг импорт выкл
[img] [/img]
вот.
я знаю что коряво это, пока не соображаю.

В продуктах Kerio есть одна интересная особенность (если этого кто не знает), открытая мной совершенно случайно: при подключении к Kerio WinRoute Firewall или Kerio MailServer через Kerio Administration Console если сразу же после нажатия Установить соединение не на долго зажать клавишу Shift, то в нижней части консоли управления появится лог событий.

Кто нибудь знает где можно слить Керио с кряком? любой версии.

Georgi4
http://forum.ru-board.com/topic.cgi?forum=35&topic=35888

Цитата:

Zexes

биг сенкс, мужик, вылечил Керюхю!!!!


Добавлено:

Цитата:

YuraseK

Всё что просил.

Оцени и суди=)

Dis74

скорость исправил

но трафик так и не ведётся
как быть?

всем доброго время суток))
есть такой вопросик....как ограничеть скорость хождения по инету?...нашел кучу форумов,но ниче не понял...

Цитата:

niichavo


Цитата:Цитата:Если соединяюсь клиентом с сервером без Kerio, то все работает, как минимум сервер и клиент пингуются.

Так всё работает или не всё? Хотя бы по IP-адресам можешь зайти на компы локальной сети? Они к тебе? Ты по имени пингуешь или по IP? Какой адрес, если по IP? Возможно с маршрутизацией у тебя трудности. Разбей задачу на 2 этапа. Пусть у тебя вначале всё заработает без Kerio, а потом уже можешь врубать его и ковыряться в правилах.

Цитата:3. Поднимается VPN сеть (192.168.30.1 - 192.168.30.10) у сервера 192.168.30.1 клиенту выдается 192.168.30.2

Ты выделяешь для VPN-клиентов IP-адреса из подсети отличной от твоей локальной - 192.168.10/24. У тебя с маршрутизацией всё в порядке? Когда включаешь Kerio, в маршрутах есть путь, обеспечивающий связь между VPN-клиентами и твоей локалки? Проще было бы выделить для VPN-клиентов IP-адреса из твоей локальной сети 192.168.10/24. Тогда не нужно заботиться о маршрутах.

Цитата:Правила для VPN...

Убери из своего первого и единственного правила группу VPN Microsoft. Это правило только для PPTP туннеля. В качестве сервисов достаточно оставить PPTP и GRE. Второе правило создай для локального трафика, куда положи в source и destination DialIn и VPN Microsoft (мне кажется, что необходимости в этой группе нет). Ещё раз рекомендую посетить первую страничку и посмотреть на мои правила.


Сделал так как вы говорите, и так как у вас на картинках, не работает
Клиент цепляется но пинги не ходят и сетка не пашет, ни по имени ни по IP

Уважаемые я очень Вас прошу давайте разберем все по порядку.

Если клиент цепляется то значит до сервера IP 192.168.30.1 по PPTP пакеты доходят.
И если клиенту выдается указанный IP то значит и к клиенту PPTP приходит.

Тогда остается что не работает шифрованый канал GRE.

Думаю что у клиента в настройках все нормально раз без Kerio работает.

Сервер и его адрес из сети 192.168.10.0 пингуется нормально, хотя странно одно
когда я с компа внутри локалки 192.168.10.11 делаю tracert 192.168.30.1 пакеты почему то не проходят через сетевую 192.168.10.1 которая является промежуточным, по идее, между ними интерфейсом.

Народ что делать !!! Help. Давайте с начала по шагам начнем, совсем запутался ...

UP

Так до сих пор и не решил вопрос, помогите плиз...

помогите с задачей
нужно подключаться к серверу по RDP через VPN
но в локалке есть сервер 192.168.0.1
а в другой сети тоже 192.168.0.1
и при коннекте RDP кидает на локальный сервер
хоть в настройках RDP указан шлюз VPN

alexio
имена серверов тоже одинаковые?

да и имена тоже

Мужики как быть?
Керио на шлюзе win2003 не пускает юзеров под своими именами, только под админовским, хотя база юзеров берётся с АД через маппинг, делаю локал базу могут ходить под своими именами но не ведется трафик.

Всё это работает если отключен в настройках внешнего интерфейса Керио, а так в инет даже шлюз не может выйти.

Вот такая срань.

PS Керио 6.4.2 крякнутая

Как правильно пропустить KerioVPN Client через ISA?
У меня клиент коннектится, а дальше по этому каналу ничего не идет.
В состоянии сетевого интерфейса Kerio VPN: Отправлено - 0/ Принято - 3678

Кто-нибудь пробовал KWF на виртуальной машине?

В какой среде виртализации поддерживаются USB dial-up модемы?
Хочу два диалапа пользовать, а две машины физических с KWF каждая - не хочу
Может виртуализацией можно обойтись?

Заранее благодарен за советы!