» Kerio WinRoute Firewall (часть 4)

ustal

Цитата:

Хочу два диалапа пользовать, а две машины физических с KWF каждая - не хочу

Что мешает настроить 2 диалап соединения на одной машине?

Leo1000

А не получается два диалапа к разным провайдерам пользовать так, чтобы не только
по интернету ползать, но и дать доступ снаружи к некоторым ресурсам своей локальной сети.
Из двух диалапов только один со статическим адресом - тот что медленнее и дороже. Поэтому шлюзом по умолчанию указан другой диалап, через него все и ходят из локальной сети наружу.

Доброго времени суток, у меня возник такой вопрос как пробросить magic пакет через шлюз с winroute, с обычным "железным" роутером проходит такая штука:
создаётся правило что при приходе udp пакета на порт например 60000 роутер пересылает его на широковещательный адрес локальной сети (в данном случае: шлюз 192.168.1.1 маска 255.255.255.0 , широковещательный адрес соответсвенно 192.168.1.255 ) , точно такая же конструкция с керео не работает НИКАК пакет на шлюзе гибнет насмерть... (ps для данного правила протокол инспектор поставил none, портмаппинг естественно включен)


pps идея стырена от сюда http://white55.narod.ru/wol.html , соответсвенно пользуюсь програмкой wol.exe

Добрый день (ночь, вечер, утро)!!!
У меня стоит 1 сервер, на нём поднят керио, днс и прочее, не суть важно. Так-же на этом сервере стоит белорусская бухгалтерская программа "Галактика" версия 7.12. Она использует базу через pervasive 9.5. Всё замечательно работает, НО! Время от времени (раз 5 в день на каждом компьютере) эта самая галактика (что-б её...) вылетает! Чел, который занимается этой галактикой сказал, что она не может полуить доступ к серверу, хотя простой перегруз галактики всё исправляет. В системном журнале никаких сообщений об ошибках нет. При этом если удалить Керио, то галактика работает идеально. Как данную проблему исправить?
Если что-то не понятно, могу более подробно расписать.
Спасайте ))) А то все мозги пере**ут )))))

icydrago
зацени тп с сервера. у тя керя лицензия или леченная? Вполне может быть такое, что избавится от этого не получится.

StBender,
Что заценить с сервера???
Лечение, конечно ))) Белоруссия )))) Хренова... Я уже и на новый 2003 поставил керио, один и тот же результат.

icydrago
траффик полиси, скриншот, быть может у вас как то правила стоят, как звезды, что мешает нормальному прохождению трафика) Как вариант можно попробовать поискать другое лекарство.

aRainman
Широковещание kwf не пущает.

Добавлено:
aRainman
Возможно, что побороть сие можно отредактировав winroute.cfg, заменив значение 1 на 0 у параметра DiscardWrongBroadcasts, если таковой имеется

Мужики как быть?
Керио на шлюзе win2003 не пускает юзеров под своими именами, только под админовским, хотя база юзеров берётся с АД через маппинг, делаю локал базу могут ходить под своими именами но не ведется трафик.

Всё это работает если отключен в настройках внешнего интерфейса Керио, а так в инет даже шлюз не может выйти.

Вот такая срань.

PS Керио 6.4.2 крякнутая

Хочу переустановить windows.
Как мне сохранить мои настройки для Керио, чтобы потом быстро их восстановить.
И будет ли совместимость если я поставлю свежую версию Керио, а конфиги будут с предидущей???

AlexVrag
Скопируй всю папку с керио. А именно файлы *.cfg

Цитата:

И будет ли совместимость если я поставлю свежую версию Керио, а конфиги будут с предидущей???

Пока да. Если речь не идёт о 6.5... Хотя она старые подхватывает, но обратно не пробовал.

niichavo

Цитата:

Широковещание kwf не пущает.

там суть не в этом, туда приходит маджик пакет с адресом шлюза(притом до него он доходит, это видно в логах), а шлюз его должен перенаправить на внутренней широковещательный адрес...


Цитата:

Возможно, что побороть сие можно отредактировав winroute.cfg, заменив значение 1 на 0 у параметра DiscardWrongBroadcasts, если таковой имеется

поставил в 0, перезапустил, не помогло

Народ, подскажите, нужен аппаратный VPN туннель с керио. Это вообще реально?

Есть офис, на шлюзе керио. Есть удаленный магазин, в котором видеосервер и 1 рабочая станция. Как привязать это дело к офису?
Если бы не было видосервера, я бы поставил VPN клиента и не парился бы. А тут надо что бы оба хоста пинговались из офиса.

Соотвественно нужен какой то аппаратный маршрутизотор, который поднимет туннель с керио и у него за его натом будут оба хоста магазина.
Это вообще реально?
Неужели придется ИСУ ставить.....

Кто сталкивался с проблемой, подскажите

AmunRa
Кто мешает поставить второй KWF и поднимать тоннель site-to-site?

PetSerVas
ради 2 устройств ставить 2 керио... это конечно вариант, но не оптимальный.

интересует не софтверный вариант, а по железкам

AmunRa
Вариант, который будет гарантированно работать
А по железкам - фиг его знает

AmunRa
Покупается железка имеющая PPTP VPN. В офисе поднимется PPTP Сервер и в керио настраивается пропуск PPTP.
Точно также есть роутеры с IPSec так что google в помощь.

Керио пропускает IPSec тоже , а при небольшой нагрузке железки нужны не дорогие. Только не оч понятна задача - организовать туннель ЧЕРЕЗ сервер с Керио, или Керио стоит уже на одном конце?

StBender, скриншот не могу дать, т.к. не на работе ) Но у меня стоит правило со всех локальных интерфейсов и сервер на все локальные и сервер разрешить весь трафик. В понедельник дам скриншот.

Всем привет , у меня вопросик такой, раньше на фиг не надо было , а теперь, вот понадобилось, не работает закачка с Torrents, что только не делал , с NNM все супер льется а тут засада какая то , или дело просто в том что через проксю не может работать??

Цитата:

дело просто в том что через проксю не может работать??

Именно! Для торрента батенька, архиважна доступность портов локальной машины.
Правила будут приблизительно такими (для Azureus/Vuse):
any - firewall - tcp PORT - permiit - MAP to local addr:port - PI off
any - firewall - udp PORT - permiit - MAP to local addr:port - PI off
Где:
PORT - порт настроенный в программе
local addr - адрес твоей машины
Также надо будет отключить контроль сетей Р2Р.

Здравствйуте.
Есть вопрос по KWF.
Local area connection 2 - локалка
inet - PPTP подключение к интернету через lan2

На керио поднят впн сервер.... Как разрешить доступ клиентам керио впн к "inet"?

Windows IP Configuration

Host Name . . . . . . . . . . . . : knight
Primary Dns Suffix . . . . . . . :
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : Yes
WINS Proxy Enabled. . . . . . . . : No


Ethernet adapter Kerio VPN:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Kerio VPN adapter
Physical Address. . . . . . . . . : 44-45-53-54-67-A0
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : No
IP Address. . . . . . . . . . . . : 172.27.178.1
Subnet Mask . . . . . . . . . . . : 255.255.255.0
IP Address. . . . . . . . . . . . : 169.254.17.249
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . :
DHCP Server . . . . . . . . . . . : 169.254.17.248
NetBIOS over Tcpip. . . . . . . . : Disabled
Lease Obtained. . . . . . . . . . : 31 августа 2008 г. 19:22:24
Lease Expires . . . . . . . . . . : 31 августа 2008 г. 19:25:24

Ethernet adapter Local Area Connection 2:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : VIA VT6105 Rhine III Compatible Fast Ethe
rnet Adapter
Physical Address. . . . . . . . . : 00-1E-58-A0-40-89
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.0.151
Subnet Mask . . . . . . . . . . . : 255.255.248.0
Default Gateway . . . . . . . . . :
DNS Servers . . . . . . . . . . . : 192.168.7.253
Primary WINS Server . . . . . . . : 192.168.7.252

PPP adapter inet:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Physical Address. . . . . . . . . : 00-53-45-00-00-00
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 172.16.42.218
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . : 172.16.42.218
DNS Servers . . . . . . . . . . . : 217.9.86.4

Traffic policy kerio:
Source Destination Service

LAN2 Firewall HTTPS

LAN2 Firewall Kerio VPN

ALL vpn clients Firewall Any ICMP

Firewall Any Ping

ALL vpn clients Inet Any NAT

Firewall Firewall
All vpn clients All vpn clients Any
dial-in Dial-in

Firewall Any Any

Все выше перечисленные правила Permit.

С ПК из LAN устанавливается керио впн, но дальше файрвола трафик не ходит, подскажите плиз что делаю не так.

Цитата:

ALL vpn clients Inet Any NAT

Вот истинная любовь админа к пользователям!!!
Учитесь господа...
А то трафик зарезать, порнушку не показать - зачем?
Всё просто:
Разрешаем любой сервис для всех ВПН клиентов НО!!! только на IP внешнего итерфейса... Даже натим их туда. И керио бедняга нифуя понять не может - что делать с пакетом от самого себя и на закрытый порт.

Craven
ALL vpn clients Any Any NAT - так будет ещё лояльнее

Пользователей пока нет, все в стадии становления

Вопрос собсна и есть в том, как связать клиентов Kerio vpn и исходящие впн "inet"

Здесь более развернутое описание со схемой подключения и скринами.
http://kerio-rus.ru/forum/showthread.php?p=39174#post39174

Цитата:

Здесь более развернутое описание со схемой подключения и скринами.
http://kerio-rus.ru/forum/showthread.php?p=39174#post39174

Вот блин - ну не помню я регистрацию на керио-рус...

Ruza вот скрины по сабжу...

http://photofile.ru/users/reshsv/95190221/100880973/
http://photofile.ru/users/reshsv/95190221/100880998/
http://photofile.ru/users/reshsv/95190221/100881005/
http://photofile.ru/users/reshsv/95190221/100881017/

Кстати правило NAT там используется точно по такому же принципу как для ALL VPN clients, только почему то работает ...

Керио на шлюзе win2003, не пускает юзеров в инет под своими именами, только под админовским, хотя база юзеров берётся с АД через маппинг, отключаю мапинг делаю локальную базу керио, вот тогда могут ходить под своими именами, но не ведется трафик.

Всё это работает, если отключена Керио в настройках внешнего интерфейса, а так в инет даже шлюз не может выйти.
Как быть?

А где мона взять грамотные настройки полиси?

Керио 6.4.2

Craven
По идее у тебя связываться ВПН клиенты должна по локал-трафику, так что для этих целей NAT не нужен, так что убирай его нафик.
Добавь в локал-трафик все локальные и ВПН интерфейсы.

Georgi4

Цитата:

Керио на шлюзе win2003

Шлюз в домене?

Ruza

Цитата:

По идее у тебя связываться ВПН клиенты должна по локал-трафику, так что для этих целей NAT не нужен, так что убирай его нафик.

Без NAT тоже не работает...


Цитата:

Добавь в локал-трафик все локальные и ВПН интерфейсы.

Тоесть так чтоли?
Source Destination
Firewall Firewall
All VPN All VPN Permit ALL
Inet Inet
Local area 2 Local area 2

Кстати вот ipconfig и route map с клиента с подключенным впн:

ipconfig с клиентского компа
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : paradox
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : гибридный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Kerio VPN - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Kerio VPN adapter
Физический адрес. . . . . . . . . : 44-45-53-54-6C-F0
Dhcp включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 10.0.20.2
Маска подсети . . . . . . . . . . : 255.255.255.0
IP-адрес . . . . . . . . . . . . : 169.254.53.187
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DHCP-сервер . . . . . . . . . . . : 169.254.53.186
DNS-серверы . . . . . . . . . . . : 10.0.20.1
NetBIOS через TCP/IP. . . . . . . : отключен
Аренда получена . . . . . . . . . : 1 сентября 2008 г. 0:38:41
Аренда истекает . . . . . . . . . : 1 сентября 2008 г. 0:41:41
Подключение по локальной сети - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8168/8111 PCI-E Gigabit E
thernet NIC
Физический адрес. . . . . . . . . : 00-1D-7D-E7-A7-6C
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.1.250
Маска подсети . . . . . . . . . . : 255.255.248.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 192.168.7.253
Основной WINS-сервер . . . . . . : 192.168.7.252



Смущает что не получает gateway никакой....



routing на клиентском пк

Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x10003 ...44 45 53 54 6c f0 ...... Kerio VPN adapter
0x10004 ...00 1d 7d e7 a7 6c ...... Realtek RTL8168/8111 PCI-E Gigabit Etherne
NIC
================================================== =========================
================================================== =========================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.0.151 192.168.1.250 10
10.0.20.0 255.255.255.0 10.0.20.2 169.254.53.187 20
10.0.20.2 255.255.255.255 127.0.0.1 127.0.0.1 20
10.255.255.255 255.255.255.255 169.254.53.187 169.254.53.187 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
169.254.53.0 255.255.255.0 169.254.53.187 169.254.53.187 20
169.254.53.187 255.255.255.255 127.0.0.1 127.0.0.1 20
169.254.255.255 255.255.255.255 169.254.53.187 169.254.53.187 20
192.168.0.0 255.255.248.0 192.168.1.250 192.168.1.250 10
192.168.0.151 255.255.255.255 192.168.1.250 192.168.1.250 1
192.168.1.250 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.1.255 255.255.255.255 192.168.1.250 192.168.1.250 10
217.9.84.139 255.255.255.255 10.0.20.1 169.254.53.187 1
224.0.0.0 240.0.0.0 169.254.53.187 169.254.53.187 20
224.0.0.0 240.0.0.0 192.168.1.250 192.168.1.250 10
255.255.255.255 255.255.255.255 169.254.53.187 169.254.53.187 1
255.255.255.255 255.255.255.255 192.168.1.250 192.168.1.250 1
Основной шлюз:
================================================== =========================
Постоянные маршруты:
Отсутствует

Liderdomofon

Цитата:

ерио пропускает IPSec тоже , а при небольшой нагрузке железки нужны не дорогие. Только не оч понятна задача - организовать туннель ЧЕРЕЗ сервер с Керио, или Керио стоит уже на одном конце?

Керио уже есть на одном конце (в офисе), есть хорошая железка на другом конце ZyXEL ZyWALL 2 Plus.
Как керио поддерживает IPSec? Как это настроить?