Да периоды редкие... может раз-два в день... ну ок... спс посмотрю.
» Kerio WinRoute Firewall (часть 4)
Вот такая проблема появилась при переходе с 6.4.2 на 6.5.0.
Устанавлюю параметры вот так на
И тогда Дозвон работает
но сразу после соединения параметры меняються
и если происходит Disconnect, то потом дозвониться незя.
Error Log
Цитата:
Устанавлюю параметры вот так на
И тогда Дозвон работает
но сразу после соединения параметры меняються
и если происходит Disconnect, то потом дозвониться незя.
Error Log
Цитата:
(8405:741) RAS error: Unable to dial "Inet" (Локальный компьютер не поддерживает требуемый тип шифрования данных.)
Germanus
из варезника меня отправляют сюда...
народ спрошу ещё раз, кто сталкивался вот с такой ошибкой:
(7104:101) ISS OrangeWeb filter: URL categorization has been skipped due to internal error
из варезника меня отправляют сюда...
народ спрошу ещё раз, кто сталкивался вот с такой ошибкой:
(7104:101) ISS OrangeWeb filter: URL categorization has been skipped due to internal error
VonSimon
Версия 6.4.2 билд 3672
sNAlexis
на керио полный НАТ
, из локалки в интернет разрешено всё.
думаю если был бы закрыт 20-тый порт то передача даже не начиналась.
В логах Керио вот что:
Цитата:
Естественно адрес ftp заменен и там где стоит не 21 порт это я пытался отправить тоже самое в пассивном режиме.
Т.е. по данным логам вроде все нормально, соединение идет, байты бегут.
Версия 6.4.2 билд 3672
sNAlexis
на керио полный НАТ
, из локалки в интернет разрешено всё. думаю если был бы закрыт 20-тый порт то передача даже не начиналась.
В логах Керио вот что:
Цитата:
[15/Sep/2008 15:36:23] [ID] 205291 [Rule] NAT [Service] FTP [User] user [Connection] TCP 192.168.0.222:2466 -> sftp.ftp.com:40048 [Duration] 310 sec [Bytes] 11256/2560/13816 [Packets] 11/61/72
[15/Sep/2008 15:36:55] [ID] 205242 [Rule] NAT [Service] FTP [User] user [Connection] TCP 192.168.0.222:2451 -> sftp.ftp.com:21 [Duration] 724 sec [Bytes] 517/786/1303 [Packets] 11/14/25
[15/Sep/2008 15:36:56] [ID] 205518 [Rule] NAT [Service] FTP [User] user [Connection] TCP 192.168.0.222:2469 -> sftp.ftp.com:21 [Duration] 154 sec [Bytes] 539/768/1307 [Packets] 11/13/24
[15/Sep/2008 15:38:30] [ID] 205286 [Rule] NAT [Service] FTP [User] user [Connection] TCP 192.168.0.222:2463 -> sftp.ftp.com:21 [Duration] 450 sec [Bytes] 1437/2615/4052 [Packets] 30/43/73
[15/Sep/2008 15:38:32] [ID] 205526 [Rule] NAT [Service] FTP [User] user [Connection] TCP 192.168.0.222:2471 -> sftp.ftp.com:40049 [Duration] 121 sec [Bytes] 168/307/475 [Packets] 4/4/8
[15/Sep/2008 15:38:45] [ID] 205527 [Rule] NAT [Service] FTP [User] user [Connection] TCP 192.168.0.222:2472 -> sftp.ftp.com:40000 [Duration] 122 sec [Bytes] 220/870/1090 [Packets] 5/4/9
Естественно адрес ftp заменен и там где стоит не 21 порт это я пытался отправить тоже самое в пассивном режиме.
Т.е. по данным логам вроде все нормально, соединение идет, байты бегут.
Предлагаю выделить ФТП в отдельное правило, поставить лог пакетов, поместить наверх и всматриваться в filter.
хочу уточнить- кабан это и есть ISSOrangeWebFilter?
тоесть если я в настройках
Configuration -> Content Filtering -> HTTP Policy -> ISS OrangeWeb Filter
снимаю галку с Enable ISS OrangeWeb Filter то я выключаю кабан?
тоесть если я в настройках
Configuration -> Content Filtering -> HTTP Policy -> ISS OrangeWeb Filter
снимаю галку с Enable ISS OrangeWeb Filter то я выключаю кабан?
DzOOMer
Да.
Добавлено:
Только без него винраут теряет смысл. Именно в кабане вся его прелесть. Остальная часть в основном равна конкурентам, либо уступает.
Да.
Добавлено:
Только без него винраут теряет смысл. Именно в кабане вся его прелесть. Остальная часть в основном равна конкурентам, либо уступает.
Винроут, прежде всего, фаервол, а уже потом фильтр банеров и порно.
Germanus
вобщем то в моих условиях применения кабан и не нужен.
тогда по вашему в этом случае какие программы роутинга имееют преимущество перед WinRoute (и в чем)?
вобщем то в моих условиях применения кабан и не нужен.
тогда по вашему в этом случае какие программы роутинга имееют преимущество перед WinRoute (и в чем)?
удалено
Germanus
А ну-ка расскажите-ка нам кто может переплюнуть керио как корпошлюз? ISA что ли, это мелкомягкое уе... убоище?
А ну-ка расскажите-ка нам кто может переплюнуть керио как корпошлюз? ISA что ли, это мелкомягкое уе... убоище?
Starshark2007
А ну-ка походите-ка по интернету, да сами почитайте, а потом и поэкспериментируйте на своих серверах в свободное от работы время. Позже сравните!
А ну-ка походите-ка по интернету, да сами почитайте, а потом и поэкспериментируйте на своих серверах в свободное от работы время. Позже сравните!
Germanus
по простоте и наглядности правил доступа - я не нашел ни чего лучшего винрута. правда посдедний юзергейт не пробовал и нет желания ужо...
блинг в нем да - корявый, с отчетами вообще лажа...
учитывая приоритетность прежде всего безопасности - мой выбор керио.
а порно и баннеры - я с самого начала не юзал - у нас все юзверя знают - полезут - в конце месяца начальник даст по башке и оштрафует, а если лимит трафика еще под это дело выжрут - то и раньше конца месяца
лучше всякого фильтра работает
по простоте и наглядности правил доступа - я не нашел ни чего лучшего винрута. правда посдедний юзергейт не пробовал и нет желания ужо...
блинг в нем да - корявый, с отчетами вообще лажа...
учитывая приоритетность прежде всего безопасности - мой выбор керио.
а порно и баннеры - я с самого начала не юзал - у нас все юзверя знают - полезут - в конце месяца начальник даст по башке и оштрафует, а если лимит трафика еще под это дело выжрут - то и раньше конца месяца
лучше всякого фильтра работает На самом деле, кабан в Керио, это как блокировка окон в машине. Спасает только от детей. Нужно быть человечнее. Может, сотрудник почитает с утреца udaff.com, зато весь день будет трудиться. А если ему зарежут этот сайт - будет плохое настроение.
Достаточно добавить несколько исключений в хттп полиси для защиты от случайного нажатия на заведомо порно ресурсы.
Достаточно добавить несколько исключений в хттп полиси для защиты от случайного нажатия на заведомо порно ресурсы.
так для того кабан и есть, что бы не вбивать долго и нудно тысячи адресов порносайтов и прочей хрени.... поставил галку в нужной категории и бОльшая часть сайтов из этой категории будет не доступна
Имеено в возможности всех этих вариантов и есть прелесть этой проги ))) каждый нашел что-то такое, что ему нужно )). Кстати, опровергаю сам себя, по поводу 1С и винроута: о невозможности исключения трафика 1С из сканера плагина Макафи: как раз можно исключить, указав тип файлов ))) Однако, попробовал на деле поставить 1С-ку без терминалки за Керио, убедился - работать нельзя, скорость убивается напрочь. Однако, учитывая, что мы имеем дело с корпоративным фаером )) поставить терминальный сервак с 1С-м за него ни что не мешает, разницы в скрости ни какой, а безопасность на совершенно другом уровне. Что я и сделаю в ближайшее время ))
Теперь вопрос: расскажите, кто что знает, про организацию доступа через SSL . Как я понял из описания, можно предоставлять доступ зарегистрированным пользователям к каталогам с файлами, по ссылке типа https:\\192.168.0.1 При этом выскакивает окно для ввода логина\пароля, вбиваю, думает, выбрасывает, что соединение не возможно. Пользователь есть, сервер VPN работает, SSL разрешен, пользователю разрешен. Может некое хитрое правило должно быть на этот счёт, чтобы пользователя после авторизации направить в каталог? Или как оно работает?
Теперь вопрос: расскажите, кто что знает, про организацию доступа через SSL . Как я понял из описания, можно предоставлять доступ зарегистрированным пользователям к каталогам с файлами, по ссылке типа https:\\192.168.0.1 При этом выскакивает окно для ввода логина\пароля, вбиваю, думает, выбрасывает, что соединение не возможно. Пользователь есть, сервер VPN работает, SSL разрешен, пользователю разрешен. Может некое хитрое правило должно быть на этот счёт, чтобы пользователя после авторизации направить в каталог? Или как оно работает?
Есть проблема:
DC стоит внутри сети
FW kerio имеет две сетевухи
настройки сетевухи лан:
ип 10.1.1.*
маска 255,255,255,0
шлюз нет
днс ип внутренний DC
настройка внешней сетевухи inet
ип - несколько внешних
маска 255,255,255,0
шлюз ип циски которая на которой настроен PGP
днс внешнии
Керио не привязан к АД, забиваются диапазоны ипов
Создаю правила -
полный доступ на локалку
полный доступ во внеху, для компа в сети
причем у компа обязательно должен быть внешний ип *,*,*,32
делаю трансляцию(NAT) в керио этого компа на *,*,*,32
пример правила - ип to any - для всех протоколов --- транслировать на *,*,*,*
Применяю правила
Инет на керио пашет
локалка на компе пашет
комп пингует внешний адресс, но зайти по вебу не может.
Подскажите пожалуйста что я делаю не так?
DC стоит внутри сети
FW kerio имеет две сетевухи
настройки сетевухи лан:
ип 10.1.1.*
маска 255,255,255,0
шлюз нет
днс ип внутренний DC
настройка внешней сетевухи inet
ип - несколько внешних
маска 255,255,255,0
шлюз ип циски которая на которой настроен PGP
днс внешнии
Керио не привязан к АД, забиваются диапазоны ипов
Создаю правила -
полный доступ на локалку
полный доступ во внеху, для компа в сети
причем у компа обязательно должен быть внешний ип *,*,*,32
делаю трансляцию(NAT) в керио этого компа на *,*,*,32
пример правила - ип to any - для всех протоколов --- транслировать на *,*,*,*
Применяю правила
Инет на керио пашет
локалка на компе пашет
комп пингует внешний адресс, но зайти по вебу не может.
Подскажите пожалуйста что я делаю не так?
Liderdomofon
Цитата:
В Advanced - SSL-VPN стоит галочка Enable Kerio Clientless SSL-VPN Server? А Галочка Enable HTTPS? Посмотри, в Advanced, чтобы порты у них отличались и при соединении укажи в браузере явно порт для SSL-VPN (например, так: _https://123.4.555.66:1234). Правило должно быть разрешающее для KerioVPN
Цитата:
Как я понял из описания, можно предоставлять доступ зарегистрированным пользователям к каталогам с файлами, по ссылке типа https:\\192.168.0.1 При этом выскакивает окно для ввода логина\пароля, вбиваю, думает, выбрасывает, что соединение не возможно. Пользователь есть, сервер VPN работает, SSL разрешен, пользователю разрешен. Может некое хитрое правило должно быть на этот счёт, чтобы пользователя после авторизации направить в каталог? Или как оно работает?
В Advanced - SSL-VPN стоит галочка Enable Kerio Clientless SSL-VPN Server? А Галочка Enable HTTPS? Посмотри, в Advanced, чтобы порты у них отличались и при соединении укажи в браузере явно порт для SSL-VPN (например, так: _https://123.4.555.66:1234). Правило должно быть разрешающее для KerioVPN
Germanus
То есть, Вы о приемлимых альтернативах Винруту не наслышаны? А зачем же тогда голословные утверждения, типа
Цитата:
То есть, Вы о приемлимых альтернативах Винруту не наслышаны? А зачем же тогда голословные утверждения, типа
Цитата:
Остальная часть в основном равна конкурентам, либо уступает.???
простите за ламерский вопрос, я так понял индивидуально клиентов шэйпить низя?
только один общий шэйп при привышении квоты?
только один общий шэйп при привышении квоты?
Starshark2007
Боюсь Вам этого пока не понять... Жаль что на Гугле Вас забанили. На блюдце все привыкли получать?
Liderdomofon
Цитата:
Боюсь немного не так. Это всего лишь один из методов авторизации на файрволе. Может быть plaintext, если в Дополнительные параметры -> Веб-интерфейс /SSL-VPN стоит только галка Включить веб-интерфейс HTTP тогда юзер может регистрироваться и просматривать (при разрешении) статистику по _http://192.168.0.1:4080. Если стоит галка Включить веб-интерфейс HTTPS, то тоже самое но по _https://192.168.0.1:4081, тогда тип авторизации будет SSL и соответственно трафик. 192.168.0.1 можно заменить чем-то более вразумительным типа mycompany.com в следующей строке ( Имя сервера Winrout ). И прописать его в hosts.
Если юзер привязан к IP в его настройках, тип авторизации будет Automatic, ну и т.д.
Боюсь Вам этого пока не понять... Жаль что на Гугле Вас забанили. На блюдце все привыкли получать?
Liderdomofon
Цитата:
Как я понял из описания, можно предоставлять доступ зарегистрированным пользователям к каталогам с файлами, по ссылке типа _https:\\192.168.0.1
Боюсь немного не так. Это всего лишь один из методов авторизации на файрволе. Может быть plaintext, если в Дополнительные параметры -> Веб-интерфейс /SSL-VPN стоит только галка Включить веб-интерфейс HTTP тогда юзер может регистрироваться и просматривать (при разрешении) статистику по _http://192.168.0.1:4080. Если стоит галка Включить веб-интерфейс HTTPS, то тоже самое но по _https://192.168.0.1:4081, тогда тип авторизации будет SSL и соответственно трафик. 192.168.0.1 можно заменить чем-то более вразумительным типа mycompany.com в следующей строке ( Имя сервера Winrout ). И прописать его в hosts.
Если юзер привязан к IP в его настройках, тип авторизации будет Automatic, ну и т.д.
Germanus
Есть Веб-интерфейс, это как раз то что ты описал, а есть SSL-VPN, который дает доступ к внутренней локальной сети через вэб
Есть Веб-интерфейс, это как раз то что ты описал, а есть SSL-VPN, который дает доступ к внутренней локальной сети через вэб
Цитата:
простите за ламерский вопрос, я так понял индивидуально клиентов шэйпить низя?
только один общий шэйп при привышении квоты?
можно шейпить отдельно взятую группу юзверей...
Из вопроса Liderdomofon я понял что его интересует просто SSL.
Меня интересует, как мне организовать контролируемый доступ к сетевой шаре на основе винроута. Может кто-то оговорился, но об этом я прочитал здесь, на форуме. А что и как, толком не понятно. В мануале тоже не понятно. Особенно что имеется ввиду "осуществить доступ к ресурсу через веб-браузер" Ресурс - хост, или сама шара? Через веб браузер - через авторизацию в веб браузере, или браузер даст интерфес? Я тут прикручиваю мультимедийный сервак, пока народу немного, хочу присунуть его через винроут. Вот интересно, что с этого можно по максимуму поиметь. Я заблуждаюсь, или все же есть вариант организации доступа к "ресурсу через веб браузер" ))) ???
ставь у пользователя Kerio VPN Client, при подключении этого клиента к серверу, пользователю откроются ресурсы, в какие ты ему в трафик полиси разрешишь ходить
кстате скопировал языковые файлы из 6.5 версии в 6.4.2 build 3672
и тепер все меню на русском...
(совсем отходить на 6.5 пока не буду 6.4 итак работает нормально)
и тепер все меню на русском...
(совсем отходить на 6.5 пока не буду 6.4 итак работает нормально)
kliv1
Я пробовал подключаться и с клиентом, и без клиента, результат один: в браузере выскакивает табличка, вводим имя\пароль, думает, пишет ошибка подключения. Пользователю разрешено, сам сервер включен, осталось только по правилу вероятность: как оно должно выглядеть? вернее, что именно надо разрешить пользователю? путь на хост где шара?
Я пробовал подключаться и с клиентом, и без клиента, результат один: в браузере выскакивает табличка, вводим имя\пароль, думает, пишет ошибка подключения. Пользователю разрешено, сам сервер включен, осталось только по правилу вероятность: как оно должно выглядеть? вернее, что именно надо разрешить пользователю? путь на хост где шара?
Liderdomofon
Цитата:
Есть. Называется Clientless SSL-VPN. Там доступен и обзор компов сети и доступ к шарам через веб. Смотри мой предыдущий пост. Ещё проверь, чтобы в свойствах пользователя (вкладка "Rights"), который будет подключаться через SSL-VPN стояло "User can use Clientless SSL-VPN". Если хочешь, чтобы пользователь подключался ещё и через Kerio VPN Client отметь и "User can connect using VPN".
Цитата:
Я заблуждаюсь, или все же есть вариант организации доступа к "ресурсу через веб браузер" ))) ???
Есть. Называется Clientless SSL-VPN. Там доступен и обзор компов сети и доступ к шарам через веб. Смотри мой предыдущий пост. Ещё проверь, чтобы в свойствах пользователя (вкладка "Rights"), который будет подключаться через SSL-VPN стояло "User can use Clientless SSL-VPN". Если хочешь, чтобы пользователь подключался ещё и через Kerio VPN Client отметь и "User can connect using VPN".
Есть желание прикрутить к Kerio WinRoute Firewall 6.5.0 второй антивирус помимо McAfee для проверки трафика. В локалке используется сетевая версия 6-го Касперского. Кто чего посоветует из поддерживаемого перечня: AVG Email Server Edition, Alwil avast! for Kerio, Clam AntiVirus, NOD32, Sophos AntiVirus, Symantec Scan Engine или VisNetic Antivirus Plug-in (использовать, наверное, нет смысла в связи с имеющейся 6-й версией Касперского в локальной сети)? И что из этого перечня может работать только как плагин, а не полноценный антивирус? Судя по названию как плагины могут работать только: Alwil avast! for Kerio, Symantec Scan Engine и VisNetic Antivirus Plug-in?
Страницы: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768
Предыдущая тема: realtek rtl8169 and vlan
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.