kharkovmax, ну для пущей правильности и чистоты эксперимента всё надо делать по правилам, мало ли чего прогам может приглючиться.
» Kerio WinRoute Firewall (часть 4)
ок
Смотри удаляю все правила, создаю единственное такое.
Source: VPN group (192.168.30.1-192.168.30.10), Ukrtelekom, Fierwall
Destination: VPN group (192.168.30.1-192.168.30.10), Ukrtelekom, Fierwall
Port: PPTP,GRE,FTP,HTTP,HTTPS, Ping.
Permit.
Теоретически хоть пинговаться должно !!!. Но ничего не работает.
Ага еще заметил такую штуку.
Если я подключаюсь без Kerio, то на компе подключенном к серверу в моей локальной сети (через сетевую Local) пропадает инет, и я уверен что это нормально.
А если подключаюсь с Керио, то на компе в локальной сетке инет бегает, но не работает комп по VPN.
Смотри удаляю все правила, создаю единственное такое.
Source: VPN group (192.168.30.1-192.168.30.10), Ukrtelekom, Fierwall
Destination: VPN group (192.168.30.1-192.168.30.10), Ukrtelekom, Fierwall
Port: PPTP,GRE,FTP,HTTP,HTTPS, Ping.
Permit.
Теоретически хоть пинговаться должно !!!. Но ничего не работает.
Ага еще заметил такую штуку.
Если я подключаюсь без Kerio, то на компе подключенном к серверу в моей локальной сети (через сетевую Local) пропадает инет, и я уверен что это нормально.
А если подключаюсь с Керио, то на компе в локальной сетке инет бегает, но не работает комп по VPN.
Нет а стандартную передачу в Qip тоже не запретиш?
Цитата:
Source: VPN group (192.168.30.1-192.168.30.10), Ukrtelekom, Fierwall
Destination: VPN group (192.168.30.1-192.168.30.10), Ukrtelekom, Fierwall
Port: PPTP,GRE,FTP,HTTP,HTTPS, Ping.
Permit.
Зачем ты всё в кучу мешаешь? Почему б не создать отдельно правила для VPN (PPTP, GRE), отдельно (ниже) для локалки и vpn-клиентов. Скрин свой я приводил. Ты бы тоже, выложил. А то на словах тяжелее. + нужно чтобы на компе, который с Kerio, был прописан только ОДИН шлюз! Винда не понимает, когда больше чем один шлюз по умолчанию. Убери шлюз с сетевой, которая смотрит в локалку. Может из-за многошлюзовости (о! словотокакое) у тебя DialIn серый.
niichavo
Ок попробую по отдельности создать правила, да и шлюз уберу.
Вечером отпишусь.
Ок попробую по отдельности создать правила, да и шлюз уберу.
Вечером отпишусь.
kharkovmax и ТП свои приложи.
1. Шлюз убрал
2. Отключил все правила и прокси кроме тех. кот. на картинке (еще и комп перегрузил)
3. Пробовал правила последовательно и отдельно ставить.
Ничего не помогает, результат конекта в Керио я приложил.
[img]http://[img=http://img172.imageshack.us/img172/310/43757895ez8.th.jpg][/img]
[img]http://img253.imageshack.us/my.php?image=49989624wl2.jpg][img=http://img253.imageshack.us/img253/8765/49989624wl2.th.jpg][/url][/img]
[img]http://[img=http://img172.imageshack.us/img172/8864/57005899jv4.th.jpg][/img]
Тут на форуме еще читал что необходимо в моем варианте хость керио VPN заворачивать на 127.0.0.1, вроде только так работать будет.
Что скажете ?
2. Отключил все правила и прокси кроме тех. кот. на картинке (еще и комп перегрузил)
3. Пробовал правила последовательно и отдельно ставить.
Ничего не помогает, результат конекта в Керио я приложил.
[img]http://[img=http://img172.imageshack.us/img172/310/43757895ez8.th.jpg][/img]
[img]http://img253.imageshack.us/my.php?image=49989624wl2.jpg][img=http://img253.imageshack.us/img253/8765/49989624wl2.th.jpg][/url][/img]
[img]http://[img=http://img172.imageshack.us/img172/8864/57005899jv4.th.jpg][/img]
Тут на форуме еще читал что необходимо в моем варианте хость керио VPN заворачивать на 127.0.0.1, вроде только так работать будет.
Что скажете ?
kharkovmax
DialIn-таки решил никуда не вставлять? Ну-ну... У меня он (DialIn), кстати, тоже серенький. Но когда подключаюсь, ему присваивается адрес. Это можно посмотреть в интерфейсах. а так по конектам у меня тоже самое.
Где это заворачивать? Что имеется ввиду? На сетевой, смотрящей в локалку прописать 127.0.0.1? Хм... А подключаться к ней тогда как?. Или опять-таки ещё один шлюз прописать как 127.0.0.1
. Чёт не понял. У меня ничего никуда не заворачивается.
Зы. интерфейсов у тебя - тьма тьмущая!
DialIn-таки решил никуда не вставлять? Ну-ну... У меня он (DialIn), кстати, тоже серенький. Но когда подключаюсь, ему присваивается адрес. Это можно посмотреть в интерфейсах. а так по конектам у меня тоже самое.
Где это заворачивать? Что имеется ввиду? На сетевой, смотрящей в локалку прописать 127.0.0.1? Хм... А подключаться к ней тогда как?. Или опять-таки ещё один шлюз прописать как 127.0.0.1
. Чёт не понял. У меня ничего никуда не заворачивается. Зы. интерфейсов у тебя - тьма тьмущая!
niichavo
Т.Е. ты в правило добавил DialIn, а остальное как у меня ?
Добавлено:
А что ты имеешь ввиду DialIn никуда не вставлять ?
Куда вставить подскажи ))
И как правильно вставить, реально или туплю уже или не пойму....
Kerio VPN адаптер сейчас отключен. Что с Dial In нужно делать и как его в правило вставить ?
Т.Е. ты в правило добавил DialIn, а остальное как у меня ?
Добавлено:
А что ты имеешь ввиду DialIn никуда не вставлять ?
Куда вставить подскажи ))
И как правильно вставить, реально или туплю уже или не пойму....
Kerio VPN адаптер сейчас отключен. Что с Dial In нужно делать и как его в правило вставить ?
kharkovmax
Цитата:
У меня всего два физических интерфейса. Сетевая, которая смотрит в локальную сеть и сетевуха, которая смотрит к провайдеру/в_adls_модем (не суть важно), короче в интернет.
Цитата:
Я имею ввиду то, что ты этот интерфейс упорно не хочешь добавлять в правила.
Как, чего и куда вставлял я, мною было продемонстрировано. Смотри скриншот на предыдущей странице. Помимо виндового VPN у меня ещё работает и Kerio VPN. Поэтому можешь не обращать внимание в правилах на "All VPN tunnels/clients"
Цитата:
...а остальное как у меня ?
У меня всего два физических интерфейса. Сетевая, которая смотрит в локальную сеть и сетевуха, которая смотрит к провайдеру/в_adls_модем (не суть важно), короче в интернет.
Цитата:
А что ты имеешь ввиду DialIn никуда не вставлять ?
Я имею ввиду то, что ты этот интерфейс упорно не хочешь добавлять в правила.
Как, чего и куда вставлял я, мною было продемонстрировано. Смотри скриншот на предыдущей странице. Помимо виндового VPN у меня ещё работает и Kerio VPN. Поэтому можешь не обращать внимание в правилах на "All VPN tunnels/clients"
niichavo
Как ты настраивал Dial-In и Kerio VPN server ?
Чего нить в них прописывал ?
Добавил Dial-in, результат тот же, за исключением того, что Dial-in действительно получает IP, но если запускаю конект клиента при выключенном Керио.
Если включаю конект с керио, то Dial-in без IP и ничего не работает.
Не пинай сразу, помоги ))))
Как ты настраивал Dial-In и Kerio VPN server ?
Чего нить в них прописывал ?
Добавил Dial-in, результат тот же, за исключением того, что Dial-in действительно получает IP, но если запускаю конект клиента при выключенном Керио.
Если включаю конект с керио, то Dial-in без IP и ничего не работает.
Не пинай сразу, помоги ))))
kharkovmax
Цитата:
Где настраивал? В KWR - никак. Только добавил DialIn в правила. Про настройку VPN в RRAS я не говорю, т.к. можно предположить, что у тебя здесь всё правильно настроено, раз при выключенном KWR работает. Kerio VPN настраивал, но в твоём случае он не нужен, раз ты его не используешь. Тебе нужно, чтобы работал VPN-туннель за который отвечает RRAS. KWR тут не причём. Единственное, он должен пропускать этот туннель через себя и не мешать. Посему Kerio VPN тут лишний.
Цитата:
Где ты отслеживал получение адреса если KWR был выключен? В консоли RRAS?
Цитата:
Уж и не знаю уже как. Ты пробовал по моему примеру делать правила? Попробуй удалить DialIn. Потом сделай так чтоб он опять появился (перезапусти KWR/RRAS/windows). Какая версия KWR, крайняя? Может отключить все "лишние" интерфейсы?... 
Попробуй ещё в правило, в Source, где PPTP и GRE добавить any. Ну это уже какие-то танцы с бубном пошли.
Цитата:
Как ты настраивал Dial-In и Kerio VPN server ?
Где настраивал? В KWR - никак. Только добавил DialIn в правила. Про настройку VPN в RRAS я не говорю, т.к. можно предположить, что у тебя здесь всё правильно настроено, раз при выключенном KWR работает. Kerio VPN настраивал, но в твоём случае он не нужен, раз ты его не используешь. Тебе нужно, чтобы работал VPN-туннель за который отвечает RRAS. KWR тут не причём. Единственное, он должен пропускать этот туннель через себя и не мешать. Посему Kerio VPN тут лишний.
Цитата:
Добавил Dial-in, результат тот же, за исключением того, что Dial-in действительно получает IP, но если запускаю конект клиента при выключенном Керио.
Где ты отслеживал получение адреса если KWR был выключен? В консоли RRAS?
Цитата:
Не пинай сразу, помоги
Уж и не знаю уже как. Ты пробовал по моему примеру делать правила? Попробуй удалить DialIn. Потом сделай так
чтоб он опять появился (перезапусти KWR/RRAS/windows). Какая версия KWR, крайняя? Может отключить все "лишние" интерфейсы?... Попробуй ещё в правило, в Source, где PPTP и GRE добавить any. Ну это уже какие-то танцы с бубном пошли.Кстати, иногда бывает правила проще заново пересоздать. У меня так было с переходом с непрозрачной прокси на НАТ.
Братья!
Имеются вопросы по Kerio WinRoute Firewall....
Раньше я юзал прогу lan2net, очень удобную и достаточно функциональную..... но жизнь не стоит на месте и пришлось поставить 64-х битную ось... в результате чего lan2net неимеющий драйвера под 64-х....
Поставил ТИ, что-то он мне не очень нравится (хотя и фишек в нём нужных много) и он похоже не очень отвечает моим требованиям... Присматриваюсь к Kerio WinRoute Firewall, но чтоб долго не мучится, хотел бы задать такие вопросы:
1) возможна ли авторизация по IP/MAC ?
2) VPN это обязательно?
3) Возможно ли дать к примеру дневное ограничение пользователю/группе?
4) Возможно ли перенаправлять пакеты на другой IP/Порт?
5) Возможна ли работа без клиента (связано с п. 1)
6) Возможно ли работа с несколькими провайдерами?
7) Возможно ли быстро переключать маршрут прохождения трафика? (В случае если один из провайдеров неработает).
Заранее спасибо!
Имеются вопросы по Kerio WinRoute Firewall....
Раньше я юзал прогу lan2net, очень удобную и достаточно функциональную..... но жизнь не стоит на месте и пришлось поставить 64-х битную ось... в результате чего lan2net неимеющий драйвера под 64-х....
Поставил ТИ, что-то он мне не очень нравится (хотя и фишек в нём нужных много) и он похоже не очень отвечает моим требованиям... Присматриваюсь к Kerio WinRoute Firewall, но чтоб долго не мучится, хотел бы задать такие вопросы:
1) возможна ли авторизация по IP/MAC ?
2) VPN это обязательно?
3) Возможно ли дать к примеру дневное ограничение пользователю/группе?
4) Возможно ли перенаправлять пакеты на другой IP/Порт?
5) Возможна ли работа без клиента (связано с п. 1)
6) Возможно ли работа с несколькими провайдерами?
7) Возможно ли быстро переключать маршрут прохождения трафика? (В случае если один из провайдеров неработает).
Заранее спасибо!
markers
1. По IP авторизация возможна, с МАК адресами керио не рабит.
2. Нет, не обязательно.
3. Да, пользователям и группам можно давать дневные и месячные квоты.
4. Есть такое дело, настраивается в траффик полиси.
5. Не совсем понял, можно ли уточнить?
6. На винруте.ру видел такие реализации.
7. Да, есть функция коннкшен файловер, однако сам не пользовался, и пару раз встречал темки с глюками оного.
1. По IP авторизация возможна, с МАК адресами керио не рабит.
2. Нет, не обязательно.
3. Да, пользователям и группам можно давать дневные и месячные квоты.
4. Есть такое дело, настраивается в траффик полиси.
5. Не совсем понял, можно ли уточнить?
6. На винруте.ру видел такие реализации.
7. Да, есть функция коннкшен файловер, однако сам не пользовался, и пару раз встречал темки с глюками оного.
StBender
1) А возможна ли авторизация (без клиента) по надёжней чем по IP ?
2) Гуд
3) Не подскажите где, чтоб долго не искать?
4) ок
5) Вопрос в том, обязателен ли клиент для входа в инет, или нет?
6) ок
7) ок
Спасибо!
1) А возможна ли авторизация (без клиента) по надёжней чем по IP ?
2) Гуд
3) Не подскажите где, чтоб долго не искать?
4) ок
5) Вопрос в том, обязателен ли клиент для входа в инет, или нет?
6) ок
7) ок
Спасибо!
markers
1. Больше видов автоматической авторизации там нет(
3. При создании пользователя или группы (в соответствующем разделе) будет предложено выбрать квоту.
Чёрт, может жара расплавила мозг, но я не могу что за клиент, можно пример привести
1. Больше видов автоматической авторизации там нет(
3. При создании пользователя или группы (в соответствующем разделе) будет предложено выбрать квоту.
Чёрт, может жара расплавила мозг, но я не могу что за клиент, можно пример привести
markers
связка пунктов 1 и 5. насколько я правильно понял, интересует авторизация пользователей - п. 1) и наличие/отсутствие клиентской части KWF - п. 5), которая и отвечает за эту самую авторизацию. итак:
1) авторизация возможна по IP, имени/паролю в локальной базе пользователей или ActiveDirectory.
5) каких-либо клиентских програм(или, если угодно, модулей) для авторизации в KWF не нужно. по IP - сам понимаешь, по лог/пасс - Керио выдаст страничку в браузере для авторизации (прозрачная для юзверя авторизация по имени у меня не получилась). эта страничка должна быть стартовой у пользователя. при наличии AD - это задается в групповых политиках(если память не изменяет). там можно силой заставить IE юзать конкретную страницу в качестве стартовой.
терь немного оффтопа.. сорри...
вопрос такой: стоит сервак(W2K3+KWF). вроде все ОК.. и инет раздается(благо начальство никаких запретов не вводило), и VPN-щики подключаются.. все нормуль.. есть ли смысл переходить на MS ISA 2006.. хоцца все от одного производителя, так сказать.. понимаю про гиморр с переходом, новые настройки и т.д. и т.п. если плюсы/минусы у оного продукта в сравнении в KWF(или ткните носом где почитать про это можно)?? заранее спасибо..
связка пунктов 1 и 5. насколько я правильно понял, интересует авторизация пользователей - п. 1) и наличие/отсутствие клиентской части KWF - п. 5), которая и отвечает за эту самую авторизацию. итак:
1) авторизация возможна по IP, имени/паролю в локальной базе пользователей или ActiveDirectory.
5) каких-либо клиентских програм(или, если угодно, модулей) для авторизации в KWF не нужно. по IP - сам понимаешь, по лог/пасс - Керио выдаст страничку в браузере для авторизации (прозрачная для юзверя авторизация по имени у меня не получилась). эта страничка должна быть стартовой у пользователя. при наличии AD - это задается в групповых политиках(если память не изменяет). там можно силой заставить IE юзать конкретную страницу в качестве стартовой.
терь немного оффтопа.. сорри...
вопрос такой: стоит сервак(W2K3+KWF). вроде все ОК.. и инет раздается(благо начальство никаких запретов не вводило), и VPN-щики подключаются.. все нормуль.. есть ли смысл переходить на MS ISA 2006.. хоцца все от одного производителя, так сказать.. понимаю про гиморр с переходом, новые настройки и т.д. и т.п. если плюсы/минусы у оного продукта в сравнении в KWF(или ткните носом где почитать про это можно)?? заранее спасибо..
nikolaevsergey
Иса довольно тяжеловесный продукт и смысл есть переходить если у тебя куча удалённых офисов с некислыми сетями, доменами и всё это обьединено по впну,
кароче если керио справляется со своими функциями смысла на ису переходить не вижу, зачем стрелять из пушки по мухам.
Иса довольно тяжеловесный продукт и смысл есть переходить если у тебя куча удалённых офисов с некислыми сетями, доменами и всё это обьединено по впну,
кароче если керио справляется со своими функциями смысла на ису переходить не вижу, зачем стрелять из пушки по мухам.
StBender
Ну у некоторых программ типа lan2net, ТИ возможно подключение к интернету через NTLM или по логин/пасу. Происходит такая авторизация при помощи прожки-клиента, которая заодно показывает статистику.
Ну у некоторых программ типа lan2net, ТИ возможно подключение к интернету через NTLM или по логин/пасу. Происходит такая авторизация при помощи прожки-клиента, которая заодно показывает статистику.
можно ли канибуть настоить, чтобы WinRoute блокировал Cookie и Flash?
DzOOMer, блокировка флэш настраивается в http policies. Насчет печенек не знаю.
markers, а, понятно, тогда в керио клиентов нет, не считая для керивского впн.
markers, а, понятно, тогда в керио клиентов нет, не считая для керивского впн.
markers
Раньше и у kwf был свой клиент(может он и щас есть). Сейчас, учитывая возможность NTLM авторизации и наличие встроенного веб-интерфейса для авторизации и просмотра статистики, необходимость в отдельном клиенте отпала.
Раньше и у kwf был свой клиент(может он и щас есть). Сейчас, учитывая возможность NTLM авторизации и наличие встроенного веб-интерфейса для авторизации и просмотра статистики, необходимость в отдельном клиенте отпала.
Starshark2007
Цитата:
Не уверен. Например, пусть нам дано: доменный пользователь, которому запрещено пользоваться тётей асей. А ася стоит на многих компах. И этот пользователь должен мочь работать на многих компьютерах. Отсюда вариант авторизации по IP пролетает. ntlm-авторизация тут никак не поможет. Даже если пользователь не пройдет её (не будет открывать интернет-браузер), ася благополучно законектится.
Цитата:
...необходимость в отдельном клиенте отпала
Не уверен. Например, пусть нам дано: доменный пользователь, которому запрещено пользоваться тётей асей. А ася стоит на многих компах. И этот пользователь должен мочь работать на многих компьютерах. Отсюда вариант авторизации по IP пролетает. ntlm-авторизация тут никак не поможет. Даже если пользователь не пройдет её (не будет открывать интернет-браузер), ася благополучно законектится.
niichavo, не скажи, любой сервис моэно разрешить только для авторизованных товарищей.
StBender
Это, как я понимаю, в правилах задаётся? Типа user@domain.local (group@domain.local) internet сервис permit/deny
Это, как я понимаю, в правилах задаётся? Типа user@domain.local (group@domain.local) internet сервис permit/deny
niichavo, быват) Друголе дело, что при доступе в почту или любые другие сервисы, отличные от http и https, только авторизованным пользователям, лицам предварительно необходимо открыть веб страничку, дабы сработал позыв на логин.
StBender
а подробнее можно- как через http policies заблокировать загрузку flash? (и чтобы при этом содержимое сайта картинки html отображалос)
а подробнее можно- как через http policies заблокировать загрузку flash? (и чтобы при этом содержимое сайта картинки html отображалос)
DzOOMer, создаешь правило вида (в хттп полисис конечно):
Эни юзер
Если урл совпадает с *.swf
Экшен: денай. Вот такое простенькое правило и ставишь его выше всех разрешающих правил. Если у тебя есть на уме несколько расишерний для флэша, то можешь создать в урл группс специальную группу куда также внести все типы флэшей по расширениям, и саоздать правило, которое будет блокировать контент если он входит в группу. Там ничего нет сложного, достаточно просто попробовать создать.
Эни юзер
Если урл совпадает с *.swf
Экшен: денай. Вот такое простенькое правило и ставишь его выше всех разрешающих правил. Если у тебя есть на уме несколько расишерний для флэша, то можешь создать в урл группс специальную группу куда также внести все типы флэшей по расширениям, и саоздать правило, которое будет блокировать контент если он входит в группу. Там ничего нет сложного, достаточно просто попробовать создать.
вот еще один момент - когда прохожу тест Advanced Port Scanner на pcflank.com то он пишет:
Код:
135 stealthed RPC
139 stealthed NETBIOS Session Service
137 closed NETBIOS Name Service
138 closed NETBIOS Datagram Service
Код:
135 stealthed RPC
139 stealthed NETBIOS Session Service
137 closed NETBIOS Name Service
138 closed NETBIOS Datagram Service
Страницы: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768
Предыдущая тема: realtek rtl8169 and vlan
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.