» Kerio WinRoute Firewall (часть 4)

ЛЮДИ!!! Помогите!!!
Есть огромная проблемма, бьюсь с ней уже не первый месяц, но наверно скорее меня пользователи сети убьют раньше чем я её решу.
На сервере стоит серверная часть программы на оракле и Kerio WinRoute Firewall, так вот когда компьютер пользователя с запущенной клиентской частью остаются без действия на 10-15 минут, то после возвращения при попытке возобновить работу прога пишет что утеряна связь с сервером. Восстановить работу можно только закрыв и заново запустив клиента. Пробовал удалить керио - всё работает замечательно. Как сделать чтобы керио не разрывал связь если пользователь неактивен?
ЗЫ: Убирать галочку в разделе пользователи напротив "Автоматически завершать сеанс пользователя, когда он не активен" - пробовал, не помогает.
Если кто сталкивался с подобной проблеммой помогите пожалуйста!

Цитата:

оракле и Kerio WinRoute Firewall

А зачем такое?

Цитата:

Восстановить работу можно только закрыв и заново запустив клиента.

По какому правилу работает?

XCV81
так... хрустальный шар и карты Таро говорят мне следующее:

Правило для локальной сети поставь повыше, в источник и цель пропиши LAN и Firewall (оба в каждое поле) и отключи Protocol Inspector. Естессно, что для локалки службы Any и Always Permit. (в принципе, оно автоматом даже создаётся так, за исключением PI)
Кроме того, зайди в сетевые подключения, выбери там "Дополнительно" - "Дополнительные параметры" и перемести LAN интерфейс на самый верх.
Что ещё... интернет интерфейс: выключи в закладке DNS регистрацию адресов этого подключения в DNS - общение локалки с firewallhost'ом намного шустрее пойдёт, без отвлеканий оного на внешний мир.

А ещё было бы хорошим тоном (кстати, почти всех вопрошающих касается) показать скриншот Traffic Policy, ибо догадывание, что там где и как может быть накосячено, займёт в таком случае намного меньше времени и без выхода в астрал.

XCV81

Цитата:

Как сделать чтобы керио не разрывал связь если пользователь неактивен?

Элементарно Ватсон, поставь керио на отдельном компе. Это файервол пусть он им будет. Зачем лепить вместе с ним СУБДешки, контроллеры доменов, сервера терминалов и пр. груши с яблоками.


Добавлено:
TohaDub

Цитата:

Каким образом например из Москвы можно узнать что у нас настроен VPN? Непонимаю. Хммм

Порты просканировать, а если более точно нужно, то органы могут запросить сведения о трафике у провайдера.
А в чем собственно смысл "суперсекретности"? от кого, что прячут? Там где она действительно нужна используют не Керио ВПН, а выделенные каналы, организованные магистральными провайдерами, такими как Ростелеком, например, Орандж (Эквант) и т.д. Они и гарантируют его приватность, а вот насколько... нужно внимательно читать договор.

Вот с такими настройками в декабре кто-то подключился через прокси и скачал 12гигов
(Была включена прозрачная прокся на порт 3128) а я почему то не вижу ничего крамольного в этом трафик полиси.
Никто с таким не сталкивался? Или может мысли есть???

1: name=(Новое правило) src=(iface:"Local Area Connection"Firewallvpn-tunnel) dst=(iface:"Local Area Connection"Firewallvpn-tunnel) service=(any) snat=(any) dnat=(any) action=(permit), time_range=(always) inspector=(default)
2: name=(ISS OrangeWeb Filter) src=(Firewall) dst=(any) service=("HTTPS" tcp:6000) snat=(any) dnat=(any) action=(Permit), time_range=(always) inspector=(default)
3: name=(Internet Traffic) src=(iface:"Local Area Connection") dst=(iface:"internet") service=("bank" "Bank_alemar540" "DNS" "FTP" "HTTP" "HTTPS" "IMAP" "NTP" "Ping" "POP3" "SMTP" "time" ) snat=(any) dnat=(any) action=(Permit,logconn), time_range=(always) inspector=(default)
4: name=(Firewall Traffic) src=(Firewall) dst=(iface:"internet") service=("bank" "Bank_alemar540" "DNS" "FTP" "HTTP" "HTTPS" "Ident" "IMAP" "NTP" "Ping" "POP3" "SMTP" "time") snat=(any) dnat=(any) action=(Permit,logpkt), time_range=(always) inspector=(default)
5: Disabled name=(Ident) src=(iface:"internet") dst=(Firewall) service=("Ident") snat=(any) dnat=(any) action=(permit), time_range=(always) inspector=(default)
default: action=(drop)

vimaret

Цитата:

Зачем лепить вместе с ним СУБДешки, контроллеры доменов, сервера терминалов и пр. груши с яблоками.

А когда руководство новый сервак не покупает? И заставляет все крутить на старой тачке у которой подгорел ide контролер, и только по этой причине машину отдали под сервак, причем забрали видюху оттуда потому как она нужна юзеру с плохим зрением.
XCV81
Вам правильно сказали. Граждане присылайте правила, здесь телепатов нет. Можно даже просить эту информацию внести в шапку.

И еще в довесок для всех кто спрашивает как настроить. На самом ресурсе Керио есть страница с документацией, включая пошаговую устаовку и настройку, хранится все это добро на http://www.kerio.ru/supp_kwf_manual.html.

Добавлено:
XCV81
Посмотри настройки Bandwidth Limiter может там чего настроено, и заодно P2P Eliminator тоже глянь.

Добавлено:
ds88
С вашими настройками мог подключится кто угодно по правилу 3.

Задача следующая
На машине с керио будет подниматься 2 впн только для пользователя на этой машинке
надо научить чтоб керио отправляло покеты через 1 впн а при поднятии 2 все покеты что хотят в интернет шли через 2
но ситуация следующая без 1 впн 2 не поднять!
И в тот же момент нужно чтоб пользователи за натом не теряли инет!
Реально?

Цитата:

А зачем такое?

потму что сервер со всеми вытекающими (раздача нета, доступа в vpn, прием входящих dial-up, а на оракле крутится 3 базы к которым пользователи могут обращаться 24 часа в сутки 7 дней в неделю)

Цитата:

А ещё было бы хорошим тоном (кстати, почти всех вопрошающих касается) показать скриншот Traffic Policy

вот выкладываю скрин с "тестовой" машины попробовал настроить тоже самое с нуля на другом компе чтобы проверить может сам чего нашаманил... получил по лбу теми же граблями "связь с сервером утеряна"
http://xcv.my1.ru/kerio.jpg

Цитата:

поставь керио на отдельном компе. Это файервол пусть он им будет. Зачем лепить вместе с ним СУБДешки, контроллеры доменов

а на сервер файервол не нужен? счас итак 2 сервера к каждому подключено по 2 адсл модема и по 4 диалаповских, причем разным пользователям разрешается доступ на разные модемы ну и много других нюансов. Керио единственный файервол (маршрутизатор) который меня в данной ситуации во всем устраивает кроме "потери связи"

Добавлено:

Цитата:

отключи Protocol Inspector

это где?

pilotro

Цитата:

А когда руководство новый сервак не покупает? И заставляет все крутить на старой тачке у которой подгорел ide контролер, и только по этой причине машину отдали под сервак, причем забрали видюху оттуда потому как она нужна юзеру с плохим зрением.

При таком подходе руководства я бы вообще не шевелился, пусть чувствуют, что это не прокатит, а лишь проползет и пять раз в день упадет...ИМХО
XCV81

Цитата:

а на сервер файервол не нужен? счас итак 2 сервера к каждому подключено по 2 адсл модема и по 4 диалаповских, причем разным пользователям разрешается доступ на разные модемы ну и много других нюансов. Керио единственный файервол (маршрутизатор) который меня в данной ситуации во всем устраивает кроме "потери связи"

Файервол на сервер нужен, но лучше на отдельном железе, диалапы (диалины) тоже можно на нем же, а вот базы, отдельно!!! и за файерволом!!!, а не на нем. Тогда и защищенность можно обеспечить, и производительность будет максимальная. Т.е. схема в любом случае должна получится классическая: внешняя сеть > файервол > локальная сеть. А не n файерволов в одной локалке и разные отсосы-подсосы через модемы сбоку. Юзера рано или поздно найдут в неправильной организованной сети дыры и будут качать кто вочто гаразд.

Добавлено:
XCV81

Цитата:

вот выкладываю скрин с "тестовой" машины попробовал настроить тоже самое с нуля на другом компе чтобы проверить может сам чего нашаманил... получил по лбу теми же граблями "связь с сервером утеряна"
http://xcv.my1.ru/kerio.jpg

Второе правило полный глюк, вы почитайте, как работает механизм НАТа. И если предположить, что в Керио он программировался и тестировался для пересылки пакетов по напрвлению локалка-> внешняя сеть, то можно предположить, что вслучае прохождения пакета локалка -> локалка возможны конфликты, ведь пакеты идущие через НАТ имеют время жизни! А при направлении внешняя сеть->локалка должен использоватся MAPind т.е. dnat
Вы бы посмотрели, как выглядит это правило не в графическом интерфейсе а в текстовом виде в конфиг файле...
И обратите внимание на то, как работают правила:
У IP пакета (в заголовке) есть поля с адресом и портом источника, а также адресом и портом приемника. Вот эти поля и сравниваются с адресами источника и приемника в правиле. Если данный пакет удовлетворяет критериям правила то он проходит. При этом если в разделе НАТа указано преобразование адресов и/или портов, то они подменяются. Если нет, то пакет проходит как есть. При подмене адресов/портов их старые значения запоминаются на некоторое время (в керио не регулируется). А когда пакет возвращается идет обратное преобразование(подмена). Ежли пакет где то подзадержался больше положенного, то он считается помершим.

Возможно ваши обрывы связи где-то здесь зарыты. Исключите NAT (snat).

Народ,посоветуйте нормальный фаервол под Керио+Винь 2003 +АД+ДНС.
Долбаный аутпост блокирует транзитные пакеты и не могу найти как ето отключить.
Sunbelt Personal Firewall не стает на сервак

Ruza
Перемещения правила в низ ничего не изменило
Керио при этом перезапускал !!

MagistrAnatol

Цитата:

Народ,посоветуйте нормальный фаервол под Керио+Винь 2003 +АД+ДНС

помоему расшифровывается - керио винроут фаервол и на кой ан этой тачке "Долбаный аутпост" - переведи !

Люди добрые ну помогите же мне ((
Картина следующая
(1) Подключение от провайдера городская сеть
С машинки с керио поднимаю (2)впн(в инет) пакеты научил ходить через него
Но есть (3) впн которому нужно подключиться к офису в другой части города
Как мне научить (3) обращаться в инет через (2) а не через (1) ?
И если это удастся заставить все пакеты после поднятия направлять на (3) только для керио машинки
Использую только НАТ
Заранее благодарен

NegoroX
в какой-то из веток про керио вычитал шо он не является полноценным фаером,правда теперь не могу найти ссылку шоб цытировать.
Тогда перефразирую вопрос - достаточно ли одного керио для защиты корпоративной сетки?
2 ALL Какое правило прописать в керио для такой ситуации - стоит ВПН модем воткнут в свитч и конектимся к удаленному компу по аипишнику чарез уд. рабочий стол.
Сейчас я на каждой тачке прописал дополнительный шлюз - адрес модема+прописал
маршрут на аипишник через модем.
И еще,вопрос может и обсуждался,как заставить керио не кешировать страницы руборда, у меня не работают ЛС. Кеширование в керио ваще выключено.
Ветку по етой теме читал,пробывал различные браузеры,и как раз в ветке об ЛС написано шо керио может намертво кешировать страницы.Как отучить его от етого???
Всем заранее пасиб за ответ !!!

Здравствуйте, возникла задача создать 2 RDP соединения для подключения к 2м разным серверам баз данных. На данный момент в настройках моего kerio winroute сделан редирект на сервер (не важно допустим 192.168.0.2). Не очень силен в настройках но на сколько я знаю нужно создать правило редиректа на 2й сервер через другой порт, самостоятельно пытался сделать, но так и не нашёл правильного решения.
Если кто то сталкивался уже с такой задачей, и просто может натолкнуть на правильнй путь решения буду очень благодарен.
Версия моей программы Kerio winroute firewall 6.4.0

Доброго времени суток. Есть проблема. На одном сервере стоит Exchange 2007x64 и Kerio 6.5.1 x64
Проблема в том что когда сервак стартует Kerio на время обрубает сеть, а так как в это же время стартуют службы Exchange, то он запускается с остановленной службой information store.
есть идеи как отучить kerio мешать exchange работать?

MagistrAnatol
конечно же одного KWF вполне достаточно. Ставить на одну машину 2 фаервола в принципе еретично
XCV81
правой кнопой по Trafic Policy, выбери "Изменить колонки", добавь "Инспектор протокола", для правила локальной сети выключи его.
rough84
где находятся сервера и откуда к ним надо сделать доступ?
если сервера внутри локалки, а доступ нужен по RDP извне, то сделай MAP какого-нить порта на 3389 нужной машины. Примерно так:
RDP1 -> Internet -> Firewall -> TCP 44440 -> Permit -> MAP server1:3389
RDP2 -> Internet -> Firewall -> TCP 44441 -> Permit -> MAP server2:3389
соответственно извне адрес для входа на server1 будет выглядеть так:
<внешний IP фаервола>:44440

rough84
У меня в локалке сделан один редирект по RDP (припустим сервак А). А на все остальные компы ходим через терминал с сервака А. Тоесть с дома через RDP входим на сервак А, а потом через RDP с сервака А ходим на остальные компы.

amonra666
честно говоря, ничего не понял
где-то постоянно теряю нить причинно-следственных связей. Кто куда должен ходить?

эххх... ладно, кажется догадался что к чему.
1, судя по всему, это локалка провайдера, а для выхода в инет ты поднимаешь VPN-соединение с провом. Так?
Если так, то для выхода в инет интерфейс 1 тебе вообще не нужен - рули только 2ым.

Добавлено:
lavren

Цитата:

У меня в локалке сделан один редирект по RDP (припустим сервак А). А на все остальные компы ходим через терминал с сервака А. Тоесть с дома через RDP входим на сервак А, а потом через RDP с сервака А ходим на остальные компы.

напоминает "Дом, который построил Джек"

Добавлено:
MagistrAnatol

Цитата:

стоит ВПН модем воткнут в свитч и конектимся к удаленному компу по аипишнику чарез уд. рабочий стол

скажите честно, вот если бы не сами писали сие, поняли бы что-нить из сего описалова?
то есть имеется модем, который по VPN логиниццо у прова и после этого воткнут в свитч? И сколько же компов на данном свитче висят? Уже попахивает ересью Или модем всё-таки не модем, а роутер? И где же сам Kerio находится?

Добавлено:
vimaret
+1

Привет всем )
Есть маленькая проблемка с кабаном (

Задача - опубликовать порт 5999 сервера Server (IP 10.0.0.3) в интернете.

Имеем внешний интерфейс, смотрящий в нет - NIC 100
Имеем сам сервер с кабаном - Firewall

Пытаюсь сваять правило в самом верху списка:

Source Destination Service Action Translation
NIC 100 Firewall TCP 5999 Allow MAP 10.0.0.3:5999


Вот почему не работает??? (((

kaskad
вроде всё правильно. разве что это правило может стоять ниже другого, который до него блокирует соединение.
ну и в любом случае смотрим лог filter (включив логирование DefaultRule)

Да, и при чём тут кабан вообще?

kaskad

Цитата:

Пытаюсь сваять правило в самом верху списка:

Source Destination Service Action Translation
NIC 100 Firewall TCP 5999 Allow MAP 10.0.0.3:5999


Вот почему не работает??? (((

в MAP 10.0.0.3:5999 достаточно написать только MAP 10.0.0.3, но это не существенно в данном случае.
Посмотрите вот на, что: не стоит ли у вас роутер (АДСЛ модем в режиме роутера или авторизации по pppoe да еще и с динамическим IP) перед NIC 100. (другими словами NIC 100 должен иметь реальный IP адрес, в противном случае в роутере тоже нужен мапинг)
И еще, я бы для более тонкой работы маппинга написал бы в Destination не Firewall, а ваш внешний IP адрес, т.е. адрес по которому внешние клиенты обращаются к файерволу.

AlOne
ты меня немного не до понял
да впн к провайдеру у меня поднимается
но вся засада в том что после 1впн в инет мне нужно поднимать еще 1 впн
каторый уже смотрит в инет а он стучится в локалку провайдера!

AlOne

Цитата:

скажите честно, вот если бы не сами писали сие, поняли бы что-нить из сего описалова?
то есть имеется модем, который по VPN логиниццо у прова и после этого воткнут в свитч? И сколько же компов на данном свитче висят? Уже попахивает ересью Или модем всё-таки не модем, а роутер? И где же сам Kerio находится?

Немного неточно описал,- есть доменная сетка,на домене Винь 2003 стоит Керио,
АДСЛ модем который для типа ВПН настроен в режиме роутера и воткнут в свитч,в сетке
20 компов. Какие еще нужны данные?

Cosmit
Черкани в ПМ а то несколько потерял нить разговора...

MagistrAnatol

Цитата:

Народ,посоветуйте нормальный фаервол под Керио+Винь 2003 +АД+ДНС.
Долбаный аутпост блокирует транзитные пакеты и не могу найти как ето отключить.
Sunbelt Personal Firewall не стает на сервак

Плакаль...

Цитата:

в какой-то из веток про керио вычитал шо он не является полноценным фаером,правда теперь не могу найти ссылку шоб цытировать.
Тогда перефразирую вопрос - достаточно ли одного керио для защиты корпоративной сетки?

Гы...

Цитата:

Немного неточно описал,- есть доменная сетка,на домене Винь 2003 стоит Керио,
АДСЛ модем который для типа ВПН настроен в режиме роутера и воткнут в свитч,в сетке
20 компов. Какие еще нужны данные?

Рост, вес...

Всё сожалею что нет одного смайлика....

kaskad

Цитата:

NIC 100 Firewall TCP 5999 Allow MAP 10.0.0.3:5999

Своими словами объясни правило пожалуйста - и всё станет понятно
AlOne

Цитата:

вроде всё правильно.

Нифига не правильно...
vimaret

Цитата:

И еще, я бы для более тонкой работы маппинга написал бы в Destination не Firewall, а ваш внешний IP адрес, т.е. адрес по которому внешние клиенты обращаются к файерволу.

Какой нафик мапинг? Если у него в правиле источник сам сервер...
PavelKhvalov

Цитата:

Если кто то сталкивался уже с такой задачей, и просто может натолкнуть на правильнй путь решения буду очень благодарен.
Версия моей программы Kerio winroute firewall 6.4.0

В реестре, в службах почтовика поставь что бы ждало запуска керио...

Ruza

Цитата:

Какой нафик мапинг? Если у него в правиле источник сам сервер...

Вы не правы коллега, у него источник внешний интерфейс (NIC 100). По крайней мере я так понял из упрощенного описания правила. А значит источник есть все, что приходит через этот интерфейс, т.е весь инет. Или я где-то недоехал?

Цитата:

где находятся сервера и откуда к ним надо сделать доступ?
если сервера внутри локалки, а доступ нужен по RDP извне, то сделай MAP какого-нить порта на 3389 нужной машины. Примерно так:
RDP1 -> Internet -> Firewall -> TCP 44440 -> Permit -> MAP server1:3389
RDP2 -> Internet -> Firewall -> TCP 44441 -> Permit -> MAP server2:3389
соответственно извне адрес для входа на server1 будет выглядеть так:
<внешний IP фаервола>:44440

to Al0ne
оба сервака находятся внутри локалки. Да нужен доступ из вне.
Всё так и делал раньше.
Вот вид правил которые создал: хз может где ошибся или где то что то нужно ещё добавить видимо.
Name source destination service action translation
RDP inet firewall 44440 permit 192.168.0.51:3389
RDP1 inet firewall 44441 permit 192.168.0.17:3389

В результате не удается подключиться через внешний ip *.*.*.*:44441 и 44440
если подключаюсь без указания порта отправляет на 192.168.0.17 как и если подключаюсь с указанием порта 3389.

vimaret

Цитата:

Вы не правы коллега, у него источник внешний интерфейс (NIC 100).

Хм... Ну раз дискуссия то тогда давайте рассмотрим правило на примере одного пакета пришедшего с any и дошедшего по разбору до этого правила:
Source Dst
195.10.1.1 Firewall.........
Как поведёт себя керио, если оно сцуко телепатических хотелок админа не понимает?

З.Ы. NIC 100 в данном случае является, не всё что приходит, а именно IP этого интерфейса...

Ruza
чем прикаловаться лутше бы помог с парочкой вопросов,которые задавал выше
сюди

Цитата:

чем прикаловаться лутше бы помог с парочкой вопросов,которые задавал выше

Да я к моему сожалению не прикалываюсь... Грустно просто - смех сквозь слёзы...
Ну хорошо давай разберёмся с вопросами...

Цитата:

Народ,посоветуйте нормальный фаервол под Керио+Винь 2003 +АД+ДНС.
Долбаный аутпост блокирует транзитные пакеты и не могу найти как ето отключить.
Sunbelt Personal Firewall не стает на сервак

Что тут отвечать? Кроме того что вопросивший не понимает разницу между корпоративным брандмауэром и персональным firewall.

Цитата:

в какой-то из веток про керио вычитал шо он не является полноценным фаером,правда теперь не могу найти ссылку шоб цытировать.

тут нечего даже комментировать....

Цитата:

Тогда перефразирую вопрос - достаточно ли одного керио для защиты корпоративной сетки?

Паранойя иногда принимает и более изощерённые формы.

Цитата:

Какое правило прописать в керио для такой ситуации - стоит ВПН модем воткнут в свитч и конектимся к удаленному компу по аипишнику чарез уд. рабочий стол.

Это бред сильно расширившегося сознания, не? Брось самокрутку.

Цитата:

Сейчас я на каждой тачке прописал дополнительный шлюз - адрес модема+прописал
маршрут на аипишник через модем.

Сам то понял?

Цитата:

И еще,вопрос может и обсуждался,как заставить керио не кешировать страницы руборда, у меня не работают ЛС. Кеширование в керио ваще выключено.
Ветку по етой теме читал,пробывал различные браузеры,и как раз в ветке об ЛС написано шо керио может намертво кешировать страницы.Как отучить его от етого???

А мож браузер тож кеширует, не?