» Kerio WinRoute Firewall (часть 4)

v0te

Цитата:

появилась новая опера турбо 10.1355

Это альфа/бета релизы... Так что настроить наверное не получится, тут либо "кабан" либо опера...
http://my.opera.com/desktopteam/blog/opera-turbo-labs-release#comments

Цитата:

Warning: Although it should not, traffic that is not supposed to go through the proxy can in theory end up there anyway. We don't know of any cases where this will occur, but that doesn't mean it can't happen. Remember it is an Opera Labs release.

как опубликовать сайт ?
в качестве роутера модем зуксель 660 там все как положено прописано в динднс... до это керио не было сайт был на локальной машине проблем не было... а вот теперь надо это дело пробрасывать через керио.. как осуществить ?

xhangmanx

Надо смайл телепатии сделать...

Ребят, помогите. Имеется следуящая проблема - где то раз в неделю керио начинает блочить все соединения - пинг не проходит, ошибка 1450, в инет попасть не могу, короче все правила по портам не работают, тупо полный блок. Если остановить керио то все оживает, и пинг с сервака ходит и инет с сервака начинает работать. Только вот уже потом запустить его не могу, в логе такая ошибка: (1006:8) Can't load driver: Недостаточно памяти для обработки команды.
Есть подозрение, что на это влияют логи. У меня за три дня http лог до 100-150 мб разрастается, а памяти на серваку всего 512 мб. Счас попробую поставить ежедневную его очистку, посмотрю как будет. Может есть еще какие предложения????

Господа, возможно многие в курсе что вышел релиз кандидат керио, и у него сейчас есть в комплекте линуксовый впн клиент. Да вот одна проблема, эта байда заточена под дебиан\убунту.
Сам пакадж с демоном сконвертил в рпм без проблем конечно с помощью alien, но осталась проблема с пакаджем который созаёт модуль ядра - драйвер собственно.

Собственно может кто имел опыт, по правильно конвертации из deb пакаджей с интрукциями по компилянию модулей?

Вроде как там есть и исходники, однако ручками мейк собирать это отказывается. Возможно я просто что-то не так делаю.

Хелп

П.С. А никто не в курсах что с керио-рус.ру случилось?

В kerio-kwf-whql-6.5.2-5172-win64.exe не отображается VPN-соединение в интерфейсах, как побороть?

Для подключения к интернету требуется авторизация на VPN сервере провайдера, подключение создаю, все нормально, работает. Устанавливаю Kerio, создаю правило разрешить всё, подключаюсь к VPN серверу провайдера, но в "интерфейсах" керио созданного соединения нет. Когда пользовался ADSL, не было такой проблемы, после рефреша бридж соединение появлялось, соотвественно появлялась возможность писать правила с указанием трафика на это соединение.

polosat1y

Цитата:

kerio-kwf-whql-6.5.2-5172-win64.exe не отображается VPN-соединение в интерфейсах, как побороть?

Соединение небось "только для себя" а не "для всех" создал?

AnLe

Цитата:

Возможно я просто что-то не так делаю.

А что делал то...

Доброе(ый) утро, день, вечер.
kerio winroute 6.
Настроил traffic Policy - на выход с сервера в интернет.
т.е. source - firewall, destination (интернет интерфейс), service any.

В итоге все адреса пингуются. А с помощью браузера не заходит.
В сервисах есть настройки для порта 80.

Подскажите что не так делаю.

Для чего нужна таблица маршрутизации?

Буду благодарен любым ответам!

Balibaka

Цитата:

В итоге все адреса пингуются. А с помощью браузера не заходит.
В сервисах есть настройки для порта 80.

Скорее всего у вас не настроено разрешение DNS имен, посмотрите в шапку, там есть ссылка по настройке DNS, выделенная красным цветом.

Цитата:

Для чего нужна таблица маршрутизации?

Или правильнее сказать для чего нужно маршрутизация? А для чего знать географию? Фонвизин сказал на это: "Чтобы если едешь, то знать куда....так, а извозчики то, на что?".
Короче, таблица маршрутизации нужна чтобы сеть работала, т.е. извозчики знали, куда покеты возить (доставлять).

Цитата:

Соединение небось "только для себя" а не "для всех" создал?

Да, так и было.
Создал новое "для всех пользователей", соединение появилось в интерфейсах керио.
Подключаюсь к VPN серверу провайдера через "Сетевые подключения" коннект устанавливается, но в интерфейсах Керио соединение отображается как отключенное.
Делаю дисконнект. Забиваю логин и пароль в соединение которое в интерфейсах керио появилось, жму "Дозвон" - не конектится, в логах ошибка "incorrect parametr", убираю логин и пароль, выбираю опцию использовать информацию из RAS тоже не конектится

А по моему вопросу 5 постов выше никто не подскажет?

Добрый день. Очередная неприятная проблема: В сети установлен корпаративный Symantec Antivirus. На шлюзе стоит керио с включенным McAfee. Так вот проблема в следующем: Symantec не может обновляться при включенном антивире на шлюзе. Как только отключаю McAfee, Symantec начинает обновляться на ура. Какие исключения надо поставить в McAfee чтобы спокойно обновлялся Symantec?

Добрый день! После установки последней версии керио стал вываливаться в ошибкой приложения. У кого нибудь есть такие проблемы, и не является ли это попытками взлома извне?

мучаю KWF 6.5.0 ... для экспериментов использую связку : VMWare (вирт. комп) + Реальный комп (с KWF)+AdslModem(в режиме роутера) ...
KWF поставил ... мастером (указал все службы - доступными) указал сетевой интерфейс идущий на модем в качестве внешнего(интернет) соединения ... на вирт машине - шлюзом указал йп реального компа и ДНСы от провайдера ... в итоге: пинги, типа ping ya.ru - проходят отлично, как с вирт машины, так и с реалного компа... telnet подключения, допустим к почтовым серверам в нете (по 25 порту) - тоже отлично проходят ... даже ася-проскакивает ...а вот http - не хочет ...несмотря на то ,что я все антивирусы, проверки,прокси, кэши и правила (в "Политика HTTP") в которых открыл "все и для всех"

....в НАТ-е на роутере пробросов для KWF не делал (не знаю какие порты мапить)

..... пробовал модем юзать в бридже - та же история

Заранее извините, если эта тема уже поднималась, но не могу найти решения проблемы. А проблема такая - весь офис работает на терминальном сервере. Так как же всё таки реализовать учёт трафика(хотя бы ХТТП) для каждого пользователя?

ОС : Windows 2003 Enterprise sp2
Kerio 6.5.2 build 5172
Шлюз являеться контроллером домена и терминальным сервером - 3в1.
Винрут соответственно стоит на шлюзе.

Скрины к сообщению
upd: использую Windows Seven x64 сборка 7000

Ребяты, а как бы мне понять, почему у клиента пропадает инет, а после реконнекта все хорошо на пару минут, но потом снова...


Цитата:

[23:10:40] <vvv> дык я ничего не менял
[23:11:55] <SuperDen> [2009-03-16 21:22] <vvv> падает каждые 2 минуты
как ты определяешь?
[23:12:07] <vvv> донвлоадом
[23:12:18] <vvv> рапидой
[23:12:35] <vvv> соединение есть
[23:12:42] <vvv> но не заходит ни куда
[23:12:59] <vvv> керио на пере подкл и опять всё работат
[23:13:15] <vvv> щяс опять также

У остальных все хорошо с этого же сервера.

в логах у него постоянно получается сейчас:

Цитата:

[16/Mar/2009 23:08:10] VPN client 'KLOP' disconnected, connection time 00:00:13
[16/Mar/2009 23:08:28] VPN client 'KLOP' connected from 10.25.19.52
[16/Mar/2009 23:13:58] VPN client 'KLOP' disconnected, connection time 00:05:30
[16/Mar/2009 23:14:03] VPN client 'KLOP' connected from 10.25.19.52
[16/Mar/2009 23:16:26] VPN client 'Ivan' disconnected, connection time 00:13:34
[16/Mar/2009 23:18:57] VPN client 'KLOP' disconnected, connection time 00:04:54
[16/Mar/2009 23:19:02] VPN client 'KLOP' connected from 10.25.19.52
[16/Mar/2009 23:20:47] VPN client 'KLOP' disconnected, connection time 00:01:45
[16/Mar/2009 23:20:49] VPN client 'KLOP' connected from 10.25.19.52
[16/Mar/2009 23:22:48] VPN client 'KLOP' disconnected, connection time 00:01:59
[16/Mar/2009 23:22:50] VPN client 'KLOP' connected from 10.25.19.52

polosat1y

Цитата:

upd: использую Windows Seven x64 сборка 7000

уже вышла Вин7 7057 по отношению к 7000 пофиксили более 2000 багов.
( повезет заработает

exdee

Цитата:

В сети установлен корпаративный Symantec Antivirus. На шлюзе стоит керио с включенным McAfee. Так вот проблема в следующем: Symantec не может обновляться при включенном антивире на шлюзе. Как только отключаю McAfee, Symantec начинает обновляться на ура. Какие исключения надо поставить в McAfee чтобы спокойно обновлялся Symantec?

У меня настройки по умолчанию http://pic.ipicture.ru/uploads/090317/Mm0aDeS4u8.jpg , думаю, что здесь важно последнее правило, которое разрешает все, что не перечислено выше. Главное не запрешать .tri, .sig, .grd

NegoroX
В XP нормально работает, но такой же баг был и в Vista x64 Ultimate

polosat1y
Для керио не ХР а серверная ось предпочтительней.

Здраствуйте
Такая вот проблемка...
Сервер Win2003R2 + Kerio 6.5.2. Локальный интерфейс езернет + 2 VPN канала (открываются через локальный интерфейс). Керио настроен на балансировку трафика между двумя VPN. Иногда начинает плавно расти пинг с самим сервером кде установлен керио до 600мс, потом сам обваливается обратно до 1мс. Поток трафика не изменяется. Запущена служба маршрутизации, она же потребляет почемуто около 15% CPU (Керио в этот момент не больше 10%). Везде пишут что службу маршрутизации нужно отключить, но как тогда поднять 2 VPN интерфейса ?

exdee
В настройках антивируса отключи сканирование трафика с хостов симантека...
В посте vimaret приведён скрин но делай отдельное првило на самом верху...
vimaret

Цитата:

что здесь важно последнее правило, которое разрешает все, что не перечислено выше. Главное не запрешать .tri, .sig, .grd

Вот саписибо - научил!!! Я всегда думал что разрешено то что не запрещено...
А у тебя проверяются только чать трафика которую ты указал а остальное летит без проверки.

Ri4y

Цитата:

У кого нибудь есть такие проблемы, и не является ли это попытками взлома извне?

У всех есть проблемы в той или другой области применения керио...
Попытки взлома... Маловероятны если ты не работаешь на пентагон, ФСБ, СБУ, банк & etc. Вот ты скажи у тебя керио куплен?

rg2570
Много текста - не асилил... Попроще напиши

Handouk
Ну так поставь непрозрачный прокси с обязательной авторизацией и а Http политиках запрети ходить без авторизации. Трафик по юзерам будет считаться нормально.

polosat1y

Цитата:

upd: использую Windows Seven x64 сборка 7000

Народ давайте беты сами разруливать... Шлюз на бета ОС - высший пилотаж...

Ruza

Цитата:

Народ давайте беты сами разруливать... Шлюз на бета ОС - высший пилотаж...

Дома две машины, очень удобно на вторую машину инет натить, вообще крайне нравится и удобен Kerio, уже отвык от персональных фаерволов, не хочется переходить на что-то другое. Пока решу вопрос установкой kerio на 2-ую машину, там XP.

Ruza
Ну как что, открыл архив что идёт в файле для построения ядромодуля, однако команду из документации в нём :
./rules kdist_image никчему не приводит.

Мнеб знать что с этим делает дебиановский mmodule-assistant на который эта байда расчитана.

Ruza Я так понимаю, что будет считаться только хттп трафик. И при использование непрозрачной прокси придёться прописывать проксю во всех программах, для каждого терминального пользователя. Спасибо. Тревожит только один вопрос, насколько такая система будет тормозить сеть, вернее большая ли будет сетевая нагрузка на сервак(Xeon x3210 + 4x1Gb PC2-5300(333MHz) + Intel S3000AHV + соответственно 2 сетевушки гигабитные)?

P.S. Ещё маленький вопрос, сервак из локалки странно пингуется, а именно пакеты на 8000 проходят с задержкой менее 1мс, пишешь пинговать пакетами по 9000, вообще не пингуется. Виновата ли Керио? Остальные машины пингуются между собой без проблем. Схема сети простая роутер-сервак-свитч-машины.

Ruza

Цитата:

Цитата:что здесь важно последнее правило, которое разрешает все, что не перечислено выше. Главное не запрешать .tri, .sig, .grd

Вот саписибо - научил!!! Я всегда думал что разрешено то что не запрещено...
А у тебя проверяются только чать трафика которую ты указал а остальное летит без проверки.

Сенкью за поправку, коллега. Я это и имел ввиду, только выразил мысль костно. Правильно было бы сказать: "Главное не сканировать .tri, .sig, .grd"

Цитата:

Добрый день. Очередная неприятная проблема: В сети установлен корпаративный Symantec Antivirus. На шлюзе стоит керио с включенным McAfee. Так вот проблема в следующем: Symantec не может обновляться при включенном антивире на шлюзе. Как только отключаю McAfee, Symantec начинает обновляться на ура. Какие исключения надо поставить в McAfee чтобы спокойно обновлялся Symantec?

Все просто, напиши отдельное HHTP правило в политике HTTP для обновлений и отключи у этого правила сканирование на вирусы

Ruza Оттестировал такую систему, и постоянно возникает такая проблема, кто первый вошёл на проксю, того и тапки, т.е. весь трафик потом сыпиться на него. Соответственно вопрос до сих пор остаётся открытым. Как в терминале вести учёт трафика в Керио?

AnLe

Цитата:

Ну как что, открыл архив что идёт в файле для построения ядромодуля, однако команду из документации в нём :
./rules kdist_image никчему не приводит.

Это скорее отдельная тема... Черкани в ПМ надо смотреть...

Handouk

Цитата:

Я так понимаю, что будет считаться только хттп трафик.

Нет будет считаться всё что будет отправлено на прокси порт и пройдёт авторизацию.

Цитата:

P.S. Ещё маленький вопрос, сервак из локалки странно пингуется, а именно пакеты на 8000 проходят с задержкой менее 1мс, пишешь пинговать пакетами по 9000, вообще не пингуется. Виновата ли Керио? Остальные машины пингуются между собой без проблем. Схема сети простая роутер-сервак-свитч-машины.

Это скорее проблема фрагментации пакетов на уровне низкоуровневого драйвера керио

vimaret

Цитата:

Сенкью за поправку, коллега. Я это и имел ввиду, только выразил мысль костно. Правильно было бы сказать: "Главное не сканировать .tri, .sig, .grd"

ИМХО немного не правильно т.к. переименовать архив с вирусом virus.exe -> virus.sig не составит труда. Проще уж доверить весть трафик от хостов симантека/касперского & etc.

Handouk

Цитата:

Оттестировал такую систему, и постоянно возникает такая проблема, кто первый вошёл на проксю, того и тапки

Хм... Ну раз оттестировал то тогда - это на твоей совести У меня работало.