» Kerio WinRoute Firewall (часть 4)

rapperr
Я как то в политике HTTP хотел заблочить сайт, но вместо сайта оставил * и сохранил, в итоге юзвери начали обращаться, почему сайты все заблочены)) при этом аська работала. Долго я думал в чем дело)

YuraseK

Цитата:

А что интересного появилось в Kerio WinRoute Firewall 6.6.0.5666 R1?

http://www.kerio.com/beta_section.html

Цитата:

New features:
+ VPN Client for Linux and Mac OS X
+ VPN client for Windows runs as a service (it is possible to have VPN established before login to Windows)
+ VPN server propagates WINS servers and DNS domain suffix to VPN client
+ VPN client now uses primary IP address on VPN adapter (improved Network Neighborhood browsing)
- Fixed CPU load peak every 3 seconds caused by DHCP renew on VPN adapter

This beta version is intended for testing purposes only.

Да, изменения в основном затронули интегрированный VPN, которым я и не пользуюсь по причине отсутствия поддержки broadcast (OpenVPN рулит).

...
Цитата:

Задача в том, чтобы когда отрубался интернет по основному внешнему интерфейсу (Ethernet), можно было ходить по Skylink и только по ограниченным протоколам. Из-за того что автодозвон сделать, я так понял, не получится, думаю держать соединение через модем постоянно. Проблема в том, что когда PPP соединение устанавливается, как я понимаю, система заменяет свои шлюзы и днс по умолчанию, то есть весь траффик идет через модем, а про ethernet система вообще забывает.

Мне кажется, что дело здесь в маршрутизации, но как правильно её настроить ?

...

...
Цитата:

Собсно вопрос в том как это настроить, если это возможно? Или, может, возможно убедить kerio в том, что этот модем может дозваниваться ?

Вот я пень... Ларчик просто открывался! Надо было просто основному интерфейсу поставить метрику = 1 и винда уже сама понимает, что трафик надо пускать по тому интерфейсу, по которому канал быстрее (PPP соединение по Skylink по умолчанию имеет метрику =1 и не дает ее поменять). Так что учите Матчасть!

Как в Kerio ограничить одного определенного юзера во временном интервале?
Чтобы он мог ходить в инет, например, только с 8 до 17 часов.

Отредактировал свой РЕЦЕПТ подключения к инету через PPPOE когда нужен модем мостом, чтобы не юзать там всякие DMZ и PORT MAP

http://forum.ru-board.com/topic.cgi?forum=35&topic=35888&start=2060#12

Цитата:

Stamos
А что интересного появилось в Kerio WinRoute Firewall 6.6.0.5666 R1?

незнаю ну что то там обновилось! какие то исправлены ошибки

подскажите в чем дело . Клиент VPN резко стал выдавать следующее
Ошибка(167) : Невозможно организовать туннелирование данных ( возможно заблокирован трафик UPD )


ничего такого я вроде не делал, как исправить это ??? Брандмауэр отключать пробовал.
Please , help !

WELL

Цитата:

Как в Kerio ограничить одного определенного юзера во временном интервале?

1. Создать временной диапазон охватывающий время, когда НЕЛЬЗЯ.

2. Создать группу адресов с IP усера (если по IP) либо пропустить данный пункт если только по логину

3а. Для варианта по IP - Создать правило HTTP для
Пользователь=Любой пользователь,
Не требует аутентификации,
URL=*,
Действие=Запретить,
Верно для временного интервала=диапазон созданный в пункте 1,
Верно для группы IP=группа созданная в пункте 2,
Показать страницу отказа=по вкусу.

3б. Для варианта по логину - Создать правило HTTP для
Пользователь=Указанный пользователь,
URL=*,
Действие=Запретить,
Верно для временного интервала=диапазон созданный в пункте 1,
Верно для группы IP=Любой (либо можно ещё и к IP привязать как в 3а, там уже смотри по своим необходимостям),
Показать страницу отказа=по вкусу.

4. Проанализировать порядок правил HTTP. Смотря что у тебя и как. Чтобы не было до этого правила другого, которое даст обход только что созданному.

Доброго времени суток. Поставил не давно Kerio WR 6.5.2. Все хорошо, все настроил. Но сначала для проверки пользователей называл как попало. Теперь возникла необходимость в нормальных именах чтобы не путаться. Переименовывать ныне существующие как я понял нельзя. Создал новых. Но теперь в статистике у меня отображаются и новые и старые, которые уже удалены. Вопрос: Можно ли из статистики удалить этих старых пользователей, чтобы глаза не мозолили?

Kerio WinRoute Firewall v6.6.0.5666 RC 1

Version: 6.6.0.5666 - March 12, 2009
OC: Windows 2000/XP/2003/Vista/2008
Интерфейс: Русский / Multilanguage
Размер: 37.81 Mb / 38.02 Mb / 14.73 Mb
Лекарство: есть

Kerio WinRoute Firewall v6.6.0.5666 RC 1 (32-bit)
Зеркала:
http://letitbit.net/download/f4a1e8556709/kerio-kwf-whql-6.6.0-r1-5666-win32.exe.html
http://spam_detected/ru/files/1k8fcodmb

Kerio WinRoute Firewall v6.6.0.5666 RC 1 (64-bit)
Зеркала:
http://letitbit.net/download/9401b4752232/kerio-kwf-whql-6.6.0-r1-5666-win64.exe.html
http://spam_detected/ru/files/ksi6h4ej7

WinRoute Administration Console v6.6.0.5666 RC 1 (32-bit)
http://letitbit.net/download/05c351872682/kerio-kwf-admin-6.6.0-r1-5666-win32.exe.html
http://spam_detected/ru/files/uwddcbph7

Kerio Products KeyGen:
http://spam_detected/ru/files/2vmfq66fw
http://www.easy-share.com/1904003157/Kerio.Products.KeyGen.rar

сам не тестировал, так что строго не судите....может кому и пригодится

dddimmm
1) зачем заливать KWF куда-то ещё, если он прекрасно доступен для скачивания с офсайта? К тому же нормальный релиз 5729, а не кандидат.
2) ключеделам тут не место, ищи варезник.

подскажите в чем дело . Клиент Kerio VPN резко стал выдавать следующее
Ошибка(167) : Невозможно организовать туннелирование данных ( возможно заблокирован трафик UPD )


ничего такого я вроде не делал, как исправить это ??? Брандмауэр отключать пробовал.
Please , help !

Подскажите как грамотно настроить входящий/исходящий трафик для интерфейса смотрящего в интернет, какие службы надо обязательно закрыть. В сети стандартный набор сервисов, плюс пара банк клиентов. Сейчас получил внешний ip, и остался с интернетом один на один =) хотелось бы как то обезопасится .

GufinHalyGaly

Цитата:

Подскажите как грамотно настроить входящий/исходящий трафик

Закрыть всё! И открывать только по необходимости.
protel

Цитата:

Ошибка(167) : Невозможно организовать туннелирование данных ( возможно заблокирован трафик UPD )

Поставь логирование VPN и посмотри где валит соединение.
AlOne

Цитата:

зачем заливать KWF куда-то ещё, если он прекрасно доступен для скачивания с офсайта? К тому же нормальный релиз 5729, а не кандидат.

А он сцуко заработать решил - да ещё и блин и приписал типа:

Цитата:

сам не тестировал, так что строго не судите....может кому и пригодится

Это "+" надо...


Добавлено:
Добавил в шапку линку на бета секцию сайта kerio

Обновил сервер и VPN клиента до версии 6.6.0.5729, и заметил одну неприятную для меня особенность: новый клиент не хочет добавлять шлюз, если он на KWF (интерфейсы/VPN-сервер/дополнительно/пользовательские маршруты) прописан как шлюз по умолчанию, т.е. 0.0.0.0 mask 0.0.0.0, любые другие воспринимает и добавляет в таблицу роутинга на локальной машине. Причем, предыдущий клиент 6.5 при работе с новым сервером все делает нормально, добавляя в таблицу маршрут по умолчанию с метрикой 1. Непонятно, то ли это баг клиента, то ли сознательный шаг разработчика?
В списке изменений новой версии находим:

Цитата:

+ VPN client now uses primary IP address on VPN adapter (improved Network Neighborhood browsing)

Старый клиент создавал подключение с двумя динамическими IP: один из виртуальной подсети (вида 10.0.0.0/24), второй - назначенный системой (169.254.60.0/24). Пакет по умолчанию шел по второму интерфейсу и на сервере принимался VPN-сервером (имеющему тоже два подобных IP), теперь пакет по умолчанию идет на интерфейс реальной сетевой карты и, соответственно на KWF пролетает мимо VPN-сервера. От такого дела не срабатывает правило, разрешающее пакеты с VPN-сервера. Получается, либо оставаться на старой версии клиента, либо ждать исправлений, если это конечно баг, что в общем то сомнительно..

Здравствуйте!
Не работает аутентификация в KFW через Active Directory/Kerbiros.

Включены опции
Всегда требовать аутентификации польз. при доступе к веб – страницам
Включить автоматическое выполнение аутентификации пользователя веб – обозревателями
Bключить ayтeнтификaцию в Active Directory / Kerberos .

Параметры связи с AD настроены. Регистрация через веб – интерфейс на доменных учетных записях проходит. Работает автоматическая регистрация пользователей из локальной базы пользователей работает по IP адресам. А вот аутентификация через Active Directory не катит как с IP адресами так и без оных.
Где искать бяку? Когда происходит аутентификация пользователей в KFW при входе в систему или при первом вызове браузера? Возможна ли автоматическая аутентификация через AD при обращении к службам отличным от HTTP.

Заранее благодарен Владимир.

Здравствуйте, случилась такая необходимость дома установил инет от 2х провайдеров,
первый уже был по тел. проводам идет dsl модем в режиме маршрутизатора на нем поднят ppoe, втыкнул в комп сетевку и завел инет от другого провайдера по витой паре, дает локалку и через pptp инет. вообщем цель такая через первого провайдера доступ нужен в нескольким сайтам и нескольким айпишникам на них висят местные развлекательные порталы и игрухи, вообщем оплата копейки. Со второго провайдера нужно все остальное кроме адресов что заходят с первого провайдера, что плохо зайти на адреса провайдера 1 можно и от 2 провайдера но трафик тарифицируется по максимуму, тоесть нужны запретительные меры, я не большой специалист, немного почитал на форуме и решил установить керио (версия 6.5.2)все нормально работает инет настроил локалка от втрого провайдера, все отлично но не получается настроить необходимые правила для перечисленного выше, очень нуждаюсь в помощи приходится каждый раз оключать то одну то другую сетевку, устал. Если можно поподробнее как правильно написать правила в политиках, просто они не работают если в источнике стоит сетевой интерфейс 1 или 2 сетевой платы, а начинают работать когда источник firewall,но тогда работает самое верхнее правило а нижнее нет. как осуществить свою мечту и можно ли вообще это сделать, 2 дня помучился ничего не получилось.

Всем привет ребяты выручайте беда прямотаки какаято вобщем Керио 6.6.0 да предидущие ставил тоже самое вобщем ставлю керио запуская смотрю в подключения и вижу что используется правило трафик межсетевого экрана какаято хрень лезет кучей подключений на один апишнег потом на другой машину изсканил в дольи поперек всякими интивирями не чего нет ...может с керио какой глюк а ???

Добрый день Всеем!

Такая проблема.
Люкалка на фирме, стоит керио 6.5.2 - у всех клиентов все намана. Но...
На одном клиенте стоит винда х64 ХР.
Интернет нормально работает пока не включаешь торрент-клиент.
Сразу после этого соединение начинает тормозить - точнее сам торрент качает нормально, а вот странички открываются с большой задержкой.
Вот такое соединение без торрента
Такое соединение при включенном торренте
Странички конечно открываются, но с большими ожиданиями (
Пробовал разные настройки торента. В керио все разрешили, ограничения поснимали. Не помогло. (
На других компах с 32-х битной виндой все намана.
Раньше стоял прокси Юзергейт, такого косяка небыло (
Помогите разобраться.

Fenimor
В консоли - Дополнительные параметры - Настройки безопасности - увеличь (значительно) параметр Ограничение числа подключений.
Либо уменьшай количество подключений в настройках торрента. Захлебывается, похоже.

Skull09
Хочешь помощи - выучи язык (без применения допубертатного сленга). Я, к примеру, более одной строки того ... что ты накрапал, не читал. Думаю, другие, уважающие себя, взрослые люди поступят так же (и правильно сделают!) Превращаете сеть в помойку и отхожее место, чесное слово...

vol2hv

Цитата:

Параметры связи с AD настроены. Регистрация через веб – интерфейс на доменных учетных записях проходит. Работает автоматическая регистрация пользователей из локальной базы пользователей работает по IP адресам. А вот аутентификация через Active Directory не катит как с IP адресами так и без оных. Где искать бяку?

Configuration -> Advanced Options -> Web Interface / SSL-VPN
в поле WinRoute server name: впиши имя компьютера со шлюзом, без указания домена. Если например комп со шлюзом зовется sluz.domen.com то впиши shluz

Цитата:

Когда происходит аутентификация пользователей в KFW при входе в систему или при первом вызове браузера?

При первом вызове браузера.

Цитата:

Возможна ли автоматическая аутентификация через AD при обращении к службам отличным от HTTP.

Нет


Добавлено:
malix76
winroute для твоей мечты не помошник. Настраивается это маршрутами, можно пользоватся стандартными возможостями винды (kerio всего лишь обрамит эти вещи в графическую оболочку).
Пришли ответ команды route print и заодно ipconfig /all
И ip адреса тех сайтов и серваков с гульками на которые ты хочешь ходить через первого провайдера

pilotro




оо
а как картинку то вставить
маршруты руками писать умереть можно

Добавлено:
я имел ввиду если переписывать те данные что вывелись с помощью этих команд
это очень долго, можно ли как то вставить картинку, я не нашел как.

Господа знатоки! Прошу консультации по общей настройке Керио и по правилам, ибо на вдумчивое чтение мануалов у меня осталось мало времени, а с налету я не разобрался.
То есть, у меня несколько вопросов по Керио вообще, и по моей ситуации в частности.
Итак - что есть.

Есть филиал на 12 машин, простая рабочая группа, подсеть 192.168.1.0/24. Есть роутер с адресом 192.168.1.1, через который филиал выходит в интернет и соединяется с головным офисом. Есть админская машина с одной сетевой картой, которая подключена в общий хаб. Адрес машины 192.168.1.90.

Настройки сетевых карт рабочих машин:
Адрес: 192.168.1.100 (для примера)
Маска: 255.255.255.0
Шлюз: 192.168.1.90
DNS: 192.168.1.90

Настройка сетевой карты админской машины:
Адрес: 192.168.1.90
Маска: 255.255.255.0
Шлюз: 192.168.1.1
DNS выданы провайдером

В головном офисе подсеть 192.168.3.0/24, но два сервера - терминальный/файловый и домен-контроллер - имеют дополнительные адреса во 2-й подсети, для доступа к ним из филиала. В головном офисе стоит провайдерский же роутер с адресом 192.168.2.1, который туннелируется провайдером на роутер 192.168.1.1. Интернет головной офис получает от другого провайдера. На ДК прописан маршрут, который указывает, что подсеть 1.0 лежит за адресом 2.1

В филиале локальная аська имеет адресом сервера адрес домен-контроллера - 2.3, в клиенте Цитрикса прописан адрес файл-сервера 2.2

Что нужно сделать: дать интернет на рабочие станции, учитывать его и обрубать по достижении лимита и - дать нелимитированный доступ терминалам на Цитриксе и локальной аське к серверам в головном офисе. Нужно так же, чтобы была возможность из головного офиса управлять рабочими станциями посредством Радмина.

Теперь пойдут вопросы:
1) насколько корректна вообще конфигурация Керио на одной сетевой карте?
2) имеет или не имеет смысл включать непрозрачный прокси (точнее, я не знаю, в какой конфигурации будет все это работать)?
3) как настроить пользователей так, чтобы для выхода в интернет им не нужно было вводить логинов-паролей? Я правильно понимаю, что для этого в настройках пользователя надо указать его логин/пароль на вход в машину, IP машины и лимит трафика?
4) как сделать так, чтобы трафик по протоколу ICQ и Citrix не учитывался?
5) за админской машиной работает под обыкновенным пользователем человек. Как сделать так, чтобы учитывался его трафик?
6) в настройке правил - для стандартных протоколов HTTP, DNS, POP и т.д. - нужно ли указывать NAT?
7) на рабочих станциях стоят антивирусы, обновляющиеся из интернета. Чтобы их трафик не учитывался - достаточно ли будет указать им адрес прокси 1.90 и пользователя Admin (который в керио создается по умолчанию при установке)?
8) как избавиться от неаутентифицированного пользователя в статистике? Что означает, когда он есть?
9) вопрос по логике создания правил вообще (я уже читал мануалы, но в голове не устоялось): что нужно указывать как источник, а что - как назначение? На примере правила для Радмина, чтобы из головного офиса к машинам в филиале подцепляться. Нужно ли описывать сетевые группы (например, "офис" - 192.168.2.0/24, "филиал" - 192.168.1.0/24) для создания каких-то правил? Когда имеет смысл указывать источником или назначением Firewall, а когда - сетевую карту? Короче, тут у меня много неясностей.

Прошу прощения за такую простыню текста, но у меня уже кипит возмущенный разум и простое воскуривание мануалов уже не помогает. Самое главное - нет уверенности в том, что я правильно все делаю. Потому - не сердитесь, что я, возможно, какие-то очень простые вещи спрашиваю или что-то важное упускаю, правда - голова уже не варит.

Цитата:

ICQ настроена через прокси или напрямую ?

Через прокси, так уж получается. Как только порт 5190 открыть, остальное зарезать, канал тонкий.

Urshallak

Цитата:

1) насколько корректна вообще конфигурация Керио на одной сетевой карте?

напрочь некорректна
(непонятно какие задачи поставлены

build 5172 установлен на сервере под Windows 2003 с поднятым RRAS. Farby - отработал, SSG - помог ему... Без Winroute клиенты в сети получают трафик в полном объёме, а с включенным Winroute трафик ограничивается (в том числе на сервере) на уровне примерно 10 кб/с. "Ограничение полосы пропускания" отключено.

Подскажите, пожалуйста, куда копать?

Urshallak

Цитата:

1) насколько корректна вообще конфигурация Керио на одной сетевой карте?

Стремится к 0

Цитата:

3) как настроить пользователе
Цитата: 6) в настройке правил - для стандартных протоколов HTTP, DNS, POP и т.д. - нужно ли указывать NAT?

й так, чтобы для выхода в интернет им не нужно было вводить логинов-паролей? Я правильно понимаю, что для этого в настройках пользователя надо указать его логин/пароль на вход в машину, IP машины и лимит трафика?

Ruza, ок. В пятницу попробовал сделать правильно. Поставил вторую сетевую карту, назначил ей адрес 192.168.110.2, соединил ее напрямую с роутером, которому админ провайдера поменял адрес с 1.1 на 110.1, соответственно шлюз указал тот же - 110.1
На сетевой, смотрящей во внутреннюю сеть, убрал шлюз и ДНСы.
Переставил Керио, создал правила визардом - и столкнулся с совсем непонятной для себя ситуацией - при работающем Керио с админской машины не пингуется никакой внешний адрес, ни две машины с головного офиса из подсети 2.0 Если Керио остановить - все пингуется. Под конец битвы удалил все правила, кроме стандартного ICMP, поставил ему any в источник и назначение, протокол ping - внешние адреса пинговались, подсеть 2.0 - не пинговалась. Сломал себе мозг, пытаясь выяснить причину - так и не понял. Стоплю Керио - пинги ходят куда надо, поднимаю - не ходят. И это при наличии правила, разрешающего все вообще для пингов. Машину перезагружал, логи не понял вообще - при простукивании внешнего адреса в конце строки есть цифры типа 140/90/140, при простукивании адреса 192.168.2.2 - 4/0/4 - и нифига не понятно, почему.

Как только наладится нормальная связь со второй подсетью - снова станут актуальны почти все вопросы из моего первого поста, осталось только узнать, что я делаю не так.

MaxTI
Да заметил тоже самое что и у Вас. Ну так что не побороли эту проблему со шлюзом?