Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Kerio WinRoute Firewall (часть 4)

Автор: emx
Дата сообщения: 13.07.2008 09:51
Kerio WinRoute Firewall ™




смежная тема в варезнике


Kerio WinRoute Firewall™ является межсетевым экраном (МСЭ) корпоративного уровня, созданным специально для малого и среднего бизнеса. Надежная защита от хакерских атак, клиент-серверная VPN-технология, интегрированный McAfee Antivirus, мощные инструменты для управления доступом в Интернет на базе IBM Orange Web Filter, гибкие настройки и удобное управление: эти и многие другие уникальные особенности делают Kerio WinRoute Firewall идеальным решением для защиты Вашей сети от враждебного Интернет-окружения.

Текущая версия: 6.6.0 - March 31, 2009
Скачать последнюю версию с оффсайта -> win32 | win64 | Release history

Kerio WinRoute Firewall с интегрированным McAfee Antivirus и без него теперь поставляется в едином дистрибутиве. Активизация соответствующих функций происходит автоматически в зависимости от типа приобретенной лицензии. Дистрибутив WinRoute Firewall также содержит Administration Console. Переключение языков доступно непосредственно в интерфейсе пользователя.

C 30.04.2007 старые библиотеки внутреннего сканера McAfee не поддерживаются и автоматически не обновляются...

Manual на Русском
Бета версии
Manual Eng (PDF)
Step-by-Step installation guide Eng (PDF)
Kerio VPN Client Manual (PDF)



[more=Сброс пароля администратора]
How do I reset the password for the admin account in Kerio WinRoute Firewall?

Solution
--------------------------------------------------------------------------------

Answer

The password for an administrator account can be reset by modifying some settings in the userDB.cfg file.

Stop the engine for Kerio WinRoute Firewall by right clicking on the engine monitor icon in the systray and selecting 'Stop WinRoute engine'.
Navigate to the directory Kerio WinRoute Firewall is installed in. WinRoute Firewall by default is installed here: C:\\Program Files\\Kerio\\WinRoute Firewall.
Edit the file userDB.cfg with notepad.exe or wordpad.exe.
Look for the name of the administrator user account in the list item <variable name="Name">.
Navigate to <variable name="password"> beneath the administrator's name. Delete the current value between the >< symbols for "password".
Type in "NUL:" without the quotation marks. This assigns that user account a blank password. It should look similar to this: <variable name="password">NUL:</variable>
Save the userDB.cfg file and restart the Kerio WinRoute Firewall engine.
Try to log in to the administrator account without a password in the password field. You should now be able to log in.
Be sure to assign the administrator account a password right away.

Note: In versions prior to 6.1.x, the user database file is named users.cfg.[/more]

Настройка, русификация, полный русский мануал
Ключи для Kerio WinRoute Firewall

F.A.Q. на PC Security - F.A.Q. - Часто задаваемые вопросы
На Winroute.ru - ПРАВИЛЬНАЯ настройка DNS и сетевых интерфейсов!!!

FAQ составлен по материалам форумов "Windows FAQ" - Форум - "KWR 5.0 (Kerio Winroute 5.0)" (стр.1-93 вопр. 1-122) и "XBT Hardware BBS » Системное
администрирование, безопасность » Winroute FAQ" - "Просьба все вопросы по Winroute задавать в этой ветке?" (стр. 1-18 вопр. 123-171)

_http://12kms.fatal.ru/_kwf.html

Тут одна компания полностью на русский язык перевела хелп
Kerio WinRoute Firewall 6.0. Руководство Администратора
Может кому надо: _http://www.internetaccessmonitor.com/rus/support/docs/winroute/
Офлайновая версия этого перевода: http://fronik.narod.ru/kwf/ (1.5Мб)

также много полезной информации по настройке на сайтах: ввв.xerio.kiev.ua и ввв.kerio-rus.ru


WinRoute Spy – программа анализа файлов логов популярного прокси-сервера и Internet-шлюза Winroute (версии 4.Х) и Kerio Winroute Firewall 5.Х.

Внимание, KWF является корпоративным сетевым фаерволом, поэтому, в его функционал не входит и не может входить контроль приложений. Для этого пользуйтесь персональными фаерами, и не нагружайте топик лишними вопросами.
Автор: kharkovmax
Дата сообщения: 13.07.2008 12:03
Вот и табличка.

C:\Documents and Settings\Max>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : sr-max
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : да

Ukrtelekom - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : NVIDIA nForce Networking Controller #2
Физический адрес. . . . . . . . . : 00-19-DB-25-C5-69
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.20.2
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.20.1
DNS-серверы . . . . . . . . . . . : 195.5.46.12

Lokal - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : NVIDIA nForce Networking Controller
Физический адрес. . . . . . . . . : 00-19-DB-27-F8-64
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.10.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.10.2
DNS-серверы . . . . . . . . . . . : 195.5.46.12
77.120.130.20

Datasvit - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Intel(R) PRO/1000 GT Desktop Adapter
Физический адрес. . . . . . . . . : 04-4B-80-80-80-44
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 10.159.144.21
Маска подсети . . . . . . . . . . : 255.255.240.0
Основной шлюз . . . . . . . . . . : 10.159.144.1
DNS-серверы . . . . . . . . . . . : 77.120.130.20

Интерфейс RAS-сервера - PPP адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Физический адрес. . . . . . . . . : 00-53-45-00-00-00
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.30.1
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз . . . . . . . . . . :
NetBIOS через TCP/IP. . . . . . . : отключен

Kerio VPN - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Kerio VPN adapter
Физический адрес. . . . . . . . . : 44-45-53-54-C5-C0
DHCP включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 169.254.103.75
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DHCP-сервер . . . . . . . . . . . : 169.254.103.74
NetBIOS через TCP/IP. . . . . . . : отключен
Аренда получена . . . . . . . . . : 13 июля 2008 г. 11:33:18
Аренда истекает . . . . . . . . . : 13 июля 2008 г. 11:36:18

C:\Documents and Settings\Max>route print

IPv4 таблица маршрута
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 19 db 25 c5 69 ...... NVIDIA nForce Networking Controller #2 - Kerio W
inRoute Firewall
0x3 ...00 19 db 27 f8 64 ...... NVIDIA nForce Networking Controller - Kerio WinR
oute Firewall
0x4 ...04 4b 80 80 80 44 ...... Intel(R) PRO/1000 GT Desktop Adapter - Kerio Win
Route Firewall
0x10005 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
0x10006 ...44 45 53 54 c5 c0 ...... Kerio VPN adapter - Kerio WinRoute Firewall
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 10.159.144.1 10.159.144.21 30
0.0.0.0 0.0.0.0 192.168.10.2 192.168.10.1 20
0.0.0.0 0.0.0.0 192.168.20.1 192.168.20.2 20
10.0.0.0 255.0.0.0 10.159.144.1 10.159.144.21 1
10.159.144.0 255.255.240.0 10.159.144.21 10.159.144.21 30
10.159.144.21 255.255.255.255 127.0.0.1 127.0.0.1 30
10.255.255.255 255.255.255.255 10.159.144.21 10.159.144.21 30
62.64.110.0 255.255.254.0 10.159.144.1 10.159.144.21 1
77.120.128.0 255.255.128.0 10.159.144.1 10.159.144.21 1
77.120.130.0 255.255.255.0 10.159.144.1 10.159.144.21 1
77.244.44.0 255.255.254.0 10.159.144.1 10.159.144.21 1
79.171.120.0 255.255.248.0 10.159.144.1 10.159.144.21 1
88.214.108.220 255.255.255.255 192.168.20.1 192.168.20.2 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
169.254.103.0 255.255.255.0 169.254.103.75 169.254.103.75 20
169.254.103.75 255.255.255.255 127.0.0.1 127.0.0.1 20
169.254.255.255 255.255.255.255 169.254.103.75 169.254.103.75 20
192.168.10.0 255.255.255.0 192.168.10.1 192.168.10.1 20
192.168.10.1 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.10.255 255.255.255.255 192.168.10.1 192.168.10.1 20
192.168.20.0 255.255.255.0 192.168.20.2 192.168.20.2 20
192.168.20.2 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.20.255 255.255.255.255 192.168.20.2 192.168.20.2 20
192.168.30.1 255.255.255.255 127.0.0.1 127.0.0.1 50
192.168.30.2 255.255.255.255 192.168.30.1 192.168.30.1 1
224.0.0.0 240.0.0.0 10.159.144.21 10.159.144.21 30
224.0.0.0 240.0.0.0 169.254.103.75 169.254.103.75 20
224.0.0.0 240.0.0.0 192.168.10.1 192.168.10.1 20
224.0.0.0 240.0.0.0 192.168.20.2 192.168.20.2 20
255.255.255.255 255.255.255.255 10.159.144.21 10.159.144.21 1
255.255.255.255 255.255.255.255 169.254.103.75 169.254.103.75 1
255.255.255.255 255.255.255.255 192.168.10.1 192.168.10.1 1
255.255.255.255 255.255.255.255 192.168.20.2 192.168.20.2 1
Основной шлюз: 192.168.20.1
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
10.0.0.0 255.0.0.0 10.159.144.1 1
62.64.110.0 255.255.254.0 10.159.144.1 1
77.120.128.0 255.255.128.0 10.159.144.1 1
77.244.44.0 255.255.254.0 10.159.144.1 1
79.171.120.0 255.255.248.0 10.159.144.1 1


Думаю что пролема не в правилах и не в таблице роутинга.

Где то в глубине керио, проблема.

Делал еще так.

Выключаю Керио, цепляюсь клиентом к серверу, включаю керио и все работает. Если разъединится и заново быстро подключится, клиент цепляется и тоже все работает.

Но если разъединить соединение и подождать 3-5 мин, то клиент цепляется но уже ничего не работает и пинги не ходят.

Так что это не маршрутизация и не правила в Керио, а что то другое ...

Добавлено:
88.214.108.220 255.255.255.255 192.168.20.1 192.168.20.2 20

Это подключенный клиент.

Таблица не изменяется при подключеном либо выключеном Kerio.

Паравило такое Any, Any, (GRE, PPTP, AniCMP), Permit. Все должно теоретически работать...
Автор: DzOOMer
Дата сообщения: 14.07.2008 00:45
подскажите, подойдет ли Kerio WinRoute в качестве фаервола на ноутбуке под WinXP?

задача ноута в закачке торрентов и трансляции интернета на домашний ПК, ну и в добавок на него будут повешены функции фаервола.
Изначально думал использовать для этого Outpost, но он по всей видимости неподходит для этих целей...
Вот тут более подробно все расписано: http://forum.ru-board.com/topic.cgi?forum=8&bm=1&topic=27763

так вот вопрос - нужен ли тут WinRoute, или это слишком мощное решение, и для этого подойдет другой (какой?) файрвол?
Автор: DreamWorker
Дата сообщения: 14.07.2008 03:07
Изобретение велосипеда приветствуется?
- написал свой парсер логов для Kerio WinRoute Firewall - парсер логов+ заполнение БД Access +выполнение SQL, OpenSource(with source code) Delphi.
Вроде отдебажил, работает.
Есть смысл выкладывать?
Автор: StBender
Дата сообщения: 14.07.2008 07:33
DreamWorker, буду благодарен, ибо прокси инспектор не всегда устраивает. DzOOMer, керя рассчитана на корпоративные сети, для домашней сети не канает. Плюс ко всему нет контроля приложений. Хотя фломастеры как известно, на вкус и цвет.
kharkovmax, тебе надо чтобы к тебе соединялись, или чтобы коннектился?


Автор: DzOOMer
Дата сообщения: 14.07.2008 09:35
StBender

тогда какой файрвол целесообразно использовать в моем случае?
Автор: kharkovmax
Дата сообщения: 14.07.2008 09:38
StBender

Мне нужно что б не сервер цеплялся а клинент к серверу.

Повторюсь, если Керио выключить то все работает нормально.
Если подключится без Kerio, а потом включить Kerio, то тоже все работает.
(Я открыл на подсеть ВПН в Kerio GRE, PPTP, ICMP.)

Но если подключится клиентом при запущенном Kerio, то клиент цепляется, Windows сервер VPN, пишет что клиент подключен (т.е. клиент занял порт), но ни с клиента ни с сервера ничего не пингуется и не работает. Как только выключаю Kerio, уже при подключенном клиенте, все начинает работать.

Повторюсь, хочу поднять именно виндовый ВПН, а не VPN от Kerio.

Народ советовал посмотреть таблицу маршрутов и т.д., но думаю что проблема не в маршрутизации, т.к. Серверу дается IP 192.168.30.1, а клиенту 192.168.30.2 тут просто нечего маршрутизировать.

Есть подозрение что служба Керио намеренно блокирует виндовый VPN. Как это можно обойти ?

Заранее спасибо.

Автор: Vadimka_DDD
Дата сообщения: 14.07.2008 10:58
Можно ли запретить пользователям прослушивание интернет-радио, и как это реализовать?
Автор: NegoroX
Дата сообщения: 14.07.2008 11:28
DreamWorker

Цитата:
Изобретение велосипеда приветствуется?

Естественно приветствуется кому то будет самое то.
Автор: StBender
Дата сообщения: 14.07.2008 12:22
Vadimka_DDD, реализуется это с помощью мимов, более подробно тут
DzOOMer, а сорри, не совсем понял суть проблемы, прочитал темку, ту что ты указал. ТОгда керио использовать можно и особых проблем возникнуть не должно. Только целесообразно ли использовать ноут в качестве "сервера", греется он не слабее машины)
kharkovmax, для начала правила вида эни-эни в керио есть зло и ересь. Создай явное правило вида:
Source: Internet (карточка смотрящая в нет)
Destination: Firewall Host
Service: GRE, PPTP
Также, гуру поговаривают, что если существуют одинаковые IP адреса, могут возникать конфликты. Сам с этой темой сильно не разбирался, но в теории должно работать. Да, у тебя прокси включено?



Автор: kharkovmax
Дата сообщения: 14.07.2008 14:02
StBender

1. Да прокся включена .....

2. правило типа

Source: Internet (карточка смотрящая в нет)
Destination: Firewall Host
Service: GRE, PPTP

делал. не помогает....
3. Одинаковых IP точно нет в подсетях VPN и в моей локалке

Вот Вы подсказали, и я начал подумывать что это прокси как то рубит связь.

Вечером проверю отпишусь.
Автор: snayper7
Дата сообщения: 14.07.2008 14:07
в керио \ users есть закладки: autentification options и AD и в обоих есть: Windows NT autentification
какая между ними разница?
Автор: StBender
Дата сообщения: 14.07.2008 14:13
snayper7, первая задействует вторую, кажется так. То есть в перавой ты включаешь авторизацию AD, а во второй настраиваешь маппинг аккаунтов из ад и авторизацию.
kharkovmax, вполне вероятно, что прокся грешит, попробуй отключить её. Вобще с проксёй довольно специфичные проблемы выскакивают(

Автор: obtim
Дата сообщения: 14.07.2008 15:26
Cитуация: Есть две сетки A и B
В сетке B имеется внешний выделенный ip фаервола, внутренний - 192.168.0.1
Сетка A подключена через роутер - есть внешний Ip, к роутеру она подключена еще через одну сетку. Т.е. внешний ip сетки А - 192.68.0.2, а внутренний ip сервака сетки А - 172.16.0.1
Сетка А соединена с еще одной сеткой по vpn
Между сетками А и B поднят впн посредством керио
По впн ip у сервака сетки А - 172.27.249.2, а у сервака сетки b - 172.27.249.1

Стоит задача подключить расшаренный ресурс сервака А на рабочей станции из сетки B и использовать в сетке B программа Инфо-Бухгалтер(сетевая версия), хасп ключ к которой установлен в сетке А

С сервака сетки А можно подключить расшаренный ресурс сервака сетки B и наоборот
ping на 172.27.249.1 идет нормально, на 172.27.249.2 не идет
Трассировка 172.27.249.2 обрывается после фаервола сетки B(192.168.0.1)

C:\Documents and Settings\Administrator.SERVER>ipconfig /all с сервера А
Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : server
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : нет

Local Area Connection 2 - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Marvell Yukon 88E8001/8003/8010 PCI Gigab
it Ethernet Controller
Физический адрес. . . . . . . . . : 00-1A-92-B0-51-B4
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.0.2
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.0.1
DNS-серверы . . . . . . . . . . . : 195.182.154.102
195.182.129.195
88.212.204.102
192.168.0.2

Local Area Connection - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8169 Gigabit Ethernet Adapter
Физический адрес. . . . . . . . . : 00-0C-76-67-04-82
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 172.16.0.1
Маска подсети . . . . . . . . . . : 255.255.255.224
Основной шлюз . . . . . . . . . . :

Kerio VPN - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Kerio VPN adapter
Физический адрес. . . . . . . . . : 44-45-53-54-86-18
DHCP включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 192.168.247.2
Маска подсети . . . . . . . . . . : 255.255.255.0
IP-адрес . . . . . . . . . . . . : 172.27.249.2
Маска подсети . . . . . . . . . . : 255.255.255.0
IP-адрес . . . . . . . . . . . . : 169.254.63.171
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DHCP-сервер . . . . . . . . . . . : 169.254.63.170
NetBIOS через TCP/IP. . . . . . . : отключен
Аренда получена . . . . . . . . . : 11 июля 2008 г. 23:45:52
Аренда истекает . . . . . . . . . : 11 июля 2008 г. 23:48:52

C:\Documents and Settings\Administrator.DATA>ipconfig /all с сервера Б

Windows IP Configuration
Host Name . . . . . . . . . . . . : inet
Primary Dns Suffix . . . . . . . :
Node Type . . . . . . . . . . . . : Unknown
IP Routing Enabled. . . . . . . . : Yes
WINS Proxy Enabled. . . . . . . . : No

Ethernet adapter iNET:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet
Physical Address. . . . . . . . . : 00-1D-60-38-82-16
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : замазал
Subnet Mask . . . . . . . . . . . : 255.255.255.252
Default Gateway . . . . . . . . . : замазал
DNS Servers . . . . . . . . . . . : 80.250.191.18
194.85.32.18

Ethernet adapter LOCAL:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet #2
Physical Address. . . . . . . . . : 00-1D-60-38-82-AB
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.0.1
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . :

Ethernet adapter Kerio VPN:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Kerio VPN adapter
Physical Address. . . . . . . . . : 44-45-53-54-67-B0
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
IP Address. . . . . . . . . . . . : 172.27.249.1
Subnet Mask . . . . . . . . . . . : 255.255.255.0
IP Address. . . . . . . . . . . . : 169.254.104.255
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . :
DHCP Server . . . . . . . . . . . : 169.254.104.254
NetBIOS over Tcpip. . . . . . . . : Disabled
Lease Obtained. . . . . . . . . . : 11 июля 2008 г. 23:47:57
Lease Expires . . . . . . . . . . : 11 июля 2008 г. 23:50:57

Вот трафик полиси.
Сервер А:
http://ipicture.ru/uploads/080714/M8uVF0Sg2X.jpg
Сервер Б:
http://ipicture.ru/uploads/080714/x26uHcVAx8.jpg
http://ipicture.ru/uploads/080714/ViitPUNzrJ.jpg

для подключения к шаре я коннекчусь к \\172.27.249.2\Public с рабочей станции - но не подключает
Где ошибка?
P.S. Шару нужно всем станциям
Автор: kharkovmax
Дата сообщения: 14.07.2008 20:04
StBender

Нет прокси ни при чем.

Выключил прокси сервер, перезагрузил сервер VPN и та же картина.
Клиент цепляется но ничего не работает.

Есть еще варианты ?

Добавлено:
Добавлю, а что делать с интерфейсом VPN Kerio ?

Нужно его выключать, включать и т.д. Может вся петрушка как-то с ним связана ?
Автор: DreamWorker
Дата сообщения: 14.07.2008 20:13
Парсер логов для Kerio WinRoute Firewall - парсер логов+ заполнение БД Access +выполнение SQL, OpenSource(with source code) Delphi.
http://www.librarianw40k.narod.ru/Programms/KerioLogParser.7z
Автор: niichavo
Дата сообщения: 14.07.2008 20:46
kharkovmax
У меня виндовый VPN настроен и Kerio стоит. Всё работает. Сейчас VPN работает как сервер, чтоб не было вопросов. Я даж когда-то экспериментировал, настраивал VPN туннель (используя RRAS, а не Kerio) между двумя RRAS-серверами, за которыми были локальные сетки. И на каждом серваке стоял Kerio. Работало, сетки друг-дружку видели

ХарьковМакс писал, чта:

Цитата:
2. правило типа

Source: Internet (карточка смотрящая в нет)
Destination: Firewall Host
Service: GRE, PPTP


Замечательно. Ну а правило для того, чтоб енто всё обратно уходило чего нет?
Из интернета приходит, а обратно не пущаешь? Низачот.
И ещё, когда включен виндовый VPN, у меня появляется интерфейс DialIn.
Короче попробуй такое правило:

Source: DialIn, Internet, Firewall
Destination: DialIn, Internet, Firewall
Service: GRE, PPTP

ЗЫ. Как тут уже посоветовали, убери правило any to any permit. Реально оно не работает, как показала практика + твой случай ещё одно подтверждение.

ЗЗЫ. Для локального трафика можешь добавить интерфейс DialIn в источник и в назначение.

ЗЗЗЫ. Чтоб VPN-клиенты для выхода в инэт использовали твой шлюз с Kerio, можно добавить такое правило:

Source: DialIn
Destination: Internet
Service: HTTP, HTTPS, ICQ, SMTP, POP3, ...
Translation: NAT
Автор: kharkovmax
Дата сообщения: 14.07.2008 21:42
Давайте по порядку.

DialIn есть, но у меня он не работает. Как он задействован у Вас?

Правила по Вашему примеру прописал, не помогло.

Правило Any Permit убрал.

Расскажите плиз подробнее по поводу интерфейса DialIn.

Да еще у меня перед сервером стоит еще ADSL модем, на котором открыт только PPTP.

Добавлено:
niichavo

Я хочу поднять не VPN Kerio, а обычный виндовый VPN канал.
Автор: niichavo
Дата сообщения: 14.07.2008 22:15
kharkovmax
Я понял, что ты хочешь поднять с самого начала Тебе нужен VPN, организованный средствами RRAS. Причем RRAS и KWR находятся на одной машинке. IP-адреса локалки и VPN-клиентов - адреса одной подсети. Прально?

Вот что у меня в правилах:


Добавлено:

Цитата:
Да еще у меня перед сервером стоит еще ADSL модем, на котором открыт только PPTP

Открой всё на модеме. Зачем тебе ещё на нём запреты? Kerio как файервола тебе не хватает?
Автор: seva1
Дата сообщения: 14.07.2008 23:33
Народ все таки не смог никак решить вопрос, может кто поможет.

Как Запретить передачу файлов по ICQ?
Автор: DzOOMer
Дата сообщения: 14.07.2008 23:37
а можно ли при помощи WinRoute запретить сайтам ставить Cookies, а также заставить вырезать из тела html ява скрипты, флеш, реферы и т.п.?
ну и естественно вести список исключений для отдельных сайтов?
(на подобие плагина "интерактивныe элементы" в Agnitum Outpost)
Автор: DreamWorker
Дата сообщения: 15.07.2008 01:41
seva1
Я видел плагин вдля ICQ называется вроде как "send file as text", т.е. файлы передаются текстовыми сообщениями. Походу в этом случае не запретишь.
Автор: vimaret
Дата сообщения: 15.07.2008 03:09
kharkovmax

Цитата:
Без керио я виндовый VPN сервер настроил и он работает, но если включаю Kerio, то клиент цепляется, т.е. проходит авторизацию на сервере VPN и т.д., но ни какие пакеты никуда не ходят.


Вам нужно: 1. в правило для локальной сети добавить интерфейс Dial-In
2. написать правило разрешающее протокол PPTP с внешнего интерфейса на файервол
... и все.



Добавлено:
kharkovmax

Цитата:
ipconfig /all

Уберите лишние дефолтовые гейты, оставьте только один на внешнем интерфейсе, указывающий на деф гейт провайдера.

Цитата:
Расскажите плиз подробнее по поводу интерфейса DialIn

Это интерфейс, который керио воспринимает как внешние входящие вызовы для RRAS, здесь и ДиалАп-модем PPP клиенты могут быть, и PPTP клиенты.
Автор: kharkovmax
Дата сообщения: 15.07.2008 06:54
vimaret

1. DialIn я то добавил, но у меня есть подозрение что оно DialIn не работает т.к. в Kerio подсвечен серым и не активен.
2. PPTP кнечно же открыт с внешнего на фаервол, а так же GRE, и т.д. ...

3. Какие дефолтные гетвеи убрать ???

4. Возможно мне нужно правильно настроить RRAS ? Связь с инетом у меня идет через ADSL модем. Модем поднимает соединение сам, а не по дозвону.
Автор: StBender
Дата сообщения: 15.07.2008 07:19
kharkovmax, модем роутером стоит? На нём нужно прокинуть порты соответствующие.
Автор: kharkovmax
Дата сообщения: 15.07.2008 07:33
)))).

Я же говорю что если Керио выключаю, то все работает )) ---- Значит порты прокинуты !!!

Открыт PPTP.
Автор: StBender
Дата сообщения: 15.07.2008 07:45
kharkovmax, а точно. Покажи измененные ТП.
Автор: kharkovmax
Дата сообщения: 15.07.2008 08:05
А что там менять?

Если ты на счет проброски портов модема ..... в модеме открыт PPTP номер прта не меняется, по такому же адресу он идет на сетевую компа, в правилах Kerio при обращении на фаервол порты PPTP стоит Permit.

Добавлено:
StBender
Добавлю.
Даже если я в портах ставлю All, всеравно не работает.

По поводу портов, если соединится при запрещенном керио, а потом не разрывая связь запустить Керио, то тоже работает. Значит с портами все ОК!!!
Автор: StBender
Дата сообщения: 15.07.2008 08:47
kharkovmax, all, any и прочие общие правила в кере есть ЗЛО. Керя любит конкретику. Просто покажи свои ТП, которые стоят у тебя сейчас. Вполне вероятно идёт конфликт по какому-либо правилу.
Стоп,

Цитата:
Ukrtelekom - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : NVIDIA nForce Networking Controller #2
Физический адрес. . . . . . . . . : 00-19-DB-25-C5-69
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.20.2
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.20.1
DNS-серверы . . . . . . . . . . . : 195.5.46.12

Lokal - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : NVIDIA nForce Networking Controller
Физический адрес. . . . . . . . . : 00-19-DB-27-F8-64
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.10.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.10.2
DNS-серверы . . . . . . . . . . . : 195.5.46.12
77.120.130.20

Как понимаю укртелеком карта, смотрящая в нет? Убери с локальной карты шлюз. И вообще тебе не помешало бы посмотреть правильную настройку сетевых фейсов, ссылка есть в шапке.
Автор: kharkovmax
Дата сообщения: 15.07.2008 09:06
StBender

Смогу попробовать только вечером.

Вопрос по поводу локальной сетевой.

А как она вообще может участвовать в процессе соединения VPN.

Соединение идет из инета т.е. через сетевую Ukrtelekom.
При соединении VPN сервер получает адрес 192.168.30.1, а клиент 192.168.30.2.

Адресов подсети 192.168.10.0 вообще никаким боком не касается, даже если на сетевой Local прописан не верный основной шлюз.

Страницы: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768

Предыдущая тема: realtek rtl8169 and vlan


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.