» Kerio WinRoute Firewall (часть 5)

Dimsoft

Цитата:

Exchange использует порты:

Вопрос был:
Цитата:

какой протокол нужен для работы Оутлука

Причем тут Ех..? минимально необходимое уже написал NegoroX
А по большому счету все приведенное - это "по-умолчанию", а в действительности - используются те порты, какие сам пропишешь (если в этом есть необходимость).

5555555
outlook не использует pop3 когда настроен на синхронизацию с exchange (хотя так тоже можно извратиться, но зачем).
да и с этим лучше в тему по exchange

Dimsoft

Цитата:

да и с этим лучше в тему по exchange

я просто про это и написал, что
Цитата:

Exchange использует порты

к исходному вопросу - вообще не при делах, зачем было писать

5555555
из вопроса непонятно где керио - со стороны exchange или со стороны outlook

Какие настройки следует сделать в Kerio WinRoute сервере чтобы организовать VPN-канал с использованием D-link dir-300 на стороне клиентов.

Цитата:

из вопроса непонятно где керио - со стороны exchange или со стороны outlook

Kerio стоит со стороны outlook и он не хочет конектится к exchange
Порты POP,SMTP, 25, 110 все открыто. Да еще Это все в корпоративной сети комп простой терминал

Цитата:

Exchange использует порты:

Эту тему читал и все порты перебрал не помогло

Цитата:

все порты перебрал не помогло

Mekron
а сделать правило any any и поставить логирование по соединениям и пакетам
а в логе посмотреть куда идет ?

Цитата:

а сделать правило any any и поставить логирование по соединениям и пакетам
а в логе посмотреть куда идет ?

смотрел там порты динамические.

В сети большинство клиентов подключены через kerio-клиента. Для некоторых компов пришлось включить прокси. Вроде работает, но есть два вопроса:
1. Как сделать так, чтобы нельзя было выйти в инет (ну, считай, что подключиться к прокси) без логина и пароля, тупо прописав в настроках Internet Explorer адрес прокси? Сейчас как раз так и происходит. Пока что ограничил по IP.
2. Будет ли статистика привязываться к пользователю в этом случае (в текущих подключениях сейчас вместо логина пользователя отображается IP его компа)?

Кто может посоветовать, как правильно резать нежелательные url через kerio?

делаю.
создаю url лист bad_hosts типа
*odnoklassniki*
*vkontakte*

в политиках http вбиваю правило перенаправлять адреса группы bad_hosts на локальный ресурс наш (пусть это будет www.ourdomain.com). применяю все это дело.

результат 0

вбиваю адрес www.odnoklassniki.ru и попадаю на эти одноклассники, вместо того, что бы попадать на "www.ourdomain.com".

перечесал всю программу. все перепроверил. в чем может быть загвоздка?

dariusii
Возможно ты используешь HTTP проксю - если так, то тебе нужно использовать 2 правила URL - первое разрешает избранным (если они есть), второе (ниже первого) запрещает всем, даже пользователю, привязанному к firewall.
Да, и не забывай использовать "http://"

Добавлено:
lizun
это называется авторизация по логин/паролю через проксю.
Да, будет считаться статистика, если в ТП в правиле NAT указаны в источнике Аут юзеры, а не Локал(или группа IP)

Цитата:

Кто может посоветовать, как правильно резать нежелательные url через kerio?

в группах URL указывай к примеру: *.odnoklassniki.ru/* и odnoklassniki.ru/*
У меня все работает по такому принципу

adjuster

Цитата:

это называется авторизация по логин/паролю через проксю.

Спасибо, навели на рабочую мысль!

1. Создал группу IP (IPs_using_proxy), пользователи с которых будут пущены в инет через прокси.
2. Создал группу Users (Inet_Clients_proxy) - пользователи, которые будут пользоваться прокси для выхода в инет.
3. Каждому пользователю сопоставил в его учетной записи IP компа как заданные IP-адреса хоста (это на вкладке учетки пользователя). Как я понял, это для того, чтобы весь трафик с этого IP шел в статистику пользователя (а-ля привязка IP к User).
4. В параметрах аутентификации включил принудительную аутентификацию для непрозрачного прокси сервера.
5. Включил флажок применить только к IP адресам и указал группу IPs_using_proxy.
6. Поставил автоматическое завершение сеанса пользователя при его неактивности - 180 минут.
7. Создал правило для поключения к прокси: источник IPs_using_proxy, Назначение FireWall (хотя, подика, лучше указать конкретный адрес интерфейса локалки), порты TCP 3128 и UDP 3128 (не знаю, нужны оба или нет), действие разрешить.
8. Создал правило для выхода в инет через прокси: источник Inet_Clients_proxy, Назначение сетевой интерфейс inet, Служба любой, Нат -> Inet.

Вроде работает. Интересует вопрос, правильно ли я всё сделал или можно лучше?

Установил Kerio WinRoute Firewall 6.6.0 с указанием внешнего и внутреннего интерфейсов.
В правилах разрешил все всем.
Пользователей из NT импортировать не получилось - прописал ручками.
Поставил галочки на обязательную аутентификацию - запрос не проходит.
Пинг с самого сервере в мир проходит а вот трафик ни в какую бегать не хочет(http, frp, icq, p2p)
Где что можно еще покрутить чтоб для начала хотябы аутентификацию запрашивало?


Добавлено:
http://www.pictureshack.ru/view_8166img1.jpg

омогите плз с реализацией следующего:
Есть почтовый домен XXX.com.ua, сервер со статическим внешним ИП, WIN server 2003, без домена, с установленными Kerio Winroute Firewall и Kerio Mail Server, есть несколько филиалов, которые сидят в инете через диалап. Нужно завести почтовые ящики этим филиалам на сервере и дать им доступ к ним. Как это лучше реализовать, разжуйте пожалуйста подробно. Спасибо.
П.С.на филиалах, поменьше действий бы производить, в связи с проблемой выезда к ним

Andy_Urb
Чего ты там намудрил с доменом? настроечки скинь
скинь ipconfig /all с kwf и ipconfig /all с любого клиента


Добавлено:
utp_ss
ящики по поп3, правило в квф источник интернет-назначение фаервол, служба поп3 смтп разрешить

Цитата:

ящики по поп3

вот это момент пожалуйста подробнее можно...
Как эти филиалы будут обращаться к серверу?

utp_ss




Добавлено:
из соседней темы

ArgonOL
Чтобы опубликовать майл сервер на той же машине, нужно создать правило
1. источник инет, получатель фаэрвол, служба smtp, разрешить, без нат
и если нет другого более общего исходящего правила, то
2. источник фаэрвол, получатель инет, служба smtp, разрешить, без нат


Добавлено:
если нужно из внешки получать почту по pop или imap, то
3 1. источник инет, получатель фаэрвол, служба pop/imap, разрешить, без нат

Tihon_one
C правилами все ясно, спасибо. Мне не понятно, как удаленный юзер будет обращаться к этому серверу чтобы выбрать с него свою почту, или передать почту через него?

доброго всем времени суток...

Решил установить kerio-kwf-6.6.0-5729.
Сетка из 25 комп, на всех XP SP2.
А вопрос у меня по поводу настроек АДСЛ модема...
сейчас они выглядят так и так

я так понимаю настройки DSN провайдера можно и в kwf прописать? и что насчет галочек NAT и Firewall, их я думаю тоже следует убрать? в kwf же есть NAT...
я в этом деле новичок, так что не судите строго...

После включения прокси и настроек, которые я указал выше тут, появились проблемы у одного пользователя. Этот пользователь отличается от остальных тем, что мой сервер 10.27.42.15 и его комп 10.27.42.115 в одной подсети локальной сети города (один дом). Может, быть с этим что-то связано?
Этот пользователь подключался через VPN (до включения прокси), все было нормально. Вчера вдруг у него выдалось сообщение:

Цитата:

"Сбой соединения. Ошибка 104. невозможно добавить соединение."

и вопрос
Цитата:

"продолжить установление соединения? да/нет"

Нажимает "да" и ничё не происходит, а через какое-то время в правом нижнем углу всплывает
Цитата:

"Ошибка (104) Невозможно добавить соединение"

В текущей активности пользователей я заметил, что у этого пользователя метод аутентификации почему-то стал SSL, в то время как у остальных VPN, либо Automatic (если через прокси). Как это случилось, ума не приложу, но инет у него не работает.

Попробовал этого пользователя пустить через прокси тогда (при этом Kerio VPN client отключен у него, естественно). В принципе, инет работает. Но не работает QIP. Даже если в QIP выбрать тип прокси HTTP(S), прописать адрес прокси 10.27.42.15 и порт керио 3128 (то есть все как в Internet Explorer), и даже если забить туда логин/пароль, то все равно не коннектит

Вот какие там настройки:
Сервер авторизации:
сервер: login.icq.com
порт: 443
Настройки прокси:
тип прокси: HTTP(S)
Прокси-сервер: 10.27.42.15
Порт: 3128
галочка Аутентификация (опционально) - ставили и не ставили
Логин: логин пользователя как в керио
пароль: соотвествующий ему пароль
Галочка NTLM аутентификация снята
в левом нижнем углу галочка Поддерживается соед-е - ставили

После всех этих действий qip выдает что-то типа связь прервана или коннект with прокси Failed...

Почитал в инете про настройку qip через прокси, говорят, что прокси должен поддерживать метод connect. Поддерживает ли такой метод kerio?

Собственно пока два больших вопроса:
1. Как настроить QIP (не infinum) через прокси?
2. Как вернуть возможность подключения через Kerio VPN Client (ибо в этом случае проблем с аськой и всем остальным не возникало)?


Добавлено:
dddimmm

Цитата:

и что насчет галочек NAT и Firewall, их я думаю тоже следует убрать? в kwf же есть NAT...

У меня NAT включен в модеме и в kwf, и Firewall в модеме тоже включен. Два НАТа, наверное, надёжней, чем один. Да и провайдер будет думать, что у вас один комп, а не подсеть, хотя...
Firewall в модеме аппаратный - не жрет лишние ресурсы сервера, защищает извне, зачем отключать?

lizun
Можно и проще - без привязки к IP, то есть убираешь правило "группа IP в инет" - пользователю все равно придется авторизовываться через проксю - и трафик будет течь и считаться по правилу "список пользователей ту инет". Но смотря какая перед тобой стоит задача - решай как тебе удобнее контролировать .


Цитата:

Пользователей из NT импортировать не получилось - прописал ручками.
Поставил галочки на обязательную аутентификацию - запрос не проходит.

Твои правила разрешают без аутентификации ходить в инет - привяжи пользователей к IP (если позволяют настройки/политики). Еще бы ipconfig /all с клиента и KWF и скрин Интерфейсы увидеть.


Цитата:

После всех этих действий qip выдает что-то типа свзяь прервана или коннект with прокси Failed...

Возможно проблема с версии клиента.


Цитата:

Два НАТа, наверное, надёжней, чем один.

По определению - ни как не связан NAT с безопасностью (учим теорию).

lizun
ну что ж будем знать....

adjuster

Цитата:

По определению - ни как не связан NAT с безопасностью (учим теорию).

я так понимаю в настройках модема его можно отключить?

ipconfig /all (на сервере) [more]
Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : server
Основной DNS-суффикс . . . . . . : envila.local
Тип узла. . . . . . . . . . . . . : гибридный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : envila.local

INET - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8029(AS) PCI Ethernet адаптер
Физический адрес. . . . . . . . . : 00-50-BA-BB-F1-2A
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.5.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.5.10
DNS-серверы . . . . . . . . . . . : 212.98.160.50
212.98.160.65

LOCAL - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8168C(P)/8111C(P) PCI-E Gigabit Ethernet NIC
Физический адрес. . . . . . . . . : 00-24-21-A1-B4-0A
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.10.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 192.168.10.1
Основной WINS-сервер . . . . . . : 192.168.10.1
[/more]
ipconfig /all (на клиенте)[more]
Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : admin
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : гибридный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет

Подключение по локальной сети 4 - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : NVIDIA nForce Networking Controller
Физический адрес. . . . . . . . . : 00-1F-D0-5A-C8-8D
Dhcp включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 192.168.10.127
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.10.1
DHCP-сервер . . . . . . . . . . . : 192.168.10.1
DNS-серверы . . . . . . . . . . . : 192.168.10.1
Основной WINS-сервер . . . . . . : 192.168.10.1
Аренда получена . . . . . . . . . : 10 сентября 2009 г. 10:15:32
Аренда истекает . . . . . . . . . : 13 сентября 2009 г. 10:15:32
[/more]
route print [more]
IPv4 таблица маршрута
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x40003 ...00 50 ba bb f1 2a ...... Realtek RTL8029(AS) PCI Ethernet рфряЄхЁ - Kerio WinRoute Firewall
0x40004 ...00 24 21 a1 b4 0a ...... Realtek RTL8168C(P)/8111C(P) PCI-E Gigabit Ethernet NIC - Kerio WinRoute Firewall
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.5.10 192.168.5.1 50
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.5.0 255.255.255.0 192.168.5.1 192.168.5.1 50
192.168.5.1 255.255.255.255 127.0.0.1 127.0.0.1 50
192.168.5.255 255.255.255.255 192.168.5.1 192.168.5.1 50
192.168.10.0 255.255.255.0 192.168.10.1 192.168.10.1 10
192.168.10.1 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.10.255 255.255.255.255 192.168.10.1 192.168.10.1 10
224.0.0.0 240.0.0.0 192.168.5.1 192.168.5.1 50
224.0.0.0 240.0.0.0 192.168.10.1 192.168.10.1 10
255.255.255.255 255.255.255.255 192.168.5.1 192.168.5.1 1
255.255.255.255 255.255.255.255 192.168.10.1 192.168.10.1 1
Основной шлюз: 192.168.5.10
===========================================================================
Постоянные маршруты:
Отсутствует
[/more]

Добавлено:
С инет трафиком разобрался - конфликт был с NOD32 4.x

Цитата:

Q: не работает интернет при связке Kerio+Nod32 4.x
A: NOD32 - Настройка - Дополнительные настройки(F5) - Защита доступа в интернет - Веб-браузеры
поставить красный крест вместо галочки на winroute.exe

Добавлено:
А вот с авторизацией на проксе так и не разобрался. Хелп ми плиз.

Andy_Urb

Цитата:

А вот с авторизацией на проксе так и не разобрался. Хелп ми плиз.

Может, что-то в ТП не то? Выложи картинку посмотреть.
Попробуй пункты 7, 8 как у меня сделано, работает все, кроме QIP пока что (

Все необходимые галочки для авторизации стоят.
На попытку открыть любую страницу выдает
https://server.company.local:4081/nonauth/login.php?dest=aHR0cDovL2ZvcnVtLmxhbnMuYnkvaW5kZXgucGhwPw==&ID=MjEzMTQwNDk5Mg==&DBL=0
и на этом останавливается. Хотя, как минимум, должно после этого выдать страницу авторизации.

Правила [more]http://savepic.ru/810832.jpg[/more]
Авторизация [more]http://savepic.ru/807760.jpg[/more]
В итоге не запрашивает авторизацию у клиента. Как побороть.

Andy_Urb
Слухай у тебя домен на nt, что ли поднят?

По поводу https ссылки, может он предлагает добавить сертификат, а ты просто это игноришь?

Цитата:

Andy_Urb

Попробуй сделать аутентификацию вот так:
.
А вот мои два правила, которые пускают людей через прокси:

То есть, в правиле NAT у тебя надо заменить источник с сетевого интерфейса на группу пользователей (или конкретных ползователей), которых пускаешь в инет через прокси. Это я так думаю. Вот.