» Kerio WinRoute Firewall (часть 5)

Вопрос.
Офис 1 в одном городе и Офис 2 в другом. В каждом офисе своя сетка с сервером на KWF. Сервера соединены через инет с помощью Kerio VPN. Активный с обоих концов.
Сетки Офис 1 10.10.10.0/255.255.255.0 WinXP SP3 и Офис 2 192.168.0.0/255.255.255.0 Win2K3
Настройки сделаны по мануалу, сервера друга видят как по впн айпишникам, так и по своим родным локальным.
Как сделать так, чтобы компы из Офис2 могли пинговать Офис1? Из Офис1 в Офис2 пинг проходит отлично, а вот наоборот - пингуется только комп сервер.

Хм. Тут еще вопрос организовался:
Есть программа (AudioTX Communicator) которая должна соедениться с такой же программой на другом компьютере (порт 5003). Один компьютер находится во внутренней сети (IP 10.10.10.5), другой во внешней сети (IP 192.168.3.158)? компьютер через который внутренняя сеть соединяется с внешей (на котором установлен KWF) - IP 192.168.3.131.
Подскажите как должно выглядеть правило, что бы если программа долбится с IP 192.168.3.158 на IP 192.168.3.131 на порт 5003 то KWF переводил на IP 10.10.10.5

Пробовал так: источник "WAN Scs" (интерфейс который смотрит во внешнюю сеть)- назначение "любой" (сначала пробовал указать "доверенные/локальные)-служба "TCP 5003" - разрешить - трансляция "NAT" (в трансляции пробовал указывать адрес назначения NAT 10.10.10.5)
Вроде что то пытается, по крайней мере при начале соединения программа обновляет свое окно на удаленном компьютере, но потом отваливается по истечении времени.

Помогите пожалуйста. Срочно нужно.

Добрый день, уважаемые!

Недавно установил KWF версии 6.6.0 на ОС Windows2000 SRV,
нормально все пролечил, но столкнулся с необычной ошибкой.
Схема включения простая: два интерфейса LAN и WAN, правило стандартные (нет НАТа, только прокся).

-при включении кэширования начинает сыпаться (на всех запросах) ошибка в журнале error:
(8005:123) Cache error: Unable to determine sector size in .

Все остальное работает. Кэширование выключаешь - ошибок нет.

Может кто подскажет где и что искать?

TrashCat
чекал раздел с исправлениями возможных ошибок?
пробовал переносить место кэша на другой раздел?

Dahlia
Почитай в рукодстве, какие порты ему требуются и открой их.


Цитата:

Из Офис1 в Офис2 пинг проходит отлично, а вот наоборот - пингуется только комп сервер.

Ищи проблему в ТП: комп из Офиса1 должен иметь правило:
сурс VPN (клиенты)
дест Local
протокол Ping
Пермит
А еще стоит проверить tracert куда показывает?

prof2008
создай такое правило:
сурс 192.168.3.158
дест firewall
протокол 5003
NAT (укажи на локальный интерфейс) + Mapping на 10.10.10.5

TrashCat
Ищи ошибку в доступе к папке, где кеш лежит(Tihon_one правильно сказал)
. И еще... Рекомендую избавиться от данной версии - она глючная.

adjuster
Ты с этой штукой сталкивался ? Почему решил что ему порты надо открывать?

Mystical
Работает.
А в чем проблема?
Проверь:
1. Порт на модеме перенаправлен на твой сервак с Керио (если есть модем).
2. На Керио порт перенаправлен на машину, где работает utorrent.
3. В utorrent в настройках прописан порт, что в п.1 и в п.2.
Optional:
Проверь исходящий порт открыт или нет в Керио. Некоторые трекеры используют нестандартный (не 80) порт.

Corvax01
Хреново качает и отдает. Состоянии сети почти всегда желтое, иногда красное. Если запущен utorrent и добавить закачку, то качать начинает только после перезапуска utorrent.
Все прописано, utorrent проходит тест открытия порта, в керио блокировка p2p отключена.
Самое интересное, что когда откатываешься на 1.7.7 все прекрасно работает, но это не выход.
А так другии версии прекрасно работают, скажем, у меня дома через маршрутизатор zyxel. Тут понятно, что дело в керио. Вот и спрашиваю у кого как.
З.Ы. Это естественно только на клиентах, на самом сервере где стоит керио все нормально.

Mystical
Вот! Была такая проблема, но как я ее поборол, сейчас, наверное, точно не вспомню.
Попробуй поигратся с Protocol Inspector в Traffic Policy. Точно отключи его на внутреннем траффике. Можно попробовать отключить на всех правилах (я так делал), а потом включай там, где необходимо (в основном для HTTP он нужен, иначе Кобан не будет фильтровать).

adjuster
Создал правило. Не помогает.
С основной машины соединяется без проблем. В своей сети тоже соединяется нормально. А если из своей сети соединяться с машиной находящейся в общей локалке...
Пишет "Checking IP network to 192.168.3.131" и отваливается. Т.е. программы видят друг друга, но не полностью. То ли ответ не доходит, то ли лыжи не едут...
ТП сейчас выглядит так:

Corvax01
Спасибо попробую.
А вот насчет зелененького состояния сети - я его добился!
Фишка связана с изменением NAT трансляций в новых версиях Kerio. Короче если установлено в источнике NAT "настройка по умолчанию", то не работает (большой привет программистам kerio). Я выбираю "использовать указанный исходящий интерфейс" и соответсвенно указываю, что интерфейс internet (WAN) ну и на всякий убрал галочку использовать другой интерфейс, если этот не доступен (у меня все равно один). В итоге получил зеленое состояние сети в utorrent и значительно, в разы более интенсивную отдачу, хотя не уверен, что это предел - есть сомнения... Закачка же как не шла до перезапуска utorrent так и не идет. Пока не разобрался. Будем думать.
Неужели никто не использует utorrent и вообще torrent протокол?

Mystical

добавил службы

http://img97.imageshack.us/img97/4774/74839019.png

создал правила

http://img43.imageshack.us/img43/5707/65195186.png

всё работает

Simacoff
Я имел ввиду, про работу на клиентах в локальной сети, через трансляцию портов.

prof2008
тебеж сказали nat-ить на локальный интерфейс, а не на внешний.


правда сакральный смысл этого правила для меня утерян, было бы круто если бы объяснили

Хм. Вроде понял в чем проблема, но вот как ее обойти.
"Новое правило" работает только в том случае если соединятся с машины находящейся во внешней сети провайдера (192.168.3.158) соединяться с машиной во внутренней сети (10.10.10.5). Если же нужно соединиться с внешней машиной, обрабатывается правилом "Локальная SCS". Но не полностью. Т.к. машины друг друга видят, но соединятся не хотят.
Проблема насколько я понял в следующем:
После разных экспериментов и просмотра протокола выяснил, что порт 5003 используется только для входящего соединения, а исходящий отправляется с произвольного адреса, т.е. при попытке соединения отправляется пакет с произвольного порта на порт 5003 (прошу прощения, что изначально ввел в заблуждение).
В протоколе пишет такую весч:
[26/Sep/2009 22:50:59] PERMIT "Локальная SCS" packet from LAN Fenix, proto:TCP, len:48, ip/port:10.10.10.5:3838 -> 192.168.3.158:5003, flags: SYN , seq:3154382851 ack:0, win:65535, tcplen:0
[26/Sep/2009 22:50:59] PERMIT "Локальная SCS" packet to WAN Scs, proto:TCP, len:48, ip/port:10.10.10.5:3838 -> 192.168.3.158:5003, flags: SYN , seq:3154382851 ack:0, win:65535, tcplen:0
[26/Sep/2009 22:50:59] PERMIT "Локальная SCS" packet from WAN Scs, proto:TCP, len:48, ip/port:192.168.3.158:5003 -> 192.168.3.131:35740, flags: SYN ACK , seq:629547663 ack:3154382852, win:65535, tcplen:0
[26/Sep/2009 22:50:59] PERMIT "Локальная SCS" packet to LAN Fenix, proto:TCP, len:48, ip/port:192.168.3.158:5003 -> 10.10.10.5:3838, flags: SYN ACK , seq:629547663 ack:3154382852, win:65535, tcplen:0
[26/Sep/2009 22:50:59] PERMIT "Локальная SCS" packet from LAN Fenix, proto:TCP, len:40, ip/port:10.10.10.5:3838 -> 192.168.3.158:5003, flags: RST , seq:3154382852 ack:3154382852, win:0, tcplen:0
[26/Sep/2009 22:50:59] PERMIT "Локальная SCS" packet to WAN Scs, proto:TCP, len:40, ip/port:10.10.10.5:3838 -> 192.168.3.158:5003, flags: RST , seq:3154382852 ack:3154382852, win:0, tcplen:0

Т.е. первая строка - пакет (запрос на установку связи) отправляется из 10.10.10.5:3838 (произвольный порт) в 192.168.3.158:5003
вторая строка - пакет проходит чарез KWF и отправляется в 192.168.3.158:5003
третья строка - от машины 192.168.3.158:5003 приходит ответ, но по какой то причине не на тот порт с которого отправлялся запрос а на порт 35740 (насколько я понял с этим и связана проблема, хотя я могу ошибаться)
четвертая строка - ответ от 192.168.3.158 (хотя если в третьей строке пакет ошибочно отправляется на другой порт, то этого быть не должно. В общем ничего не понимаю )
пятая и шестые строки - отказ в связи.

Правильно ли я понял причину отказа саязи??? И как можно исправить эту проблему.

P.S. Tihon_one Прошу прощения, это я уже в ходе экспериментов сделал скриншот. Первоначально (как и сейчас) стоит нат на локальный интерфейс (хотя это правило только для того что бы можно было соединяться из внешней сети с машиной в локальной сети).

P.P.S. Вывод о том, что машины видят друг друга основан на том, что при попытке установки связи на приемной прогрммае, в строке состояния кратковременно загорается надпись "checking IP Network to 192.168.3.131"

P.P.P.S В ходе экспериментов удалось два раза соединиться. Но с чем это было связано так и не понял. Один раз при таких же правилах которые указаны выше (только с натом на локальный интерфейс). При разрыве связи повторно соединятся не хочет. К сожалению, протоколов не сохранилось.

P.P.P.P.S Пробовал соединится с машины 192.168.3.131 - соединяется без проблем.

Mystical

Цитата:

...если установлено в источнике NAT "настройка по умолчанию"...

У меня в правиле, которе разрешает входящий трафик, в "Enable source NAT" крыжик не стоит.
Крыжик стоит только напротив "Enable destination NAT" и указан IP компа, "Translate port to:" - галки нет.

Corvax01

Цитата:

У меня в правиле, которе разрешает входящий трафик, в "Enable source NAT" крыжик не стоит.
Крыжик стоит только напротив "Enable destination NAT" и указан IP компа, "Translate port to:" - галки нет.

Версия KWF какая? Версии utorrent какие на клиентах?
На 6.5.2 у меня только так заработал правильный статус сети. Проверял все варианты.

Mystical
Kerio 6.5.2 build 5172 (на Windows Server 2008).
utorrent 1.8.3 (на Vista Ultimate, Windows 7).

Мужики помогите плиз )
есть 3 юзера настроена автоматическая регистрация их по IP
есть четвертый юзер с динамическим IP , он работает по прокси заходит по логин паролю , НО его трафик не считаеться .. и в списках активных он непоявляеться, т.е в списке ток его хост и все.
но страници посещенные им в сьтатистику пишуться.
Помогите пожалуйста .. как сделать чтоб он тоже полностью считался(определялся активным)

Tihon_one

Цитата:

правда сакральный смысл этого правила для меня утерян, было бы круто если бы объяснили

Поясню http://avsoft.ru/forum/read.php?FID=21&TID=1229 - предпоследнее сообщение.

xsoftws
Тебе нужно в правиле NAT изменить сурс Локал на IP= этим 3 машинам и добавить в сурсы Аутен. пользователи. (то есть исключить IP 4 пользователя)

adjuster
блин как странно, почему же у меня всё работает...ладно не суть, главное чтобы у людей работало

Столкнулся с проблемой:
Стоит керио 6.5 Внутри сети стоит сервер видеонаблюдения Videonet. Это помещение связано с московским офисом по VPN-у, VPN создаёт cisco(одна на заводе, другая в офисе, тоесть они являются гейтами). После циски стоит у меня керио, так как есть ещё одна организация сидящая на канале этом же и чтобы отградиться от них, стоит керио. В москве хотят смотреть видеокартинку камер наблюдения, но происходит следующее: Клиент Videoneta из москвы цепляется к серверу (на заводе), и тут же отваливается... тоесть как-будто связь рвётся... Звонили в тех поддержку videonet ничего они там толкого не сказали, начали сами методом тыка пробовать. Заменили керио на роутер - и всё заработало. Керио работал как маршрутизатор и фаервол с функциями биллинга. под NAT никто не прятался. Может кто сталкивался с таким?? Что за шутки такие с керио??

Tihon_one

Цитата:

блин как странно, почему же у меня всё работает...ладно не суть, главное чтобы у людей работало

Версия какая?

jorfyre

Цитата:

. Может кто сталкивался с таким?? Что за шутки такие с керио??

А вот про это и написано в вышеуказанной мной ссылке на другом форуме. На правиле мепинга нужно было NAT в локалку сделать - отвал бы изчез.
Либо версию 6.4.2 и ниже поставить.

ЗЫ: как не прозаичн озвучит, но разрабочики что-то накрутили в новом движке....

Цитата:

А вот про это и написано в вышеуказанной мной ссылке на другом форуме. На правиле мепинга нужно было NAT в локалку сделать - отвал бы изчез.

NAT не использую!! Все выходят за керио под своими ip адресами. Керио работает в режиме роутера и фаервола!

adjuster
Цитата:

Версия какая?

какая какая, последняя, 6.7.0 b6228



Добавлено:
jorfyre

Цитата:

NAT не использую!! Все выходят за керио под своими ip адресами. Керио работает в режиме роутера и фаервола!

Вот это что-то непонятно немного, у тебя все юзвери имеют белые IP? С чего ты взял, что нат не используешь-то?

Да мои пользователи имеют всё белые ip. Выход в инет осуществляется из московского офиса, там NAT работает)) Тоесть у меня есть заказной тунель от офиса, до завода (оптика), не выход в инет, а простой тунель!!!

скажите kerio 6.4.2.3672 работает коректно когда на шлюзе 2 интернет-канала?
правда есть заморочка: один канал на статике, другой на динамике

Всем привет !!!! я установил керио 6.7.0 не могу крак найти и потом как его активировать помогите плиз, а то иса достал.

nuric
Шапку внимательно читай, ищи "смежная тема в варезнике"

Коллеги, добрый день!

Может кто-нить подскажет как на KWF запретить передавать файлы через Skype? Т.е. чтобы текст можно было передавать, а файлы - нет.

Спасибо.