» Kerio WinRoute Firewall (часть 5)

olvit
1) остановил KWF
2) поменял значение на NUL: сохранил
3) запустил kwf
защёл без пароля.

Добавлено:
NoISeRR
что у тебя в качестве назначения в ответном правиле? должен быть указан хост firewall, там в списке есть такое значение.
И в первом правиле, зачем натишь через определённый интерфейс, нать по умолчанию.

и вот это вот немного пугает

Цитата:

Все разрешено всем

давай полные правила показывай. any to any permit фиговое правило очень.

Добавлено:
Makvolfed
так ты через прокси или через нат выпускаешь?

Так и делаю: 1) остановил KWF
2) поменял значение на NUL: сохранил
3) запустил kwf
под Admin пытаюсь зайти не пускает, смотрю в файл удаленный пароль на месте

мистика, в момент правки фалйа, удали ещё и usersdb.cfg.bak файл, а потом запускай службу

Цитата:

мистика, в момент правки фалйа, удали ещё и usersdb.cfg.bak файл, а потом запускай службу

Спасибо попробую

а меня он не понимает русских имёен пользователей и пароля. и как сделать так, чтоб программы обновления и БАТ тоже были именными в логах статистики, а то они пишутся как неопознанные. правила просто по умолчанию.

Цитата:

Добавлено:
NoISeRR
что у тебя в качестве назначения в ответном правиле? должен быть указан хост firewall, там в списке есть такое значение.
И в первом правиле, зачем натишь через определённый интерфейс, нать по умолчанию.

и вот это вот немного пугает

Цитата:Все разрешено всем


давай полные правила показывай. any to any permit фиговое правило очень.

Сам керия в процессе настройки

Все просто
Тупо раздать инет в локалку
Те без PPTP правила будут просты по большому счету
C PPTP пробывл так

192.168.10.20 - 92.140.235.130 - PPTP/L2TP/GRE/IPSEC - Allow - NAT xxx.xxx.xxx.xx0
192.168.10.21 - 92.140.235.130 - PPTP/L2TP/GRE/IPSEC - Allow - NAT xxx.xxx.xxx.xx1
192.168.10.22 - 92.140.235.130 - PPTP/L2TP/GRE/IPSEC - Allow - NAT xxx.xxx.xxx.xx2
92.140.235.130 - xxx.xxx.xxx.xx0 - PPTP/L2TP/GRE/IPSEC - Allow - MAP 192.168.10.20
92.140.235.130 - xxx.xxx.xxx.xx1 - PPTP/L2TP/GRE/IPSEC - Allow - MAP 192.168.10.21
92.140.235.130 - xxx.xxx.xxx.xx2 - PPTP/L2TP/GRE/IPSEC - Allow - MAP 192.168.10.22

Firewall - Any - все - Allow
Local - Inet - все - Allow - NAT
Inet - Firewall - все -Deny - сейчас Any-Any-все-allow - временно

Просто
в локалке есть 3 юзверя которым надо цепляться по VPN к 3м разным серверам в далеком интернете одновременно - серваки там виндовые - приходится юзать при нате привязку к внешнему IP для каждого хоста - снаружи провом выделено 8 ipшников

NoISeRR

Цитата:

Все -> Firewall -> все протоколы -> разрешено

!!!! - дыра во весь канал - вот это правило тебя и губит.


Цитата:

gre, действие разрешить, трансляция NAT
второе правило сразу под ним
источник-сервер впн, назначние-firewall, служба pptp и gre, действие разрешить, map на ip который устанавливает соединение, криво конечно но судя по всему пока только так.

Не совсем так. Давно где-то с Виктором мы выкладывали руководство по GRE через KWF.....не нахожу - аж с картинками делали.
Вообщем суть в том, что KWF не правильно обрабатывает GRE, поэтому для него нужно делать отдельное правило с выключенным PI. Достаточно сделать вот такое правило:
сурс Локал
дест Инет
протокол GRE
NAT
PI в none.

После этого ни какие правила для входящего соединения и мепинга в локалку не требуются...

Мы с Виктором озадачились и нашли решение для 2 и более компов с PPTP подключениями (в моем случае это 2 компа бухгалтеров). Еще раз респект Виктору http://www.avsoft.ru/forum/view_profile.php?UID=10719

добрый день. гуру.
простой вопрос. Поставил Kerio 6.5.2 Включил поддержку VPN. На клиенте установил клиента VPN. Подключается нормально, но внутренюю сетку не вижу.
Конфигурация сервера стандартная. 2 сетевых карточки.
При установке Керио нмчего не менял. Помогите.
Заранее благодарен.

Здраствуйте ГУРУ.
У меня наблюдается схожая с FMD ситуация,
сеть не вижу, могу тока по ипам к компам цеплаться.

Но сейчас у меня другой вопрос.
Есть сервер на которм стоит Вин ХР 64-бит и керио 6.5.2
Включен ВПН сервер. Мне нужно чтобы весь трафик
ВПН клиентов проходил через этот сервер.
То есть чтобы когда человек через ВПН выходил в нет,
он выходил туда с ИПом сервера.
У клиента стоит Виста. Я понимаю что это дело в
маршрутизации, но у меня е ней туго, поэтому и
прошу помощи.

FMD

Цитата:

простой вопрос. Поставил Kerio 6.5.2

Цитата:

Подключается нормально, но внутренюю сетку не вижу.

Не видишь по именам? или по IP тоже не видишь? ТП в студию

CHOOVAK

Цитата:

сеть не вижу, могу тока по ипам к компам цеплаться.

Цитата:

То есть чтобы когда человек через ВПН выходил в нет,
он выходил туда с ИПом сервера.

Используй только NAT без HTTP прокси.
То что, не видно сеть по именам, так это потому, что KWF не пропускает широковещательные пакеты - NetBIOS айтить его...

прокси и так отключён.

меня интересует не только web трафик,
а вообще весь трафик.
я так понимаю это надо править таблицу маршрутизации у клиента,
но я незнаю как, вернее какие значения удалять какие добавлять.

Народ, подскажите, а почему может не запускаться последняя версия? 6.7.0 6346.
Без ключа, решил попробовать ее в режиме триал. Ни в какую. До этого так же пытался включить предыдущие билды - результат такой же. Стоит последней версии Касперский Интернет Секъюрити.
Винроут говорит, что не может загрузить драйвер и выходит.
Что делать?

biotrust
каспера останови

snayper7, пробовал первым делом - не помогает. даже отключал ндис-драйвер касперского - все равно не помогает.

adjuster

Цитата:

Не совсем так. Давно где-то с Виктором мы выкладывали руководство по GRE через KWF.....не нахожу - аж с картинками делали.
Вообщем суть в том, что KWF не правильно обрабатывает GRE, поэтому для него нужно делать отдельное правило с выключенным PI. Достаточно сделать вот такое правило:
сурс Локал
дест Инет
протокол GRE
NAT
PI в none.

Грац! Будем использовать в работе! Спасибо!

Добавлено:
biotrust
Удали каспер, удали kwf, перегрузи хост, поставь kwf, проверь.

День добрый!
Есть сервер win2k3, стоит Kerio 6.5.0, сперва был один провайдер, подключение pppoe, все работало нормально, сменили провайдера, теперь оптика (постоянный доступ), поместил я ее в интернет интерфейсы, указал как межсетевой экран подключен к инету (раньше был дозвон, тепреь постоянный доступ), пытаюсь заблокировать себе интернет (к примеру), пишу правило как и раньше сверху(kerio читает сверху вниз), но интернет не блокируется, просто проходит по другому правилу, которое разрешает. Вопрос: почему он не реагирует на правила с интернет интерфейсами, после смены провайдера ??
Помогите плз!

Az4H
скрины интерфейсов и ТП в студию.

Интерфейсы

Политика трафика


ps: правило "Локальный трафик" разрешает все, я знаю, но если убераю интернет оттуда, отваливается VPN. С ним пока не разобрался, но дело сейчас не в нем..
Первое правило запрещает мне доступ в инет, точнее должно запрещать.... но не запрещает.

можно ли както подружить WinRoute с Proxomitron?

нужно вырезать содержимое некоторых сайтов, при этом доступ к http должен остаться на 80 порту...

Az4H

Цитата:

ps: правило "Локальный трафик" разрешает все, я знаю, но если убераю интернет оттуда, отваливается VPN. С ним пока не разобрался, но дело сейчас не в нем..

1. Убираешь оттуда Интернет.
2. Создаешь правило для входящего соединения:
сурс Inet
дест Firewall
протокол GRE/PPTP
пермит

DzOOMer

Цитата:

можно ли както подружить WinRoute с Proxomitron?

Можно подружить:
1. В сервисах на сервисе HTTP выставляешь PI в None - тем самым лишаешься HTTP политик в KWF.
2. Ставишь Proxomitron - и все HTTP политики разруливаешь через него.
(не пробовал, но по аналогии с антивирусами все должно получиться)

adjuster

Цитата:

1. Убираешь оттуда Интернет.
2. Создаешь правило для входящего соединения:
сурс Inet
дест Firewall
протокол GRE/PPTP
пермит

Спасибо, это ясно, но правила с интернет интерфейсами не работают, вот в чем проблема, обходит верхний запрет другим правилом, хотя не должен..

Az4H

Цитата:

обходит верхний запрет другим правилом, хотя не должен..

А ты не пробовал разрешающее правило вверх поднимать?

Уважаемый народ, подскажите пожалуйста если кто знает.

Локальная сетка замечательно ходит через winroute с AD авторизацией через HTTP. Провайдер предоставил фичу, дома у сотрудников ставятся adsl модемы, он их wlanами прокидывает до корпоративной сетки, на входе стоит cisco с dhcp, и роутит этот трафик на winroute, для статистики. На машине с winroute поднят microsoft vpn для шифрования трафика. Удаленный халявщик включает dsl модем в bridge получает адрес (например 192.168.3.2), поднимает vpn и получает второй адрес из внутренней подсети (192.168.1.2). Winroute ловит трафик пропускает через себя и отправляет обратно на cisco (на другой ip), дальше в интернет. Все замечательно работает кроме авторизации. При http (https) авторизации пользователь посылает данные о имени пароле и ip адресе на который его авторизовать. Так вот kerio авторизует его по адресу физичекой карточки (в примере 192.168.3.2) а не vpn подключения (в примере 192.168.1.2) дальше перенаправляет его на закпрашиваемую страницу, но страницу пользователь запрашивает с адреса vpn (192.168.1.2) kerio не видя этого адреса у себя в базе отправляет опять на авторизацию, и так до бесконечности. Может кто подскажет как вести статистику по полувнешним пользователям.

adjuster

Цитата:

А ты не пробовал разрешающее правило вверх поднимать?

Мне запретить нужно, как видно на скрине, первая строка запрет, но он не блокирует, инет идет по другому правилу, но керио читает сверху, должен блокировать. Провайдера сменили и началось это, а со старым все блокировалось, вот в чем дело то..

Az4H
Не хочу обидеть, но ты не понимаешь смысла работы KWF и не умеешь пользоваться логами и Активными скринами.
Ты вот говоришь, что создал запрещающее правило (в самом верху) для локальной машины, а с нее все равно в инет ходят - дык это покажет скрин Активных хостов - давай в студию, где с этой машины в инет идут.

pilotro

Цитата:

Может кто подскажет как вести статистику по полувнешним пользователям.

KWF умеет авторизовывать по HTTP проксе - если у пользователей в браузере выставлена прокся...
Либо через NAT создавать правило с перебросом на страницу авторизации. Но в этом правиле в инсточниках нужно указывать Local (или в твоем случае VPN винды)
сурс VPN пользователи (виндовые)
дест Inet
протокол HTTP
пермит
порт-мепинг на внутреннюю машину (со страницей авторизации)

Это правило выстави выше правила:
сурс пользователи
дест инет
проктоол
NAT

adjuster

Цитата:

Можно подружить:
1. В сервисах на сервисе HTTP выставляешь PI в None - тем самым лишаешься HTTP политик в KWF.
2. Ставишь Proxomitron - и все HTTP политики разруливаешь через него.
(не пробовал, но по аналогии с антивирусами все должно получиться)

а как быть с тем, что Proxomitron будет транслировать 80 порт на 8080?
можно ли както настроить чтобы http трафик после Proxomitron опять возвращалса на 80 порт?

Ой, люди добрыя помогите...
1. У нас в конторе (исторически) несколько ящиков от старых провайдеров
2. Старые провайдеры ленивые и не дали доступ к их смтп снаружи (т.е. от других провайдеров) по авторизованному смтп (неговоря о тлс-ссл и прочея)
3. Новый провайдер дал релей (т.е. открытый полностью), но пальчиком погрозил - мол смотрите, це не игрушка
4. гдето годика полтора было усё хорошо, а теперь какая-то срань стала слать от наших ящиков (от старых провайдеров), явно через релей нового провайдера самый разный спам


помогите, что написать в Expression (KerioWinroute-Logs-debug-IP traffic), чтобы отловить засранцев

писал
direc = out & port = 25
в логе получилось очень много непонятного, очень мало информации как будто спам идет от разных машин(чуть ли не все айпишники за сутки попались) один раз в два часа на секунд 10-40 и много мусора мной не понятого.

adjuster

Цитата:

Не хочу обидеть, но ты не понимаешь смысла работы KWF и не умеешь пользоваться логами и Активными скринами.

К сожалению, керио я увидел 2 месяца назад, и не хватает времени на его изучение, но я согласен что я туплю

Ну вот, пошел я в инет, по локальному трафику (почему-то), но не должен же, керио не обращает внимания на запрет...

harit
актив хосты что говорит?

Добавлено:
Az4H
TRSERV - это локальная машина? какой IP на этой машине?
HTTP прокси что ли используешь?

tserv это сервер на котором стоит kerio, да проксю тоже использую.
ip tserva 192.168.3.15