xrt
Домен?
Домен?
» Kerio WinRoute Firewall (часть 5)
adjuster
Да.
Да.
машина KWF в домене?
adjuster
Вы читать умеете?
С IE6 все нормально доменно авторизуется, проблема только с установкой IE8.
Вы читать умеете?
С IE6 все нормально доменно авторизуется, проблема только с установкой IE8.
xrt
Сертификаты? В IE адрес керио в какой зоне (интернет, локальные, доверенный или etс)? Через Firefox есть ошибка сертификата?
Сертификаты? В IE адрес керио в какой зоне (интернет, локальные, доверенный или etс)? Через Firefox есть ошибка сертификата?
При настроенной web-авторизации, нужно исключить из нее один IP, чтоб его не кидало на авторизацию и не спрашивало пароль.
Подскажите правило пожалуйста.
Подскажите правило пожалуйста.
xrt
Цитата:
Вы бы не перебивали, а отвечали на вопросы!!!
Так как я не несу нелепость, а веду к конкретному решению.
У Вас, уважаемый, машина авторизует через этот браузер 2 раза:
1-й в домене
2-й на проксе
Ищем решение сами.
Цитата:
adjuster
Вы читать умеете?
С IE6 все нормально доменно авторизуется, проблема только с установкой IE8.
Вы бы не перебивали, а отвечали на вопросы!!!
Так как я не несу нелепость, а веду к конкретному решению.
У Вас, уважаемый, машина авторизует через этот браузер 2 раза:
1-й в домене
2-й на проксе
Ищем решение сами.
Уважаемые, подскажите плиз 
Есть два офиса связанные VPN туннелем. В одном (центральном) сеть с DC на 2003 сервере, там же стоит DNS сервер. Пересылка не настроена, на клиентах два DNS адреса: адрес локального DC и вторым адрес машины с kerio. В качестве шлюза, так же адрес керио. Во втором офисе рабочая группа, локальная сеть ясен пень другая. Вся эта музыка работает для доступа из второго офиса к Citrix что крутится на сервере DC в первом офисе, ну и для доступа к принтерам обоих офисов туда сюда обратно Ну и собсно два вопроса:
1) Почему то увеличился VPN трафик, грешу на широковещательные запросы (WINSа в центральном офисе нету).
2) Из центрального офиса ломлюсь на любой из компов в удалённом офисе к ресурсу по типа \\Comp\C$ запрашивается логин пароль, ввожу COMP\User и ниже пароль, выдаёт ошибку, можно как то победить без установки домена во втором офисе?
Есть два офиса связанные VPN туннелем. В одном (центральном) сеть с DC на 2003 сервере, там же стоит DNS сервер. Пересылка не настроена, на клиентах два DNS адреса: адрес локального DC и вторым адрес машины с kerio. В качестве шлюза, так же адрес керио. Во втором офисе рабочая группа, локальная сеть ясен пень другая. Вся эта музыка работает для доступа из второго офиса к Citrix что крутится на сервере DC в первом офисе, ну и для доступа к принтерам обоих офисов туда сюда обратно
Ну и собсно два вопроса: 1) Почему то увеличился VPN трафик, грешу на широковещательные запросы (WINSа в центральном офисе нету).
2) Из центрального офиса ломлюсь на любой из компов в удалённом офисе к ресурсу по типа \\Comp\C$ запрашивается логин пароль, ввожу COMP\User и ниже пароль, выдаёт ошибку, можно как то победить без установки домена во втором офисе?
господа, в чем может быть проблема с торрентами
[2010-04-14 08:05:48] UDP port bind failed 0.0.0.0:25555: (10048) Обычно разрешается только одно использование адреса сокета (протокол/сетевой адрес/порт).
[2010-04-14 08:05:48] UDP port bind failed [::]:25555: (10048) Обычно разрешается только одно использование адреса сокета (протокол/сетевой адрес/порт).
[2010-04-14 08:05:48] IPv6 is installed
????
[2010-04-14 08:05:48] UDP port bind failed 0.0.0.0:25555: (10048) Обычно разрешается только одно использование адреса сокета (протокол/сетевой адрес/порт).
[2010-04-14 08:05:48] UDP port bind failed [::]:25555: (10048) Обычно разрешается только одно использование адреса сокета (протокол/сетевой адрес/порт).
[2010-04-14 08:05:48] IPv6 is installed
????
разобрался, умудрился запустить два торрент клиента, и они даже пытались работать
Добавлено:
да, и ещё по ходу вопрос такого плана - можно как-то ограничить количество пакетов для конкретного юзвера. Вообще проблема в торрентах, раньше у меня качалось по 5-6 торрентов одновременно, и никаких проблем не было и почта работала и все остальное. На торрент клиенте ограничил кол-во соединений до 50 и уменьшил до 5 значение bt.trans_disposition, но все равно качается черти знает по какому, может висеть закачка, запускаю другой клиент, из-за чего у меня и вывалилась ошибка по предыдущему посту, - начинает качать и я в упор не могу понять в чем проблема - то ли трекеры выпендриваются, то ли керио.
Мож кто сталкивался с подобной проблемой????
По конфигурации - Вынь 2003+АД+ДНС+Керио+АДСЛ 24/3Мб айпишник динамический, но модем передергиваю не часто, в сетке 16 компов с обрезкой по 30 кБ, кста можно средствами керио резать поток
каждому свой? или надо вешать ТМетер, и на 2 компах есть доступ до торрентов.
Добавлено:
да, и ещё по ходу вопрос такого плана - можно как-то ограничить количество пакетов для конкретного юзвера. Вообще проблема в торрентах, раньше у меня качалось по 5-6 торрентов одновременно, и никаких проблем не было и почта работала и все остальное. На торрент клиенте ограничил кол-во соединений до 50 и уменьшил до 5 значение bt.trans_disposition, но все равно качается черти знает по какому, может висеть закачка, запускаю другой клиент, из-за чего у меня и вывалилась ошибка по предыдущему посту, - начинает качать и я в упор не могу понять в чем проблема - то ли трекеры выпендриваются, то ли керио.
Мож кто сталкивался с подобной проблемой????
По конфигурации - Вынь 2003+АД+ДНС+Керио+АДСЛ 24/3Мб айпишник динамический, но модем передергиваю не часто, в сетке 16 компов с обрезкой по 30 кБ, кста можно средствами керио резать поток
каждому свой? или надо вешать ТМетер, и на 2 компах есть доступ до торрентов.
Всем доброго - седня столкнулся с проблемкой и успешно ее решил, но могет кому поможет
В общем дело такое - есть версия 6.7.1 build 6399. В один прекрасный момент все клиенты начали получать сообщение DNS lookup failed при обращении к любому сайту + в консоли управления стало просто невозможно отключить основной интернет интерфейс (у меня PPoE к провайдеру идет) - консоль просто зависает на состоянии "отключение" и больше ничего не может с этим интерфейсом сделать (при этом в винде этот интерфейс давным давно потух).
Заметил, что при просмотре Route Print да и в таблице маршрутизации самого керио основной маршрут стал как-то странно выглядеть и шлюзом по умолчанию начал становиться один из внутренних интерфейсов (у меня их несколько - по одному на подсеть). При этом в логе Route Print в самой табличке стал появляться неопознанный адаптер "WAN (PPP/SLIP) Interface", который вдруг засчитал себя основным, присвоил себе первую метрику и начал выставлять основным шлюзом IP из космоса. После полного отключения всех сетевых интерфейсов оказалось, что в табличке маршрутизации этот адаптер есть и забирает себе маску "0.0.0.0" хотя (еще раз оговорюсь - все сетевые интерфейсы заблокированы в винде).
Оказалось, что это виртуальный девайс принадлежит керии (минипорт WAN (IP) - Kerio WinRoute Firewall) и, с какой-то радости эта гадость начала подглюкивать. Решилось все просто - сначала я отключил сей девайс в диспетчере устройств и запустил керио. Все заработало, но оказалось, что ни VPN ни PPoE до провайдера не поднимаются без этого чудо девайса. Пришлось его запустить, но, к моему счастью, все осталось как и было.
В связи с тем, что это боевой сервер, решил больше судьбу не испытывать и оставить все как есть.
Отписываюсь сюда - вдруг кому поможет или кто может подсказать что-то дельное по поводу такого поведения и что меня моегт ждать в дальнейшем
В общем дело такое - есть версия 6.7.1 build 6399. В один прекрасный момент все клиенты начали получать сообщение DNS lookup failed при обращении к любому сайту + в консоли управления стало просто невозможно отключить основной интернет интерфейс (у меня PPoE к провайдеру идет) - консоль просто зависает на состоянии "отключение" и больше ничего не может с этим интерфейсом сделать (при этом в винде этот интерфейс давным давно потух).
Заметил, что при просмотре Route Print да и в таблице маршрутизации самого керио основной маршрут стал как-то странно выглядеть и шлюзом по умолчанию начал становиться один из внутренних интерфейсов (у меня их несколько - по одному на подсеть). При этом в логе Route Print в самой табличке стал появляться неопознанный адаптер "WAN (PPP/SLIP) Interface", который вдруг засчитал себя основным, присвоил себе первую метрику и начал выставлять основным шлюзом IP из космоса. После полного отключения всех сетевых интерфейсов оказалось, что в табличке маршрутизации этот адаптер есть и забирает себе маску "0.0.0.0" хотя (еще раз оговорюсь - все сетевые интерфейсы заблокированы в винде).
Оказалось, что это виртуальный девайс принадлежит керии (минипорт WAN (IP) - Kerio WinRoute Firewall) и, с какой-то радости эта гадость начала подглюкивать. Решилось все просто - сначала я отключил сей девайс в диспетчере устройств и запустил керио. Все заработало, но оказалось, что ни VPN ни PPoE до провайдера не поднимаются без этого чудо девайса. Пришлось его запустить, но, к моему счастью, все осталось как и было.
В связи с тем, что это боевой сервер, решил больше судьбу не испытывать и оставить все как есть.
Отписываюсь сюда - вдруг кому поможет или кто может подсказать что-то дельное по поводу такого поведения и что меня моегт ждать в дальнейшем
Переход отсюда.
nag
Запретить анонимайзеры. Как факт!
Я, с помощью rejector, о котором выше говорил, так и сделал пока.
nag
Запретить анонимайзеры. Как факт!
Я, с помощью rejector, о котором выше говорил, так и сделал пока.
AskTosh
увеличить MTU.
увеличить MTU.
Kerio Control 7.0.0 RC2
Как отключить авторизацию пользователей по HTTPS оставить только HTTP
Через админку что-то ничего не нашел, даже порт сменить вроде нельзя, пните в нужном направлении плиз.
p.s. А то всем говорим про не подписанный сертификат... =(
ВОПРОС РЕШИЛСЯ
останавливаем Kerio
редактируем winroute.cfg
В секции
table name="Administration"
Меняем:
<variable name="WebAdmPort">4080</variable>
<variable name="WebAdmSslPort">4081</variable>
<variable name="WebAdmHTTPSRedirect">0</variable>
<variable name="HTTPSPriority">0</variable>
<variable name="WebAdmRequireAuth">1</variable>
<variable name="ServerId">d609f94e-6ed1-4a2d-af72-e08a40a47e51</variable>
сохраняем, запускаем керио )
Как отключить авторизацию пользователей по HTTPS оставить только HTTP
Через админку что-то ничего не нашел, даже порт сменить вроде нельзя, пните в нужном направлении плиз.
p.s. А то всем говорим про не подписанный сертификат... =(
ВОПРОС РЕШИЛСЯ
останавливаем Kerio
редактируем winroute.cfg
В секции
table name="Administration"
Меняем:
<variable name="WebAdmPort">4080</variable>
<variable name="WebAdmSslPort">4081</variable>
<variable name="WebAdmHTTPSRedirect">0</variable>
<variable name="HTTPSPriority">0</variable>
<variable name="WebAdmRequireAuth">1</variable>
<variable name="ServerId">d609f94e-6ed1-4a2d-af72-e08a40a47e51</variable>
сохраняем, запускаем керио )
Добрый день, подскажите пожалуйста, при использование MAP-инга IP подменяется на IP Kerio WinRoute Firewall, можно ли настроить что бы оставался начальный IP?
rivaslong
а просто отключить https инотерфейс авторизации не пробовали? Т.к. копание в конфигурационном файле может привести к неожиданным последствиям.
а просто отключить https инотерфейс авторизации не пробовали? Т.к. копание в конфигурационном файле может привести к неожиданным последствиям.
Tihon_one
В Kerio Control 7 пока данная функция отсутствует .....
можно либо вообще отлючить авторизацию либо все вместе ... порты не меняются
Только ручками в конфиге ...
В Kerio Control 7 пока данная функция отсутствует .....
можно либо вообще отлючить авторизацию либо все вместе ... порты не меняются
Только ручками в конфиге ...
rivaslong
ай блин прошу прощения, не заметил версию. ну да, тогда только так
ай блин прошу прощения, не заметил версию. ну да, тогда только так
Пытаюсь закрыть доступ mail agent. картина такая:
6.5.2 версия
в политики трафика создал правило
, которое стоит первым.
в политика http так же выше остальных правило для всех (включая себя): *mrim*.mail.ru*
в журнале видно, что доступ отклонен при попытках
[more][16/Apr/2010 13:50:22] DENY "magent" packet from LAN, proto:TCP, len:52, ip/port:192.168.0.120:59936 -> 94.100.189.109:2041, flags: SYN , seq:679021845 ack:0, win:8192, tcplen:0
[16/Apr/2010 13:50:22] DENY "magent" packet from LAN, proto:TCP, len:52, ip/port:192.168.0.120:59937 -> 94.100.189.109:2041, flags: SYN , seq:1336798359 ack:0, win:8192, tcplen:0
[16/Apr/2010 13:50:22] DENY "magent" packet from LAN, proto:TCP, len:52, ip/port:192.168.0.120:59936 -> 94.100.189.109:2041, flags: SYN , seq:679021845 ack:0, win:8192, tcplen:0
[16/Apr/2010 13:50:22] DENY "magent" packet from LAN, proto:TCP, len:52, ip/port:192.168.0.120:59937 -> 94.100.189.109:2041, flags: SYN , seq:1336798359 ack:0, win:8192, tcplen:0
[16/Apr/2010 13:50:23] DENY "magent" packet from LAN, proto:TCP, len:48, ip/port:192.168.0.120:59936 -> 94.100.189.109:2041, flags: SYN , seq:679021845 ack:0, win:8192, tcplen:0
[16/Apr/2010 13:50:23] DENY "magent" packet from LAN, proto:TCP, len:48, ip/port:192.168.0.120:59937 -> 94.100.189.109:2041, flags: SYN , seq:1336798359 ack:0, win:8192, tcplen:0
[16/Apr/2010 13:50:30] DENY "magent" packet from LAN, proto:TCP, len:52, ip/port:192.168.0.120:59944 -> 94.100.189.109:2041, flags: SYN , seq:2781420025 ack:0, win:8192, tcplen:0
[16/Apr/2010 13:50:31] DENY "magent" packet from LAN, proto:TCP, len:52, ip/port:192.168.0.120:59944 -> 94.100.189.109:2041, flags: SYN , seq:2781420025 ack:0, win:8192, tcplen:0
[16/Apr/2010 13:50:31] DENY "magent" packet from LAN, proto:TCP, len:48, ip/port:192.168.0.120:59944 -> 94.100.189.109:2041, flags: SYN , seq:2781420025 ack:0, win:8192, tcplen:0
[16/Apr/2010 13:50:32] DENY "magent" packet from LAN, proto:TCP, len:52, ip/port:192.168.0.120:59948 -> 94.100.189.109:2041, flags: SYN , seq:3271168549 ack:0, win:8192, tcplen:0
[16/Apr/2010 13:50:33] DENY "magent" packet from LAN, proto:TCP, len:52, ip/port:192.168.0.120:59948 -> 94.100.189.109:2041, flags: SYN , seq:3271168549 ack:0, win:8192, tcplen:0[/more]
но агент все равно подключается. где упустил чего?
6.5.2 версия
в политики трафика создал правило
, которое стоит первым. в политика http так же выше остальных правило для всех (включая себя): *mrim*.mail.ru*
в журнале видно, что доступ отклонен при попытках
[more][16/Apr/2010 13:50:22] DENY "magent" packet from LAN, proto:TCP, len:52, ip/port:192.168.0.120:59936 -> 94.100.189.109:2041, flags: SYN , seq:679021845 ack:0, win:8192, tcplen:0
[16/Apr/2010 13:50:22] DENY "magent" packet from LAN, proto:TCP, len:52, ip/port:192.168.0.120:59937 -> 94.100.189.109:2041, flags: SYN , seq:1336798359 ack:0, win:8192, tcplen:0
[16/Apr/2010 13:50:22] DENY "magent" packet from LAN, proto:TCP, len:52, ip/port:192.168.0.120:59936 -> 94.100.189.109:2041, flags: SYN , seq:679021845 ack:0, win:8192, tcplen:0
[16/Apr/2010 13:50:22] DENY "magent" packet from LAN, proto:TCP, len:52, ip/port:192.168.0.120:59937 -> 94.100.189.109:2041, flags: SYN , seq:1336798359 ack:0, win:8192, tcplen:0
[16/Apr/2010 13:50:23] DENY "magent" packet from LAN, proto:TCP, len:48, ip/port:192.168.0.120:59936 -> 94.100.189.109:2041, flags: SYN , seq:679021845 ack:0, win:8192, tcplen:0
[16/Apr/2010 13:50:23] DENY "magent" packet from LAN, proto:TCP, len:48, ip/port:192.168.0.120:59937 -> 94.100.189.109:2041, flags: SYN , seq:1336798359 ack:0, win:8192, tcplen:0
[16/Apr/2010 13:50:30] DENY "magent" packet from LAN, proto:TCP, len:52, ip/port:192.168.0.120:59944 -> 94.100.189.109:2041, flags: SYN , seq:2781420025 ack:0, win:8192, tcplen:0
[16/Apr/2010 13:50:31] DENY "magent" packet from LAN, proto:TCP, len:52, ip/port:192.168.0.120:59944 -> 94.100.189.109:2041, flags: SYN , seq:2781420025 ack:0, win:8192, tcplen:0
[16/Apr/2010 13:50:31] DENY "magent" packet from LAN, proto:TCP, len:48, ip/port:192.168.0.120:59944 -> 94.100.189.109:2041, flags: SYN , seq:2781420025 ack:0, win:8192, tcplen:0
[16/Apr/2010 13:50:32] DENY "magent" packet from LAN, proto:TCP, len:52, ip/port:192.168.0.120:59948 -> 94.100.189.109:2041, flags: SYN , seq:3271168549 ack:0, win:8192, tcplen:0
[16/Apr/2010 13:50:33] DENY "magent" packet from LAN, proto:TCP, len:52, ip/port:192.168.0.120:59948 -> 94.100.189.109:2041, flags: SYN , seq:3271168549 ack:0, win:8192, tcplen:0[/more]
но агент все равно подключается. где упустил чего?
А как можно точно проверить WebFilter, у меня вроде и со старым номерком от прошлой недели всё работает.
Я проверял так: поставил галку на поисковые системы и мне написали
Запрашиваемая страница: http://www.google.ru/
Причина отказа:
Запрещено классификатором сайтов
Категории фильтрации Kerio Web
Поисковые системы
Я проверял так: поставил галку на поисковые системы и мне написали
Запрашиваемая страница: http://www.google.ru/
Причина отказа:
Запрещено классификатором сайтов
Категории фильтрации Kerio Web
Поисковые системы
Есть сервер под управление win 2003. На нем стоит kerio winroute и раздает интернет и обеспечивает работу двух впн тунелей. Проблема: переодически отваливаются все подключения. Людей выбрасывает из 1С которое стоит на этой же машине, отрубается файловая шара, падают ВПНы. Через пару минут соединение с 1С и файловой шарой востанавливается, а вот для включения ВПН приходится перезапускать службу керио.
[16/Apr/2010 15:57:06] (7212:1460) VPN tunnel: Tunnel[0002]('pr') - Unable to delete VPN connection to IP:3867 in driver
[16/Apr/2010 15:57:06] (7212:-65503) VPN tunnel: Tunnel[0001]('kr') - Unable to delete VPN connection to IP:1423 in driver
[16/Apr/2010 15:58:45] (7330:25) VPN tunnel: Unable to establish VPN tunnel 'kr' - some route to remote VPN network (192.168.5.0/255.255.255.0) exists: 192.168.5.4/255.255.255.255 gw 127.0.0.1
[16/Apr/2010 15:58:55] (7204:996) VPN tunnel: Tunnel[0002]('pr') - unable to add connection in driver, error 996
[16/Apr/2010 15:58:57] (7330:25) VPN tunnel: Unable to establish VPN tunnel 'pr' - some route to remote VPN network (192.168.4.0/255.255.255.0) exists: 192.168.4.2/255.255.255.255 gw 127.0.0.1
[16/Apr/2010 15:58:57] (7330:25) VPN tunnel: Unable to establish VPN tunnel 'kr' - some route to remote VPN network (192.168.5.0/255.255.255.0) exists: 192.168.5.4/255.255.255.255 gw 127.0.0.1
[16/Apr/2010 15:59:42] (7330:25) VPN tunnel: Unable to establish VPN tunnel 'kr' - some route to remote VPN network (192.168.5.0/255.255.255.0) exists: 192.168.5.4/255.255.255.255 gw 127.0.0.1
[16/Apr/2010 16:00:24] (7330:25) VPN tunnel: Unable to establish VPN tunnel 'pr' - some route to remote VPN network (192.168.4.0/255.255.255.0) exists: 192.168.4.2/255.255.255.255 gw 127.0.0.1
[16/Apr/2010 15:57:06] (7212:1460) VPN tunnel: Tunnel[0002]('pr') - Unable to delete VPN connection to IP:3867 in driver
[16/Apr/2010 15:57:06] (7212:-65503) VPN tunnel: Tunnel[0001]('kr') - Unable to delete VPN connection to IP:1423 in driver
[16/Apr/2010 15:58:45] (7330:25) VPN tunnel: Unable to establish VPN tunnel 'kr' - some route to remote VPN network (192.168.5.0/255.255.255.0) exists: 192.168.5.4/255.255.255.255 gw 127.0.0.1
[16/Apr/2010 15:58:55] (7204:996) VPN tunnel: Tunnel[0002]('pr') - unable to add connection in driver, error 996
[16/Apr/2010 15:58:57] (7330:25) VPN tunnel: Unable to establish VPN tunnel 'pr' - some route to remote VPN network (192.168.4.0/255.255.255.0) exists: 192.168.4.2/255.255.255.255 gw 127.0.0.1
[16/Apr/2010 15:58:57] (7330:25) VPN tunnel: Unable to establish VPN tunnel 'kr' - some route to remote VPN network (192.168.5.0/255.255.255.0) exists: 192.168.5.4/255.255.255.255 gw 127.0.0.1
[16/Apr/2010 15:59:42] (7330:25) VPN tunnel: Unable to establish VPN tunnel 'kr' - some route to remote VPN network (192.168.5.0/255.255.255.0) exists: 192.168.5.4/255.255.255.255 gw 127.0.0.1
[16/Apr/2010 16:00:24] (7330:25) VPN tunnel: Unable to establish VPN tunnel 'pr' - some route to remote VPN network (192.168.4.0/255.255.255.0) exists: 192.168.4.2/255.255.255.255 gw 127.0.0.1
Добрый день,
Активно пользуюсь Kerio bandwidth limiter,
хотелось бы получить вот такую конфигурацию -
когда внутри vpn - tunnel идет большой трафик
(например - элементарное копирование файлов по фтп )
- ограничить скорость копирования по фтп,
а вот для самого rdp - подюключения - оставить скорость как есть.
Возможно ли такое ?
в настройках керио я не нашел способа это сделать,
сейчас лимитер рубит все kerio vpn - tunnel как единое соединение,
что заставляет офис страдать.
Или может есть путь как это организовать другими средствами?
Активно пользуюсь Kerio bandwidth limiter,
хотелось бы получить вот такую конфигурацию -
когда внутри vpn - tunnel идет большой трафик
(например - элементарное копирование файлов по фтп )
- ограничить скорость копирования по фтп,
а вот для самого rdp - подюключения - оставить скорость как есть.
Возможно ли такое ?
в настройках керио я не нашел способа это сделать,
сейчас лимитер рубит все kerio vpn - tunnel как единое соединение,
что заставляет офис страдать.
Или может есть путь как это организовать другими средствами?
up1ush3k
концы тоннелей к интернету подрублены как? adsl?
концы тоннелей к интернету подрублены как? adsl?
Есть две точки, на обоих концах ADSL, соединил их между собой VPN туннелем. Есть желание огромное, разрешить ходить по туннелю только трафик Citrix и чтобы принтер был доступен на одном из концов туннеля (думается сервиса Netbios-NS достаточо будет для этого). Как бы реализовать? А то трафик бешеный за день шпарит по VPN туда сюда.
Serg0FFan
Трафик руле:
Код: Сорс LAN Дест VPN_tunel_name Сервисе Citrix+Netbios-NS Актион Аллоу
Сорс VPN_tunel_name Дест LAN Сервисе Citrix+Netbios-NS Актион Аллоу
Сорс LAN+VPN_tunel_name Дест VPN_tunel_name+LAN Сервисе Ани Актион Дени
Трафик руле:
Код: Сорс LAN Дест VPN_tunel_name Сервисе Citrix+Netbios-NS Актион Аллоу
Сорс VPN_tunel_name Дест LAN Сервисе Citrix+Netbios-NS Актион Аллоу
Сорс LAN+VPN_tunel_name Дест VPN_tunel_name+LAN Сервисе Ани Актион Дени
Народ, подскажите такую весчь,
есть сервер Керио Контрол,
нужно пускать всех пользователей сквозь него, и только для группы (1) сделать правило
для выхода в обход всех ограничений, если создаю 1-м правило
Имя: NOC NAT - Источник: NOC GP (здесь в группе несколько адресов) - назначение Firewall - Службы (Любой) - действие (Разрешить) - Трансляция (НАТ)
то не могу подключиться к серверу вообще с этих адресов, если меняю назначение с Firewall
на сетевой интерфейс "инета" или (интернет облако).
хосты ходят как и остальные через все порезаные правила...
есть сервер Керио Контрол,
нужно пускать всех пользователей сквозь него, и только для группы (1) сделать правило
для выхода в обход всех ограничений, если создаю 1-м правило
Имя: NOC NAT - Источник: NOC GP (здесь в группе несколько адресов) - назначение Firewall - Службы (Любой) - действие (Разрешить) - Трансляция (НАТ)
то не могу подключиться к серверу вообще с этих адресов, если меняю назначение с Firewall
на сетевой интерфейс "инета" или (интернет облако).
хосты ходят как и остальные через все порезаные правила...
ArtCont
Пишешь:
Цитата:
а сам в правиле указываешь:
Цитата:
Так пробуй:
Код: Сорс IP_группа; Дест WAN_eth; Сервисы Any; Action Allow; NAT Wan_eth
Пишешь:
Цитата:
сквозь него
а сам в правиле указываешь:
Цитата:
назначение Firewall
Так пробуй:
Код: Сорс IP_группа; Дест WAN_eth; Сервисы Any; Action Allow; NAT Wan_eth
faust72rus
Спасибо! Только еще пришлось службу Microsoft-DS добавлять, без неё не взлетало никак ну и NetBIOS-SSN так же. Посмотрим что будет дальше и как эти настройки повлияют на трафик
Спасибо! Только еще пришлось службу Microsoft-DS добавлять, без неё не взлетало никак ну и NetBIOS-SSN так же. Посмотрим что будет дальше и как эти настройки повлияют на трафик
[faust72rus]
Спасибо! Вроде получилось...)))
Спасибо! Вроде получилось...)))
faust72rus
А трафик то и не убавился. Интересный момент. Когда клиент коннектился к удалённому серверу по "белому" айпишнику через инет, то трафик был совсем не большой. 4 клиента в удалённом офисе за день потребляли не более 20Мб. Сейчас же, когда Citrix коннектится к "локальному" серверу через VPN туннель по "серому" айпишнику, трафик намного выше. Порядка 150-200Мб за день, у тех же 4х клиентов Чем дальше в лес тем все чудесатее и чудесатее
Добавлено:
P.S. И, опять же, в случае с "белым" айпи, достаточно было разрешить службу NetBIOS-NS чтобы удаленный принтер был доступен, сейчас же уже нифига не достаточно этой службы. Нужны еще, как писал выше, Microsoft-DS, Netbios-SSN ну и сама Netbios-NS, иначе не доступен он. Установлено опытным путем после длительных танцев с бубном.
Добавлено:
P.P.S забыл сказать, еще из локалки центрального офиса в удалённый иногда печатает народ. Быть может это как то влияет на трафик? Печатает не так уж и часто кстати. Возможно постоянный опрос принтеров как то увеличивает этот самый трафик.
А трафик то и не убавился. Интересный момент. Когда клиент коннектился к удалённому серверу по "белому" айпишнику через инет, то трафик был совсем не большой. 4 клиента в удалённом офисе за день потребляли не более 20Мб. Сейчас же, когда Citrix коннектится к "локальному" серверу через VPN туннель по "серому" айпишнику, трафик намного выше. Порядка 150-200Мб за день, у тех же 4х клиентов
Чем дальше в лес тем все чудесатее и чудесатее Добавлено:
P.S. И, опять же, в случае с "белым" айпи, достаточно было разрешить службу NetBIOS-NS чтобы удаленный принтер был доступен, сейчас же уже нифига не достаточно этой службы. Нужны еще, как писал выше, Microsoft-DS, Netbios-SSN ну и сама Netbios-NS, иначе не доступен он. Установлено опытным путем после длительных танцев с бубном.
Добавлено:
P.P.S забыл сказать, еще из локалки центрального офиса в удалённый иногда печатает народ. Быть может это как то влияет на трафик? Печатает не так уж и часто кстати. Возможно постоянный опрос принтеров как то увеличивает этот самый трафик.
Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667
Предыдущая тема: CISCO ROUTER Проброс группы портов
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.