» Kerio WinRoute Firewall (часть 5)

Имеем:
KWRF, 2 IP на внешнем интерфейсе.

Вопрос:
Как грамотно сделать, что бы пользователь из локалки мог выбирать IP выхода в i-net ?

SlavaWlf

Цитата:

Как грамотно сделать, что бы пользователь из локалки мог выбирать IP выхода в i-net ?

Как ты себе это представляешь? - меня интересует порядок действий.

Доброго времени суток Товарищи!
Появилась проблема во время настройки Керио,
задача стоит в том чтоб создать VPN-шлюз для региональных бухов,
причем некоторые опции я сам догнал (нужна локальная статика со стороны VPN-клиента) дабы нормально подключить принтера к серверу. Использовать собираемься RemoteApp посему нужно человечески их подключать. Но беда. Толи Керио заглючило, толи понять не могу в чем проблема. При подключении VPN-клиента через ipconfig проверил ИП сервер выдал ему нужный. Из сети пытаюсь пропинговать его, и в итоге получаю "Привышен интервал запроса". Как сделать чтоб клиента было видно из локальной сети с VPN-сервером. Сервера настроены на использование Керио в качестве Шлюза, а ДНСы это основной и резервный контроллеры Домена.

Керио Апленс 7.0 РЦ2 стоит...


скрин правил фаэрвола прилогаю...

Все прекрасно работало около года пока был динамический внешний ip
Провайдер - Yota (USB брелок) раздавал по DHCP примерно такое:
ip: 109.188.23.34
mask: 255.255.255.0
gateway: 109.188.23.1 (ip и шлюз из одной подсетки все хорошо)
dns: 94.25.208.74

Понадобился статический внешний ip, попросили провайдера, провайдер дает теперь такое:

ip: 109.188._._ (стал статическим)
mask: 255.255.255.255
gateway: 172.16.17.11 (шлюз из локальной подсетки все плохо)
dns: 94.25.208.74

Теперь Кирюша (6.6.0) никого не пускает в инет из локалки (192.168.100.*). На самом шлюзе инет есть. Снес все правила, запустил мастер, настроил заново простейшие:
Откуда: Доверенные Куда: Интернет Любое Разрешить Nat (Инсп)Нет
Откуда: Доверенные\Firewall Куда: Доверенные\Firewall Любое Разрешить (Инсп)Нет
В интернет-интерфейсах естественно Yota, в Доверенных - DlinkUP
Результат тот же, инет только на шлюзе.

Доменная сеть, шлюз в домен не введен, вот ipconfig /all:


Цитата:

Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : gateway
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : да

Dlink_UP - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : VIA VT6105 Rhine III Compatible Fast Ethernet совместимый адаптер
Физический адрес. . . . . . . . . : 00-1B-11-C2-FE-87
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.100.5
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 192.168.100.1 (внутренний DNS сервер на DC, пересылка настроена на 192.168.100.5 и DNS провайдера 94.25.208.74)

Yota - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Samsung USB mWiMAX Adapter
Физический адрес. . . . . . . . . : 00-23-3A-CD-EC-E4
DHCP включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 109.188._._
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз . . . . . . . . . . : 172.16.17.11
DHCP-сервер . . . . . . . . . . . : 172.16.17.11
DNS-серверы . . . . . . . . . . . : 192.168.100.1 (прописал ручками)
X 94.25.208.74
NetBIOS через TCP/IP. . . . . . . : отключен
Аренда получена . . . . . . . . . : 4 мая 2010 г. 15:36:14
Аренда истекает . . . . . . . . . : 4 мая 2010 г. 16:36:14

Пробовал ручками забить настройки внешнего интерфейса, но винда (2003 Server) не дает, ругается, что маску такую (255.255.255.255) нельзя. Только DNS дает.

Пробовал еще сделать финт ушами. В настройках внешнего интерфейса (Yota) указал (от балды) шлюз (109.188._.1 mask 255.255.255.0) из той же подсетки, что и IP, а в Керио создал правило, которое маппит весь траффик с выдуманного 109.188._.1 на реальный 172.16.17.11. Заработало, но до первого переподключения Yota, которая естественно возмутилась неправильному шлюзу, и больше никого никуда не пустила.
Сейчас отключил вообще Kerio, настроил обычный виндузячий NAT (работает!) как временное решение, плачу и бьюсь головой об стену

Собственно вопрос, как настроить Кирюшу, если IP и шлюз в разных подсетках?
Спасибо....

Цитата:

как настроить Кирюшу, если IP и шлюз в разных подсетках?

Пинайте провайдера, чтобы вместе со статическим внешним ip он вам выдавал по DHCP и нормальный шлюз. Это явно его глюк.

Цитата:

Пинайте провайдера, чтобы вместе со статическим внешним ip он вам выдавал по DHCP и нормальный шлюз. Это явно его глюк.

Провайдеру я уже звонил, сказали, что USB брелок - "устройство для частного пользования", и если вы такие умные, что на него офис сажаете, то сами и разбирайтесь. На шлюзе инет есть, остальное их не волнует.
Для офисов они предлагают покупать свои ётовские роутеры, которые стоят от 9000р, а инструментов для контроля за трафиком там, как у обычных простеньких длинков, т.е. почти нет.

adjuster



Цитата:

Как ты себе это представляешь?

Не знаю как правильно.
Авторизация? Остальные без авторизации ходят.
Могу менять на хосте IP (локальный, естественно)
А дальше правилами разруливать.
Неудобство. Чел заходит к себе и удалённо. Смена IP - новый вход...

SlavaWlf

Цитата:

Авторизация? Остальные без авторизации ходят.

Можно разграничить для отдельных пользователей в ТП.
Но в таком случае не пользователь меняет IP, а администратор заранее прописывает правила - в какой IP натить.

Цитата:

администратор заранее прописывает правила - в какой IP натить

В том то и штука - необходимо иметь возможность на лету менять IP.
По желанию пользователя.
Вообще-то их (IP) четыре.

SlavaWlf
честно говоря я даже приблизительно не представляю как пользователю это делать, даже если представить гипотетическую возможность установки некоего агента на пк данного пользователя, ему надо дать права для изменения параметров натирования, кошмарный сон имхо.

можно назначить временные интервалы, и создать, собственно, 4 правила для данного хоста, каждое правило будет натить пакеты от данного пк через разные IP, каждое в своё время.

Похоже, проще всего заставить заходить под разными логинами.
И цеплять одну сетевую папку под документы.

Ну а текущие сессии ему по любому пришлось бы закрывать.

SlavaWlf
ну либо да, разные логоны использовать, только тогда надо обучить пользователя logoff делать на шлюзе

afanasiy

Цитата:

как настроить Кирюшу, если IP и шлюз в разных подсетках?

А у вас на локальных компах указан шлюз 192.168.100.5 ?
Выложите плиз таблицы маршрутизации с керика и с локалного компа.


Добавлено:
SlavaWlf

Цитата:

Имеем:
KWRF, 2 IP на внешнем интерфейсе.

Цитата:

В том то и штука - необходимо иметь возможность на лету менять IP.
По желанию пользователя.
Вообще-то их (IP) четыре.

Интересную тему подняли. Но это не задача керио. Чтобы гонять пакеты в нет и динамически натить в соответсвии с какими-то правилами нужно использовать Циски или по крайней мере MikroTik RouterOS. Там есть возможность "метить" (раскрашивать) пакеты и писать правила НАТа и роутера в соответсвии с этими пометками.

Народ, помогите кто нибуть с ВПНами плизз...

Цитата:

Доброго времени суток Товарищи!
Появилась проблема во время настройки Керио,
задача стоит в том чтоб создать VPN-шлюз для региональных бухов,
причем некоторые опции я сам догнал (нужна локальная статика со стороны VPN-клиента) дабы нормально подключить принтера к серверу. Использовать собираемься RemoteApp посему нужно человечески их подключать. Но беда. Толи Керио заглючило, толи понять не могу в чем проблема. При подключении VPN-клиента через ipconfig проверил ИП сервер выдал ему нужный. Из сети пытаюсь пропинговать его, и в итоге получаю "Привышен интервал запроса". Как сделать чтоб клиента было видно из локальной сети с VPN-сервером. Сервера настроены на использование Керио в качестве Шлюза, а ДНСы это основной и резервный контроллеры Домена.

Керио Апленс 7.0 РЦ2 стоит...


скрин правил фаэрвола прилогаю...

ArtCont
Возможно на клиенте включен брандмауэр винды, который и не пускает
У меня на домашнем компе стоит винда7, так вот подключение по VPN она показывала как Неопознанная сеть,
пока ручками на стороне клиента (дома) не прописал в VPN фейсе DNS сервер в домене, после этого домашний
комп стал доступен

Подскажите возможно ли пользоваться интернетом чтоб керио не знала об этом, не показывала ни каких данных?

Festival906
Доступ к админке керио есть?

Нима ничо, я на компе в другом кабинете

Цитата:

Нима ничо, я на компе в другом кабинете

Тогда никак.

Вопрос по настройке http policy.
Как можно определенному авторизованному пользователю дать доступ к определенному списку сайтов, все остальные заблокировать?

Спасибо.

hidden1401
Проще простого. Создай правило в политиках хттп:
1. Называешь к примеру "Allow Vasya Traffic"
2. указанный пользователь - выбираешь своего заранее созданного пользователя
3. в группе URL - выбираешь заранее созданную группу, куда входят разрешенные для него сайты
4. разрешить доступ к...
5. ОК
6. правой кнопкой по правилу - продублировать это правило

Открываешь правило продублированное (то, которое ниже) переименовываешь - "Deny Vasya Traffic"
Меняешь в нем пункт 3 из описанных выше на URL начинается с - вписываешь звездочку *
Меняешь пункт 4 из описанных выше на запретить доступ к....
По желанию, включаешь журналирование что в первом, что во втором правиле.
По желанию, во втором правиле, на вкладке Дополнительно указываешь причину отказа, типа Вася! Сюда не ходи! Сюда ходи!
ОК.
И все. Жди пока Вася с пивом прибежит просить выхода

Народ! ПРОШУ ПОМОЩИ.

Есть локалка из 20 компов без доменов на рабочей группе (далее РС), DSL модем (подтыкаемый в свич) для инета, 1 комп с KWF 6.4.2 и двумя сетевухами (далее сервер).

ЗАДАЧА:

Вынести 1 РС за Керио (напрямую к ДСЛ), но так, чтобы она оставалась полноценно внутри локалки (доступ к ней и от нее к остальным 19 РС и принтерам). Остальным 19 РС надо по прежнему ограничивать инет трафик.

Пока смог добиться следующего:

На сервере сетевой мост из двух сетевух.
Всем IP из одной подсети 192.168.0.-- , сервер 192.168.0.1, модем 192.168.0.254

Результат: Внешняя РС в локалке, но остальные 19 ходят как хотят без ограничений.
(на всех 19 шлюзом установлен сервер).

СПАСИБО

maxchist

Цитата:

Вынести 1 РС за Керио (напрямую к ДСЛ)

Что вы имеете ввиду? Дать ему возможность выходить в инет без ограничений? или этот РС еще и является сервером, например Веб или Мэйл

Цитата:

На сервере сетевой мост из двух сетевух.

А это зачем? 1 РС подключен к сетевухе 1, а остальные 19 к сетевухе 2?, и сюда же модем через свитч???
Ваша задача должна решаться тривиально. Все 20 РС на одной локальной сетевухе через свитч. Модем сидит на внешней сетевухе, а не в свитче. Все получают статические IP - шники от DHCP , поднятом на вашем сервере (или прописываете IP - шники руками). Модему меняете IP - шник на 192.168.1.254 ,если хотите получить доступ во внутренний веб интерфейс модема. Если этот доступ вам не нужен, то забудьте про IP - шник модема. На внешней сетевухе прописываете сетевые данные, которые вам дал провайдер (это самый лучший вариант для корпоративной сети), или поднимаете VPN, PPPoE или что-то там еще (зависит от способа подключения к провайдеру). А далее правилами разрешаете с IP 192.168.0.2 (РС 1) ходить в инет без ограничений, а с IP 192.168.0.3 - 192.168.0.254 (остальные РС) ходить в инет с нужными ограничениями. И все.

Стоит KWF 6.7.1, авторизация пользователей через веб-аудентификацию, галочка стоит "Всегда требовать аудентификации пользователей при доступе к веб-странице". Поставил себе на клиентскую машину Debian и никак не могу выйти в инет. Если эту галочку убрать, то в инет заходит, а если галочка эта стоит, то при наборе какой-либо страницы запрос перенеправляется на страничку аудентификации и выдает ошибку "Firefox не может найти сервер internet.server.local". Может кто сталкивался с этой проблемой?

Уважаемые проблема в следующем! Лезу из инета на свой ФТП сервер через DOS команды по ADSL всё замечательно. Переключюсь на Yota , бля, Kerio пишет Bounce attack и отшивает обмен файлами. Т.Е. соединение проходит а каманды типа dir get put отшиваются. Памагите криворукому... от Йоты нет возможности отказаться!

Drafter123

Цитата:

выдает ошибку "Firefox не может найти сервер internet.server.local"

пропиши вместо имени IP адрес KWF
Возможно ошибка DNS.

Добавлено:
kashpi

Цитата:

Переключюсь на Yota , бля, Kerio пишет Bounce attack и отшивает обмен файлами.

Вынеси FTP в отдельное правило и отключи на нем PI.

Цитата:

Вынеси FTP в отдельное правило и отключи на нем PI.

Спасибо.
Уже делал ... не помогает dir работает но файло не могу ни положить, ни взять. Как только обратно на ADSL все работет на ура. В Йоте посылают подальше.

Цитата:

[/q][q]пропиши вместо имени IP адрес KWF
Возможно ошибка DNS.

Спасибо, помогло