» Kerio Control (ex Kerio WinRoute Firewall)

нет. не кериотский.
сервер впн в сети, под Джентой. и клиент, сделанный штатным визардом винды, где "Kerio Control".

передвинул все с windows под другую ОС. Понедельник скоро, все же. Интересно было бы еще по-экспериментировать, но время

dariusii
правила трафика покажи, всё стандартное у меня вроде работает нормально.

Tihon_one

Если только смоделировать под виртуалкой. На реальной машина винды нет уже.
Самому интересно (на будущее). Есть конторы, кому и на роутер денег жалко.
Освобожусь, воспроизведу.

dariusii
ну смотри сам, будет такая ситуация в дальнейшем пиши сюда, только правила трафика сразу открывай, чтобы лишних вопросов не возникало.

Tihon_one
А можно отчитывать правила как-то текстом?
Конфиг там.
аля конфиг iptables.

?

А то скриншотами как-то не красиво, что ли.

dariusii
можно в XML формате из winroute.cfg
раздел что то типа list name="TrafficRules"
в нем каждый listitem это правило

dariusii
"не красиво" - ну кхм, фиг знает, зато читать их "удобно" невижу смысла в усложнении, тем-более, что хостингов для картинок сча дофига.

Tihon_one
Похоже, у этого kerio правило "любой" далеко не "любой".
Создал два правила. Одно для dns/www, и второе для ike/ipsec/pptp.

То есть, вот так:

и оно заработало.
Если же просто поставить "любой", вместо dns,http и ike.ipsec,pptp, то как будто такие понятия, как ike и ipsec не входят в значение "любой", получается.

dariusii
ну короче смотри, во первых никакие nat traversal для трафика межсетевого экрана не нужны, а во вторых, сделай так как у тебя не работает, и включи логирование дропнутых пакетов в протоколе debug, и посмотри чем и что дропается.

Я думаю, это может быть связано с последней, скрытой колонкой в правилах...

wwladimir
по умолчанию подходит для этих соединений.

wwladimir
последняя колонка - "все, что не разрешено, то запрещено". Она и так и так была.

Tihon_one


Цитата:

сделай так как у тебя не работает,

А вот фик там. Оно теперь работает и с "any".

То есть. Описываю всю историю. То, что касаемо этого самого "any".
В обеих случаях использовался мастер - постоянное соединение, с разрешением всего исходящего и без vpn-ssl.
В первом случае, когда соединение не проходило, специально решил проверить соединение без kerio (stop kerio) и соединение работало. Раз 10 один в один.
затем, разделил правила. мухи отдельно, котлеты отдельно - соединение пошло.
затем, снова запустил мастера, с теми же настройками, как и в первый раз и снова соединение заработало.
В чем было выражение неработы. - дело доходило до проверки логина и пароля и на этом все останавливалось. клиент чего-то ждал и ждал, пока сервер его не рубил. В логах сервера впн ругань была на долгий отклик от клиента, на что сервер его бил. конекшн терминэйтед. клиент орал ошибкой семьсот какой-то, после долгого ожидания сервера. не 691.
вот, это очень двоякая картина. - обеих случаях один и тот же мастер создания правил. одно и то же состояние соединения и настроек сервера. повторюсь - без керио все ровно в любых случаях. то бишь, момент с чем-то еще как бы изолирован.

похожая картина была с remote desktop от ms. речь не о керио, вообще.
разрешаешь удаленный рабочий стол. Ставишь разрешения в виндовой стенке на порт. пробуешь зайти - ху..
убираешь правила в стенке и снова их ставишь - и о чудо - заходишь. и ладно бы на одной машине. на многих так. И правила - один в один.
не понимаю я этого, хоть убейте.

dariusii
Я не про последнюю строку, а про крайнюю правую колонку - трафик инспектор.
Возможно (мое предположение) тип трафика не верно определяется-инспектируется "в куче правил".
И снорт выключить на время тестов !
Вариант решения вашей проблемы с керио был только один-внимательно посмотреть журнал debug.
(Без него можно или к "Кашпировскому" или купить себе хрустальный шар).
А RDP,ну возможно Микрософт так заботится о нашей безопасности...

И про ошибку семсот-чего-то http://support.microsoft.com/kb/923944/ru

wwladimir

впн клиент работает, если его интерфейс находится в "других" интерфейсах, а не в довереннных, или интерфейсах интернета.
Посчитал, что этот интерфейс должен жить по правилам, а не где-то там в "других". Отсюда и проблема была.

Надо будет поискать, в каком типе интерфейсов, конкретно, должен жить этот туннельный интерфейс.
В принципе, это по барабану. На стороне сервера фильтрация идет. Разрешены только опр. порты в любую из сторон.
[more]
$IPT -A OUTPUT -p 47 -j ACCEPT
$IPT -A INPUT -p 47 -j ACCEPT
$IPT -N ppp_vpn_f
$IPT -A FORWARD -i ppp+ -j ppp_vpn_f
$IPT -A ppp_vpn_f -i ppp0 -j RETURN
VPNTCP="5900 5901 3389"
for i in $VPNTCP;
do
echo -n "$i "
$IPT -A ppp_vpn_f -p tcp --dport $i -j ACCEPT
done
$IPT -A ppp_vpn_f -p icmp --icmp-type 8 -m state --state NEW -j ACCEPT
$IPT -N ppp_vpn_i
$IPT -A INPUT -i ppp+ -j ppp_vpn_i
$IPT -A ppp_vpn_i -i ppp0 -j RETURN
$IPT -A ppp_vpn_i -p icmp --icmp-type 8 -m state --state NEW -j ACCEPT[/more]

то есть, было бы не плохо показать отладку, но нужно изучить тему с впн. в какую из переменных его класть.
Логично предположить, что в любую из них. все зависит от правил, примененных к ним.

ставлю в зону интернет. туда же, где и внешний интерфейс. в правилах стоит разрешить все (исходящие с хоста, где kerio).
ловлю ошибку 678.
[more][18/Sep/2012 01:14:51] DROP "Default traffic rule" packet from Подключение по локальной сети, proto:UDP, len:78, ip/port:192.168.1.2:137 -> 192.168.1.255:137, udplen:50
[18/Sep/2012 01:16:10] DROP "Default traffic rule" packet from Подключение по локальной сети, proto:UDP, len:78, ip/port:192.168.1.2:137 -> 192.168.1.255:137, udplen:50
[18/Sep/2012 01:16:11] DROP "Default traffic rule" packet from Подключение по локальной сети, proto:UDP, len:78, ip/port:192.168.1.2:137 -> 192.168.1.255:137, udplen:50
[18/Sep/2012 01:16:12] DROP "Default traffic rule" packet from Подключение по локальной сети, proto:UDP, len:78, ip/port:192.168.1.2:137 -> 192.168.1.255:137, udplen:50[/more]

dariusii
в случае картинки, в "интернет интерфейсах" ему делать нечего вообще.
Так же, выложи сюда роуте принт и ипконфиг /алл с сервака где контролм, с включенным контролом и с поднятым туннелем.

и включи ты уже отладочное протоколирование дропнутых пакетов, через протокол debug.

Установил Kerio WinRoute Firewall 6.7.1 Patch 2 Build 6544. Подкинул CFG файлы из версии кажется 6.1 или 6.2

Все работает, но не отображает мои списки ЗАПРЕЩЕННЫЕ СЛОВА, хотя правила этих слов работают.
Подскажите как их заставить снова отображаться.

Заранее спасибо

Опять вопрос по совместимости сайта (IIS) и Керио.
Сайт запущен на той же машине, что и Керио.

Если сначала запустить Керио, сайт не стартует, т.к. Керио занял порт 443.

Если запустить сначала сайт, то Керио выдаёт ошибку
Failed to start service "SSL-VPN" bound to address 192.168.0.199
И так по всем другим адресам,подключенным к машине с Керио.

А чтобы Софос обновлялся нужен именно порт 443 на локальной машине.

Что делать?

Tihon_one

С радостью бы, но сейчас пытаюсь помочь человеку с kerio и iptv. какие-то проблемс с широковещалкой, но еще не до конца понял, какие именно.

http://forum.2kom.ru/viewtopic.php?f=27&t=22092

fhorse
а зачем тебе ssl-vpn ты его используешь? даже если используешь, перевесь его на 444 порт и всё, в чём проблема-то?

dariusii
по ссылке человек правильно отписался, если для дома то зачем керио? он не работает с мультикастом нормально.

Tihon_one
да, на самом деле, вся идея - это обойтись без железного роутера была
То есть, не совсем иметь один комп. два. один срвером. второй десктопом. Ну, десктоп и так apple. Что бы на сервере была файлопомойка, торрент клиент и проче. отделение мух от котлет. роутер ( как отд. коробка) в связке с nas как-то не вкусно что ли.
раздача wi-fi, с dhcp.
то, как это делается штатными средствами винды (раб. станция), не понравилось. псевдо-dhcp их тупит часто.
блин. у керио свои замуты.
значит, не зря перетащил машинку под Linux Gentoo. Можно было бы и freebsd, но с zfs знаком слабо, а lvm2 знаю хорошо. нужно для снимков fs иногда.

ну, а тому человеку и не знаю, чем помочь. У него один компьютер. Пусть берет роутер.

Tihon_one


Цитата:

а зачем тебе ssl-vpn ты его используешь? даже если используешь, перевесь его на 444 порт и всё, в чём проблема-то?

Да, не использую я VPN. Сейчас отключил VPN сервер в разделе Интерфейсы.
А ошибки продолжают сыпаться.
[18/Sep/2012 16:18:05] Failed to start service "SSL-VPN" bound to address 192.168.0.1.
[18/Sep/2012 16:18:05] (10013) Socket error: Unable to bind socket for service to port 443.

Может, этот порт ещё для чего-то используется?
Где искать?

нашел ему.
http://forum.ru-board.com/topic.cgi?action=addbookmark&forum=8&topic=29601

работает.

fhorse
ну ты хоть доку почитал бы, ssl-vpn отключается в дополнительных параметрах, и это НЕ тоже самое что VPN сервер в интерфейсах.

Tihon_one
Понял, спасибо. Ошибка пропала.

Сейчас там другая пляска.
Socket error: Unable to bind socket for service to port 67
По гуглу - это конфликт с дхцп сервером windows)))
бл. откуда на десктопе вин сервер дхцп.

dariusii
вместо гугла выполни команду

netstat -ano | find ":67"

результатом команды будет строка с PID процесса, который держит этот порт занятым, делаешь затем так:

tasklist | find "PID" (где PID это тот самый номер)

и видишь имя процесса, дальше работаешь по обстановке.

подскажите как кто настраивал для автоматической авторизации в AD , чтбы ввода логина пароля не было , kerio к AD цепляю все нормально пользователей видит , разрешаю доступ только , авторизированным пользователям , инета нет , выкидывает да страницу авторизации...

Здравствуйте, ставил керио контрол на ХР, настроил одну сетевуху на инет, другую на локалку, добавил пользователей, по Нату стало все летать, в статистике пользователи отображаются. Переустановил винду на вин7 х64 поставил клиент х64, и портировал настройки со старой установки, и в ручную прописывал. Инет на самом сервере еле работает и у пользователей, в статистике пользователей нет, в статистике всё в неопознаный трафик записывает. В чем проблема может быть?

Цитата:

Помогите советом пжлста:
было = стоял КВФ 6,7,1 (NAT) исключительно чтобы распределять скорость по каналам и хостам (несколько подсетей)
стало = после бед-блок-офф-хдд настроил ККонтрол 7,3,1(4142) и теперь не могу распределить скорости и каналы и подсети, ток мал-мал распределил по % занятости канала.

То есть требуется:
1) настроить различные скорости по 3м подсетям (ну допустим мой пров, моя страна, ру + уа)
2) дополнительно порезать скорость п2п (а не просто запретить)
3) ограничить по скорости загрузку больших данных (не из этих 3х подсетей) динамически - те чтобы скорость по мере скачивания снижалась
// тк пров предостявляет различную скорость для разных подсетей
итого надо - органичение ширины пропускания + группы ип-адресов = скорость как?
------------
или в новом КК уже по возможностям кое-чего не будет?

зы
ТИ 2й не предлагать, тк там все умею - трубуется и на самом сервере контролировать скорость и прочее

Цитата:

[/q][q]Вы в шейпер заходили?, там есть что вам нужно

помогите старичку скриншотом хотя бы с одним правилом (ипы, скорость ...)

xRunGer
Этого будет достаточно ?