any - Интерфейс Internet - Разрешить - Сервис RDP (3389 порт)
для сервиса порт можно назначить любой
для сервиса порт можно назначить любой
» Kerio Control (ex Kerio WinRoute Firewall)
coder666
Цитата:
Это будет, как пускать в инет, через интернет интерфейс, наружу, любые пакеты, откуда бы они не прищли.
ну, по словам Starshark2007 это именно так.
Да и в реале получим следующее:
DROP "Default traffic rule" packet from Подключение по локальной сети, proto:TCP, len:64, ip/port:86.19.204.182:56200 -> 103.0.32.101:3389, flags: SYN , seq:2476218697 ack:0, win:65535, tcplen:0
Я уже говорил про это, несколькими постами.
Поэтому-то и был простой вопрос. Епеова логика работы программы. Я такой логики не видел ни в одной стенке. От iptables до pf.
Короче. Кто знает pf, поймет, какова стоит задача.
Код: cat /etc/pf.conf
ext_if="tun0"
vpn_if = "ng0"
ext_local="rl0"
int_if="{ nfe0, ral0, wlan0 }"
icmp_types="{ echoreq, unreach}"
trusted_lan="{ 192.168.1.0/24, 192.168.2.0/24 }"
untrusted_lan="10.0.0.0/8"
localnet="127.0.0.0/8"
tcp_services="{ ssh }"
set block-policy return
set skip on lo0
set skip on $int_if
scrub in all
nat on $ext_if from $trusted_lan to any -> ($ext_if)
nat on $ext_local from $trusted_lan to any -> ($ext_local)
antispoof quick for ($ext_if)
antispoof quick for ($ext_local)
block all
table <sshguard> persist
block in quick proto tcp from <sshguard> to any label "ssh bruteforce"
pass out on $ext_if from ($ext_if) to any
pass out on $ext_if from $trusted_lan to any
pass out on $ext_local from ($ext_local) to any
pass out on $ext_local from $trusted_lan to any
pass log inet proto icmp all icmp-type $icmp_types
pass in on $vpn_if proto tcp from any to ($vpn_if) port $tcp_services flags S/SA
Цитата:
any - Интерфейс Internet - Разрешить - Сервис RDP (3389 порт)
для сервиса порт можно назначить любой
Это будет, как пускать в инет, через интернет интерфейс, наружу, любые пакеты, откуда бы они не прищли.
ну, по словам Starshark2007 это именно так.
Да и в реале получим следующее:
DROP "Default traffic rule" packet from Подключение по локальной сети, proto:TCP, len:64, ip/port:86.19.204.182:56200 -> 103.0.32.101:3389, flags: SYN , seq:2476218697 ack:0, win:65535, tcplen:0
Я уже говорил про это, несколькими постами.
Поэтому-то и был простой вопрос. Епеова логика работы программы. Я такой логики не видел ни в одной стенке. От iptables до pf.
Короче. Кто знает pf, поймет, какова стоит задача.
Код: cat /etc/pf.conf
ext_if="tun0"
vpn_if = "ng0"
ext_local="rl0"
int_if="{ nfe0, ral0, wlan0 }"
icmp_types="{ echoreq, unreach}"
trusted_lan="{ 192.168.1.0/24, 192.168.2.0/24 }"
untrusted_lan="10.0.0.0/8"
localnet="127.0.0.0/8"
tcp_services="{ ssh }"
set block-policy return
set skip on lo0
set skip on $int_if
scrub in all
nat on $ext_if from $trusted_lan to any -> ($ext_if)
nat on $ext_local from $trusted_lan to any -> ($ext_local)
antispoof quick for ($ext_if)
antispoof quick for ($ext_local)
block all
table <sshguard> persist
block in quick proto tcp from <sshguard> to any label "ssh bruteforce"
pass out on $ext_if from ($ext_if) to any
pass out on $ext_if from $trusted_lan to any
pass out on $ext_local from ($ext_local) to any
pass out on $ext_local from $trusted_lan to any
pass log inet proto icmp all icmp-type $icmp_types
pass in on $vpn_if proto tcp from any to ($vpn_if) port $tcp_services flags S/SA
Ну а как насчет оформить сие двумя правилами?
Например:
1. Local интерфейс - Internet интерфейс - сервис RDP - Запретить
(запрещаем компам локальной сети выходить наружу по сервису RDP)
2. Any - Internet интерфейс - сервис RDP - Разрешить
(разрешаем всем кроме запрещенных первым правилом входить на сервер по RDP)
Например:
1. Local интерфейс - Internet интерфейс - сервис RDP - Запретить
(запрещаем компам локальной сети выходить наружу по сервису RDP)
2. Any - Internet интерфейс - сервис RDP - Разрешить
(разрешаем всем кроме запрещенных первым правилом входить на сервер по RDP)
Что вы чудите?
dariusii
Цитата:
Цитата:
Логика простейшая:
откуда (из интернет-интерфейса) - куда (firewall - т.к. назначение пакетов - это адрес стенки) - что (rdp или любой свободный порт) - разрешить - MAP (трансляция на нужный хост:порт)
у меня:
если нужно, что бы VPN клиенты имели доступ к РДП, а не любой извне - немного по-другому
VPN клиенты керио уже натятся, так что никаких мапов не нужно. достаточно разрешения трафика между VPN клиентами и локальной сетью (и наоборот)
тогда подключенному VPN-клиенту достаточно указать адрес рдп-сервера (внутренний, локальный) и порт (если на сервере рдп он не стандартный)
dariusii
Цитата:
ок. покажите, пожалуйста, правило, что бы на внешнюю карточку из мира можно было бы зайти только по опр. порту.
Цитата:
Епеова логика работы программы.
Логика простейшая:
откуда (из интернет-интерфейса) - куда (firewall - т.к. назначение пакетов - это адрес стенки) - что (rdp или любой свободный порт) - разрешить - MAP (трансляция на нужный хост:порт)
у меня:
если нужно, что бы VPN клиенты имели доступ к РДП, а не любой извне - немного по-другому
VPN клиенты керио уже натятся, так что никаких мапов не нужно. достаточно разрешения трафика между VPN клиентами и локальной сетью (и наоборот)
тогда подключенному VPN-клиенту достаточно указать адрес рдп-сервера (внутренний, локальный) и порт (если на сервере рдп он не стандартный)
dariusii
я вот не знаток pf ты задачу давай ка опиши красиво, чтобы тебя могли понять другие люди. от куда куда и что конкретно надо разрешить, а главное для чего.
xRunGer
твои задачи можно решить следующим образом*
1)настроить различные скорости по 3м подсетям (ну допустим мой пров, моя страна, ру + уа)
это что значит, тебе надо определить пропускную способность при доступе к каким-то внешним ресурсам или для каких внутренних хостов, если первое то делаешь три правила трафика каждое соответствует конкретно "подсети" из твоей хотелки, затем в правилах управления полосой делаешь три правила в типе трафика указывая привязку соответствующего правила СУПП правилу трафика KControl. если второе, то примерно так же меняется только "источник" в правилах трафика
2)дополнительно порезать скорость п2п (а не просто запретить)
делаешь правило СУПП для типа трафика p2p и ставишь ограничение какие нужны
3)ограничить по скорости загрузку больших данных (не из этих 3х подсетей) динамически - те чтобы скорость по мере скачивания снижалась
это возможно только статически, за "передачу большого объёма данных" принимается 200кб переданые в течении 5 секунд, эти значения можно изменять только напрямую в конфиге, параметры:
LDTThreshold и LDTTimeout соответственно, короче это не тоже самое что ты предполагаешь, т.е. клиент может скачать в итоге 2 гига.
!Так же надо понимать что правила СУПП применяются к трафику только один раз, т.е. если трафик начал "ограничиваться" как p2p трафик то ограничение по правилу трафика или по данным большого объёма на него уже не накладываются, так что надо шевелить мозгами и подбирать очерёдность правил СУПП под себя индивидуально(правила обрабатываются как и всегда сверху-вниз)
*правила управления полосой пропускания работают ТОЛЬКО для NAT
я вот не знаток pf ты задачу давай ка опиши красиво, чтобы тебя могли понять другие люди. от куда куда и что конкретно надо разрешить, а главное для чего.
xRunGer
твои задачи можно решить следующим образом*
1)настроить различные скорости по 3м подсетям (ну допустим мой пров, моя страна, ру + уа)
это что значит, тебе надо определить пропускную способность при доступе к каким-то внешним ресурсам или для каких внутренних хостов, если первое то делаешь три правила трафика каждое соответствует конкретно "подсети" из твоей хотелки, затем в правилах управления полосой делаешь три правила в типе трафика указывая привязку соответствующего правила СУПП правилу трафика KControl. если второе, то примерно так же меняется только "источник" в правилах трафика
2)дополнительно порезать скорость п2п (а не просто запретить)
делаешь правило СУПП для типа трафика p2p и ставишь ограничение какие нужны
3)ограничить по скорости загрузку больших данных (не из этих 3х подсетей) динамически - те чтобы скорость по мере скачивания снижалась
это возможно только статически, за "передачу большого объёма данных" принимается 200кб переданые в течении 5 секунд, эти значения можно изменять только напрямую в конфиге, параметры:
LDTThreshold и LDTTimeout соответственно, короче это не тоже самое что ты предполагаешь, т.е. клиент может скачать в итоге 2 гига.
!Так же надо понимать что правила СУПП применяются к трафику только один раз, т.е. если трафик начал "ограничиваться" как p2p трафик то ограничение по правилу трафика или по данным большого объёма на него уже не накладываются, так что надо шевелить мозгами и подбирать очерёдность правил СУПП под себя индивидуально(правила обрабатываются как и всегда сверху-вниз)
*правила управления полосой пропускания работают ТОЛЬКО для NAT
Tihon_one
Цитата:
Я изучил pf за пол дня. Kerio я изучаю пятый год. Видимо, керио круче, раз к нему сложнее подступиться.
dariusii
Цитата:
я ее и так и сяк уже обрисовал.
progmike
Цитата:
такой задачи не стояло и я это написал.
полагаю, что нужно сделать вот как:
"vpn интерфейс" <> firewall <> "rdp" <> allow
ну, вот и разобрались. сейчас попробую.
Добавлено:
объяснять скринами ситуацию - жесть.
почти как у Алксниса.
Только, прошу не показыаать текстовые варианты конфигов керио. меня его и такого уже хватило.
сорри.
снова начались проблемы с самим vpn клиентом. 769 ошибка.
отключил, включил керио - ошибка пропала. Но, это хорошо, я рядом с компом, где керио.
Цитата:
я вот не знаток pf ты задачу давай ка опиши красиво, чтобы тебя могли понять другие люди. от куда куда и что конкретно надо разрешить, а главное для чего.
Я изучил pf за пол дня. Kerio я изучаю пятый год. Видимо, керио круче, раз к нему сложнее подступиться.
dariusii
Цитата:
идея - пустить пакетусы на порт 3389 vpn клиента онли. пустить на порт 3389 пакеты, но только на опр. интерфейс.
я ее и так и сяк уже обрисовал.
progmike
Цитата:
Логика простейшая:
откуда (из интернет-интерфейса) - куда (firewall - т.к. назначение пакетов - это адрес стенки) - что (rdp или любой свободный порт) - разрешить - MAP (трансляция на нужный хост:порт)
такой задачи не стояло и я это написал.
полагаю, что нужно сделать вот как:
"vpn интерфейс" <> firewall <> "rdp" <> allow
ну, вот и разобрались. сейчас попробую.
Добавлено:
объяснять скринами ситуацию - жесть.
почти как у Алксниса.
Только, прошу не показыаать текстовые варианты конфигов керио. меня его и такого уже хватило.
сорри.
снова начались проблемы с самим vpn клиентом. 769 ошибка.
отключил, включил керио - ошибка пропала. Но, это хорошо, я рядом с компом, где керио.
dariusii
ты можешь писать нормально, без всяких там пакетусов и т.п., что значит пустить пакеты только на VPN клиента? какого? зачем? этот клиент в качестве шлюза по умолчанию использует KControl, если не, то не надо пинать на кривость продукта, а лишь на нехватку знаний по маршрутизации.
напиши таким образом, извини просто тебя понять крайне сложно, вернее то, что ты пишешь,
задача:
разрешить "то-то", проходить от "туда-то" "туда-то", для решения "того-то".
то что в кавычках замени своими данными. и допиши ровным текстом желаемые нюансы.
ты можешь писать нормально, без всяких там пакетусов и т.п., что значит пустить пакеты только на VPN клиента? какого? зачем? этот клиент в качестве шлюза по умолчанию использует KControl, если не, то не надо пинать на кривость продукта, а лишь на нехватку знаний по маршрутизации.
напиши таким образом, извини просто тебя понять крайне сложно, вернее то, что ты пишешь,
задача:
разрешить "то-то", проходить от "туда-то" "туда-то", для решения "того-то".
то что в кавычках замени своими данными. и допиши ровным текстом желаемые нюансы.
Tihon_one
1. Разрешить впн клиенту, который был создан визардом винды, ходить в инет, на сервер впн. Оно, как бы работает (убрал впн интерфейс клиента из "интернет" и "доверенно-локальных" интерфейсов), но иногда тупит с ошибкой 769.
Все, у кого хардверный роутер (или попросту штатная стенка винды), такой ошибки не получают. Проблема появляется не всегда и на машине с kerio, но имеется лишь на машине с керио. Экземпляров, где стоит керио - несколько. в разных местах "города".
2. Вторую задачу я как бы уже решил.
Разрешить ходить на компьютер с керио, на 3389 порт, но только через vpn интерфейс.
Что бы нельзя было зайти по 3389 порту, просто нарисовав в настройках rdc ип адрес внешней сетевой карточки, а лишь подключившись по впн и нарисовав ип интерфейса клиента впн, где керио. Проще некуда.
1. Разрешить впн клиенту, который был создан визардом винды, ходить в инет, на сервер впн. Оно, как бы работает (убрал впн интерфейс клиента из "интернет" и "доверенно-локальных" интерфейсов), но иногда тупит с ошибкой 769.
Все, у кого хардверный роутер (или попросту штатная стенка винды), такой ошибки не получают. Проблема появляется не всегда и на машине с kerio, но имеется лишь на машине с керио. Экземпляров, где стоит керио - несколько. в разных местах "города".
2. Вторую задачу я как бы уже решил.
Разрешить ходить на компьютер с керио, на 3389 порт, но только через vpn интерфейс.
Что бы нельзя было зайти по 3389 порту, просто нарисовав в настройках rdc ип адрес внешней сетевой карточки, а лишь подключившись по впн и нарисовав ип интерфейса клиента впн, где керио. Проще некуда.
Цитата:
Разрешить впн клиенту, который был создан визардом винды
какой протокол?
так у тебя проблема с поднятием тоннеля или с разрешением трафика внутрь тоннеля?
Если первое, какое правило создал для разрешения установления связи от брандмауэра на vpn сервер? Если второе, то правило должно включать в себя, в случае только односторонней связи источник_мсэ: назначение_удалённый vpn сервер, службы, разрешить, в случае двусторонней связи источник и назначение будут включать в себя и мсэ и ip vpn сервера.
ошибка 769 - нет связи с удалённой точкой
показывай какие правила создал для того, чтобы разрешить установление тоннеля.
2)
источник_любой(из локалки всё равно не смогут подключиться, ведь ты убрал vpn интерфейс и из интернет группы и из доверенных\локальных)
назначение_IP этого интерфейса
служба_RDP
действие_разрешить
всё, всё остальное, если у тебя НЕТ правил, где в назначение стоит "ЛЮБОЙ", будет дропаться правилом по умолчанию.
Еще такой вопрос.
если вывести этот самый керио из строя. флудом, или еще чем - что будет с защитой. захлопнется интерфейс и вообще ничего не пропустит, или же все станет нараспашку.
Спасибо.
если вывести этот самый керио из строя. флудом, или еще чем - что будет с защитой. захлопнется интерфейс и вообще ничего не пропустит, или же все станет нараспашку.
Спасибо.
dariusii
Цитата:
Вы знаете, ветка-то по продукту Kerio Control....
У него (продукта этого) понятие "впн клиент" имеет собственное значение и состоит из сервера впн, встроенного в Kerio Control и впн-клиента Kerio VPN Client
Только после Вашего последнего сообщения стало понятно, что "впн клиент" во всех Ваших постах-вопросах имеет совсем другое значение.
Соответственно, и советы будут другие )))
Если я все правильно понял, принимаем:
1. локальная сеть провайдера без выхода в интернет + локальные ресурсы. интерфейс с серым адресом, например, 10.0.0.2/24 - интерфейс "prov"
2. впн-подключение провайдера (например, pptp) на адрес сервера впн 10.0.0.254 - "pptp"
3. локальная сеть с адресами 192.168.0.1/24 - "local"
Интерфейсы распределяются следующим образом:
Интернет-интерфейсы: pptp
Локальные/доверенные: local
Другие: prov
Нужно сделать:
1. правило трафика на самый верх:
firewall - 10.0.0.254 - pptp - разрешить
2. правила для выхода в интернет:
firewall - Интернет - any - разрешить
local - Интернет - any - разрешить - NAT
3. правила для доступа к локальным ресурсам провайдера:
firewall - prov - any - разрешить
local - prov - any - разрешить - NAT
4. правила для доступа из интернета к локальным ресурсам
pptp - firewall - service(rdp) - разрешить - map local.server:port
(список сервисов any меняем по своему усмотрению)
всё!
Если я что-то все же не правильно понял (например, pptp на самом деле подключение к удаленной корпоративной сети, а не провайдерской) - описывайте ситуацию полнее.
Цитата:
азрешить впн клиенту, который был создан визардом винды
Вы знаете, ветка-то по продукту Kerio Control....
У него (продукта этого) понятие "впн клиент" имеет собственное значение и состоит из сервера впн, встроенного в Kerio Control и впн-клиента Kerio VPN Client
Только после Вашего последнего сообщения стало понятно, что "впн клиент" во всех Ваших постах-вопросах имеет совсем другое значение.
Соответственно, и советы будут другие )))
Если я все правильно понял, принимаем:
1. локальная сеть провайдера без выхода в интернет + локальные ресурсы. интерфейс с серым адресом, например, 10.0.0.2/24 - интерфейс "prov"
2. впн-подключение провайдера (например, pptp) на адрес сервера впн 10.0.0.254 - "pptp"
3. локальная сеть с адресами 192.168.0.1/24 - "local"
Интерфейсы распределяются следующим образом:
Интернет-интерфейсы: pptp
Локальные/доверенные: local
Другие: prov
Нужно сделать:
1. правило трафика на самый верх:
firewall - 10.0.0.254 - pptp - разрешить
2. правила для выхода в интернет:
firewall - Интернет - any - разрешить
local - Интернет - any - разрешить - NAT
3. правила для доступа к локальным ресурсам провайдера:
firewall - prov - any - разрешить
local - prov - any - разрешить - NAT
4. правила для доступа из интернета к локальным ресурсам
pptp - firewall - service(rdp) - разрешить - map local.server:port
(список сервисов any меняем по своему усмотрению)
всё!
Если я что-то все же не правильно понял (например, pptp на самом деле подключение к удаленной корпоративной сети, а не провайдерской) - описывайте ситуацию полнее.
Tihon_one
две темы, вообще-то и я поставил цифры.
у вас у всех - привычка все мешать в кашу?
правила стандартные, как если бы я визардом создал постоянное подключение.
Люди. Умейте читать сообщения до конца и не отрывками. Пожалуйста.
Добавлено:
Цитата:
А как же оно работает в стандартном наборе? без этого правила.
Добавлено:
Цитата:
Да. Тремя страницами выше, я говорил про это. надо было повторить.
Ясное дело, я еще в своем уме, что бы держать впн сервер под виндой, да еще и под керио.
Kerio можно использовать на машинах, когда у клиента нет желания (возможностей) выделять машину для роутера, куда можно было бы поставить Linux, или *BSD, понятное дело.
От керио требуется лишь не мешать нормальной работе и выполнять свои задачи. Просто, нет других решений под виндой (workstation). По вменяемости, керио - самый приближенный к этому слову, а wipfw снова замораживают. ни наттинг, ни поддержку нормальную x64 архитектур в нем так и не дотянули. Да и, в общем-то, винда на это и не рассчитана. Стоит в офисах и выполняет свои задачи, за роутерами. Это и не обсуждается.
две темы, вообще-то и я поставил цифры.
у вас у всех - привычка все мешать в кашу?
правила стандартные, как если бы я визардом создал постоянное подключение.
Люди. Умейте читать сообщения до конца и не отрывками. Пожалуйста.
Добавлено:
Цитата:
firewall - 10.0.0.254 - pptp - разрешить
А как же оно работает в стандартном наборе? без этого правила.
Добавлено:
Цитата:
Только после Вашего последнего сообщения стало понятно, что "впн клиент" во всех Ваших постах-вопросах имеет совсем другое значение.
Да. Тремя страницами выше, я говорил про это. надо было повторить.
Ясное дело, я еще в своем уме, что бы держать впн сервер под виндой, да еще и под керио.
Kerio можно использовать на машинах, когда у клиента нет желания (возможностей) выделять машину для роутера, куда можно было бы поставить Linux, или *BSD, понятное дело.
От керио требуется лишь не мешать нормальной работе и выполнять свои задачи. Просто, нет других решений под виндой (workstation). По вменяемости, керио - самый приближенный к этому слову, а wipfw снова замораживают. ни наттинг, ни поддержку нормальную x64 архитектур в нем так и не дотянули. Да и, в общем-то, винда на это и не рассчитана. Стоит в офисах и выполняет свои задачи, за роутерами. Это и не обсуждается.
dariusii
что не понравилось-то? то что я циферку 1 не поставил?
к сожалению, твои "ранние" посты читать не удобно(я же не получаю з\п за то, что тебе пытаюсь помочь, так что законно просить взаимного уважения к себе, хотя это конечно хорошо всегда, вне зависимости от денег), касаемо стандартных правил, если так, то я их знаю, а ведь есть те кто этим мастером никогда не пользовались(возвращаемся к вопросу об уважении, всех кто может прочитать сообщения). Следовательно, т.к. ты вынесь интерфейс "vpn" и из группы интернет и доверенные значит что этот интерфейс не фигурирует ни в одно правиле созданном мастером, от сюда вопрос, вы будете отвечать на поставленные вам уточняющие вопросы, или так и будем говорить что вас никто не слушает?
Короче что надо, всё таки скрин интерфейсов и правил трафика, это по любому, отмазки рассчитываются как отказ от помощи и посылом куда подальше. Затем всё таки ответ на уточняющие вопросы:
"какой протокол vpn используется в описываемом "клиенте"* "
*это не клиент это лишь ras подключение?
"так у тебя проблема с поднятием тоннеля или с разрешением трафика внутрь тоннеля?"
И по второму пункту, правило подошло? Хотя чего спрашивать, это рабочий вариант не ты первый интересуешься как это можно сделать.
Пожалуйста.
что не понравилось-то? то что я циферку 1 не поставил?
к сожалению, твои "ранние" посты читать не удобно(я же не получаю з\п за то, что тебе пытаюсь помочь, так что законно просить взаимного уважения к себе, хотя это конечно хорошо всегда, вне зависимости от денег), касаемо стандартных правил, если так, то я их знаю, а ведь есть те кто этим мастером никогда не пользовались(возвращаемся к вопросу об уважении, всех кто может прочитать сообщения). Следовательно, т.к. ты вынесь интерфейс "vpn" и из группы интернет и доверенные значит что этот интерфейс не фигурирует ни в одно правиле созданном мастером, от сюда вопрос, вы будете отвечать на поставленные вам уточняющие вопросы, или так и будем говорить что вас никто не слушает?
Короче что надо, всё таки скрин интерфейсов и правил трафика, это по любому, отмазки рассчитываются как отказ от помощи и посылом куда подальше. Затем всё таки ответ на уточняющие вопросы:
"какой протокол vpn используется в описываемом "клиенте"* "
*это не клиент это лишь ras подключение?
"так у тебя проблема с поднятием тоннеля или с разрешением трафика внутрь тоннеля?"
И по второму пункту, правило подошло? Хотя чего спрашивать, это рабочий вариант не ты первый интересуешься как это можно сделать.
Пожалуйста.
Tihon_one
Несколькими страницами выше, я выкладывал вам "скриншоты". Проблему мы как бы решили. Попросту, она вылезла вновь.
лог не выкладываю, ибо в данный момент впн подключение происходит без проблем, хоть тресни.
Мне стыдно выкладывать скриншоты, просто.
Давно не обменивался информацией о работе сетевых фильтров, выкладывая "скриншоты". Звучит, даже, для меня это дико, если честно.
Протокол впн?
открываем визард создания соединения впн и ничего не меняем. забиваем лишь адрес впн сервера и вариант - pptp (не l2tp итд). То есть, оставляем все дефолтные методы подключения (безопасность).
при выключенном керио - работает безотказно. с керио - периодами. проверялось в течении месяцев двух трех. каждый день.
Несколькими страницами выше, я выкладывал вам "скриншоты". Проблему мы как бы решили. Попросту, она вылезла вновь.
лог не выкладываю, ибо в данный момент впн подключение происходит без проблем, хоть тресни.
Мне стыдно выкладывать скриншоты, просто.
Давно не обменивался информацией о работе сетевых фильтров, выкладывая "скриншоты". Звучит, даже, для меня это дико, если честно.
Протокол впн?
открываем визард создания соединения впн и ничего не меняем. забиваем лишь адрес впн сервера и вариант - pptp (не l2tp итд). То есть, оставляем все дефолтные методы подключения (безопасность).
при выключенном керио - работает безотказно. с керио - периодами. проверялось в течении месяцев двух трех. каждый день.
dariusii
давай только без ложной скромности, если бы мы все были писателями тогда и читать нас было бы приятно, но чаще, проще и информативней(KControl как раз тот случай) будет выложить графические представление описываемой информации.
С правилами всё оукай, кстати, это чисто косметическое замечание, если со стороны интерфейса pptp2 будут пытаться подрубиться к любому другому IP адресу твоего шлюза на 3389, то успешно смогут это сделать, но можешь всё оставить как есть.
Если начнёт появляться ошибка с подключением перейди в протокол debug, щёлкните ПКМ по правой части окна, где отображаются сообщения лога, выберите пункт "очистить протокол", повторно щёлкните ПКМ там же, и выберите пункт "сообщения", в открывшемся окне отметьте пункт filtering\packets dropped for some reason если они дропаются модулями контрола то об этом будет сообщено, если и это ничего не покажет, можно включить сбор пакетного дампа, shift+ПКМ по окну сообщений debug, из контекстного меню\дамп вырожения\any\ok генеришь ошибки подключения затем отключаешь сбор дампа удалением занчения any, дамп ляжет \kerio\winroute firewall\pktdump\log.pkt
давай только без ложной скромности, если бы мы все были писателями тогда и читать нас было бы приятно, но чаще, проще и информативней(KControl как раз тот случай) будет выложить графические представление описываемой информации.
С правилами всё оукай, кстати, это чисто косметическое замечание, если со стороны интерфейса pptp2 будут пытаться подрубиться к любому другому IP адресу твоего шлюза на 3389, то успешно смогут это сделать, но можешь всё оставить как есть.
Если начнёт появляться ошибка с подключением перейди в протокол debug, щёлкните ПКМ по правой части окна, где отображаются сообщения лога, выберите пункт "очистить протокол", повторно щёлкните ПКМ там же, и выберите пункт "сообщения", в открывшемся окне отметьте пункт filtering\packets dropped for some reason если они дропаются модулями контрола то об этом будет сообщено, если и это ничего не покажет, можно включить сбор пакетного дампа, shift+ПКМ по окну сообщений debug, из контекстного меню\дамп вырожения\any\ok генеришь ошибки подключения затем отключаешь сбор дампа удалением занчения any, дамп ляжет \kerio\winroute firewall\pktdump\log.pkt
Tihon_one
Цитата:
да. только как я зайду на керио, находясь в другом городе, когда снова выскочит такой фокус. рубить впн клиента - так его и не будет на сервере подключенным.
ну да ладно.
Спасибо, конечно.
Блин. Такие клиенты обходятся по времени много дороже, чем строить сервер, с нуля. И ладно бы они цену большую представляли, а людям жаль денег на несчастный роутер за 3, 3.5 рубля.
нет. я все понял. еще раз, спасибо. сделаю при случае.
Добавлено:
Цитата:
вот. появилось.
[01/Oct/2012 20:39:41] {pktdrop} packet dropped: Connection limit for host reached (to Подключение по локальной сети, proto:UDP, len:64, ip/port:192.168.1.63:55163 -> 192.168.1.1:53, udplen:36)
такая ругань выскакивает именно в момент подключения впн клиента.
это эксперимент на vmware, где та же картина, иногда.
192.168.1.63 - хост с керио.
192.168.1.1 - с впн сервером.
в настройках впн клиента забит адрес впн, как имя. но по имени пинг проходит удачно.
пока написал это сообщение, попробовал снова подключиться - все прошло без ругани. успешно.
Цитата:
Если начнёт появляться ошибка с подключением перейди в протокол debug, щёлкните ПКМ по правой части окна, где отображаются сообщения лога, выберите пункт "очистить протокол", повторно щёлкните ПКМ там же, и выберите пункт "сообщения", в открывшемся окне отметьте пункт filtering\packets dropped for some reason если они дропаются модулями контрола то об этом будет сообщено, если и это ничего не покажет, можно включить сбор пакетного дампа, shift+ПКМ по окну сообщений debug, из контекстного меню\дамп вырожения\any\ok генеришь ошибки подключения затем отключаешь сбор дампа удалением занчения any, дамп ляжет \kerio\winroute firewall\pktdump\log.pkt
да. только как я зайду на керио, находясь в другом городе, когда снова выскочит такой фокус. рубить впн клиента - так его и не будет на сервере подключенным.
ну да ладно.
Спасибо, конечно.
Блин. Такие клиенты обходятся по времени много дороже, чем строить сервер, с нуля. И ладно бы они цену большую представляли, а людям жаль денег на несчастный роутер за 3, 3.5 рубля.
нет. я все понял. еще раз, спасибо. сделаю при случае.
Добавлено:
Цитата:
Если начнёт появляться ошибка с подключением перейди в протокол debug, щёлкните ПКМ по правой части окна, где отображаются сообщения лога, выберите пункт "очистить протокол", повторно щёлкните ПКМ там же, и выберите пункт "сообщения", в открывшемся окне отметьте пункт filtering\packets dropped for some reason если они дропаются модулями контрола то об этом будет сообщено
вот. появилось.
[01/Oct/2012 20:39:41] {pktdrop} packet dropped: Connection limit for host reached (to Подключение по локальной сети, proto:UDP, len:64, ip/port:192.168.1.63:55163 -> 192.168.1.1:53, udplen:36)
такая ругань выскакивает именно в момент подключения впн клиента.
это эксперимент на vmware, где та же картина, иногда.
192.168.1.63 - хост с керио.
192.168.1.1 - с впн сервером.
в настройках впн клиента забит адрес впн, как имя. но по имени пинг проходит удачно.
пока написал это сообщение, попробовал снова подключиться - все прошло без ругани. успешно.
dariusii
попробуем расшифровать:
[01/Oct/2012 20:39:41] {pktdrop} packet dropped: Connection limit for host reached (to Подключение по локальной сети, proto:UDP, len:64, ip/port:192.168.1.63:55163 -> 192.168.1.1:53, udplen:36)
пакет заблокирован из-за превышения количество допустимых подключений для хоста (настраивается конфигурация\политика трафика\параметры безопасности\вкладка разное\параметр "ограничение подключений")
заблокировался не VPN и ничего связанного с VPN заблокировался доступ от хоста KControl к хосту VPN серверу, а именно к его DNS службе, теперь вопрос, а почему так происходит? А нафига это надо вообще, у твоего VPN сервера разве динамический адрес? - я сомневаюсь в этом, не привязывай себя к ограничениям DNS, в настройках подключения укажи в качестве адреса сервера его IP а не доменное имя, это раз, а два, увеличь или сними полностью ограничение на количество подключений для хоста, в указанном мной ранее пункте конфигурации.
Мне вот так кажется, что после ухода от DNS имени и увеличении\отключении ограничения на количество подключений проблема тебя покинет и ты будешь счастлив
P.S.>>других-то дропов больше нет?
попробуем расшифровать:
[01/Oct/2012 20:39:41] {pktdrop} packet dropped: Connection limit for host reached (to Подключение по локальной сети, proto:UDP, len:64, ip/port:192.168.1.63:55163 -> 192.168.1.1:53, udplen:36)
пакет заблокирован из-за превышения количество допустимых подключений для хоста (настраивается конфигурация\политика трафика\параметры безопасности\вкладка разное\параметр "ограничение подключений")
заблокировался не VPN и ничего связанного с VPN заблокировался доступ от хоста KControl к хосту VPN серверу, а именно к его DNS службе, теперь вопрос, а почему так происходит? А нафига это надо вообще, у твоего VPN сервера разве динамический адрес? - я сомневаюсь в этом, не привязывай себя к ограничениям DNS, в настройках подключения укажи в качестве адреса сервера его IP а не доменное имя, это раз, а два, увеличь или сними полностью ограничение на количество подключений для хоста, в указанном мной ранее пункте конфигурации.
Мне вот так кажется, что после ухода от DNS имени и увеличении\отключении ограничения на количество подключений проблема тебя покинет и ты будешь счастлив
P.S.>>других-то дропов больше нет?
Tihon_one
Ну, мне проще по имени. нет. не вопрос. раз, керио сказал "надо", значит, надо. под машинами с керио, да и с виндой, понятное дело, ответственного ничего нет. Всю жизнь с именами как-то и ничего.
Но тут - да. благо, статика. пусть вендулеты ходят по ип. судьба у них такая))
Цитата:
Если и будут, или появятся, лично я не поеду к таким клиентам во второй раз. пусть разгребают свое нищебродство сами. Нет денег на лишний простенький системный блок, или на роутер, не мое это.
Какое-то время можно вкладываться в решение проблемы, но не вечно.
Ну, мне проще по имени. нет. не вопрос. раз, керио сказал "надо", значит, надо. под машинами с керио, да и с виндой, понятное дело, ответственного ничего нет. Всю жизнь с именами как-то и ничего.
Но тут - да. благо, статика. пусть вендулеты ходят по ип. судьба у них такая))
Цитата:
других-то дропов больше нет?
Если и будут, или появятся, лично я не поеду к таким клиентам во второй раз. пусть разгребают свое нищебродство сами. Нет денег на лишний простенький системный блок, или на роутер, не мое это.
Какое-то время можно вкладываться в решение проблемы, но не вечно.
Как создать маску для исходящих подключений, что бы распределить рандомно на два сетевых интерфейса. Типа четные-нечетные. Компьютер один, с керио.
Добавлено:
Или может быть появился способ распределения в зависимости от приложения, процесса?
Добавлено:
Или может быть появился способ распределения в зависимости от приложения, процесса?
Иногда пропадают сообщения!!! Что-то странное происходит с Керио! Пользователь создает в Outlookе сообщение, отправляет. Исходящие, отправка удачная и сообщение переходит в Отправленные. Получатель не получает сообщение. Думаю по не понятной причине керио удаляет его. Протокол инспектор отключен как на POP, так и на SMTP. Где еще смотреть?
webfilter
Смените ник-и сообщения пропадать не будут...
А POP3 то зачем, Вы по этому протоколу отправляете? Научите.
Серьезно-создайте отдельное правило для SMTP, включите "регистрация пакетов" и смотрите.
Если этого не хватит - в журнал debug-по правой кнопке мыши - птицу на дропнутые пакеты (можно еще антивирус и SMTP)-наблюдайте и делайте выводы.
Но мой "хрустальный шар" подсказывает-Керио здесь не причем...
Руками сделайте http://technet.microsoft.com/ru-ru/library/bb123686.aspx
Смените ник-и сообщения пропадать не будут...
А POP3 то зачем, Вы по этому протоколу отправляете? Научите.
Серьезно-создайте отдельное правило для SMTP, включите "регистрация пакетов" и смотрите.
Если этого не хватит - в журнал debug-по правой кнопке мыши - птицу на дропнутые пакеты (можно еще антивирус и SMTP)-наблюдайте и делайте выводы.
Но мой "хрустальный шар" подсказывает-Керио здесь не причем...
Руками сделайте http://technet.microsoft.com/ru-ru/library/bb123686.aspx
wwladimir
Спасибо, конечно за уморительное вступление. Кстати, и вам бы не мешало сменик ник, а то так и заикой можно стать.
Так и не нашел в своем сообщении, где у меня написано, что пользователь отправляет по протоколу POP...
Указание на POP, связано с тем, что одно время не приходили сообщения и после отключения Протокол Инспектора, такая проблема исчезла. Надеюсь это вы и без меня знаете, просто аналогия с SMTP.
Встроеннго антивируса нет. За ссылку спасибо, но телнет всегда под рукой, а Ваш хрустальный шар явно лжет, выкиньте его в топку!
Спасибо, конечно за уморительное вступление. Кстати, и вам бы не мешало сменик ник, а то так и заикой можно стать.
Так и не нашел в своем сообщении, где у меня написано, что пользователь отправляет по протоколу POP...
Указание на POP, связано с тем, что одно время не приходили сообщения и после отключения Протокол Инспектора, такая проблема исчезла. Надеюсь это вы и без меня знаете, просто аналогия с SMTP.
Встроеннго антивируса нет. За ссылку спасибо, но телнет всегда под рукой, а Ваш хрустальный шар явно лжет, выкиньте его в топку!
если сообщение не доходит всем - ройте локально...
Если сообщение не доходит только до одного - возможна масса вариантов.
Например Ваш адрес в блек-листе у этого человека
Если сообщение не доходит только до одного - возможна масса вариантов.
Например Ваш адрес в блек-листе у этого человека
Все оказалось гораздо проще: порт 587 TLS.
webfilter
Значит мой шар все-же прав ...
Цитата:
P.S. WW- это я сменить не могу, я Владимир в квадрате от рождения (ну как нынешний президент).
Значит мой шар все-же прав ...
Цитата:
Что-то странное происходит с Керио!
P.S. WW- это я сменить не могу, я Владимир в квадрате от рождения (ну как нынешний президент).
Уважаемый all. Возникла такая проблема. Имею vpn клиентов, подключающихся с использованием kerio client (крайняя версия) к серверу kerio (6.7.1 build 6399). В настройках VPN сервера указал адреса DNS и WINS серверов для использования клиентами. Клиенты подключаются, DNS юзают, всё вроде хорошо. Но, при попытке доступа К клиентам ИЗ сети с сервером керио по имени возникают проблемы: в ДНС они не регистрируются (доменная зона, настроена на безопасные регистрации), а вот в WINS почему не регистрируются мне не понятно. По IP обращаться или прописывать в hosts Не вариант - IP керио выдает на сутки, да и криво это. Как быть?
переезжаем: Kerio Control (ex Kerio WinRoute Firewall)
Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108
Предыдущая тема: Автоматическое удаление папок и файлов старше x дней
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.