» Kerio Control (ex Kerio WinRoute Firewall)

rd80
Так мне u не нужен полный доступ. мне просто нужно, чтоб онu пuнговалuсь.
Есть uдеu?

KERIOWINROUTEKILLER
то что ты хочешь, реализовать средствами только kerio vpn клиента нельзя, либо ставь ещё один kwf и подымай vpn тунель между серверами(но как я понял ты этого делать не хочешь), либо как я тебе писал, vpn клиент + radmin(можно radmin поставить только на машину где vpn клиент, а когда попадаешь на неё, сканировать сеть каким-нибудь сетевым сканером, например MyLanViewer, либо другими аналогами).

ну u последнее предположенuе =)
а еслu kwf поставuть не на шлюз, а на локальный комп? Тоже не прокатuт?

KERIOWINROUTEKILLER
не прокатит, что бы прокатили на компах в сети, шлюзом по умолчанию должна быть прописана машина к керио

слухай, а может через хамачu как-то?

хамачи это такой же vpn клиент, только сервер в инете, если проводить по аналогии с kerio vpn клиентом, так это на каждой машине должен стоять vpn клиент подключённый к серваку с керио, что бы они видели друг друга, хамачи как и керио vpn клиент не позволяет видеть сеть за собой

rd80
Спасибо, буду ковыряться, сохранил инфу.

rd80
ну, ладно тогдаю фиг с ним =) В любом случае огромное спасибо за доходчивые ответы.

версия 7
народ в протоколе Web вижу много левых сайтов "Advertisement" которые автоматом вызывает сайт www.bankir.ru .. как резать это?
[29/Jul/2010 06:59:18] 122.244.197.210 ...................
[29/Jul/2010 06:59:38] 122.244.197.210 User43 "Advertisement" http://engine.t.rorer.ru/cgi-bin/iframe/money?keywords=%e1%e0%ed%ff,%e1%e0%ed%ff,%e1%e0%ed%ff,%e1%e0%ed%ff,%ea%f0%e5%e4%e8%f2%fb,%ea%f0%e5%e4%e8%f2%fb,%ea%f0%e5%e4%e8%f2%fb,%ea%ee%f0%ef%ee%f0%e0%f2%e8%e2%ed%fb%e9,%ea%ee%f0%ef%ee%f0%e0%f2%e8%e2%ed%fb%e9,%ea%f3%f0%f1%20%e2%e0%eb%fe%f2&options=N&1163409939&referer=http://www.bankir.ru/news/article/5900456&site_id=148&theme=1&charset=cp1251
[29/Jul/2010 06:59:50] 122.244.197.210 ...................

нечто подобное (резку) видел но не запомнил где.. во втрожениях вроде..

Поставил aplliance, есть вопросы

1. есть ли возможность как-то понять состояние железа сервера(температуры, загрузку процессора, памяти, место на HDD)
2. какое правило сделает доступ к ДНС имени шлюза из локалки, например внешний IP резолвится в mail.sd.com

сейчас если из локально сети набрать mail.sd.com то не попадаем на этот сайт, который смотрит в инет через керио путём проброса порта.

до керио стоял обычнй роутер длинк, который по дефлоту это делал.

и ещё по настройки ДНС, керио на отдельно машине, на нём укзаны ДНС провайдера... на DC стоит ДНС с адресом 192.168.0.3 который ссылается на керио то есть на 192.168.0.1, ну и клиенты все ссылаются на днс сервер то есть на 192.168.0.3

это правельно или не очень? то есть получается что локальны ДНС на контроллере домена обрабатывает не только внутренние запросы, но и запросы на внешние сайты.

terence
образно говоря - пришел запрос, сервер не знает что с ним делать и отсылает на керио - и это правильно

заметил такую штуку.

загнал керио в домен, дал ему имя GW, но почему то пинговаться по имени керио не хотел.
посмотрел в AD свойства компутера с керио, имя было указано GW а вот ДНС имя стояло localhost, ну думаю понятно теперь почему не откликался на GW. создал сам A-запись и всё отлично заработало..

но покоя мысль не давала, почему пришлось запись то делать, почему не автоматически как все компы??

убил запись, вывел из домена, нашёл в настройках керио файл HOSTS где иисправил строчку
127.0.0.1 localhost gw на 127.0.0.1 gw gw.

вуаля, зарегестрировал опять в домене, и керион на GW стала откликатсья...успокоился))))


тут через пару дней решил зайти в статистику...опля - говорит не доступен..хм

начал смотреть логи и увидел много таких вот записей
[01/Aug/2010 13:37:57] (8705:335544721) Firebird DB: Engine Code : 335544721
[01/Aug/2010 13:37:57] (8705:335544721) Firebird DB: Engine Message :
[01/Aug/2010 13:37:57] (8705:335544721) Firebird DB: Unable to complete network request to host "localhost".
[01/Aug/2010 13:37:57] (8705:335544721) Firebird DB: Failed to locate host machine.
[01/Aug/2010 13:37:57] (8705:335544721) Firebird DB: The specified name was not found in the hosts file or Domain Name Services.
[01/Aug/2010 13:37:57] (8705:335544721) Firebird DB:

саруз обратил внимание на "Unable to complete network request to host "localhost"." посмотрел с какого времени начались ошибки..ну всё ясно..

полез обратно в HOSTS поменял всё на место, и полез в статистику..всё заработало!

ну что ж придётся теперь опять создавать А-запись. что бы керио откликался на своё имя)))))

terence

Цитата:

иисправил строчку
127.0.0.1 localhost gw на 127.0.0.1 gw gw.

Тем самым ты KWFу приказал искать базу в на другом интерфейсе - а ему доступ к базе нужен по заглушке 127,0,0,1.

Kerio создает свой собственный виртуальный интерфейс, в котором крутит проходящие через него пакеты и проводит их анализ/выполняет действия согласно правилам и т.д.

народ, как во встроеном нттпс сервеке керио добавить страничку -
мне надо заблокированным пользователям в правилах нттп во вкладке дополнительно
перенаправить на урл?

adjuster
спасибо, чётко и лаконично)))

Цитата:

народ, как во встроеном нттпс сервеке керио добавить страничку -
мне надо заблокированным пользователям в правилах нттп во вкладке дополнительно
перенаправить на урл?

никак, поднимай внутри сети свой вэб-сервер, рисуй там нужные странички и делай перенаправление.

Добавлено:

Цитата:

но покоя мысль не давала, почему пришлось запись то делать, почему не автоматически как все компы??

если ожидался ответ на этот вопрос, то должен быть выполнены ряд правил
правило локальный трафик - первое в списке
на сетевых адаптерах прописан внутренний ДНС
внутренний адаптер должен грузится первым
в настройках внутреннего адаптера должна стоять галка "регистрировать подключение в ДНС"

Народ, у кого-нибудь реализовано в сети работа kerio winroute 6 и запрещение пользователю входить на другие рабочие станции (Machine Logon Restrictions). Скрин для понимания:

кнопка Logon To.

устанавливал там и net-bios имя и dns имя хоста с керио, один фиг не хочет аутентифицировать. Самое странное на контролере в логе безопасности нет попытки. Аудит настроен как надо, с отказами и успехами.

Цитата:

устанавливал там и net-bios имя и dns имя хоста с керио, один фиг не хочет аутентифицировать. Самое странное на контролере в логе безопасности нет попытки. Аудит настроен как надо, с отказами и успехами.

ничего не понял, пользовтель не может локально войти на хост с керио? получает отказ или пароль не принимается?

Valery12
Проблема в том, что пользователь не может авторизоваться на странице аутентификации керио, чтобы пройти в интернеты. Ему выдается сбой аутентификации.

attaattaatta а при чем тут "Logon To" это работает только при интерактивном входе в систему а "страница аутентификации керио" это даже не сетевой вход. Или пользователь вошел локально на хост керио, открыл браузер и там не может авторизоваться?

MagistrAnatol

Цитата:

народ, как во встроеном нттпс сервеке керио добавить страничку -
мне надо заблокированным пользователям в правилах нттп во вкладке дополнительно
перенаправить на урл?

Valery12


Цитата:

никак, поднимай внутри сети свой вэб-сервер, рисуй там нужные странички и делай перенаправление.

Почему же "никак" - еще как Как!! -создаешь PHP страницу в корне и перенаправляешь на нее.

attaattaatta
Под каким пользователем пытаешься зайти? KWF введен в домен? По какой ссылке пытаешья зайти? Есть пользователь привязанный по IP к KWF ???

Вопросов могу кучу задать - ответа в таком случае не получишь - конкретизируй проблему.

Valery12
В том то все и дело =( было подозрение на локальный тип входа, но в логах нет нифига. Куда копать не знаю.


Цитата:

attaattaatta а при чем тут "Logon To" это работает только при интерактивном входе в систему а "страница аутентификации керио" это даже не сетевой вход. Или пользователь вошел локально на хост керио, открыл браузер и там не может авторизоваться?

Локально никто никуда не заходит. Просто со своей машины юзер как всегда пытается залесть в нет.
При том, что при не заданном <Logon to> аутентификация работает, а при выставленном значении, нет. Пробовал копировать учетные записи в локальную базу керио средствами самого керио, таже шарашка.

Цитата:

Почему же "никак" - еще как Как!! -создаешь PHP страницу в корне и перенаправляешь на нее

это проверено, или идея?

adjuster
Пользователь любой, у кого задан параметр AD <Logon to>, KWF естественно является членом домена, ссылки тут не при чем, просто невозвожно начать авторизацию. Я бы конкретизировал, но в логах самого керио, логах клиента и логах контроллеров чисто. Складывается ощущение что kerio по RPC получает отлуп и все. Ничего не пишет и не говорит кроме того, что авторизация не пройдена.
При автоматической авторизации с ip адреса, происходит перенаправление на страницу авторизации =) головоломка. В трафик полиси работает правило all open.

Цитата:

Локально никто никуда не заходит. Просто со своей машины юзер как всегда пытается залесть в нет.
При том, что при не заданном <Logon to> аутентификация работает, а при выставленном значении, нет.

действительно странно, честно говоря не вижу взаимосвязи, у меня "Logon to" не используется но групповыми политиками ограничения на локальный вход раздаются и ничего похожего не наблюдалось.

Добавлено:
attaattaatta
а правило "локальный трафик" первое в списке или нет?

Может кого наведет на мысль, при неправильной паре логин пароль на странице авторизации, в лог security керио идет запись

Цитата:

[03/Aug/2010 11:10:31] Authentication: WebInterface: Client: 192.168.2.204: Invalid password for NT/Kerberos user <юзер>

а в моем случае ничего этого нет. логи чистые.

Добавлено:

Цитата:

а правило "локальный трафик" первое в списке или нет?

Первое после входящих, переставлял, результат такой же.

а операционка у этого пользователя какая? может перегиб с безопасностью и метод POST просто не работает.

Valery12
Тестирую на WindowsXP, не сборка. Post работает, потому как, если отключить logon to, то работает и авторизация по ip, и через web морду.
Как я понимаю, этот параметр не при чем ?

Цитата:

"Сетевая безопасность: уровень проверки подлинности LAN Manager Отправлять только NTLMv2 ответ, отказывать LM и NTLM"

Заметил еще одну интересную багу в керио, если керио авторизовывает пользователя по ip адресу в домене, то после удаления этого пользователя из домена, компьютер продолжает автоматически логинится с этим пользователем. Прям чудеса воскрешения.