» Kerio Control (ex Kerio WinRoute Firewall)

Добрый день,
есть правило перенаправления трафика, для программы работающей как веб-сервер:
идет обращение на определенный порт из интернета Source: Inet ; Destination: Firewoll; Service:TCP 8080 ; Active - MAP 192.168.2.20:8080

возможно ли средствами Керио ограничить количество подключений?
кроме в Advanced Options - Connection Limit ничего нет индивидуально для одного IP сделать?

коллеги))

объясните ситуацию..

подключение к провайдеру черех PPoE, то есть сетевушке провайдера я присвоил 192.168.1.2 добавил PPoE прописал пароль и польза и всё работает.

через время замечаю что появиолсь ещё одно PPoE соединение, подумал что глюк и удалил его

Сейсас захожу и оптяь его вижу, только теперь его не получается разорвать и удалить, хотя в нём нет польза и пароля, и при этом оно в статусе "подключено"
Керио при входе ругается что обнаружено два шлюза, и это не првельно. а откуда оно взялось вообще?

http://www.imghost.in/images/1nfm4qicek9dqkfbb4.jpg

myf

Цитата:

кроме в Advanced Options - Connection Limit ничего нет индивидуально для одного IP сделать?

Нет. - ограничивай на самом 192.168.2.20:8080

terence
Не знаю, откуда оно берется - видимо не все правильно настроено. Но чувствую, что ты еще не раз придешь на этот форум - так как у тебя Nod используется.

NOD тут причём??

не надо тут на НОД)))

Ребята, кто сталкивался с настройкой разрешающего правила пользователю на соединение Cisco Systems VPN Client? У меня нефика не получается
И так имеем:
Пользователь с адресом 192.168.1.3 пытается подрубиться штатным клиентом от Cisco к VPN серверу с адресом 96.33.44.55. На серваке на мир смотрит карта с именем inet и IP внешний у неё 178.78.78.78.
Если создаю правило:
пользователь - inet - любой протокол - разрешить - nat(inet)
соединение проходит
Если создаю правило:
пользователь - 96.33.44.55 - любой протокол - разрешить - nat(inet)
не в какую. При том пакеты буд-то внекуда улетают их нет в логах правила пользователя и нет в логах последнего всеобще запрещающего правила.
Как быть? Где я дурак?

При этом в логах пакетов, при первом варианте правила так:
[12/Aug/2010 14:35:58] PERMIT "Инет офис" packet from local, proto:UDP, len:108, ip/port:192.168.1.3:51779 -> 96.33.44.55:4500, udplen:80
[12/Aug/2010 14:35:58] PERMIT "Инет офис" packet to inet, proto:UDP, len:108, ip/port:192.168.1.3:51779 -> 96.33.44.55:4500, udplen:80
[12/Aug/2010 14:35:58] PERMIT "Инет офис" packet from local, proto:UDP, len:124, ip/port:192.168.1.3:51779 -> 96.33.44.55:4500, udplen:96
[12/Aug/2010 14:35:58] PERMIT "Инет офис" packet to inet, proto:UDP, len:124, ip/port:192.168.1.3:51779 -> 96.33.44.55:4500, udplen:96
[12/Aug/2010 14:35:58] PERMIT "Инет офис" packet from inet, proto:UDP, len:124, ip/port:96.33.44.55:4500 -> 178.78.78.78:61213, udplen:96
[12/Aug/2010 14:35:58] PERMIT "Инет офис" packet to local, proto:UDP, len:124, ip/port:96.33.44.55:4500 -> 192.168.1.3:51779, udplen:96

i81
покажи ipconfig /all и route print машины с керио
а за одно сами правила

local - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : VIA Rhine III Fast Ethernet Adapter
Физический адрес. . . . . . . . . : 00-19-5B-38-0C-93
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.1.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :

inet - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : IC Plus IP100 10/100 Fast Ethernet Adapter
Физический адрес. . . . . . . . . : 00-22-15-D6-58-61
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 178.78.78.78
Маска подсети . . . . . . . . . . : 255.255.255.1
Основной шлюз . . . . . . . . . . : 178.78.78.1
DNS-серверы . . . . . . . . . . . : 195.54.2.1


на Cisco идет по 0.0.0.0 маршруту через inet вообще не совсем понятно зачем? Может более конкретные вопросы

Добавлено:
rd80
забыл добавить, что при варианте №2 пинги на IP Cisco идут. Т.е. правило отрабатывает как таковое. Мне здаётся что есть какая-то спицифика самого Cisco потом и начал пост соответствующими словами...
П.с. я давно с керио работаю. Тупа в правилах накосячить не мог бы...

Думаю понятно, что IP в примере взяты от байды...
Правила за исключением др пользователей и правил КериоВПН сл:
1. Пользователи - Firewall - dns, ftp, http, KerioVPN, ping, RDP - разрешено
2. Пользователи кроме 192.168.1.3 - inet - любой - разрешено - NAT(inet)
3. Пользователь 192.168.1.3 - inet - любой - разрешено - nat(inet) {работает}
3.1. Пользователь 192.168.1.3 - 96.33.44.55 - любой - разрешено - nat(inet) {НЕ работает}
4. Перечень IP внешних - Firewall - Kerio VPN - Разрешено
... правила Kerio VPN

Добавлено:
эх.. Всё таки я где-то накосячил... Счас ради проверки сделал аналогичное правило только вместо Cisco вбил yandex.ru таже история - пинг есть, а в браузере не открывается.
Посему вопрос расширю: как разрешить пользователю выход на конкретный IP

Добавлено:
попробовал ещё раз только теперь с ya.ru и для проверки потом добавил mail.ru оно таки открывается в браузере, но как-то значительно медленее, по сравнению с правилом, когда разрешено все направления т.е. в "Назначении" прописано название сетевого подключения.
Может быть клиент Cisco вылетает по таймауту... Почему та?

terence

Цитата:

не надо тут на НОД)))

Перечитай всю ветку - думаю ты найдешь ответ!!!

Такая проблема помогите!
У меня керио 6.5.2 build 5172 начал глючить когда я клиентов с прокси на нат перевел некоторые станици на клиентах не открывает а на серваке открывает и как только загрузилась она на серваке после этого еще и на клиентах наченает работать что это может быть и как лечить?

i81
покажи ещё route print с клиента,
а так честно говоря хз его знает... в чём причина.
как вариант попробуй проверить на чистом свеже установленном керио с дефолтными настройками, создай правило для cisco и посмотри

xMAILMANx
Это может быть MTU - винда какая на KWF используется? -случайно не серверная?

i81
Создавай правило:
сурс Локал
дест Инет
протокол UDP=500/4500/51779
NAT
PI=none

Поднять это правило в самый верх.

да уже подумал об этом... Есть лицензия, как соберётся весь офис в одну кучу поставлю лицензию и там проверю...
РоутПринт с клиента тоже нечего не даст, до поднятия Cisco VPN всё идёт по нулевому маршруту, через единственно активный интерфейс...
Больше всего меня смущает то, что и HTTP тоже из рук вон плохо работает с аналогичным правилом (писал выше).
Есть вопрос другой. Кто-то пробовал соединять меж собой сервера с керио, когда на них установлены разные версии керио: на одном установлю лицензию последнюю версию Конекта, а на втором ещё Винроут?

Добавлено:

Цитата:

PI=none

а что это такое?

Добавлено:

Цитата:

Создавай правило:
сурс Локал
дест Инет
протокол UDP=500/4500/51779
NAT
PI=none

Неа, не кактит... Правда так и не понятно что значит последняя строка.

Цитата:

а что это такое?

Инспектор протокола

Ребята, мы приближаемся к истине.
Правило, подсказанное уважаемым adjuster работает, но этим правило, я разрешил всем (если в источник указать пользователя) то только ему (это работает) выход мир по трём портам. А вот как же сделать правило, которое разрешит выход пользователя только допустим на mail.ru?
Создаю правило
пользователь - mail.ru - любой - разрешить - nat
майл открывается на процентов 20 и всё и то это очень долго происходит... Инет хороший, если пользователю разрешу просто выход в инет - моментом всё грузится...
Куда копать?

Цитата:

Создаю правило
пользователь - mail.ru - любой - разрешить - nat

лучше через политику http это сделать

делаешь в политике http 2 правила
1. допустим mail.ru: такому-то пользователю разрешить на *mail.ru*
2. допустим block: такому-то пользователю запретить на *
главное что бы порядок был соблюдён и всё mail.ru работает остальное блокируется

i81

Цитата:

А вот как же сделать правило, которое разрешит выход пользователя только допустим на mail.ru?

Читай руководство по аутентификации.

А ТП можешь в Источниках указать IP машин пользователей.

Поправьте ссылочки на мануал для Kerio VPN Client

Правда мне хочется,лишь одно об этой проге узнать - она работает только как VPN клиент и всё ? да,вопрос звучит глупо,учитывая название проги,но если она лишь замена стандартному VPN соединению в винде и если это так,то есть-ли какие-нибудь изменения\улучшения по сравнению со стандартным "средством" windows ?

Цитата:

Поправьте ссылочки на мануал для Kerio VPN Client
 
Правда мне хочется,лишь одно об этой проге узнать - она работает только как VPN клиент и всё ? да,вопрос звучит глупо,учитывая название проги,но если она лишь замена стандартному VPN соединению в винде и если это так,то есть-ли какие-нибудь изменения\улучшения по сравнению со стандартным "средством" windows ?

Есть еще интересная возможность:

Kerio Clientless SSL VPN
Управление папками, скачка и отдача сетевых файлов через веб-браузер.
Создание закладок для доступа к наиболее часто используемых папок.

Вводишь в браузере имя сервера и видишь общие папки. Тот-же проводник, только в браузере и все через VPN.

XINSIDE

Цитата:

Kerio Clientless SSL VPN

Работает только при доменной аутентификации.
Без домена можете даже не пытаться пользоваться этой возможностью.

Цитата:

Работает только при доменной аутентификации.
Без домена можете даже не пытаться пользоваться этой возможностью.

Все знаем. Спрашивали про "изменения\улучшения по сравнению со стандартным "средством" windows ?"

adjuster
Win 2003 на клиентах xp и какое значение MTU надо ставить?

Столкнулся со следующей проблемой при использовании Kerio Control.

На хосте с Kerio имеется два сетевых адаптера. При запуске компьютера (и старте сервиса Kerio), один из сетевых адаптеров находится в дауне - компьютер, подключенный к нему напрямую, поначалу выключен. Затем, после запуска этого компьютера, Kerio продолжает "не видеть" этот сетевой адаптер. На закладке "Интерфейсы" эта карточка помечена выключенной, и для неё не отображаются IP-адрес и маска. Следовательно, трафик этого интерфейса блокирован, пинги со второго компьютера не доходят до хоста с Керио.

Проблема решается только перезапуском сервиса Kerio.

Временно дал указание сначала включать питание (не запускать) второго компьютера, а затем уже запускать хост фаервола. Дежурного питания мат. платы хватает для детектирования подключения.

Скажите, кто-нибудь решал такую проблему без установки между хостами свитча или другого активного оборудования?

Ребята, что я делаю не так?
Интернет есть на серваке, этот сервак должен раздавать интернет в вде локалки, объединенные в мост средствами Windows. Но в локале интернета нет, при этом локальная сеть жива как такова (то есть работают расшаренные папки, сетевые принтеры)
Вот скрины Интерфейсов и ТП





DHCP включен, но при этом не показывает розданных айпишников, а компы в локале пишут, что у них айпи есть (да еще и в правильном диапазоне).

А вообще, проблема началась после неудачного обновления керио с 7.0.0 до 7.0.1 (щас откатил на 7.0.0 в надежде на чудо)

Может я умудрился закольцевать серв? О.о

Кто подскажет, как Kerio Control 7 (LINUX) удаленно ребутить? Или как к нему по SSH подключится?

Кстати, свою проблему я решил отключением роутеров, потому что у них был встроенный DHCP, который, в свою очередь, назначил айпи всем компам и забрал власть у сервака))

Цитата:

Кто подскажет, как Kerio Control 7 (LINUX) удаленно ребутить? Или как к нему по SSH подключится?

Ну это же очевидно: ssh user@192.168.0.1. Имя пользователя и адрес сами вставите. Главное в керио сделайте разрешающее правило для коннекта.
А вообще ваш вопрос никакого отношения к данной теме не имеет.

Доброго дня!
Требуется рулить двумя сетями из дома и офисов. Перевел серваки на динамический днс ([COLOR="Gray"]утилита с сайта dyndns.org, штатными средствами керия не хотела внешний ip брать, привязывала ip роутера к dyndns[/COLOR]). Соответственно разрешил им доступ друг к другу.

Cамое главное правило Adam.dyndns.org Eva.dyndns.org Любая служба Разрешить

Dmi3ii
чё-то не совсем понятно про сети. где они находятся(одна сеть дома - её надо с работы админить, а вторая на работе - её надо с дома админить) или как?
по поводу DynDNS, не знаю как штатный утиль, я подымал его непосредственно на модеме, дальше пробрасывал нужный мне порт на сервак(понятно, что на керио должно быть соот. правило на вход) ну и всё собственно.
с работы админю домашнюю сетку, с дома лажу на работу, всё работает как часы

control и connect на одном сервере
у пользователей ограничение по использованию трафика в интернет.
необходимо правило..
чтобы control не учитывал почтовый траф

rd80, сетей две работа(номер раз) и шабашка(номер два). для началаб их друг с другом подружить. в перспективе хочу еще и из дома доступ получать. заморачиваться с утильками пришлось, т.к. на модемах данный функционал полностью отсутствует , но судя по учетке dyndns.org записи обновляются вовремя.
rd80, может покажешь свои настройки? как, что разрешил?