» Kerio Control (ex Kerio WinRoute Firewall)

Не получается поднять VPN между Server 2k8R2 (IPsec)+Kerio 7.0.0 и железкой Linksys.
В логах железки: 2010-08-17 12:57:35 IKE[2] Tx >> MM_I1 : 217.65.87.ххх SA
В соединениях керио висит:
Источник Назначение Порт источника Порт назначения Служба Прием Передача
ip_linksys 217.65.87.ххх 500 500 Ike yy кб

ip_linksys - внешний ip железки, 217.65.87.xxx - внешний ip сервера.

Примечательно, что на win2k3 + kerio 6.4.2 с такими же правилами все работает.

Win2k3+ kerio 7.0.0 - аналогично:
Источник Назначение Порт источника Порт назначения Служба Прием Передача
ip_linksys 217.65.87.ххх 500 500 Ike yy кб

Где может быть затык?

Всем привет!
подскажите, как настроить ограничения трафика (количество скачаного и скорость) по ип адресам? и получить статистику по ип адресам, а не общую "неавторизированый пользователь" ?

sergikhack
не сапортит kerio control ipsec шлюзы, у kerio свой собственный протокол для vpn

Alexandrnew
в KWF это возможно только после того, как вы настроите авторизацию пользователей, а она, в свою очередь, уже может быть по ip адресу.

Tihon_one
а подскажите где- я не нашел

Добавлено:
или там надо создать каждого пользователя и прописать ип адрес? если да - то можно ли это сделать пакетом?
у меня более 300 пользователей, на который выделена подсеть в 8 ипов...

Dmi3ii

Цитата:

может покажешь свои настройки? как, что разрешил?

да всё просто:
источник: интернет
назначение: firewall
служба: в моём случае это kerio vpn либо порт радмина
действие: разрешить
ну а на модеме пробрасываю порт на комп с керио
так я получаю доступ к компу с керио, ну а дальше радмином
аналогично и на другом конце


Добавлено:
Alexandrnew

Цитата:

или там надо создать каждого пользователя и прописать ип адрес?

надо

Цитата:

если да - то можно ли это сделать пакетом?

только через AD, по другому никак

Alexandrnew
пользователи работают через терминалки?

пользователи - это распределенная впн сеть (магазины), пк - входят в домен, сами пользователи - локальные на пк, на магазинах от 1 до 3 пк, у каждого магазина - своя подсеть, у пк - статика, вот хочется их по статике и мониторить.

Alexandrnew
а как компы с магазинов на керио выходят? более подробную топологию сети дайте.

Цитата:

это распределенная впн сеть

- по ней и выходят, у магазинов все закрыто, только наша впн сеть (локальная), и видны все наши сервера, через керио - в мир
керио - просто прокся, не впн. и прописан керио в магазинах как прокси

Alexandrnew
тебе скорее всего только web - авторизация подойдёт, но для этого в любом случае придётся учётки в керио создавать
ещё вопрос, у тебя vpn тунели между подсетями или клиет-сервер, если клиент-сервер, то только web-авторизация, если же тунели, то можно по ip-адресам авторизацию

у меня тунели, и надо ип авторизация..
по логину\паролю не подходит

Alexandrnew

Цитата:

в любом случае придётся учётки в керио создавать

автомат не получится

Цитата:

автомат не получится

даже редактированием ini файла?

Добавлено:
отвечу сам себе: все прекрасно делается редактированием .cfg файлов напрямую в kerio connect

Kerio 6.5.2, 2 сетевых интрефейса Inet (к нему adsl modem, который поднимает PPPoE) и Lan. Зарегистрирован dyndns. Но kerio регистрирует в качестве айпи адреса ip сетевого интерфейса Inet а не внешний ип , выданый провайдером. Как решить проблему ? На модеме нет сервиса регистрации dyndns.

Tihon_one
Этому есть документальное подтверждение?

sergikhack

Цитата:

Этому есть документальное подтверждение?

Не только документальное - но и художественное.

как на аплаянсе Kerio Control запустить либо кламав либо софос, но что бі автоматом апдейтилось?

Перерыл инет и форум вопрос следующий

XP3 стоит kerio control 7
две сетевые
inet 10.x.x.x (присвоено dhcp провайдера) (в настройках карточки отключена только "Служба доступ к файлам и принтерам....")
lan 192.168.1.2
настройки керио по умолчанию разрешено все и всем из локалки во внешку

Цель: сделать возможным доступ к расшаренным ресурсам машин находящися в сети провайдера т.е. сетевой карты inet (10.x.x.x) с машины с керио

до установки керио свободно заходил на шары через \\10.х.х.х\шара
после установки все идет только пинг до той машины с шарой
в керио делаю правило эни эни эни эффект 0
перевожу интерфейс инет в "доверенные" тоже 0
останавливаю службу керио = 0
удаляю керио = 0

переустанавливаю винду все ок
ставлю керио а затем удалю керио и все после этого доступ во внеш сеть по \\ закрыт

где рыть?

sergikhack

Цитата:

Не только документальное - но и художественное.

На самом деле немного не так Керио в составе себя, действительно, не имеет средств терминирования IPSec. Но при правильной настройке, IPSec будет работать. На Керио надо пробить нужные порты. У вас же на другом сервере все работает с таким же руле_сетом (как вы пишете). Отсюда вывод - либо неправильно настроены политики IPSec на винде, либо не пробиты дырки в правилах стенки Посмотрите лог IPSec на сервере - может там есть что-то интересное?

а на 7.0.1 1098 есть лекарство у кого?

RemComm
как я понял, вопрос был о дружбе Kerio VPN и IPsec, в режиме тоннеля.

sergikhack

Цитата:

Где может быть затык?

ищи в настройках - Enable IPSec pass-through, это было даже в старых версиях

OMG!!!

sergikhack, прошу простить, совершенно невнимательно прочитал ваш пост, можете не обращать внимание на моё сообщение, я имел ввиду другой режим работы.


А вообще пропуск через себя IPsec работает в Kerio Control.

Tihon_one
Да, там там имелось в виду тунельный режим IPSec между виндой и линксисом.

Valery12
Вот именно в старых было, а сейчас нет.

RemComm
Разрешаю любой трафик между керио и железкой - эффект тотже.

Буду рыть в ipsec. Поидее же от железки приходит запрос по согласование настроек и проверки ключа, а винда в ответ ничего не отправляет.

а можно ли увидеть откуда идет неизвестный трафик?
интерисует не создавать пользователей по ипам, а разрешить всей локалке ограниченый список сайтов, а те кто авторизировался - получают полный доступ к инету.
но хотелось бы видеть статситику с какого ип ""неавторизированый пользователь"" ?

sergikhack
Вопрос, скорее даже, не в керио_контрол, а в винде. Пердыдущая конфигурация у вас была на w2k3, а новая на w2k8 - может есть особенности настройки политик IPSec. Особенно правил и фильтров.

Alexandrnew
Красивых логов в статистике Star, где вместо неавторизованного пользователя будет все подмножество IP адресов, вы не получите. Но можно парсить логи руками - там очень богатые возможности.

Доброго времени суток!
имеется следующяя проблема.
поставил на виртуалку kerio-control-appliance-7.0.0-896-linux
настроил как положено.
Возникла проблема с распознованием DNS имён.
хоть убей не работает, если пинговать по IP какойнить хост из локальной сети ответ есть, еслиже задать имя (например ya.ru) нечего не происходит и выходит ошибка что хоста не существует, проверьте правильность ввода. Торрент по DHT записям тоже работает хорошо.
если поробовать работать через прокси встроенный в керио по порту 3128 выходит ошибка "DNS lookup failed."
Помогите побороть данный недуг!

Цитата:

Но можно парсить логи руками - там очень богатые возможности.

а подробнее можно? чем и как?

Alexandrnew
Ну, вариантов много - можно взять ProxyInspector или Internet Access Monitor - эти штуки чудно могут парсить логи керио и даже в одной из предыдущих частей топика (прямо в шапке) была статья, как это юзать. Более извращенные варианты - брать в руки какой нибудь perl и писать свой парсер. Ну и совсе хардкор - это вариации на тему своей собственной статистики. Это можно - я когда-то пробовал. Ну это так, шуточки.

Самый простой вариант для вас - PI или IAM. Посмотрите на них, а тем временем может будут еще варианты.

2 all
братцы, вот нашел в конфиге (winroute.cfg) вот такие секции:

Код: <list name="WebNameRules">
<listitem>
<variable name="Order">10</variable>
<variable name="Condition">\.(((([a-z]{2})|dni|fed|isa|kids|nsn)\.us)|((nom|gob)\.es)|((art|mil|ngo)\.pl)|(br)|((tm|asso|nom|prd|presse|gouv)\.fr)|([a-z]{2}\.cn)|((me|ltd|mod|nic|nhs|plc|sch|bl)\.uk)|((ad|ed|go|gr|lg|ne)\.jp)|((ac|co|in|go|mi|or|net)\.th))$</variable>
<variable name="Level">3</variable>
</listitem>
<listitem>
<variable name="Order">90</variable>
<variable name="Condition">\.(co|com|gv|gov|or|org|net|edu|ac|biz|info)\.[a-z]{2}$</variable>
<variable name="Level">3</variable>
</listitem>
</list>

<list name="WebSearchRules">
<listitem>
<variable name="Order">10</variable>
<variable name="Condition">^http://((www|search)\.)?(google|msn|yahoo|ask|aol|alltheweb|live)\.[a-z]{2,3}/(((aol/)?search)|results\.aspx|web)\?([^&amp; ]*&amp;)*[qp]=([^&amp; ]*)</variable>
<variable name="SearchIndex">8</variable>
</listitem>
</list>

<list name="WebMultimediaRules">
<listitem>
<variable name="Order">10</variable>
<variable name="Condition">youtube\.com/watch\?v=([0-9a-zA-Z]+)</variable>
<variable name="KeyIndex">1</variable>
</listitem>
<listitem>
<variable name="Order">20</variable>
<variable name="Condition">http://[^/]+/get_video\?(.*&amp;)?video_id=([0-9a-zA-Z]+)</variable>
<variable name="KeyIndex">2</variable>
</listitem>
</list>