» Kerio Control (ex Kerio WinRoute Firewall)

anticoors
Непонятно, какое отношение этот сервер имеет к впн клиентам. Его вообще не должно касаться, что там и куда идет от впн клиентов.
А какое у вас правило на 192.168.0.2 связывающее "Все VPN-клиенты" и "Локальный/Доверенный"?

Romeo_sh

Цитата:

Непонятно, какое отношение этот сервер имеет к впн клиентам. Его вообще не должно касаться, что там и куда идет от впн клиентов.
А какое у вас правило на 192.168.0.2 связывающее "Все VPN-клиенты" и "Локальный/Доверенный"?

172.16.0.4 - VPN-клиент (7.1.0 RC1)
192.168.0.3 - Inet Шлюз kerio (7.0.2) Он и блокирует
192.168.0.2 - VPN server kerio (7.1.0 RC1)
192.168.0.1 - AD DC (2008 R2)
___________
У VPN-клиентов при подключении создается маршрут на 192.168.0.0 через VPN-сервер
У клиента на интерфейсе керио прописан DNS-сервер 192.168.0.1 (он же AD DC) и стоит галка "регистр.DNS"

У VPN-сервера шлюз стоит на Inet-Сервер 192.168.0.3
___________
У AD DC тоже стоит шлюз 192.168.0.3 для выхода в инет.

На Inet Шлюзе в настройках Kerio прописан статичный маршрут на 172.16.0.0 через 192.168.0.2 с самой маленькой метрикой
____________

Отсюда получаются такие трассировки:

VPN-client>tracert dc
Трассировка маршрута к DC.DOMN2.local [192.168.0.1]
1 3 ms 10 ms 2 ms 172.16.0.1
2 4 ms 2 ms 1 ms dc.domn2.local [192.168.0.1]

DC>tracert 172.26.0.4
Трассировка маршрута к vbo3.domn2.local [172.16.0.4]
1 <1 мс * <1 мс inet.domn2.local [192.168.0.3]
2 1 ms * <1 мс vpn.domn2.local [192.168.0.2]
3 3 ms 2 ms 2 ms vbo3.domn2.local [172.26.0.5]
____________

Вот и при попытке зайти в домен возникают такие записи в логе Filter

[24/Nov/2010 15:18:38] DROP unknown ICMP packet to Локальная сеть, proto:ICMP, len:88, ip:192.168.0.3 -> 192.168.0.1, type:5 code:0 (redirect=192.168.0.2 orig: 192.168.0.1 -> 172.16.0.4)
[24/Nov/2010 15:18:42] DROP unknown ICMP packet to Локальная сеть, proto:ICMP, len:88, ip:192.168.0.3 -> 192.168.0.1, type:5 code:0 (redirect=192.168.0.2 orig: 192.168.0.1 -> 172.16.0.4)

Правило Все VPN-клиенты" и "Локальный/Доверенный" разрешено по умолчанию.
Все правила пытался максимально разрешить.


PS: звезды в трассировках постоянно, и это меня смущает

Доброе время суток. Имеется adsl канал для доступа к инету(pppoe соединение)...модем используется бриджем...есть ли возможность в керио увеличить число повторных наборов номера...? Из-за частых обрывов бывает не хватает стандартных 99 повторений, роутером использовать не фонтан постоянно приходятся лазить в настройки и открывать закрывать порты которые нужны для тестов...поэтому поставил бриджом....


P.S. Заранее благодарен.

Romeo_sh
Может и стоит ... только у меня не получается спроектировать правильно - три подразделения со своими выходами в тырнет + общая локалка по ВПН - очень не хочется заморачиваться с дополнительными чилдовыми доменами для каждого подразделения, а проводить авторизацию через общий ВПН канал - чего-то не айс

Evg8000


Цитата:

Клиенты также могут подключаться к серверу, но, при сворачивании клиента подключения, и простое примерно от 30-60 минут (причем это не удается точно выловить, может час работать, а может каждые 20 минут вылетать) происходит отключение, т.е. при разворачивании клиента терминалов на экране черный фон, примерно через 15-20 секунд появляется уже синий фон рабочего стола (без ярлыков и панели задач), еще через секунд 30-40 терминал просто обрывает связь и приходится переподключаться.
Есть идеи, мысли, подсказки ?

В Конфиге керио winroute.cfg поправь строчку

<variable name="DefaultTcpTimeout">40</variable>
выставь нужный параметр







Добавлено:

Цитата:

stoun
Доброе время суток. Возник вопрос такого характера, реально ли заблокировать пользователям канал использования skype и агента mail.ru.... скайп работает вообще не понятно в обход керои....а агент майл использует http протокол(

Skype можно закрыть только через запрет запуска програм
для mail агента просто закрой порт 2041 tcp. Это порт авторизации.

Доброе время суток. Как в керио (7.0.1) создать dial-up соединение в интерефейсах без использования визарда для правил...? Соединение с инетом было раньше чем был поставлен керио....при нажатии добавить интерфейс там( в керио ) есть вариант только vpn соединения....в упор не могу найти как, при попытке сделать визардом ( пере подключение при разрыве пишет что нету Ras соединений) ...в 5й версии помню что было а вот в 7 найти не могу.

P.S. заранее благодарен

Привет участникам обсуждений!

Есть вопрос ко Керио. Он установлен на Windows Server 2003 c Terminal Service и отвечает также за соединение с провайделом через PPPoE.

Проблема заключается в том, что соединение обрывается достаточно регулярно (хотя провайдер и говорит, что у них все ОК), а при обрыве соединения и до его восстановления Керио "опускает стальной экран" и на сервер удаленно зайти невозможно.

Кто-то сталкивался с подобной проблемой перекрытия доступа и решаема ли она?

Спасибо.

Люди добрые, помогите советом как правильно настроить Kerio в такой ситуации:
Есть 2 компьютера, ноут и десктоп. на десктопе 2 сетевые карты. в одну сетевуху приходит интернет от билайна. настройки на этой сетевой все автоматом стоят (интернет работает при помощи впн). во вторую сетевуху воткнут ноут. на ней ип стоият 192.168.1.1, на ноуте 1.2. каким образом сделать так, чтобы ноут тоже мог выходить в интернет? пусть и при работающем десктопе. что-то вожусь вожусь, но чувствую без посторонней помощи никак... еще есть свитч, ну это так, для информации)) между ноутом и компом он воткнут.
(роутер купить никак пока что, хотя понятно что это самый просто способ : )

stoun
Ну так и создавай в винде - в керио они сами подтянутся сразу или после перезапуска

DVader
Все зависит от того как у тебя прописано правило доступа к терминалке и как выглядит правило для локального трафика. Вообще-то из локалки должно быть глубоко фиолетово на обрыв связи с провом - только если ты не перегружаешь при этом сам керио - тада при запуске он рвет все соединения и надо коннектится на терминал заново.
А вообще - я бы не советовал пускать на этот компутер пользователей и тем более - распологать там терминльный сервер

AskTosh
А какие и где там могут быть связанные с этим настройки?


К сожалению все это "тяжелое наследие царского режима" и на новые траты руководство вряд ли пойдет. Конечно иметь в качестве интернет-, файл-, мэйл-, терминал-, АД-сервера одну машину это просто кошмар... но...

AskTosh Проблема в том, что если в винде создано подключение после установки керио, и при выборе связи в ручную в интерфейсах ( Обычная связь с Интернет - Дозвон по запросу), керио не дает возможность контролировать параметры дозвона этого подключения(

DVader
Политики трафика

stoun
Очень интересно, а какая версия керио и какие именно параметры вы хотите менять? - У меня было PPoE соединение на "Дозвон по запросу" и все необходимое можно было менять либо в керио, либо в самих параметрах подключения - не вижу никаких проблем

anticoors
Все ясно. Дело в том, что все машины ил LAN идут на впн-клиентов через инет-сервер - а это лишний крюк и неправильно:

Цитата:

Трассировка маршрута к vbo3.domn2.local [172.16.0.4]
1 <1 мс * <1 мс inet.domn2.local [192.168.0.3]
2 1 ms * <1 мс vpn.domn2.local [192.168.0.2]
3 3 ms 2 ms 2 ms vbo3.domn2.local [172.26.0.5]

И более того, когда вы пингуете с впн что-нибудь в локальной сети, запрос идет напрямую, а эхо пытается идти по длинному пути и керио это не нравится.
Нужно прописать маршрут на все тачки в локальной сети:
на 172.16.0.0 через 192.168.0.2



Добавлено:
AskTosh
Можно и без чилдовых доменов обойтись. У МС все технологии есть - можно один домен сделать и разнести контроллеры по сайтам+UGMC где нужно.

xokkeist77
А вам то керио совсем ни к чему - все равно что микроскопом гвозди забивать! Это все делается стандартными средствами винды - Internet connection sharing (ICS). Посмотрите по форуму, уже вопрос не раз поднимался.

Romeo_sh
Да в том то и дело, что я пытался уже так - не получится. Нельзя сделать это подключение по ВПН общедоступным, потому что нужно изменить айпишник на 192.168.0.1. как только пытаешься сделать с помощью встроенных средств - говорит конфликт ип адресов и все..
а почему я через керио захотел это зарулить - может через прокси все это зарулить.. но пока не получается..

AskTosh керио не дает менять параметры дозвона....а стандартных не хватает...тк бывает в выходные частые обрывы на линии идут и 99 повторов номера не хватает(

Гуру, вопрос такой: есть ли в сей чудесной проге возможность не учитывать детализацию определенных пользователей в статистике? Т.е. - объем трафика пусть считает, а куда ходил и что там делал - нет.
?

AskTosh

просмотрел все правила в Политике трафика, но ничего, что могло бы отвечать за ограничение доступа к серверу в случае обрыва связи с провайдером не нашел.

Можно получить более точное целеуказание? =)

Блин.... Что то я мало спал. Темку осилил, а про то, как под линух его воткнуть так и не понял.

xokkeist77
Сначала нужно включить ICS, а потом поменять ip-адрес обратно.

Kot_RRR
http://www.kerio.ru/ru/control/requirements
Под линух только впн-клиент, увы.

Nthnsq
Есть.
Учет->Исключения->Исключить указанных пользователей

Кто-нить может сказать, почему подключеный хост по VPN Kerio видит и пингует из подсети только некоторые компы? В том числе не пингуется сам контроллер?
Тем с брандмауэром отпадает - уже проверил на своем компе... на него, тоже, пинги не идут.

Добавлено:
трасирование говорит:
вижу шлюз 192.168.10.1
и дальше тишина...

Romeo_sh
Слушай, а ты не мог бы тогда поподробнее рассказать..
я пытаюсь, он мне все равно шибку выдает - типа вы хотите изменить ип адрес, а он должен быть сконфигурирован на автомат.. и т.д. и т.п. может я чего не так делаю?

Johny_x3mal
Возможно на компах, которые не пингуются не прописан шлюз.
Так же попробуйте наоборот, с этих компов протрассировать vpn-клиентов.

Добавлено:
xokkeist77
1. Зайди в свойства интернет-подключения-Дополнительно-Разрешить другим пользователям-после этого выбери в подключении домашней сети свое подключение, которое соединяет два компа. ОК.
2. После этого он на твоем соединении между двумя компами поменяет айпашник и проставит вручную 192,168,0,1. Ты заходишь туда и меняешь на то, как должно быть.
3. На втором компе ставишь шлюзом первый.
Все, если сейчас не получится, то дальше в тему по ICS. Тут вопросы керио.

Romeo_sh
понятно... ну так уж подробно необязательно было) да вот хрень как раз в том, что он не дает нифига айпишники изменять, не проставляет вручную. ошибку выдает. я по этому и хотел с помощью керио прокси сервер замутить просто.

Romeo_sh

Цитата:

Все ясно. Дело в том, что все машины ил LAN идут на впн-клиентов через инет-сервер - а это лишний крюк и неправильно:


Цитата: Трассировка маршрута к vbo3.domn2.local [172.16.0.4]
1 <1 мс * <1 мс inet.domn2.local [192.168.0.3]
2 1 ms * <1 мс vpn.domn2.local [192.168.0.2]
3 3 ms 2 ms 2 ms vbo3.domn2.local [172.26.0.5]

И более того, когда вы пингуете с впн что-нибудь в локальной сети, запрос идет напрямую, а эхо пытается идти по длинному пути и керио это не нравится.
Нужно прописать маршрут на все тачки в локальной сети:
на 172.16.0.0 через 192.168.0.2

Скажите пожалуйста, сейчас стоит керио 6,5,2 и впринципе все работает. Вот сижу и думаю стоит ли переходить на керио 7,1,0? И подхавтятся ли настройки, и вообще что такого координального они зделали в седьмой версии?

Проброс необходимых портов делается только в "правилах трафика" (политике для входящих)?

А вот еще один глупый вопрос:
А что входит в виртуальный керио и не есть ли это линух творение???

DVader
Еще раз повторяю - если ты цепляешься на внутренний интерфейс - ему глубуоко фиолетово на связь с провайдером. Единственный вариант, когда отваливаются терминальные сессии, это при рестарте самого керио - других вариантов не замечал - сам постоянно держу открытую терминальную сессию на свой сервер

Craager
Да, или у вас есть предположения где еще это может быть?

Romeo_sh
Для организации дополнительных контроллеров нужны дополнительные сервера, что мне кажется излишеством, а на сам шлюз КД даже резервный ставить ну совсем не хочется

Romeo_sh


Цитата:

Учет->Исключения->Исключить указанных пользователей

Спасибо, попробую. Но имхается мне, что это полное исключение. Сделал, чуть позже гляну в реале.

anticoors
а что говорит трассировка оттуда сюда и отсюда туда?
Можно попробовать телнет на контроллер домена по портам, которые использует АД.
DNS на vpn-клиентах правильно разрешает имена из локалки?

AskTosh
Ну не знаю, я не вижу ничего страшного в том, что поставить АД на сервер с керио, у нас так дополнительный офис подключен и все в порядке.