» Kerio Control (ex Kerio WinRoute Firewall)

Tihon_one

http://i062.radikal.ru/1012/1e/ca0ab0e6f254.png
или
http://i008.radikal.ru/1012/ff/7f12503439b0.png

сейчас подумал может это потому что через правило нат идет или нет?

kkkeagla
а теперь полный скнишот политик трафика выложи, и скажи инспектора протоколов не отключал ли, в протоколе web записи о посещаемых веб страницах есть, они актуальны?

и скрин таблицы маршрутизации из керио выложи так же

Tihon_one
да записи актуальны то есть в текущий момент открывался Интернет эксплорер
и заходили на сайты.
а правила вообще все все интересуют?
или можно удалить те которые для связи между филиалов по впн сделаны или для пробрасывания внутрь портов для кучи программ и терминала ?
на правиле nat инспектор стоит "нет" как и на многих других правилах.
маршрутизация из керио http://i063.radikal.ru/1012/3b/73e082f60088.png
надеюсь хватит с обрезанными цифрами... если нет скажите какую строку уточнить

Подскажите почему не работает маршрут.
У меня есть Инет-шлюз керио и маршрутизатор в сети на 192.168.55.0 подсеть
После переноса KWF с ХР на Вин2008.2 перестал работать маршрут. Настройки те же. С самой машины KWF подсеть 55.0 доступна, а на рабоичх станциях, где он прописан шлюзом недоступна.
Остальные маршруты работают


Код: Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 95.72.24.19 95.72.24.70 306
95.72.24.64 255.255.255.224 On-link 95.72.24.70 306
95.72.24.70 255.255.255.255 On-link 95.72.24.70 306
95.72.24.95 255.255.255.255 On-link 95.72.24.70 306
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
172.16.0.0 255.255.255.0 192.168.10.102 192.168.0.254 2
192.168.1.0 255.255.255.0 On-link 192.168.1.2 276
192.168.1.2 255.255.255.255 On-link 192.168.1.2 276
192.168.1.255 255.255.255.255 On-link 192.168.1.2 276

192.168.55.0 255.255.255.0 192.168.0.12 192.168.0.254 1 <<<<<<<<<<

192.168.0.0 255.255.255.0 On-link 192.168.0.254 257
192.168.0.254 255.255.255.255 On-link 192.168.0.254 257
192.168.0.255 255.255.255.255 On-link 192.168.0.254 257
192.168.10.0 255.255.255.0 On-link 192.168.0.254 257
192.168.10.251 255.255.255.255 On-link 192.168.0.254 257
192.168.10.255 255.255.255.255 On-link 192.168.0.254 257
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.0.254 257
224.0.0.0 240.0.0.0 On-link 95.72.24.70 306
224.0.0.0 240.0.0.0 On-link 192.168.1.2 276
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.0.254 257
255.255.255.255 255.255.255.255 On-link 95.72.24.70 306
255.255.255.255 255.255.255.255 On-link 192.168.1.2 276
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 95.72.24.19 По умолчанию

Romeo_sh

Цитата:

поэтому лучше ставьте блокировать весь трафик в случае, если замечено, что пользователь качает Р2Р, так их быстрее приучите к порядку.

подскажите как?

kkkeagla
на правиле nat инспектор стоит "нет" как и на многих других правилах.


включайте инспектора и грязите мосг. А заодно почитайте в мануале керио зачем он нужен.



Добавлено:
anticoors
политики трафика.


как я понимаю 55 подсеть никакого отношения к интерфейсам керио не имеет, следовательно надо разрешить трафик из локалки в 55ую подсеть

Tihon_one


Цитата:

политики трафика.


как я понимаю 55 подсеть никакого отношения к интерфейсам керио не имеет, следовательно надо разрешить трафик из локалки в 55ую подсеть

Но к примеру для маршрута 172.16.0.0 я не выставлял никаких политик. Он должен обрабатываться стандартной политикой "Локальный трафик". Потому как этот интерфейс на который прописаны маршруты принадлежит к "Доверенный/Локальный". Плюс ко всему на ХР с этими настройками маршрут работал.


PS: На этом интерфейсе два IP 192.168.10.251 и 192.168.0.254

Добавлено:
Попробовал добавить:

192.168.55.0/24
Локальный интерфейс 192.168.55.0/24
Локальный интерфейс Любой Разрешить

anticoors
ну тогда стоит пораскинуть мозгами, включить логирование дропнутых пакетов, включить логирование пакетов на правилах доступа в локальную сеть и смотреть.

Это не баг керио.

Добрый день! Подскажите, пожалуйста, кто сталкивался с такой проблемой:

Необходимо открыть доступ только к маил.ру, а на остальное запретить. Через ХТТП политику создаю 2 правила: 1. разрешить *mail.ru*, 2. запретить *. Разрешающее стоит выше. При попытке сохранить вложения в письме, срабатывает второе правило, первое почему-то не работает, хотя урл там выглядит как http://af.attachmail.ru/cgi-bin/........и т.п.
У кого получалось выставить фильтры правильно? Благодарю.

Добрый день. Нужно заблочить MRIM, с одним условием, что в промежутке с 12:00 до 13:00 блокировка должна сниматься. Я пытался реализовать это запретив обращение к *mrim*.mail.ru, но почему-то толку от этого мало. посоветуйте пожалуйста что делать

если вы имеете в виду агент, то он пытается обратиться на mrim.mail.ru:80, mrim.mail.ru:2041, mrim.mail.ru:443, а потом уже идет на другие сервера в том числе и по ип. вы заблокируйте эти мримы, когда агент подключится, в активных подключениях посмотрите, там будут ип адреса на 94.100.х.х. в принципе через ххтп полиси можно адрес урла указать как http://94.100.* и https://94.100.* но вроде не помогает. агент как паразит, находит порт все равно.

anticoors

Цитата:

PS: На этом интерфейсе два IP 192.168.10.251 и 192.168.0.254

Вероятно, первым стоит именно 192.168.10.251.
попробуйте добавить маршрут на 192.168.55.0 через интерфейс 192.168.10.251.

Наверное дело в том, что керио видит только первый айпи пробитый на этой сетевой карте.


ofj
Поставить радио "При обнаружении peer-to-peer трафика в сети" в положение "заблокировать весь трафик указанного хоста"

Дбрый вечер!
Народ не подскажите где конкретно нужно указать в Kerio Control, днс форвардер на днсы провайдера, как-то в WinRoute Firewall проблем не возникало, а тут не могу найти куда внести.

Romeo_sh

Цитата:

Поставить радио "При обнаружении peer-to-peer трафика в сети" в положение "заблокировать весь трафик указанного хоста"

и в свойствах пользователья убрал галку "Пользователью разрешено использовать сети Р2Р"
Все равно некоторые юзеры пользуются Skype-ом
или с политикой траффика что та не так:
-----------------------------------------------------------------
Inet -- Firewall-- любой -- разрешить
Firewall -- Lan -- любой -- разрешить
Lan -- Firewall-- любой -- разрешить
Firewall -- Inet -- любой -- разрешить
Lan -- Inet -- любой -- разрешить -- NAT
------------------------------------------------------------------
Подскажите в чем проблема

Tihon_one

заработало с протокол инспектором на НАТ правиле , но появились сбои при заходе на некоторые странички ... причем закономерности нет с одного компа заходит с другого нет правило одно и тоже, поэтому пока отключил.
Но у меня другой вопрос... может подскажешь

Есть Microsoft VPN сервер за kerio (на отдельном компьютере ). До сегодняшнего дня к нему подключался народ снаружи и все работало. Сегодня стала появляться ошибка 806 про GRE протокол, трафик инспектор на правиле и включал и отключал и ставил PPT и по умолчанию - ничего не помогает .
правило такое проброс порта 1723 или PPTP ( без разницы ) внутрь сети на адрес 192.168.1.50 с использованием и спец адреса ( белого адреса на керио) и без него...

(внутри к впн серверу соединяется , через туннель керио с другого оффиса тоже соединяется , а с одиночных компьютеров не хочет) провайдер говорит что ничего не менял и ничего не режет.
правила не скидываю там слишком их много...

ofj
скайп - это не p2p - почитайте последние пару страниц - поймете.

saint13
Использовать пользовательскую переадресацию->Определить...
Там в имя можно просто * забить и вставить адрес днс и он все будет отправлять на днс прова.

kkkeagla
добавь в правило GRE

Tihon_one
пробовал по всякому не хочет никак
http://i001.radikal.ru/1012/69/1e2d21d375eb.jpg
хотя работало

два правила тоже пробовал отдельно для 1723 отдельно для гре все равно нет

Tihon_one

Цитата:

ну тогда стоит пораскинуть мозгами, включить логирование дропнутых пакетов, включить логирование пакетов на правилах доступа в локальную сеть и смотреть.

Это не баг керио.

Просмотрел логи и дебаг с дропами, ничего не нашел

kkkeagla
проверь пакеты, они доходят до сервера впн в полном объёме?

anticoors
так не бывает, ничего не найти ты не мог.

Доброго дня всем!

Кто-нибудь думал над темой встроить в Kerio Control Software Appliance антивирусный демон ClamAV ? если да, то до к чему привело такое размышление?

Привет всем!
На шлюзе 2 сетевухи, но на внешнюю сетевуху привязано 2 ip из одной и той же внешней подсети, т.е.

[more]
Код: Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : gate1
Основной DNS-суффикс . . . . . . : ABL.local
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : ADDF.local

ADDF lan - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet
NIC
Физический адрес. . . . . . . . . : 00-14-D1-16-26-8A
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.1.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 192.168.1.111
192.168.1.105

wan - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet
NIC #2
Физический адрес. . . . . . . . . : 00-14-D1-15-FA-93
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 24.73.218.196
Маска подсети . . . . . . . . . . : 255.255.255.248
IP-адрес . . . . . . . . . . . . : 24.73.218.195
Маска подсети . . . . . . . . . . : 255.255.255.248
Основной шлюз . . . . . . . . . . : 24.73.218.193
DNS-серверы . . . . . . . . . . . : 192.168.1.111
192.168.1.105

Подключение по локальной сети 2 - Ethernet адаптер:

Состояние сети . . . . . . . . . : сеть отключена
Описание . . . . . . . . . . . . : Realtek RTL8168D(P)/8111D(P) PCI-E Gigabi
t Ethernet NIC
Физический адрес. . . . . . . . . : 40-61-86-C6-39-35

Kerio Virtual Network - Ethernet адаптер:

Состояние сети . . . . . . . . . : сеть отключена
Описание . . . . . . . . . . . . : Kerio Virtual Network Adapter
Физический адрес. . . . . . . . . : 44-45-53-54-4F-53

C:\Documents and Settings\Администратор>

progmike
подключайся к антивирю по сети, плагин позволяет

FL
что не получается-то, правила трафика, и интерфейсы из консоли покажи.

Tihon_one



соответственно, к почтарю идут запросы на 24.73.218.195 и отлично проходят, но сампочтарь ходит в инет через 24.73.218.196, хотя в правиле стоит 24.73.218.195. Бага.

Еще вопрос: если машина с винроутом является членом домена, берет юзеров из домена и устешно выпускает их в интернет.. но... как сделать так...
если юзер член группы только "пользователи домена" - доступ в инет не давать
если юзер член групп "пользователи домена" и "отдел продаж" - давать доступ в инет.
А то как-то не прияно, когда доменный юзер по умолчанию может ходить в инет по хттп. правда, только по хттп. А вот если его делаешь членом группы "отдел продаж", где разрешена аська - тогда и хттп и аська. При этом чтобы у него вообще не было инета - отключаешь доменную учетку на винроуте.

FL
ты конечно извини, переноси свой интерфейс в группу интернет интерфейсов+в ПТ изменяй назначение на группу интернет интерфейсов, и кхм, скрин-то оригинал выложи, а то я не вижу, что там у тебя наконфигурено. Если палишься то кидай в личку, иначе помогать я не смогу.

по поводу второго вопроса, http доступ настраивается через URL правила, кури их.

Здравствуйте, помогите пожалуйста. Проблема вот в чем.
Есть:
1.ADSL(4 LAN-порта + Wi-FI) модем, с настроенным внутри pppoe соединением.
2. Ноутбук подключен по Wi-Fi, на нём подключен интернет, и стоит Kerio Winroute 6.7.1.
3. И есть обычный ПК, подключен к тому же модему.
Требуется:
1. Настроить VPN сервер на ноутбуке, с целью получения интернета на ПК, также должен сохранится доступ в локалку(ноутбук и пк).
Проблемы:
1.KVC не подключается к серверу, вроде как все настроено правильно.
Если нужна какая-то информация(сриншоты и т.д.), сообщите, все предоставлю.
Заранее спасибо за помощь.

Поставил Kerio Control 7.0.1, где взять лекарство на антивирь в нём SOPHOS?

DeathSpank обязательно поднимать vpn? не проще ли сделать в керио привязку по ip и nat поднять? можно еще по мак адресу отфильтровать .....или есть боязнь что просканят wi-fi трафик?
san888san тебе в варезник нужно....

stoun не могли бы вы поподробней рассказать про свой вариант.
P.S. никакой боязни нет, так как все находится в пределах одной квартиры

DeathSpank прописываеш в источнике ip компа домашнего в назначении указываешь соединение которое использует ноут для доступа к инету....указываеш порты и службы которые разрешить ноуту....и в столбе трансляция ставишь Nat, на ноуте указываешь шлюзом и днсом ip ноута и усе.