» Kerio Control (ex Kerio WinRoute Firewall)

ANTHONYZIMMER

Цитата:

пробовал - не помогло ((

Может у тебя правила разрешающего нет для WINS ??? TCP137 должен быть разрешен между Доверенными и Firewall.

iaminwww

Цитата:

Что нужно сделать, чтобы KWF различал юзеров работающих в терминале?

Нужно дождаться выхода версии, поддерживающей работу с терминалов.
Пока рекомендую создать пользователя Terminal и привязать к нему IP сервака терминалов.

adjuster

Цитата:

Может у тебя правила разрешающего нет для WINS ??? TCP137 должен быть разрешен между Доверенными и Firewall.

Да вроде нет...



Более того на DHCP я его прописал



Все вроде правильно а на нотке не видно его и все (((

Приветствую всех!!! Народ кто связывал вместе IBM Host On Demand Server и Kerio WinRoute Firewall 6.7.1 Patch 2 Released on: March 09, 2010 Сборка 6544 ?? Протокол HTTPS а выдает ошибку comm 655, как вообще это чудо работает? Вроде бы ничего сложного 443 и 80, ан нет, не могу разобраться.... может кто встречал?

ANTHONYZIMMER

Цитата:

Более того на DHCP я его прописал

А сам wins то поднять на серваке?

Добавлено:
Azaz99

Цитата:

вместе IBM Host On Demand Server и Kerio WinRoute Firewall 6.7.1 Patch 2

Для начала выясни по какому порту работает данный сервис
http://www.sumdu.edu.ua/cources/html/begin/netscape/nethelp/netscape/home/home.htm

Могу предложить вариант: включаешь лог на самом нижнем правиле и смотришь что необходимо открыть для данного сервиса.

Подскажите, Kerio 6.4.0 два провайдера реально или нет?
нужно почту принимать\отправлять через один интерфейс
а остальной трафик через другой.

Как это организовать?

П.С: обновить керио немогу, очень много удаленных абонентов подключается к локальной сети через Kerio VPN

Парни у меня вопросы по Kerio Control 7.0.0 (зарелизалась сегодня):
- есть ли там SOCKS-прокси?
- возможно ли там сделать перенаправление портов?

Help me! Просто беда. KWF пускает пользователей через nat только после захода пользователя через прокси, прям чудеса какие-то.
еще раз: если пользователю прописать в IE, предположим, проксю кирюшную, раз зайти на любой сайт, а потом убрать из IE проксю(это для чистоты эксперемента), то пользователь до перезагрузки будет ходить в инет NATом. Ну тоже самое что если бы заход на прокси был бы авторизацией, так почему же потом начинает работать nat, а до того не работает.
рвунасебеволосы всё перелопатил, все настройки правильные.

adjuster
Спасибо большое... как это я сразу не догадался.


Добавлено:
А может и с такой бедой подскажите чего путного: Суть в том что на работе через керио подымается PPPoE соединение с интернет, оно настроено в таком режиме "Держать данную линию подключённой - Всегда". Периодически случается так что, трафик через PPPoE соедиение не идёт... а подключение висит и не обрывается. Соответственно интернета на фирме нет, а керио думает что соединение работает и не пытается его переподключить. В момент такого подвисания звоню провайдеру с вопросом мол что это за фигня такая, на что они говорят что по их "приборам" от моего номера нет подключения. Таким образом получается, что соединение разрывается но в винде остаётся висеть. Связано ли это с Керио или нет?
П.С. К стати соединение подымается через ADSL модем.

adjuster


Цитата:

А сам wins то поднять на серваке?

А по скриншоту разве не видно?

Привет! Помогите пробросить порты! Керио не дает пробраться к адресу 80.82.47.129 нужны порты 6000, 6010, 6020 Керио 6.7.1 и виндоуз сервер 2003! Заранее спасибо!

В локалке стоит комп с керио, одна сетвуха смотрит в локалку (192.168.0.1), вторая в инет.
В локальной сети на одном из ПК (192.168.0.14) стоит Exchange с веб доступом к нему.
Как написать правило, чтобы был доступ к Exchange из Инета?

adjuster
Спасибо за внимание.... но делал и так..... не блокирует ничего.. а все равно коннект не проходит.. нее т.е. он проходит, но как то не до конца, а в подключениях висят множественные подключения к одному и тому же серверу и почему то везде по количеству принятого трафика 0,1, Вы не подскажите в каком месте и что может еще блокироваться? Само соединение через Java, а смысл ошибки:
4.1.    COMM 655
•    The socket connection to the HODS server has been established and the session is waiting for negotiation to finish.
•    The client has SSL off and has tried to connect to the server on an SSL port.
Как это к kerio привязать?

farseer777

Цитата:

Парни у меня вопросы по Kerio Control 7.0.0 (зарелизалась сегодня):
- есть ли там SOCKS-прокси?
- возможно ли там сделать перенаправление портов?

Да там круче - NAT есть!!!
порт-меппинг конечно есть.

fanhome

Цитата:

так почему же потом начинает работать nat, а до того не работает.

Создай пользователей в KWF и привяжи их к их IP.

ANTHONYZIMMER

Цитата:

А по скриншоту разве не видно?

Вижу только в KWF публикацию WINS через DHCP - но это не значит, что WINS существует у тебя.
Ответ - не видно.

DizzJK
А что делал? - где картинки?

Bear39

Цитата:

Как написать правило, чтобы был доступ к Exchange из Инета?

1. на почтовом серваке должен быть шлюзом указан KWF.
2. Далее создается правило:
источник Inet
назначение Firewall
протокол HTTP/HTTPS
пермит
port-mapping на 192,168,0,14

Azaz99
Я уже писал:

Цитата:

Могу предложить вариант: включаешь лог на самом нижнем правиле и смотришь что необходимо открыть для данного сервиса.

Повторяться не буду!!!

Понимаю, что этот вопрос задавался сотни раз, но все же... Суть: ПЕРИОДИЧЕСКИ ТОРМОЗИТ ИНЕТ через Керио.... Чего только уже не перепробовал... Решил больше не ратхаться (тем более наверняка сам где то и накосячил) и спросить знающих людей, пока совсем не запутался))
Kerio 6.6.0 5729 сеть с доменом, керио не на доменной машине.
Сначала пробовал вот так http://www.windowsfaq.ru/content/view/320/1/1/2/ тормозит...
сейчас вот такой вариант
полиси:

1. local |firewall | Firewall | Любой
|Все VPN | Все VPN |
|Доверенный/Локальный |Доверенный/Локальный |

2. DNS |192.168.1.1 |Интернет |DNS | NAT |

3. Inet |Firewall |Интернет |Любой

приведены основные.. для всех: Верно для - Всегда, ИП - По умолчанию

ipconfig с машины с керио:
Kerio Virtual Network - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Kerio Virtual Network A
Физический адрес. . . . . . . . . : 44-45-53-54-4F-53
Dhcp включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 10.253.143.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DHCP-сервер . . . . . . . . . . . : 10.253.143.2
NetBIOS через TCP/IP. . . . . . . : отключен
Аренда получена . . . . . . . . . : 2 июня 2010 г. 14:34:48
Аренда истекает . . . . . . . . . : 3 июня 2010 г. 14:34:48

ЛОКАЛКА - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8169/8110 Fa
Ethernet NIC
Физический адрес. . . . . . . . . : 00-1C-25-5D-2C-47
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.1.254
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 192.168.1.1

ИНТЕРНЕТ - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8139/810x Fa
ernet NIC
Физический адрес. . . . . . . . . : 00-14-D1-13-F8-6C
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 79.175.29.82
Маска подсети . . . . . . . . . . : 255.255.255.252
Основной шлюз . . . . . . . . . . : 79.175.29.81
DNS-серверы . . . . . . . . . . . : 192.168.1.1
79.175.29.254

route print:
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x10003 ...44 45 53 54 4f 53 ...... Kerio Virtual Network Adapter - Kerio WinRo
te Firewall
0x10004 ...00 1c 25 5d 2c 47 ...... Realtek RTL8169/8110 Family Gigabit Etherne
NIC - Kerio WinRoute Firewall
0x10005 ...00 14 d1 13 f8 6c ...... Realtek RTL8139/810x Family Fast Ethernet N
C - Kerio WinRoute Firewall
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 79.175.29.81 79.175.29.82 20
10.253.143.0 255.255.255.0 10.253.143.1 10.253.143.1 20
10.253.143.1 255.255.255.255 127.0.0.1 127.0.0.1 20
10.255.255.255 255.255.255.255 10.253.143.1 10.253.143.1 20
79.175.29.80 255.255.255.252 79.175.29.82 79.175.29.82 20
79.175.29.82 255.255.255.255 127.0.0.1 127.0.0.1 20
79.255.255.255 255.255.255.255 79.175.29.82 79.175.29.82 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.1.0 255.255.255.0 192.168.1.254 192.168.1.254 20
192.168.1.254 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.1.255 255.255.255.255 192.168.1.254 192.168.1.254 20
224.0.0.0 240.0.0.0 10.253.143.1 10.253.143.1 20
224.0.0.0 240.0.0.0 79.175.29.82 79.175.29.82 20
224.0.0.0 240.0.0.0 192.168.1.254 192.168.1.254 20
255.255.255.255 255.255.255.255 10.253.143.1 10.253.143.1 1
255.255.255.255 255.255.255.255 79.175.29.82 79.175.29.82 1
255.255.255.255 255.255.255.255 192.168.1.254 192.168.1.254 1
Основной шлюз: 79.175.29.81
===========================================================================
Постоянные маршруты:
Отсутствует

ipconfig c DC

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : server
Основной DNS-суффикс . . . . . . : zte.kamtent
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : zte.kamtent

Подключение по локальной сети - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : SiS 900-Based PCI F
Физический адрес. . . . . . . . . : 00-19-21-59-08-20
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.1.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.1.254
DNS-серверы . . . . . . . . . . . : 192.168.1.1
IPv4 таблица маршрута
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x10003 ...00 19 21 59 08 20 ...... SiS 900-Based PCI Fast Ethernet рфряЄхЁ
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.1.254 192.168.1.1 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.1.0 255.255.255.0 192.168.1.1 192.168.1.1 20
192.168.1.1 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.1.255 255.255.255.255 192.168.1.1 192.168.1.1 20
224.0.0.0 240.0.0.0 192.168.1.1 192.168.1.1 20
255.255.255.255 255.255.255.255 192.168.1.1 192.168.1.1 1
Основной шлюз: 192.168.1.254
===========================================================================
Постоянные маршруты:
Отсутствует

в KWF включен непрозрачный прокси, Днс форвардинг вырублен.
На машине с керио стоит Nod 4, папка керио добавлена в исключения, отрублена проверка ХТТП, в керио внешним антивирусом выбран Nod 4.

ПНИТЕ ПОЖАЛУЙСТА В НУЖНУЮ СТОРОНУ!!!

adjuster
Сделал правило интернет------firewall----ТСР 6000, 6010,6020,
ща вроде прога начала тащить траффик, но пинг по этому адресу не проходит!

DizzJK
дык добавь сервис PING

adjuster
Пасиб, попробую)

adjuster

Цитата:

Вижу только в KWF публикацию WINS через DHCP - но это не значит, что WINS существует у тебя.
Ответ - не видно.

О_о
а как проверить есть он или нет?

Народ, нужна ваша помощь.
Задача такая - нужно раздавать инет юзерам через Kerio Control (организовать прозрачный прокси).
Есть сервер 2008 с AD, DNS и т.д. Стоит рутер Cisco, на котором поднят NAT и который пропускает через себя весь интернет-трафик. Сейчас у всех юзеров прописан в сетевых настройках шлюз - ip рутера (192.168.10.1). Локальная сеть - 192.168.10.0
Чтобы решить эту задачу я сделал так. Поднял на физ. сервере роль вирт. сервер 2008, завел 1 виртуальный интерфейс, который привязал к одному из 2х физических, прописал виртуальному интерфейсу свой ip (192.168.10.7) с указанием ip шлюза рутера. На этом вирт.сервере поднял Kerio Control. Все сделал по умолчанию. Импортировал юзеров с AD в Kerio. Создал правила. На тестовой машине прописал шлюз - ip адрес вирт. сервера 192.168.10.7 Пробую выходит в инет через браузер - выходит. Но проблема в том, что в консоли Kerio я не вижу трафик пользователя и не вижу самого пользователя.
Насколько я понимаю, должно быть 2 интерфейса - 1 смотрит в инет с реальным ip, а второй в LAN 192.168.10.0. Но у меня всего один интерфейс в виртуалке. Я конечно могу поднять второй вирт.интерфейс, но вопрос встает в его целесообразности (я предполагаю, что можно весь трафик прогонять через 1 интерфейс).
В общем, вопрос такой, как сделать прокси-сервер в моём случае, где вся доменная сеть стоит за физическим рутером.

Доброе утро.
Кто нибудь подскажет назначение фильтра MAC адресов в Kerio Control?
Ставлю галочку, "фильтр включён" + галку на "Интернет интерфейс". В нижнем окне ставлю точку "разрешить доступ к сети ...." прописываю MAC адрес и тютю...
Доступ закрывается не зависимо от правил. У фильтра явный приоритет.
С домашнего комп не могу попасть в консоль управления и ВПН клиент не цепляется.

кто нибудь поскажет как сделать на керио мультикастинг для айпитв?

ANTHONYZIMMER

Цитата:

О_о
а как проверить есть он или нет?

Ну это ищи по MS службам инфу - сервис WINS точно должен быть и запущен, но служба еще должна быть настроена.

vrpadmin
С одной карточкой не возможно использовать NAT.
Если тебе достаточно раздавать пользователям HTTP/HTTPS трафик, то включи HTTP прокси и включи Аутентификацию на этой проксе.

Olser

Цитата:

Кто нибудь подскажет назначение фильтра MAC адресов в Kerio Control?
Ставлю галочку, "фильтр включён" + галку на "Интернет интерфейс". В нижнем окне ставлю точку "разрешить доступ к сети ...." прописываю MAC адрес и тютю...

Указанные настройки говорят о том, что:
- включается фильтрация MAC только на внешнем интерфейсе - в таком случае из локалки компы на MAC не проверяются (доступ согласно ТП).
- включается разрешить доступ только для указанных MAC адресов.

Таким образом в списке с адресами необходимо указать MAC домашнего компа, с которого пытаешься зайти на KC.
Нужно учесть, что на домашнем компе у внешней интерфейса и KerioVPN интерфейса MAC адреса разные.

Добавлено:
Vitalyos
На локальном интерфейсе KWF убери DNS сервер.
Включи DNS форвардинг - обязательно для таких настроек.

Проверяй скорость на Firewall и на клиентах.

adjuster

Цитата:

Могу предложить вариант: включаешь лог на самом нижнем правиле и смотришь что необходимо открыть для данного сервиса.

Цитата:

но делал и так..... не блокирует ничего.

судя по логу-ни одного блокированного пакета с\к нужного ip.... Или я не могу понять суть Вашего ответа?

Отвечаю на свой же вопрос. Попробовал создать второй вирт.интерфейс на вирт.сервере. Один вирт.интерфейс с прописанным шлюзом рутера обозначил в kerio как Интернет, а второй как локальная сеть. Настроил правила как мне надо. Прописал на тестовой машине шлюз - ip адрес второго интерфейса и все как бы заработало. Но одно НО. Когда я с одного компа (тестовый) захожу под разными доменными пользователями, то в Kerio в активных процессах вижу предыдущего пользователя (под которым я заходил раннее) и трафик на нем крутится хотя я на самом деле под другой учеткой зашел на машину. Пытался сбрасывать сенансы активны пользователей в kerio - пользователя нет а трафик капает неучтенным. Куда смотреть, что можно подправить? Прокси я настроил прозрачно.

Подскажите!!! Кто знает!!!??? Ставлю Kerio Control Software Appliance последнюю версию (хотя пробовал разные) на материнку Intel D510MO, устанавливается нормально, без проблем, перезагружаюсь и тут No bootable device insert boot disk and press any key В биосе стоит все нормально, загрузка с харда, даже разные харды пробовал. Биос обновил. Устанавливаю Win2003, все нормально, а с Kerio linux беда. Что это может быть???? Кто сталкивался? Если проблема с дровами, то почему не ругается при установке?

Подскажите в чем проблема. Простая одноранговая сеть (без vpn) на керио WF 6.* (крякнутый) работает интернет некоторое время, а потом внезапно пропадает (через 2-6 часов). В чем это проблема?

Kyrales

Цитата:

В чем это проблема?

В крякнутом.....
телепаты все ушли в отпуска
опиши более подробно Какая конфигурация, оборудование, что в логах что пишется

Раньше на другом компьютере работало все. Компьютер на Win XP, правила все нормально настроены и все функционирует.
Установлен еще фтп-сервер serv-u и апач. Может это быть проблема с DNS или еще чем?

Может еще где копать есть?

rintero1
Диск SATA ???

Kyrales
Ответ - крякнутый... ломалку снова запускай.


Цитата:

Может это быть проблема с DNS или еще чем?

Ну нам не известно - ведь мы ничгео не видим.

rintero1
не поддерживается железка эта значит.