» Kerio Control (ex Kerio WinRoute Firewall)

Доброго времени суток уважаемые форумчане. Прошу помощи поскольку не хватает опыта поэтому прошу сильно не пинать. Итак: есть машина под Win2003 с установленным KWF 6.3.0, на нем же поднята роль DNS. Есть 2 сетевые карты - одна смотрит в локалку с адресами 192.168.0.0, а вторая смотрит в маршрутизатор прова - ип у нее 192.168.6.2. Инет у прова получаем через PPPoE и айпи у этого соединения статический. Инет раздается замечательно, однако при попытке поднять ВПН-сервер и войти из впн-клиента и наоборот через сетевое окружение обычным способом не могу. Если используешь поиск машины в сети и указываешь адрес впн-клиента то машину находит. Аналогично и из клиента просто обзор сетевого окружения ничего не дает, но если какую либо машину в локалке ищешь по айпи то находит. Пинги с КВФ-хоста и с машин локальной сети до впн-клиента и обратно проходят нормально. На ДНС-сервере для впн-клиента созданы необходимые записи. Если выполняешь nslookup впн-клиента по имени или по айпи с КВФ-хоста или из локалки то ресольвинг проходит нормально. А вот если выполняешь nslookup с впн-клиента по имени или по айпи хоть самого впн-клиента, хоть КВФ-хоста, хоть машины в локальной сети то ответ один и тот же - днс-сервер такой то не может определить данный хост. При этом ссылается он на ДНС-сервер прова. Самостоятельно я пришел к выводу что проблема может быть решена если принудительно каким либо образом ВПН-клиента заставить использовать в качестве ДНС-сервера ВПН-соединения ДНС-сервер локальной сети. Уже перевернул все что можно, но не получается. Подскажите где и что я мог пропустить. ВПН-подсеть 192.168.5.0.
ОС на впн-клиенте WinXP Pro. ВПН-клиент в инет ходит через диал-ап по сотовому модему со статическим айпи. С уважением, Анатолий

Anatoliy736
Принт настроек политик трафика. Принт настроек VPN сервера. ipconfig /all с клиента.

чуть позже. сейчас не могу. ставлю систему с нуля. хочу разнести все сервисы по виртуальным машинам чтоб не было "все в одном"

Romeo_sh

Есть большой холдинг и много маленьких подразделений.
В главном здании стоят сервера и т.д.
Маленькие подразделения, такие как мы, вынуждены подстраиваться под то, что есть.
Т.е имея свой сервер и свою подсеть, нам необходимо получить доступ к интернет, видеонаблюдению в другой подсети, общей базе 1С, терминальному серверу и т.д. используя подсеть 192.0.0.0
При этом какие либо изменения в ее настройках запрещены.
Выделен IP из этой подсети, на котором все работает.
Мне надо настроить свою внутреннюю подсеть так, чтобы любой комп из моей подсети имел доступ ко всем вышеперечисленным ресурсам через этот выделенный IP на другие подсетки холдинга.

тебе надо маршруты создать чтобы пакеты ходили из одной подсети в другую и обратно. сам в данном предмете не силен но копать следует в гугле по запросу "маршрутизация". надеюсь вам поможет

mrarefiev
Вам нужен NAT.

Доброго времени суток, подскажите пожалуйста есть ли возможность работы с Kerio VPN только по TCP?

aRainman
Нет.

faust72rus
Можно на пальцах показать?

mrarefiev

Цитата:

VPN server uses TCP and UDP protocols, port 4090 is used as default

faust72rus

Цитата:

VPN server uses TCP and UDP protocols, port 4090 is used as default

это то я знал, просто думал может есть альтернативные конфигурации, спасибо вам за помощь. Жалко что никак

Добавлено:
ps: печально это, тот же OpenVPN умеет только по TCP работать, почему такой монстр как Kerio так и не сделали эту возможность не ясно

aRainman
Керио использует свои проприетарный протокол ВПН.

Помимо этого использование TCP для ВПН больше нагружает оборудование. УДП всё таки проще (так как нет проверки доставки).

faust72rus
так и подумал, что не мне ответили

mrarefiev
Ошибся =)

mrarefiev
Так, ну теперь более менее понятно.

Цитата:

При этом какие либо изменения в ее настройках запрещены.

Изменения вы уже внесли, когда ввели в нее свой сервер.
У этой сети есть же админы? Их нужно попросить сделать лишь одну вещь - прописать постоянный маршрут в 5-ю подсеть только на одном роутере 192.168.20.1 (тот который прописан шлюзом на машинах в этой подсети) и все! Это не глобальные изменения конфигурации и если там работают грамотные одмины, то это проблем не составит, они должны понимать такие вещи.

С натом скорее всего не получится, т.к. очень много сервисов, которые нужно обспечить, 1с так вряд ли заработает.

-

Приветсвую Ученые Мужи.

Есть проблема следующего содержания:
Необходимо настроить RDP на сервер через Керио, чтобы ходили снаруже все на внешний IP.
сделаны были правила:

при попытке подключения в логах пишет следующее:
[14/Jan/2011 10:52:08] DROP "Служба RDP" packet from Internet, proto:TCP, len:52, ip/port:92.243.167.204:23320 -> 213.85.251.232:3389, flags: SYN , seq:34899967 ack:0, win:8192, tcplen:0
[14/Jan/2011 10:52:11] DROP "Служба RDP" packet from Internet, proto:TCP, len:52, ip/port:92.243.167.204:23320 -> 213.85.251.232:3389, flags: SYN , seq:34899967 ack:0, win:8192, tcplen:0
[14/Jan/2011 10:52:17] DROP "Служба RDP" packet from Internet, proto:TCP, len:48, ip/port:92.243.167.204:23320 -> 213.85.251.232:3389, flags: SYN , seq:34899967 ack:0, win:8192, tcplen:0
вот конфиги интерфейсов:


Сам не понимаю где я дурак.
Подскажите плиз.

red7ka
Нат в этом правиле убери.

Убрал. Зайти по рдп не выходит. в логах :
[14/Jan/2011 12:29:58] PERMIT "Служба RDP" packet from Internet, proto:TCP, len:52, ip/port:194.190.84.26:53181 -> 213.85.251.232:3389, flags: SYN , seq:3453233815 ack:0, win:8192, tcplen:0
[14/Jan/2011 12:30:04] PERMIT "Служба RDP" packet from Internet, proto:TCP, len:48, ip/port:194.190.84.26:53181 -> 213.85.251.232:3389, flags: SYN , seq:3453233815 ack:0, win:8192, tcplen:0

red7ka
RDP точно привязан к 213.85.251.232? Если RDP доступен с 192.168.100.2, то попробуй MAP на 192.168.100.2 3389

red7ka
Керио Вас уже пустил, об этом и написал.
Обновите рдп-клиента на новую версию.

рдп клиент последней версии

red7ka
Сервер РДП запущен на керио (переформулирую, запущен ли на керио РДП север?)? Или он всё таки где то в сети?

Всем привет. Кто сталкивался - помогите:
Имеется: первая сеть 192.168.2.0/24 со шлюзом на WinRoute 6.7.1. На шлюзе поднят VPN сервер 10.0.0.0/24. Вторая сеть 192.168.100.0/24 со шлюзом на WinRoute 6.7.1. На шлюзе поднят VPN сервер 10.1.0.0/24. Третяя сеть 192.168.3.0/24 со шлюзом на WinRoute 7.1.0. На шлюзе поднят VPN сервер 10.0.3.0/24. Четвертая сеть 192.168.99.0.24 со шлюзом на WinRoute 6.7.1. На шлюзе поднят VPN сервер 10.0.2.0/24. Второй, третий и четвертый шлюзы коннектяться к первому по KerioVPN в активном режиме, т.к. первый единственный шлюз с фиксированным вешним ip адресом. Все замечательно работает, все друг друга в разных сетях видят. НО! раз в минуту на первом шлюзе в VPN интерфейсах наблюдаю переподключение всех VPN соединений от других моих шлюзов. Соответственно, в это время подсети друг друга не видят. Почему происходит сброс VPN?

mini
Может ответ в логах?

red7ka

Инспектор протокола?

faust72rus
В том-то и дело, что ничего в логах нет.
Я отключил все тунели, кроме одного, пропадания связи так и остались.
в dial пишет:
[14/Jan/2011 16:00:52] VPN tunnel 'tunel' connected.
[14/Jan/2011 16:01:33] VPN tunnel 'tunel' disconnected, connection time 00:00:41
[14/Jan/2011 16:01:33] VPN tunnel 'tunel' connected.
[14/Jan/2011 16:03:24] VPN tunnel 'tunel' disconnected, connection time 00:01:51
[14/Jan/2011 16:03:25] VPN tunnel 'tunel' connected.
[14/Jan/2011 16:07:56] VPN tunnel 'tunel' disconnected, connection time 00:04:31
[14/Jan/2011 16:07:56] VPN tunnel 'tunel' connected.
[14/Jan/2011 16:08:36] VPN tunnel 'tunel' disconnected, connection time 00:00:40
[14/Jan/2011 16:08:37] VPN tunnel 'tunel' connected.
[14/Jan/2011 16:09:31] VPN tunnel 'tunel' disconnected, connection time 00:00:54
[14/Jan/2011 16:09:31] VPN tunnel 'tunel' connected.
[14/Jan/2011 16:13:01] VPN tunnel 'tunel' disconnected, connection time 00:03:30
[14/Jan/2011 16:13:02] VPN tunnel 'tunel' connected.
[14/Jan/2011 16:13:42] VPN tunnel 'tunel' disconnected, connection time 00:00:40
[14/Jan/2011 16:13:43] VPN tunnel 'tunel' connected.
[14/Jan/2011 16:14:31] VPN tunnel 'tunel' disconnected, connection time 00:00:48
[14/Jan/2011 16:14:32] VPN tunnel 'tunel' connected.
[14/Jan/2011 16:18:01] VPN tunnel 'tunel' disconnected, connection time 00:03:29
[14/Jan/2011 16:18:02] VPN tunnel 'tunel' connected.

в error пишет:
[14/Jan/2011 16:07:56] (7524) Unable to handle VPN data packet from 190.210.120.30:4728: connection not found
[14/Jan/2011 16:08:02] (7524) Unable to handle VPN data packet from 190.210.120.30:4728: connection not found
[14/Jan/2011 16:18:01] (7524) Unable to handle VPN data packet from 190.210.120.30:4919: connection not found
[14/Jan/2011 16:18:02] (7524) Unable to handle VPN data packet from 190.210.120.30:4919: connection not found

а в остальных логах ничего.

mini
а если копнуть глубже и посмотреть в дебаг логе, с включенными галочками о впн (по правому клику они доступны). Что с ресурсами сервера? Драйвера сетевой карты? Линк до провайдера мониторил?

faust72rus
В debug логе только такие записи:
[17/Jan/2011 09:49:48] Service "DNS" bound to address 10.0.3.2 stopped
[17/Jan/2011 09:49:48] Service "WebInterface" bound to address 10.0.3.2 stopped
[17/Jan/2011 09:49:48] Service "VPN" bound to address 10.0.3.2 stopped
[17/Jan/2011 09:49:49] Service "DNS" started, bound to address 10.0.3.2
[17/Jan/2011 09:49:49] Service "WebInterface" started, bound to address 10.0.3.2
[17/Jan/2011 09:49:49] Service "VPN" started, bound to address 10.0.3.2
при том только на стороне первого шлюза у остальных чистый лог.
Шлюз поднят на виртуалке, работал безукаризненно год, соответственно с драйверами все в порядке. Пинг во внешние ресурсы не обрывается.

mini
Через контекстное меню
http://manuals.kerio.com/control/adminguide/en/sect-logs-debug.html
в дебаг логе активированны нужные галочки?