» Kerio Control (ex Kerio WinRoute Firewall)

faust72rus

[17/Jan/2011 10:26:34] {vpntunnel} Tunnel[0001]('tunel') - connection timeout, terminating connection
[17/Jan/2011 10:26:34] {vpntunnel} Tunnel[0001]('tunel') - SSL_free TID = 3916, ID:103
[17/Jan/2011 10:26:34] {vpncore} Refcount for IP address 10.0.3.2 decremented to 0, address deleted
[17/Jan/2011 10:26:34] {vpncore} oldapi: KVpnConnectionDelete(123) -> SUCCESS
[17/Jan/2011 10:26:34] {vpntunnel} Tunnel[0001]('tunel') - connection deleted in driver
[17/Jan/2011 10:26:34] {vpncore} oldapi: KVpnSysRouteDelete() -> SUCCESS
[17/Jan/2011 10:26:34] {vpnag} VPN AG(1) cleared
[17/Jan/2011 10:26:34] {vpntunnel} Tunnel[0001]('tunel') - tunnel deregistered
[17/Jan/2011 10:26:34] {vpntunnel} TUNNEL_STATUS_CHANGE 'tunel' - 0:0
[17/Jan/2011 10:26:34] {vpncore} oldapi: KVpnGetVpnAdapterIndex() -> SUCCESS
[17/Jan/2011 10:26:34] {vpntunnel} Tunnel[0001]('tunel') - flushing ARP cache for adapter 0x10005, IP 10.0.3.1
[17/Jan/2011 10:26:34] {vpntunnel} Tunnel[0001]('tunel') - tunnel closed
[17/Jan/2011 10:26:34] {vpncore} oldapi: KVpnGetHwAddress(44:45:53:54:4f:53) -> SUCCESS
[17/Jan/2011 10:26:34] Service "DNS" bound to address 10.0.3.2 stopped
[17/Jan/2011 10:26:34] Service "WebInterface" bound to address 10.0.3.2 stopped
[17/Jan/2011 10:26:34] Service "VPN" bound to address 10.0.3.2 stopped

mini
Я не вижу проблем. Ждём, что Адвансеты что то подскажут.

faust72rus
Ждать времени нет, поэтому поднял IPIP тунели на линухе. Все робит.

mini
исходя из дебага, у тебя отрубается vpn интерфейс, версия патченая паратка?

может где-то блочится UDP канал, он статусный для KVPN, т.е. если по таймауту нет пакета, то туннель считается разорванным.

mini
у тебя сколько исходящих (инетных) интерфейсов на центральном сервере и в каком режиме они включены?
И кто мешает использовать dyndns для всех остальных серверов?

Всех приветсвую!
Есть задачка..
Имеется два здания, общая сеть 172.16.0.0/255.255.0.0
в каждом здании есть несколько подсетей 172.16.2.0/255.255.0.0, 172.16.3.0/255.255.0.0 и т.д. причем адреса одной подсети могут находиться в обоих зданиях.

как бы организовать фильтрацию между двумя этими зданиями?..
идеально было бы поставить прозрачный мост с фаерволом, но похоже Керио так не умеет! или все таки можно с помощью Керио Контрол решить данную задачу?

Alabin
сети 172.16.2.0/255.255.0.0, 172.16.3.0/255.255.0.0 ничем между собой не различаются и не являются подсетями для сети 172.16.0.0/255.255.0.0.
что такое прозрачный мост - объяснил бы, что ли. Заодно - что за фильтрацию между зданиями ты хочешь организовывать, если все адреса в обоих зданиях вперемешку?
Кого от кого файрволлить на прозрачном мосту требуется? Может, просто порядок в сети навести?

То то и оно что сеть с такой маской 255.255.0.0 получается одна.
Порядок в сети навести не возможно из за политических действий (несколько подразделений со своими начальниками и админами - уже попытался..). В 1ом здании находиться моя территория, где адресация 172.16.2.0. В другом здании находятся порядка 10 разных сетей из серии 172.16. и 192.168. и куча серверов к которым ходим мы.

Эти здания соединяются одним кабелем, основная проблема в том, что со второго здания льется очень большая куча левого трафика никак не относящегося к нам.
я хочу в разрыв поставить фаервол.
и явно указать только каким IP адресам и в каком направлении можно ходить.

Попробовал поставить комп с двумя сетевыми, сделал соединение мост средствами Windows, накатил Outpost (так же пробовал ESET) указал какие адреса блокировать. В принципе работает, но нельзя указать направление фильтрации. и совсем не гибкая настройка получается.
Хотелось бы сделать все при помощи Керио Контрол (давно им пользуюсь), но данная задача меня поставила в тупик.. Толи делать Nat толи еще как..

Tihon_one
Да, патченная. Знать бы где блочится, а то может и провайдер мозг выносит...

iamgene
Интерфейс один и включен постоянно. Можно и dyndns пользовать, просто хотелось разобратся, что за ерунда творится: то-ли VPN драйвер подтупливает, то-ли пров мозг имеет, то-ли еще что-то

Alabin
измени сеть в своем здании, ставь керио в разрыв и рисуй нужные правила.
mini
драйвер подтупливает - это как-то....смешно, что-ли. Скорее уж сеть на физической машине не в порядке - она как-то в инет выходит. Можно на интерфейсе впн прямо указать сетевые параметры вместо дхцп. И время на виртуалке проверить.

iamgene

В своем то изменю, но от них тоже ходят к нашим серверам. Тогда они все полностью отваляться..

mini
повторюсь, у тебя валятся сервисы Kerio Control, из-за чего я в душе не представляю. возможно виновен патч.

Добавлено:
Alabin
предполагаю надо ковырять маршрутизацию и ставить керио перед входом в твою зону ответственности, маршрутов судя по описанию придётся прописывать много, учитывая что маршруты в сеть 172,16,0,0/16 прописывать не надо, т.к. сеть одна, надо будет ковыряться с сетками класса 192,168,

Tihon_one
вообще-то сервис там один - к впн относящийся. Валится (странное вообще выражение) он только по двум причинам - или сети нет, или конфликт с аналогами типа аутпоста обычно.
Про маршруты мог бы много сказать, ограничусь - это под кажый хост свой маршрут? Ну-ну.... любишь ты своих покупателей...
Ну и про патч - не надо гнать волну: правильно патченый не хуже зря купленного.

Цитата:

Последняя версия (лекарство смотрим ниже):
Kerio Control 7.0.1 Build 1098, Released on: August 04, 2010 Release history

Что-то шапка устарела... давно варезную шапку не копировали

Кстати пользуюсь версией Kerio Control 7.1.0 Build 1694, Patch 2, через браузер подключаюсь к Clientless SSL-VPN, авторизация не проходит - пишет Incorrect. Домен - Win 2008, Active Directory, OS - Windows Server 2008 SP2

iamgene
чую претензии, но не понимаю от чего, если интересно то поясню что да как в моих суждениях:

по поводу падения сервисов:


[17/Jan/2011 10:26:34] Service "DNS" bound to address 10.0.3.2 stopped
[17/Jan/2011 10:26:34] Service "WebInterface" bound to address 10.0.3.2 stopped
[17/Jan/2011 10:26:34] Service "VPN" bound to address 10.0.3.2 stopped


падает VPN интерфейс, это очевидно, про патч ничего сказать не могу, встречал и не такие баги, извините, но компания Керио, судя по всему, сама писать подобные вещи для своих продуктов не будет, обратитесь к писателю патча.

А валится\падает\умирает\идёт вниз, и т.п. лишь обороты речи, кои не запрещены в неформальном общении, вам не нравится, тогда вам направо.

Теперь далее, о каких маршрутах речь идёт?

Если из поста про "мост", то уважаемый, не вижу ничего страшного, назначить на внешний интерфейс несколько IP и дальше рулить маршруты, проблема в том, что я могу быть не точен из-за скромных попыток телепатировать ТЗ из головы уважаемого пользователя задавшего соответствующий вопрос. А по поводу "Ну-ну.... любишь ты своих покупателей... " вообще не понимаю, я никому ничего не продаю, у меня нет покупателей, да и даже если бы и были, покупатель должен быть человеком с включенными мозгами.

А про то что там зря что-то покупать, ну в целом, если используется, то значит нужен, если не используется, значит не нужен, по моему крайне логично. Не нравится, используйте открытую платформу и не морщиньте мозг людям.

Пример: основное соединение, используемое для исходящего трафика, реализуется через сетевой адаптер (обозначенный в WinRoute как Интернет). Для альтернативного соединения будет использоваться интерфейс удаленного доступа



Это хорошо . Ставим в DESTINATION сетевые адаптеры

Только у меня есьть правило где в DESTINATION список IP адресов . Я так для SIB сервера делал ибо убился разбираться .

Подскажите кто-нибудь по аутентификации NTLM. Версия 7.0.1.
Ситуация такая - Соответствие учетных записей AD настроил, галочки "Требовать аутентификацию" и "Автоматическое выполнение обозревателями" проставил.
Автоматическая аутентификация через браузер без ввода пароля работает, но как-то странно.

https://myserver:4081/ - так работает
https://myserver.mydomain.local:4081/ - так не работает

И в результате, когда в начале сессии запускаешь браузер, если не авторизоваться и попробовать выйти в интернет, он скидывает на страницу аутентификации, но https://myserver.mydomain.local:4081/ и автоматом не проходит, приходится вбивать имя пользователя и пароль и тогда нормально авторизуется, а если вручную вбить https://myserver:4081/ то он автоматом авторизуется и не просит логин-пароль.

Может кто знает, как заставить браузер правильно авторизоваться, чтобы проходило автоматом?

Romeo_sh
добавь https://myserver.mydomain.local в зону локальной интрасети в настройках IE

Не могу настроить аутентификации NTLM.

Файрвол в домене
Локальные машины в домене
Домен на win 2003
Керио 6.7.1 build 6399 без кабана.

На керио поставил использовать аутентификацию. НО не получается прозрачной аутентификации.

через страницу входа проходит.

убил кучу времени, читал эту тему и на форуме керио-рус. не могу понять в чем моя ошибка.

varbasik

из статьи в базе знаний: _http://support.kerio.com/index.php?_m=knowledgebase&_a=viewarticle&kbarticleid=525&nav=0,43


* Появляется окно ввода имени пользователя и пароля(Internet Explorer)

Проверьте, правильно ли разрешается локальное имя хоста с KWF. Сделать это можно тут (Дополнительные параметры->Веб-интерфейс/SSL-VPN->Имя сервера WinRoute.) Также возможно добавить имя хоста WinRoute в группу локальных адресов в настройках Internet Explorer.

Проверьте, что пароль сохранённый в менеджере паролей верен: найти его можно (Windows XP) здесь: (Панель управления-> Учетные записи пользователей-> Дополнительно->Управление паролями). Одна из причин, почему это может происходить, к примеру, сервер WinRoute также выполняет роль файл-сервера, который использует, для доступа к своим ресурсам, локальную базу пользователей, взамен доменной, и пользователь сохранил этот пароль.

Так же, возможно, будет необходимо добавить имя WinRoute сервера в настройки локальной зоны интрасети, в настройках Internet Explorer. Для этого перейдите Сервис->Свойства обозревателя->Безопасность->Местная интрасеть, нажмите на кнопку «Узлы», в открывшемся окне нажмите кнопку «Дополнительно», введите имя сервера WinRoute, нажмите кнопку «Добавить». Щёлкните по кнопке «Закрыть»->«ОК»->«ОК». Затем перезапустите Internet Explorer.



* Открывается страница авторизации:



Если вы используете Firefox обозреватель:

1. В адресной строке введите «about:config».
2. Найдите опцию «network.automatic-ntlm-auth.trusted-uris».
3. Введите значение DNS имени межсетевого экрана. (например "firewall1.us.company.com")

есть банка с керио. на ней:
eth0 - 10.62.165.10/24 (локалка провайдера)
VPN (через eth0) 77.77.77.77/32 (инет от провайдера)

eth1 (на одном интерфесе 2 IP):
eth1.1 - 10.0.0.1/24
eth1.2 - 172.16.5.2/24

wlan0 - 172.16.1.1/24 (WiFi)

в каждой из 3х сетей есть "потребитель".
схема примерно такая:



пока не добавил eth1.2 все работало как надо. все имели доступ друг к другу и в локалку провайдера + инет.

Понадобилось добавить 172.16.5.1, ему инет не нужен, но к нему нужен только доступ из 2х других сетей (из 10.0.0.0 и 172.16.1.0)

Правила (с которыми все работало):


по идее правила менять не надо, т.к. фактически интерфейс остался тот же Home.
Но почему то не работат. или керио не умеет с 2 IP на интерфейсе работать?

kerio 6.4.2.3672
Win XPsp3

Если пинговать со 172.16.1.2 то ping уходит до 10.0.0.31, а до 172.16.5.1 нет. но пингуется 172.16.5.2 (сам eth1.2)

Tihon_one
В том то и дело ,что ни чего не появляется Настраивал по FAQ цитату с которого вы привели.

Не понимаю почему вообще не происходит переброс на страницу аутентификации, уж не до NTML.

Делал как советовали на форуме такие правила:

Аутентифицированные пользователи - Интернет- HTTP -Alloy-NAT
потом
Доверенный - Интернет- HTTP -Alloy

в фильтре видно только подключения по HTTP - это срабатывает второе правило
но поскольку аутентификации нет, то по первому правилу (НАТ) трафик не ходит.

в активных видно! пользователей домена.

Dis74
Не понятно зачем нужен NAT на локальном трафике.
Ну и если не поможет отключение ната, то хочется увидет трасерт и таблицу роутов.

varbasik
Т.е. срабатывает прозрачная авторизация? Статистика ведётся? (заранее звеняйте если где то выше это озвучено)

faust72rus
В каждом сегменте есть всякие сервера, http, ftp, samba. и без включеного ната для правила с локальным трафиком - не было доступа например с 172.16.1.2 на 10.0.0.31. а так есть:

>tracert stora
Трассировка маршрута к Stora [10.0.0.31]
с максимальным числом прыжков 30:
1 3 ms 2 ms 2 ms kerio [172.16.1.1]
2 2 ms 2 ms 2 ms Stora [10.0.0.31]
Трассировка завершена.


А вот в третий сегмент нету. да и сам керио показывает в админконсоли только 1 адрес. подозреваю что он просто не умеет с двуя на интерфейс работать.
>tracert 172.16.5.1
Трассировка маршрута к RR22-sberbank31-gw.is74.ru [172.16.5.1]
с максимальным числом прыжков 30:
1 4 ms 2 ms 2 ms kerio [172.16.1.1]
2 * * * Превышен интервал ожидания для запроса.
3 * * * Превышен интервал ожидания для запроса.

Dis74
Для этого и придумали роутинг.
Сети ведь твои? Т.е. ты в каждой можешь сделать маршруты на другие сети, особенно учитывая, что керио, судя по схеме, везде основной шлюз (ну разумеется кроме ситуации с локальными сетями провайдера и интернетом).

Керио умеет работать с несколькими адресами, но в этом случае, он просто не знает за какой адрес делать маскарадинг и делает за основной, т.е. за тот который отображается в админке.


Если я не прав, то добавление верхнего правило которое просто разрешает транзитивный трафик между сетями БЕЗ ната ничего не даст (если конечно условие с основным шлюзом везде выполняется) и тогда адвансеты меня забросают камнями =)

faust72rus
C самого керио все доступно, он не может корректно завернуть трафик именно в 172.16.5.1.
Дополнительных маршрутов прописывать не вижу смысла (и не понимаю какие), ведь и так для всех керио главный шлюз, он и должен заворачивать куда надо.

На самом керио маршрут есть
172.16.5.0/24 IF Home M20.

По идее трафик подпадает под правило WiFI-Home-any-allow-nat

Но я делал даже отдельное 172.16.1.2-172.16.5.0/24-any-allow-nat. тоже не идет.

Обьясните что вы имеете ввиду, и какое должно быть правило?

Dis74
WiFI-Home-any-allow
Home-WiFI-any-allow
Два таких правила. БЕЗ NAT.

varbasik
на обоих правилах ДОЛЖЕН быть NAT.

ой

Tihon_one

Включал оба правила в НАТ ,но тогда не видно авторизованных пользователей, не видно в журнале соединений по первому правилу.

Вот еще какая фишка, если в параметрах пользователя указать какие ИПы он юзает, то трафик идет по первому правилу ,в активных пользователя видно,
если указать диапазон ИПов, (вообще весело) то всем ИПам в статистике приравнивается этот пользователь, вообще ни чего не понял.