» Kerio Control (ex Kerio WinRoute Firewall)

Tihon_one

Цитата:

Был бы рад увидеть хоть какой-нибудь гайд по переделке vpn-клиента в шлюз для двух сетей. ребят реально интересно, ведь позволить сэкономить кучу денег.

По свободе попытаюсь сделать и через керио-впн-клиент.
В теории будет так
Создаем ВПН-подключение между филиалом (керио-впн-клиент) и центром (КериоКонтрол).
Далее, добавляем маршруты на сервере с керио.
мпд на фре это делает скриптом автоматически, с керио придется пошаманить - прописать маршруты в подсеть за шлюзом филиала через его IP, который он получит при коннекте (во избежание путаницы надо будет назначать статичные IP VPN-клиентам)
Из машины под ХР в филиале делаем роутер - вставляем вторую сетевую, включаем службу "Маршрутизации и удаленного доступа" (да-да она там тоже есть, по дефолту отключена), на остальных компах прописываем ее внутренний IP шлюзом по умолчанию.
Вроде все.

Ребят такая проблема:
У меня стоит В главном офисе Сервак с 2-мя сетевухами (Lan, Inet) на котором установлен Kerio Control на котором поднят сервер VPN.

вот данные: Lan: IP :192.168.10.91
Subnet Mask: 255.255.255.0

inet: X X X X

Kerio VPN:Сеть 192,168,20,0
IP: 192.168.20.1
Subnet Mask: 255.255.255.0

В другом городе, филиале в офисе тоже сервак тоже с 2-мя сетевухами (Lan, Inet) на котором установлен Kerio Control на котором поднят сервер VPN.

вот данные: Lan: IP :192.168.15.92
Subnet Mask: 255.255.255.0

inet: X X X X

Kerio VPN: Сеть 192,168,30,0
IP: 192.168.30.1
Subnet Mask: 255.255.255.0

необходимый результат: Нужно настроить подключения от Клиентов Филиала из другого города к Клиентам главного офиса.

Нынешний результат: Клиенты филиала другого города проходят весь этап до Сервака главного офиса(шары, админка, пинги), и на этом стопорится.

Вопрос: Как настроить сервак филиала что-б он смог подключиться к клиентам сервака главного офиса. (Клиенты сервака главного офиса даже не пингуются).

Вот Скрины правил от каждого:
Главный Офис:
http://img854.imageshack.us/i/glavniiofis.jpg/
Филиал:
http://img42.imageshack.us/i/filial.jpg/

Общая схема в визио:
http://img12.imageshack.us/i/chema.jpg/

vaniuhaha
Было б неплохо до кучи приложить таблицу маршрутизации с серваков и с клиентов, а также ipconfig /all с них же

unreal 777
сомневаюсь что получится, бо клиент VPN от керива не пропустит пакеты левые не всё так просто, иначе никто бы не ставил две керивы только ради VPN туннелей. Но попробуй, попытка как грится не пытка.

Tihon_one

Только ради туннелей керио и ставить нет смысла. Клиент впн от керио не юзаю, врать не буду, хотя думаю идея unreal 777 вполне осуществима (не вижу что ей может помешать), а вот openvpn для удаленных офисов, где нет керио, использую лично. Никаких проблем нет, разве что настроить немного сложнее. Работает точно также, как и каналы через керио туннели.

Помогите пожалуйста.
Как в настройках Керио сделать так, чтобы он не считал трафик с Бэкбона (бесплатные сайты)?
И еще один вопрос. У нас авторизация производится автоматическая (ip адреса стат, прописаны в керио на каждого пользователя). В правилах трафика стоит Источник - Доверенные/локальные интерфейсы, а в назначение - инет. Как запретить не авторизованным доступ в инет?
Стоит Kerio Control 7.1.1 build 1971.

unreal 777
Вот инфа с серваков
Филиал
http://img98.imageshack.us/i/filialmarshrut.jpg/
http://img683.imageshack.us/i/filialtcpip.jpg/

Сервак
http://img863.imageshack.us/i/glavservmars.jpg/
http://img59.imageshack.us/i/glavservtcpip.jpg/

Добавлено:
а что нужно прописывать клиентам?

Всем доброго времени суток!

В 6-й части данной темы на 96й странице некий ryanblack озвучивал проблему с подключением к Корбине (напоминаю текст):
-------------------------------------------------------
Вчера до "Однако поиграйся с настройками вкладки Безопасность виндового подключения к провайдеру. Керива, хоть и звонит, но использует системные настройки дозвона." сам додумался.
DNS Forwarders настроил на ip 2х сереверов корбины.
Разрешаются любые имена vpn.corbina.ru, ya.ru, ...
Понятно что без туннеля в Инет не пустит.
Зато открывается lk.beeline.ru - личный кабинет. Это нормально, так как локальные ресурсы доступны без Инета.
Пингуется сервер beeline-а - vpn.corbina.ru.
Отключил Kerio. Попробовал виндовое подключение к vpn.corbina.ru. Всё работает.
Включил Kerio. Опять пробую виндовое подключение. Долго думает. - Ошибка 800.
Попробовал дозвон через Kerio.
В dial log пришет:
Unable to dial line "vpn.corbina.ru" (Unable to establish the VPN connection. The VPN server may be unreachable, or security parameters may not be configured properly for this connection.)

По идее раз виндовое подключение используется и все настройки там прописываются - должно всё работать. Очевидно проблема с правилами.

Кто подскажет, как создать правило, которое бы разрешало бы всё в оба направления ?
--------------------------------------------------------------------------------------------------------

Проблема тогда решена так и не была, либо просто не отписались. Вобщем столкнулся сейчас с той же траблой!

Имеется сервак на Win2003 server std edition, Kerio 7.0.1, провайдер Корбина (нынешний Билайн). Создано ВПН подключение для всех пользователей, сохранён пароль в виндах, при остановленной службе Керио - ВПН поднимается на ура, при запущенной долго думает и в итоге ошибка 800. Подключаюсь по PPTP на vpn.internet.beeline.ru Правилами разрешён ВЕСЬ исходящий трафик с фаервола в инет.

Прикол №2. Дома аналогичная картина. Только подключение настроено на tp.corbina.net по L2TP - и всё прекрасно подключается. Здесь же создаю точно такое же подключение и получаю ошибку (не помню номер) про безопасность.

Помогите плиз что-нибудь придумать! Уже неделю без инета сижу!!! Сегодня параллельно ТраффикИнспектор попробую.

upd.

Создал правило пускающее любой трафик с vpn.internet.beeline.ru на фаервол в керио и отключил проверку экзэшника винроута в ноде32, вроде подключение стало устанавливаться, но инет всё равно не пашет, хотя ДНС резолвит имена. Подключение стабильно устанавливается из виндовой папки "сетевые подключения", но из керио через раз и практически всегда в керио написан неверный статус подключения...

честно говоря устал уже(((

есть идеи?

Всем привет...
С KWF знаком совсем недавно, первые шаги так сказать...
И так KWF 6.7.1

Почитал немного, конечно всего сразу не охвачу, все приходит с практикой...если не затруднит посмотри пожалуйста мои настройки...
Политика трафика:


правила указал пока самые примитивные, для локальных пользователей разрешено пока пользоваться почтой аутлук, разрешена аська, пинг внешних ресурсов и полный доступ собственно для шлюза...
Немного смущает правило NAT for DNS(подсвечено красным)

В локальной сети у меня имеется отдельная машина Win2003(192.168.141.1), которую я использую, как сервер баз данных 1С 7.7, Terminal Server(через чего пользователи 1С входят в программу)и так же поднят DNS сервер. В качестве шлюза на котором сейчас установлен KWF я использую временно мой рабочий ПК(192.168.141.2).
Настройки сетевого адаптера и сервера DNS:


в графе пересылка указаны DNS адреса провайдера. Все верно?

Получается в сетевом адаптере который смотрит в локалку у меня должно быть:
192.168.141.2
255.255.255.0
шлюз не указываю

DNS
192.168.141.1


У юзверей
192.168.141.х
255.255.255.0
192.168.141.2

DNS
192.168.141.1

Все ли верно? мои мысли на верном пути?

vaniuhaha
Че-то меня смущает два IP адреса на kerio Virtual adapter в ЦО. Это так надо?
Дальше, маршруты у тебя неверны. Чтобы из филиала с подсетью 192.168.15.0/24 попасть в подсеть ЦО 192.168.10.0/24 через впн, маршруты должны быть такие
В филиале
route add 192.168.10.0 mask 255.255.255.0 192.168.30.2
В ЦО
route add 192.168.15.0 mask 255.255.255.0 192.168.30.1

У тебя на рисунке все замазано, я ж не знаю, что там скрывается, но этих маршрутов не вижу. Таблицу маршрутизации лучше показывать в виде route print

Добавлено:
dddimmm
Использовать свою рабочую машину, как шлюз для локальной сети...это смелое решение ) И в этом ты на неправильном пути в корне. Под шлюз надо сразу выделять отдельный сервер с двумя сетевыми картами. Потом будет намного меньше гемора.
По посту непонятно, а что тебе в конечном итоге надо получить? Как твоя машина выходит в и-нет?

unreal 777
я же написал что рабочий ПК использую временно ...отдельная машинка будет чуть позже
А вопрос верно ли правило NAT for DNS и правильно ли указал настройки сетевого адаптера на машине, которая используется как DNS сервер?

unreal 777
я тебе в пм ща руты скину...
----------------------------------
отправил

dddimmm
правило верно указал. Можно даже расширить - Источник "Доверенные/локальные" - Цель "Интернет интерфейсы"
По сути тебе правил по умолчанию, которые создаются мастером при первом запуске, хватит

Добавлено:
vaniuhaha
А как ты впн тоннель настраивал? Одна сторона активная, другая пассивная? И еще покажи tracert
- от сервака филиала на любой клиент ЦО
- от любого клиента ЦО на сервак филиала
- от сервака ЦО на сервак филиала
По этому мануалу делал?
http://www.redline-software.com/rus/support/docs/winroute/ch12s05.php

К серваку ЦО активное от филиала, на серваке ЦО пасивное подключение от филиала.

Да делал по мануалу тока DNS forwarding не делал

vaniuhaha

Однозначно, правила на филиале и ЦО fil1, fil2, Филиал и Главный офис лишние, т.к. уже включены в самое первое правило.
Что говорит трассировка?

Client Цо -> Filial Server:
Трассировка маршрута к 192.168.15.92 с максимальным числом прыжков 30

1 1 ms <1 мс <1 мс server [192.168.10.91]
2 11 ms 12 ms 8 ms 192.168.15.92

Трассировка завершена.

Filial Server -> Client ЦО:
Трассировка маршрута к MEETINGROOM [192.168.10.75]
с максимальным числом прыжков 30:

1 5 ms 7 ms 6 ms 192.168.240.2
2 * * * Превышен интервал ожидания для запроса.
3 * * * Превышен интервал ожидания для запроса.
4 * * ^C
Трассировка завершена.

Filial Server -> ЦО Сервер:
Трассировка маршрута к SERVER [192.168.10.91]
с максимальным числом прыжков 30:

1 6 ms 5 ms 5 ms SERVER [192.168.10.91]

Трассировка завершена.

Server ЦО -> Server Filial:

Трассировка маршрута к VIDEO-SERVER2 [192.168.15.92]
с максимальным числом прыжков 30:

1 6 ms 9 ms 7 ms VIDEO-SERVER2 [192.168.15.92]

Трассировка завершена.

Клиент filial -> цо Клиент:

Tracing route to 192.168.10.75 over a maximum of 30 hops

1 <1 ms <1 ms <1 ms video-server2 [192.168.15.92]
2 6 ms 5 ms 8 ms 192.168.20.1
3 * * * Request timed out.
4 ^C


Добавлено:
правила убрал

vaniuhaha


Цитата:

Filial Server -> Client ЦО:
Трассировка маршрута к MEETINGROOM [192.168.10.75]
с максимальным числом прыжков 30:

1 5 ms 7 ms 6 ms 192.168.240.2

А что это за 192.168.240.2 хрень? Откуда она взялась, если в таблице маршрутизации ей и не пахло?

unreal 777
мы изменили 30,0 на 240,0 сори забыл предупредить

wz777

Цитата:

проблему с подключением к Корбине

у меня дома на win7 стоит Kerio 6.7.1, подключение к билайну через L2TP,
PPTP тоже работал, Kerio сам подключается к интернету (указан "Дозвон по запросу")
Антивирус AVG
да, и самое главное - Kerio-VPN сервер тоже запущен и подключение к нему извне связь не обрывает.
если надо, могу проверить на win XP
настройки подключения к vpn билайна верные? при отключенном kerio подключение проходит?
P.S.: tp.corbina.net разве еще работает?

Polovov


Цитата:

настройки подключения к vpn билайна верные? при отключенном kerio подключение проходит?  
P.S.: tp.corbina.net разве еще работает?

1. да, настройки естесственно верные, т.к. при остановленной службе керио впн поднимается на ура
2. tp.corbina.net у меня прекрасно работает по одному адресу, а по другому не работает((

wz777
странно, впн билайна перенастраивал не единожды не зависимо от того запущен керио или нет

интерфейсы и политики трафика покажешь?

Добрый день всем местным знатокам )
Прошу подсказки у более опытных (знаю, таковые здесь есть)

Ситуация следующая:

- есть сервер, на котором поднята Kerio Control, реализована работа DHCP, виндосовская DHCP отключена
- есть сеть с более чем 40 машинами, которые находятся в двух АБК (2 административных комплекса)
- пк висят на кабельных соединениях, ноутбуки на wi-fi, ибо
- есть 2 точки доступа, которые настаривались и устанавливались еще до меня

так вот, проблема выявилась следующая - ноутбуки wi-fi не получают IP от DHCP реализованного на сервере, они получают его от роутера (точки доступа), как я понял
я вижу их МАК-адреса во вкладке DHCP -> "аренда", резервирую на эти МАКи IPшники, перезагружаю ноутбуки - IP присваивается старый, который был выдан еще ранее, тот который я прописал не присваивается и как результат интернета нет

как можно победить данную беду и можно ли вообще, не затрагивая точки доступа?
или же все таки нужно менять керио на что-то другое? traffic inspector хотел, но на server 2008 нет версии с лекарством

буду рад, если кто-то сможет помоч, ибо сегодня у босса пропал интернет на ноутбуке и он, прийдя ко мне, сказал, что еще раз и кто-то будет искать работу.. может это шутки такие у него, но весь день хожу уже сам не свой и голову ломаю..

insyo
А что за проблема просто отключить dhcp на точках доступа?

а неизвестно кстати, там возможно и отключена dhcp, ибо выявил следующее:

- интернет пропал на 3х тачках отдела из 5, 2 из них ноутбуки по wi-fi, 1 пк через кабель
- вытащил - всунул бп роутера, перезагрузил ноутбук, IP присвоился тот, который я зарезервировал в DHCP, сеть видет, все ок, но интернета так и нет, пишу статику - таже беда
- правила трафика стандартные, после установки не менял
- служба переадресации DNS в Керио выключена, на сервере включена, зоны прямого и обратного просмотра настроены
- в настройках DHCP указан диапазон адресов сети 192.168.0.0 / 255.255.255.0, срок аренды отключен, шлюз по умолчанию 192.168.0.1, днс такой же, в сервер WINS ничего не писал и указан домен


проблема началась еще вчера, когда у сотрудника пропал интернет на смартфоне при автоматических настройках, хотя IP я ему резервировал, прописали статический IP - его пустило в интернет, сегодня вроде как с утра инет появился на автомат. настройках
до того как я установил Kerio ничего такого не было, да и Kerio на ура отработал неделю
единственное сегодня прийдя на работе обнаружил тот факт, что кто-то в сети выбил сервер с таким же IP 192.168.0.1, антиспуфинг включен..

Может кто поможет разобраться...KWF пытаюсь настроить впервые...
KWF 6.7.1
организация перешла на другого провайдера, протянули оптоволокно...

IP настройки для сетевой платы смотрящей в сеть провайдера:

как видно днс сервера у них не указано...

так же создано подключение PPTP где я ввожу логин и пароль для подключения к ним:


Не пойму что именно мне указывать в политиках трафика для выхода в интернет,
пробовал уже методом тыка Firewall -> WAN, Firewall -> PPTP...
сильно не пинайте...только начинаю вникать........

vaniuhaha

Цитата:

мы изменили 30,0 на 240,0 сори забыл предупредить

Все равно непонятно, был адрес впн сервера в филиале 192.168.30.1, а стал 192.168.240.2? Так что ли? Может быть все заново перерисуешь правильно, а то запутаться легко.
Впн-тоннель создается, просто надо правильно маршруты прописать.

Цитата:

Клиент filial -> цо Клиент:

Tracing route to 192.168.10.75 over a maximum of 30 hops

1 <1 ms <1 ms <1 ms video-server2 [192.168.15.92]
2 6 ms 5 ms 8 ms 192.168.20.1
3 * * * Request timed out.

Вот здесь, например, Клиент филиала правильно выходит на роутер филиала, роутер его снова же правильно перекидывает на впн адрес сервака ЦО. Следующий шаг - маршрут из впн сети в локальную сеть ЦО.
Т.е. нужен маршрут в ЦО
route add 192.168.10.0 mask 255.255.255.0 192.168.20.1
Есть у тебя такой?



Добавлено:
dddimmm
Почитай отличный мануал на русском
http://www.redline-software.com/rus/support/docs/winroute/ch04s01.php

unreal 777
ша гляну

insyo
В таких случаях надо прилагать к посту ipconfig /all с сервера и клиента хотя бы. И скриншот правил трафика.
Также, если ты говоришь о точках доступа, то их настройки тоже в студию. А потом говоришь слово "роутер" Это две разных вещи. Это обычные ТД или беспроводные маршрутизаторы, на которых может быть свой DHCP?
Еще надо понимать, что клиент пытается на новом DHCP сервере получить тот же адрес, который был у него раньше. Т.е. для корректного обновления IP надо выполнить на клиенте команду ipconfig /renew. Либо отключить/включить сетевую карту

unreal 777
у меня комп на котором я тестил забрали... давай попробуем подключить сервак филиала к клиенту цо.

unreal 777

Цитата:

Почитай отличный мануал на русском

спасибо за сылку, начал читать...
если не ошибаюсь в моем случае следует начать с графы "Взваимодействие двух частных сетей через Интернет (VPN туннель)"? Если так, то как быть с методом "Отпечатки пальцев"? Эта информация узнается у провайдера?