Здравствуйте!
А куда в впн клиенте расширенный режим убрали? Зачем?
А куда в впн клиенте расширенный режим убрали? Зачем?
» Kerio Control (ex Kerio WinRoute Firewall)
Доброго дня всем!
Есть граничная кошка, за ней почтовик и прокся на Kerio Control 7.0, а за прокси сервер Вин2008 Р2 с поднятой RRAS. Параллельно на Керио поднят свой VPN-сервер, который чудно работает, но есть одно "но" - есть пару людей для которых необходим удаленный доступ, но в силу политики безопасности на их конторах они не могут установить клиента КериоВПН и коннектися по его портам, зато могут подымать РРТР через стандартный ТСР/1723. Вот я и призадумался, что и где нужно открывать/мапить для того, чтобы РРТР работал? Простая проброска порта 1723 на кошке и керио не помогает. Схему сети прилагаю.
Может кто поделится идеями?
Есть граничная кошка, за ней почтовик и прокся на Kerio Control 7.0, а за прокси сервер Вин2008 Р2 с поднятой RRAS. Параллельно на Керио поднят свой VPN-сервер, который чудно работает, но есть одно "но" - есть пару людей для которых необходим удаленный доступ, но в силу политики безопасности на их конторах они не могут установить клиента КериоВПН и коннектися по его портам, зато могут подымать РРТР через стандартный ТСР/1723. Вот я и призадумался, что и где нужно открывать/мапить для того, чтобы РРТР работал? Простая проброска порта 1723 на кошке и керио не помогает. Схему сети прилагаю.
Может кто поделится идеями?
insyo
Цитата:
Картинки не видно. Если адрес находится в резерве, то независимо от окончания аренды он останется в резерве за определенным маком.
Добавлено:
Rad_Eugen
Вам помимо TCP/1723 надо еще пробросить GRE. Керио с этой задачей без сомнений справится, а вот про циску не знаю, не компетентен.
Цитата:
адрес зарезервирован, но аренда истекла, подтверждения аренды не происходит в течении N-го времени, каков итог? адрес освободится?
Картинки не видно. Если адрес находится в резерве, то независимо от окончания аренды он останется в резерве за определенным маком.
Добавлено:
Rad_Eugen
Вам помимо TCP/1723 надо еще пробросить GRE. Керио с этой задачей без сомнений справится, а вот про циску не знаю, не компетентен.
freewood
благодарю
благодарю
freewood
Цитата:
Циска справится. GRE нужно именно пробрасывать (мапить/натить) или просто разрешить на обоих роутах?
Цитата:
Вам помимо TCP/1723 надо еще пробросить GRE. Керио с этой задачей без сомнений справится, а вот про циску не знаю, не компетентен.
Циска справится. GRE нужно именно пробрасывать (мапить/натить) или просто разрешить на обоих роутах?
так мне может кто та помочь? маршруты все правильно прописываются автоматом (192,168,10,0...) но все равно к клиентам не пускает..ю
vaniuhaha
включите лог дропнутых пакетов в debug и смотрите, если в нём ничего нет, то скорее всего пакеты дохнут по середине, а значит они не возвращаются с удалённых клиентов, всё просто, да и вообще, скринов правил нет, ipconfig /all с клинетов в разных локалках и на обоих шлюзах нет, ничего нет, как тут помочь-то? ппц...
включите лог дропнутых пакетов в debug и смотрите, если в нём ничего нет, то скорее всего пакеты дохнут по середине, а значит они не возвращаются с удалённых клиентов, всё просто, да и вообще, скринов правил нет, ipconfig /all с клинетов в разных локалках и на обоих шлюзах нет, ничего нет, как тут помочь-то? ппц...
ок давай уточним что какие скринны тебе сделать? я просто уже не один раз выкладывал... но выложу еще раз уточни что именно тебе выложить? кроме правил и ip configov?
vaniuhaha
правила трафика, там и там, ipconfig клиенты в обоих сетях и два шлюза, route print на клиентах в обоих сетях и на шлюзах.
правила трафика, там и там, ipconfig клиенты в обоих сетях и два шлюза, route print на клиентах в обоих сетях и на шлюзах.
Rad_Eugen
GRE это протокол, так что тупо замапить его не получится. В керио это банально делается правилом, а вот на циске не знаю. Если верить гуглу, то на циску какие-то примочки нужно добавлять для проброски GRE. Больше ничем не помогу, не сведущ. )
GRE это протокол, так что тупо замапить его не получится. В керио это банально делается правилом, а вот на циске не знаю. Если верить гуглу, то на циску какие-то примочки нужно добавлять для проброски GRE. Больше ничем не помогу, не сведущ. )
Цитата:
GRE это протокол, так что тупо замапить его не получится. В керио это банально делается правилом, а вот на циске не знаю. Если верить гуглу, то на циску какие-то примочки нужно добавлять для проброски GRE. Больше ничем не помогу, не сведущ. )
На циске это тоже делается просто, посредством аксес-листов. На одной конторе у меня такая вещь работает, но там нет керио между циской и РРАС, сделанг мапинг порта 1723 и разрешен ГРЕ на вход/выход. А здесь где-то на керио тупеж идет - в подключениях есть соединение по 1723, но не видно, чтобы отрабатывало правило по которому разрешен ГРЕ в любом направлении.
Все, разрулил тему с ВПН! Если кому в будущем понадобится, то схема такая:
На циске разрешаем ГРЕ в обоих направлениях и мапим ТСР/1723 на порт 1723 Керио.
На Керио разрешаем ГРЕ в обоих направлениях, мапип ТСР/1723 на порт 1723 РРАС и НАТим РРАС(ему я разрешил любую службу)
Отдельное спасибо freewood
Доброе время суток. Подскажите по такой проблеме...стоит лиц керио на 5 пользователей, используется около 25 машин, заведено 3 пользователя и эти машины разбиты на группы ip и присвоены пользователям, после последнего добавления 2 машин стали возникать ошибки такого типа :
"License error: License exhausted, cannot allow another IP address (192.168.1.19) for user (limited)."
все раньше работало без ошибок....я так понимаю на 5 пользовательской лицензии стоит ограничение на количество машин обслуживаемое?
P.S. Заранее благодарен
"License error: License exhausted, cannot allow another IP address (192.168.1.19) for user (limited)."
все раньше работало без ошибок....я так понимаю на 5 пользовательской лицензии стоит ограничение на количество машин обслуживаемое?
P.S. Заранее благодарен
Всем привет. Как правильно подключить пользователей домена (примерно 220) в керио 7.1.0.
ошибка Active Directory/LDAP connect error
AD win serv 2003, машина с KWF в домене
ошибка Active Directory/LDAP connect error
AD win serv 2003, машина с KWF в домене
stoun
Ну вроде как не более пяти активных хостов на вашей лицензии.
Ну вроде как не более пяти активных хостов на вашей лицензии.
freewood
однако раньше ведь работало без проблем...там дело не в хостах.....там именно написано что на 5 пользователей....а в 1 пользователе может быть задан диапазон ip или группа.
однако раньше ведь работало без проблем...там дело не в хостах.....там именно написано что на 5 пользователей....а в 1 пользователе может быть задан диапазон ip или группа.
stoun
посчитайте число активных хостов, и на скольких хостах авторизованна 1\2\3 учётная запись.
Начиная с контрола подсчёт лицензий ведётся по схеме:
1лицензия=1учётная запись=5 IP адресов
посчитайте число активных хостов, и на скольких хостах авторизованна 1\2\3 учётная запись.
Начиная с контрола подсчёт лицензий ведётся по схеме:
1лицензия=1учётная запись=5 IP адресов
Точно...гдето давно пробегала такая инфа...когда парк был не большой было достаточно лицензий....щас походу надо еще докупить.
Connection limit of 600 outbound connections reached for firewall host.
Это только с машины где стоит KWF
Это только с машины где стоит KWF
Olezka Количество соединений увеличьте в керио....там лимит по умолчанию на 600 стоит.
Всем привет! Только крепко не пинайте, в понедельник поставил керио 7.1.2 2333
Были некоторые нюансы по настройке, решил их
Проблема в том что основной роутер у меня сгорел FortiGate-100А, в нем была настроена вся политика и ВПН.
Надо было срочно что-то поднять на компе, решил поставить керио, теперь есть пару вопросов:
1. Можно ли настроить впн между фортиком и керио типа "офис офис"
2. Как быстро пустить только выбранных юзеров по ИП, а других блочить.
3. Как правильно использовать Политику HTTP.
Можно пожалуйста какие скрины, мануал для юзера, ато завал.
Были некоторые нюансы по настройке, решил их
Проблема в том что основной роутер у меня сгорел FortiGate-100А, в нем была настроена вся политика и ВПН.
Надо было срочно что-то поднять на компе, решил поставить керио, теперь есть пару вопросов:
1. Можно ли настроить впн между фортиком и керио типа "офис офис"
2. Как быстро пустить только выбранных юзеров по ИП, а других блочить.
3. Как правильно использовать Политику HTTP.
Можно пожалуйста какие скрины, мануал для юзера, ато завал.
Olezka
1. нельзя. в керио впн работает только с Kerio VPN Client. А также можно сделать впн-туннель Kerio - Kerio
2. в правилах трафика создать правило
[выбранные ИП] - [интернет] - [разрешить] - [нат]
остальные будут блочиться самым нижним правилом (если нет других разрешающих)
единственное НО: в этом случае разрешенным будет трафик не от пользователя, а от ИП. Т.е. Керио не будет пытаться идентифицировать пользователя и вся статистика будет валиться на неизвестного пользователя.
если в статистике все-же нужно видеть имя, то:
- в списке пользователей завести нужное количество пользователей
- в свойствах каждого пользователя на закладке IP-адреса задать каждому уникальный адрес компьютера
- в правилах трафика создать правило:
[список разрешенных пользователей] - [интернет] - [разрешить] - [нат]
в этом случае, при попытке запроса соединения с интернет-узлом с локального компьютера, керио пробежится по пользователям, если есть пользователь "привязанный" к этому ИП - керио его автоматом авторизует, если пользователь есть в списке в правиле трафика - он его пустит.
3. в каждом правиле трафика есть колонка "Инспектор протокола". Если он включен (обычно - По умлочанию), то трафик, проходящий через керио по этому правилу будет рассматриваться Керио. Например, трафик HTTP или FTP. Эти протоколы Керио может рассмотреть (т.е. что именно передается с этим протоколом) и применить какие-либо действия. Например, если в потоке трафика по протоколу HTTP передается нецензурное слово из списков "Запрещенные слова", то можно применить действие фильтрации такого потока.
политика HTTP:
[имя правила] - [разрешить] - [Блок: запретить Web-страницы, содержащие запрещенные слова] - - [любой пользователь]
будет разрешать весь трафик HTTP (который перед этим был разрешен правилами трафика), для любых URL (любых сайтов), для любого пользователя, кроме Web-страниц, содержащих запрещенные слова (списко таких слов можно найти и отредактировать на закладке "Запрещенные слова")
по мануалам и скринам - все есть в шапке и на сайте керио (поддержка)
1. нельзя. в керио впн работает только с Kerio VPN Client. А также можно сделать впн-туннель Kerio - Kerio
2. в правилах трафика создать правило
[выбранные ИП] - [интернет] - [разрешить] - [нат]
остальные будут блочиться самым нижним правилом (если нет других разрешающих)
единственное НО: в этом случае разрешенным будет трафик не от пользователя, а от ИП. Т.е. Керио не будет пытаться идентифицировать пользователя и вся статистика будет валиться на неизвестного пользователя.
если в статистике все-же нужно видеть имя, то:
- в списке пользователей завести нужное количество пользователей
- в свойствах каждого пользователя на закладке IP-адреса задать каждому уникальный адрес компьютера
- в правилах трафика создать правило:
[список разрешенных пользователей] - [интернет] - [разрешить] - [нат]
в этом случае, при попытке запроса соединения с интернет-узлом с локального компьютера, керио пробежится по пользователям, если есть пользователь "привязанный" к этому ИП - керио его автоматом авторизует, если пользователь есть в списке в правиле трафика - он его пустит.
3. в каждом правиле трафика есть колонка "Инспектор протокола". Если он включен (обычно - По умлочанию), то трафик, проходящий через керио по этому правилу будет рассматриваться Керио. Например, трафик HTTP или FTP. Эти протоколы Керио может рассмотреть (т.е. что именно передается с этим протоколом) и применить какие-либо действия. Например, если в потоке трафика по протоколу HTTP передается нецензурное слово из списков "Запрещенные слова", то можно применить действие фильтрации такого потока.
политика HTTP:
[имя правила] - [разрешить] - [Блок: запретить Web-страницы, содержащие запрещенные слова] - - [любой пользователь]
будет разрешать весь трафик HTTP (который перед этим был разрешен правилами трафика), для любых URL (любых сайтов), для любого пользователя, кроме Web-страниц, содержащих запрещенные слова (списко таких слов можно найти и отредактировать на закладке "Запрещенные слова")
по мануалам и скринам - все есть в шапке и на сайте керио (поддержка)
Подскажите, по какому принципу работает проверка правил в Kerio? Есть 2 места с правилами - Traffic Policy и Content Filter. Возможно, где-то еще, не суть. Я так понял, Керио проверяет пакет на соответствие всему перечню правил. Т.е. после первого же соответствия проверка не останавливается. Таким образом, над одним пакетом может быть произведено несколько действий в соответствии с правилами. Я прав?
До первого совпадения и там и там.
butch9383
Цитата:
керио каждый пакет проверяет по Traffic Policy до тех пор, пока а) не найдет разрешающее правило (с критериями, соответствующими пакету) и б) не дойдет до последнего, блокирующего, правила
Content Filter используется только для HTTP и FTP трафика. для того что бы эти политики работали - керио должен иметь возможность анализировать такой трафик - должен быть включен Protocol Inspector (мое сообщение прямо над твоим. пункт 3)
политики Content Filter срабатывают также, как и Traffic Policy
Цитата:
Подскажите, по какому принципу работает проверка правил в Kerio? Есть 2 места с правилами - Traffic Policy и Content Filter. Возможно, где-то еще, не суть. Я так понял, Керио проверяет пакет на соответствие всему перечню правил. Т.е. после первого же соответствия проверка не останавливается. Таким образом, над одним пакетом может быть произведено несколько действий в соответствии с правилами. Я прав?
керио каждый пакет проверяет по Traffic Policy до тех пор, пока а) не найдет разрешающее правило (с критериями, соответствующими пакету) и б) не дойдет до последнего, блокирующего, правила
Content Filter используется только для HTTP и FTP трафика. для того что бы эти политики работали - керио должен иметь возможность анализировать такой трафик - должен быть включен Protocol Inspector (мое сообщение прямо над твоим. пункт 3)
политики Content Filter срабатывают также, как и Traffic Policy
freewood
progmike
2 противоречащих поста. Склоняюсь, что прав progmike. После первого совпадения проверка не останавливается. Т.е. несколько правил применяются к пакету по очереди.
Еще сопутствующий вопрос. Если первое по порядку правило разрешает а второе запрещает одно и то же, действует второе?
progmike
2 противоречащих поста. Склоняюсь, что прав progmike. После первого совпадения проверка не останавливается. Т.е. несколько правил применяются к пакету по очереди.
Еще сопутствующий вопрос. Если первое по порядку правило разрешает а второе запрещает одно и то же, действует второе?
Что-нибудь к Kerio Appliance прикрутить можно, например, самбу?
butch9383
Нет там никакого противоречия. Просто правила срабатывают в разных местах. "Правила трафика" срабатывают на уровне драйвера сетевого интерфейса, до попадания пакета внутрь системы. Если пакет прошел через соответствующее правило (разрешен) - тогда он доходит до правил анализатора протокола.
Нет там никакого противоречия. Просто правила срабатывают в разных местах. "Правила трафика" срабатывают на уровне драйвера сетевого интерфейса, до попадания пакета внутрь системы. Если пакет прошел через соответствующее правило (разрешен) - тогда он доходит до правил анализатора протокола.
Starshark2007
я не про это. Я имел ввиду, что товарищ писал до первого совпадения. Я так понял, что каждый пакет проходит в любом случае проверку по всем проверяющим правилам.
я не про это. Я имел ввиду, что товарищ писал до первого совпадения. Я так понял, что каждый пакет проходит в любом случае проверку по всем проверяющим правилам.
butch9383
Цитата:
Цитата:
нет. не по всем правилам. а именно до первого совпадения.
имеем пакет с набором критериев:
источник, назначение, порт
если есть правило №1, в котором критерии совпадают со значениями в пакете - к паету будет применено действие этого правила (разрешен/запрещен) и дальнейшая проверка не произойдет.
т.е. ситуация:
1. [интернет] - [керио-хост] - [порт tcp/22 (ssh)] - [разрешить] - [мап на внутренний сервер]
2. [интернет] - [керио-хост] - [порт tcp/22 (ssh)] - [блокировать] - [лог пакетов]
подключение SSH можно будет установить. при этом в логах фильтра ничего не появится.
это и логично, вобщем-то... представьте ситуацию:
1. [интернет] - [керио-хост] - [порт tcp/22 (ssh)] - [разрешить] - [мап на внутренний сервер №1]
2. [интернет] - [керио-хост] - [порт tcp/22 (ssh)] - [разрешить] - [мап на внутренний сервер №2]
куда должно пойти подключение SSH ? один клиентом сразу на два сервера?
Цитата:
Еще сопутствующий вопрос. Если первое по порядку правило разрешает а второе запрещает одно и то же, действует второе?
Цитата:
Я имел ввиду, что товарищ писал до первого совпадения. Я так понял, что каждый пакет проходит в любом случае проверку по всем проверяющим правилам.
нет. не по всем правилам. а именно до первого совпадения.
имеем пакет с набором критериев:
источник, назначение, порт
если есть правило №1, в котором критерии совпадают со значениями в пакете - к паету будет применено действие этого правила (разрешен/запрещен) и дальнейшая проверка не произойдет.
т.е. ситуация:
1. [интернет] - [керио-хост] - [порт tcp/22 (ssh)] - [разрешить] - [мап на внутренний сервер]
2. [интернет] - [керио-хост] - [порт tcp/22 (ssh)] - [блокировать] - [лог пакетов]
подключение SSH можно будет установить. при этом в логах фильтра ничего не появится.
это и логично, вобщем-то... представьте ситуацию:
1. [интернет] - [керио-хост] - [порт tcp/22 (ssh)] - [разрешить] - [мап на внутренний сервер №1]
2. [интернет] - [керио-хост] - [порт tcp/22 (ssh)] - [разрешить] - [мап на внутренний сервер №2]
куда должно пойти подключение SSH ? один клиентом сразу на два сервера?
Цитата:
Что-нибудь к Kerio Appliance прикрутить можно, например, самбу?
В общем ясно - проще поставить отдельно ось, отдельно керио и надрузить остальное необходимое ...
С консолью поковырялся.
Ни какого намека на менеджер пакетов.
Если ставить программу, то только из исходников ...
Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108
Предыдущая тема: Автоматическое удаление папок и файлов старше x дней
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.