» Kerio Control (ex Kerio WinRoute Firewall)

progmike
Согласен.
У меня нет ни домена, ни AD, поэтому и перешел на стат IP.

Не согласен с Tihon_one по поводу лицензионности.

gualexy
да в том-то и петрушка, что я не поборник лицензий, даже наоборот, просто я не сторонник допускать в систему безопасности сторонних программеров, которые ни мне ни кому бы-то ни было ничего не должны и ни чем не обязаны...А что могут вызвать кривые патчи в том числе и в приложениях кериотов я насмотрелся уже, так что не надо лечить про велосипед )

Hrist

Цитата:

не получается через керио попасть на радмин какого либо компа.

hohkn

Цитата:

Service - указать службу RDP

Tihon_one

Цитата:

в не ломанных это всё работает как часы...

Пожалуй, я останусь при своем мнении.

Про авторизацию Firefox через ntlm:

1. В настройках Kerio: Configuration - Advanced Options - WinRoute server name указываем желаемое имя сервера.

2. В Firefox в строке адреса пишем: about:config, ввод, обещаем быть осторожными, находим параметр network.automatic-ntlm-auth.trusted-uris , в нем пишем имя сервера из прошлого пункта. Все работает. Хитрая Opera так не умеет, но она вроде умеет запоминать пароли/логины.

Подробнее - тут: http://yaromax.blogspot.com/2009/08/firefox_10.html

Решение было найдено на официальном сайте Kerio, из чего следует вывод – не читайте толкования, читайте первоисточники.

gualexy
)

вам писал не про ваши протоколы, до которых мне по барабану, основная проблема не в протоколах, а в назначении, выбранный вами вариант возможен, а именно вариант указывать конкретный внешний IP адрес шлюза, но не желателен, рекомендованный метод, это использование переменной "Брандмауэр", подразумевающей под собой все IP адреса межсетевого экрана. А вот как раз это может у вас не работать по причине патчинга вашего основного узла сетевой безопасности

Yaromaxx
ну блин про это тут по моему и пытаются втолковывать,в мануале есть всё что нужно, нет только терпения которое можно было бы передать пользователям...

Tihon_one
У меня-то как раз все работает, если что-то и не работало, я разобрался и сделал.
У Hrist были проблемы, с которыми мы успешно и справились. Ваши-же умности про лицензию ни в какой мере не приблизили человека к пониманию его проблемы.

И вообще хорош флудить. Оставим все как есть.

gualexy
пипец, короче с этого момента будут цитировать людей целиком, не буду лениться

gualexy

Цитата:

брендмауэр - не работает!

это работает, и кстати, в пиратках я таких глюков тоже не встречал, так что наводит на мысли 80))


а про товарища Hrist ничего и не говорил. но если у вас всё работает так и пусть работает 80)

Tihon_one
Yaromaxx
Если авторизация НТЛМ работает в ИЕ, то я считаю что на Керио всё настроено правильно.


Цитата:

находим параметр network.automatic-ntlm-auth.trusted-uris

Именно про этот "изменёный параметр" я и говорил в своём первом посте (http://forum.ru-board.com/topic.cgi?forum=8&topic=37426&start=1460#9).
В обоих случаях требует авторизацию, только в разном виде. =)

kot666
Цитата:

1. В настройках Kerio: Configuration - Advanced Options - WinRoute server name указываем желаемое имя сервера.

- копать тут. Я после обновления WR тоже понять не мог - в чем дело, была именнно такая ситуация. Пока в WR не указал имя сервера - я его сделал равным %computername% сервера, чтобы ничего на клиентах не переделывать - просило авторизацию, теперь все ок. Про IE - в нем по другому работает авторизация.

kot666
по долгу службы, уже столько всяких нареканий в сторону NTLM и KWF наслушался, а на поверку косяк у всех один, руки

kot666

а параметр network.ntlm.send-lm-response выставлен в True ?

Tihon_one

Я в-общем согласен с Вами по поводу прямизны рук. И вероятно Ваш положительный опыт объясняется именно этим фактом, а не тем что Вы устанавливаете(обслуживаете) только лицензионный продукт.

Я, к сожалению видимо, не могу хвастаться аналогичными достижениями, хотя работаю с продуктами уважаемой мною компании уже, что б не соврать, больше 10 лет.

В частности, на теперешней инсталляции у меня не во всей локалке работает NTLM, причем систему уловить достаточно сложно. Оговорюсь, что не копал плотно Debug log. Так вот есть у меня в локалке машинки, установленные методом клонирования (acronis snap deploy) категорически отказывающиеся проходить сию полезную процедуру (аутентификации).

То есть, машинки одинаковые, настроены одинаково, политика домена для всех одна, а результат прохождения NTLM разный.

Сталкивался, кстати, с таким случаем, когда аутентификация вообще, а не только NTLM не проходила вообще никак, пока не рекриэйтили учетку в AD. Тупо грохнули и создали заново - и все понеслось.

Так що, не все гаразд в Датському князiвствi.

Starshark2007
А SID-ы у машинок разные?(может в этом проблема)

Starshark2007

Цитата:

установленные методом клонирования (acronis snap deploy)

вот именно это не смущает? они могут быть слишком одинаковые....

вот и товарищ drsmoll интересуется...



а то что вы debug не копали, так это зря, ведь прежде чем говорить "не работает" надо попытаться хоть чуток отладить...

Starshark2007, поставлено порядка 30-ти компов клонированием с одного образа - все ок, профиль Firefox на сервере - все отлично работает.

И да, про подготовку образа sysprep-ом забывать не надо, а то их и в сеть-то не пустит.

drsmoll
Tihon_one
Yaromaxx

Вышеупомянутый акронис, сам все это делает и сиды меняет и ещё всякие полезные вещи.
Да и дебуг лог, насколько я помню, в части авторизации несколько куцеват.

Kerio Control 7.1.0 p2
периодически наблюдаются лаги и в эти моменты выплевывает в лог

[19/Jun/2011 01:19:12] Particular network traffic lost or was modified by conflicting software or Kerio Control driver disabled on some interface!

Как с этим бороться? Машина используется исключительно под Керио, никакого постороннего софта не установлено.

v7.1.2 Build 2333 у меня работает 2-3 дня, потом по неизвестной причине страницы начинают грузится на всех машинах по 5минут. Все настройки перековырял - не помогает. Может кто сталкивался ?

самое простое предположение:
лимит соединений достигнут мб?

Лимит соединений отключен. Дополнительно бредовые ситуации возникают с ограничением скорости. Последнее работает через (_!_) Некоторые машины ограничивает нормально, на остальных не поднимается выше 10-20% дозволенной скорости, при этом в доску убивается пинг. Также некорректно работает ограничение р2р. Блокируется через раз, ограничение загрузки тоже не работает (закачки рубят на максимум).
Не исключаю, что неверно настроил Керио, интересует только не возникают-ли подобные проблемы у других. Опыт общения с данным ПО невелик, но по логике всё должно работать как указано в настройках а не через .... Одно оправдание для меня - ломанная версия, может в лиц. всё не так печально.
Заодно может кто посоветует аналог программы. Требования минимальны: ограничение скорости по нескольким группам и стабильная работа.

Добавлено:
Намучался с 7.1.2(2333), потом плюнул и установил KWF 6.7.1 - всё работает как часы.

помогите пожалуйста разобраться в следующей ситуации... ко мне в организацию сажают сотрудника банка, они просят создать правило в фаерволе по протоколу GRE(VPN) для сервера 212.176.40.46 открыть порты 1713 и 1723. На машине с XP пробовал дать по пользователю, пробовал по ip, ничего не получается. в логах следующее:

[10/Jun/2011 14:44:31] DROP "Default traffic rule" packet from VPN client Пользователь_банк, proto:TCP, len:48, ip/port:10.18.137.232:1197 -> 212.176.40.46:1723, flags: SYN , seq:3977139679 ack:0, win:64512, tcplen:0

пробую соединиться на Windows7 все работает нормально. Как такое может тбыть и что тому виной?

Остался один вопрос: как порезать канал к примеру по 1Мбит на каждого пользователя ?
Если указать в ограничениях полосы пропускания 128 кб/с - выйдет что 1Мбит будет на всех.

после многих манипуляций с правилами ошибка влогах изменилась на:

[21/Jun/2011 13:23:06] DROP "Default traffic rule" packet from VPN client Пользователь_Банк, proto:TCP, len:48, ip/port:10.18.137.232:1473 -> 10.254.1.19:80, flags: SYN , seq:3041515436 ack:0, win:65535, tcplen:0

SlayerGTX295
на данный момент ограничение ставиться для всех общее, т.е. если ставишь 128 кб\с то эту полосу будут делить все кто попадает под ограничение, обойти можно квотами по трафику.

xXxJurneoxXx
скрины правил трафика?

честно говоря скрины в форум просто не знаю как выложить, но если описать текстом то получается такое правило :
источник: Пользователь_Банк, ip компьютера
назначение: 212.176.40.46
порты: GRE, 1713, 1723
стоит галочка - Разрешить
стоит логирование по пакетам и соединениям
и стоит галочка NAT распределение нагрузки
вобщем то все правило

Соединение доходит до этапа проверки пользователя и пароля, висит на секунд 30 потом вылетает ошибка невозможно соединиться

а что у тебя по порту 1713 ходит?


поднимай правило в начало списка, в назначении поставь "интернет интерфейсы", пока что, логирование оставь, в службах поставь протокол pptp\gre этого должно быть достаточно для установления соединения по этому протоколу, тестани подключение

если не проканает, то пиши сюда, скину тебе полный гайд по отладке, и продолжим.

Tihon_one
Пробовал ранее. Все пользователи с квотой аналогично делят между собой полосу 128кб\с (а не на каждого).
По прежнему ищу софтину, которая справится с простой задачей:
порежет 20Мбит на несколько человек, с разными ограничениями по скорости.
Скажем 1, 2, 3Мбита и никаких общих полос.

SlayerGTX295
да ты не понял, допустим у тебя всего 4 мб\с, тебе надо для директора и зама выделить 3 общих, а всем остальным 1, вот ты и ставишь всем квоту дневную, и скорость для превысивших 1 мб\с, всё задача решена.


а по поводу шейпера, устал бодать кериотов, говорят что в этом году ожидают...фиг знает, очень хотелось бы конечно.

Стоит Kerio Control 7.1.2
В локалке есть веб-сервер который выведен наружу через Керио, подскажите как мне с помощью IDS\IPS ограничить количество одновременных соединений с одного ИП к вебу?
А то получается кто-либо с одной машины открывает несколько тысяч соедиенний, и все, веб-сервер тупит пока разгребется. Нужно ограничить кол-во соедиений из вне до 5 на один ИП, уверен что в Снорте есть такая возможность, оталось понять как ее реализовать.

akurch
никак.
Эта возможность появилась в версии снорт 2.8.5, причем она же потащила за собой уязвимость самого снорта от ДОС по протоколу ипв6.
В керио используется движок снорта 2.8.4 и соответствующие правила, переработанные кериотами.
Правила для версий 2.8.4 и 2.8.5 (и более свежих версий снорт) различаются настолько радикально, что попытка применить правила от другого движка роняют не только кериотовский снорт, но и сам кериотовский сервис.
Тупая замена файлов снорта в керио аналогичным пакетом оригинала и попутная правка шаблона конфига снорта в керио толку не дает - снорт стартует, правила от обнов кериотов не принимает, сформированные левым путем правила соответствующей версии принимает, но в общении с сервисом керио мгновенно вываливается куча ошибок и фильтрация на уровне драйвера снорта начинает жить своей жизнью, работа попросту невозможна.
ИМХО - эта функция - защита от ДОС путем ограничения подключений - и в самом снорте реализована весьма и весьма туманно, ее эффективность очень сомнительна. Учитывая, что в прикручивании снорта к керио сами кериоты еще более усложнили процесс анализа трафика, реализации этой функции - число подключений - через снорт в керио в ближайшее время ожидать не следует, скорее уж последует замена снорта на одно из его коммерческих ответвлений, т.е. радикальное изменение керио.
Так что мысль эту надо отложить за нереализуемостью, оставив надежды на действующие правила, в которых защита от дос по почтовым протоколам, днс и сипу работает вполне успешно, правда при условии использования не кериотских обновлений правил, а самостоятельном конфигурировании этих правил. Кериоты в своих правилах досовские угрозы относят к типу alert и не дают возможности блокировки по таким правилам.