» Kerio Control (ex Kerio WinRoute Firewall)

Shedrin

Цитата:

Поменял на 81, ЗАРАБОТАЛО!
Спасибо, unreal 777 и coder666!!!

это говорит о том, что скорее всего данный трафик блокировался инспектором протоколов, подумайте над этим.

Добавлено:
serik1986
если опять всё сломается, рекомендую всё таки разобраться в причинах проблемы, собрать пакетный дамп, посмотреть его, возможно что-то там вам поможет найти именно причину проблемы.

Добавлено:
coder666

Цитата:

встроенный сервер обновления работает на 80 порту.
Тут никто не гонит.

что за встроенный сервер обновления??!! нет в керио никаких серверов обновления, если это конечно официальный релиз без патчей, т.е. возможно вы и правы, и патч делает какой-то сервер обновлений, чтобы работал sophos, но тогда я умываю руки, патч это ахтунг полный 80))

Добавлено:

Цитата:

213.172.85.154 255.255.255.255 192.168.0.2 192.168.0.2 276
НО, метрика у записи сети 213.172.85.0 255.255.255.0 213.172.64.2 213.172.85.134 21 выше чем у записи хоста и по видимому он все равно запрос пинга посылает через него и не возвращает ответ.

нет пинг пойдёт по тому маршруту который более точно указывает путь к хосту, т.е. по маршруту с маской 32 бита, метрика влияет только на маршруты с одинаковой степенью точности.

Tihon_one

Цитата:

это говорит о том, что скорее всего данный трафик блокировался инспектором протоколов, подумайте над этим.

Это говорит лишь о том, что керио занимал еще и 80-й порт. Такое возможно только если он патчился для обновлений софоса. Смотреть на мир можно немного шире )

unreal 777

Цитата:

Смотреть на мир можно немного шире )

да да вы правы, я всё время забываю про эти патчи, это просто выходит за пределы логичности работы продукта. Интересно. в таком случае что выдаст команда netstat -ano | find ":80" на каких ip адресах патченый контрол слушает 80 порт?

2 all


ребят у кого есть в загашнике виртуалка с патченой версией если не затруднит, выполните команду netstat -ano | find ":80", и скиньте листинг сюда. пожалуйста.

Ruza,Tihon_one
благодарю, помогло

Tihon_one
перезагрузил сервер и все опять поломалось.....
как сделать пакетный дамп не подскажите???

и на счет той самой строчки в таблице маршрутов... когда она появляется пинг не идет... стоит ей исчезнуть пинг появляется.... после перезагрузки она снова появилась... поигрался с отключением включением интерфейсов опять исчезла, кстати при этом метрика стандартных маршрутов, увеличивается до больше 4000 значений, не понял почему....

и еще когда пинг которого я так добиваюсь появляется... иногда возникает глюк с интернетом... то есть все пингуется и имена и айпишки, но в браузерах возникает ошибка. при этом месенджеры вроде QIP работают.

Можете как то помочь?

serik1986


Дамп снимается утилитами типа wireshark , они бесплатны качайте играйтесь


если после перезагрузки системы всё вренулось на круги своя, то похоже что в системе есть маршрут который восстанавливается после перезагрузки и мешает ходить пакетам, чтобы было всё более или менее понятно, кидайте сюда следйющее:



1) ipconfig /all с сервера kerio control
2) route rpint с сервера kerio control
3) ipconfig /all с пк в локалке
4) route print c пк в локалке
5) tracert что вы там пингуете до пропадания маршрута и после его пропадания.

и что за маршрут, в листинге под номером 2 выделите как-нибудь

Tihon_one
не вникайте - у него вирус, редкий, но известный.
Можете начать свой монинг с с http://www.dnsstuff.com/tools/whois/?tool_id=66&token=&toolhandler_redirect=0&ip=213.172.85.154+ для предотвращения ненужных дальнейших телодвижений.

netstat -ano | find ":80" не даст ничего, если при патче не было указано http:/..../

При крике одного из вновьобманутых- "поменял на 81 заработало" - я тоже хотел спросить netstat.... но вовремя остыл - дебил-с еще один


Да, советуя некий "пакетный дамп" снять с помощью акульего струмента, помните - оно на вас и вернется в виде вопросов
Лучше напишите тут инстракшен как снять первые пакеты Керио при его старте с прочтением ссл коннектов....
Весь мир в лице умных менов и менят вам ноги умоет своими слезами и соплями в смеси с дьюрсом благодарности....

А я, кроме дьюрса в большом объеме, еще и организую спонсорскую помощь за реальный резалт.
Наличие или отстутсиве лицензий не влияет в данном контексте на соблюдение лицензионного соглашения с кериотами

Valery12

Цитата:

Цитата:
как это можно реализовать?  
если подразумевается использование керио ВПН
то нужно
- на первом сервере прописать статические маршруты: ко всем провайдерским местным ресурсам и ко второму серверу, а дефолтный шлюз удалить или сделать ему заведомо большую метрику
- создать между серверами туннель
- на первом же сервере в свойствах туннеля (Advanced) добавить маршрут 0.0.0.0/0.0.0.0
 
в некоторых версиях такой маршрут не принимается, в этом случае его нужно разделить на два
0.0.0.0/128.0.0.0
128.0.0.0/128.0.0.0

мысль уловил, буду пробовать .

А на втором сервере VPN (куда весь трафик будет идти) получается ничего вообще не меняется/добавляется в настройках?

Цитата:

А на втором сервере VPN (куда весь трафик будет идти) получается ничего вообще не меняется/добавляется в настройках?

да ничего

Tihon_one

Добрый день, выдаю список чтоб стало яснее что у меня происходит:

1) C:\Users\syezhov>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : PROXY-SERVER
Основной DNS-суффикс . . . . . . : metak.az
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Да
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : metak.az

Адаптер PPP Azeurotel second line:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Azeurotel second line
Физический адрес. . . . . . . . . :
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 213.172.85.134(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз. . . . . . . . . :
DNS-серверы. . . . . . . . . . . : 213.172.64.234
213.172.64.130
NetBios через TCP/IP. . . . . . . . : Отключен

Ethernet adapter Local:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Сетевая карта Realtek RTL8168B/8111B Fami
ly PCI-E Gigabit Ethernet NIC (NDIS 6.20)
Физический адрес. . . . . . . . . : 00-1A-92-32-29-DF
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.1.2(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . :
DNS-серверы. . . . . . . . . . . : 192.168.1.214
NetBios через TCP/IP. . . . . . . . : Включен

Ethernet adapter Internet 2:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Realtek RTL8139/810x Family Fast Ethernet
сетевой адаптер
Физический адрес. . . . . . . . . : 00-80-48-20-EE-55
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::35cb:cbb3:5130:1e47%26(Основной)
IPv4-адрес. . . . . . . . . . . . : 192.168.2.2(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . :
IAID DHCPv6 . . . . . . . . . . . : 587235400
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-15-A8-5F-2B-00-1A-92-32-29-DF

DNS-серверы. . . . . . . . . . . : 192.168.1.214
213.172.64.234
NetBios через TCP/IP. . . . . . . . : Отключен

Ethernet adapter Internet:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер D-Link DFE-520TX PCI Fast Etherne
t
Физический адрес. . . . . . . . . : 00-15-E9-B0-17-98
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::2c06:a7cf:f99f:90f3%12(Основной)
IPv4-адрес. . . . . . . . . . . . : 192.168.0.2(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.0.1
IAID DHCPv6 . . . . . . . . . . . : 301995497
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-15-A8-5F-2B-00-1A-92-32-29-DF

DNS-серверы. . . . . . . . . . . : 192.168.1.214
213.172.64.234
NetBios через TCP/IP. . . . . . . . : Отключен

Ethernet adapter Kerio Virtual Network:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Kerio Virtual Network Adapter
Физический адрес. . . . . . . . . : 44-45-53-54-4F-53
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::59bf:2ad4:8d40:ef21%15(Основной)
IPv4-адрес. . . . . . . . . . . . : 172.27.160.1(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Аренда получена. . . . . . . . . . : 29 июля 2011 г. 17:33:16
Срок аренды истекает. . . . . . . . . . : 2 августа 2011 г. 5:33:15
Основной шлюз. . . . . . . . . :
DHCP-сервер. . . . . . . . . . . : 172.27.160.2
IAID DHCPv6 . . . . . . . . . . . : 390350163
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-15-A8-5F-2B-00-1A-92-32-29-DF

DNS-серверы. . . . . . . . . . . : fec0:0:0:ffff::1%1
fec0:0:0:ffff::2%1
fec0:0:0:ffff::3%1
NetBios через TCP/IP. . . . . . . . : Отключен

Туннельный адаптер isatap.{48E9D1F8-9755-43FA-AFA7-82D3AA87CE7A}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер isatap.{85E6FD36-43A1-494E-95FB-F4E0E451993B}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер isatap.{7DCB3C72-EDA2-4001-8D2B-20DD128C9F06}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #3
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер isatap.{6C1363B9-96DE-4409-9919-5B0424A074F3}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #4
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер isatap.{A46EE373-E78E-4016-94D1-623BBD82B24B}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #5
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер 6TO4 Adapter:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft 6to4
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv6-адрес. . . . . . . . . . . . : 2002:d5ac:5586::d5ac:5586(Основной)
Основной шлюз. . . . . . . . . : 2002:c058:6301::c058:6301
DNS-серверы. . . . . . . . . . . : 213.172.64.234
213.172.64.130
NetBios через TCP/IP. . . . . . . . : Отключен

2) C:\Users\syezhov>route print
===========================================================================
Список интерфейсов
43...........................Azeurotel second line
10...00 1a 92 32 29 df ......Сетевая карта Realtek RTL8168B/8111B Family PCI-E
Gigabit Ethernet NIC (NDIS 6.20)
26...00 80 48 20 ee 55 ......Realtek RTL8139/810x Family Fast Ethernet сетевой
адаптер
12...00 15 e9 b0 17 98 ......Адаптер D-Link DFE-520TX PCI Fast Ethernet
15...44 45 53 54 4f 53 ......Kerio Virtual Network Adapter
1...........................Software Loopback Interface 1
11...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
25...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2
13...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
24...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #3
27...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #4
29...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #5
28...00 00 00 00 00 00 00 e0 Адаптер Microsoft 6to4
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.2 276
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
172.27.160.0 255.255.255.0 On-link 172.27.160.1 276
172.27.160.1 255.255.255.255 On-link 172.27.160.1 276
172.27.160.255 255.255.255.255 On-link 172.27.160.1 276
192.168.0.0 255.255.255.0 On-link 192.168.0.2 276
192.168.0.2 255.255.255.255 On-link 192.168.0.2 276
192.168.0.255 255.255.255.255 On-link 192.168.0.2 276
192.168.1.0 255.255.255.0 On-link 192.168.1.2 276
192.168.1.2 255.255.255.255 On-link 192.168.1.2 276
192.168.1.255 255.255.255.255 On-link 192.168.1.2 276
192.168.2.0 255.255.255.0 On-link 192.168.2.2 276
192.168.2.2 255.255.255.255 On-link 192.168.2.2 276
192.168.2.255 255.255.255.255 On-link 192.168.2.2 276
213.172.85.0 255.255.255.0 213.172.64.2 213.172.85.134 21 ----ВОТ ЭТО ПРОПАДАЕТ ПОСЛЕ МАНИПУЛЯЦИЙ С ИНТЕРФЕЙСАМИ И ПИНГ ПОЯВЛЯЕТСЯ НА АЙПИ 213.172.85.154----
213.172.85.134 255.255.255.255 On-link 213.172.85.134 276
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 172.27.160.1 276
224.0.0.0 240.0.0.0 On-link 192.168.2.2 276
224.0.0.0 240.0.0.0 On-link 192.168.1.2 276
224.0.0.0 240.0.0.0 On-link 192.168.0.2 276
224.0.0.0 240.0.0.0 On-link 213.172.85.134 276
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 172.27.160.1 276
255.255.255.255 255.255.255.255 On-link 192.168.2.2 276
255.255.255.255 255.255.255.255 On-link 192.168.1.2 276
255.255.255.255 255.255.255.255 On-link 192.168.0.2 276
255.255.255.255 255.255.255.255 On-link 213.172.85.134 276
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 192.168.0.1 По умолчанию
===========================================================================

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
Метрика Сетевой адрес Шлюз
28 1125 ::/0 2002:c058:6301::c058:6301
1 306 ::1/128 On-link
28 1025 2002::/16 On-link
28 281 2002:d5ac:5586::d5ac:5586/128
On-link
15 276 fe80::/64 On-link
26 276 fe80::/64 On-link
12 276 fe80::/64 On-link
12 276 fe80::2c06:a7cf:f99f:90f3/128
On-link
26 276 fe80::35cb:cbb3:5130:1e47/128
On-link
15 276 fe80::59bf:2ad4:8d40:ef21/128
On-link
1 306 ff00::/8 On-link
15 276 ff00::/8 On-link
26 276 ff00::/8 On-link
12 276 ff00::/8 On-link
===========================================================================
Постоянные маршруты:
Отсутствует

3) C:\Users\Sergey>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : PROGRAMMER
Основной DNS-суффикс . . . . . . : metak.az
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : metak.az

Ethernet adapter Подключение по локальной сети 2:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : CNet PRO200WL PCI Fast Ethernet Adapter

Физический адрес. . . . . . . . . : 00-08-A1-6F-56-89
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да

Ethernet adapter Подключение по локальной сети:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Intel(R) PRO/100 VE сетевое подключение
Физический адрес. . . . . . . . . : 00-13-20-2B-AE-4E
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.1.12(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.1.2
DNS-серверы. . . . . . . . . . . : 192.168.1.214
NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.{4A017A3C-6FC5-44CE-A472-8C2F2233F4D7}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер isatap.{E3D7B5D9-F93E-40A0-9BEC-2643F57C663E}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

4) C:\Users\Sergey>route print
===========================================================================
Список интерфейсов
14...00 08 a1 6f 56 89 ...... CNet PRO200WL PCI Fast Ethernet Adapter

11...00 13 20 2b ae 4e ......Intel(R) PRO/100 VE сетевое подключение
1...........................Software Loopback Interface 1
12...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
13...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
15...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.1.2 192.168.1.12 276
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.1.0 255.255.255.0 On-link 192.168.1.12 276
192.168.1.12 255.255.255.255 On-link 192.168.1.12 276
192.168.1.255 255.255.255.255 On-link 192.168.1.12 276
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.1.12 276
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.1.12 276
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 192.168.1.2 По умолчанию
===========================================================================

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
Метрика Сетевой адрес Шлюз
1 306 ::1/128 On-link
1 306 ff00::/8 On-link
===========================================================================
Постоянные маршруты:
Отсутствует

5) Пинг есть, но не надолго

C:\Users\Sergey>tracert 213.172.85.154

Трассировка маршрута к mail.metak.az [213.172.85.154]
с максимальным числом прыжков 30:

1 <1 мс <1 мс <1 мс proxy-server.metak.az [192.168.1.2]
2 <1 мс <1 мс <1 мс mail.metak.az [213.172.85.154]

Трассировка завершена.

C:\Users\Sergey>tracert 213.172.85.134

Трассировка маршрута к mail2.metak.az [213.172.85.134]
с максимальным числом прыжков 30:

1 * * * Превышен интервал ожидания для запроса.
2 <1 мс <1 мс <1 мс mail2.metak.az [213.172.85.134]

Трассировка завершена.

Пинг пропал:
C:\Users\Sergey>tracert 213.172.85.134

Трассировка маршрута к mail2.metak.az [213.172.85.134]
с максимальным числом прыжков 30:

1 * * * Превышен интервал ожидания для запроса.
2 <1 мс <1 мс <1 мс mail2.metak.az [213.172.85.134]

Трассировка завершена.

C:\Users\Sergey>tracert 213.172.85.154

Трассировка маршрута к mail.metak.az [213.172.85.154]
с максимальным числом прыжков 30:

1 <1 мс * <1 мс proxy-server.metak.az [192.168.1.2]
2 * * * Превышен интервал ожидания для запроса.
3 * * * Превышен интервал ожидания для запроса.
4 * * * Превышен интервал ожидания для запроса.
5 * * * Превышен интервал ожидания для запроса.
6 * * * Превышен интервал ожидания для запроса.
7 * ^C


Добавлено:
sohoman
что за редкий вирус, но известный?? может подробнее опишите... и я его поищу???... но вероятность вируса минимальная, во-первых потому что стоит проапдейтенный сервер 2008 р2 х64, во-вторых в инет с него лазить начали после того как установился керио, до него только стандартный WINDOWS UPDATE.

Есть офис. Интернет раздается win2003+WR 6.4.2. Сам инет заведен по ethernet с реальным ip. Для повышения надежности было решено подключиться к еще одному провайдеру, то же по ethernet с реальным ip. Теперь нужно одних людей выводить в инет через старый канал, других, через новый. думал, что будет достаточно в настройках NAT указать, что определенные ip натить через новый интерфейс, но так не заработало. трасса упирается в адрес сервера и дальше никуда не идет. ip адрес шлюза нового провайдера пингуется. Как решать данную задачу?

Подскажите, как определить откуда идут такие пакеты?

[02/Aug/2011 08:58:12] Anti-spoofing: Packet from Локальная сеть, proto:ICMP, len:32, ip:1.1.1.148 -> 85.11.194.39, type:8 code:0
[02/Aug/2011 08:58:12] Anti-spoofing: Packet from Локальная сеть, proto:ICMP, len:32, ip:1.1.1.148 -> 194.242.225.15, type:8 code:0
[02/Aug/2011 08:58:12] Anti-spoofing: Packet from Локальная сеть, proto:ICMP, len:32, ip:1.1.1.148 -> 202.152.177.28, type:8 code:0
[02/Aug/2011 08:58:12] Anti-spoofing: Packet from Локальная сеть, proto:ICMP, len:32, ip:1.1.1.148 -> 203.12.4.50, type:8 code:0

В сети есть два шлюза, один который смотрит в инет. Второй шлюз смотрит на провайдера который обеспечивает нам ВПН со вторым оффисом. Виртуальная сеть имеет адрес - 1.1.1.0, локальная 192.168.1.0. На шлюзе который смотрит в инет вообще нету маршрутов и он ни каким боком не видит виртуальную сеть с адресом 1.1.1.0, она доступна только на втором шлюзе.
Одним словом пакеты из 1.1.1.0 ни как не могут попасть в сеть с адресом 192.168.1.0

Цитата:

На шлюзе который смотрит в инет вообще нету маршрутов и он ни каким боком не видит виртуальную сеть с адресом 1.1.1.0, она доступна только на втором шлюзе.
Одним словом пакеты из 1.1.1.0 ни как не могут попасть в сеть с адресом 192.168.1.0

зато на втором шлюзе дефолтным маршрутом наверное стоит первый?
и странный выбор адресации для VPN, неужели мало серых адресов?

Снова вопрос по ВНП.

Есть два удаленных офиса. Адреса сети каждого офиса из одного адресного пространства, но не пересекаются.
Kerio VPN первого офиса выдает адреса из диапазона 192.169.2.х , второго - 192.168.3.х
ВПН тоннель работает и два сервера видят друг друга, но доступа к другим компам нет.


Возмоожна ли реализация подобной схемы соединения двух офисов.



Uploaded with ImageShack.us

Сервер 1



Uploaded with ImageShack.us

Сервер2


Uploaded with ImageShack.us

Цитата:

ВПН тоннель работает и два сервера видят друг друга, но доступа к другим компам нет

потому что
Цитата:

Адреса сети каждого офиса из одного адресного пространства

раз не пересекаются меняйте адресацию
1. 192.168.1.0/255.255.255.128
2. 192.168.1.128/255.255.255.128

Цитата:

меняйте адресацию

а с помощью правил Керио перекинуть запросы никак? Менять ИП на 30-ти компах грустно

нет никак потому что ПК1 с адресом 192.168.1.5/255.255.255.0 при связи с ПК2 с адресом 192.168.1.155/255.255.255.0 даже не будет обращаться к шлюзу керио, потому что считает что ПК2 с ним в одной подсети.

Valery12
я немного поспешил с прошлым сообщением.
Менять адресацию на компьютерах клиентов одного из офисов или поменять адресное пространство из которого Kerio выделяет адреса?


Добавлено:


Т.е. если я правильно понял то:

в одном офисе адреса компов будут: 192.168.1.0 (100)/255.255.255.128 во втором 192.168.1.101 (255)/255.255.255.128

А выдаваемое Kerio VPN адресное пространство в свойствах VPN сервера?

Цитата:

зато на втором шлюзе дефолтным маршрутом наверное стоит первый?
и странный выбор адресации для VPN, неужели мало серых адресов?

Да первый. Но адрессное пространство выбирал не я, у провайдера так. Тот, который обеспечивает нам радиоканал.

Боже, люди добрые подскажите где уже этот гребанный коврик с номерами e-soft Для активации Webfilter в Kerio???? В личку скиньте а... не могу найти.. Пожалуйста.

utp_ss
Цитата:

А выдаваемое Kerio VPN адресное пространство в свойствах VPN сервера?

без разницы, лишь бы не совпадало с 1 и 2 офисом
tgkonvent
Цитата:

Да первый. Но адрессное пространство выбирал не я, у провайдера так. Тот, который обеспечивает нам радиоканал

отсюда и спуффинг, второй шлюз является дефолтным для второго офиса, поэтому все пакеты в неизвестные сети (а именно в интернет) от ПК второго офиса приходят на него а он отправляет их своему дефолтному шлюзу (первому на внутренний LAN интерфейс), который маршрута в сеть 1.1.1.0 через второй шлюз не имеет и справедливо считает что эта сеть находится за его внешним WAN интерфейсом.
При отсутствии этого маршрута второй офис естественно в интернет не выйдет, но фаервол срабатывает раньше чем маршрутизация - отсюда и антиспуффинг.

Так что никто не знает как разрулить два реальных ip от разных провайдеров одновременно, так что бы одни одни ходили в инет по одному каналу, а другие по другому?

Цитата:

Так что никто не знает как разрулить два реальных ip от разных провайдеров одновременно, так что бы одни одни ходили в инет по одному каналу, а другие по другому?

http://manuals.kerio.com/control/adminguide/en/sect-policyrouting.html

Решил свою проблему с пингами следующим образом, просто между антенной с неуправляемым модемом и прокси, поставил модем-роутер который использую как дозвонщик и все потоки пересылаю по DMZ, на интерфейс INTERNET2. Таким способом прокси не делает дозвон по PPPoE и не выделяет для маршрута адрес который непосредственно видел подключенным к себе через PPPoE. Мартшрут типа 213.172.85.0 255.255.255.0 исчез и все встало на свои места!

Только теперь у меня возник следующий вопрос:
у меня в таблице маршрутов имеется маршрут по умолчанию на интерфейс INTERNET
а что будет если я добавлю еще один маршрут по умолчанию но на интерфейс INTERNET2
и на сколько правильно иметь два маршрута по умолчанию?? есть ли в этом необходимость? и как поступает распределение нагрузки на канал у КЕРИО в моей текущей ситуации и как будет если я сделаю то что задумал?

Все доброго дня! Понимаю что задаю заезжанный вопрос, но все таки:
Проблема в том, что никак не получается закрыть акьку на Винроуте, перепробовал все, вплоть до того что перекрывал диапазон ip-адресов серверов, куда коннектиться ася, тоже не помогает. Может кто подскажет действенный способ? ПОл дня бился сегодня с этой аськой, так в итоге и не сделал, заранее спасибо.

FESSSS

Цитата:

перепробовал все

Да неужели?...

Не мое (с) Себе когда-то сделал и забыл.
5 минут в гугле выдадут вот это

В трафиг полиси делаем следующее правило:
сурсе(те, кому асько/магент непозволен) - дестенейш (*.icq.com, 194.186.55.0/255.255.255.0, 64.12.1.1 - 64.12.255.255, 81.19.70.1 - 81.19.70.255, 213.155.1.1 - 213.155.255.255, 205.188.1.1 - 205.188.255.255) - протоколы Все - действие Блок
далее идем в HTTP-полиси и создаем 2 правила
1.(оно блокирует всякие там жаба-аськи и иже с ними тунелирование по хттп) для урл содержащих *.icq.com делаем блок для контента aim/http (заходим на вкладку адвансед и в поле Valid if MIME type is: пишем aim/http
2. Создаем группу c адресами *.icq.com/*, icq.rambler.ru, 194.186.55.*, mrim*.mail.ru, *.meebo.com. и потом создаем правило на блокировку этих урлов в хттп-полиси.

Еще проще, если есть домен, через политики запретить запуск мессенджеров.

люди прошу помощи в моем вопросе, как отреагирует керио если я настрою еще один шлюз по умолчанию? и стоит ли это делать?
Выхода в инет у меня два, я думаю и количество шлюзов нужно сделать два? или я глубоко ошибаюсь?

serik1986

Глубоко ошибаешься. Два шлюза прописать можно, но работать не будет. Либо разделять по ip адресам, либо как писал Valery12 http://manuals.kerio.com/control/adminguide/en/sect-policyrouting.html, т.е. разделять по сервисам, но пускать в инет одну группу по одному каналу, а другую по другому, у меня пока не получается

Demon
понятно спасибо большое!

правда я уже кое что разграничил по определенным каналам, т.к. у некоторых сотрудников работающих по интернет-банкингу возникали проблемы с тем что во время одной сессии их выкидывало, я сделал потоки с определенных хостов по протоколам HTTPS только на одном из интерфейсов, и теперь все у них работает хорошо

Цитата:

адресам, либо как писал Valery12 http://manuals.kerio.com/control/adminguide/en/sect-policyrouting.html, т.е. разделять по сервисам, но пускать в инет одну группу по одному каналу, а другую по другому, у меня пока не получается

все верно, в системе в настройках сетевых интерфейсов, шлюз должен быть только на одном из них, а вот когда настраиваете интерфейсы в самом керио - указываете остальные http://manuals.kerio.com/control/adminguide/en/sect-loadbal.html

Не поверите но в инструкции есть ответы на 90% вопросов, которые заданы в этом топике, беда в том, что большинству ее читать лень!