» Kerio Control (ex Kerio WinRoute Firewall)

rd80
судя по всему наступаю на грабли где-то, потому как пинги на внешку не ходят с клиентских пк... за то в локалку все прекрасно пингуется.

выложи ipconfig /all клиентской машины и шлюза и скрин с правилами, и напиши подробнее что ты хочешь сделать и как у тебя чё работает, тогда найдём твои грабли, а может и ещё чего

Клиентская машина:

Код: D:\Documents and Settings\1>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : 1-aaf432311cd54
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : test

Подключение по локальной сети - Ethernet адаптер:

DNS-суффикс этого подключения . . : test
Описание . . . . . . . . . . . . : VMware Accelerated AMD PCNet Adapter

Физический адрес. . . . . . . . . : 00-0C-29-2C-FC-CC
Dhcp включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 192.168.10.10
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.10.1
DHCP-сервер . . . . . . . . . . . : 192.168.10.1
DNS-серверы . . . . . . . . . . . : 192.168.11.161
192.168.10.1

Аренда получена . . . . . . . . . : 30 августа 2011 г. 9:36:30
Аренда истекает . . . . . . . . . : 7 сентября 2011 г. 9:36:30

Подключение по локальной сети 2 - Ethernet адаптер:

Состояние сети . . . . . . . . . : сеть отключена
Описание . . . . . . . . . . . . : TAP-Win32 Adapter V8
Физический адрес. . . . . . . . . : 00-FF-B1-09-28-EA

D:\Documents and Settings\1>

По порядку:
1. на клиентской машине настройки правильные, единственное в качестве DNS сервера
достаточно указать 192.168.10.1( это лишний 192.168.11.161, его убери)
2. на шлюзе, на сетевой что смотрит в локалку в качестве dns пропиши её же адрес т.е. 192.168.10.1, и отключи IPv6 он тебе не нужен
3. по поводу правил, создаёшь след. правила, в том порядке что я тебе напишу
локал. трафик, довернный/firewall, довернный/firewall, любой, разрешить (разрешает хождение трафика между локалкой и шлюзом в обоих направления)
инет для всех, довернный, интернет, любой, разрешить, NAT(разрешает локалке доступ в инет по любому порту, в том числе и на порт udp 1194, через nat)
инет и dns для шлюза, firewall, интернет, (dns, http, ping), разрешить(разрешает шлюзу доступ в инет по перечисленным портам)
это основные правила с которыми у тебя должно всё заработать
по поводу
Цитата:

понадобится должен быть редирект на 667 порт на один ip в локалке с любого внешнего адреса

через что у ты инет получаешь, adsl аль другое оборудование, спрашиваю потому как от это зависит как настраивать редирект из инета в локалку



Добавлено:
да вот ещё что, свои правила удали, оставь только последнее, а в openvpn, в качестве адрес сервера указывай ip-к удалённого хоста и будет тебе счастье

вышла версия 7.2.0


Цитата:

Version 7.2.0 — August 30, 2011
+ Bandwidth can be now managed easily on one place and also traffic rules can be used to fine-tune
+ Traffic charts can be activated for Traffic and Bandwidth Management rules
+ Support for Google Chrome has been added to Web administration
+ Support for authentication in Apple Open Directory has been added
* The Domains and User Login screen has been redesigned
* Several user accounts can be edited at once. Also they can be directly enabled/disabled from context menu
* Upgrade can now be performed by direct upload of an upgrade file via Web Administration
* Usability of status screens, namely Active Hosts and Active Connections, has been improved. More than one row can be selected to perform certain operations.
* Long lists are listed without paging in Web Administration
+ Added column with user rights to the user account list
* List of user accounts displays number of users defined in currently displayed domain
* A specific record in the DNS hosts table can be found easily in the hosts editor
* Debug and Filter log allow to adjust the format of logged packets
* Navigation in list of rules by the Page Up and Page Down keys has been improved
* Usability of long dialogs on smaller screen resolution has been improved
* Debugging messages from Web Administration can be enabled in Debug log
* DHCP leases can be transferred to another machine using the configuration export/import
* Performance of IPS blacklists has been improved
* VPN Client can now verify an SSL chain including an intermediate certificate
* Multiple bug fixes and improvements have been done in Active Directory integration
* Added possibility to force reconnect all VPN tunnels when primary line goes back online in failover scenario
* Old inactive users with no data are now automatically purged from StaR
- Fixed: Some MAC addresses were incorrectly matched by MAC Filter
- Fixed: FTP over HTTP Proxy for URLs containing some special characters
- Fixed: Scrolling in logs overloaded Kerio Control Engine
- Fixed: Erasing a log took up to 1 minute

День добрый.

Имеется 2008 R2 x64, 7.1.0 patch 2 build 1694

Вчера перестала работать аутентификация пользователей через привязку в карточке пользователя с явным указанием адреса с которого он выходит в сеть.

вот тут

если включена опция вот эта


при попытке выйти в сеть появляется известное окошко для ввода данных


если галочка Всегда требовать аутентификацию при доступе к Веб страницам не активна то все ходят естественно без проблем

так же перестали отображаться активные хосты на этой вкладке



Что делал что бы исправить грабли:

Полностью деинсталлировал керио,
сохранил конфиги,
почистил реестр,
установил заново,
подгрузил конфиги
результат тот же.

Кто знает как лечить грабли..

rd80
К сожалению правила не подошли, за то внешка запинговалась, правда только по ip

yrkrus
выложи ещё раз логи openvpn, а ещё лучше конфиг

Добавлено:
правила что я писал оставь, там всё правильно и должно работать, их тоже выложи, скрин

yrkrus
так и не понял - зачем овпн клиенты ломятся на сервак через прокси?
зачем в правиле идет мап на внешний ип? есть же правило пускать любой траффик с локальных интерфейсов на фаер
я почти уверен что без прокси и без правила с мапом все заработает

зы
пересмотрел скрины и конфиги. понял что сервак овпн стоит не в сети xD
у тебя у соединения адрес назначения не фаер же (судя по логам), т.е в правиле "сеть > фаер", а по факту "сеть > интернет"
я все еще не очень понимаю всю систему твою
попробуй в конфиге овпна указать серваком фаер (с включенным правилом с мапом 1194 порта на удаленный ип) и без прокси (вырубить в настройках клиента)

вариант 2 - тупо открыть 1194 порт из сети в инет "lan > IP_овпн_сервера порт 1194" и в коннектить клиентов опять же без прокси

Подскажите пожалуйста, варианты решения..
версия Kerio Control 7.1.2 build 2333
При создания правила, если в источник забивать ip-адрес(http://clip2net.com/s/1900X), все работает отлично, если же пользователя, то есть 2 варианта: нет никаких ограничений для пользователя(http://clip2net.com/s/1900G) - все опять таки работает, если же добавляем пользователя(по имени) в правило с ограничениями(http://clip2net.com/s/1901y) то у данного пользователя интернет и т.д. не работает..

BilboGomel
как у тебя происходит авторизация пользователей?

Цитата:

выложи ещё раз логи openvpn, а ещё лучше конфиг

Код: Wed Aug 31 13:54:50 2011 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Wed Aug 31 13:54:52 2011 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Wed Aug 31 13:54:52 2011 LZO compression initialized
Wed Aug 31 13:54:52 2011 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Wed Aug 31 13:54:52 2011 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Aug 31 13:54:52 2011 Local Options hash (VER=V4): '41690919'
Wed Aug 31 13:54:52 2011 Expected Remote Options hash (VER=V4): '530fdded'
Wed Aug 31 13:54:52 2011 UDPv4 link local: [undef]
Wed Aug 31 13:54:52 2011 UDPv4 link remote: 195.151.214.x:1194
Wed Aug 31 13:55:52 2011 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Aug 31 13:55:52 2011 TLS Error: TLS handshake failed
Wed Aug 31 13:55:52 2011 TCP/UDP: Closing socket
Wed Aug 31 13:55:52 2011 SIGUSR1[soft,tls-error] received, process restarting
Wed Aug 31 13:55:52 2011 Restart pause, 2 second(s)
Wed Aug 31 13:55:54 2011 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Wed Aug 31 13:55:54 2011 Re-using SSL/TLS context
Wed Aug 31 13:55:54 2011 LZO compression initialized
Wed Aug 31 13:55:54 2011 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Wed Aug 31 13:55:54 2011 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Aug 31 13:55:54 2011 Local Options hash (VER=V4): '41690919'
Wed Aug 31 13:55:54 2011 Expected Remote Options hash (VER=V4): '530fdded'
Wed Aug 31 13:55:54 2011 UDPv4 link local: [undef]
Wed Aug 31 13:55:54 2011 UDPv4 link remote: 195.151.214.x:1194

есть еще 1 момент - у меня у самого по UDP ни в какую не коннектится - юзаю TCP
попробуйте поменять для проверки

Пробовал, меняд tcp с udp, создавал даже отдельную службу tcp\udp на 1194 порту. отказывается
вкл. протоколирование правил, по логу видно что vpn все же он ломится по udp.

Код: [31/Aug/2011 14:12:55] PERMIT "новое правило" packet from LAN, proto:ICMP, len:60, ip:192.168.10.10 -> 195.151.214.x type:8 code:0
[31/Aug/2011 14:12:55] PERMIT "новое правило" packet to WAN, proto:ICMP, len:60, ip:192.168.10.10 -> 195.151.214.x, type:8 code:0
[31/Aug/2011 14:12:56] PERMIT "новое правило" packet from WAN, proto:UDP, len:42, ip/port:195.151.214.x:1194 -> 192.168.11.161:1565, udplen:14
[31/Aug/2011 14:12:56] PERMIT "новое правило" packet from LAN, proto:UDP, len:42, ip/port:192.168.10.10:1565 -> 195.151.214.x:1194, udplen:14
[31/Aug/2011 14:12:56] PERMIT "новое правило" packet to WAN, proto:UDP, len:42, ip/port:192.168.10.10:1565 -> 195.151.214.237:x, udplen:14
[31/Aug/2011 14:12:56] PERMIT "новое правило" packet from WAN, proto:UDP, len:50, ip/port:195.151.214.x:1194 -> 192.168.11.161:1565, udplen:22

yrkrus
у меня тоже openvpn только на tcp работает, а вообще с клиента через telnet порт на удалённом хосте отзывается?


Добавлено:

Цитата:

Еще заметил что dhcp клиенту не назначается если вкл керио, хотя в правиле стоит чтобы тараффик ходил без препятственно

проверь отключён ли в керио dhcp сервис

rd80
по телнету по соображению безопасности он и не сможет отозваться.
на керио файрвол отключен

Добавлено:

Цитата:

на керио файрвол отключен

что значит отключён, керио это и есть firewall


Цитата:

по телнету по соображению безопасности он и не сможет отозваться

хорошо, а как убедиться, что на удалённом хосте открыт порт 1194 для внешних подключений

rd80

Цитата:

что значит отключён, керио это и есть firewall

эээ... не то написал хотел написать что dhcp отключен на керио


Цитата:

хорошо, а как убедиться, что на удалённом хосте открыт порт 1194 для внешних подключений

только по openvpn напрямую через udp 1194

если порт открыт на прямую, то он должен отвечать на запросы по телнету

Я так полагаю, что тупо тремя правилами не обойтись на керио, нужно более детально порабатывать правила, что - куда- откуда, придется tcpviewом запастить=) завтра постараюсь все мелочи расписать.

этих правил вполне достаточно для отладки работы системы, инет для локальной сети разрешён по всем портам, куда ещё детальнее, если на клиенте есть доступ в инет, то капай в сторону openvpn, трабла где там, либо на удалённом хосте(я так и не понял открыт у тебя на удалённом хосте порт 1194 или нет)

Подскажите как следует настроить раздачу инета через VPN туннель между двумя KWF 6.5.2 серверами, для подсетки за одним из роутеров kwf.

yrkrus

Попробуй отключить инспектор протокола.


Добавлено:
yrkrus
хотя не всё до конца понятно!
lan указана как доверенная сеть?
и где всётаки стоит серв.часть openVpn ?
есть ли у пользователей инет при таких правилах?

У меня с OVPN ваще никогда проблем не было раньше, открыл порт и всё, поехали.

Всем привет. Поставил Kerio Control + web filter, соответственно воспользовавшись недельным ключом от есофт. так вот интересует такая вещь, на какие адреса щимится web filter для проверки ключа, это раз. и второй вопрос.. Куда вообще он может пытаться лезть, каков алгоритм разбиения статистики на категории, ведь он это делает онлайн

вопщем дело такое:

Итак как и обещал.

В наличие:
1. 2 статических интернет адреса. 1-й оптика, прописывается проще некуда. 2-й pppoe (провайдер откозался выделять человеческую статику, без pppoe, сославшись на отсутствие данной функции в билинге...).
2. Windows Server 2008 R2, Kerio 7.1.2.2333.
3. Собственно 3 интерфейса (2 для интернета, 1 для локальной сети).
4. Веб сервер на Vmware. Расположен на той же машине куда приходят интырнеты.

Задача:
Необходимо создать доступ из интернета к веб серверу по нужным нам службам или портам, через оба интернет шлюза. При варианте подключения Kerio к Интернету: Несколько соединений с Интернетом - распределение нагрузки трафика.

Добится токого результата (как у комрада serik1986) не получается:


0-й маршрут только один, тот который прописан в 1-ом интерфейсе.

Может дело в этом:


Проделал то что рекомендовали по сылке , не принесло нужного результата.
Пытался сделать то что делал serik1986 - тщетно.

Направте, куда копать?

Подскажите пожалуйста, если ставить керио в качестве прокси нужно ли ставить его клиентскую часть на юзерские ПК, или можно как в ИСА просто проксю прописать и все?

Кто подскажет как правильно и не дорого сделать VPN соединение с удаленным сервером server 2003.
На сервере находится база 1С , одновременное подключения к базе 1С до 30 юзеров (windows XP).
Какой интерет канал надо?
Я пробовал создал входящее соединение на сервере , юзеры подключались по протоколу PPTP а там уже входили в 1С. Проблема в том что соединяются три, четыре ПК а потом на одном из ПК соединение остается а 1С отваливается.
Возможно, что протокол PPTP поддерживает одно соединение, все это я делал стандартно средствами Windows Server 2003 и XP.
Что я не так делаю? Может и не надо всем из офиса соединятся по VPN может для этого использовать один ПК в качестве VPN туннеля?
Со стороны сервера скорость интернета download 4.35 Мбит/сек upload 1.6 Мбит/сек.
А от юзеров download 925.38 Кбит/сек upload 761.52.

nikolai354
Для таких задач лучше использовать терминальный режим

Терминальный не подходит на удаленное подключение если бы была одна база 1С а их несколько и на разных серверах. Порт удаленного терминала я могу пробросить только 1 сервер, а по VPN я имею удаленную подсетку.

Добавлено:
может смотреть в сторону Cisco?
Кто что использует для этих целей?