» Kerio Control (ex Kerio WinRoute Firewall)

leosart
В "полиси"(скажем, там где NAT) в качестве источника стоит "аутентифицированные пользователи" или ...

И нет ли выше у Вас правила, разрешающего "всем" или "группе IP" ?

А крыжик "всегда требовать аутентификации пользователей..."
на вкладке "домен и еще-что-то-там" присутствует ?

P.S. Реальные IP спрятать бы...

leosart
убери шлюз с локальной сетевой, нечего ему там делать, из-за этого у тебя такие "глюки"

Tihon_one
Огромное спасибо, помогло. Только трафик от терминальных клиентов все равно считается как от пользователя СЦ 1

wwladimir
да, все галки везде стоят.
спасибо про реальные IP, чет упустил этот момент...

Добрый день, используется Kerio Firewall 6.7.1
есть два подключения к интернету, одно стоит как основное, второе как резервное, керио их сам переключает когда "падает" первое. Сейчас нужно чтобы работало оба подключения и как то это разграничивать, чтобы разные к примеру службы ходили в интернет по разным каналам (для разгрузки обоих каналов). Есть ли такая возможность?

Как можно запретить получение VPN клиентами маршрутов? Т.е. что бы выдавались только те, которые на вкладке "Дополнительно" в свойствах VPN сервера.

Добавлено:

Цитата:

Добрый день, используется Kerio Firewall 6.7.1
есть два подключения к интернету, одно стоит как основное, второе как резервное, керио их сам переключает когда "падает" первое. Сейчас нужно чтобы работало оба подключения и как то это разграничивать, чтобы разные к примеру службы ходили в интернет по разным каналам (для разгрузки обоих каналов). Есть ли такая возможность?

Включить оба канала, в керио выбрать "Обычная связь с интернет - постоянный доступ" одному интерфейсу назначить метрику больше чем у другого. В результате в таблице маршрутизации появится два маршрута 0.0.0.0/0.0.0.0 с разными метриками и шлюзами. Теперь любое соединение будет уходить через шлюз с меньшей метрикой, но посредством создания маршрутов можно будет задать соединение к определенным адресам/подсетям через другой интерфейс. Вот как то так.

Negotive666

Цитата:

Включить оба канала, в керио выбрать "Обычная связь с интернет - постоянный доступ" одному интерфейсу назначить метрику больше чем у другого. В результате в таблице маршрутизации появится два маршрута 0.0.0.0/0.0.0.0 с разными метриками и шлюзами.

не вводи человека в заблуждение, это делается так: http://manuals.kerio.com/control/adminguide/en/sect-policyrouting.html

Добавлено:
leosart
для терминальщиков делай так:
Force non-transparent proxy server authentication

Under usual circumstances, a user connected to the firewall from a particular computer is considered as authenticated by the IP address of the host until the moment when they log out manually or are logged out automatically for inactivity. However, if the client station allows multiple users connected to the computer at a moment (e.g. Microsoft Terminal Services, Citrix Presentation Server orFast user switching on Windows XP, Windows Server 2003, Windows Vista and Windows Server 2008), the firewall requires authentication only from the user who starts to work on the host as the first. The other users will be authenticated as this user.

In case of HTTP and HTTPS, this technical obstruction can be passed by. In web browsers of all clients of the multi-user system, set connection to the Internet via the Kerio Control's proxy server (for details, see chapter 10.5 Proxy server), and enable the Enable non-transparent proxy server option in Kerio Control. The proxy server will require authentication for each new session of the particular browser.[6].

Forcing user authentication on the proxy server for initiation of each session may bother users working on “single-user” hosts. Therefore, it is desirable to force such authentication only for hosts used by multiple users. For this purpose, you can use the Apply only for these IP addresses option.


http://manuals.kerio.com/control/adminguide/en/sect-userauth.html

Цитата:

не вводи человека в заблуждение, это делается так

Я привел реально работающую конфигурацию которая у меня работает 2-й год, а постить ссылки на мануалы на сайте - их и без Вас все знают. И прочитайте условия, ему не НАТИТЬ нужно, а что ЛОКАЛЬНЫЕ службы ходили через разные интерфейсы.

господа, прошу помощи. ситуация такая:
есть комп 192.168.10.33, на нем прописан шлюз 192.168.10.4 (который является инет серваком с керио)
есть комп с внешним айпишником y.y.y.y

пингую этот комп y.y.y.y
с шлюза 192.168.10.4 пинг есть, все нормально
с компа 192.168.10.33 пинга нет

правило трафика такое
локалка -> инет -> ping -> разрешить, запись в лог -> NAT (расределение нагрузки по хостам)

в логе запись
[01/Dec/2011 11:32:39] PERMIT "Ping / исходящие" packet from Local, proto:ICMP, len:60, 192.168.10.33 -> y.y.y.y, type:8 code:0

и тишина. вроде ничего сложного...

Negotive666

Цитата:

Я привел реально работающую конфигурацию которая у меня работает 2-й год, а постить ссылки на мануалы на сайте - их и без Вас все знают. И прочитайте условия, ему не НАТИТЬ нужно, а что ЛОКАЛЬНЫЕ службы ходили через разные интерфейсы.

Ты конечно извини, но твоя схема кривизна твоих рук, конфигурировать продукт надо так как описано в документации, а вопрос уважаемого Maza777 рассмотрен, с примерами и всеми необходимыми ссылками на перекрёстные главы, именно в той главе документации которую привёл я. Переводом тут я заниматься не хочу, так что хочешь быть админом, имей терпение для чтения документации.


Засим предлагаю закончить прения, из-за не состоятельности твоих познаний в конфигурировании данного аспекта KWF и моём полном не желании тебя в этом убеждать.

Добавлено:
faZZ

Цитата:

[01/Dec/2011 11:32:39] PERMIT "Ping / исходящие" packet from Local, proto:ICMP, len:60, 192.168.10.33 -> y.y.y.y, type:8 code:0

если есть такие записи, значит контрол пропустил твои пинги, и умерли они где-то ещё. давай так сделаем, пришли сюда ipconfig /all и route print с хоста kcontrol и с которого пинги запускаешь, затем снимок правил трафика. Дальше будет видно, что может ещё надо будет сделать.

Цитата:

Включить оба канала, в керио выбрать "Обычная связь с интернет - постоянный доступ" одному интерфейсу назначить метрику больше чем у другого. В результате в таблице маршрутизации появится два маршрута 0.0.0.0/0.0.0.0 с разными метриками и шлюзами. Теперь любое соединение будет уходить через шлюз с меньшей метрикой, но посредством создания маршрутов можно будет задать соединение к определенным адресам/подсетям через другой интерфейс. Вот как то так.

спасибо, я думал это правилами рулить надо

Maza777
в каждом нужном правиле включить НАТ на конкретный интерфейс (совсем не обязательно ему быть исходящим) что для файрволла, что для локалки без разницы и все.

faZZ
А правило, разрешающее пинги с самого керио присутствует ? NAT -же!!!

Цитата:

Ты конечно извини

Извиняю, просветление придет и к тебе. За сим действительно прения лучше прекратить, ибо знания ТВОИ заканчиваются на созданиях правил в соответствии с мануалами. Можешь на досуге, для самообразования, изучить разницу между созданием маршрута посредством route add и той галиматьей которую ты предлагаешь.


Добавлено:

Цитата:

господа, прошу помощи. ситуация такая:

Выше этого правило создай временное
192.168.10.0/255.255.255.0 => 0.0.0.0/0.0.0.0 => PING => разрешить => NAT использовать исходящий интерфейс.

Что в таком случае? И пинга нет с какой ошибкой?

Цитата:

192.168.10.0/255.255.255.0 => 0.0.0.0/0.0.0.0 => PING => разрешить => NAT использовать исходящий интерфейс.

чего-то мне кажется, что присутствую при сотворении нового мира из полного бреда...

Цитата:

чего-то мне кажется

Вам кажется, не волнуйтесь.

Negotive666
удачи маршрутизатор ты наш

Negotive666
ок, не буду, только обоснуйте подробно свое утверждение.
вот как-бы без эмоций, просто и понятно, для тупых.
интересно же.

Цитата:

для тупых

...есть RTFM на сайте мелкософта, и RFC до кучи - читайте

Добавлено:

Цитата:

только обоснуйте

RTFM мой милый друг, RTFM...

Negotive666
милый для тебя у тебя в штанах, вот его и милуй, если там есть что миловать.
это тоже ртфм, болтунишка ерундой.

Цитата:

если есть такие записи, значит контрол пропустил твои пинги, и умерли они где-то ещё. давай так сделаем, пришли сюда ipconfig /all и route print с хоста kcontrol и с которого пинги запускаешь, затем снимок правил трафика. Дальше будет видно, что может ещё надо будет сделать.

[more=ipconfig комп]
убрал
[/more]
[more=route комп]
убрал
[/more]
[more=ipconfig шлюз]
убрал
[/more]
[more=route шлюз]
убрал
[/more]
[more=Правила]
убрал
[/more]
[more=Продолжение]
убрал
[/more]

Уточню - пинга нет до хостов, на которые настроен впн. Их 5. Вот на эти 5 и неработает из локалки. впн поднимается, потому как с сервака работает все


Цитата:

А правило, разрешающее пинги с самого керио присутствует ? NAT -же!!!

правило
брендмауэр -> любой -> любой -> разрешить


Цитата:

Выше этого правило создай временное
192.168.10.0/255.255.255.0 => 0.0.0.0/0.0.0.0 => PING => разрешить => NAT использовать исходящий интерфейс.

Что в таком случае? И пинга нет с какой ошибкой?

сеть/маску 0.0.0.0/0.0.0.0 не дает вписать. Ошибок никаких нет. Просто теряются пакеты после Керио. До другого хоста они не доходят

faZZ


Цитата:

Уточню - пинга нет до хостов, на которые настроен впн. Их 5. Вот на эти 5 и неработает из локалки. впн поднимается, потому как с сервака работает все

что за VPN-то, кто vpn поднимает?

Цитата:

сеть/маску 0.0.0.0/0.0.0.0 не дает вписать.

Должно давать. Так пингов нет не на внешние адреса, а на хосты которые по другую сторону VPN? Те которые 192.168.11.* и т.д? Напишите адрес куда пинга нет.

faZZ
а ты случайно не обновлял в последнее время КК до 7.2.1 ??
Посмотри, в смежной теме у товарища похожие проблемы, и связаны они именно с обновленной версией. Откат на предыдущую все решает

Цитата:

что за VPN-то, кто vpn поднимает?

керио и поднимает


Цитата:

Должно давать. Так пингов нет не на внешние адреса, а на хосты которые по другую сторону VPN? Те которые 192.168.11.* и т.д? Напишите адрес куда пинга нет.

Цитата:

а ты случайно не обновлял в последнее время КК до 7.2.1 ??

нет. 7.2.0 стоит

faZZ
Считается, что правильно и хорошо правило для локального трафика передвинуть в самый верх и отключить для него инспектор протокола. Попробуй пока это еще.
И покажи трассировку со шлюза на подсеть удаленного офиса через впн, с компа в локалке туда же, и то же самое обратно
И еще - с другой стороны впн кто держит? Тоже керио? Или просто впн-клиент?

Странно, у меня ставится, правда версия 7.1.2. Так на какие адреса пингов то нет?

unreal 777

Цитата:

Считается, что правильно и хорошо правило для локального трафика передвинуть в самый верх и отключить для него инспектор протокола. Попробуй пока это еще.

передвинул. инспектор отключен (забыл раздвинуть колонки)

[more=tracert шлюз]
Трассировка маршрута к *** [192.168.11.1]
с максимальным числом прыжков 30:

1 31 ms 25 ms 25 ms 172.26.11.1
2 29 ms 25 ms 28 ms *** [192.168.11.1]

Трассировка завершена.
[/more]
[more=tracert комп]
Трассировка маршрута к *** [192.168.11.1]
с максимальным числом прыжков 30:

1 <1 мс * <1 мс inetserv.*** [192.168.10.4]
2 33 ms 29 ms 29 ms 172.26.11.1
3 27 ms 27 ms 28 ms *** [192.168.11.1]

Трассировка завершена.
[/more]
[more=tracert обратно до шлюза]
Трассировка маршрута к INETSERV [192.168.10.4]
с максимальным числом прыжков 30:

1 <1 мс <1 мс <1 мс *** [192.168.11.2]
2 * * * Превышен интервал ожидания для запроса.
3 26 ms 26 ms 27 ms INETSERV [192.168.10.4]

Трассировка завершена.
[/more]
[more=tracert обратно до компа]
Трассировка маршрута к IT-ADM [192.168.10.33]
с максимальным числом прыжков 30:

1 <1 мс <1 мс <1 мс *** [192.168.11.2]
2 27 ms 28 ms 37 ms 172.26.11.3
3 25 ms 31 ms 29 ms IT-ADM [192.168.10.33]

Трассировка завершена.
[/more]

с другой стороны керио 6.7.1

Добавлено:

Цитата:

Так на какие адреса пингов то нет?

на внешние адреса филиалов из локалки

faZZ
так проблемы, кажется, нет? Компы из локалок видят друг друга. А зачем им пинговать внешний IP удаленного филиала, если связь между ними по впн???
И если оказалось, что с той стороны тоже сервак керио, то может просто на нем запрещены пинги.
Но снова повторюсь, в чем смысл сих изысканий, если все всех видят?

пингов сюда нет paritet.***.ru (94.73.193.**)? Просто внешних адресов филиалов там не один.

unreal 777

Цитата:

так проблемы, кажется, нет? Компы из локалок видят друг друга. А зачем им пинговать внешний IP удаленного филиала, если связь между ними по впн???
И если оказалось, что с той стороны тоже сервак керио, то может просто на нем запрещены пинги.
Но снова повторюсь, в чем смысл сих изысканий, если все всех видят?

по впн то да. вот почему не работает на внешний? помимо пинга не работают и другие сервисы.. просто если впн отключится, придется с сервака только заходить. понятно что это не такая уж и большая проблема, но я не понимаю почему не работает..

пинги на другой стороне разрешены. филиалы друг друга пингуют и с локалки, и с шлюза

хотелось бы разобраться почему так

Добавлено:
Negotive666

Цитата:

пингов сюда нет paritet.***.ru (94.73.193.**)? Просто внешних адресов филиалов там не один

на все филиалы нет