» Kerio Control (ex Kerio WinRoute Firewall)

faZZ
Отключи впн-канал между центральным офисом и одним из филиалов. Попробуй снова пропинговать.

faZZ
скажи сколько внешних интерфейсов у тебя в центре и в филиале, и через какой установлена связь по kvpn?

unreal 777

Цитата:

Отключи впн-канал между центральным офисом и одним из филиалов. Попробуй снова пропинговать.

отключил, пингуется. сервисы все работают.
включил, не работает

Tihon_one

Цитата:

скажи сколько внешних интерфейсов у тебя в центре и в филиале, и через какой установлена связь по kvpn?

у меня 2, один отключен (типа запасной). в филиале 1

faZZ
При включенном канале его внешний Ip адрес используется как конечная точка для канала и пинговаться не должен и не будет.
У тебя внешний адрес должен пинговаться при отвале канала - это сейчас так и есть.
Проблемы нет.

Правильно ли программа отождествляет пользователя с АйПи, который в его настройках прописан?
Если создать правило, в котором доступ к интернету открыт пользователю, правило не работает. Если вместо пользователя указать АйПи, то работает,

Sergey_Demchuk
когда правила трафика в источнике имеют имя пользователя, то они отрабатывают по идентификатору пользователя, к сожалению указание IP для автоматической авторизации, не привязывает жёстко соответствие IP=идентификатор, поэтому ПТ в таком случае могут не срабатывать. И для данной авторизации лучше в правилах трафика использовать IP адреса\группы IP адресов.

Tihon_one
жесть !
сами понимаете, что сказали невероятную глупость?

Цитата:

к сожалению указание IP для автоматической авторизации, не привязывает жёстко соответствие IP=идентификатор

Хм...ну в хелпе утверждают, что как раз таки указание статического АйПи для пользователя позволяет проводить автоматическую аутентификацию. Непонятно все же, почему имя пользователя в правилах не работает, а указание АйПи работает.
Указал для пользователя АйПи статический 10.10.10.10 и в правилах создал для пользователя правило для доступа к серверу. В журнале вижу запрет всякого трафика для 10.10.10.10
Убираю из правил пользователя и прописываю просто хост 10.10.10.10. И все работает,

Sergey_Demchuk
фишка в том, что нигде в прямую не сказано то, что это будет работать как автоматическое назначение IP адресу идентификатора пользователя, и в главе 12.1 это не указано, указано лишь то, что данной УЗ пользователя будет сопоставлен трафик указанного IP адреса.
Для лучшего понимания, надо осознать что для KControl да и для прошлых версий продукта, есть только WEB аутентификация, и чтобы произошло всё-таки то заветное "чудо", надо чтобы IP адресу было разрешено пройти хотябы по web протоколам.

Разъяснение данного момента есть так же в мане, в главе 8.6


Such a rule enables the specified users to connect to the Internet (if authenticated). However, these users must open the Kerio Control interface's login page manually and authenticate (for details, see chapter 12.1 Firewall User Authentication).

However, with such a rule defined, all methods of automatic authentication will be ineffective (i.e. redirecting to the login page, NTLM authentication as well as automatic authentication from defined hosts). Automatic authentication (redirection to the login page) is performed at the very moment of establishing connection to the Internet. However, this NAT rule blocks any connection unless the user is authenticated.

http://manuals.kerio.com/control/adminguide/en/sect-usersinrules.html

Добавлено:
tanuky

эти информация будет также полезна и для вас.

unreal 777
То, что какой-то адрес является конечной точкой для ВПН, ничего не меняет, и это не должно отменять другие подключения. Проблема эта характерна для работы через ВПН-соединение, поднимаемое средствами ОС, и состоит в некорректной привязке шлюза для установленного туннеля в таблице маршрутов в версиях керио 7.2.0-1. Проблема также может проявляться при использовании конфигурации с несколькими исходящими физическими интерфейсами при организации туннеля через интерфейс, не имеющий шлюза в параметрах сети в ОС.

faZZ
Решить ее просто: надо в керио создать постоянный пользовательский маршрут с параметрами сети <адрес_конечной_точки> маска 255.255.255.255 шлюз <адрес_шлюза_ВПН_ОС> (если он не 0.0.0.0, в таком случае - шлюз того интерфейса, через который поднимается ВПН_ОС) привязка <интерфейс_ВПН_ОС>. В этом случае керио при подключении туннеля не сможет перезаписать уже существующий маршрут (керио будет создавать такой же маршрут, но с привязкой к исходящему, т.е. имеющему шлюз по умолчанию, интерфейсу).
Т.е. керио будет создавать нечто вроде 111.222.333.444/255.255.255.255 - 192.168.0.1 - WAN_OS
Надо написать в маршруте все тоже, но 111.222.333.444/255.255.255.255 - 192.168.0.1 - VPN_OS
Все сервисы будут доступны, в т.ч. керио ВПН.
Это баг керио в этих версиях Control.


Tihon_one
К сожалению, ничего нового вы мне не сообщили, это азы. Не вижу оснований для перемены своего мнения по предыдущему вашему высказыванию.

Пиндосы обычно добавляют: полковник Кольт уравнял шансы.

tanuky
написал в личку, запутался

Подскажите пожалуйста, а то голова опухла уже..
Извините если уже поднималось где-то подобное, буду благодарен если ткнете носом где

Ситуация:

Керио 7.2.0.3028, локалка с одной стороны, два PPPoE внешних интерфейса с другой, VPN тоннель.
Интерфейс xxx - для выхода юзеров в интернет - анлим.
Интерфейс yyy - для VPN канала с обособленным подразделением (пассивное подключение, подразделение коннектится к нам)
LAN 192.168.0.0
LAN подразделения 192.168.1.0.

Проблема:
при попытке попасть на сайт с IP=y.*.*.* керио отправляет юзера в интерфейс ууу. Маршрут y.0.0.0 создается автоматом, все скрины ниже.
Ессно, сайт timed out. Как бы это поправить?


В Интерфейсах:
http://s010.radikal.ru/i314/1112/89/433774c29f41.jpg

Правила:
http://s017.radikal.ru/i418/1112/b2/8971b7739ab2.jpg

ipconfig и route print:

Код:
IPv4 таблица маршрута
======================================================================Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x30003 ...zzz ...... Intel(R) PRO/1000 MT сетевое подключение - Kerio Control
0x30004 ...vvv ...... Kerio Virtual Network Adapter - Kerio Control
0x1d0006 ...xxx ...... WAN (PPP/SLIP) Interface (for Inet)
0x1f0005 ...yyy ...... WAN (PPP/SLIP) Interface (for VPN)
======================================================================Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 x. x. x.159 x. x. x.159 1
10.253.46.0 255.255.255.0 10.253.46.1 10.253.46.1 20
10.253.46.1 255.255.255.255 127.0.0.1 127.0.0.1 20
10.253.58.0 255.255.255.0 10.253.58.2 10.253.46.1 20
10.253.58.2 255.255.255.255 127.0.0.1 127.0.0.1 20
10.255.255.255 255.255.255.255 10.253.46.1 10.253.46.1 20
x. x. x.159 255.255.255.255 127.0.0.1 127.0.0.1 50
x.255.255.255 255.255.255.255 x. x. x.159 x. x. x.159 50
      gate-x 255.255.255.255 x. x. x.159 x. x. x.159 1
y.0.0.0 255.0.0.0 y. y. y.194 y. y. y.194 1
y. y. y.194 255.255.255.255 127.0.0.1 127.0.0.1 50
y. y. y.195 255.255.255.255 y. y. y.194 y. y. y.194 1
y.255.255.255 255.255.255.255 y. y. y.194 y. y. y.194 50
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.255.0 192.168.0.1 192.168.0.1 20
192.168.0.1 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.0.255 255.255.255.255 192.168.0.1 192.168.0.1 20
192.168.1.0 255.255.255.0 10.253.58.1 10.253.46.1 1
      gate-y 255.255.255.255 y. y. y.194 y. y. y.194 1
224.0.0.0 240.0.0.0 10.253.46.1 10.253.46.1 20
224.0.0.0 240.0.0.0 y. y. y.194 y. y. y.194 50
224.0.0.0 240.0.0.0 192.168.0.1 192.168.0.1 20
224.0.0.0 240.0.0.0 x. x. x.159 x. x. x.159 1
255.255.255.255 255.255.255.255 10.253.46.1 10.253.46.1 1
255.255.255.255 255.255.255.255 x. x. x.159 x. x. x.159 1
255.255.255.255 255.255.255.255 y. y. y.194 y. y. y.194 1
255.255.255.255 255.255.255.255 192.168.0.1 192.168.0.1 1
Основной шлюз: x. x. x.159
===========================================================================
Постоянные маршруты:
Отсутствует


ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : gw
Основной DNS-суффикс . . . . . . : company.local
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : company.local

LAN - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Intel(R) PRO/1000 MT сетевое подключение
Физический адрес. . . . . . . . . : zzz
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.0.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 192.168.0.1
192.168.0.10
192.168.0.11

Kerio Virtual Network - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Kerio Virtual Network Adapter
Физический адрес. . . . . . . . . : vvv
DHCP включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 10.253.58.2
Маска подсети . . . . . . . . . . : 255.255.255.0
IP-адрес . . . . . . . . . . . . : 10.253.46.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DHCP-сервер . . . . . . . . . . . : 10.253.46.2
NetBIOS через TCP/IP. . . . . . . : отключен
Аренда получена . . . . . . . . . : 7 декабря 2011 г. 9:33:20
Аренда истекает . . . . . . . . . : 8 декабря 2011 г. 9:33:20

Inet (int. NIC) PPPoE - PPP адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface (for VPN)
Физический адрес. . . . . . . . . : yyy
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : y. y. y.194
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : dns-y
dns2-y
NetBIOS через TCP/IP. . . . . . . : отключен

Inet (ext. NIC) PPPoE - PPP адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface (for Inet)
Физический адрес. . . . . . . . . : xxx
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : x. x. x.159
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз . . . . . . . . . . : x. x. x.159
DNS-серверы . . . . . . . . . . . : dns-x
dns2-x
NetBIOS через TCP/IP. . . . . . . : отключен

Цитата:

К сожалению, ничего нового вы мне не сообщили, это азы.

вот именно потому что вы их знаете, не могу понять что же вам таким глупым показалось.

Tihon_one
вот же... аргументы нужны... нет желания, чесслово... ни времени, ни желания.
потому как эта тема не имеет ни конца, ни начала, ни смысла, ни результата.

Вот лучше Вы перейдите в ветку про почтовик и расскажите подробно, что знаете, как и почему может не работать полнотекстовый поиск, если индексы вроде созданы и все вроде ОК, а толку нету - ничего клиент не находит ни на русском, ни на английском, вообще никак.

А тут.. одно и тоже изо дня в день - букву А выучил? Да, ну теперь букву Б будем учить...
да еще аргументы нужны....

Стоит керио. В последнее время начал замечать (да и юзвери начали жаловаться), что бывают моменты и сайты не открываются. Пару раз жмешь ф5 - все отлично, но не все ico на форумах может загрузить (а может и вообще не загрузить). Почта батом отправляется не всегда с первого раза, если есть вложения.
Пеняю на DNS, но куда копать?
все на windows server 2008. Керио 7.1.2 build 2333
Есть КД, АД, ДНС.
Вроде пинги ходят стабильно

Добавлено:
Стоит керио. В последнее время начал замечать (да и юзвери начали жаловаться), что бывают моменты и сайты не открываются. Пару раз жмешь ф5 - все отлично, но не все ico на форумах может загрузить (а может и вообще не загрузить). Почта батом отправляется не всегда с первого раза, если есть вложения.
Пеняю на DNS, но куда копать?
все на windows server 2008. Керио 7.1.2 build 2333
Есть КД, АД, ДНС.
Вроде пинги ходят стабильно

Добавлено:
сообщение на форума отправил со второго раза

tanuky
ну если лень, то попросил бы тебя не гвоорить чепухи, темболее что без аргументации такие высеры абсолютно неуместны.

Klopikmoscow

сноси керио, перегружайсь. ставь и настраивай заново.
У меня тоже самое было. Тока так вылечил.
Симтомы - инет то есть то его нет. Сайт открывается а другой не хочет.

Tihon_one
да иди ты в задницу, там и найдешь высеры.
расскажи ему почему, блин, он, блин, глупец, да еще не сплясапь ли тебе, засранец, или за пивком не смотаться ли?!
Повторяю - ты сморозил дикую глупость, и вопить можешь сколько хочешь, мне только и остается, что насрать на тебя высерами, на большее никак не тянешь.
Засохни, пародия, и вопи куда сказано.

И все же, может подскажет кто, как запретить получение маршрутов клиентами Kerio VPN, т.е. сделать так, что бы они получали только тот маршрут который указан на вкладке "Дополнительно" VPN сервера?

tanuky
8))) ну и придурь же ты. видать плохо тебя в прошлый раз забанили.

Добавлено:
Negotive666
никак, для vpn клиентов такой возможности нет, ограничивай доступ клиентам через правила трафика.

Цитата:

никак, для vpn клиентов такой возможности нет, ограничивай доступ клиентам через правила трафика.

А чего толку, они сразу после подключения получают маршруты, причем даже если все запрещено, если запретить сам VPN конечно не получают, но и не подключаются.

Цитата:

А чего толку, они сразу после подключения получают маршруты, причем даже если все запрещено, если запретить сам VPN конечно не получают, но и не подключаются.

в чём проблема маршрутов, да согласен, что косяк, но если дело в запрете доступа VPN клиентов к каким-то сетям компании, то делаешь правило

src_все vpn клиенты
dst_список запрещённых к доступу сетей
svc_любая
act_дроп

))) Запретить не есть проблема (точнее не разрешать), есть проблема в том, что, на клиентах появляется вся огромная таблица маршрутизации с сервера.

Negotive666

це не есть хорошо согласен.

Ребят, вопрос поднимался наверное не раз, найти ответ не могу.
Подскажите, необходимо назначить компьютеру локальной сети белый IP. Можно ли такое реализовать в Kerio Control? (мест для дополнительных сетевых нет).
если можно, то как правильно.

Не ругайте сильно, видимо поиском я пользоваться не умею.
Но есть пара вопросов, на которые я не нашел ответов:
Вопрос 1: Соединение с инетом происходит путем VPN подключения, Kerio Control зачем-то меняет настройки вкладки "Безопастность" этого соединения, после чего соединение уже больше не подключается, как избавиться от этой болезни?
Вопрос 2. Всего получается три Интерфейса: Local, Inet и Vpn (последние два и организуют доступ к инету), как в керио будет правильно сделать правила для доступа к инету и как расположить интерфейсы?

shadder87
Я человек угадывающий мысли через интернет- Вы хотите опубликовать (в терминологии Microsoft) какие-то сервисы с локального компа в интернет -это называется "мапинг" (проброс) портов. Гуглите!
Думаю Вам неплохо-бы, просмотреть здесь http://www.kerio.ru/ru/control/manuals
И подозреваю, что ответ находится на этой странице http://manuals.kerio.com/control/stepbystep/en/sect-sbs-map.html
А так, по вопросу- Вы админ,назначайте своим компам белые, черные или фиолетовые адреса,можно на одном сетевом интерфейсе,но керио-то здесь причем...

Коллеги, прошу помочь заблокировать TeamViewer. Что бы в локалке никто не мог его законектить. Кучу портов уже позакрывал на которые он ломится, а толку нет. все равно работает.

Заблокируй в Traffic Policy доступ к адресам в диапазонах
178.77.120.1-178.77.120.255
77.223.130.1-77.223.130.255
81.169.168.1-81.169.168.255
85.25.143.1-85.25.143.255
87.230.70.1-87.230.80.255
порты тут ни при чем

заблокировал. бесполезно.