» Kerio Control (ex Kerio WinRoute Firewall)

сделай проще...
Воткни канал интернета в свитч и раздавай на два контроллера домена
На каждом поставь свой Керио
Будет тоже самое что Ты хочешь тока без гемороя

идея хороша. но надо ломать второго админа ставить керио
Если действительно гемморойно - буду делать так

Есть два сервера:
(1) Win2k3 R2 SE SP2 + KWF 6.7.1 patch 2 build 6544
(2) Win2k8 R2 EE SP1 + KControl 7.2.2

На обоих настроено правило, обеспечивающее полноценную работу из LAN с удаленной сетью, соединенной по VPN:
Source: Trusted/Local
Dest: Remote_network (address group)
Service: all
Action: permit
Translation: NAT (VPN_connection)

В группу Remote_network внесены все адреса удаленной сети, соединение с которой происходит через VPN_connection, созданное на сервере.

Кроме того, везде настроен forwarding DNS-запросов с соответствующими суффиксами на DNS-сервер в удаленной сети: на (1) - через встроенный в Windows DNS-сервер (в самом KWF DNS forwarding отключен), на (2) - через Kerio Control.

Проблема в том, что на (1) указанная схема работает (клиент, подключенный к нему, нормально работает с ресурсами удаленной сети), а на (2) - нет: при пинге по DNS-имени оно разрешается (из чего делаем вывод, что DNS forwarding работает), но пинг не проходит. С самого (2) пинги идут. Правило, судя по логам, при пинге с клиента срабатывает, но... и всё. Пинг по ip-адресу с клиента тоже не работает. Клиент один и тот же. Оба сервера подключены к одному и тому же железному роутеру (получается NAT за NAT). Интернет-сайты с клиента через (2) пингуются.
В чем может быть дело?

Если (2) подключить как клиента к (1), отключить в нем правило и DNS forwarding, то разрешение имен на клиенте, подключенном к (2) - получается, через цепочку из трех NAT, - работает.

Klopikmoscow

Цитата:

идея хороша. но надо ломать второго админа ставить керио
Если действительно гемморойно - буду делать так

Ну ломать не надо, все одно у него чето стоит.
А например при переходе с ИСЫ преимущества на лицо. Сервера быстрее работаю с керио, он меньше хавает ресурсов

GCRaistlin
Цитата:

Translation: NAT (VPN_connection)

Зачем вам NAT при общении между локальными сетями? Пропишите маршруты в первой сети ко второй сети через KWF 6.7.1, во второй к первой через KControl 7.2.2, если они не являются в своих сетях шлюзами по умолчанию. Подкрутите правила фаерволов, чтобы они не блочили пакеты из другой сетки, и вуаля.

vlary
Удаленная сеть тут вообще ни при чем. У меня в своей сети есть конфигурация (1) - рабочая, я тестирую конфигурацию (2), на которую хочу перейти. NAT мне для того, чтобы я мог с любой машины в своей сети работать с любой машиной в удаленной сети - по-моему, простое указание маршрутов (на клиенте? на роутере с KWF?) такой задачи не решит. Если я не прав, поясните, пожалуйста, этот момент поподробнее.
Попробовал поставить с теми же конфигами 7.2.2 x32 на тестовую машину WinXP - работает. Но надо-то именно на Win2k8 R2 x64...

GCRaistlin

Цитата:

NAT мне для того, чтобы я мог с любой машины в своей сети работать с любой машиной в удаленной сети

NAT - он не для этого. Для того, чтобы с любой машины в своей сети работать с любой машиной в удаленной сети, существуют GRE или VPN туннели, посредством которых роутеры связывают эти сети, если между ними нет прямой веревки.
Пример. Допустим, у вас сеть 1 - 10.1.1.0/24, сеть 2 - 10.2.1.0/24, 10.1.1.1 и 10.2.1.1 соответственно сервера. Между ними через интернет прокинут VPN, адрес которого 192.168.1.1 и 192.168.1.2 с первой и второй сторон соответственно.
Первый сервер должен знать, что он попадет в сеть 2 через 192.168.1.2. Второй сервер должен знать, что он попадет в сеть 1 через 192.168.1.1. Если для хостов в первой и второй сети эти сервера являются шлюзами по умолчанию, они вообще не обязаны ничего знать.
Если нет, то хосты в сети 1 должны знать, что путь к сети 2 идет через 10.1.1.1, а хосты в сети 2 должны знать, что путь к сети 1 идет через 10.2.1.1.
Вот такой подход является правильным.

У меня сети как раз и соединены VPN-туннелями. В локальной сети (192.168.33.0/24) машина с KWF (192.168.33.1) - шлюз по умолчанию, она раздает Интернет и на ней же создано VPN-соединение. Пакеты, адресованные в удаленную сеть (192.168.0.0/24), приходят с клиента на основной шлюз и по указанному в моем первом посте правилу отправляются через VPN-соединение в удаленную сеть.
Я никак не могу понять, почему здесь не нужен NAT. Роутер с KWF отправит в удаленную сеть пакет, на которой придет ответ. Как без NAT роутер узнает, на какую машину в локальной сети перенаправить ответ?
Ради интереса добавил на (2) статический маршрут:
192.168.0.0 255.255.255.0 192.168.0.1 <vpn_интерфейс>
Ничего...

GCRaistlin
Цитата:

Как без NAT роутер узнает, на какую машину в локальной сети перенаправить ответ?

В заголовке пакета "получатель" будет стоять айпи этой машины.
Цитата:

192.168.0.0 255.255.255.0 192.168.0.1 <vpn_интерфейс>

Это работать не будет, странно даже, что команда сработала. Должно быть что-то типа
192.168.0.0 255.255.255.0 айпи_vpn_интерфейса
И с обратной стороны тоже:
192.168.33.0 255.255.255.0 айпи_vpn_интерфейса

vlary

Цитата:

192.168.0.0 255.255.255.0 айпи_vpn_интерфейса

Гм... Так ведь он разный каждый раз. Можно, конечно, через скрипт его определить, но это довольно нетривиально.
На самом деле, таких удаленных сетей две. И если в одной я могу, наверное, как-то зафиксировать IP-адрес, получаемый VPN-соединением, то во второй никак - она не моя.

Смотрю таблицу маршрутизации в KWF - есть там маршрут, подобный указанному вами. Поле Gateway пустое, я так понимаю, это означает, что значение шлюза для маршрута совпадает с адресом интерфейса. Создается маршрут при установке VPN-соединения, как и должно быть (ну, по моим понятиям). Однако, если убрать правило (или убрать NAT-трансляцию в правиле), то пакеты с клиентов не идут. Что-то я туплю .

Значение метрики у этого динамического маршрута - 1, у маршрута для сети 0.0.0.0 - 30.

Может, дело в том, что с обратной-то стороны маршрут не определен? Хотя почему тогда пинги в ту сеть с самого роутера без проблем идут...
В удаленной сети стоит железный роутер, смотрю в его таблицу маршрутизации - сетки 192.168.33.0 там нет в принципе. Или так и должно быть? Как плохо знать что-то кусками... Если вы мне поможете разобраться в том, как установить VPN-соединение, работающее в обе стороны, буду вам очень благодарен.

Хотя мы, конечно, несколько удалились от первоначальной темы. Правильно ли, неправильно ли использовать для соединения с удаленной сетью NAT, а на старой-то системе это работает. На новой же - ни в какую. Грешу на KWF x64 - разработчики, видимо, шлифовали и шлифуют в первую очередь именно x32-версию. Например, поставил x64 7.1.2, так с ним вообще ничего не заработало - Интернет-адреса с клиентов не пинговались.

Подскажите какие требования к железу у линуховой версии Kerio Control

Software Appliance
CPU: 500 MHz
Memory: 1 GB RAM
Hard drive: 8 GB HDD space for OS, product, logs, and StaR data
Network interface: 1 Ethernet (10/100/1000 Mb) network interface supported by the Linux kernel 2.6.30
(Majority of current NICs supported.)

На сайте керио все написано. Принципиально туда не заходим?

клиенты через VPN по RDP вводя IP адрес шлюза на котором стоит Kerio Firewall попадали на другое сервер, правило для этого было

источник: подсеть клиентов
получатель: Firewall
служба: TCP 3389
Действие: ОК
Трансляция: 192.168.100.5

Сейчас требуется распараллелить работу чтобы они ходили еще на один сервер допустим через нестандартный порт

источник: подсеть клиентов
получатель: Firewall
служба: TCP 63389
Действие: ОК
Трансляция: 192.168.100.100:3389

не работает так,в RDP клиенте соответственно пишу 192.168.100.1:63389
p.s. 192.168.100.1 адрес шлюза
p.p.s. на сервере 192.168.100.100 Windows_Server 2003 R2 SP2 люди работают тоже по RDP из локальной сети и изменять настройки порта всем нельзя

Maza777
Не уловил... Вы же при этом на тот же сервер заходите, 192.168.100.100.
И, если есть VPN, почему не указывать в RDP-клиенте непосредственно имя терминального сервера?

Хотя, конечно, все равно непонятно, почему не работает. Правило в начале списка?

GCRaistlin
сейчас все подключения приходящие на интернет-шлюз (192.168.100.1) Керио транслируются на сервер 192.168.100.5, сделано из целей безопасности чтобы они не залезли на другие компы (сеть они нашу не видят ,а видят только смотрящий в ихнюю сторону WAN порт на Керио шлюзе). Так вот а нужно чтобы они ходили еще и на сервер 192.168.100.100 по RDP.

Для этого я сделал правило

источник: подсеть клиентов
получатель: Firewall
служба: TCP 63389
Действие: ОК
Трансляция: 192.168.100.100:3389


и не могу подключиться по RDP через порт 63389, пробовал 3390 порт порт, результат тотже

Добавлено:
поднял правило на самый верх, результата нет

Maza777
Какие-то ущербные соображения безопасности - разве нельзя, зайдя на терминальный сервер, с него уже попасть куда хочешь? Я в таких случаях доступ политиками безопасности регулирую.
А правило-то срабатывает? Если лог включить?

Maza777
Мой "любимый" уже здесь вопрос - а что у Вас на сервере с 192.168.100.100
указано в качестве "шлюза по умолчанию" ? "Потому и не кусают ...

У меня в одной организации два десятка машин по RDP наружу выставлено через Керио на разных портах.

wwladimir

Цитата:

Мой "любимый" уже здесь  вопрос - а что у Вас на сервере с 192.168.100.100
указано в качестве "шлюза по умолчанию" ? "Потому и не кусают  ...

указан инет-шлюз керио 192,168,100,1

а как на это влияет шлюз по умолчанию я чето непойму? если это входящее подключение

Добавлено:
включил в правиле "Регистрация пакетов " и "Регистрация соединений" попробовал подключиться, не вышло, полазил по журналам, не нашел никакой записи за то время когда я подключался с этими портами. В какой журнале должно это быть?

Maza777
а давай сначала так сделай:


route print с клиента (100.100 и 100.5) и с контрола
ipconfig /all от туда же

затем, на всякий пожарный правила для входящих подключений во встроенном брандмауэре хоста 100.100 (либо просто погаси саму службу)

и правила трафика kcontrol


и там будет видно.

Цитата:

включил в правиле "Регистрация пакетов " и "Регистрация соединений" попробовал подключиться, не вышло, полазил по журналам, не нашел никакой записи за то время когда я подключался с этими портами. В какой журнале должно это быть?

Пакеты отображаются в Filter, соединения - в Connections.

Значит, правило не работает по каким-то причинам. Неправильно указаны условия. Или вообще запрос с клиента не уходит, режется файрволлом - он, если встроенный, по идее, только за входящие соединения отвечает, но, бывает, глючит.

проброс был сделан из-за того что, они не видят в моей сети ничего кроме сетевухи WAN с инет-шлюза которая смотрит в драйтек

Добавлено:
Какие маршруты нужно прописать и где, чтобы пакеты по сети ходили нормально без пробросов? а то я с пробросами чето не получается я так смотрю

Maza777
Вы бы до приговора пробросам разобрались, почему результат применения правила в лог не попадает.

прописал в маршрут свою подсеть на роутере у клиентов чтобы они увидели мою сеть. Но все равно хочу понять, почему проброс порта не работает, завтра схемку нарисую.

Maza777
Да чего схема-то даст. Не в пробросе дело, до него, раз нет записей в логах, дело не доходит.

Maza777
тебе помощь нужна, или просто потрепаться охота? Выложи то что я прошу, нам хотя бы понятней твоя картина будет.

Есть комп с Вин7 х32 раздает инет керио стоял 6-й , было все прекрасно, стоял еще НОД32, и вот решил поставить другой антивирусник Titanium Internet Security 2012 от trendmicro (извините если сочтете за рекламу) , но как только вкрутил новый антивирь перестал работать проксик, причем скайп, почта, аська ходят а из браузера ничерта не работает, вычеслил в чем дело решил обновить керио , поставил 7,2,2. но толку нет.
Может кто-то сталкивался, как их подружить друг с другом, в антивире настроки не нашел чтоб где-то можно блочить.
Заранее спасибо.

Прежде чем ставить всякую хрень надо проверить ее совместимость с другой хренью.
А теперь смотрим Ваш любимый антивирус

Список продуктов которые надо деинсталировать перед установкой антивируса
http://support.antivirus.co.uk/trendmicro/kbresolution.jsp?hmid=53759

Читаем пункт
5. Other Products

И там видим: Kerio WinRoute Firewall.
Учитывая что Вы выбрали Titanium Internet Security 2012 то в нем должен быть встроен свой файрвол который будет конфликтовать с файрволом Керио.

Вывод. Можно поробовать отключить файрвол в антивирусе. И обязательно закончить институт

Цитата:

Можно поробовать отключить файрвол в антивирусе.

Как бы не вчерашний и понимаю что Internet Security подразумевает под собой , свой встроеный Firewall, но его нет, он использует походу встроенный виндовый, а он у меня отключен, вот и не понятно в чем дело, а то что они не совместимы я видел, потому и консультируюсь тут может кто-то сталкивался.
Если никто не сталкивался буду сам ковыряться, если решу , отпишусь.


Цитата:

И обязательно закончить институт

не хочу ничего говорить, а то превратится тема в грызню, относитесь к людям чуть добрее и у Вас все будет хорошо.

WildTigra
Ну имел место намек на кривую грамматику Вашего поста, а по сути, в настройках Керио есть подключаемые антивирусные модули, Nod32 у него есть, а вот про ваш последний честно говоря не в курсе, в любом случае необходимо отключить антивирусный модуль Керио если используется антивирусное решение стороннего производителя и не забыть о том, что NDIS драйвер желательно иметь один в сетевом подключении. И два антивирусных модуля на одном хосте вызывают головную боль.

Подскажите, становится ли он на 2008server или лучше использовать 2003? Во втором случае, будет ли нормальная интеграция с AD на 2008? Стоит ли ставить 7-ку или остановиться на 6-ке? Становится ли 6-ка на 2008? Спасибо.

Добавлено:
Подскажите, становится ли он на 2008server или лучше использовать 2003? Во втором случае, будет ли нормальная интеграция с AD на 2008? Стоит ли ставить 7-ку или остановиться на 6-ке? Становится ли 6-ка на 2008? Спасибо.