» Kerio Control (ex Kerio WinRoute Firewall)

wwladimir

Цитата:

И смысл подмены порта?

- хм пардон ... както не подумал сразу предупредить данный сервак прикручивается на место помирающего wingate который настраивался ещё в начале 2000-х(и переодически подыхал, слетали правила, итд) порты указываются те которые существовали на старичке ... естественно желание руководства чтоб замена прошла незаметно для пользователя. и шайтан бы с этой почтой можно былоб перенастроить порядка 70 человек за выходные например ... но крутится ещё куча сервисов которые вот категорически лучше не трогать для спокойствия собственной нижней части спины...

Добавлено

Цитата:

Возможно мы все забыли про правую колонку..

неа ... это то что сразу проверил ! попробовал потушил snort, встроенный антивирь отрублен по умолчанию ...


Цитата:

Просто дате "владу" протокол SMTP к "спайсвеб", будет обычный НАТ и авторизация.

можете показать пример ?! да в debug - знаю ... но чёт не нашел ,но не спорю мог проглядеть.. буду копать упорней

Valery12

Цитата:

попытка повторить функционал юзергейта?

-не совсем, есть определённые извращения в построении сети и маршрутах из-за них и настроены эти "правила"


Цитата:

но зачем конусный нат а не обычный

- - перенервничал ... тыкал всё подряд, исправил,согласен конусный там не нужен


Цитата:

потому что правило с группой применяется к уже авторизованным пользователям но само авторизацию не запускает

- не знал ... но в правилах HTTP фильтрации группы ставятся ... вот и подумал по аналогии..


Цитата:

вот с пользователем привязанным к IP по идее должно.

- а вот не работает, думаю может косяк установленной версии ?! ...

stegan
Возможный вариант решения- адрес обращения по этим "особым" портам должен быт не керио, и не хост внутренней сети. Но что угодно другое, даже не существующее... Их и пробрасывайте, и я думаю будет работать. (поменяйте внутренний адрес керио, а тот адрес, куда они обращаются -добавьте в статический маршрут на внешний интерфейс . Вот такое извращение будет !!!)

так Господа похоже всёж чёт с версией проблема, или с настройками которые делались не мной ... сейчас подрубился к одному из "своих" старичков на 6.5.2 сделал аналогичные настройки как минимум с пользователем(не с группой) ... заработало значит чёто не так конкретно с этой железкой ... Вообщем всем спасибо ... завтра отпишусь по результатом ..

Отвлекитесь от серьёзных проблем, надо погамать в контру, и вот бага.
Пробрасываю через нэт порт 27015 и всё было ок, гамали несколько дней, но вот бац... и не работает, перенастройку ничего серьёзного не делал. Как отдебагить траблу мож кто подскажет?

всем доброго утра!
кто-нибудь успешно блокировал tor в керио?

amaz1nk
А разве встроенное в снорт не работает ?
Конфигурация-политика трафика-предотвращение вторжения-Tor Exit Node - удалить.

Текущий список узлов Тор - http://rules.emergingthreats.net/blockrules/emerging-tor.rules

wwladimir
его вручную можно обновлять?
скачал со snork.org беслптные правила для зарегенных, 80 мб, тупо скопировал в папку снорка в керио с заменой, но эффекта не дало, а обновляться сам не желает.

Цитата:

всем доброго утра!
кто-нибудь успешно блокировал tor в керио?

wtf? Что за зверь?

amaz1nk
В купленной версии сам обновляется. В "обычной" я просто копировал папку из обновленной. Это как-бы снорт, но платный...

wwladimir
то есть копировал из купленного керио папку снорта в снорт обычного керио?

amaz1nk
это уже не для этой темы...
http://forum.ru-board.com/topic.cgi?forum=35&topic=47321
там "версия для печати" и ctr+F по слову snort

обновился - версия 1.102, тор благополучно сконнектился

amaz1nk
Да-а-а... действительно тор конектится и с обновленными правилами снорта.
Пойду и я "копать" почему.

потому, что снорт запрещает входящие соединения от узлов ТОРа, а не исходящие на них

bestolkovka
Спасибо. Но где об этом можно поподробнее?

ну да...exit в названии правила сбило с толку. на первой-же странице написано-
http://doc.emergingthreats.net/bin/view/Main/TorRules

wwladimir

Цитата:

Спасибо. Но где об этом можно поподробнее?

http://geneg.ru/control/control-tor.htm

В варезнике не ответили тут спрошу.

С недавних пор в журнале ошибое Kerio Control появились такие вот записи:
[06/Mar/2012 14:38:24] Automatic update error: Unable to load certificate.
[06/Mar/2012 14:38:24] Registration error: Unable to load certificate.
Керио стоит давно, апгрейдился с версии 701 до 722. На другой похожей машине ничего такого нет. При этом проверка обновлений выключена. Сертификаты в самом керио сгенерил заново.
Чего он хочет и где искать?

Есть проблема с KC 7.2.2.3443 x32 под Win2k3 R2 SP2. Спустя какое-то время (от нескольких минут до суток) после (пере)запуска службы KC на клиентах начинаются тормоза при разрешении DNS-имен в Интернете (примерно 5 с). Перезапускаем службу - разрешаются мгновенно (менее чем за секунду). Естественно, перед каждой проверкой локальный кеш и кеш DNS-сервера чистим.
DNS в сети построена таким образом: есть DC, на нем DNS. Настроен forwarding неразрешенных запросов на машину с KC. На машине с KC два сетевых адаптера, на одном из которых (в списке адаптеров он стоит первым) в качестве DNS указан DC, на другом - DNS "железного" роутера, к которому он и подключен. Таким образом, разрешение имен DNS и на машине с KC идет через DC. И вот что еще странно. С машины с KC в "период DNS-тормозов" разрешение имен происходит гораздо быстрее, чем на остальных машинах сети, - за секунду с небольшим, хотя это тоже заметно дольше, чем сразу после перезапуска службы. Т. е., получается, проблема связана (в том числе?) с форвардингом. Но лечится перезапуском службы KC.
Кто-нибудь сталкивался?

GCRaistlinсмотрите здесь
http://forum.ru-board.com/topic.cgi?forum=8&topic=37426&start=2500
четкая инструкция от valery12

wwladimir
Хост с KC, конечно, можно выкинуть из DNS-цепочки, форвардить сразу на железный роутер (у меня так, NAT через NAT). Но тогда ведь fail-over отменяется. Я, правда, им не пользуюсь...

GCRaistlin
Имелось ввиду, что керио делает запросы ТОЛЬКО к внутреннему ДНСу (и про существование других знать не должен- уберите с интерфейса указание адреса маршрутизатора из ДНС), тот если чего "не знает" пересылает к провайдеру (ну или 8.8.8.8). И это ВСЯ схема.
Ни роутер, ни керио форвардингом ДНС запросов в этом варианте не занимаются. У клиентов сети указан ТОЛЬКО доменный ДНС.

wwladimir

Цитата:

Ни роутер, ни керио форвардингом (и кешированием) ДНС запросов не занимаются.

Я имел в виду форвардинг неразрешенных DNS-запросов с моего DC на KC. Раз с хоста KC запросы в период проблем разрешаются быстрее, чем с прочих машин, можно предположить, что дело не только в KC, а и в этом самом форвардинге. Как альтернативу форвардингу непосредственно на роутер можно попробовать указать вторым DNS-сервером хост с KC.
Только почему вы утверждаете, что кешированием не занимаются ни KC, ни роутер? По-моему, роутер вполне себе может (хотя мой вряд ли), а KC, насколько я помню, точно кеширует - когда разбирался с этой проблемой в начале, кеш не отключал, и приходилось для воспроизведения чистить его в трех местах - локально, на DC и на KC.
А вот форвардинг (custom forwarding) действительно в KC не работает, приходится пользоваться тем, что в DNS-сервере на DC.

Добавлено:

Цитата:

Имелось ввиду, что керио делает запросы ТОЛЬКО к внутреннему ДНСу (и про существование других знать не должен- уберите с интерфейса указание адреса маршрутизатора из ДНС), тот если чего "не знает" пересылает к провайдеру (ну или 8.8.8.8).

С какого интерфейса? Вот ipconfig /all на хосте с KC:[more]

Windows IP Configuration

Host Name . . . . . . . . . . . . : gate
Primary Dns Suffix . . . . . . . : domain.local
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : Yes
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : domain.local
RT-G32

Ethernet adapter WAN Unet:

Connection-specific DNS Suffix . : RT-G32
Description . . . . . . . . . . . : Microsoft Virtual Machine Bus Network Adapter #2
Physical Address. . . . . . . . . :
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
IP Address. . . . . . . . . . . . : 192.168.34.1
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.34.10
DHCP Server . . . . . . . . . . . : 192.168.34.10
DNS Servers . . . . . . . . . . . : 192.168.34.10
NetBIOS over Tcpip. . . . . . . . : Disabled
Lease Obtained. . . . . . . . . . : 10 марта 2012 г. 8:43:19
Lease Expires . . . . . . . . . . : 11 марта 2012 г. 8:43:19

Ethernet adapter LAN:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Microsoft Virtual Machine Bus Network Adapter
Physical Address. . . . . . . . . :
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.33.4
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . :
DNS Servers . . . . . . . . . . . : 192.168.33.1
192.168.33.4
Primary WINS Server . . . . . . . : 192.168.33.1

Ethernet adapter Internal:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Microsoft Virtual Machine Bus Network Adapter #3
Physical Address. . . . . . . . . : 00-15-5D-21-20-0D
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.35.4
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . :
NetBIOS over Tcpip. . . . . . . . : Disabled
[/more]

GCRaistlin
У Керио оставьте только внутренний (локальный, доменный) днс-сервер, только на внутреннем интерфейсе. В настройках самого керио снимите "птицу" "включить службу переадресации ДНС", т. е отключите форардинг.
Естественно выход наружу по 53 порту должен быть разрешен в правилах НАТ (у меня только DNS-серверам).
Про ДНС-форвард на роутере забудьте ("забейте" на него).

У Вас будет: Ваш доменный ДНС занимается своими прямыми обязанностями, и только он...
Он-же делает запросы к вышестоящим серверам (через нат керио и нат роутера, но они в обработке этих запросов не участвуют) и резолвит их для всех клиентов локальной сети (включая и хост с керио).

P.S. Ваш роутер дает сетевые настройки керио по DHCP, сделайте их "руками".

wwladimir
Так у меня по факту все так и есть.
Что на WAN-интерфейсе указан DNS-сервер - так, во-первых, там все параметры по DHCP получаются, а во-вторых, он в списке адаптеров идет третьим, при нормальном функционировании сети запросы на него не идут, потому что обрабатываются DNS-сервером, указанном в настройках первого интерфейса (LAN).
Предлагаемый вами вариант - указывать для "All other domains" форвардинг непосредственно на DNS-сервере DC - как-то обоснуете? Принцип модульности нарушается. Допустим, сменили провайдера - настройку DNS нужно менять и на DC, и на роутере (предположим, что к роутеру подключено еще что-то независимо от KC). Не говоря уже про соединения через ADSL-модем - там тоже все параметры могут получаться по DHCP, и адреса DNS-серверов могут динамически меняться.
И потом, вы так ничего и не сказали про fail-over. Указывать на DNS-сервере DC для форвардинга DNS-серверы обоих провайдеров? Насколько я понимаю, при этом, если соединение с основным провайдером пропало, разрешение каждого имени, отсутствующего в кеше DC, вызовет тормоза - основной DNS-сервер для форвардинга-то не откликается.

Вы очень быстро редактируете посты, не успеваю Руками настройки поправить можно. Вопрос - зачем? Ладно форвардинг DNS-запросов на KC проблемы дает, но роутер-то чем провинился?

Добавлено:
Сейчас внимательно посмотрел на настройку DNS-форвардинга на DNS-сервере DC и задумался. У меня там указаны хост с DC (первым) и DNS-серверы провайдера (вторым и третьим) - с давних времен, что-то тестировал, наверное. И тайм-аут - 5 секунд, как раз такой, что наблюдается при проблемах. Т. е., вероятно, это не тормоза с разрешением имен через KC наблюдаются, это неразрешение имен - и разрешение через DNS-сервер провайдера по истечении тайм-аута.

GCRaistlin

Цитата:

Предлагаемый вами вариант - указывать для "All other domains" форвардинг непосредственно на DNS-сервере DC - как-то обоснуете?

Я не настаиваю. Вы настраиваете свою сеть, делайте как считаете нужным.
Но советую внимательно прочитать здесь http://support.microsoft.com/kb/825036/ru


При предложенном варианте ничего при смене провайдера править не надо, пересылка с доменного может идти куда угодно (здесь важнее время отклика а не провавйдер-непровайдер )
и НИ ОДНО ДРУГОЕ УСТРОЙСТВО СЕТИ не занимается разрешением имени в адрес!!!
Сегодня становится "модным" пользовать DNS гугля -8.8.8.8 и 8.8.4.4, и эти адреса от провайдера точно не зависят.

Цитата:

Я не настаиваю.

Я ведь не возражаю против вашего варианта. Просто хотелось услышать про плюсы. Единственное устройство - да, хорошо. Но что будет, если DNS-сервер провайдера станет недоступным? 8.8.8.8 - тоже хорошо, только вот время отклика раз в 20 больше провайдерского. Впрочем, в абсолютных цифрах все равно немного.


Цитата:

При предложенном варианте ничего при смене провайдера править не надо

А на DNS-сервере провайдера разве не может стоять ограничение для разрешения имен "только для своих"?

GCRaistlin
Мне кажется наша "дискуссия" вышла за рамки темы "керио" - ответы на эти вопросы лучше поискать здесь http://forum.ru-board.com/topic.cgi?forum=8&topic=0227&start=880#lt

Kerio Control 7.3.0 build 3861 Software Appliance
(без антивиря и web фильтра, 2 канала - резервирование)
DNS и DHCP на WIN2k8

всё в общем работает как надо, но один сайт 59.ru очень долго загружается - минут 5 (с гавной переходы на внутренние - так же долго)
пробовали с разных машин в сети и с разных браузеров - результат один.

куда копать?

Напомню о своей проблеме еще раз:
Имеем kerio 7.3.0 build 3861
пользователи все живут в Active Directory, хочется выпускать их через САБЖ, через прозрачный прокси. Поставил, сделал некоторые настройки, авторизация через WEB. Работает. Но весь трафик падает на неопознанных пользователей. Где что в правилах надо исправить?
В правилах сейчас так:

Если надо что-то еще, предоставлю.

в вашем верхнем правиле написано - выпускать всех с "локальных" интерфейсов, то есть в том числе и неавторизованных.
если хотите пускать только авторизованных - меняйте источник на "аутентифицированные пользователи"

ну и на закладке "домены и аутентификация" проверьте галочки

а вот кстати когда в источнике "аутентифицированные пользователи" окошко логина автоматом не появляется, только если вручную зайти и авторизоваться. это очень неудобно.