» Kerio Control (ex Kerio WinRoute Firewall)

filarh
Это просто издевательство. Опиши внятно словами, кто, откуда, куда и как подключается, чем подробнее, тем лучше.

На компе с Win7 Pro (без SP) две сетевых: (имена сетевых сеть-1=100, сеть-2=1000)
1-я получает настройки по DHCP (не всегда одни и те же), и на ней же висит Инет PPPoE (настройки тоже раздает провайдер)
2-я имеет статику -
192.168.137.1
255.255.255.0
gate 192.168.137.111 (ПРОБОВАЛ И БЕЗ ШЛЮЗА, но тогда сеть перестает работать - google не помог)

В Сети-2 есть wi-fi точка доступа
192.168.137.111
255.255.255.0
gate:192.168.137.1

(точка раздает по встроенному DHCP-серверу настройки подключаемым устройствам например:
ip 192.168.137.10
mask 255.255.255.0
Gate 192.168.137.1
dns 192.168.137.1)

Требуется, чтобы подключившись к точке доступа из Сети-2 можно было попасть в шару и DirectConnect сети-1 и в Инет.

Результат ipconfig -all на картинке выше.
Команда route add -p... не использовалась вообще.

КС нужен для того, чтобы из сети-1 ничего, что не требует постоянного подключения (например, DirectConnect) не "залетало", но при этом чтобы можно было сидеть в dc++ и инете из сети 192.168.137.xxx

Правила для КС-v7 на Win7 делал по аналогии (т.е. один в один) c WinXP и KWF-v6 где все нормально работало.
Правила для KWF-6 на картинке ниже

нарот а где в версии722 скрипт для прокси который раньше выглядел так http://127.0.0.1:3128/pac/proxy.pac ?

во вреня установки керио попыталось исправить файл hosts
но антивирус не дал этого сделать...
теперь доступ к файлу есть
как заставить керио исправить hosts как оно хотело после установки?

filarh
Почему так настроен адаптер PPP Solo VPN? Маска подсети 255.255.255.255 означает, что этот адаптер в подсети один-единственный, и пакеты через него никуда пойти не могут. Разбирайся.
Убери основной шлюз с адаптера 1000. Основной шлюз - это IP-адрес, на который пересылаются пакеты, для которых отсутствуют маршруты в таблице маршрутизации. Говоря упрощенно - это адрес хоста, через который осуществляется связь с Интернетом. Для любого клиента в локальной сети это будет адрес твоего KC-хоста. Для самого KC-хоста это будет адрес провайдера. А у тебя указан адрес роутера - это бред. Сеть же отваливается потому, что не указан адрес DNS-сервера. Исправляй.
А вообще, судя по богатству правил KC, оптимальным будет воткнуть шнурок от провайдера в тот самый роутер и настроить PPPoE в нем. Для твоих нужд KC излишен.

Добавлено:
komputeryuzer
Ничего, кроме комментария, он туда не добавляет:
Код:
# begin lines added by Kerio Control - DO NOT EDIT
# end lines added by Kerio Control

[more] Маска подсети 255.255.255.255 действительно означает, что этот адаптер в подсети один-единственный, но вовсе не означает, что пакеты через него никуда пойти не могут.
Пакеты с него могут идти на любой адрес, назначенный в качестве щлюза этому интерфейсу.
А пакеты к нему будут идти как широковещательная рассылка на один адрес. Типичная настройка для впн-каналов разного типа.
Шлюзов на хосте может быть сколь угодно много, включая множество основных. Их наличие должно сопровождаться привязкой трафика (источников-получателей-портов) к обслуживаемым интерфейсами маршрутам. В керио это делается через НАТ и правила трафика.
Азбука вот тут http://cable.clan.su/publ/tablica_ip_marshrutizacii/1-1-0-9

Картинки хоть и охренительные по исполнению, но совершенно бестолковые и странные по содержанию: шлюз 0.0.0.0 в сети 2, вообще отсутствие ДНС в сети 2 - ну этого просто быть не может.
Никакой шары по имени никто видеть не будет из-за отсутствия сервера ДНС для внутренней сети. Хоть хостс в таком качестве. Сеть 1, наверное, отнесена к интернетным, что уже чушь.
ДХЦП тоже лучше поднять на керио и отключить на АП (если они в добавок еще и не включены оба сразу).

Выкинуть первые пять правил и инет заработает с указанным днс и отсутствующим шлюзом на локальном интерфейсе керио. Для шары править хостс или на керио, или на клиентах.
Зачем тогда керио - действительно непонятно. [/more]

Цитата:

Пакеты с него могут идти на любой адрес, назначенный в качестве щлюза этому интерфейсу.

Так ведь шлюза для него не назначено - на картинке видно.

Цитата:

А пакеты к нему будут идти как широковещательная рассылка на один адрес.

Можно на примере? Адрес у этого адаптера 46.182.52.91/32. Допустим, он соединен с хостом, адаптер которого имеет адрес 46.182.52.1/24. С этого хоста пакеты на наш адаптер пойдут - а вот пойдут ли пакеты в обратном направлении?

Цитата:

Шлюзов на хосте может быть сколь угодно много, включая множество основных.

Однако в каждый момент времени только один шлюз будет играть роль основного. По "азбучной" ссылке приведен пример с двумя основными шлюзами, но ведь второй маршрут в таблице, с метрикой 30, никогда использован не будет. Или будет, если шлюз по первому маршруту не работает?

В конфигурации filarh мне вот что непонятно. Сеть 1, насколько я понимаю, есть внутренняя сеть провайдера. Параметры получаются по DHCP - почему там определен основной шлюз? Если выхода "наружу" из этой внутренней сети нет, в этом нет смысла. И работать не будет - разве что для VPN-соединения указать, кроме основного шлюза, еще и меньшую метрику.

[more] [more] [more] на картинке видно шлюз - 0.0.0.0 - чего еще надо, это разве не адрес?

Цитата:

Можно на примере? Адрес у этого адаптера 46.182.52.91/32. Допустим, он соединен с хостом, адаптер которого имеет адрес 46.182.52.1/24. С этого хоста пакеты на наш адаптер пойдут - а вот пойдут ли пакеты в обратном направлении?

не надо путать адрес хоста и сеть -это совершенно разные вещи. 46.182.52.1/24 - это не адрес какого-то хоста, эта некая группа хостов, созданная для каких-то целей не связанных никак с тем, кто обращается откуда-то к одному из этих хостов. Точно так же любой их хостов этой сети может обращаться к кому угодно, а не только в свою сеть. Обращение к группе хостов называется широковещанием и никто не запретил широковещать на один адрес совсем не в своей сети

Цитата:

Однако в каждый момент времени только один шлюз будет играть роль основного.

Эта вредная привычка что-то считать незыблемым внедрена в сознание юзеров Гейтсом путем навязчивого повторения ненужного сообщения о проблемах с несколькими шлюзами. В любой момент времени шлюзов на хосте может быть сколько угодно, понятие "основной" есть словоблудие для обозначения шлюза для неизвестных (неописанных юзером) маршрутов, но кто сказал, что такой шлюз опять же будет только один? Внимательно следовало прочесть выше, что в керио для управления множеством маршрутов (и шлюзов) используются правила трафика и НАТ. Пример - см. внимательно возможные настройки НАТ при нескольких интерфейсах. Пусть на хосте 10 внешних провайдеров каждый из которых раздает настройки по дхцп и плевать хотел на всех остальных коллег. Вот уже 10 шлюзов каждый из которых рвется в основные. И что - умереть?
Разве это вызывает проблему? Назначьте каждому виду трафика свои правила и каждому правилу назначьте НАТ на нужный интерфейс и вот вам куча одновременных основных шлюзов.
Это для эзернетовских интерфесов. А ПППоЕ вообще плевать хотел на ТСР - он его не использует и всякие шлюзы ему равнобедренно.
В ссылке второй маршрут будет использован тогда, когда адресат попадет в его диапазон адресов.

Про сеть провайдера и проч. вообще полная ерунда сказана. В керио это вопрос отнесения таких интерфейсов в группу другие и создания нужных правил - см. абзац выше.

Да и вообще - вы что, никогда не сталкивались с настрйокй впн на керио? У художника типовая ситуация и никаких чудес в ней нет.
ВПН у художника настроен правильно в отличие от правил и днс. [/more] [/more] [/more]

Цитата:

не надо путать адрес хоста и сеть -это совершенно разные вещи

Да я не путаю, это я так для краткости маску изобразил. Неважно. Я попросил пример: как это - "широковещать на один адрес совсем не в своей сети"? Как это делается?

С несколькими основными шлюзами - да, согласен, иначе бы load balancing не работал, к примеру.


Цитата:

А ПППоЕ вообще плевать хотел на ТСР - он его не использует и всякие шлюзы ему равнобедренно.

И таблицей маршрутизации он тоже не пользуется?


Цитата:

В ссылке второй маршрут будет использован тогда, когда адресат попадет в его диапазон адресов.

У него диапазон - "все сети", разве нет?


Цитата:

Про сеть провайдера и проч. вообще полная ерунда сказана. В керио это вопрос отнесения таких интерфейсов в группу другие и создания нужных правил - см. абзац выше.

Это если Kerio стоит. А если нет? Рассмотрим просто отдельный хост, без Kerio. Два физических сетевых адаптера (из которых нам интересен только "100") и один VPN. Будет Интернет работать в этом случае? Если, как вы говорите, VPN правильно настроен, куда пакеты уходить через него должны - при такой маске и отсутствии основного шлюза?

примеры есть в инете, кому надо - тот найдет, мне не надо.
таблица маршрутизации = следствие конфигурации, а не ее причина и инструмент управления маршрутами.
а если керио не стоит - то значит никакой маршрутизации нет потому что керио - маршрутизатор, т.е. инструмент управления маршрутами, способы и средства уже названы.
с вами трудно говорить - вы слышите только себя и не желаете даже прочитать определения терминов и понятий по теме.
к тому же вам - "неважно", ну а мне тем более.

bestolkovka

Цитата:

если керио не стоит - то значит никакой маршрутизации нет

Я разве про маршрутизацию говорил? Речь была о работе Интернета на машине с озвученной конфигурацией.

Цитата:

примеры есть в инете, кому надо - тот найдет, мне не надо.

Цитата:

с вами трудно говорить - вы слышите только себя и не желаете даже прочитать определения терминов и понятий по теме.
к тому же вам - "неважно", ну а мне тем более.

Ах да, я забыл, остальное за бабки. Nothing personal.

ну что неграмотный - это со временем поправимо, а вот что мелкий хамчик - это безнадежно.

Приветствую, комрады!

Подскажите ответ на такой вопрос:
Вот изначально у керио есть рула в Веб-фильтре, которая говорит: Разрешить весь прочий трафик
Вот что получается.
Если из правил трафика убрать вообще NAT(тобиш вроде запретить выход в нет, посредством НАТа) - то при включеном Веб-фильтре - всеравно пускает в интернет. т.к. действует это правило. которое всем, без авторизации - разрешает юзать инет.
как с этим бороться ???
я думал принцип работы такой:
сначала отрабатываются правила трафика, а уже потом работает веб-фильтр со своим фильтром по категориям.
а получается - веб-фильтр решает - пускать или нет. при этом у него стоит не верное правило - разрешить все и всем. если в списке запрещенного тебя нет.
а надо работать наоборот. запретить всем и все. и потом уже разрешать. как работают правила трафика.
буду благодарен за инфу.

Добавлено:
частично все-же разобрался.
http трафик он пропускает независимо от того - есть у тебя доступ в рулах или нет. хотя не есть правильно. ибо последнее правило в рулах - это запретить все и всем.
но поскольку в http (веб фильтре) стоит разрешить прочий трафик - то он его и пропускает.
все, что идет по http - спокойно пролазаит на ура. (аська, скайп и прочая лабуда, с возможностью зацепиться по 80 порту)
а вот например тимвьювер - быстро потерял связь с миром.
остается вопрос: как-же "заменить" правило в http - разрешить все и всем (если других правил нету) на запретить все и всем, если тебе еще не разрешили!
ибо как-то убого получается.
наверняка выходы найдены были. поделитесь пожалуйста!

Добрый вечер! Прошу помочь в одном деликатном вопросе.
Имеется компьютер на котором установлен Kerio Control 7. В компьютере 2 сетевые карты. В одну воткнут кабель от интернет провайдера, в другую - кабель, который идёт в локальную сеть (в хабсивч).
Настройки сетевой карты для интернета стоят на автомате, т.е. IP адреса, маску и DNS предоставляет провайдер. Сетевая карта внутренне сети имеет адрес 192.168.1.1, маску 255.255.255.0., шлюз оставлен пустым, DNS - тоже пусто.
В WinXP настроено VPN соеденение, которое коннектися к интернету.

На Керио стоит правило давать интернет в неограниченных количестах всем Аутентифицированым пользователям. Учетные записи пользователей хранятся на самом Керио.
Учёт траффика идёт согласно авторизованным пользователям. Но очень часто появляется траффик т.н. неавторизованных пользователей. Откуда он?
К слову, когда на машине с Керио установливется VPN соеденение с провайдером, то лазить в инет с данной машины не получается, пока не пройдешь аутентификацию, но почему то программы типа Теам Вьювер спокойно работают (без всякой аутентификации).

Но меня больше интересует неавторизированный траффик. Если на машине с Керио я пройду аутентификацию с помощью логина и пароль любого пользователя, то этот неавторизированный траффик будет капать на прошедшего аутентифкацию на машине Керио пользователя.
Помогите, пожалуйста, разобраться.

Цитата:

Если из правил трафика убрать вообще NAT(тобиш вроде запретить выход в нет, посредством НАТа) - то при включеном Веб-фильтре - всеравно пускает в интернет. т.к. действует это правило. которое всем, без авторизации - разрешает юзать инет.
как с этим бороться ???

Если при отсутствии NAT доступ остается это значит клиенты работают через непрозрачный прокси (а непрозрачный прокси ходит в интернет по правилу "трафик фаервола" и НАТ там не нужен)

Цитата:

я думал принцип работы такой:
сначала отрабатываются правила трафика, а уже потом работает веб-фильтр со своим фильтром по категориям.
а получается - веб-фильтр решает - пускать или нет. при этом у него стоит не верное правило - разрешить все и всем. если в списке запрещенного тебя нет.
а надо работать наоборот. запретить всем и все. и потом уже разрешать. как работают правила трафика.
буду благодарен за инфу.

Сначала отрабатывается правила трафика (trafic policy) где последним стоит запретить все,
если там есть правило, разрешающее http и включен протокол-инспектор дальнейшая проверка передается в фильтр контента, в http policy (если протокол-инспектор отключен все пропускается)
в http policy последним правилом тоже стоит запретить любой URL (по крайней мере должно стоять)
а вот уже в создаваемых выше правилах (в http policy) можно задействовать Веб-фильтр и указать какие категории сайтов разрешать или запрещать.

Valery12
Спасибо за ответ!
Все вроде-бы логично, только одно НО.
Непрозрачный проксик - действительно включен, однако правило фаервола трафика - было преднамеренно выключено. И при этом Всеравно пускает.
Второй момент, что в http policy - последнее правило стоит как раз-таки не на запрет, а на разрешение.
Прилагаю скрины.



Что делать ? Хелп )

Цитата:

Непрозрачный проксик - действительно включен, однако правило фаервола трафика - было преднамеренно выключено. И при этом Всеравно пускает.

это уже мистика, нужно поставить логирование пакетов на всех правилах и если там будет чисто значит выход в интернет идет через другой сервер

вышла некоторая ошибка. которую не заметил изначально. в маршрутах сервака - был прописан второй шлюз, со старым действующим пока еще гейтом, смотрящим в нет. вот именно по этому гейту - он и пускал меня.
удалил маршрут руками - и правила начали работать так, как они написаны.
остался один вопрос:
Прокси непрозрачный включен.
Допустим, я удаляю правило фаервола, которое позволяет делать ему что угодно.
но добавляю правило на определенную группу, которой позволительно смотреть в нет и делать что угодно. однако группу не пускает, пока все-же правило фаервола не включишь.
что-же получается, что как не крути - любой лазить может ?

Цитата:

Допустим, я удаляю правило фаервола, которое позволяет делать ему что угодно.
но добавляю правило на определенную группу, которой позволительно смотреть в нет и делать что угодно. однако группу не пускает, пока все-же правило фаервола не включишь.
что-же получается, что как не крути - любой лазить может ?

сам непрозрачный прокси выходит по правилу фаервола, но вот доступ к нему регулируется HTTP правилами, там и нужно все настраивать

Valery12
Спасибо большое. Все понял. Попробую покрутить гайки.

Люди, может кто подскажет, в чем может быть проблема в следующей ситуации:
1. создана группа URL-адресов, к которым разрешен доступ в опред. время. В этом список в виде шаблона *vk.ru* добавлен сайт Вконтакте. При попытке попасть на этот сайт сайт полностью не подружается видны только надписи. Графика не грузится и сайт до конца не маштабируется. Остальные сайты с данной группы отлично открываются и проблем с ними не возникает.
Если заходить на сайт vk.ru, отключив фильтрацию по указанной группе, сайт грузится полностью. Такое подозрение, что при загрузке странички изображения подгружаются с других серверов. Отследить откуда не получается....

olpin
а в свойтвах http полиси - посмотри не стоят левые галочки, на предмет запрета аплетов и прочей лабуды?

Цитата:

а в свойтвах http полиси - посмотри не стоят левые галочки, на предмет запрета аплетов и прочей лабуды?

В том то и дело, что нет, не стоит ничего. Ограничений по типу MIME нет, в свойствах HTTP полиси все галки сняты

olpin
а если с "проблемного" компа - открыть адрес его статистики. (кериотовской, персональной)
там случаем индивидуально не выставлены эти галки ?

Дело в том, что это наблюдается не только на одном компе, а на любом компе, пользующемся этой группой адресов для доступа к сайтам

Добавлено:
нет, там ни у кого этих галок не стоит. Даже у пользователя с правами администратора пробовал просматривать - в статистике все отключено.... Уже не знаю где копать

olpin


Цитата:

Такое подозрение, что при загрузке странички изображения подгружаются с других серверов.

А что Вы видите в этом удивительного?
100% vk грузит на Вас еще всякую лабуду - баннеры, счетчики итд итп

Помогите пробросить ipsec vpn через kerio.

Опишу ситуацию - есть 2 сети:

VPN сервер (asa 5505) в первой сети является и gateway и router и смотрит наружу через белый ip, тут всё ок. С другими vpn устанавливается нормально. vpn site-site.

VPN сервер во второй сети тоже gateway и router, но его внешний интерфейс находится во внутренней сети "провайдера" у которого установлен Kerio 6.7.1.

"Пров" никогда не пробрасывал себе во внутреннюю сеть ipsec vpn и я вот пытаюсь ему мануальчик сделать, иначе никак делать не хочет. По телефону тыкаемся по kerio интерфейсу и толку ноль

Помогите плиз, керио под рукой нету

По идее надо пробросить так?
udp 500
udp 4500
IP 50
IP 51

Но вот с последними двумя у прова, я так понимаю, затык + гугл говорит, что некоторые пользователи kerio иногда не могут найти у себя некую галочку про vpn passthrough.

Если кто сталкивался, буду премного благодарен за помощь!

UPD:
нашёл вот такой мануальчик:
Буду пробовать.

Может есть какие-то дополнения? В частности не увидел там ip protocol 51.

Подскажите, пожалуйста, как выключить сканирование портов для локальной сети? winroute 6.5.2

Подскажите, Kerio Control Software Appliance при 500 пользователях жить будет? Нагрузка - стандартные сервисы, почта, ICQ, http. Машинка i5 2500 2Gb

Тут вроде нет таких психов с таким количеством пользователей и на таком жалком железе... Да и Керио для предприятий средного уровня. 500 юзеров средним не назовешь.