Я использую нестандартный внешний порт с мапом на стандартный внутренний + правильный пароль + логи коннектов керио по этому правилу. За два годика левых попыток подключения не встретил (судя по логам)
» Kerio Control (ex Kerio WinRoute Firewall)
MAScorporation
А Керио глубоко на..плевать со смартфона Вы или с "БольшогоБрата". Если есть правило "откуда или кого--куда-протокол-пускать" пустит, нет разрешающего-свободны...
RDP- аналогично, если с обычной машины по этому протоколу ходите то и с андроида пройдете, никаких клиентов для кери нет да и не надо. Да и не знает он ничего про операционные системы.
А Керио глубоко на..плевать со смартфона Вы или с "БольшогоБрата". Если есть правило "откуда или кого--куда-протокол-пускать" пустит, нет разрешающего-свободны...
RDP- аналогично, если с обычной машины по этому протоколу ходите то и с андроида пройдете, никаких клиентов для кери нет да и не надо. Да и не знает он ничего про операционные системы.
wwladimir
Думаю, речь шла о не желании открывать порты наружу и использовать KerioVPN клиента под андроид действительно нету
Думаю, речь шла о не желании открывать порты наружу и использовать KerioVPN клиента под андроид действительно нету
wwladimir
Цитата:
Втом-то и дело, что с обычной машины заходят через инет только те у кого клиентская часть керио запущена, а у кого нет - хоть треснись.
Добавлено:
progmike
Цитата:
Я приношу извенения за возможную наглость, но не могли бы вы выложить скрин со строчкой данного правила (я не очень селен в подобных вещах).
Цитата:
если с обычной машины по этому протоколу ходите то и с андроида пройдете, никаких клиентов для кери нет да и не надо.
Втом-то и дело, что с обычной машины заходят через инет только те у кого клиентская часть керио запущена, а у кого нет - хоть треснись.
Добавлено:
progmike
Цитата:
Я использую нестандартный внешний порт с мапом на стандартный внутренний + правильный пароль + логи коннектов керио по этому правилу.
Я приношу извенения за возможную наглость, но не могли бы вы выложить скрин со строчкой данного правила (я не очень селен в подобных вещах).
MAScorporation
Пожалуйста:
внешний порт, если не ошибаюсь, с 1024 по 65535 - любой. кроме заведомо занятых, ессно
Пожалуйста:
внешний порт, если не ошибаюсь, с 1024 по 65535 - любой. кроме заведомо занятых, ессно
MAScorporation
kerioVPN не единственный способ шифрования трафика.
есть масса других, для защиты.
PPTP, openvpn
а еще в 2008 есть возможность настроить шлюз для rdp поверх ssl. И тогда можно пользоваться rdp на прямую, не опасаясь за кражу информации.
kerioVPN не единственный способ шифрования трафика.
есть масса других, для защиты.
PPTP, openvpn
а еще в 2008 есть возможность настроить шлюз для rdp поверх ssl. И тогда можно пользоваться rdp на прямую, не опасаясь за кражу информации.
progmike
СПС!!! Подскажи еще: если в одной локалке несколько компов на которые нужно залезать удаленно из инета, то в этом варианте надо их разбросать на разные порты и мапить на нужный комп?
pilotro
Спасибо за предложения, но я не обладаю достаточными знаниями. А керио весьма не плохо справляется со своими задачами, при этом не надо быть сильным знатаком.
СПС!!! Подскажи еще: если в одной локалке несколько компов на которые нужно залезать удаленно из инета, то в этом варианте надо их разбросать на разные порты и мапить на нужный комп?
pilotro
Спасибо за предложения, но я не обладаю достаточными знаниями. А керио весьма не плохо справляется со своими задачами, при этом не надо быть сильным знатаком.
MAScorporation
Цитата:
Да, верно
Цитата:
если в одной локалке несколько компов на которые нужно залезать удаленно из инета, то в этом варианте надо их разбросать на разные порты и мапить на нужный комп
Да, верно
Заметил что mcAffe сжирает 330 мб. оперативки по сравнению с Sophos 107 мб.
У всех примерно так или у кого-то получше?
У всех примерно так или у кого-то получше?
coder666
За всех не скажу, но керио с макакой у меня стоит на 12 компах и у всех примерно 300МБ сжирается!!!
За всех не скажу, но керио с макакой у меня стоит на 12 компах и у всех примерно 300МБ сжирается!!!
дел
Господа, помогите разобраться.
Конфигурация сети:
- локалка без домена
- терминальные сервер на Вин2003 (1С и пр...)
- прокси-сервер на Вин2008. На нём стоит Kerio control 7.2.1 + серверный АВаст.
- и-нет через ADSL (модем Billion).
- Для подключения к терминалу со стороны и-нета настроен проброс порта на адрес терм. сервера.
Проблема в том, что после подключения к терм. серверу соединение отваливается через некоторое время (от 15 сек. до 3 мин).
Пробовал подключаться напрямую (сразу с модема на терм. сервер) - все работает нормально, не отваливается.
Если подключиться к удалённому раб. столу на прокси-сервер (по другому порту), что тоже всё работает и не отваливается. Можно даже открыть там уд. стол от терм. сервера, и тоже всё работает нормально.
Вопрос - из-за чего может отваливаться соединение?
Где копать?
Конфигурация сети:
- локалка без домена
- терминальные сервер на Вин2003 (1С и пр...)
- прокси-сервер на Вин2008. На нём стоит Kerio control 7.2.1 + серверный АВаст.
- и-нет через ADSL (модем Billion).
- Для подключения к терминалу со стороны и-нета настроен проброс порта на адрес терм. сервера.
Проблема в том, что после подключения к терм. серверу соединение отваливается через некоторое время (от 15 сек. до 3 мин).
Пробовал подключаться напрямую (сразу с модема на терм. сервер) - все работает нормально, не отваливается.
Если подключиться к удалённому раб. столу на прокси-сервер (по другому порту), что тоже всё работает и не отваливается. Можно даже открыть там уд. стол от терм. сервера, и тоже всё работает нормально.
Вопрос - из-за чего может отваливаться соединение?
Где копать?
fhorse
посмотри в журнале security сообщения о наличии дропов трафика на порт 3389
посмотри в журнале security сообщения о наличии дропов трафика на порт 3389
debug log сразу после разрыва связи выдаёт вот такие сообщения:
[15/Jul/2012 13:32:35] {pktdrop} packet dropped: 3-way handshake not completed (from Internet Interface, proto:TCP, len:99, 91.204.148.39:4419 -> 192.168.0.222:33897
[15/Jul/2012 13:32:35] {pktdrop} packet dropped: 3-way handshake not completed (from Internet Interface, proto:TCP, len:70, 192.168.0.192:3389 -> 192.168.0.222:4419,
где
99, 91.204.148.39 - мой адрес из дома
192.168.0.222 - адрес и-нет интерфейса Керио
192.168.0.192 - адрес терминального сервера
Порт 33897 мапится на 3389 терм. сервера.
Из-за чего это?
[15/Jul/2012 13:32:35] {pktdrop} packet dropped: 3-way handshake not completed (from Internet Interface, proto:TCP, len:99, 91.204.148.39:4419 -> 192.168.0.222:33897
[15/Jul/2012 13:32:35] {pktdrop} packet dropped: 3-way handshake not completed (from Internet Interface, proto:TCP, len:70, 192.168.0.192:3389 -> 192.168.0.222:4419,
где
99, 91.204.148.39 - мой адрес из дома
192.168.0.222 - адрес и-нет интерфейса Керио
192.168.0.192 - адрес терминального сервера
Порт 33897 мапится на 3389 терм. сервера.
Из-за чего это?
fhorse
это скорее всего из--а некорректности настройки.
пости тут скрины правил трфика(можно ничего не замазывать, утебя как понимаю частные ip везде)
файл сведений для т.п. (состояние\состояние системы\информация для поддержки)
листинг команд ipconfig /all и route print c 192.168.0.192
это скорее всего из--а некорректности настройки.
пости тут скрины правил трфика(можно ничего не замазывать, утебя как понимаю частные ip везде)
файл сведений для т.п. (состояние\состояние системы\информация для поддержки)
листинг команд ipconfig /all и route print c 192.168.0.192
Tihon_one, я тоже догадываюсь, что что-то не так с настройками.
Вот, что ты просил. Посмотри, пожалуйста, может найдёшь какой ляп.
rules1.JPG
rules2.JPG
ipconfig.log
rp.log
kerio_support_info.txt
Да, ещё я обнаружил, что сообщения о сбросе пакетов появляются не после разрыва связи, а до него. Т.е. когда уд. раб. стол перестаёт на что-либо реагировать, на любое моё действие начинают сыпаться сообщения о сбросе пакетов. А уже потом происходит переподключение. Так что причина именно в сбросе пакетов.
Вот, что ты просил. Посмотри, пожалуйста, может найдёшь какой ляп.
rules1.JPG
rules2.JPG
ipconfig.log
rp.log
kerio_support_info.txt
Да, ещё я обнаружил, что сообщения о сбросе пакетов появляются не после разрыва связи, а до него. Т.е. когда уд. раб. стол перестаёт на что-либо реагировать, на любое моё действие начинают сыпаться сообщения о сбросе пакетов. А уже потом происходит переподключение. Так что причина именно в сбросе пакетов.
fhorse
вообще ipconfig не с шлюза нужен был, но и то ладно, почему у тебя локальный и внешний адрес kcontrol в одном сетевом диапазоне? и что за ахтунг у тебя с dns серверами?(жырно-подчёркнуто)
Ethernet adapter Подключение по локальной сети 2:
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Сетевое подключение Intel(R) 82574L Gigabit #2
Физический адрес. . . . . . . . . : 00-25-90-61-A8-5F
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.0.1(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
IPv4-адрес. . . . . . . . . . . . : 192.168.0.207(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . :
DNS-серверы. . . . . . . . . . . : 192.168.0.1
NetBios через TCP/IP. . . . . . . . : Включен
Ethernet adapter Internet Interface:
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Сетевое подключение Intel(R) 82574L Gigabit
Физический адрес. . . . . . . . . : 00-25-90-61-A8-5E
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.0.222(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.0.221
DNS-серверы. . . . . . . . . . . : 192.158.0.221
192.168.0.1
NetBios через TCP/IP. . . . . . . . : Отключен
вообще ipconfig не с шлюза нужен был, но и то ладно, почему у тебя локальный и внешний адрес kcontrol в одном сетевом диапазоне? и что за ахтунг у тебя с dns серверами?(жырно-подчёркнуто)
Ethernet adapter Подключение по локальной сети 2:
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Сетевое подключение Intel(R) 82574L Gigabit #2
Физический адрес. . . . . . . . . : 00-25-90-61-A8-5F
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.0.1(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
IPv4-адрес. . . . . . . . . . . . : 192.168.0.207(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . :
DNS-серверы. . . . . . . . . . . : 192.168.0.1
NetBios через TCP/IP. . . . . . . . : Включен
Ethernet adapter Internet Interface:
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Сетевое подключение Intel(R) 82574L Gigabit
Физический адрес. . . . . . . . . : 00-25-90-61-A8-5E
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.0.222(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.0.221
DNS-серверы. . . . . . . . . . . : 192.158.0.221
192.168.0.1
NetBios через TCP/IP. . . . . . . . : Отключен
Да, 158 - это явный глюк. Спасибо, исправил.
Локальный и внешний адрес в одном сетевом диапазоне - наверное, это и не правильно, но раньше так работало.
А что плохого в том, что хост с Керио сам себе ДНС сервер? На нём соотв. служба запущена.
Локальный и внешний адрес в одном сетевом диапазоне - наверное, это и не правильно, но раньше так работало.
А что плохого в том, что хост с Керио сам себе ДНС сервер? На нём соотв. служба запущена.
fhorse
соответствующая служба DNS чья? от MS если да, то тогда надо писать 127,0,0,1 если от контрола то конечно косяк. Хотя не такой страшный, как сегментация, короче, контрол у тебя должен иметь две сетевые, одна будет смотреть в "интернет" сегмент, вторая в "локальный" сегмент, для того чтобы всякие map и т.п. работали нормально, эти два сегмента разделять разными сетями, почему зачем, объяснять не буду, ибо долго. короче дерзай, только прежде чем дерзать будешь, обдумай как конкретно ты это всё делать будешь.
соответствующая служба DNS чья? от MS если да, то тогда надо писать 127,0,0,1 если от контрола то конечно косяк. Хотя не такой страшный, как сегментация, короче, контрол у тебя должен иметь две сетевые, одна будет смотреть в "интернет" сегмент, вторая в "локальный" сегмент, для того чтобы всякие map и т.п. работали нормально, эти два сегмента разделять разными сетями, почему зачем, объяснять не буду, ибо долго. короче дерзай, только прежде чем дерзать будешь, обдумай как конкретно ты это всё делать будешь.
Tihon_one,
Да, ДНС от Майкрософта. От Керио ДНС глючит страшно! Никто его не рекомендует.
Хорошо, попробую переписать на 127.0.0.1.
И-нет перенёс в другую подсеть. Изнутри всё работает, как и раньше. А снаружи проверю сегодня вечером, отпишусь.
Да, ДНС от Майкрософта. От Керио ДНС глючит страшно! Никто его не рекомендует.
Хорошо, попробую переписать на 127.0.0.1.
И-нет перенёс в другую подсеть. Изнутри всё работает, как и раньше. А снаружи проверю сегодня вечером, отпишусь.
fhorse
Цитата:
хзхз особых проблем с ним у меня никогда не было.
Цитата:
отпишись, я так понимаю ты адрес сети между контролом и модемом(или что там у тебя интернет линк получает) сменил?
Цитата:
От Керио ДНС глючит страшно!
хзхз особых проблем с ним у меня никогда не было.
Цитата:
отпишусь.
отпишись, я так понимаю ты адрес сети между контролом и модемом(или что там у тебя интернет линк получает) сменил?
Ну, да. Сменил адреса и на сетевухе, смотрящей в и-нет, и на модеме. Теперь только они с этой подсети. Ты прав, так оно правильнее.
Как через kerio пробросить ftps
На локальной машине стоит filezilla, kerio 7.3
Добавил в правила ftp,ftps с мап. Аутентификация проходит, сертификат тоже цепляет. И виснет на чтении каталога
200 PBSZ=0
PROT P
200 Protection level set to P
CLNT Total Commander (UTF-8)
200 Don't care
OPTS UTF8 ON
200 UTF8 mode enabled
Connect ok!
PWD
257 "/" is current directory.
Чтение каталога...
TYPE A
200 Type set to A
PORT 192,168,1,100,199,174
200 Port command successful
MLSD
150 Opening data channel for directory list.
Загрузка
_____________
В filezilla
000673)16.07.2012 18:59:17 - phirit (192.168.0.10)> 200 PBSZ=0
(000673)16.07.2012 18:59:17 - phirit (192.168.0.10)> PROT P
(000673)16.07.2012 18:59:17 - phirit (192.168.0.10)> 200 Protection level set to P
(000673)16.07.2012 18:59:17 - phirit (192.168.0.10)> CLNT Total Commander (UTF-8)
(000673)16.07.2012 18:59:17 - phirit (192.168.0.10)> 200 Don't care
(000673)16.07.2012 18:59:17 - phirit (192.168.0.10)> OPTS UTF8 ON
(000673)16.07.2012 18:59:17 - phirit (192.168.0.10)> 200 UTF8 mode enabled
(000673)16.07.2012 18:59:17 - phirit (192.168.0.10)> PWD
(000673)16.07.2012 18:59:17 - phirit (192.168.0.10)> 257 "/" is current directory.
(000673)16.07.2012 18:59:18 - phirit (192.168.0.10)> TYPE A
(000673)16.07.2012 18:59:18 - phirit (192.168.0.10)> 200 Type set to A
(000673)16.07.2012 18:59:18 - phirit (192.168.0.10)> PORT 192,168,1,100,199,174
(000673)16.07.2012 18:59:18 - phirit (192.168.0.10)> 200 Port command successful
(000673)16.07.2012 18:59:18 - phirit (192.168.0.10)> MLSD
(000673)16.07.2012 18:59:18 - phirit (192.168.0.10)> 150 Opening data channel for directory list.
(000673)16.07.2012 18:59:28 - phirit (192.168.0.10)> 425 Can't open data connection.
(000673)16.07.2012 19:01:28 - phirit (192.168.0.10)> 421 Connection timed out.
Если отключить ssl то подключается отлично и список файлов выводится.
На локальной машине стоит filezilla, kerio 7.3
Добавил в правила ftp,ftps с мап. Аутентификация проходит, сертификат тоже цепляет. И виснет на чтении каталога
200 PBSZ=0
PROT P
200 Protection level set to P
CLNT Total Commander (UTF-8)
200 Don't care
OPTS UTF8 ON
200 UTF8 mode enabled
Connect ok!
PWD
257 "/" is current directory.
Чтение каталога...
TYPE A
200 Type set to A
PORT 192,168,1,100,199,174
200 Port command successful
MLSD
150 Opening data channel for directory list.
Загрузка
_____________
В filezilla
000673)16.07.2012 18:59:17 - phirit (192.168.0.10)> 200 PBSZ=0
(000673)16.07.2012 18:59:17 - phirit (192.168.0.10)> PROT P
(000673)16.07.2012 18:59:17 - phirit (192.168.0.10)> 200 Protection level set to P
(000673)16.07.2012 18:59:17 - phirit (192.168.0.10)> CLNT Total Commander (UTF-8)
(000673)16.07.2012 18:59:17 - phirit (192.168.0.10)> 200 Don't care
(000673)16.07.2012 18:59:17 - phirit (192.168.0.10)> OPTS UTF8 ON
(000673)16.07.2012 18:59:17 - phirit (192.168.0.10)> 200 UTF8 mode enabled
(000673)16.07.2012 18:59:17 - phirit (192.168.0.10)> PWD
(000673)16.07.2012 18:59:17 - phirit (192.168.0.10)> 257 "/" is current directory.
(000673)16.07.2012 18:59:18 - phirit (192.168.0.10)> TYPE A
(000673)16.07.2012 18:59:18 - phirit (192.168.0.10)> 200 Type set to A
(000673)16.07.2012 18:59:18 - phirit (192.168.0.10)> PORT 192,168,1,100,199,174
(000673)16.07.2012 18:59:18 - phirit (192.168.0.10)> 200 Port command successful
(000673)16.07.2012 18:59:18 - phirit (192.168.0.10)> MLSD
(000673)16.07.2012 18:59:18 - phirit (192.168.0.10)> 150 Opening data channel for directory list.
(000673)16.07.2012 18:59:28 - phirit (192.168.0.10)> 425 Can't open data connection.
(000673)16.07.2012 19:01:28 - phirit (192.168.0.10)> 421 Connection timed out.
Если отключить ssl то подключается отлично и список файлов выводится.
Tihon_one
Ха, а из и-нета теперь вообще не достучаться. Ни до терм. сервера, ни до шлюза
Странно. Я только адреса модема и сетевухи поменял.
Ха, а из и-нета теперь вообще не достучаться. Ни до терм. сервера, ни до шлюза
Странно. Я только адреса модема и сетевухи поменял.
Добрый день. Проблема по учету траффика. Установлен 7.2.1 build 3301 x64. Однако, он не считает траффик постоянных подключений типа skype, icq, mail.ru agent, vpn и т.п. Кто сталкивался с такой бедой и есть ли решение?
fhorse
ну а ты на модеме вообще всё пробросил на новый ip контрола-то?
eldar2116
сталкивался неоднократно, обычно пользователю имеют два шлюза по умолчанию.
ну а ты на модеме вообще всё пробросил на новый ip контрола-то?
eldar2116
сталкивался неоднократно, обычно пользователю имеют два шлюза по умолчанию.
Tihon_one
это исключено. у меня один шлюз в сети, один дхсп сервер, да и сам на своем компе смотрел, торрент не считает. то есть все, что имеет постоянное подключение, не считается. ну кроме ютюбов.
это исключено. у меня один шлюз в сети, один дхсп сервер, да и сам на своем компе смотрел, торрент не считает. то есть все, что имеет постоянное подключение, не считается. ну кроме ютюбов.
eldar2116
да мне примерно так же все отвечают, короче, выложи для начала файл сведений доля технической поддержки, там видно будет.
а заодно и трафик полиси.
да мне примерно так же все отвечают, короче, выложи для начала файл сведений доля технической поддержки, там видно будет.
а заодно и трафик полиси.
Tihon_one
Цитата:
Конечно, забыл
Теперь пробросил. Сегодня вечером проверю.
Цитата:
fhorse
ну а ты на модеме вообще всё пробросил на новый ip контрола-то?
Конечно, забыл
Теперь пробросил. Сегодня вечером проверю.
Теперь всё работает! Спасибо, Tihon_one - очень помог.
Правда, обнаружился ещё глюк - когда я добавил на свою рабочую машину IP из подсети модема (чтобы его можно было конфигурить), у меня сразу отсохли 2 сетевых сканера - и от Самсунга и от Ксерокса. С чего бы это? Старый-то свой IP я не трогал.
Правда, обнаружился ещё глюк - когда я добавил на свою рабочую машину IP из подсети модема (чтобы его можно было конфигурить), у меня сразу отсохли 2 сетевых сканера - и от Самсунга и от Ксерокса. С чего бы это? Старый-то свой IP я не трогал.
Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108
Предыдущая тема: Автоматическое удаление папок и файлов старше x дней
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.