Скиньте пожалуйста серийный номер E-Soft. Всё облазил не могу найти... Под решёткой(ковриком) каким-то... уже и правила форума перечитал ничего про коврики не нашёл...
» Kerio Control (ex Kerio WinRoute Firewall)
Alexis72
Цитата:
Скорее всего причина в том что он сам использует 80 порт. есть способ смены...
Цитата:
Приветствую всех форумчан!
Подскажите, почему Kerio Control не хочет мапировать входящий с интернета 80-й порт TCP на компьютер в локальной сети?
Kerio Control 6.7.1 на Win 2008 Server, два интерфейса (в интернет и в локалку), DNS сервера в локальной сети (они же указаны в качестве DNS локального интерфейса машины с Kerio), неразрешенные запросы передаются на DNS сервера в интернете. На внешнем интерфейсе компьютера с Kerio DNS не прописаны. В самом Kerio служба DNS-форвардинга отключена. Веб интерфейс Керио использует стандартные порты 4080 и 4081. Также в локальной сети работает почтовый сервер.
В общем, Интернет, почта, FTP работают без проблем, а Веб-сервер, сидящий на отдельной машине в локальной сети с интернета недоступен.
Причем только на 80 порту. Для проверки даже создал правило, транслируещее (MAP) диапазон портов (TCP 79 - 81) на локальный ВЕБ-сервер. На 79 и 81 портах сайт доступен, а на 80 - глухо. Инспектор трафика в этом правиле, естественно, отключен. Но Kerio почему-то перехватывает на себя входящие с интернета запросы на 80 порт. (идет редирект на порт 4081 самого kerio). В файле конфигурации (winroute.cfg) ничего подозрительного не нашел...
В чем может быть причина, в принудительном режиме отрабатывает инспектор трафика? последствия таблетки?
Скорее всего причина в том что он сам использует 80 порт. есть способ смены...
Alexis72
отключите применение URL фильтрации для локальных серверов. "правый нижний угол в окне правил URL."
отключите применение URL фильтрации для локальных серверов. "правый нижний угол в окне правил URL."
Здравствуйте, не могу решить проблему:
Компьютер из интренет соединяется с сервером с выделенным ip по kerio vpn и становится членом внутренней сети с адресом 192.168.2.3
Из внутренней сети, которая стоит за сервером этот компьютер доступен по порту 80
Пытаюсь сделать проброс чтобы пользователь соединяющийся с сервером по выделенному ip по порту 8888 попадал на клиента подключенного по kerio vpn, но если пытаюсь зайти из интренет по прямому ip сервера с портом 8888 - ничего не получается.
Компьютер из интренет соединяется с сервером с выделенным ip по kerio vpn и становится членом внутренней сети с адресом 192.168.2.3
Из внутренней сети, которая стоит за сервером этот компьютер доступен по порту 80
Пытаюсь сделать проброс чтобы пользователь соединяющийся с сервером по выделенному ip по порту 8888 попадал на клиента подключенного по kerio vpn, но если пытаюсь зайти из интренет по прямому ip сервера с портом 8888 - ничего не получается.
пишу себе заметку на будущее , Kerio и nod32 очень плохо совместимы. Если до этого такая связка стояла и работала, то на другой машине с теми же самыми настройками она может уже не работать. Весь день сегодня потратили на выяснение этой фигни. правила 1в1 как были на старой машине, но при этом инет и VPN не работает. Пока в службах не отключили антивирь для проверки, так ничего и не заработало, после отключения ,сразу все стало работать.
Кстати кто пользуется Керио, какой антивирь у вас стоит? Т.К. мне пришлось отказаться от Nod32 и сервак сейчас вообще без антивиря.
Добавлено:
chefruboard
Цитата:
как этот пользователь попадает на KWF, по VPN ?
если да, то выбирай нужных пользователей или группу.
Или нужно весь инет, всех подряд пускать по порту 8888 на сервак 192,168,2,3:80 ?
Кстати кто пользуется Керио, какой антивирь у вас стоит? Т.К. мне пришлось отказаться от Nod32 и сервак сейчас вообще без антивиря.
Добавлено:
chefruboard
Цитата:
чтобы пользователь соединяющийся с сервером по выделенному ip
как этот пользователь попадает на KWF, по VPN ?
если да, то выбирай нужных пользователей или группу.
Или нужно весь инет, всех подряд пускать по порту 8888 на сервак 192,168,2,3:80 ?
Цитата:
как этот пользователь попадает на KWF, по VPN ?
Пользователь по VPN попадает из интернета:
ПК > ADSL Роутер с внутренним адресом провайдера > Провайдер > Интернет > Сервер с KWF с фиксированным IP.
Цитата:
Или нужно весь инет, всех подряд пускать по порту 8888 на сервак 192,168,2,3:80 ?
Да, нужно чтобы любой пользователь из интренета мог попасть на ПК через сервер с KWF с фиксированным IP.
При включении nat, независимо от того стоит ли галка напротив пункта "Разрешить обратные соединения", при попытке зайти, после долгой паузы браузер перебрасывает на http://192.168.2.3/...
И соотвественно от оне может отобразить страницу.
Видимо вэб сервер на ПК отдаёт не правильный ip ответа?
Цитата:
отключите применение URL фильтрации для локальных серверов
Tihon_one
Спасибо! Краткий, четкий и правильный ответ.
wwladimir
вся безопасность везде на нуле.
при попытке зайти на 80-й порт ловлю такое:
Код: {pktdrop} packet dropped: filtered and dropped by traffic rules (from WAN2 (Riss), proto:TCP, len:60, 94.180.xx.xx:43205 -> 80.66.xx.xx:80, flags:[ SYN ], seq:3468013140 ack:0, win:29200, tcplen:0)
вся безопасность везде на нуле.
при попытке зайти на 80-й порт ловлю такое:
Код: {pktdrop} packet dropped: filtered and dropped by traffic rules (from WAN2 (Riss), proto:TCP, len:60, 94.180.xx.xx:43205 -> 80.66.xx.xx:80, flags:[ SYN ], seq:3468013140 ack:0, win:29200, tcplen:0)
MAGNet
Может у Вас "разрешительных" правил для этого клиента нет? Или его рубит снорт, айпишник клиента входит в "подозрительные" списки.
Если у Вас из-за "плохого" клиента блочатся остальные за "натом" - то сделайте туннель с удаленного роутера на ваш керио. И не нужно будет "плохим" клиентам вообще вводить пароли.
Может у Вас "разрешительных" правил для этого клиента нет? Или его рубит снорт, айпишник клиента входит в "подозрительные" списки.
Если у Вас из-за "плохого" клиента блочатся остальные за "натом" - то сделайте туннель с удаленного роутера на ваш керио. И не нужно будет "плохим" клиентам вообще вводить пароли.
MAGNet
А что у вас работает на 80 порту, мапится внутренний сайт ?
А порт 4081 (админка) этому хосту доступен ?
Я понимаю так, когда в строке {pktdrop} нет названия правила, то пакет отбрасывается по причине отсутствия правила соответствующего этому пакету (т.е. последней строкой правил).
Я бы попробовал для адреса 94.180.xx.xx создать отдельный "трафик полиси" и столбце
"действие"-"учет" чекбокс на "запись в журнал.." И опять смотреть в журналах.
По блокировке по подбору пароля ничего нового не скажу, нового ничего не нашел.
Если птица снята (или создана группа "неблокируемых" IP), блокироваться не должно.
Если установлена, то 5 неверных попыток дают бан на 10 минут.
Вся официальная информация здесь ,
она же и в админгайде на стр 187.
А что у вас работает на 80 порту, мапится внутренний сайт ?
А порт 4081 (админка) этому хосту доступен ?
Я понимаю так, когда в строке {pktdrop} нет названия правила, то пакет отбрасывается по причине отсутствия правила соответствующего этому пакету (т.е. последней строкой правил).
Я бы попробовал для адреса 94.180.xx.xx создать отдельный "трафик полиси" и столбце
"действие"-"учет" чекбокс на "запись в журнал.." И опять смотреть в журналах.
По блокировке по подбору пароля ничего нового не скажу, нового ничего не нашел.
Если птица снята (или создана группа "неблокируемых" IP), блокироваться не должно.
Если установлена, то 5 неверных попыток дают бан на 10 минут.
Вся официальная информация здесь ,
она же и в админгайде на стр 187.
Добрый день
Используем kerio 7.0
Есть потребность в том, что бы отдельным группам пользователей запретить доступ в интернет. Хочется это сделать без использования web авторизации. И без привязки к ip (ради этого делать резервирование на кучу адресов не хочется). Хочется, что бы керио подхватывал авторизацию из ad. Залогинился пользователь в windows и нет нужды повторно логин/пароль вводить, что бы получить доступ в интернет. Это возможно в нашей версии? а в более новых ?
Или смотреть надо в сторону Forefront ? Либо скрипт юзать ?
Используем kerio 7.0
Есть потребность в том, что бы отдельным группам пользователей запретить доступ в интернет. Хочется это сделать без использования web авторизации. И без привязки к ip (ради этого делать резервирование на кучу адресов не хочется). Хочется, что бы керио подхватывал авторизацию из ad. Залогинился пользователь в windows и нет нужды повторно логин/пароль вводить, что бы получить доступ в интернет. Это возможно в нашей версии? а в более новых ?
Или смотреть надо в сторону Forefront ? Либо скрипт юзать ?
Idef0
NTLM работает с очень ранних версий Керио. Вот только не все браузеры
ее умеют (IE конечено умеет).
А вот в ISA/TMG для "нормальной" аутентификации на каждую машину
еще и "Firewall Client for ISA" придется "деплоить".
В современных DHCP, в их интерфейсах, резервирование выполняется щелчком одной
правой лапки мыши.
NTLM работает с очень ранних версий Керио. Вот только не все браузеры
ее умеют (IE конечено умеет).
А вот в ISA/TMG для "нормальной" аутентификации на каждую машину
еще и "Firewall Client for ISA" придется "деплоить".
В современных DHCP, в их интерфейсах, резервирование выполняется щелчком одной
правой лапки мыши.
Idef0
Дополню ответ wwladimir. Так чтобы без каких либо телодвижений и все браузеры и машина - нету в керио.
Вот варианты, как автоматизировать через скрипт и GPO - это имхо самый универсальный способ, после этого неважно что на компутере хочет в инет - будет доступ:
http://kb.kerio.com/product/kerio-control/microsoft-active-directory-apple-open-directory/how-to-use-a-windows-active-directory-group-policy-object-gpo-to-logon-and-logout-automatically-users-from-kerio-control-917.html
Попроще в GPO можно разрешить ИЕ автоматически передавать юзер/пасс. - но тогда пока ИЕ не запустишь - остальным прогам что в инет ломяться не будет доступа.
Дополню ответ wwladimir. Так чтобы без каких либо телодвижений и все браузеры и машина - нету в керио.
Вот варианты, как автоматизировать через скрипт и GPO - это имхо самый универсальный способ, после этого неважно что на компутере хочет в инет - будет доступ:
http://kb.kerio.com/product/kerio-control/microsoft-active-directory-apple-open-directory/how-to-use-a-windows-active-directory-group-policy-object-gpo-to-logon-and-logout-automatically-users-from-kerio-control-917.html
Попроще в GPO можно разрешить ИЕ автоматически передавать юзер/пасс. - но тогда пока ИЕ не запустишь - остальным прогам что в инет ломяться не будет доступа.
Доброго дня!
Решил поиграться с Kerio Control.
Качнул пробную демо версию готовой виртуальной машины.
На сервере с Win2008R2 стоит виртуальная машина VMWare.
На компе на самом деле еще несколько виртуальных машин, все машины общие и доступны по rdp из вне.
Сетевая карта eth получает интернет из роутера посредством PPTP. Настроен динднс на роутер, порты проброшены. Сам роутер раздает прямой интернет.
Теперь хотелось всех пользователей (за исключением себя) посадить на Kerio Control 8.3. который на виртуальной машине. Eth настроен как Мост, таким образом сама виртуальная сашина получила автоматом адрес 192.168.1.43 от роутера.
Я со свего компа через WiFi захожу в админку https://192.168.1.43:4081/admin
Это удобно, так как моя машина будет интернет получать напрямую с роутера как и раньше за Kerio и из вне (удаленно из интернета) хотелось бы доступ к админке иметь.
Как настроить вторую сетевую карту?
Ее тоже в режиме моста (Bridge) или Host Only или NAT надо на виртуальной машине поставить?
Предполагается, что в эту сетевую карту будет подключен другой WiFi роутер, который будет раздавать интернет по WiFi ну или по кабелю.
В этом случае DHCP, DNS надо отключать в этом роутере, а службы будут Kerio раздаваться?
Так вот, вошел в админку, а он пишет, что
eth 192.168.1.43 - локальная сеть
eth1 192.168.18.129 - интернет
По сути должно быть наоборот, интернет на eth, а локальная сеть - на eth1.
Пока напрямую кабель воткнул в свой ноут из eth1 - настроил получение ip и dns автоматом (службу DHCP и DNS включал при первом запуске виртуальной машины Kerio), но ip ноут по LAN не получает.
Нет интернета и сети.
Пробовал в админке переставлять
eth - интернет
eth1 - локальная сеть
на самой машине стало писать вход в админку https://192.168.18.129:4081/admin
и все, в админку не могу зайти ни по WiFi ни по кабелю. Что настроил не так, подскажите, пожалуйста.
Решил поиграться с Kerio Control.
Качнул пробную демо версию готовой виртуальной машины.
На сервере с Win2008R2 стоит виртуальная машина VMWare.
На компе на самом деле еще несколько виртуальных машин, все машины общие и доступны по rdp из вне.
Сетевая карта eth получает интернет из роутера посредством PPTP. Настроен динднс на роутер, порты проброшены. Сам роутер раздает прямой интернет.
Теперь хотелось всех пользователей (за исключением себя) посадить на Kerio Control 8.3. который на виртуальной машине. Eth настроен как Мост, таким образом сама виртуальная сашина получила автоматом адрес 192.168.1.43 от роутера.
Я со свего компа через WiFi захожу в админку https://192.168.1.43:4081/admin
Это удобно, так как моя машина будет интернет получать напрямую с роутера как и раньше за Kerio и из вне (удаленно из интернета) хотелось бы доступ к админке иметь.
Как настроить вторую сетевую карту?
Ее тоже в режиме моста (Bridge) или Host Only или NAT надо на виртуальной машине поставить?
Предполагается, что в эту сетевую карту будет подключен другой WiFi роутер, который будет раздавать интернет по WiFi ну или по кабелю.
В этом случае DHCP, DNS надо отключать в этом роутере, а службы будут Kerio раздаваться?
Так вот, вошел в админку, а он пишет, что
eth 192.168.1.43 - локальная сеть
eth1 192.168.18.129 - интернет
По сути должно быть наоборот, интернет на eth, а локальная сеть - на eth1.
Пока напрямую кабель воткнул в свой ноут из eth1 - настроил получение ip и dns автоматом (службу DHCP и DNS включал при первом запуске виртуальной машины Kerio), но ip ноут по LAN не получает.
Нет интернета и сети.
Пробовал в админке переставлять
eth - интернет
eth1 - локальная сеть
на самой машине стало писать вход в админку https://192.168.18.129:4081/admin
и все, в админку не могу зайти ни по WiFi ни по кабелю. Что настроил не так, подскажите, пожалуйста.
Цитата:
арезервировать часть канала для VoIP в тоннеле?
перейти на версию Kerio Control 8.3
Добавлено:
Germanus
Цитата:
Цитата:
в чём проблема аплианса?
Дак, в линухе, это же очевидно.
Что, под линь кряки писать сложнее?
Админится шлюз даже проще чем на видне.
Цитата:
Цитата:
Что заставляет сидеть на "масдае"?
Универсальность, всеядность, доступность, эргономичность.
Спорно, очень спорно, виртуализация, даже в самой винде, позволяет агрегировать всё это, со значительно большим КПД. Это конечно ИМХО, т.к. разводить споров тут не хочу.
Цитата:
Цитата:
и в чём собственно неудобство веб-морды?
Ну, тут уж совсем прозрачно - в тормознутости, плюс ПКМ, конечно.
Тормознутость? - Не замечал, всё вроде в норме, хотя да, бывает, правда не чаще, чем со старой админкой. А что такое ПКМ?
Кстати, именно новая админка позволила опубликовать API для продуктов Kerio, которые, в свою очередь позволbb "продвинутым" админам, сделать много больше в плане управления шлюзом, мне вот например надо было управлять VPN туннелями не входя в админку, вполне реализуемо.
Tihon_one
можно ссылку на API для Control ?
можно ссылку на API для Control ?
Извиняюсь за наверное глупый вопрос, я новичок:
- Есть kerio control 7.2 Включен DHCP. У некоторых пишет: зарезервирован, срок истек. Я так понимаю, что этому хосту будет присваиваться любой своюодный адрес? И как продлить резервирование (аренду). Просто хочется точного сопоставления пользователей и IP.
Спасибо.
- Есть kerio control 7.2 Включен DHCP. У некоторых пишет: зарезервирован, срок истек. Я так понимаю, что этому хосту будет присваиваться любой своюодный адрес? И как продлить резервирование (аренду). Просто хочется точного сопоставления пользователей и IP.
Спасибо.
DerAppetit
http://www.kerio.com/learn-community/developer-zone
API один для всех продуктов, т.к. админки однотипные, но по контролу API ещё не документировано, можно общаться через бета форум или разбираться самому, но обещали скоро открыть документацию уже.
Merlin2006
если зарезервировано. то при следующем запросе конфигурации хост получит адрес из резерва.
http://www.kerio.com/learn-community/developer-zone
API один для всех продуктов, т.к. админки однотипные, но по контролу API ещё не документировано, можно общаться через бета форум или разбираться самому, но обещали скоро открыть документацию уже.
Merlin2006
если зарезервировано. то при следующем запросе конфигурации хост получит адрес из резерва.
Цитата:
если зарезервировано. то при следующем запросе конфигурации хост получит адрес из резерва.
Просто сегодня смотрю: "Зарезервирован, срок истек" а хост работает под другим IP. Как быть? Мне нужно чтобы он работал именно под этим зарезервированным ip. Может как-то пролдить срок аренды или перерегестрировать заново?
Спасибо.
Merlin2006
надо смотреть в лог debug с включенными опциями протоколирования DHCP собранный в момент получения неверного адреса.
надо смотреть в лог debug с включенными опциями протоколирования DHCP собранный в момент получения неверного адреса.
Цитата:
надо смотреть в лог debug с включенными опциями протоколирования DHCP собранный в момент получения неверного адреса.
лог посмотрел, но похоже не включено протоколирование DHCP. Где это включить?
ПКМ по окну сообщений лога debug\сообщения\дальше ищи 80))
wwladimir
вроде разобрались. на 80-й порт не пускал потому что был включен мапинг двух портов в одном правиле.
с блокировками ИП тоже вроде разобрались. посмотрю, что дальше будет
вроде разобрались. на 80-й порт не пускал потому что был включен мапинг двух портов в одном правиле.
с блокировками ИП тоже вроде разобрались. посмотрю, что дальше будет
Добрый день!
Подскажите как на Керио опубликовать два внутренних ресурса(owa и web) через https, при этом не меняя порты?
Есть два статических адреса из одной подсети, если их назначить на две сетевухи, то все работает, при условии, что на обеих прописан одинаковый default gateway(правда Керио ругается при этом очень).
В принципе с этим можно было бы жить, но керио начинает отправлять почту со второго ip, при этом чужие почтовые сервера после этого начинают ругаться на нас.
Да и неправильно это как то.
Версия Kerio 8.1.1 patch 3 build 1212
Подскажите как на Керио опубликовать два внутренних ресурса(owa и web) через https, при этом не меняя порты?
Есть два статических адреса из одной подсети, если их назначить на две сетевухи, то все работает, при условии, что на обеих прописан одинаковый default gateway(правда Керио ругается при этом очень).
В принципе с этим можно было бы жить, но керио начинает отправлять почту со второго ip, при этом чужие почтовые сервера после этого начинают ругаться на нас.
Да и неправильно это как то.
Версия Kerio 8.1.1 patch 3 build 1212
Цитата:
В принципе с этим можно было бы жить, но керио начинает отправлять почту со второго ip, при этом чужие почтовые сервера после этого начинают ругаться на нас
У меня прописано правило:
Источник - Доверенные/локальные
Назначение - Интернет-интерфейсы
Служба - SMTP
Правило - NAT Использовать конкретный исходящий интерфейс
Это то, что касается отправки почты через "привязанный" адрес.
Про остальное не очень понятно..
sVIVs
обновитесь на 8.3 там есть обратный прокси он позволит это сделать
обновитесь на 8.3 там есть обратный прокси он позволит это сделать
Добрый день!
Подскажите пожалуйста, что означает фраза "корпоративного уровня, созданным специально для малого и среднего бизнеса".
Потянет ли 2000+ пользователей + логирование их действий?
Подскажите пожалуйста, что означает фраза "корпоративного уровня, созданным специально для малого и среднего бизнеса".
Потянет ли 2000+ пользователей + логирование их действий?
а про отправку уважаемый MAGNet уже написал
Добавлено:
aadenisenko
на 2000+ можно попробовать, но зависит от того что надо реализовать, корпоративный уровень имеется в виду набор функционала, а малый и средний бизнес имеется ввиду нагрузку в духе количетсво новых соединение в еденицу времени, если вы хостите сайт google.* то контрол тут слабоват конечно...
Добавлено:
aadenisenko
на 2000+ можно попробовать, но зависит от того что надо реализовать, корпоративный уровень имеется в виду набор функционала, а малый и средний бизнес имеется ввиду нагрузку в духе количетсво новых соединение в еденицу времени, если вы хостите сайт google.* то контрол тут слабоват конечно...
Цитата:
Потянет ли 2000+ пользователей
Что значит "потянет"? Будет зависеть от железяки.
От уровня логирования, от количества включенных фильтров, от настройки кэша..
У меня, например, при включении кэша через сутки ложится, а с выключенным кэшем на 150 юзеров вот:
Цитата:
У меня прописано правило:
Источник - Доверенные/локальные
Назначение - Интернет-интерфейсы
Служба - SMTP
Правило - NAT Использовать конкретный исходящий интерфейс
Это то, что касается отправки почты через "привязанный" адрес.
Про остальное не очень понятно..
У меня правило для почты немного другое:
Источник - Интернет-интерфейсы
Назначение - Брандмауэр
Служба - SMTP
Трансляция- MAP на почтовый сервер
С почтой я разобрался, просто вначале у меня обе сетевухи были в группе интернет-интерфейсы которая и была в правиле для почты.
Переместил вторую сетевуху в Другие интерфейсы - сейчас все работает.
Цитата:
обновитесь на 8.3 там есть обратный прокси он позволит это сделать
Может на следующей неделе попробую, сейчас пока даже боязно как то.
Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117
Предыдущая тема: Права доступа NTFS
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.