» Kerio Control (ex Kerio WinRoute Firewall)

Starshark2007

Цитата:

У Вас оно изменено кем-то, по умолчанию правило "Allows remote access to firewall" выглядит по другому, как точно не помню...

Вот тут я с Вами готов поспорить, так как на 7-х версиях оно как раз так и выглядит...
У меня 7.4.2 для виндовс

Добавлено:
Starshark2007

Цитата:

"Нет интернета" - уточняйте.... Нет пинга на клиенте, разрешается ли адрес в айпи (ДНС)на клиенте, есть ли инет на самом файрволе?

На самом фаере есть инет, а у клиентов его нет если убрать первое правило...

P.S. Да ещё не могу по RDP законектиться с фаером, возможно это правило создаётся если ставить галочку "Удалённая установка". А какое правило у Вас?

stalklab

Сегодня мне лень ставить виртуалку с керио именно 7.4.2 (возможно завтра поставлю), но правило "Всё-всем-всегда" не похоже на правило "по-умолчанию".

Дайте вывод с клиента команд "ping ya.ru", "tracert ya.ru" и "route print".
Дайте информацию которую просил выше magnet только не скрывайте адреса в локалке, они не критичны для вашей безопасности, но нужны для выяснения топологии, скрывайте внешние (публичные адреса).

RDP - в локалке коннектится? Не коннектится из инета?
Что бы коннектится из инета нужно правило аналогичное Вашему 2-му или третьему со службой "RDP"

У меня в 8-ке два первых правила выглядят так:

Первое правило как раз-таки разрешает весь локальный и впн-трафик, а так же трафик через нат, т.е. если соединение за нат установлено, то оно подпадает под это правило. Для увеличения быстродействия это правило должно стоять на первом месте (если нет жестких безусловных блокировок).
Далее выстраиваются блокирующие правила и мапинг входящих соединений в соответствии с вашей политикой безопасности.
Правило, разрешающее впн-подключения из интернета выглядит так:

Последними ставятся правила, разрешающие устанавливать нат-соединения с интернетом, исходящие соединения для фаервола и блокирующее правило всего, что не попало в список.


Попробуйте повторить это у себя на 7-ке. Там должен быть какой-то "мастер"

MAGNet
Пробовал разными способами, счас попробую новую виртуалку сделать и накатить керио без галочки "Удалённая установка", посмотрю разницу...

Или вы накотите 7.4.2 for windows только галочку не ставте во время установки "Удалённая установка"

Добавлено:
MAGNet
Вот нарыл видео установки 7.2.1 и там такие же правила, как у меня в конце видео
http://www.youtube.com/watch?v=ksqTaWiqV1A

я так понял, что это временное правило для удаленной установки, которое нужно будет удалить.
оно полностью блокирует работу фаервола.

MAGNet
Возможно, но когда его удаляешь всё ИНЕТА сразу НЕТ для пользователей, может где ещё нужно врубить какую-нить настройку...

p.s. для некоторых клиентов лагает инет через kerio, mail.ru открывается со второго раза...

какие настройки прокси в kerio?
поставь протоколирование на все правила и посмотри какие из них выполняются.
у меня такое чувство, что прокси включен, маршрутизация проходит правильно, а дальше клиент попадает на прокси, где либо не может авторизоваться либо ещё как-то рубится..

зы
ещё я хочу, чтобы ты усвоил, что kerio - это название программы в состав которой входят два основных компонента: фаервол (Правила трафика) и прокси-сервер (Политика HTTP). Они никак не отключаются и работают независимо друг от друга.

MAGNet
Это я уже понял, а в каком журнале смотреть выполнение правил?

Настройки прокси

В журнале секция Connection будет написано что-то типа такого:

Код: [05/Jun/2014 11:57:24] [ID] 20874045 [Rule] TS Updates [Service] HTTP [Connection] TCP tsr-main.geltd.local (192.168.20.201):52880 -> spectra-nginx.rbc.ru (80.68.246.27):80 [Iface] WAN1 (Mega) [Duration] 122 sec [Bytes] 12918/583773/596691 [Packets] 246/401/647

MAGNet

Вот настройки прокси


вот секция connection

Код: [05/Jun/2014 13:35:29] [ID] 858 [Rule] Remote access [Service] HTTP Proxy [Connection] TCP 192.168.5.138:1256 -> SPBPROXY (192.168.5.7):3128 [Duration] 131 sec [Bytes] 754/983/1737 [Packets] 6/5/11
[05/Jun/2014 13:35:29] [ID] 56 [Rule] Remote access [Service] HTTP [User] kulikova [Connection] TCP SPBPROXY (192.168.5.7):49166 -> im50v4.vk.com (87.240.143.68):80 [Duration] -13688 sec [Bytes] 31284/12745/44029 [Packets] 95/104/199
[05/Jun/2014 13:35:31] [ID] 950 [Rule] Remote access [Service] HTTP [User] muravenko [Connection] TCP SPBPROXY (192.168.5.7):49559 -> e.mail.ru (94.100.180.216):80 [Duration] 106 sec [Bytes] 1816/2632/4448 [Packets] 8/7/15
[05/Jun/2014 13:35:31] [ID] 949 [Rule] Remote access [Service] HTTP Proxy [Connection] TCP ws-reception.spb.loc (192.168.5.160):4737 -> SPBPROXY (192.168.5.7):3128 [Duration] 107 sec [Bytes] 1782/1506/3288 [Packets] 7/8/15
[05/Jun/2014 13:35:33] [ID] 1403 [Rule] Remote access [Service] HTTP [User] buzytskov [Connection] TCP SPBPROXY (192.168.5.7):49826 -> mail.ru (94.100.180.199):80 [Duration] 16 sec [Bytes] 1904/881/2785 [Packets] 6/6/12
[05/Jun/2014 13:35:33] [ID] 1402 [Rule] Remote access [Service] HTTP Proxy [Connection] TCP 192.168.5.146:1711 -> SPBPROXY (192.168.5.7):3128 [Duration] 16 sec [Bytes] 1920/887/2807 [Packets] 6/6/12
[05/Jun/2014 13:35:33] [ID] 1400 [Rule] Remote access [Service] HTTP [User] buzytskov [Connection] TCP SPBPROXY (192.168.5.7):49824 -> portal.mail.ru (217.69.139.59):80 [Duration] 16 sec [Bytes] 1935/1009/2944 [Packets] 6/6/12
[05/Jun/2014 13:35:33] [ID] 1399 [Rule] Remote access [Service] HTTP Proxy [Connection] TCP 192.168.5.146:1710 -> SPBPROXY (192.168.5.7):3128 [Duration] 16 sec [Bytes] 1958/1019/2977 [Packets] 6/6/12
[05/Jun/2014 13:35:35] [ID] 1417 [Rule] Remote access [Service] HTTP [User] zaugolnikov [Connection] TCP SPBPROXY (192.168.5.7):49833 -> mc.yandex.ru (87.250.250.119):80 [Duration] 16 sec [Bytes] 1069/980/2049 [Packets] 7/5/12
[05/Jun/2014 13:35:35] [ID] 1416 [Rule] Remote access [Service] HTTP [User] zaugolnikov [Connection] TCP SPBPROXY (192.168.5.7):49832 -> ch.rbc.ru (195.16.126.65):80 [Duration] 16 sec [Bytes] 1207/402/1609 [Packets] 5/4/9
[05/Jun/2014 13:35:35] [ID] 1351 [Rule] Remote access [Service] HTTP [User] zaugolnikov [Connection] TCP SPBPROXY (192.168.5.7):49800 -> mc.yandex.ru (87.250.251.119):80 [Duration] 60 sec [Bytes] 2408/1060/3468 [Packets] 9/7/16
[05/Jun/2014 13:35:35] [ID] 1350 [Rule] Remote access [Service] HTTP Proxy [Connection] TCP 192.168.5.147:1867 -> SPBPROXY (192.168.5.7):3128 [Duration] 60 sec [Bytes] 3471/1412/4883 [Packets] 9/10/19

Добрый день, уважаемые форумчане.
Вопрос по статистике Kerio Control и подробного отображения деятельности пользователей.
OC хоста – Windows 2008R2. Kerio Control – 7.4.2, тип аутентификации пользователей NTLM, без прокси. Kerio установлен на отдельном хосте, не на DC. Аутентификация пользователей, подсчёт трафика и сбор статистики работает без проблем. Но есть один нюанс.
Суть проблемы: при просмотре текущей деятельности пользователей (Состояние - Активные хосты – Деятельность) в описании деятельности отображается ip-адрес или dns-имя web ресурса, а не описание этого ресурса (к примеру «Погода в N-ске на 3 дня»). Так же дела обстоят в Kerio Control Statistic – Индивидуальные данные – Действия пользователя. Для примера скриншоты как есть, и ниже, как должно быть (настроено в другой конторе при схожей конфигурации сети и Kerio).



Кто-нибудь сталкивался с чем-то подобным?

Добавлено:
Сам спросил - сам отвечаю. Оказалось, что для правила, по которому аутентифицированным пользователям разрешался выход в Интренет был выключен Инспектор (это такой скрытый столбец в Политике трафика). После того, как включил инспектор в состояние "по умолчанию", описание ресурсов появилось.

stalklab
что в логах, если выключить Remote access?

MAGNet
вот что

Код: [05/Jun/2014 14:04:30] [ID] 10330 [Rule] Firewall traffic [Service] HTTPS [User] zaugolnikov [Connection] TCP SPBPROXY (192.168.5.7):52257 -> www.odnoklassniki.ru (217.20.147.94):443 [Duration] 255 sec [Bytes] 1282/3828/5110 [Packets] 10/10/20
[05/Jun/2014 14:04:37] [ID] 10580 [Rule] Firewall traffic [Service] HTTP [User] zakharova [Connection] TCP SPBPROXY (192.168.5.7):52404 -> mc.yandex.ru (93.158.134.119):80 [Duration] 75 sec [Bytes] 1429/1244/2673 [Packets] 8/7/15

в правиле Internet access (NAT) какие настройки?
есть предположение, что после отключения этого правила будут работать только вновь установленные соединения.
попробуй с отключенным правилом открыть новую страницу в и загляни в журнал.
сначала она должна попасть в правило Internet access (NAT)

MAGNet
Счас попробую...

нафик там вообще прокси ?
пускай по нату юзеров своих и все

так а в чем проблема была с серваком rbg.bnk.local из подсети 172.19.20.73 ??? нукроме того что он оказался из локальной сети, почему к нему тогда доступа не было у твоего изера ?

p.s. сохрани файлы *.cfg и запусти визард по правилам и заново сконфигурируй, у тебя фигня полная с правилами, я об этом еще вчера писал

Maza777
У меня фигня с подключением... короче пока курю свою траблу, потом отпишусь...

Maza777

Цитата:

так а в чем проблема была с серваком rbg.bnk.local из подсети 172.19.20.73 ??? нукроме того что он оказался из локальной сети

Похоже, что там "сем вёрст до небес" нагорожено и человек чужие зехеры распутывает.
сдается мне, что это сервер из другого леса с доверием, который зацеплен через кериошный впн.
для полного обретения дзен нужно выкурить там всю топологию сети, всю маршрутизацию, все настройки днс и всю структуру домена.

что касаемо "нет интернета, если отключить правило всё всем", то мне кажется, что достаточно переустановить все соединения. просто керио рубит коннекты, которые были установлены по отключенному правилу.

прокси там скорее всего нужен для контроля доступа и сбора статистики. я, к слову, на сегодняшний день не вижу других оправданий.
у меня прокси работает в прозрачном режиме без авторизации, ибо совсем его выключить нельзя.

Добавлено:
зы

Цитата:

p.s. сохрани файлы *.cfg и запусти визард по правилам и заново сконфигурируй

Вот и я то же говорю!

Доброго времени суток.
Столкнулся с такой проблемой: керио контрол теряет соединение с интернетом и не подключается к нему пока не перезагружу сервер.

Конфигурация:
Сервер с windows 2008, есть 2 сетевухи, встроенная смотрит в локалку, дискретная в два интернета. Kerio control 8.2.2 крутится на Hyper-v. DHCP выключен, ДНС получает с другого сервера. Два интернета поставлены на балансировку нагрузки, настроены через PPPoE и используют ДНС провайдера.

Суть проблемы:
Все интерфейсы настроены, всё работает. Но, по неизвестной мне причине, иногда отключаются соединение с интернетом именно в керио, перезагрузка керио не помогает, спасает только включение выключение виртуальной машины. На самом сервере тем временем ничего не меняется, всё работает стабильно.

Последний раз такое случилось в выходные, отпали оба интернета с разницей в полтора дня, вот с что есть в логах:
RAS error: Unable to dial "Internet name" (Unknown error 4294967293)
Такая ошибка для обоих соединений, гуглил ошибку, найти не удалось.

Кто знает в какую сторону копать?

iLIVING
Предположение: а почему решили, что проблема в Kerio, а не в Hyper-V? К kerio по локалке достучаться можно в тот момент, когда он теряет интернет?

керио в виртуале - это верх профессионализма.
аплодисменты со всеми вытекающими!

Добавлено:
iLIVING
полтора дня - очень большой интервал.
интернет провайдеров подозревать не пробовал?

Кто-нибудь отрабатывал бэкап конфигурационных файлов керио по ssh?

forumacc
а зачем так, если можно на FTP выливать или на их облако?

Коллеги, выручайте! Какое правило нужно прописать, чтобы открывался http://www.rusfinancebank.ru/info.php ???

приветствую... народ, подскажите если кто имел дело. Планируют в офисе в нашу АТС поставить плату Е1 потока, а дальше трафик преобразуется через Cisco 2801 VoIP E1 Bandle в H323 и дальше через керио к провайдеру. Проблемы есть какие то с пробросом Н323 через нат контрола?


mikle000
ээ, ну разрешите https протокол и откройте 7779 порт

ssi
Для H323 надо обязательно использовать указанный ручками соответствующий инспектор протокола на правиле которым будешь во вне передавать этот трафик. В целом всё должно работать нормально.

Подскажите, пожалуйста, как правильно сделать blackhole роутинг для неиспользуемых частных подсеток?

Добрый день! Подскажите, может кто поделится списками для блокировки (любыми методами) ICQ, QIP, AOL Mail.ru agent и т.п. Так же интересно как заблокировать просмотр порно (эротики) картинок (фоток). Может есть список для блокировки по IP или URL онлайн фильмов, сериалов, ТВ. Спасибо. (Kerio 7.2)

Добрый день.
Имеется два канала. Оптика(PPPoE) основной, ADSL резерв. Когда пропадает основной, все переключается на резерв. Тут все хорошо.
Но вот при появлении основного и переключении на него интернет ни у кого не появляется. Пока вручную соединение не переподключишь. Потом все нормально до следующего падения.. В логах ничего интересного. Пропал основной - подключились на резерв, потом рапортует что основной появился и мы на нем, типа все ок но инет не дает. Помогите советом. 8,3,1 2108 trial не ломаный.

Lihonosov
в ТП писали?

Вообще надо бы глянуть лог debug с включенным протоколированием internet connectivity (как минимум)