» Kerio Control (ex Kerio WinRoute Firewall)

Tihon_one
такой вопрос. ВОт есть удаленный комп с установленным на нем VPN клиентом. В правилах контрола для VPN создано стандарное правило. Просматриваю лог http в контроле и вижу что браузер на этом удаленном компе и в инет идет через VPN

На других клиентах вроде такого поведения раньше не замечал. У себя натыкался на такую ситуацию: сам постоянно сижу на firefox, но тут открыл ИЕ, а он не открывает ни одну страницу пока я не отрубил VPN клиента.

Подскажите пожалуйстав какую сторону рыть. Ситуация следующая.
Стоит старый Кирюха 6.6 и все нормально работает. Решил я посмотреть в логи "что он у меня запрещает". Здесь увидел много нового и непонятного.
Подскажите пожалуйста, что это за странные попытки соединений?

[more=Кусочек лога..]

Код:
[16:00:55] DROP "Default Drops" packet from LanWan, proto:2, len:28, ip:192.168.0.1 -> 239.255.255.246, plen:8
[16:01:09] DROP "Default Drops" packet from LanWan, proto:2, len:28, ip:192.168.0.1 -> 224.0.0.1, plen:8
[16:01:09] DROP "Default Drops" packet from LanWan, proto:2, len:32, ip:192.168.0.86 -> 224.0.0.251, plen:8
[16:01:09] DROP "Default Drops" packet from LanWan, proto:2, len:32, ip:192.168.0.1 -> 224.0.0.2, plen:8
[16:01:10] DROP "Default Drops" packet from LanWan, proto:2, len:32, ip:192.168.0.41 -> 224.0.0.252, plen:8
[16:01:10] DROP "Default Drops" packet from LanWan, proto:2, len:32, ip:192.168.0.41 -> 239.255.255.250, plen:8
[16:01:10] DROP "Default Drops" packet from LanWan, proto:2, len:32, ip:192.168.0.1 -> 228.8.8.8, plen:8
[16:02:09] DROP "Default Drops" packet from LanWan, proto:2, len:28, ip:192.168.0.1 -> 224.0.0.1, plen:8
[16:02:09] DROP "Default Drops" packet from LanWan, proto:2, len:32, ip:192.168.0.41 -> 224.0.0.252, plen:8
[16:02:09] DROP "Default Drops" packet from LanWan, proto:2, len:32, ip:192.168.0.41 -> 239.255.255.250, plen:8
[16:02:09] DROP "Default Drops" packet from LanWan, proto:2, len:32, ip:192.168.0.41 -> 224.0.0.251, plen:8
[16:02:09] DROP "Default Drops" packet from LanWan, proto:2, len:32, ip:192.168.0.1 -> 224.0.0.2, plen:8
[16:02:10] DROP "Default Drops" packet from LanWan, proto:2, len:32, ip:192.168.0.1 -> 228.8.8.8, plen:8
[16:02:57] DROP "Default Drops" packet from LanWan, proto:2, len:28, ip:192.168.0.1 -> 239.194.75.48, plen:8
[16:02:58] DROP "Default Drops" packet from LanWan, proto:2, len:28, ip:192.168.0.1 -> 239.192.152.143, plen:8
[16:03:01] DROP "Default Drops" packet from LanWan, proto:2, len:28, ip:192.168.0.1 -> 224.1.14.71, plen:8
[16:03:09] DROP "Default Drops" packet to LanWan, proto:UDP, len:244, ip/port:192.168.0.8:138 -> 192.168.0.255:138, udplen:216
[16:03:09] DROP "Default Drops" packet from LanWan, proto:2, len:28, ip:192.168.0.1 -> 224.0.0.1, plen:8
[16:03:09] DROP "Default Drops" packet from LanWan, proto:2, len:32, ip:192.168.0.41 -> 224.0.0.252, plen:8
[16:03:09] DROP "Default Drops" packet from LanWan, proto:2, len:32, ip:192.168.0.41 -> 239.255.255.250, plen:8
[16:03:09] DROP "Default Drops" packet from LanWan, proto:2, len:32, ip:192.168.0.1 -> 228.8.8.8, plen:8
[16:03:10] DROP "Default Drops" packet from LanWan, proto:2, len:32, ip:192.168.0.1 -> 224.0.0.2, plen:8
[16:03:10] DROP "Default Drops" packet from LanWan, proto:2, len:28, ip:192.168.0.1 -> 239.192.152.143, plen:8
[16:03:39] DROP "Default Drops" packet to LanWan, proto:UDP, len:229, ip/port:192.168.0.8:138 -> 192.168.0.255:138, udplen:201
[16:04:08] DROP "Default Drops" packet from LanWan, proto:2, len:28, ip:192.168.0.1 -> 224.0.0.1, plen:8
[16:04:09] DROP "Default Drops" packet from LanWan, proto:2, len:32, ip:192.168.0.1 -> 224.0.0.2, plen:8
[16:04:09] DROP "Default Drops" packet from LanWan, proto:2, len:32, ip:192.168.0.1 -> 228.8.8.8, plen:8
[16:04:25] DROP "Default Drops" packet from LanWan, proto:2, len:28, ip:192.168.0.1 -> 239.192.152.143, plen:8
[16:04:38] DROP "Default Drops" packet from LanWan, proto:UDP, len:229, ip/port:192.168.0.41:138 -> 192.168.0.255:138, udplen:201
[16:05:07] DROP "Default Drops" packet from LanWan, proto:2, len:28, ip:192.168.0.1 -> 239.255.255.246, plen:8
[16:05:09] DROP "Default Drops" packet from LanWan, proto:2, len:28, ip:192.168.0.1 -> 224.0.0.1, plen:8
[16:05:09] DROP "Default Drops" packet from LanWan, proto:2, len:32, ip:192.168.0.86 -> 224.0.0.251, plen:8
[16:05:10] DROP "Default Drops" packet from LanWan, proto:2, len:32, ip:192.168.0.41 -> 224.0.0.252, plen:8
[16:05:10] DROP "Default Drops" packet from LanWan, proto:2, len:32, ip:192.168.0.1 -> 224.0.0.2, plen:8
[16:05:10] DROP "Default Drops" packet from LanWan, proto:2, len:32, ip:192.168.0.1 -> 228.8.8.8, plen:8
[16:05:40] DROP "Default Drops" packet from LanWan, proto:2, len:28, ip:192.168.0.1 -> 239.192.152.143, plen:8
[16:06:03] DROP "Default Drops" packet from LanWan, proto:2, len:28, ip:192.168.0.1 -> 224.1.14.71, plen:8
[16:06:09] DROP "Default Drops" packet from LanWan, proto:2, len:28, ip:192.168.0.1 -> 224.0.0.1, plen:8
[16:06:09] DROP "Default Drops" packet from LanWan, proto:2, len:32, ip:192.168.0.1 -> 228.8.8.8, plen:8
[16:06:10] DROP "Default Drops" packet from LanWan, proto:2, len:32, ip:192.168.0.86 -> 224.0.0.251, plen:8
[16:06:10] DROP "Default Drops" packet from LanWan, proto:2, len:32, ip:192.168.0.41 -> 224.0.0.252, plen:8
[16:06:10] DROP "Default Drops" packet from LanWan, proto:2, len:32, ip:192.168.0.41 -> 239.255.255.250, plen:8
[16:06:10] DROP "Default Drops" packet from LanWan, proto:2, len:32, ip:192.168.0.1 -> 224.0.0.2, plen:8
[16:06:22] DROP "Default Drops" packet from LanWan, proto:2, len:28, ip:192.168.0.1 -> 239.255.255.246, plen:8
[16:06:56] DROP "Default Drops" packet from LanWan, proto:2, len:28, ip:192.168.0.1 -> 239.192.152.143, plen:8
[16:07:09] DROP "Default Drops" packet from LanWan, proto:2, len:28, ip:192.168.0.1 -> 224.0.0.1, plen:8
[16:07:10] DROP "Default Drops" packet from LanWan, proto:2, len:32, ip:192.168.0.41 -> 224.0.0.252, plen:8
[16:07:10] DROP "Default Drops" packet from LanWan, proto:2, len:32, ip:192.168.0.41 -> 224.0.0.251, plen:8
[16:07:10] DROP "Default Drops" packet from LanWan, proto:2, len:32, ip:192.168.0.86 -> 224.0.0.251, plen:8
[16:07:10] DROP "Default Drops" packet from LanWan, proto:2, len:32, ip:192.168.0.1 -> 228.8.8.8, plen:8
[16:07:10] DROP "Default Drops" packet from LanWan, proto:2, len:32, ip:192.168.0.1 -> 224.0.0.2, plen:8
[16:07:12] DROP "Default Drops" packet from LanWan, proto:2, len:28, ip:192.168.0.1 -> 239.194.75.48, plen:8
[16:07:37] DROP "Default Drops" packet from LanWan, proto:2, len:28, ip:192.168.0.1 -> 239.255.255.246, plen:8
[16:08:08] DROP "Default Drops" packet from LanWan, proto:2, len:28, ip:192.168.0.1 -> 224.1.14.71, plen:8
[16:08:08] DROP "Default Drops" packet from LanWan, proto:2, len:28, ip:192.168.0.1 -> 224.0.0.1, plen:8
[16:08:09] DROP "Default Drops" packet from LanWan, proto:2, len:32, ip:192.168.0.41 -> 224.0.0.252, plen:8
[16:08:09] DROP "Default Drops" packet from LanWan, proto:2, len:32, ip:192.168.0.41 -> 239.255.255.250, plen:8
[16:08:09] DROP "Default Drops" packet from LanWan, proto:2, len:32, ip:192.168.0.1 -> 228.8.8.8, plen:8
[16:08:09] DROP "Default Drops" packet from LanWan, proto:2, len:32, ip:192.168.0.1 -> 224.0.0.2, plen:8
[16:08:10] DROP "Default Drops" packet from LanWan, proto:2, len:28, ip:192.168.0.1 -> 224.1.14.71, plen:8
[16:08:11] DROP "Default Drops" packet from LanWan, proto:2, len:28, ip:192.168.0.1 -> 224.1.14.71, plen:8
[16:08:11] DROP "Default Drops" packet from LanWan, proto:2, len:28, ip:192.168.0.1 -> 239.192.152.143, plen:8
[16:08:12] DROP "Default Drops" packet from LanWan, proto:2, len:28, ip:192.168.0.1 -> 224.1.14.71, plen:8
[16:08:13] DROP "Default Drops" packet from LanWan, proto:2, len:28, ip:192.168.0.1 -> 224.1.14.71, plen:8
[16:08:14] DROP "Default Drops" packet from LanWan, proto:2, len:28, ip:192.168.0.1 -> 224.1.14.71, plen:8
[16:08:27] DROP "Default Drops" packet from LanWan, proto:2, len:28, ip:192.168.0.1 -> 239.194.75.48, plen:8
[16:08:52] DROP "Default Drops" packet from LanWan, proto:2, len:28, ip:192.168.0.1 -> 239.255.255.246, plen:8
[16:09:08] DROP "Default Drops" packet from LanWan, proto:2, len:28, ip:192.168.0.1 -> 224.0.0.1, plen:8
[16:09:09] DROP "Default Drops" packet from LanWan, proto:2, len:32, ip:192.168.0.41 -> 224.0.0.252, plen:8
[16:09:09] DROP "Default Drops" packet from LanWan, proto:2, len:32, ip:192.168.0.41 -> 239.255.255.250, plen:8
[16:09:09] DROP "Default Drops" packet from LanWan, proto:2, len:32, ip:192.168.0.41 -> 224.0.0.251, plen:8
[16:09:09] DROP "Default Drops" packet from LanWan, proto:2, len:32, ip:192.168.0.1 -> 228.8.8.8, plen:8
[16:09:09] DROP "Default Drops" packet from LanWan, proto:2, len:32, ip:192.168.0.1 -> 224.0.0.2, plen:8
[16:09:42] DROP "Default Drops" packet from LanWan, proto:2, len:28, ip:192.168.0.1 -> 239.194.75.48, plen:8
[16:10:09] DROP "Default Drops" packet from LanWan, proto:2, len:28, ip:192.168.0.1 -> 224.0.0.1, plen:8
[16:10:10] DROP "Default Drops" packet from LanWan, proto:2, len:32, ip:192.168.0.41 -> 224.0.0.252, plen:8
[16:10:10] DROP "Default Drops" packet from LanWan, proto:2, len:32, ip:192.168.0.41 -> 239.255.255.250, plen:8
[16:10:10] DROP "Default Drops" packet from LanWan, proto:2, len:32, ip:192.168.0.41 -> 224.0.0.251, plen:8
[16:10:10] DROP "Default Drops" packet from LanWan, proto:2, len:32, ip:192.168.0.1 -> 224.0.0.2, plen:8
[16:10:10] DROP "Default Drops" packet from LanWan, proto:2, len:32, ip:192.168.0.1 -> 228.8.8.8, plen:8
[16:10:26] DROP "Default Drops" packet from LanWan, proto:2, len:28, ip:192.168.0.1 -> 239.192.152.143, plen:8
[16:10:32] DROP "Default Drops" packet from LanWan, proto:UDP, len:267, ip/port:192.168.0.86:5353 -> 224.0.0.251:5353, udplen:239

BredBred что у тебя на протоколе IGMP висит , может IP-TV ?

на IGMP скорее всего вещает приложение DLNA PLEX (сейчас сервер DLNA на 35=IP висит), но может я не правильно правило для него написал? Вот только почему трафик только с роутера(IP=1) льётся - не ясно.

странный вопрос возник по 6-му kerio.

насколько я понимаю в kerio траффик полиси описывает логические_соединения а не пакеты, те правило src=a dst=b srv=rdp permit разрешает не только исходящие пакеты для RDP соединия от А к B, но и ответные ВХОДЯЩИЕ от B к А, относящиеся к этому TCP_соедиению.
В документации я это когда то сам для себя отмечал, а теперь найти никак не могу. Не вполне понятно как это обратное соответствие будет устанавливаться в случае UDP ...

есть простое правило "src=локалка dst=ip_dns_сервера srv=dns pemit", те запросы к некому внешнему DNS из локалки, NATа - нет

Проблема вот в чем - часть ответов от DNS, обратно в локалку не попадает
по логам на шлюзе получается вот что:
[11/Dec/2014 19:02:21] PERMIT "DNS_" packet from Гомель, proto:UDP, len:63, ip/port:__.___.3.1:63116 -> __.___.213.51:53, udplen:35
[11/Dec/2014 19:02:21] PERMIT "DNS_" packet to Минск, proto:UDP, len:63, ip/port:__.___.3.1:63116 -> __.___.213.51:53, udplen:35
[11/Dec/2014 19:02:21] PERMIT "DNS_" packet from Минск, proto:UDP, len:63, ip/port:__.___.213.51:53 -> __.___.3.1:63116, udplen:35
[11/Dec/2014 19:02:21] PERMIT "DNS_" packet to Гомель, proto:UDP, len:63, ip/port:__.___.213.51:53 -> __.___.3.1:63116, udplen:35

[11/Dec/2014 19:07:01] PERMIT "DNS_" packet from Гомель, proto:UDP, len:65, ip/port:__.___.3.1:61467 -> __.___.213.51:53, udplen:37
[11/Dec/2014 19:07:01] PERMIT "DNS_" packet to Минск, proto:UDP, len:65, ip/port:__.___.3.1:61467 -> __.___.213.51:53, udplen:37
[11/Dec/2014 19:07:13] PERMIT "DNS_" packet from Гомель, proto:UDP, len:61, ip/port:__.___.3.1:63665 -> __.___.213.51:53, udplen:33
[11/Dec/2014 19:07:13] PERMIT "DNS_" packet to Минск, proto:UDP, len:61, ip/port:__.___.3.1:63665 -> __.___.213.51:53, udplen:33
[11/Dec/2014 19:07:31] PERMIT "DNS_отв" packet from Минск, proto:UDP, len:65, ip/port:__.___.213.51:53 -> __.___.3.1:61467, udplen:37
[11/Dec/2014 19:07:31] PERMIT "DNS_отв" packet to Гомель, proto:UDP, len:65, ip/port:__.___.213.51:53 -> __.___.3.1:61467, udplen:37
[11/Dec/2014 19:07:43] PERMIT "DNS_отв" packet from Минск, proto:UDP, len:61, ip/port:__.___.213.51:53 -> __.___.3.1:63665, udplen:33
[11/Dec/2014 19:07:43] PERMIT "DNS_отв" packet to Гомель, proto:UDP, len:61, ip/port:__.___.213.51:53 -> __.___.3.1:63665, udplen:33
первый DNS запрос уходит и возращается нормально по тому же правилу "DNS_"
ответы на второй и третий запросы приходят с задержкой и НЕ попадают под правило "соединения" к которому они относятся. Т.е. если не создать отдельное входящее правило "DNS_отв" часть ответов от сервера вообще ПОТЕРЯЕТСЯ экспериментально определил что при задержке 13с пакеты еще проходят а при 30с уже теряются, вот и ВОПРОС - как керио создает автоматическое правило для ОТВЕТНЫХ_ВХОДЯЩИХ_UDP_пакетов ?? явно в этом задействован какой то таймаут - где его покрутить ?
.. или я чего то не понимаю в основах DNS, UDP, Kerio_TP ... ?

ssi
ну ты проверь вот эту галку hххp://screencast.com/t/yujz6ZT9bL
И если она НЕ стоит, проверь кастомные маршруты и настройки DNS, т.к. VPN клиенты при подключении переписывают системный DNS сервер на тот, который они получили по VPN каналу.

Доброе время суток.

Подскажите как сделать так, чтобы при маппинге подключений в керио на другой ip, в данном случае майл сервер, он не подменял перенаправленные входящие ip на свой ip?

т.е. сейчас все входящие подключения при попытках чьего то баловства по 25 порту на стороне майл сервера выглядят так:

--------------------
[16/Dec/2014 11:09:08] SMTP: User bkjones@uralmet.org doesn't exist. Attempt from IP address 192.168.1.100.
[16/Dec/2014 11:09:14] Failed SMTP login from 192.168.1.100 with SASL method LOGIN.
--------------------


Спасибо

stoun
Логичнее включить мониторинг 25-го порта в керио.

stoun
а надо просто правильно dNAT настроить и всё будет работать так как надо, показывай скрин правила публикации со всеми установленными параметрами.

Tihon_one
Такие правила.

http://rghost.ru/59733024/image.png

stoun

Уберите в первом правиле птичку "источник нат", не нужна она там.

Starshark2007
Спасибо, как то пробовал когда по порту прием и отдача трафика идет обратно, то без ната не работало...а тут раз на прием, без ната можно, как выяснилось.

доброго времени суток.
Ищу помощи в решении проблемы. Kerio 8.0.0 на linux, прокси сервер не желает загружать видео на ютубе. С других сайтов грузит без проблем. Перепробовал кучу разных способов, ничего не помогает, может кто сталкивался с этим ?

Tihon_one

Цитата:

ssi
ну ты проверь вот эту галку hххp://screencast.com/t/yujz6ZT9bL
И если она НЕ стоит, проверь кастомные маршруты и настройки DNS, т.к. VPN клиенты при подключении переписывают системный DNS сервер на тот, который они получили по VPN каналу.

проверил, галка не стоит. DNS да, я знаю, при подключенном VPN комп всегда лезет за запросами через VPN. НА той машине два юзера - локальный админ и этот пользователь. Так вот если зайти зайти под админом то все нормально, браузер не лезет через VPN. Отличаются они друг от друга только правами и тем что под пользователем запускаются две проги, работающие через VPN - локальная аська и Goodsync (синхронизирует 2 папки через VPN).
Что за кастомные маршруты? Route print выдает абсолютно одинаковые данные под обоими пользователями.

Возник вопрос, как можно выташить из Kerio Hyper-V настройки на локальную машину.
Ситуация, в следующем, истек пробный период, и не продливается, в найтроки через веб морду не пускает, постоянно гоняет по кргу, что лицензия истекла,
Есть доступ только к консоли в safemode , может кто знает
как можно экпортнуть параметры таким образом или хотя бы получить доступ к вебморде.
SSH к сожалению не был включен

Добавлено:
Народ может кто сталкивался, дело срочное.

Цитата:

Doctor_Livsi
Возник вопрос, как можно выташить из Kerio Hyper-V настройки на локальную машину.
Ситуация, в следующем, истек пробный период, и не продливается, в найтроки через веб морду не пускает, постоянно гоняет по кргу, что лицензия истекла,
Есть доступ только к консоли в safemode , может кто знает
как можно экпортнуть параметры таким образом или хотя бы получить доступ к вебморде.
SSH к сожалению не был включен

В консоли Kerio жмем Alt+F2, логинимся, вводим команду start-ssh.

Забираем по sftp файл конфигурации.

Цитата:

Забираем по sftp файл конфигурации

или отдаем из консоли всё целиком:

Код: scp -r /var/etc user@hostname:/home/user/control_etc
scp -r /var/winroute user@hostname:/home/user/control_winroute

Всем добрый день! Не ругайте сразу за наивный вопрос: кто может подсказать (или дать ссылку на мануал на русском) как настроить Kerio VPN сервер. Стоит сервер 2008 R2. Две сетевухи: одна на ADSL модем (интернет), другая в локалку (локальная сеть). Установлен Kerio 7.2.0. Сервер вроде включен, но не понимаю как до него достучаться: по локалке его IP пингуется не со всех компов, а из интернета я совсем не понимаю как настроить клинта. Указывать IP ADSL модема и на нем (на модеме) делать проброс порта на 4090? Буду очень признателен за любую адекватную помощь. Кстати, по-аглицки я не понимаю, поэтому с мануалами проблема. Спасибо.

Merlin2006
гляньте http://forum.ru-board.com/topic.cgi?forum=8&topic=36809

Вроде все сделал ка надо - но все равно не могу из интернета подключиться к серверу.

seryzhov
MAGNet
Снова всем добрый день.
Извиняюсь за столь поздний ответ, спасибо всем кто ответил на мой вопрос, все способы, полностью рабочие.
Благодарю, что не оставили в беде.
Самый простой конечно, это через ALT-F2 и потом выкачать все что нужно.
Также получилось через подмену файлов
Но самый удачный считаю все таки сливание файлов сразу на удаленную машину.

Подскажите, как удалить хвосты в системе от керио: драйвера kerio winroute и netfilter?

Добавлено:
нет ли какого вменяемого клинера/анинсталлера под это дело?

DimonMetalist
AVZ

Стоит ломанный 8.4.2 build 2869
Используем KerioVPN
Пользователи берутся из Ad
Проблема: у некоторых пользователей проскакивает проблема с подключением к определенным внутренним ip(не идет трассировка)
Если посмотреть на Debug log, то там проскакивает запись
[26/Dec/2014 22:38:20] {http_handler} [ 389850 ] User not found for IP 192.168.6.104 in request_read_header()
[26/Dec/2014 22:38:20] {http_handler} [ 389850 ] read_header: connection closed, code 0, mode 1
Вопрос: Что значит {http_handler} и причем он тут?

Цитата:

{http_handler}

ну это говорит о том, что вы зачем-то мониторите работу инспектора HTTP протокола, не думаю, что пропадания пакетов от vpn-клиентов как-то с ним связанны, вместо этого рекомендую включить опцию протоколирования packets dropped for some reason и отключить все остальные опции протоколирования журнала debug

Tihon_one
посмотрите пожалуйста мой ответ выше

ssi
По симптоматике: " НА той машине два юзера - локальный админ и этот пользователь. Так вот если зайти зайти под админом то все нормально, браузер не лезет через VPN. " т.к. KVC ну никак не влияет на системные настройки в целом, а влияет только на настройки DNS и только в том случае, если настройка, озвученная мной ранее, имеет место быть, смею предположить дело не в нём а в параметрах локальной системы, ищи там.

чувак извини, но я не готов тебя сапортить сейчас, если что лицуха есть, пиши в ТП, если нет, то жди, либо конца праздников, либо другого доброго человека.
С наступающим.

Tihon_one
да ничего страшного, подожду . Инет то работает, притормаживает только. Лицуха есть, но ТП же щас вроде как платная.
С новым годом!

народ, подскажите как настроить/ подключиться по vpn c андроид телефона. уже все перепробовал и маны какие нашел прочитал, но впустую. а самое интересное, что через vpn клиент от kerio (для windows) нормально подключается. Буду очень благодарен за любую помощь)) Kerio 8.4.2 от GoGsa

по IPsec работает на ура

хттп://kb.kerio.com/product/kerio-control/vpn/configuring-ipsec-vpn-1281.html