Форум Kerio-rus

Вернуться   Форум Kerio-rus > Продукты > Kerio Control (бывший Winroute Firewall)

Важная информация

Ответ
 
Опции темы
Старый 10.06.2019, 14:57   #1
Zergus
Навичёг
 
Аватар для Zergus
 
Регистрация: 01.02.2010
Сообщений: 26
По умолчанию Странное поведение Kerio Control

Подскажите в чем может быть дело?!
Есть Kerio control и за ним Kerio Connect.
В контроле два правила. Первое правило маппинг из вне на коннект 993 порта и второе правило маппинг из вне 7654 порта на 993 порт коннекта.
если сделать тест 993 порта из вне:
openssl.exe s_client -showcerts -connect <айпи>:993
в логах почтовика две записи начало и конец соединения. конец соединения пока не прервешь или по истечении какого-то времени:

Код:
[10/Jun/2019 14:52:58][23788] {imaps} Task 7915 handler BEGIN
[10/Jun/2019 14:53:17][23788] {imaps} Task 7915 handler END


если сделать тест 7654 порта из вне:
openssl.exe s_client -showcerts -connect <айпи>:7654
в логах почтовика следующие записи:

Код:

[10/Jun/2019 14:51:47][28152] {imaps} Task 7914 handler BEGIN
[10/Jun/2019 14:51:47][28152] {imaps} Task 7914 handler starting
[10/Jun/2019 14:51:47][28152] {imaps} IMAPS server session begin; client connected from ***.***.***.***:64800
[10/Jun/2019 14:51:56][28152] {imaps} Session end, error reading line: (10054) Удаленный хост принудительно разорвал существующее подключение.
[10/Jun/2019 14:51:56][28152] {imaps} Server session end
[10/Jun/2019 14:51:56][28152] {imaps} Task 7914 handler END



Не могу понять, на каком месте контрол рубит соединение?!
Zergus вне форума   Ответить с цитированием Вверх
Старый 10.06.2019, 15:15   #2
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,798
По умолчанию Re: Странное поведение Kerio Control

Цитата
Сообщение от Zergus Посмотреть сообщение
В контроле два правила. Первое правило маппинг из вне на коннект 993 порта и второе правило маппинг из вне 7654 порта на 993 порт коннекта.
лучше скриншот правил приложить
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 10.06.2019, 15:55   #3
Zergus
Навичёг
 
Аватар для Zergus
 
Регистрация: 01.02.2010
Сообщений: 26
По умолчанию Re: Странное поведение Kerio Control

скриншот правил прикрепил
Данные правила идут после в самом верху, после двух правил для самого керио. первое - это пинг с керио наружу. второе это трафик самого керио наружу
порт на скриншоте уже указан другой не 7654, а 7990. я его сменил перед тем как сделать скрин
Изображения
Тип файла: jpg скриншот.jpg (19.3 Кб, 10 просмотров)

Последний раз редактировалось Zergus; 10.06.2019 в 16:36.
Zergus вне форума   Ответить с цитированием Вверх
Старый 10.06.2019, 17:23   #4
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,798
По умолчанию Re: Странное поведение Kerio Control

а что в коннекте прописано в разрешениях на прием соединений по службам?
разрешено всё ото всех?

Добавлено через 33 минуты

Цитата
Сообщение от Zergus Посмотреть сообщение
error reading line: (10054) Удаленный хост принудительно разорвал существующее подключение.
Не могу понять, на каком месте контрол рубит соединение?!
можно сделать дамп трафика в pcap на керио и открыть в wireshark, глянуть
или на коннекте поставить wireshark и посмотреть, если коннект под виндой стоит
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы

Последний раз редактировалось exchar; 10.06.2019 в 17:23. Причина: Добавлено сообщение
exchar вне форума   Ответить с цитированием Вверх
Старый 10.06.2019, 23:34   #5
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,691
По умолчанию Re: Странное поведение Kerio Control

Цитата
Сообщение от Zergus Посмотреть сообщение
Не могу понять, на каком месте контрол рубит соединение?!
а почему вы решили что это контрол рубит?
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 10.06.2019, 23:42   #6
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,798
По умолчанию Re: Странное поведение Kerio Control

Цитата:
Сообщение от naliman Посмотреть сообщение
а почему вы решили что это контрол рубит?
потому, что:
1) "Удаленный хост принудительно разорвал", значит это не коннект
2) "openssl.exe s_client -showcerts -connect" свят и непогрешим и цитфорум пророк его
3) других сущностей не предъявили
4) и вообще, это всё фаер, ату его!!!11111
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 11.06.2019, 06:26   #7
Zergus
Навичёг
 
Аватар для Zergus
 
Регистрация: 01.02.2010
Сообщений: 26
По умолчанию Re: Странное поведение Kerio Control

Цитата:
Сообщение от naliman Посмотреть сообщение
а почему вы решили что это контрол рубит?
Вот лог на почтовике, если к нему попытаться подключиться по 993 порту
Цитата [11/Jun/2019 06:22:38][23788] {imaps} Task 7934 handler BEGIN
[11/Jun/2019 06:22:38][23788] {conn} Connection from <внешний ip>:51361 to 192.168.1.224:993, socket 18428.
[11/Jun/2019 06:22:38][23788] {conn} SSL debug: id 000000000C4973A0 SSL handshake started: before/accept initialization
[11/Jun/2019 06:22:38][23788] {conn} SSL debug: id 000000000C4973A0 SSL_accept:before/accept initialization
[11/Jun/2019 06:22:38][23788] {conn} SSL debug: id 000000000C4973A0 SSL_accept:error in SSLv2/v3 read client hello A
[11/Jun/2019 06:22:38][23788] {conn} SSL debug: id 000000000C4973A0 Client requests server by name: <наш ip>
[11/Jun/2019 06:22:38][23788] {conn} SSL debug: id 000000000C4973A0 Used default server context for connection by name: <наш ip>
[11/Jun/2019 06:22:38][23788] {conn} SSL debug: id 000000000C4973A0 SSL_accept:SSLv3 read client hello A
[11/Jun/2019 06:22:38][23788] {conn} SSL debug: id 000000000C4973A0 SSL_accept:SSLv3 write server hello A
[11/Jun/2019 06:22:38][23788] {conn} SSL debug: id 000000000C4973A0 SSL_accept:SSLv3 write certificate A
[11/Jun/2019 06:22:38][23788] {conn} SSL debug: id 000000000C4973A0 SSL_accept:SSLv3 write key exchange A
[11/Jun/2019 06:22:38][23788] {conn} SSL debug: id 000000000C4973A0 SSL_accept:SSLv3 write server done A
[11/Jun/2019 06:22:38][23788] {conn} SSL debug: id 000000000C4973A0 SSL_accept:SSLv3 flush data
[11/Jun/2019 06:22:38][23788] {conn} SSL debug: id 000000000C4973A0 SSL_accept:error in SSLv3 read client certificate A
[11/Jun/2019 06:22:57][23788] {conn} SSL debug: id 000000000C4973A0 SSL_accept:error in SSLv3 read client certificate A
[11/Jun/2019 06:22:57][23788] {conn} Cannot accept SSL connection from <внешний ip>:51361 to 192.168.1.224:993: SSL code 5, system error: (0) Операция успешно завершена.
[11/Jun/2019 06:22:57][23788] {imaps} Task 7934 handler END
[11/Jun/2019 06:22:57][23788] {conn} Closing socket 18428
вот лог если подключаться через 7990, с маппингом на 993
Цитата [11/Jun/2019 06:23:10][28152] {imaps} Task 7935 handler BEGIN
[11/Jun/2019 06:23:10][28152] {conn} Connection from <внешний ip>:52236 to 192.168.1.224:993, socket 16796.
[11/Jun/2019 06:23:10][28152] {conn} SSL debug: id 000000000C4973A0 SSL handshake started: before/accept initialization
[11/Jun/2019 06:23:10][28152] {conn} SSL debug: id 000000000C4973A0 SSL_accept:before/accept initialization
[11/Jun/2019 06:23:10][28152] {conn} SSL debug: id 000000000C4973A0 SSL_accept:error in SSLv2/v3 read client hello A
[11/Jun/2019 06:23:10][28152] {conn} SSL debug: id 000000000C4973A0 Client requests server by name: <наш ip>
[11/Jun/2019 06:23:10][28152] {conn} SSL debug: id 000000000C4973A0 Used default server context for connection by name: <наш ip>
[11/Jun/2019 06:23:10][28152] {conn} SSL debug: id 000000000C4973A0 SSL_accept:SSLv3 read client hello A
[11/Jun/2019 06:23:10][28152] {conn} SSL debug: id 000000000C4973A0 SSL_accept:SSLv3 write server hello A
[11/Jun/2019 06:23:10][28152] {conn} SSL debug: id 000000000C4973A0 SSL_accept:SSLv3 write certificate A
[11/Jun/2019 06:23:10][28152] {conn} SSL debug: id 000000000C4973A0 SSL_accept:SSLv3 write key exchange A
[11/Jun/2019 06:23:10][28152] {conn} SSL debug: id 000000000C4973A0 SSL_accept:SSLv3 write server done A
[11/Jun/2019 06:23:10][28152] {conn} SSL debug: id 000000000C4973A0 SSL_accept:SSLv3 flush data
[11/Jun/2019 06:23:10][28152] {conn} SSL debug: id 000000000C4973A0 SSL_accept:error in SSLv3 read client certificate A
[11/Jun/2019 06:23:11][28152] {conn} SSL debug: id 000000000C4973A0 SSL_accept:error in SSLv3 read client certificate A
[11/Jun/2019 06:23:11][28152] {conn} SSL debug: id 000000000C4973A0 SSL_accept:SSLv3 read client key exchange A
[11/Jun/2019 06:23:11][28152] {conn} SSL debug: id 000000000C4973A0 SSL_accept:SSLv3 read certificate verify A
[11/Jun/2019 06:23:11][28152] {conn} SSL debug: id 000000000C4973A0 SSL_accept:SSLv3 read finished A
[11/Jun/2019 06:23:11][28152] {conn} SSL debug: id 000000000C4973A0 SSL_accept:SSLv3 write session ticket A
[11/Jun/2019 06:23:11][28152] {conn} SSL debug: id 000000000C4973A0 SSL_accept:SSLv3 write change cipher spec A
[11/Jun/2019 06:23:11][28152] {conn} SSL debug: id 000000000C4973A0 SSL_accept:SSLv3 write finished A
[11/Jun/2019 06:23:11][28152] {conn} SSL debug: id 000000000C4973A0 SSL_accept:SSLv3 flush data
[11/Jun/2019 06:23:11][28152] {conn} SSL debug: id 000000000C4973A0 SSL handshake done: SSL negotiation finished successfully
[11/Jun/2019 06:23:11][28152] {conn} Established secure server connection from <внешний ip>:52236 to 192.168.1.224:993 using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384, id 0000000004FBAF58
[11/Jun/2019 06:23:11][28152] {imaps} Task 7935 handler starting
[11/Jun/2019 06:23:11][28152] {imaps} IMAPS server session begin; client connected from <внешний ip>:52236
[11/Jun/2019 06:23:25][28152] {imaps} Command afafas
[11/Jun/2019 06:23:27][28152] {conn} Cannot read/write from/to SSL connection (remote=<внешний ip>:52236, local=192.168.1.224:993): SSL code 5, system error: (0) Операция успешно завершена.
[11/Jun/2019 06:23:27][28152] {imaps} Session end, error reading line: (10035) Операция на незаблокированном сокете не может быть завершена немедленно.
[11/Jun/2019 06:23:27][28152] {imaps} Server session end
[11/Jun/2019 06:23:27][28152] {conn} Cannot read/write from/to SSL connection (remote=<внешний ip>:52236, local=192.168.1.224:993): SSL code 5, system error: (0) Операция успешно завершена.
[11/Jun/2019 06:23:27][28152] {conn} Cannot read/write from/to SSL connection (remote=<внешний ip>:52236, local=192.168.1.224:993): SSL code 5, system error: (0) Операция успешно завершена.
[11/Jun/2019 06:23:27][28152] {conn} Closing socket 16796
[11/Jun/2019 06:23:27][28152] {imaps} Task 7935 handler END
Почтовик у меня на винде поднят, 2008R2. Собираюсь в скором времени перетаскивать его на 2016 сервер виртуальный
Кстати, анналогичная картина и SMTPS протоколом. На 465 порт напрямую не работает нормально подключение, через маппинг с 7991 например - все нормально отрабатывается.


PS. Попробую поднять с нуля керио контроль и заново с нуля ручками прописать все настройки. Может какая настройка влияет? конфа у нас кочует уже с давних времен.
Zergus вне форума   Ответить с цитированием Вверх
Старый 11.06.2019, 09:59   #8
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,798
По умолчанию Re: Странное поведение Kerio Control

Цитата
Сообщение от Zergus Посмотреть сообщение
На 465 порт напрямую не работает нормально подключение, через маппинг с 7991 например - все нормально отрабатывается.
а если на минутку выкинуть openssl.exe и попробовать нормальным почтовым клиентом подключиться?
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 11.06.2019, 11:22   #9
Zergus
Навичёг
 
Аватар для Zergus
 
Регистрация: 01.02.2010
Сообщений: 26
По умолчанию Re: Странное поведение Kerio Control

Цитата:
Сообщение от exchar Посмотреть сообщение
а если на минутку выкинуть openssl.exe и попробовать нормальным почтовым клиентом подключиться?
такая же байда (((
по 993 порту - нет соединения, по 7990 - проходит все нормально. при чем в логах почтового сервера таже картина по коннектам. как я приводил ранее
Zergus вне форума   Ответить с цитированием Вверх
Старый 11.06.2019, 11:32   #10
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,798
По умолчанию Re: Странное поведение Kerio Control

Цитата
Сообщение от Zergus Посмотреть сообщение
такая же байда (((
кстати, у провайдера нет внезапной какой-нибудь хитрой блокировки на порты ниже 1000?
потому, что тупая блокировка была бы видна по-другому


и кстати, какой релиз используется - контрол и коннект?
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 11.06.2019, 11:47   #11
Zergus
Навичёг
 
Аватар для Zergus
 
Регистрация: 01.02.2010
Сообщений: 26
По умолчанию Re: Странное поведение Kerio Control

Цитата:
Сообщение от exchar Посмотреть сообщение
кстати, у провайдера нет внезапной какой-нибудь хитрой блокировки на порты ниже 1000?
потому, что тупая блокировка была бы видна по-другому
пробовал с 250 порта из вне перенаправить на 993 - отработалось.
звонил к провайдеру. обещали позвонить в головной офис и поинтересоваться у их админов.



Цитата:
Сообщение от exchar Посмотреть сообщение
и кстати, какой релиз используется - контрол и коннект?
самые последние. керио контрол - 9.3.0 build 3273
керио коннект - 9.2.9 patch 1 (4540)
Zergus вне форума   Ответить с цитированием Вверх
Старый 11.06.2019, 12:06   #12
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,798
По умолчанию Re: Странное поведение Kerio Control

сними дамп на керио, выложи на яндекс-диск например
Цитата Creating and downloading packet dumps

In the administration interface, go to Logs > Debug.
In the context menu, click Packet Dump To File.
Type an expression.
To create the packet dump and start logging, click Start.
Do you have enough information? Click Stop.
Click Download and save the file to your computer.
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 11.06.2019, 13:30   #13
Zergus
Навичёг
 
Аватар для Zergus
 
Регистрация: 01.02.2010
Сообщений: 26
По умолчанию Re: Странное поведение Kerio Control

Цитата:
Сообщение от exchar Посмотреть сообщение
сними дамп на керио, выложи на яндекс-диск например
Готово...
выкладываю скриншот анализа пакетов когда напрямую по 993 порту и когда через 7990 на 993 порт.



Судя по левому окну, когда идет напрямую на 993-й порт, почтовый сервер возвращает пакет с флагом - резет.
т.е., все таки сам почтовик посылает нафиг. но почему?!
Zergus вне форума   Ответить с цитированием Вверх
Старый 11.06.2019, 13:54   #14
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,798
По умолчанию Re: Странное поведение Kerio Control

Цитата
Сообщение от Zergus Посмотреть сообщение
выкладываю скриншот
скриншот не отображается, но ссылка на него в почту упала:
[Для просмотра данной ссылки нужно зарегистрироваться]
Цитата
Сообщение от Zergus Посмотреть сообщение
но почему?!
тащемта скриншот пары пакетов и собственно дамп - немного разные вещи, для начала.
однако,

Цитата
Сообщение от Zergus Посмотреть сообщение
Судя по левому окну, когда идет напрямую на 993-й порт, почтовый сервер возвращает пакет с флагом - резет.
дай я угадаю: почтовик находится в локалке за керио, юзер находится за тем же керио и этот юзер стучится на почтовик по белому ip, который выдал провайдер?
если да, то поздравляю - керио так не работает и локальный юзер на локальный почтовик должен уметь ходить по локальному ip почтовика, а админ при желании дополнительно разруливает все это через локальный DNS.
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 11.06.2019, 15:33   #15
Zergus
Навичёг
 
Аватар для Zergus
 
Регистрация: 01.02.2010
Сообщений: 26
По умолчанию Re: Странное поведение Kerio Control

Цитата:
Сообщение от exchar Посмотреть сообщение
дай я угадаю: почтовик находится в локалке за керио, юзер находится за тем же керио и этот юзер стучится на почтовик по белому ip, который выдал провайдер?
если да, то поздравляю - керио так не работает и локальный юзер на локальный почтовик должен уметь ходить по локальному ip почтовика, а админ при желании дополнительно разруливает все это через локальный DNS.
Да, так и есть. почтовик находится в локальной сети, он выходит в инет через шлюз.
все почтовые сервисы на шлюзе прокинуты из вне на локальный почтовый сервер.
Локальные пользователи ходят на почтовик по локалке.

задача состоит в том, чтобы некоторым внешним адресатам дать доступ к нашему почтовику по IMAPS и SMTPS протоколам. Что я и пытаюсь сделать. Т.е., в данном случае из вне с адреса 92.*.*.* подключаюсь на 217.*.*.* по порту 993.
не работает.
подключаюсь по порту 7990 - работает

Добавлено через 1 час 25 минут

Выслал лог!
Смотри личку

Последний раз редактировалось Zergus; 11.06.2019 в 15:33. Причина: Добавлено сообщение
Zergus вне форума   Ответить с цитированием Вверх
Старый 11.06.2019, 18:14   #16
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,798
По умолчанию Re: Странное поведение Kerio Control

Цитата
Сообщение от Zergus Посмотреть сообщение
Выслал лог!
Смотри личку
получил лог, посмотрел.

в общем, проблема в файерволле - 100%, нужны полностью правила читаемым скриншотом со всеми столбцами.
в дампе (там сразу два tcp-потока - с wan и с lan интерфейсов керио)
см. пакеты 17-31:

17-19) коннект кидает на lan фаера три пакета
20-22) фаер натит эти три пакета удаленному клиенту
23) клиент подтверждает фаеру прием блока данных (ACK) - это пакет, пришедший на wan фаера из интернета
24) клиент подтверждает фаеру прием блока данных и разрывает соединение (RST, ACK) - это пакет, отправленный с lan фаера на почтовик.
т.е. фаер сам добавил в перепакованный пакет №23 флаг RST, почему - пока не знаю.
25) удаленный клиент, который не в курсе вероломства фаера начинает свой цикл передачи, при этом фаер дропает эти пакеты, т.к. знает, что соединение уже закрыто - типа ж был RST.
26-30) удаленный клиент через таймауты пытается пробить лбом бетон переслать пакет №25, но фаер непреклонен.
31) удаленный клиент после истечения всех таймаутов культурно посылает нахуй всю эту бодягу отправляя свой RST
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 12.06.2019, 05:15   #17
Zergus
Навичёг
 
Аватар для Zergus
 
Регистрация: 01.02.2010
Сообщений: 26
По умолчанию Re: Странное поведение Kerio Control

Нашел в чем ошибка была!
Проблема крылась в одном не верно настроенном блокирующем правиле керио вебфильтра.
Если у меня правила для тех, кому разрешены почтовые ресурсы внешние, а кому запрешены.
Почему то в разделе запрешенных стояло - запретить всем, заместо выбранных групп. Хотя для почтовика одним из самых первых правил в вебфильтре шло разрешить все.
Вот и получалось, что из вне, так как они не входят ни в какую группу известную керио блокировалось на этом месте.
Когда так было сделано - хз.

в общем надо перепроверить все правила там и навести порядок.
Благодарю за оказанную помощь!
Zergus вне форума   Ответить с цитированием Вверх
Старый 12.06.2019, 08:54   #18
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,798
По умолчанию Re: Странное поведение Kerio Control

Цитата
Сообщение от Zergus Посмотреть сообщение
Нашел в чем ошибка была!
Вот и хорошо =)
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 12.06.2019, 14:07   #19
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,691
По умолчанию Re: Странное поведение Kerio Control

вот же ...
хорошо что разрешилось
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 20:19. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2019, vBulletin Solutions Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях