Форум Kerio-rus

Вернуться   Форум Kerio-rus > Продукты > Kerio Control (бывший Winroute Firewall)

Важная информация

Ответ
 
Опции темы
Старый 06.12.2018, 14:24   #1
Boje
 
Аватар для Boje
 
Регистрация: 02.12.2018
Сообщений: 1
По умолчанию Разрешающее правило трафика дропает пакет

Доброго времени суток! Пожалуйста, помогите разобраться, какого хера разрешающее правило трафика дропает пакет?

Kerio Control: 8.6.2 build 3847

Вот схема сети:





1) ПК02 пингует ПК01. Пакет проходит через GW02, отправляется в туннель, попадает на GW01 и через его интерфейс в подсетке 192.168.0.0/24 достигает ПК01.
2) На ПК01 шлюзом по-умолчанию выступает Kerio. ПК01, ничего не зная о нахождении подсетки 172.28.2.0/24, отправляет на Kerio ответ на пинг.
3) На Kerio добавлен маршрут DST: 172.28.2.0/24 GW: 192.168.0.254 (адрес GW01) и правило трафика «Разрешить VPN Источник: 192.168.0.6 Назначение: 172.28.2.0/24 Служба: Любой Версия IP: Любой Действие: Разрешить Трансляция: нет Инспектор: По умолчанию».
И как результат, в логе вижу вот такую вот дрянь: «[06/Dec/2018 13:44:24] DROP "Разрешить VPN" packet from Local, proto:ICMP, len:50, 192.168.0.6 -> 172.28.2.1, type:0 code:0 id:51714 seq:20736 ttl:128».

Если наоборот пинговать с ПК01 ПК02, то это же самое правило всё прекрасно разрешает.
Если прописать на ПК01 маршрут до подсети напрямую (без участия Kerio) т.е. DST: 172.28.2.0/24 GW: 192.168.0.254, то пинг проходит.

Отключал для правила инспектор – безрезультатно, ставил на него службу Any ICMP, тоже ничего.

В Debuge гордо красуется запись [06/Dec/2018 15:14:23] {pktdrop} packet dropped: Incorrect ICMP echo reply direction (from Local, proto:ICMP, len:50, 192.168.0.6 -> 172.28.2.1, type:0 code:0 id:51714 seq:1813 ttl:128), но если инспектор трафика для этого правила отключён, кто вообще смотрит этот пакет? Мне только то и нужно, что бы kerio просто переслал пакет по указанному маршруту, что бы не прописывать этот маршрут на всех хостах.

Я думал, что примерно понимаю логику работы kerio, а оказалось, что нихрена я не понимаю. Помогите понять, что делаю не так, очень прошу.

Прим.: такая своеобразная схема сети – переходная, поэтому не удивляйтесь.

Последний раз редактировалось Boje; 06.12.2018 в 14:49.
Boje вне форума   Ответить с цитированием Вверх
Старый 06.12.2018, 19:37   #2
exchar
Охуительный пейсатель
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 2,935
По умолчанию Re: Разрешающее правило трафика дропает пакет

я такого не встречал,

но народ пишет, что изменение с конфиге керио опции RequireIcmpFlowControl на 0 должно решать проблему.

если аналогичный фарш будет уже с tcp-трафиком, то нужно будет смотреть в сторону 3way handshake опции в том же конфиге и умножать ее на ноль.
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 22:35. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2018, vBulletin Solutions Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях