Форум Kerio-rus

Вернуться   Форум Kerio-rus > Продукты > Kerio Control (бывший Winroute Firewall)

Важная информация

Ответ
 
Опции темы
Старый 25.06.2019, 14:53   #1
Voyager
Песака
 
Аватар для Voyager
 
Регистрация: 10.04.2007
Адрес: Россия
Сообщений: 123
По умолчанию Esxi + kerio control

доброго дня
У кого-нибудь kerio 9 стоит на esxi 5.5? Стоит все на HP 180G6.

Ни в какую не работает гостевая сеть, а точнее не открывается страница авторизации.
К виртуальной машине с керио подключен через vswitch1 отдельный физ. интерфейс сервера.
Все стандартные правила для гостевой созданы. Клиент получается IP от DHCP сервера и пингует интерфейс керио.


Но вот гостевая welcomepage ни в какую с клиента открываться не хочет, инет не работает. Техподдержка уже месяц жует сопли.
В итоге записали видео из которого вроде как понятно что надо:

A short explanation is that you will have to bridge the network connection from the virtual environment.

Может у кого все работает и без этих плясок с бубном?
Изображения
Тип файла: jpg Снимок.JPG (19.0 Кб, 16 просмотров)
Voyager вне форума   Ответить с цитированием Вверх
Старый 25.06.2019, 23:05   #2
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,576
По умолчанию Re: Esxi + kerio control

сделай в wireshark дамп трафика на клиенте и посмотри
а потом в керио дамп в pcap - для того же
Цитата
Сообщение от Voyager Посмотреть сообщение
A short explanation is that you will have to bridge the network connection from the virtual environment.
а как иначе оно работать должно? на телепатии?
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 25.06.2019, 23:11   #3
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,511
По умолчанию Re: Esxi + kerio control

Цитата:
Сообщение от exchar Посмотреть сообщение
а как иначе оно работать должно? на телепатии?
ну или по щучьему веленью?
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 26.06.2019, 08:54   #4
Voyager
Песака
 
Аватар для Voyager
 
Регистрация: 10.04.2007
Адрес: Россия
Сообщений: 123
По умолчанию Re: Esxi + kerio control

Цитата:
Сообщение от exchar Посмотреть сообщение
сделай в wireshark дамп трафика на клиенте и посмотри
а потом в керио дамп в pcap - для того же
с клиентом понятно, дамп на керио как сделать ?
Цитата:
Сообщение от exchar Посмотреть сообщение
а как иначе оно работать должно? на телепатии?
вот я и говорю, прислали какую то хрень. Там чел поднимает керио на vmware workstation под win10 на ноутбуке. Один интерфейс керио бриджит на WIFI карту ноута как WAN. Guest интерфейс подключает к встроенной сетевухе ноута, и к ней подключает еще один комп как гостя. На госте пингует гугл и радуется. Почему пошел пинг без входа на страницу welcomepage не понятно.
Voyager вне форума   Ответить с цитированием Вверх
Старый 26.06.2019, 09:09   #5
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,576
По умолчанию Re: Esxi + kerio control

Цитата
Сообщение от Voyager Посмотреть сообщение
дамп на керио как сделать ?
посмотри принцип тут: [Для просмотра данной ссылки нужно зарегистрироваться]
или в kerio kb
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 26.06.2019, 09:54   #6
Voyager
Песака
 
Аватар для Voyager
 
Регистрация: 10.04.2007
Адрес: Россия
Сообщений: 123
По умолчанию Re: Esxi + kerio control

понял спасибо, только они это не требовали почему то
Voyager вне форума   Ответить с цитированием Вверх
Старый 26.06.2019, 10:02   #7
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,576
По умолчанию Re: Esxi + kerio control

Цитата
Сообщение от Voyager Посмотреть сообщение
они это не требовали почему то
мы тут не на зарплате у керио сидим, поэтому я хз что они хотели
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 26.06.2019, 10:08   #8
Voyager
Песака
 
Аватар для Voyager
 
Регистрация: 10.04.2007
Адрес: Россия
Сообщений: 123
По умолчанию Re: Esxi + kerio control

Цитата:
Сообщение от exchar Посмотреть сообщение
мы тут не на зарплате у керио сидим, поэтому я хз что они хотели
а надо бы "посадить" )

таких историй с не открывающейся welcome page полно
[Для просмотра данной ссылки нужно зарегистрироваться]
Voyager вне форума   Ответить с цитированием Вверх
Старый 26.06.2019, 14:45   #9
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,576
По умолчанию Re: Esxi + kerio control

Цитата
Сообщение от Voyager Посмотреть сообщение
а надо бы "посадить" )
ну... после закрытия российского офиса керио эта тема протухла окончательно
Цитата
Сообщение от Voyager Посмотреть сообщение
таких историй с не открывающейся welcome page полно
[Для просмотра данной ссылки нужно зарегистрироваться]
так что там с дампами трафика?
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 26.06.2019, 15:50   #10
Voyager
Песака
 
Аватар для Voyager
 
Регистрация: 10.04.2007
Адрес: Россия
Сообщений: 123
По умолчанию Re: Esxi + kerio control

Цитата:
Сообщение от exchar Посмотреть сообщение
ну... после закрытия российского офиса керио эта тема протухла окончательно
ну теперь axsoft надо пинать ))
Цитата:
Сообщение от exchar Посмотреть сообщение
так что там с дампами трафика?
кхм... так я для ТП керио или ты их посмотришь сам?
Voyager вне форума   Ответить с цитированием Вверх
Старый 26.06.2019, 16:07   #11
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,576
По умолчанию Re: Esxi + kerio control

Цитата
Сообщение от Voyager Посмотреть сообщение
ну теперь axsoft надо пинать ))
ога
Цитата
Сообщение от Voyager Посмотреть сообщение
кхм... так я для ТП керио или ты их посмотришь сам?
как я и говорил, мухи отдельно - котлеты отдельно ТП керио и мы это разные люди, поэтому наверное посмотрю я.
но вообще, я предполагал что в первую очередь ты сам их посмотришь, нудаладна
очевидно, что в лог должен попасть момент попытки доступа из гостевой сети, когда авторизация не арбейтен
крайне желательно, чтобы дампы (с клиента и с керио) были сняты одновременно
во время снятия дампа для привязки можно перед попыткой доступа пинг до керио сделать допустим
еще надо ip клиента, ip локального интерфейса керио со стороны клиента
дампы можно выложить на яндекс-диск в архиве или еще куда
при желании - с паролем
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 26.06.2019, 18:42   #12
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,511
По умолчанию Re: Esxi + kerio control

я так понял это и есть та отдельная тема, про которую обмолвились в теме про микротик ???
если да - нужно ли сюда переместить сообщения касаемые ESX из той темы?
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 26.06.2019, 22:46   #13
Voyager
Песака
 
Аватар для Voyager
 
Регистрация: 10.04.2007
Адрес: Россия
Сообщений: 123
По умолчанию Re: Esxi + kerio control

exchar, ok постараюсь.



naliman, да, можно, а можно просто удалить. Я там просто инфу от коша хотел получить
Voyager вне форума   Ответить с цитированием Вверх
Старый 28.06.2019, 18:45   #14
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,511
По умолчанию Re: Esxi + kerio control

Цитата
Сообщение от Voyager Посмотреть сообщение
да, можно, а можно просто удалить. Я там просто инфу от коша хотел получить
ладно, ничего делать не буду
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 09.07.2019, 12:50   #15
Voyager
Песака
 
Аватар для Voyager
 
Регистрация: 10.04.2007
Адрес: Россия
Сообщений: 123
По умолчанию Re: Esxi + kerio control

exchar, привет, отписался тебе в личку
Voyager вне форума   Ответить с цитированием Вверх
Старый 10.07.2019, 05:34   #16
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,576
По умолчанию Re: Esxi + kerio control

Цитата
Сообщение от Voyager
Сначала идут пинги с клиента на интерфейс керио
на которые керио вполне себе бодро отвечает.
Цитата
Сообщение от Voyager
дальше не успешные попытки открыть yandex.ru и mail.ru в браузере
которые не проходят потому, что...
Цитата
Сообщение от Voyager
...DNS не работает
а "не работает" он там весьма интересно - на каждый dns-запрос c клиента керио отвечает [Для просмотра данной ссылки нужно зарегистрироваться]: назначение недоступно, порт недоступен (на интерфейсе керио, куда приходят пакеты).
Цитата If, in the destination host, the IP module cannot deliver the datagram [Для просмотра данной ссылки нужно зарегистрироваться] the indicated protocol module or process port is
not active, the destination host may send a destination unreachable message to the source host.
Всё общение между клиентом и керио проходит через единственный мак-адрес vmware 00:0c:29:0b:2a:6d, поэтому нужно:
1) уточнить, какому интерфейсу керио соответствует этот мак-адрес
2) дать список соответствия интерфейсов керио и мак-адресов из свойств виртуальной машины с керио
3) проверить что в консоли vm керио и в свойствах интерфейсов в админке керио не были введены вручную кастомные мак-адреса для интерфейсов (или адреса введены правильные, но перепутаны по интерфейсам)
4) проверить, что в керио нет незадействованных интерфейсов в админке и в свойствах vm
5) сделать таки скрин интерфейсов и выложить здесь (wan ip можно замазать, остальное нужно)
6) в логе debug найти момент запуска керио и внимательно посмотреть, на какие интерфейсы при запуске биндится служба dns керио.

Добавлено через 4 минуты

Цитата
Сообщение от Voyager
guest welcome page не открывается
и не откроется пока dns не заработает
чтобы она открылась, нужна попытка доступа по http через фаер
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы

Последний раз редактировалось exchar; 10.07.2019 в 05:34. Причина: Добавлено сообщение
exchar вне форума   Ответить с цитированием Вверх
Старый 21.08.2019, 18:01   #17
Bakofan
 
Аватар для Bakofan
 
Регистрация: 10.02.2018
Сообщений: 1
По умолчанию Re: Esxi + kerio control

Цитата
Сообщение от Voyager Посмотреть сообщение
У кого-нибудь kerio 9 стоит на esxi 5.5



К виртуальной машине с керио подключен через vswitch1 отдельный физ. интерфейс сервера.

?



Были подобные траблы. В свойствах виртуальной карты на ESXI , для виртуальной машины нужно обязательно указать тип --> VMXNET 3


С картами E1000, Kerio работает некоректно........
Bakofan вне форума   Ответить с цитированием Вверх
Старый 11.09.2019, 23:17   #18
Voyager
Песака
 
Аватар для Voyager
 
Регистрация: 10.04.2007
Адрес: Россия
Сообщений: 123
По умолчанию Re: Esxi + kerio control

Цитата
Сообщение от Bakofan Посмотреть сообщение
С картами E1000, Kerio работает некоректно........
esxi 5.5 кроме e1000 ничего другого не предлагает при добавлении адаптера


exchar, спасибо большое.

в общем, вся проблема оказалась в том что в kerio был выключен DNS forwarding.
Почему при использовании гостевой сети kerio не использует указанный на его интерфейсах DNS КД не понятно.
Voyager вне форума   Ответить с цитированием Вверх
Старый 12.09.2019, 00:49   #19
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,576
По умолчанию Re: Esxi + kerio control

Цитата
Сообщение от Voyager Посмотреть сообщение
esxi 5.5 кроме e1000 ничего другого не предлагает при добавлении адаптера
5.5 может предложить еще vmxnet2 и vmxnet3, но при этом:
vmxnet2 доступен для небольшого количества конкретных типов ОС
vmxnet3 доступен для виртуальных машин с версией аппаратного обеспечения >=7
[Для просмотра данной ссылки нужно зарегистрироваться]
так что вполне возможен единственный вариант - e1000.
Цитата
Сообщение от Voyager Посмотреть сообщение
в общем, вся проблема оказалась в том что в kerio был выключен DNS forwarding.
Почему при использовании гостевой сети kerio не использует указанный на его интерфейсах DNS КД не понятно.
потому что гостевая сеть предназначена только для доступа левых устройств в интернет.
у нас есть локальная сеть организации,мы эту сеть защищаем от любых внешних атак фильтрующим файерволлом (контрол) и говорим, что хосты локальной сети находятся в защищенном периметре.
теперь встает совершенно отдельная задача - нужно обеспечить регулярный доступ непроверенных хостов извне периметра к сети интернет, при этом сколько этих хостов будет завтра - никто не знает. может 0, а может и 100500.
решение - в периметр их не пускать вообще, т.к. риски от них перевешивают плюсы такого варианта.

но основной момент в случае с керио еще и в том, что...
для гостевой сети не лицензируется количество хостов на керио и в защищенный сегмент сети их не пускают еще и для того, чтобы народ банально покупал пакеты лицензий по максимальному количеству хостов защищенного сегмента (имеющему одновременный доступ в интернет).
иначе можно было бы допустить неограниченное количество "гостевых" хостов к ресурсам локальной сети, что торпедирует продажи лицензий.
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы

Последний раз редактировалось exchar; 12.09.2019 в 02:38.
exchar вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 14:36. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2019, vBulletin Solutions Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях