Форум Kerio-rus  

Вернуться   Форум Kerio-rus > Продукты > Kerio Control (бывший Winroute Firewall)

Важная информация

Ответ
 
Опции темы
Старый 14.05.2018, 11:30   #61
datusername
Знатный писарь
 
Регистрация: 26.04.2018
Сообщений: 284
Поблагодарили 43 раз(а) в 39 сообщениях
По умолчанию Re: Не работает DNS

Правильно должно быть так, что ваш контроллер домена если чего не находит (т.е. запрос не к локальным доменам) то он лезет с DNS-запросами на корневые сервера. Шлюз в этой схеме вообще никаким боком (достаточно что бы он 53/udp пропускал, форвардить ничего не надо). И у вас для этого есть правило разрешающее NAT чего угодно из локалки в интернет. Однако если оно работает только строго через пересылку на DNS-релэй (Керио), то у вас или Керио не пропускает DNS или провайдер. Кстати о Керио, когда переключаете на новые контроллеры сеть DNS пользовательский форвардинг отключаете (кстати в вашей текущей схеме он должен вести на новые контроллеры)?
datusername вне форума   Ответить с цитированием Вверх
Пользователь сказал cпасибо:
naliman (14.05.2018)
Старый 14.05.2018, 12:06   #62
PyJIbkaa
Песака
 
Аватар для PyJIbkaa
 
Регистрация: 19.03.2018
Адрес: Санкт-Петербург
Сообщений: 59
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Не работает DNS

Цитата
Сообщение от datusername Посмотреть сообщение
Шлюз в этой схеме вообще никаким боком
Он там тем боком, что на нем включен DNS и если его отключить, опять же будет бяка с инетом
PyJIbkaa вне форума   Ответить с цитированием Вверх
Старый 14.05.2018, 12:17   #63
datusername
Знатный писарь
 
Регистрация: 26.04.2018
Сообщений: 284
Поблагодарили 43 раз(а) в 39 сообщениях
По умолчанию Re: Не работает DNS

Поэтому я и говорю, что или вас контроллеры неправильно настроены или провайдер c DNS химичит. Если провайдер химичит, то вы лепите костыль который называется "сервера провайдера = сервера пересылки для ваших контроллеров домена" снимаете все галочки в настройках DNS Керио и оно просто работает. Если нет, то косяк не в провайдере.
datusername вне форума   Ответить с цитированием Вверх
Старый 14.05.2018, 16:45   #64
PyJIbkaa
Песака
 
Аватар для PyJIbkaa
 
Регистрация: 19.03.2018
Адрес: Санкт-Петербург
Сообщений: 59
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Не работает DNS

Я вот тут подумал, керио 9. не обязательно же жить в виртуальной среде? почему просто бы не взять машинку, которая сейчас на шлюзе и керио и поставить туда чисто 9 керио! он же должно так работать?
PyJIbkaa вне форума   Ответить с цитированием Вверх
Старый 14.05.2018, 17:03   #65
datusername
Знатный писарь
 
Регистрация: 26.04.2018
Сообщений: 284
Поблагодарили 43 раз(а) в 39 сообщениях
По умолчанию Re: Не работает DNS

Цитата:
Сообщение от PyJIbkaa Посмотреть сообщение
не обязательно же жить в виртуальной среде?
Ну да, там на железо ставится немного допиленный линкс. Учитывая производительность этого добра, я бы вообще на виртуалку не расчитывал.
Цитата:
Сообщение от PyJIbkaa Посмотреть сообщение
почему просто бы не взять машинку, которая сейчас на шлюзе и керио и поставить туда чисто 9 керио
Вы нам скажите почему так не стоит делать. Мне в голову приходит несколько вариантов:
1) На этом сервере крутится ещё какой то сервис перенести который не получается.
2) У вас не лицензии на девятку и вам не дадут на нее денег.
3) У вас нет лицензии на девятку и вы не пират.
Остальное вы можете сами придумать.
datusername вне форума   Ответить с цитированием Вверх
Старый 14.05.2018, 17:29   #66
PyJIbkaa
Песака
 
Аватар для PyJIbkaa
 
Регистрация: 19.03.2018
Адрес: Санкт-Петербург
Сообщений: 59
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Не работает DNS

Цитата
Сообщение от datusername Посмотреть сообщение
Вы нам скажите почему так не стоит делать. Мне в голову приходит несколько вариантов: 1) На этом сервере крутится ещё какой то сервис перенести который не получается. 2) У вас не лицензии на девятку и вам не дадут на нее денег. 3) У вас нет лицензии на девятку и вы не пират. Остальное вы можете сами придумать. datusername на форуме Пожаловаться на это сообщение
да не, все лицензия, все гут да и сервисов там нет никаких, просто сыкотно надо подумать как можно безболезненно перейти на 9. на одной железке не используя виртуальную среду.
PyJIbkaa вне форума   Ответить с цитированием Вверх
Старый 14.05.2018, 17:39   #67
datusername
Знатный писарь
 
Регистрация: 26.04.2018
Сообщений: 284
Поблагодарили 43 раз(а) в 39 сообщениях
По умолчанию Re: Не работает DNS

PyJIbkaa это фаэрволл настройка которого сопоставима по уровню сложности с настройкой домашнего роутера. Не надо его бояться. Там пара часов настройки по мануалу с перекурами и это если с нуля. Если из конфига разворачивать то минут так пол часа. Но если прям сильно не уверены, то ставьте его на чистый диск, а старый пусть на полке валяется на случай если не осилите.
datusername вне форума   Ответить с цитированием Вверх
Старый 14.05.2018, 17:51   #68
PyJIbkaa
Песака
 
Аватар для PyJIbkaa
 
Регистрация: 19.03.2018
Адрес: Санкт-Петербург
Сообщений: 59
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Не работает DNS

Цитата
Сообщение от datusername Посмотреть сообщение
по мануалу с перекурами
А есть такой? а так с дисками отличная идея ) там же корзины, херак вытащил- вставил )
PyJIbkaa вне форума   Ответить с цитированием Вверх
Старый 14.05.2018, 17:59   #69
datusername
Знатный писарь
 
Регистрация: 26.04.2018
Сообщений: 284
Поблагодарили 43 раз(а) в 39 сообщениях
По умолчанию Re: Не работает DNS

Цитата:
Сообщение от PyJIbkaa Посмотреть сообщение
А есть такой?
А куда ж без него то?
[Для просмотра данной ссылки нужно зарегистрироваться]
Цитата:
Сообщение от PyJIbkaa Посмотреть сообщение
там же корзины, херак вытащил- вставил )
Вот тут посмотреть надо. Дело в том, что там может быть массив (RAID). Если да, то надо смотреть сможет ли Керио подружиться с этим массивом.
datusername вне форума   Ответить с цитированием Вверх
Старый 14.05.2018, 21:55   #70
naliman
особый
 
Аватар для naliman
 
Регистрация: 19.06.2006
Сообщений: 13,531
Поблагодарили 149 раз(а) в 120 сообщениях
По умолчанию Re: Не работает DNS

Цитата:
Сообщение от PyJIbkaa Посмотреть сообщение
Ебли при передачи не было, но когда выводил старый 103 из домена через dc promo, то он кричал что не могу не понимаю кто хозяин FSMO... пришлось править через оснастку что бы он это увидел и тогда вышел
ясно



Цитата:
Сообщение от PyJIbkaa Посмотреть сообщение
Это значит что если я отключу DNS в керио инет падает.
БЛЯТЬ
!!!
на него "натравлены" штоле доменные ДНС-ы ???


Цитата:
Сообщение от PyJIbkaa Посмотреть сообщение
картинки во вложении
ну так и вместо своего гейтвея - укажи гугловский днс или днс провайдера или яндекса

твой керио в качестве "рилея днс" просто звено в цепи запросов
лишнее звено
кериовский днс имел бы смысл в отсутствие в сети любых других, но у тебя другие есть - доменные



Цитата:
Сообщение от PyJIbkaa Посмотреть сообщение
Если я из настройки по пересылке уберу его, то у меня не будет инета
настройки по пересылке не убирать надо а на другие сервера пересылать
выше указал какие


Цитата
Сообщение от datusername Посмотреть сообщение
А ещё, чисто на всякий случай, уточните у ТП провайдера не блокируют ли они DNS.
вот-вот
ахуеть будет если блокируют




Цитата:
Сообщение от PyJIbkaa Посмотреть сообщение
Попробовать можно все что угодно, а как ПРАВИЛЬНО это должно быть
правильно делать пересылку на публичные ДНС-ы
без посредников ( в твоём случае керио-днс)
посмотри внимательно куда твой керио редиректит запросы ( звёздочка н атвоём скриншоте), указываешь эти (или другие публичные если трафик днс не блочится) адреса в настройках пересылки доменных ДНС-ов и всё



Добавлено через 7 минут
Цитата
Сообщение от datusername Посмотреть сообщение
И у вас для этого есть правило разрешающее NAT чего угодно из локалки в интернет
авотхуй
от серверов запросы ДНС обрабатываются другим правилом (которое первое у него стояло, смотри скришнот на прошлой странице), а поскольку в этом правиле не был включен НАТ то запросы тупо не доходили
а поскольку этот запрос, трафик, удовлетворил условиям (источник-назначание-типа трафика) правила, то дальнейшими правилами этот трафик не обрабатывается



Цитата:
Сообщение от PyJIbkaa Посмотреть сообщение
Он там тем боком, что на нем включен DNS и если его отключить, опять же будет бяка с инетом
блять ну включи же наконец голову!!!


Цитата
Сообщение от datusername Посмотреть сообщение
Поэтому я и говорю, что или вас контроллеры неправильно настроены или провайдер c DNS химичит.
правило трафика у него химичит, а провайдер 99,99% не при чём
то которое он приводил (типа "днс запросы к провайдеру) - не работает патамушта там не включен НАТ


вот и коряга

а новых, исправленных правил, как я указывал выше - он не привёл, стало быть не исправил и стало быть всё без изменений
а коль без изменений то запросы к провайдерским ДНС-ам у него тупо блочит фоервол
патамушта правило кривое

вот и вся дилема



Цитата:
Сообщение от PyJIbkaa Посмотреть сообщение
надо подумать как можно безболезненно перейти на 9
поставиьт параллельно ещё один шлюз, отладить его, перевести часть "подопытных" на него, понаблюдать, подпилить если надо и перевести всех остальных



Цитата:
Сообщение от PyJIbkaa Посмотреть сообщение
А есть такой?
нет ёпта
и оициального сайта не существует
и производителя тоже

и инструкций с картинками тоже не существует: [Для просмотра данной ссылки нужно зарегистрироваться]

Добавлено через 8 минут
PyJIbkaa, ИСПРАВИЛ ПРАВИЛА ТРАФИКА ???????
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу

Последний раз редактировалось naliman; 14.05.2018 в 22:03. Причина: Добавлено сообщение
naliman вне форума   Ответить с цитированием Вверх
Старый 15.05.2018, 09:08   #71
PyJIbkaa
Песака
 
Аватар для PyJIbkaa
 
Регистрация: 19.03.2018
Адрес: Санкт-Петербург
Сообщений: 59
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Не работает DNS

Так вот вроде
Изображения
Тип файла: jpg Правила трафика.jpg (38.6 Кб, 10 просмотров)
Тип файла: jpg Группы айпи.JPG (51.6 Кб, 4 просмотров)
PyJIbkaa вне форума   Ответить с цитированием Вверх
Старый 15.05.2018, 09:25   #72
datusername
Знатный писарь
 
Регистрация: 26.04.2018
Сообщений: 284
Поблагодарили 43 раз(а) в 39 сообщениях
По умолчанию Re: Не работает DNS

Цитата:
Сообщение от naliman Посмотреть сообщение
настройки по пересылке не убирать надо а на другие сервера пересылать
Можно вот это вот самое только ещё раз и по-русски.
Куда должны быть пересылки если у нас два DNS сервера в локалке? И главное в чём мотив делать пересылку на внешние сервера?
Цитата:
Сообщение от naliman Посмотреть сообщение
которое первое у него стояло, смотри скришнот на прошлой странице
Первое правило там разрешает доступ на вэб страницу брандмауэра. Мы в разные скрины смотрим.
Цитата:
Сообщение от naliman Посмотреть сообщение
оициального сайта не существует
Официальный сайт продуктов Kerio называется GFI.COM вам об этом в рассылке писали в начале 2017 года. Пора б уже свыкнуться с этой мыслью.
datusername вне форума   Ответить с цитированием Вверх
Старый 16.05.2018, 10:34   #73
naliman
особый
 
Аватар для naliman
 
Регистрация: 19.06.2006
Сообщений: 13,531
Поблагодарили 149 раз(а) в 120 сообщениях
По умолчанию Re: Не работает DNS

Цитата:
Сообщение от PyJIbkaa Посмотреть сообщение
Так вот вроде
правило локального трафика должно быть первым
всегда
аксиома
правила обрабатываются сверху-вниз
таков порядок работы
поэтому сначала весь локальный трафик, потом "служебный" (для серверов хуеров и т.п.) потом остальное пользовательское

пересылку в настройках ДНС на серверы провайдера (или гугловские или яндесовские) сделал?
где результат проверки?
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 16.05.2018, 10:39   #74
naliman
особый
 
Аватар для naliman
 
Регистрация: 19.06.2006
Сообщений: 13,531
Поблагодарили 149 раз(а) в 120 сообщениях
По умолчанию Re: Не работает DNS

Цитата
Сообщение от datusername Посмотреть сообщение
Можно вот это вот самое только ещё раз и по-русски.
Куда должны быть пересылки если у нас два DNS сервера в локалке? И главное в чём мотив делать пересылку на внешние сервера?
да можно и не делать, будет к корневым обращаться

Цитата
Сообщение от datusername Посмотреть сообщение
Первое правило там разрешает доступ на вэб страницу брандмауэра. Мы в разные скрины смотрим.
имел ввиду правило "запросы ДНС к провайдеру"
но без НАТа не работает


Цитата
Сообщение от datusername Посмотреть сообщение
Официальный сайт продуктов Kerio называется GFI.COM вам об этом в рассылке писали в начале 2017 года. Пора б уже свыкнуться с этой мыслью.
там стёб был, сарказм
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 16.05.2018, 10:49   #75
PyJIbkaa
Песака
 
Аватар для PyJIbkaa
 
Регистрация: 19.03.2018
Адрес: Санкт-Петербург
Сообщений: 59
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Не работает DNS

Цитата:
Сообщение от naliman Посмотреть сообщение
правило локального трафика должно быть первым
всегда
аксиома
правила обрабатываются сверху-вниз
таков порядок работы
поэтому сначала весь локальный трафик, потом "служебный" (для серверов хуеров и т.п.) потом остальное пользовательское
Первое правило, которое удалять прочий, не перетаскиваемое и не удаляемое
Вроде добавил сервера пересылки, но не убра 101, страшно в течении дня, начнут звонить и орать, вечером уберу и попробую без него )
Изображения
Тип файла: jpg Снимок.JPG (97.5 Кб, 6 просмотров)
Тип файла: jpg 2.JPG (33.4 Кб, 3 просмотров)
PyJIbkaa вне форума   Ответить с цитированием Вверх
Старый 16.05.2018, 10:51   #76
datusername
Знатный писарь
 
Регистрация: 26.04.2018
Сообщений: 284
Поблагодарили 43 раз(а) в 39 сообщениях
По умолчанию Re: Не работает DNS

Цитата:
Сообщение от naliman Посмотреть сообщение
правило локального трафика должно быть первым
всегда
аксиома
Ну нет. У вас есть хост в сети. В сети нужен инторнет, на хосте его быть не должно. Упс - аксиома не работает. Потому что проще написать сначала запрет для хоста, а потом разрешить трафик для всей сети. Чем начинать перечислять хосты, где инторнет нужен.
Цитата:
Сообщение от naliman Посмотреть сообщение
имел ввиду правило "запросы ДНС к провайдеру"
Это старое правило, его уже снесли насколько помню.
Цитата:
Сообщение от naliman Посмотреть сообщение
там стёб был, сарказм
Ах, Ok.
datusername вне форума   Ответить с цитированием Вверх
Старый 17.05.2018, 00:09   #77
naliman
особый
 
Аватар для naliman
 
Регистрация: 19.06.2006
Сообщений: 13,531
Поблагодарили 149 раз(а) в 120 сообщениях
По умолчанию Re: Не работает DNS

Цитата:
Сообщение от PyJIbkaa Посмотреть сообщение
Первое правило, которое удалять прочий, не перетаскиваемое и не удаляемое
это НИЖНЕЕ правило то есть ПОСЛЕДНЕЕ

я ж написал - правила обрабатываются СВЕРХУ ВНИЗ

или ты немец?
бггг



Цитата:
Сообщение от PyJIbkaa Посмотреть сообщение
Вроде добавил сервера пересылки, но не убра 101, страшно в течении дня, начнут звонить и орать, вечером уберу и попробую без него )
алилуя

отпешись по результату



Цитата
Сообщение от datusername Посмотреть сообщение
Ну нет. У вас есть хост в сети. В сети нужен инторнет, на хосте его быть не должно. Упс - аксиома не работает. Потому что проще написать сначала запрет для хоста, а потом разрешить трафик для всей сети. Чем начинать перечислять хосты, где инторнет нужен.
ну да
правила обрабатываются по порядку, от первого к последнему сверху вниз
а теперь прикинь, локальный трафик сразу обработать первым или гонять через все правила?


Цитата
Сообщение от datusername Посмотреть сообщение
Это старое правило, его уже снесли насколько помню.
на предыдущих страницах скриншот можно посмотреть
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 17.05.2018, 09:10   #78
PyJIbkaa
Песака
 
Аватар для PyJIbkaa
 
Регистрация: 19.03.2018
Адрес: Санкт-Петербург
Сообщений: 59
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Не работает DNS

Цитата:
Сообщение от naliman Посмотреть сообщение
я ж написал - правила обрабатываются СВЕРХУ ВНИЗ
Надеюсь так, но он ругнулся на то что лоакал трафих перекрывает что-то там, не заскринил и применил (
сервера пересылки убрал, вроде пока все работает, вернее поставил днс прова
днс керио отключил, вроде летим
Изображения
Тип файла: jpg Снимок.JPG (57.3 Кб, 4 просмотров)
Тип файла: jpg 2.jpg (37.7 Кб, 4 просмотров)
Тип файла: jpg 3.JPG (105.7 Кб, 3 просмотров)
PyJIbkaa вне форума   Ответить с цитированием Вверх
Старый 17.05.2018, 09:50   #79
datusername
Знатный писарь
 
Регистрация: 26.04.2018
Сообщений: 284
Поблагодарили 43 раз(а) в 39 сообщениях
По умолчанию Re: Не работает DNS

Цитата:
Сообщение от naliman Посмотреть сообщение
правила обрабатываются по порядку, от первого к последнему сверху вниз
Я в курсе. Ещё они обрабатываются только при совпадении условий. Нет совпадения условий - считаем, что правила нет.
Цитата:
Сообщение от naliman Посмотреть сообщение
а теперь прикинь, локальный трафик сразу обработать первым или гонять через все правила?
Если вы про тонкие материи оптимизации быстродействия, то первым лучше обрабатывать трафик, которого больше всего (хотя есть и исключения). Какого трафика больше очень сильно зависит от инфраструктуры. По моему опыту обычно больше всего трафика на фаэрволе бегает из интернета в локалку к пользователям.
Цитата:
Сообщение от PyJIbkaa Посмотреть сообщение
но он ругнулся на то что лоакал трафих перекрывает что-то там
У вас правило "доступ для серверов" это часть правила "Internet access (NAT)". Так что Керио вам просто намекает, что можно тут одно правило (доступ для серверов) отключить и вам за это ничего не будет.

P.S. Описывать назначение в Интернет, если вам без разницы куда полетит трафик, лишь бы в Интернет, лучше как "интернет интерфейсы", а не как "вот этот вот интерфейс". Так лучше если у вас 1-2-10 провайдеров Интернета.
datusername вне форума   Ответить с цитированием Вверх
Старый 17.05.2018, 10:05   #80
naliman
особый
 
Аватар для naliman
 
Регистрация: 19.06.2006
Сообщений: 13,531
Поблагодарили 149 раз(а) в 120 сообщениях
По умолчанию Re: Не работает DNS

Цитата:
Сообщение от PyJIbkaa Посмотреть сообщение
Надеюсь так, но он ругнулся на то что лоакал трафих перекрывает что-то там, не заскринил и применил (
скрин выше актуален на данный момент?
посмотрю ечером, обычно ругается когда какое то правило "дублирует" смысл другого, об этом и сообщение


Цитата:
Сообщение от PyJIbkaa Посмотреть сообщение
днс керио отключил, вроде летим
не сложно было, правда?
больше пейсанины тут
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Пользователь сказал cпасибо:
PyJIbkaa (17.05.2018)
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 06:36. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях