Форум Kerio-rus  

Вернуться   Форум Kerio-rus > Продукты > Kerio Control (бывший Winroute Firewall)

Ответ
 
Опции темы
Старый 12.07.2017, 11:44   #1
mafteg
 
Регистрация: 20.06.2017
Сообщений: 3
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Разрешить работу Skype.

Кратко, суть проблемы: поставил тестовую конфигурацию, kerioControl и Windows server 2008r2, который через керио выходит в интернет. Правила фильтрации работают отлично, но проблема со скайпом. Он либо не работает вообще, либо очень нестабильно подключается, примерно в 10-15% попыток.

а) Хочется, чтобы работал скайп у клиента. В целом, нужна фильтрация вида "Все сайты запрещены, кроме 1,2,3 и т.д." но помимо этого, должен работать скайп.
б) - Пускал скайп через "Непрозрачный прокси-сервер" в Kerio, после этого как раз скайп начал подключаться один раз из десяти, либо нужно ждать 30-40 минут, и он иногда подключался спустя время. Но иногда не подключался.

- Создавал вот такое правило содержимого


в) Правила дефолтные, которые были после установки тестового дистрибутива. Ничего в них не менял, пробовал добавлять правило "Разрешить все во все стороны", но оно также эффекта относительно скайпа не дало. Также включена https-фильтрация, которая сама по себе тоже работает как надо.
г)


д)

е) route print если сильно надо, тоже приложу.
ж) Полное наименование и релиз Kerio Control 9.2.2 build 2172

В интернетах куча вопросов и обсуждений как скайп заблокировать, но я не смог найти, как заставить его работать нормально. Прошу помощи, так как зашел в тупик.
mafteg вне форума   Ответить с цитированием Вверх
Старый 12.07.2017, 22:27   #2
naliman
особый
 
Аватар для naliman
 
Регистрация: 19.06.2006
Сообщений: 12,908
Поблагодарили 85 раз(а) в 60 сообщениях
По умолчанию Re: Разрешить работу Skype.

почему LAN и WAN интерфейсы в одной сети?
отсюда и геморрой
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 13.07.2017, 08:09   #3
mafteg
 
Регистрация: 20.06.2017
Сообщений: 3
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Разрешить работу Skype.

Цитата:
Сообщение от naliman Посмотреть сообщение
почему LAN и WAN интерфейсы в одной сети?
отсюда и геморрой
Хорошо, сегодня попробую сменить внешний адрес на реальный внешний IP. Однако в будущем, мне нужно, чтобы Kerio работал как шлюз для отдельных рабочих станций внутри уже существующей сети. Я могу также вывести WAN в другой VLAN. По факту - сейчас Керио на виртуальной машине с виртуальными же сетевухами.
mafteg вне форума   Ответить с цитированием Вверх
Старый 13.07.2017, 08:59   #4
HOG
Одменестрадор
 
Аватар для HOG
 
Регистрация: 08.03.2006
Адрес: Из лесу, вестимо...
Сообщений: 5,515
Поблагодарили 54 раз(а) в 47 сообщениях
По умолчанию Re: Разрешить работу Skype.

Цитата
Сообщение от mafteg Посмотреть сообщение
По факту - сейчас Керио на виртуальной машине с виртуальными же сетевухами.
Тем не менее -

Цитата
Сообщение от mafteg Посмотреть сообщение
нужно, чтобы Kerio работал как шлюз для отдельных рабочих станций внутри уже существующей сети
Ключевое слово - шлюз. Шлюз - это инструмент для связи между чем? Правильно - между несколькими сетями. А у тебя что получается??
__________________
[Для просмотра данной ссылки нужно зарегистрироваться]

керио
HOG вне форума   Ответить с цитированием Вверх
Старый 13.07.2017, 10:42   #5
mafteg
 
Регистрация: 20.06.2017
Сообщений: 3
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Разрешить работу Skype.

Цитата:
Сообщение от HOG Посмотреть сообщение
Тем не менее -


Ключевое слово - шлюз. Шлюз - это инструмент для связи между чем? Правильно - между несколькими сетями. А у тебя что получается??
Да, про определения я понял, если честно не совсем внимательно читал мануал. Все дело в том, что до этого работал с другой системой фильтрации трафика, и там никаких проблем с работой фильтра в одной подсети не было. По аналогии, тут настроил также. Все дело в том, что устройство для выхода в интернет уже есть, и заменять его в мои планы не входит. В связи с этим, возникает вопрос - могу ли я вообще подобным образом использовать Kerio Control? Мне нужно, чтобы несколько компьютеров из локальной сети проходили через фильтр, а остальные шли в обход него, при этом между всеми компьютерами должна быть связь как таковая. В данном случае, я понял, что настроил вразрез с тем, что указано в инструкции, при этом получил рабочий функционал во всем, не считая треклятого скайпа.
mafteg вне форума   Ответить с цитированием Вверх
Старый 13.07.2017, 10:57   #6
HOG
Одменестрадор
 
Аватар для HOG
 
Регистрация: 08.03.2006
Адрес: Из лесу, вестимо...
Сообщений: 5,515
Поблагодарили 54 раз(а) в 47 сообщениях
По умолчанию Re: Разрешить работу Skype.

mafteg, само определение того, что такое Kerio Control сразу должно было натолкнуть на мысь о том, что он изначально позиционируется как межсетевой экран.
Цитата
Сообщение от mafteg Посмотреть сообщение
вообще подобным образом
подобным чему? Повторюсь - Kerio Control это межсетевой экран.
Цитата
Сообщение от mafteg Посмотреть сообщение
нужно, чтобы несколько компьютеров из локальной сети проходили через фильтр, а остальные шли в обход него,
можно отстроить правила фильтрации для разных групп машин/пользователей по разному - это не является проблемой. Пользователь "Вася" идет в инет по одним правилам, пользователь "Федя" идет в инет без ограничений - как пример. Как авторизовать пользователей - "возможны двести вариантов", от привязки каждому IP до авторизации при выходе в инет по связке логин/пароль.
Цитата
Сообщение от mafteg Посмотреть сообщение
при этом получил рабочий функционал во всем, не считая треклятого скайпа.
значит функционал не совсем рабочий - сам об этом говоришь.
__________________
[Для просмотра данной ссылки нужно зарегистрироваться]

керио
HOG вне форума   Ответить с цитированием Вверх
Старый 23.08.2017, 11:35   #7
Mr.mile
 
Регистрация: 27.02.2013
Сообщений: 17
Поблагодарили 2 раз(а) в 1 сообщении
По умолчанию Re: Разрешить работу Skype.

mafteg, сам недавно бился с такой же проблемой, решение такое, в группу IP-адресов "HTTPS exclusions" добавить IP-адреса 64.4.0.0/18 и 65.52.0.0/14 после этого скайп завелся.
Mr.mile вне форума   Ответить с цитированием Вверх
Старый 29.08.2017, 17:30   #8
Dookalis
 
Аватар для Dookalis
 
Регистрация: 29.08.2017
Адрес: Москва
Сообщений: 2
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Разрешить работу Skype.

Цитата
Сообщение от Mr.mile Посмотреть сообщение
mafteg, сам недавно бился с такой же проблемой, решение такое, в группу IP-адресов "HTTPS exclusions" добавить IP-адреса 64.4.0.0/18 и 65.52.0.0/14 после этого скайп завелся.
Бьюсь с этим до сих пор, так и не получилось... Сделал по совету выше , но скайп так и не подключается. Есть еще у кого нибудь идеи? Добавлял в группу IP-адресов "HTTPS exclusions" *.skype.com - не помогает.
Dookalis вне форума   Ответить с цитированием Вверх
Старый 29.08.2017, 18:12   #9
naliman
особый
 
Аватар для naliman
 
Регистрация: 19.06.2006
Сообщений: 12,908
Поблагодарили 85 раз(а) в 60 сообщениях
По умолчанию Re: Разрешить работу Skype.

Цитата
Сообщение от Mr.mile Посмотреть сообщение
в группу IP-адресов "HTTPS exclusions" добавить IP-адреса 64.4.0.0/18 и 65.52.0.0/14
Цитата:
Сообщение от Dookalis Посмотреть сообщение
Добавлял в группу IP-адресов "HTTPS exclusions" *.skype.com - не помогает.
добавлял буквы или таки цифры (ип-адреса) ???
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 29.08.2017, 18:16   #10
Dookalis
 
Аватар для Dookalis
 
Регистрация: 29.08.2017
Адрес: Москва
Сообщений: 2
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Разрешить работу Skype.

И буквы и цифры и вместе и по отдельности)))
Dookalis вне форума   Ответить с цитированием Вверх
Старый 07.09.2017, 14:11   #11
lesnik171081
 
Регистрация: 16.04.2015
Адрес: Москва
Сообщений: 8
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Разрешить работу Skype.

Цитата:
Сообщение от Dookalis Посмотреть сообщение
"HTTPS exclusions" *.skype.com - не помогает
Не так давно с этим боролся, помогло следующее:
В "HTTPS exclusions" добавляем "skype.com" и "microsoft.com" ( я так-же забыл что скайп то давно у кросовок)...и все ок...скайп моментом логинится....а в Web-журнале появляется что-то типа "вход в учетную запись Microsoft"
__________________
Казалось нам пришел конец-оказалось нам не казалось!
lesnik171081 вне форума   Ответить с цитированием Вверх
Старый 07.09.2017, 14:12   #12
lesnik171081
 
Регистрация: 16.04.2015
Адрес: Москва
Сообщений: 8
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Разрешить работу Skype.

Добавлять без всяких звездочек и точек.
__________________
Казалось нам пришел конец-оказалось нам не казалось!
lesnik171081 вне форума   Ответить с цитированием Вверх
Старый 07.09.2017, 16:37   #13
Semen
Песака
 
Аватар для Semen
 
Регистрация: 18.10.2010
Сообщений: 58
Поблагодарили 3 раз(а) в 3 сообщениях
По умолчанию Re: Разрешить работу Skype.

у меня не работает. настройки скайпа меняли?
Semen вне форума   Ответить с цитированием Вверх
Старый 07.09.2017, 16:49   #14
lesnik171081
 
Регистрация: 16.04.2015
Адрес: Москва
Сообщений: 8
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Разрешить работу Skype.

Неа...ничего не менял...вот только сейчас подключился посмотрел на сервак......небольшое уточнение......добавлены и skype.com и microsoft.com и еще оказывается IP написанные выше у меня тоже добавлены.
__________________
Казалось нам пришел конец-оказалось нам не казалось!
lesnik171081 вне форума   Ответить с цитированием Вверх
Старый 07.09.2017, 16:49   #15
lesnik171081
 
Регистрация: 16.04.2015
Адрес: Москва
Сообщений: 8
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Разрешить работу Skype.

Цитата:
Сообщение от Semen Посмотреть сообщение
у меня не работает. настройки скайпа меняли?
Фильтрация HTTPS включена в керио?Сертификат на клиентской машине установлен?
Не работает это как понимать? Скрин в студию.
__________________
Казалось нам пришел конец-оказалось нам не казалось!
lesnik171081 вне форума   Ответить с цитированием Вверх
Старый 07.09.2017, 16:52   #16
Semen
Песака
 
Аватар для Semen
 
Регистрация: 18.10.2010
Сообщений: 58
Поблагодарили 3 раз(а) в 3 сообщениях
По умолчанию Re: Разрешить работу Skype.

да, но он тут непричем же. т.к. сервера скайпа добавлены в HTTPS exclusions
Semen вне форума   Ответить с цитированием Вверх
Старый 07.09.2017, 16:53   #17
lesnik171081
 
Регистрация: 16.04.2015
Адрес: Москва
Сообщений: 8
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Разрешить работу Skype.

Цитата:
Сообщение от Semen Посмотреть сообщение
да, но он тут непричем же
Кто Сертификат? Ошибаетесь.

Добавлено через 3 минуты
Вообще желательно сюда..или в личку.....скрин правил,скрин фильтрации содержимого, скрин HTTPS exclusions в режиме правки где видны хосты, и скрин скайпа.....потому как он может просто написать типа не удалось войти....а может дойти до ввода логина пароля....типа залогиниться но не подключиться...вот по этому нужно на скрины посмотреть.....
__________________
Казалось нам пришел конец-оказалось нам не казалось!

Последний раз редактировалось lesnik171081; 07.09.2017 в 16:57. Причина: Добавлено сообщение
lesnik171081 вне форума   Ответить с цитированием Вверх
Старый 07.09.2017, 17:10   #18
Semen
Песака
 
Аватар для Semen
 
Регистрация: 18.10.2010
Сообщений: 58
Поблагодарили 3 раз(а) в 3 сообщениях
По умолчанию Re: Разрешить работу Skype.

сертификат не причем (хотя и установлен у меня)
потому что сервера скайпа добавлены в HTTPS exclusions. Для интереса удали сертификат, в группу HTTPS exclusions добавь yandex.ru, включи фильтрацию HTTPS и заходишь на сайт yandex.ru без всяких предупреждений о безопасности.
вот правила [Для просмотра данной ссылки нужно зарегистрироваться]
скрин фильтрации содержимого [Для просмотра данной ссылки нужно зарегистрироваться]
правки где видны хосты [Для просмотра данной ссылки нужно зарегистрироваться]
скайп проверяю сменой статуса "не в сети" -> "в сети" ну и подключения не происходит [Для просмотра данной ссылки нужно зарегистрироваться] крутится значечек
Semen вне форума   Ответить с цитированием Вверх
Старый 07.09.2017, 17:21   #19
Semen
Песака
 
Аватар для Semen
 
Регистрация: 18.10.2010
Сообщений: 58
Поблагодарили 3 раз(а) в 3 сообщениях
По умолчанию Re: Разрешить работу Skype.

ну и соответственно пользователь под которым пытаюсь зайти в скайп состоит в группе "nat без ограничений"
Semen вне форума   Ответить с цитированием Вверх
Старый 08.09.2017, 09:03   #20
lesnik171081
 
Регистрация: 16.04.2015
Адрес: Москва
Сообщений: 8
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Разрешить работу Skype.

Так..по поводу сертификата спорить не буду...хотя у меня ругался ...ну эт не важно...сейчас в вирт. разверну тестовую тачку и попробую......а пока...в фильтрации содержимого вот такое есть у тебя? [Для просмотра данной ссылки нужно зарегистрироваться]
__________________
Казалось нам пришел конец-оказалось нам не казалось!
lesnik171081 вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 20:14. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2017, vBulletin Solutions, Inc. Перевод: zCarot

© Kerio-rus.ru
Официальный сайт группы АлисА WWW.ALISA.NET Фонарёвка: всё о фонарях