Настройка Kerio VPN Server для подключения отдельных VPN клиентов. Kerio Control — установка и некоторые базовые настройки

Перед тем, как что-то делать с правилами, необходимо настроить сетевые интерфейсы по-человечески, так что кто не читал статью , сделайте это сейчас.

Все ниженаписанное было испробовано на версии KWF 6.2.1, но будет работать и на всех версиях 6.xx, для следующих версий если и будут изменения, то не думаю, что значительные.

Итак, сетевые интерфейсы настроены, Kerio Winroute Firewall установлен, первое, что делаем, заходим в Configuration > Traffic Policy и запускаем Wizard. Даже если до этого вы его уже запускали. Мы же делаем правильно, так?

1. С первым и вторым шагами визарда все понятно, на третьем выбираем внешний сетевой интефейс (Internet Interface, Wizard почти всегда сам определяет его правильно).

2. Далее, шаг четветый, самый важный.
По умолчанию KWF предлагает вариант «Allow access to all services (no limitations)», но! Постоянно сталкиваемся с тем, что такие правила KWF обрабатыват мягко говоря странно, проблемы с сервисом 🙂 ANY сплошь и рядом.

Поэтому выбираем второй вариант, Allow access to the following services only . Неважно, что KWF вам возможно предложит немного не те сервисы, какие вам нужны, но все это можно добавить или убрать позднее.

3. На пятом шаге создаем правила для VPN, те кому они не нужны, могут убрать галки. Но опять же можно это сделать и потом, если не уверены.

4. Шаг 6-й, тоже довольно важный. Здесь создаем правила для тех сервисов, которые должны быть доступы извне, из Интернета. Советую добавить хотя бы парочку сервисов, вам самим потом проще будет увидеть, как строится такое правило.
Например:

сервис KWF Admin на Firewall
сервис RDP на 192.168.0.15

5. Шаг седьмой, естественно включаем NAT, даже кому и не нужно будет (маловероятно конечно), всегда его можно выключить.
На восьмом шаге жмем Finish.

Получается у нас что-то типа того:

Небольшие пояснения для тех, кто мануал не хочет читать:
Правило NAT — в нем собственно те сервисы, которым разрешен доступ в интерет с клиентских машин.
А правило Firewall Traffic — это правило для той машины, на которой KWF стоит.
Красненькие правила ниже — для доступа из Интернета к одноименным сервисам.

В принципе уже работать можно, но ведь нужно KWF немного настроить, поэтому дальше:

6. Правило Local Traffic передвигаем на самый верх, ибо правила обрабатываются сверху вниз и поскольку локальный трафик как правило превалирует над остальным, это позволит снизить нагрузку на шлюз, чтоб он не гнал пакеты от локального трафика через всю таблицу правил.

7. В правиле Local Traffic Protocol Inspector отключаем, ставим в None .

8. Из правил NAT и Firewall Traffic убираем ненужные нам сервисы, а нужные соответственно добавляем. Ну например ICQ 🙂 Советую думать над тем, что вы добавляете и удаляете.

9. Иногда для некоторых сервисов требуется отдельное правило, потому что вместе с остальными начинаются непонятные глюки. Ну и отследить как оно отрабатывает проще конечно, поставив логгирование этого правила.

Несколько примечаний:

10. Если хотите, чтобы с клиентских компьютеров можно было пинговать внешние адреса, то добавьте сервис Ping в правило NAT.

11. Eсли не используете VPN совсем, отключите VPN-сервер (Configuration > Interfaces > VPN Server правой кнопкой > Edit > убрать галку Enable VPN Server).
Еще можно отключить интерфейс Kerio VPN.

12. Если используете Parent proxy, добавьте в правило Firewall Traffic соответствующий порт (Если стандартный 3128, то можно добавить сервис HTTP Proxy). А из правила NAT тогда нужно убать как минимум HTTP и HTTPS сервисы.

13. Если доступ в Интернет нужно дать какой-то группе пользователей или IP-адресов, то создаете правило, подобное NAT, только в качестве источника у него не Local Interface, а ваша группа.

Ниже более-менее похожий на реальность (мою естественно 🙂 , но не совсем) пример.

Пример.
Задача: раздать интернет всем компьютерам из сети, используя непрозрачный прокси, разрешить ICQ и FTP избранным группам, а скачивание почты по POP3 всем. Запретить отсылать письма напрямую в Интернет, только через почтовик. Сделать доступ к этому компьютеру из интернета. Ну и учесть примечания естественно.
Вот сразу правила готовые:

Краткие пояснения по правилам:
Local Traffic — на самый верх, как и собирались.
NTP Traffic — правило для синхронизации сервера времени (192.168.0.100) с источниками точного времени в интернете.
ICQ Traffic — правило, разрешающее группе пользователей «Allow ICQ Group» пользоваться аськой.
FTP Traffic — правило, разрешающее группе пользователей «Allow FTP Group» скачивать файлы с FTP-серверов.
NAT for all — мало от НАТа осталось (мы же через прокси ходим в интернет) только free mail и ping интернета всем пользователям сети разрешен.
Firewall Traffic — с этим все понятно, разрешенные сервисы для фаервола. Обратите внимание, что сюда добавлен сервис SMTP (в случае, если почтовик находится не на том же компьютере, что и винроут, нужно сделать отдельное правило) и порт 3128 для парент прокси.
Service Ping — правило, нужное для того, чтобы пинговать наш сервер снаружи.
Remote Admin — правило для доступа снаружи к консоли KWF и KMS, к веб-интерфейсу их же.
Service Kerio VPN — правило для доступа снаружи клиентов Kerio VPN.
Service Win VPN — правило для доступа снаружи клиентов родного виндового VPN
Service RDP — правило для доступа снаружи клиентов виндового терминала (но лучше через VPN).

Настройка Kerio VPN Server для подключения отдельных VPN клиентов.

Сервер VPN используется для связи удаленых концов VPN туннелей и удаленных клиентов с использованием Kerio VPN Клиента .VPN сервер доступен на вкладке Интерфейсы (Interfaces) в разделе Настройки/Интерфейсы (Configuration / Interfaces) как отдельный интерфейс.

Заходим в эту вкладку и среди интерфейсов видим желанный нам VPN Server. Двойной щелчок на интерфейсе сервера VPN открывает диалог, позволяющий установить параметры сервера VPN (можно также выделить интерфейс и нажать Правка (Edit) или выбрать Правка (Edit) из контекстного меню).

В октрывшемся окне необходимо активизировать сервер VPN (Enable VPN server). И указать IP адрес сетки для VPN клиентов. В моей сетке все локальные юзеры имеют адреса типа 192.168.100.xxx, а все VPN клиенты 192.168.101.xxx

По умолчанию (при первом запуске после инсталляции) WinRoute автоматически выбирает свободную подсеть, которая будет использоваться для VPN. При обычных условиях изменять установленную по умолчанию сеть нет необходимости. У бедитесь, что подсеть VPN клиентов не конфликтует с локальной подсетью!

На вкладке DNS необходимо указать DNS серверы, которые будут назначаться вашим VPN клиентам. Это может быть необходимо в доменной сетке, где необходим доступ к компьютерам по NS именам.

Использовать специальные серверы DNS (Use specific DNS servers) эта опция позволяет указать основной и вторичный DNS серверы для VPN клиентов. Если в локальной сети используется не DNS Форвардер , а другой DNS сервер, то используйте эту опцию.

Мои юзеры не пользуются NS именами, поэтому здесь я все оставил без исключений.

Вкладка Advanced (Дополнительное) мне также не нужна, но про ней напишем всеравно.

Слушать порт (Listen on port) - Порт, на котором VPN сервер принимает входящие соединения (используются протоколы TCP, и UDP). По умолчанию установлен порт 4090 (в обычных условиях изменять порт нет необходимости).

Примечания:

1. Если VPN сервер уже работает, во время смены порта связь со всеми VPN клиентами будет автоматически разрываться.
2. Если сервер VPN не может работать на указанном порту (порт используется другой службой), при щелчке на кнопке Применить (Apply) в журнале ошибок (Error log) (см. главу Журнал ошибок) появится следующее сообщение об ошибке: (4103:10048) Socket error: Unable to bind socket for service to port 4090.
   (5002) Failed to start service "VPN"
   bound to address 192.168.1.1.

   Чтобы убедиться, что указанный порт действительно свободен, просмотрите Журнал ошибок на предмет появления подобных записей.

Пользовательские маршруты (Custom Routes)

В этом разделе можно определить другие сети, к которым будут установлены маршруты через VPN туннель. По умолчанию определены маршруты ко всем локальным подсетям со стороны сервера VPN - см. главу Обмен информацией маршрутизации).

Совет: используйте сетевую маску 255.255.255.255, чтобы определить маршрут к определенному узлу. Это может помочь, например, при добавлении маршрута к узлу в демилитаризованной зоне со стороны VPN сервера.

Первое правло пускает пользователей из интернета к VPN серверу по протоколу Kerio VPN (порт 4090).

Вот здесь будут отображаться подклчюенные пользователи. В настройках самих пользователей можно настроить, будет ли VPN сервер выдавать адреса клиентам, а можно за каждым VPN клиентом закрепить определенный IP адрес в сети.

Вот и всё. Если что не понятно, прошу сюда.

Как настроить раздачу интернета пользователям через NAT в Kerio Winroute Firewall. Настройка NAT в Kerio Winroute Firewall.

Дано - Сервер Windows 2003 Server EE, с установленным и настроенным Kerio Winroute Firewall 6.4.2.

Задача - Выпустить сисадмина в интернет не через прокси, как всех, а через NAT. Чтобы контра и вебмани запускались. Поехали...

Для начала создадим новое правило в разделе Traffic Policy . Оно будет называться вначале New rule.

Далее необходимо добавить источник. Тоесть компьютер того, кто будет иметь доступ в интернет. В нашем случае это компьютер системного администратора. Я написал DNS имя компьютера в домене - sysadmin.local . Можно написать и IP адрес. Зависит от ситуации.

После добавления Source (Источник) необходимо добавить и Destination (Назначение) . В нашем случае это сетевое подключение с именем Internet. Жмём Add -> Network Inteface и выбираем из списка наше подключение к интернету.

После добавления этих параметров в наше правило. Мы, как бы, намекаем компьютеру, что машина sysadmin.local имеет доступ к сетевому подключению Internet . Далее нам необходимо указать тип подключения, порты и службы, по которым он будет иметь этот доступ.

В поле Service мы ничего добавлять не будем. Там уже есть значение Any . Обо говорит о том что доступ открыт ко всем портам и службам.

Во вкладке Translation по умолчанию пусто. Нам это не интересно, поэтому жмём по пустому полю на вкладке Translation и видим окошко (Edit Translation) настроек NAT перед собой.

Нам нужно только выпустить пользователя в интернет по всем портам. Поэтому мы выбираем параметр "Translate to IP address of outgoing interface (typical settings)" . Этим правилом мы говорим Kerio, что весь исходящий трафик от пользователя нужно напрямую транслировать в интернет. Можно выбрать какой-либо интерфейс, куда будут транслироваться пакеты, и IP адрес. Но нам это сейчас не нужно.

Жмём OK и видим наше правило. Вроде бы все ок, но оно не работает:) А почему?

Забыли разрешить правило и нажать кнопку Apply . Для разрешения правила жмём на пустое поле под вкладкой Action и выбираем там параметр Permit .

Вот теперь наше правило выглядит вот так:

И оно работает. Пользователь имеет NAT-ированный исходящий доступ в интернет. Может играть в контру, варкрафт и запускать Webmoney.

В наследство от предыдущего администратора мне осталась очень хитрая система раздачи интернета. На windows XP был установлен UserGate 2.8. Сама машина имела 2 сетевых интерфейса (локальная сеть и интернет). Крутилось все это на обычном десктопе. Логическая структура раздачи тоже была очень интересна:
1. Все пользователи были разбиты по группам в зависимости от квоты выдаваемого трафика (т.е 100mb, 200mb, 300mb, только ICQ и др.) Групп было порядка 10.
2. Авторизация пользователей происходила по ip адресу компьютера (когда в фирме было 20 компьютеров в рабочей группе со статическими адресами все было еще терпимо, сейчас же пользователей порядка 150 соответственно компьютеров примерно столько же).
Назревали с течением времени и другие проблемы:
1. Количество пользователей росло.
2. Авторизация по ip приносила много проблем. Очень трудно отслеживать перемещение пользователей, да и трафик пользователя оставался незащищенным.
3. Инфраструктура компании с рабочей группы была переведена в домен.
4. Стабильность работы провайдера оставляла желать лучшего. Поэтому был подключен Интернет от еще одного провайдера.
5. Железо на котором крутилось прокси оставалось жить недолго.
Мной был подготовлен план по переходу на другой прокси сервер.
Начнем. Планирование
1. Необходимо определиться что мы хотим (т.е. какой функционал нам необходим).
2. На какой платформе все это будет работать.
3. Как проводить авторизацию пользователей
4. Как разделить пользователей.
5. Прочие плюшки.
Ответы по пунктам.
1. Необходимо:
1.1 Нам необходим прокси-сервер который слушает локальный интерфейс на определенном порту и делает запросы на 2 других сетевых интерфейса, которые смотрят в интернет.
1.2 Так же нужно распределение нагрузки между 2 провайдерами и перенаправление запросов одному провайдеру при отказе другого.
1.3 Так же необходима поддержка NAT для работы почтового сервера.
1.4 Группы пользователей должны браться из AD и проходить аутентификацию по паролю своих учетных записей.
1.5 Возможность выдачи пользователю квоты по количеству полученных мегабайт.
1.6 Гибкие политики HTTP и FTP.
1.7 Web-сервер статистики с для пользователей
2. Платформа:
В качестве платформы была выбрана виртуальная машина на Xen Server.
В качестве связки ОС+прокси рассматривались следующие варианты.
FreeBSD+squid+ipfw+Samba+SARG (FreeBSD + squid + ipfw + SAMBA + )
Windows+UserGate 5 (www.usergate.ru/)
Windows+Kerio Winroute Firewall 6 (www.kerio.ru/ru/firewall)
Выбор был остановлен на Windows+Kerio Winroute Firewall 6 (почему именно Kerio расскажу в следующей статье)
3 Авторизация пользователей.
Решено было использовать Active Directory в качестве базы данных пользователей и проводить авторизацию по логину и паролю из AD.
4. Система квот была упрощена до 4 групп - 300mb, 500mb, unlim, ICQ+корпоративные сайты.
Развертывание и эксплуатация.
1. Так как было принято решение переносить proxy-сервер на сервер виртуализации (о котором рассказывалось ). Необходимо было добавить 2 сетевых карты (для подключения интернета). Как это делается описано .
2. Создаем VM и останавливаем Windows XP. Для ОС делаем все необходимые настройки.
3. Настраиваем сеть. Первый локальный интерфейс получает все настройки от DHCP (который работает на контроллере домена)
Второй интерфейс выносим в подсеть 192,168,1,0
Третий интерфейс выносим в подсеть 192,168,2,0
К ним подключаются модемы.
Проверяем работоспособность сети командой traceroute и ping.
4. Устанавливаем Kerio Winroute Firewall
5. И настраиваем его (документацию берем с сайта kerio).
В настройках нет ничего трудного. Но есть некоторые подводные камни.
1. При настройки nat для почтовго сервера мы весь трафик идущий на 110 и 25 порт заворачиваем на ip адрес почтового сервера. Проблема возникает если кто-то из пользователей пользуется почтой на сторонних сервера (например mail.ru и google.ru) через почтовые клиенты. Решением этой проблемы может быть или пользование почтой через web - интерфейс этих сайтов, либо настройка переадресации почты со стороннего сайта на корпоративный почтовый сервер.
2. Т.к. идет распределение нагрузки и отказоустойчивость 2 каналов то в ДНС-записи вашего почтового домена имеет смысл сделать некоторые изменения.
например
у вас есть запись в ДНС
MX xxx.xxx.xxx.xxx 10 mail.domen.ru
где ххх.ххх.ххх.ххх - это ip адрес выданый вам провайдером
вносим еще одну запись
MX ххх.ххх.ххх.ххх 20 mail.domen.ru
где ххх.ххх.ххх.ххх - это ip адрес выданый вам вторым провайдером.
При таких ДНС записях сервера почтовой пересылки будут проверять доступность первого ip и при его недоступности доставлять письма по второму ip адреса.
3. Если вы поменяете порт и адрес прокси сервера, то чтобы не бегать по офису достаточно в групповых политиках указать настройки прокси-серверов которые будут применяться автоматически. Но это касается тех браузеров у которых в настройках стоит параметр Брать настройки прокси из системы. Если например у юзера в Mozilla стоит ручная настройка прокси, то идти к нему все таки придется. Хотя... Не могу сказать точно т.к. все юзеры в моей компании используют IE.
4. У керио есть один большой минус. Нет возможности назначать квоту группе. Есть шаблон квоты для всех пользователей или необходимо выставлять квоту вручную каждому пользователю.
Ну вроде бы все.
Сейчас сервер находиться в переходном режиме т.е. мы отключаем клиентов от старого и подключаем к новому. На сегодняшний день Kerio используют порядка 65 пользователей. Особых проблем кроме вышеописанных не замечено.
Так что всем спасибо за внимание. Ждите продолжения.

Kerio Winroute Firewall, настройка правил, квоты пользователей

Задание:

1) Установите из каталога Proxy \Kerio Winroute Firewall на компакт-диске программное обеспечение Kerio Winroute Firewall 6.0.4 и настройте эту программу таким образом, чтобы она работала как прокси-сервер, обеспечивая возможность клиенту (виртуальному компьютеру под управлением Windows 98) обращаться на Web -сервер на компьютере преподавателя. При этом сетевой адаптер Local Network Connection должен выступать в роли интерфейса, подключенного к Интернету (public ), а сетевой адаптер VMware Network Adapter VMnet1 - в качестве интерфейса, подключенного к внутренней локальной сети (private ).

2) Создайте пользователя TestUser с паролем test во внутренней базе данных Kerio Personal Firewall и настройте для него права таким образом, чтобы он имел возможность выхода в Интернет. Предоставьте ему квоту на работу в Интернете в 50 Мбайт в день и 500 Мбайт в месяц. От имени этого пользователя подключитесь к Web -серверу на компьютере преподавателя, а затем просмотрите от его имени протокол работы и остаток квоты.

Примечание. Внутренний пользователь Kerio (не пользователь домена Windows 2000) используется потому, что во время выполнения этой лабораторной работы у нас нет возможности подключиться к контроллеру домена.

3) После завершения лабораторной работы отключите виртуальный компьютер Windows 98 и удалите Kerio WinRoute Firewall при помощи консоли Add/Remove Programs.

Ответ к заданию 1:

1) Запустите из каталога Proxy \Kerio WinRoute Firewall файл kerio-kwf-6.0.4-win.exe. На экране Setup Type выберите тип установки Custom и на следующем экране убедитесь, что выбраны все компоненты (помощь на чешском языке можно не устанавливать).

2) На экране Administrative Account оставьте имя администратора по умолчанию - Admin и назначьте для него пароль P @ssw 0rd .

3) На экране Remote Access убедитесь, что флажок Remote Access снят.

4) Если возникнет предупреждение Windows о том, что компонент Kerio VPN Adapter не прошел тестирование на совместимость с Windows , нажмите на кнопку Continue Anyway .

5) После окончания установки Kerio WInRoute Firewall перезагрузите компьютер.

6) После перезагрузки ответьте Yes на предложение запустить Kerio Administration Console . В окне New Connection проверьте предлагаемые вам параметры подключения и введите пароль. Откроется окно Network Rules Wizard . На его первом экране нажмите на кнопку Next .

7) На экране Type of Internet Connection оставьте переключатель в верхнем положении (Ethernet, DSL, cable modem or other).

8) На экране Internet Adapter выберите адаптер Local Area Connection.

9) На экране Outbound Policy оставьте переключатель в положении Allow Access to the following services only и оставьте флажки только напротив строк HTTP , HTTPS , FTP и DNS .

10) На экране VPN Server установите переключатель в положение No .

11) На экране Inbound Policy нажмите на кнопку Next , не определяя никакие внутренние серверы, которые должны быть доступны пользователям из Интернета.

12) На экране Internet Sharing (NAT ) оставьте переключатель в положении Enable NAT и на следующем экране нажмите на кнопку Finish . Осмотрите основные возможности настройки Kerio Winroute Firewall из его административной консоли. Раскройте узел Content Filtering , в нем - HTTP Policy , перейдите на вкладку Proxy Server и просмотрите значения в группе "General Options ".

13) Запустите виртуальный компьютер под управлением Windows 98 в VMWare Workstation и щелкните по иконке Internet Explorer на рабочем столе. Откроется окно мастера подключения к Интернету. Установите переключатель в положение "Настроить подключение к Интернету вручную" и нажмите на кнопку "Далее".

14) На следующем экране установите переключатель в положение "Я подключаюсь к Интернету через локальную сеть" и нажмите на кнопку "Далее".

15) На следующем экране снимите флажок "Автоматическое определение прокси-сервера" и установите флажок "Ручная настройка прокси-сервера".

16) На следующем экране установите флажок "Один прокси-сервер для всех протоколов" и в поле Прокси-сервер для HTTP введите IP -адрес интерфейса VMNet 1, в поле порт - 3128. Нажмите два раза на кнопку Далее, а затем - на кнопку "Готово".

17) В адресной строке Internet Explorer введите

HTTP :// London

и просмотрите открывшуюся страницу.

Ответ к заданию 2:

1) В окне Administration Console раскройте узел Users and Groups и щелкните по строке Users. На вкладке User Accounts нажмите на кнопку Add . Откроется окно мастера создания нового пользователя.

2) На первом экране - General введите имя пользователя TestUser и пароль (например, test ). Убедитесь, что в строке Authentification выбрано Internal User Database и нажмите на кнопку Next .

3) На экранах Groups и Rights оставьте значения по умолчанию.

4) На экране Quota установите флажки Enable daily limit и Enable monthly limit и установите дневной лимит в 50 Мбайт, а ежемесячный - в 500 Мбайт. На экранах Content Rules и Automatic Login оставьте значения по умолчанию. Нажмите на кнопку Finish .

5) После создания пользователя перейдите на вкладку Authentification Options и установите флажок Always require users to be authentificated when accessing web pages . Нажмите на кнопку Apply .

6) Перейдите на узел Content Filtering -> HTTP Policy. На вкладке URL Rules нажмите на кнопку Add . В поле Description введите надпись Deny All . В группе Action установите переключатель в положение Deny Access to the Web site (все остальные элементы управления оставьте со значениями по умолчанию) и нажмите OK .

7) Еще раз нажмите на кнопку Add , в поле Description введите TestUser Allowed , переставьте переключатель ниже в положение Selected Users и нажмите на кнопку Set . Добавьте в список Selected Users пользователя TestUser . Все остальные параметры оставьте без изменений и нажмите OK . Затем при помощи кнопок со стрелками в правой части экрана поменяйте взаимное расположение созданных вами правил таким образом, чтобы правило TestUser Allowed оказалось выше Deny All и нажмите на кнопку Apply . Перезапустите Kerio Personal Firewall , чтобы избавиться от кэшированных данных о разрешениях.

8) Перезагрузите виртуальный компьютер под управлением Windows 98, а затем откройте Internet Explorer и обратитесь по адресу http ://london . Появится окно "Предупреждение системы безопасности" с предупреждением о невозможности проверки сертификата. нажмите на кнопку Да.

9) В окне Firewall Authentification Page (открытом через безопасное соединение) введите имя пользователя и пароль Test . После еще одного предупреждения системы безопасности откроется страница Web -сайта на компьютере преподавателя.

Примечание. Иногда приглашение для ввода имени пользователя и пароля появляются во встроенном окне Windows. Чтобы явно открыть страницу аутентификации, введите в Web-броузере адрес HTTP://192.168.X.1:4080.

10) Чтобы просмотреть статистику для пользователя, необходимо вернуться на страницу аутентификации (при помощи кнопки Назад) и нажать на ссылку Index Page , а затем - Statistics .

11) Чтобы удалить Kerio Winroute Firewall, воспользуйтесь консолью Add/Remove Programs в Панели управления.