Connect. Communicate. Collaborate. Securely.

Home » Kerio User Forums » Kerio Control » Microsoft-DS doesn't work with Control enabled
  •  
icydrago

Messages: 9
Karma: -6
Send a private message to this user
I have server 2008 r2. kerio Control 7.3. RRAS enabled only for VPN connections. When kerio Control service is off, I can acces remote computer connected via vpn as \\remote\ from any computer in local network. Also I can access this way all local computers from remote computer . When I turn kerio service on - I can access local computers from remote, but I cannot access remote. Traffic rule access everything from any to any doesn't help. Help me, please.

[Updated on: Sun, 24 June 2012 18:12]

  •  
Anton Tikhonov (kerio)

Messages: 25
Karma: 0
Send a private message to this user
try to log packets dropped for some reason in debug log to see waht is dropped by KControl.
  •  
icydrago

Messages: 9
Karma: -6
Send a private message to this user
I tried to make logging of packages for the last rule thak bloks everything. Nothing was found in debug log.
I made new rule: allow everything for everybody to remote computer with logging packages and connections. Nothing found in debug log, in connection log was found:
[28/Jun/2012 10:46:53] [ID] 27742 [Rule] Новое правило [Service] Microsoft-DS [Connection] TCP serv.phc.local (192.168.100.18):54705 -> 192.168.100.23:445 [Duration] 89 sec [Bytes] 152/0/152 [Packets] 3/0/3[28/Jun/2012 10:46:54] [ID] 27744 [Rule] Новое правило [Service] NetBIOS-SSN [Connection] TCP serv.phc.local (192.168.100.1):54707 -> 192.168.100.23:139 [Duration] 89 sec [Bytes] 152/0/152 [Packets] 3/0/3[28/Jun/2012 10:46:54] [ID] 27743 [Rule] Новое правило [Service] Microsoft-DS [Connection] TCP serv.phc.local (192.168.100.18):54706 -> 192.168.100.23:445 [Duration] 89 sec [Bytes] 152/0/152 [Packets] 3/0/3[28/Jun/2012 10:46:55] [ID] 27745 [Rule] Новое правило [Service] NetBIOS-SSN [Connection] TCP serv.phc.local (192.168.100.18):54708 -> 192.168.100.23:139 [Duration] 90 sec [Bytes] 152/0/152 [Packets] 3/0/3 

Also found
28/Jun/2012 10:45:24] PERMIT "Новое правило" packet to Dial-In, proto:TCP, len:52, 192.168.100.18:54705 -> 192.168.100.23:445, flags:[ SYN ], seq:3349534623 ack:0, win:8192, tcplen:0
[28/Jun/2012 10:45:25] PERMIT "Новое правило" packet to Dial-In, proto:TCP, len:52, 192.168.100.18:54706 -> 192.168.100.23:445, flags:[ SYN ], seq:1081878971 ack:0, win:8192, tcplen:0
[28/Jun/2012 10:45:25] PERMIT "Новое правило" packet to Dial-In, proto:TCP, len:52, 192.168.100.1:54707 -> 192.168.100.23:139, flags:[ SYN ], seq:598329154 ack:0, win:8192, tcplen:0
[28/Jun/2012 10:45:25] PERMIT "Новое правило" packet to Dial-In, proto:TCP, len:52, 192.168.100.18:54708 -> 192.168.100.23:139, flags:[ SYN ], seq:4050737110 ack:0, win:8192, tcplen:0
[28/Jun/2012 10:45:27] PERMIT "Новое правило" packet to Dial-In, proto:TCP, len:52, 192.168.100.18:54705 -> 192.168.100.23:445, flags:[ SYN ], seq:3349534623 ack:0, win:8192, tcplen:0
[28/Jun/2012 10:45:28] PERMIT "Новое правило" packet to Dial-In, proto:TCP, len:52, 192.168.100.18:54706 -> 192.168.100.23:445, flags:[ SYN ], seq:1081878971 ack:0, win:8192, tcplen:0
[28/Jun/2012 10:45:28] PERMIT "Новое правило" packet to Dial-In, proto:TCP, len:52, 192.168.100.1:54707 -> 192.168.100.23:139, flags:[ SYN ], seq:598329154 ack:0, win:8192, tcplen:0
[28/Jun/2012 10:45:28] PERMIT "Новое правило" packet to Dial-In, proto:TCP, len:52, 192.168.100.18:54708 -> 192.168.100.23:139, flags:[ SYN ], seq:4050737110 ack:0, win:8192, tcplen:0
[28/Jun/2012 10:45:33] PERMIT "Новое правило" packet to Dial-In, proto:TCP, len:48, 192.168.100.18:54705 -> 192.168.100.23:445, flags:[ SYN ], seq:3349534623 ack:0, win:8192, tcplen:0
[28/Jun/2012 10:45:34] PERMIT "Новое правило" packet to Dial-In, proto:TCP, len:48, 192.168.100.1:54707 -> 192.168.100.23:139, flags:[ SYN ], seq:598329154 ack:0, win:8192, tcplen:0
[28/Jun/2012 10:45:34] PERMIT "Новое правило" packet to Dial-In, proto:TCP, len:48, 192.168.100.18:54706 -> 192.168.100.23:445, flags:[ SYN ], seq:1081878971 ack:0, win:8192, tcplen:0
[28/Jun/2012 10:45:34] PERMIT "Новое правило" packet to Dial-In, proto:TCP, len:48, 192.168.100.18:54708 -> 192.168.100.23:139, flags:[ SYN ], seq:4050737110 ack:0, win:8192, tcplen:0

But I still cannot connect to remote computer with \\192.168.100.23\

[Updated on: Thu, 28 June 2012 10:01]

  •  
Anton Tikhonov (kerio)

Messages: 25
Karma: 0
Send a private message to this user
icydrago может поговорим по русски? Я так предполагаю, что ты меня поймёшь.

[Updated on: Thu, 28 June 2012 10:10]

  •  
icydrago

Messages: 9
Karma: -6
Send a private message to this user
Да =)

Я, конечно же, настроил шаринг принтера через маленькую программку tcpprint. Но все равно интересно, почему же не пускает в общий доступ... Хотя не смотря на это, по другим службам доступ есть.

[Updated on: Thu, 28 June 2012 12:27]

  •  
Anton Tikhonov (kerio)

Messages: 25
Karma: 0
Send a private message to this user
Ты вот что мне скажи, почему у тебя подключение от хоста 192.168.100.18 к хосту 192.168.100.23 идёт через шлюз, что за адская конструкция?!
  •  
Anton Tikhonov (kerio)

Messages: 25
Karma: 0
Send a private message to this user
а вообще, согласно лога, всё в норме, ничего не дропает, следовательно косяк в разрешениях или в сети, когда я говорил проверить лог debug по протоколированию "packets dropped for some reason" я имел ввиду вот это: http://manuals.kerio.com/control/adminguide/en/sect-logs-deb ug.html

хотя я предполагаю что контрол дропает это дело из-за того что у тебя кривая маршрутизация, ну не должны хосты одной сети общаться через шлюз, где-то ты накривил сильно.
  •  
icydrago

Messages: 9
Karma: -6
Send a private message to this user
Возможно я плохо описал... На серваке стоит kerio + RRAS. Через rras подключается vpn-pptp клиент. Он должен быть как-будто в локальной сети. Собственно вся локальная сеть имеет адреса 192.168.100.0/24, vpn клиент - 192.168.100.23.
RRAS себе получает адрес 192.168.100.18 для своего внутреннего интерфейса. В керио этот интерфейс значится как dial-in. Ну а в логе записано событие, когда я с сервера заходил.
Пинги проходят откуда и куда угодно через маршрутизатор, естессно.

[Updated on: Thu, 28 June 2012 14:11]

  •  
icydrago

Messages: 9
Karma: -6
Send a private message to this user
Вот вся моя таблица маршрутизации
IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.1.1      192.168.1.2   4501
          0.0.0.0          0.0.0.0         On-link    178.124.154.94     21
        127.0.0.0        255.0.0.0         On-link         127.0.0.1   4531
        127.0.0.1  255.255.255.255         On-link         127.0.0.1   4531
  127.255.255.255  255.255.255.255         On-link         127.0.0.1   4531
   178.124.154.94  255.255.255.255         On-link    178.124.154.94    276
      192.168.1.0    255.255.255.0         On-link       192.168.1.2   4501
      192.168.1.2  255.255.255.255         On-link       192.168.1.2   4501
    192.168.1.255  255.255.255.255         On-link       192.168.1.2   4501
    192.168.100.0    255.255.255.0         On-link     192.168.100.1   4501
    192.168.100.1  255.255.255.255         On-link     192.168.100.1   4501
   192.168.100.18  255.255.255.255         On-link    192.168.100.18    306
  192.168.100.255  255.255.255.255         On-link     192.168.100.1   4501
        224.0.0.0        240.0.0.0         On-link         127.0.0.1   4531
        224.0.0.0        240.0.0.0         On-link       192.168.1.2   4502
        224.0.0.0        240.0.0.0         On-link     192.168.100.1   4502
        224.0.0.0        240.0.0.0         On-link    178.124.154.94     21
        224.0.0.0        240.0.0.0         On-link    192.168.100.18    306
  255.255.255.255  255.255.255.255         On-link         127.0.0.1   4531
  255.255.255.255  255.255.255.255         On-link       192.168.1.2   4501
  255.255.255.255  255.255.255.255         On-link     192.168.100.1   4501
  255.255.255.255  255.255.255.255         On-link    178.124.154.94    276
  255.255.255.255  255.255.255.255         On-link    192.168.100.18    306
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
          0.0.0.0          0.0.0.0      192.168.1.1  По умолчанию 
===========================================================================

  •  
icydrago

Messages: 9
Karma: -6
Send a private message to this user
Вот настройки кери и таблица маршрутизации кери
http://s13.postimage.org/jjbw84xrr/image.png
http://s13.postimage.org/g0zwbqwvr/image.png
http://s13.postimage.org/64ytc3r3r/image.png
  •  
Anton Tikhonov (kerio)

Messages: 25
Karma: 0
Send a private message to this user
icydrago так ну теперь более или менее ясно, шлюз-то 1.1 убери, он косячный, т.е. не джолжно его тут быть, мешать будет работе, может и уже мешает.
теперь делай такое правило:

источник_192.168.100.23+192.168.100.кто-то там открывший шару
назначение_аналогично
служба_любая
действие_разрешить+пакеты+соеди ения

потом в дебаге включаешь packes dropped for some reason, и пытаешься выполнить подключение с твоего pptp клиента, после отлупа пости тут результат из обновлённого лога filter\connection\debug. По всем твоим логам я видел ТОЛЬКО SYN пакеты, что наводит на мыслю о кривости твоих соединений между клиентами, надеюсь так инфа которую я просил тебя собрать будет избыточна и в неё мы всё что надо увидим.
  •  
icydrago

Messages: 9
Karma: -6
Send a private message to this user
Шлюз убрал лишний.

Походу ты не понял структуру. Есть 1 компьютер фиг знает где. Он через vpn подключается к серваку. Необходимо получить доступ ИЗ локальной сети в этот удаленный компьютер. Т.е. шару открывает 192.168.100.23, а зайти на неё не можем ниоткуда.
А наоборот - все работает. Т.е. удаленный без проблем заходит и на сервак, и на другие компы локалки.

Как включить в дебаге packes dropped for some reason? В упор не вижу...

Да, спасибо, что смотришь это всё =)
  •  
Anton Tikhonov (kerio)

Messages: 25
Karma: 0
Send a private message to this user
Правило от этого не изменяется.

для включения дополнительного протоколирования в debug щёлкните ПКМ по правой части окна, где отображаются сообщения лога, выберите пункт "очистить протокол", повторно щёлкните ПКМ там же, и выберите пункт "сообщения", в открывшемся окне отметьте пункт filtering\packets dropped for some reason
  •  
ICT and Me

Messages: 940

Karma: 53
Send a private message to this user
Guys, this is a international forum. So please write/speak in English.
It's meant that we all learn and help each other.
So please translate everything what is written in Russian.

ICT and Me
Carlo Turk
The Netherlands
www.ictandme.nl
icydrago

Messages: 9
Karma: -6
Send a private message to this user
Блин! А я то искал, как логи чистить.... )))
Сделал, ничего в дебаге не появляется.
Previous Topic: web filter single exclusion
Next Topic: NAT64
Goto Forum:
  


Disclaimer:
Kerio discussion forums are intended for open communication between forum members and may contain information and material posted by members which may be useful in learning about Kerio products. The discussion forums are not intended to provide technical support for any specific product. Any information implied or expressed in the discussion forums is that of the posting member. Kerio is in no way responsible for the information posted in the forums, or its accuracy. Kerio employees may participate in the discussions, but their postings do not represent an offical position of the company on any issues raised or discussed. Kerio reserves the right to monitor and maintain the forums to promote free and accurate exchange of information.

Current Time: Sat Oct 21 06:40:03 CEST 2017

Total time taken to generate the page: 0.00539 seconds
.:: Contact :: Home ::.
Powered by: FUDforum 3.0.4.