Connect. Communicate. Collaborate. Securely.

Domů » Česky » Kerio Control » Přístup k MIkrotik
  •  
Bishboun je nyní offline Bishboun

Příspěvky: 6
Odeslat poštu tomuto uživateli
ZDravím, prosil bych o radu. Mám malou síť kde je za sebou asi 10 RB MIkrotik. Pokud jsem se přihlašoval bez KErio NG100 tak jsem se dostal všude. Ale pokud jsem GW vyměnil tak se dostanu jen na RB co jsou přímo za NG100, ale na další ne. Routovací tabulka funguje. RB ze svého PC normálně pingnu, ale přes winbox se nedostanu. NEví někdo kde je problém...... Dlaší věc je, že nevím jak nastavit NAT z veřejné na jednu z interních IP.

Díky za radu

VOJta
  •  
Petr Dobrý je nyní offline Petr Dobrý

Příspěvky: 427

Odeslat poštu tomuto uživateli
Bishboun napsal dne Čt, 21 duben 2016 10:29
ZDravím, prosil bych o radu. Mám malou síť kde je za sebou asi 10 RB MIkrotik. Pokud jsem se přihlašoval bez KErio NG100 tak jsem se dostal všude. Ale pokud jsem GW vyměnil tak se dostanu jen na RB co jsou přímo za NG100, ale na další ne. Routovací tabulka funguje. RB ze svého PC normálně pingnu, ale přes winbox se nedostanu. NEví někdo kde je problém......

10 Microtic za sebou znamena ze to je 10 IP siti ktere se routujou ?
Pokud jdou pingnout, ale winbox nefunguje, pak je problem zrejme v povoleni/nepovoleni portu potrebnych pro komunikaci. Ale to uz je spis otazka do fora Mikrotik, ktere to jsou.

Citát:
Dlaší věc je, že nevím jak nastavit NAT z veřejné na jednu z interních IP.


Tomu co chcete nastavit se nerika NAT, ale mapovani portu - http://kb.kerio.com/1312, sekce Port Mapping
  •  
Bishboun je nyní offline Bishboun

Příspěvky: 6
Odeslat poštu tomuto uživateli
NO je divné, že když je gateway Mikrotik tak vše jede a kdž to přehodím na kerio NG100 tak internet, ping chodí, ale nejde se pripojit pomocí winboxu....ten beží na portu 8192. Jelikož jsem skutečným začátečníkem mohl by jste mi napsat nejaky presny návod jak port povolit? Ještě jsem si vsiml že winbox se chce pripojit....stále jede conecting... Pokud by byla chyba tak během 5vterin winbox napise chybu spojeni.

S tím překladem jsem se asi špatně vyjadril. V siti je FTP server, na který se z vnitřní site dostanu, z internetu ovšem ne. proto bych chtěl k vnitrni IP přiradit veřejnou ip, abych se z venku dostal dovnitř.
  •  
Petr Dobrý je nyní offline Petr Dobrý

Příspěvky: 427

Odeslat poštu tomuto uživateli
Promapovani FTP:
Zdroj: Internetove rohzrani
Cil: Firewall
Sluzba: FTP
Preklad adres: MAP na IP adresu v lokalni siti

Popis nastaveni mapovani portu je popsan v KB clanku v mem predchozim prispevku.

Co se tyka Mikrotik a winbox, s tim zadnou zkusenost nemam, takze nemohu poradit v cem je problem.
  •  
Bishboun je nyní offline Bishboun

Příspěvky: 6
Odeslat poštu tomuto uživateli
NO tak jsem to udělal podle Vašeho návodu a bohužel nic. Asi nezbyde nic jiného než se vrátit k Mikrotiku kde chodí všechno a i návody jsou v CZ. FTP se nepřipojí pro timeout.

Ještě zkusím poslední dotaz. Jde z Kerio Control boxu NG100 udělat pouze krabičku, která propustí vše co z internetu vleze do intranetu? Využíval bych jí pouze pro statistiky a lokální logování trafiku.
  •  
Bishboun je nyní offline Bishboun

Příspěvky: 6
Odeslat poštu tomuto uživateli
Opravdu v této krabičce nejde nastavit 100% propustnost dat z internetu do vnitřní sítě???
  •  
Petr Dobrý je nyní offline Petr Dobrý

Příspěvky: 427

Odeslat poštu tomuto uživateli
Nevim co si pod takovym pojmem predstavit.
Primarnim ukolem firewallu je ochranit lokalni sit pred utoky zvenci. A vy to chcete vypnout.
Kerio Control smerem ven dela NAT a smerem dovnitr je mozne mozne promapovat konkretni sluzby nebo cele IP adresy (pokud mate vice IP na WAN).

Kerio Control lze samozrejne nakonfigurovat aby fungoval pouze jako router (staci nepouzivat zadny SNAT ani DNAT) a spravne nastavit routovaci tabulku.
  •  
Bishboun je nyní offline Bishboun

Příspěvky: 6
Odeslat poštu tomuto uživateli
Napadlo mě krabičku využívat (používat funkce), které chci já. Tzn, jako hlavní GW by byl Mikrotik ve kterém jsou nadefinovány IP vnitřních sítí a uživatelů. Z tohoto by to pokračovalo do vstupu NG100 (routovací tab, komunikace bez omezení) a 100% dat neomezených by vyšlo z LAN na další Mikrotiky za Keriem. Pokud bych chtěl řekněme použít blokování P2P, nebo nějakých hledaných slov, mohl bych to v Keriu dodatečně zakázat. Ale primárním účelem bych na Keriu pouze sledoval komunikaci (trafic flow) a logoval jí 6 měsíců zpětně, a dále by se do krabičky mohl uživatel sítě podívat na své statistiky. Určité útoky z internetu jsou již blokovány na prvním GW Mikrotik a tak není potřeba dalších filtrů na Keriu.

Prošel jsem hodně odkazů na tomto fóru a nikde jsem nenašel jak to udělat 100% průchozí. Případně linky nejdou.

Protože jsem v Keriu do jisté míry ztracen, prosím Vás o pomoc v nastavení.

1) Potřebuji úplně vypnout jakékoliv omezování, filtrování provozu (firewallu). Jak????

2) Kde lze nastavit logování provozu resp. jen těch věcí co bych chtěl... zatím to loguje úplně všechno a rychle se plní disk cca 25GB za den.

3) Lze nastavit aby se log ukládal na externí úložiště a po 6 měsících se automaticky přemazával.

4) Některá pravidla v komunikaci nejdou vypnout případně když je chci vypnout, tak se začne kontrolovat "dopad" pravidla a napíše to hlášku, že by vypnutí pravidla znamenalo odříznutí komunikace a pravidlo se nevypne.

5) občas jsem si všiml, že se komunikace blokne a rychlost (ačkoliv není omezena) padne na nizkou hodnotu a po několika minutách opět naběhne. (jsem připojen na lan, omezení rychlosti není, neexistuje ani časové okno, žádného pravidla - tzn. vše by mělo chodit, ale občas se to takto kousne)

Díky za rady, chtěl bych začít tím, že komunikaci na 100% povolím a poté začnu sám, zakazovat různé služby komunikačními pravidly.

Ještě jednou díky za řekněme konkrétnější návod.

VJ
  •  
BoBik je nyní offline BoBik

Příspěvky: 417
Odeslat poštu tomuto uživateli
Promiň, ale nějak nechápu o co Ti jde.

1. Proč tam vůbec řetězíš ty Mikrotiky a do toho Kerio? Firewall snad stačí jeden. Jakou máš konfiguraci sítě/sítí?

2. Kerio Control je firewall. Ty standardně fungují tak, že veškerou komunikaci zakazují a správce pak pomocí pravidel povoluje to co potřebuje. Důvod je zřejmý, kdyby to fungovalo jak požaduješ Ty, snadno by došlo k tomu, že by správce opoměl něco zakázat a bezpečnostní díra by byla na světě.

3. Píšeš, že jsi skutečným začátečníkem - to si opravdu troufáš konfigurovat korporátní firewall? Nebylo by lepší si do firmy pozvat někoho, kdo tomu rozumí a nechat si to nastavit?
  •  
Bishboun je nyní offline Bishboun

Příspěvky: 6
Odeslat poštu tomuto uživateli
Mikrotiky jsou za sebou, protoze jde o páteř sítě. Co AP to Mikrotik. Problém nastal v době kdy jsem Kerio začal testovat v síti. Nešli webovky, smtp, není mozne se dostat z Mikrotiku na druhy, překlad vnitřní ip na veřejnou jde jen jeden apod. Proto jsem chtěl všechnu ochranu v Keriu vypnout a zapínat jen to co chci. Použití KCB by u me v síti nebylo jako firewall, ale spise jako krabicka se statistikou a sledováni traficu. Nemám nic proti profi pomoci......ale uz se o to pokoušel i jeden zaměstnanec Keria a nepovedlo se mu to. Krabičku sice máme, ale návod k ni není. To co jsem našel na netu nejak nefunguje a na tomhle foru jsem ty starší vlákna ani neotevřel pro chybu 404. Proto se vsude ptám jak debil, aby mi někdo poradil jak docílit toho co s krabickou potřebuju udělat. Myslím, ze je v předchozím příspěvku popsáno dobře co bych potřeboval.
  •  
Petr Dobrý je nyní offline Petr Dobrý

Příspěvky: 427

Odeslat poštu tomuto uživateli
Asi by to chtelo spis dodat obrazek se schematem site a adresama. Ja uz se z toho popisu v tom taky nevyznam - jednou je KC pred Mikrotikama, pak zase se jde pres KC ven na jine Mikrotiky ...

Pokud se v KC povypinaji vsechny funkce (NAT, inspekce protokolu apod.), tak se omezi i sbirani statistik.
Předchozí téma: VPN - omezení přístupu
Další téma: Nelze se přihlásit po změně certifikátu
Jít na fórum:
  


Disclaimer:
Kerio discussion forums are intended for open communication between forum members and may contain information and material posted by members which may be useful in learning about Kerio products. The discussion forums are not intended to provide technical support for any specific product. Any information implied or expressed in the discussion forums is that of the posting member. Kerio is in no way responsible for the information posted in the forums, or its accuracy. Kerio employees may participate in the discussions, but their postings do not represent an offical position of the company on any issues raised or discussed. Kerio reserves the right to monitor and maintain the forums to promote free and accurate exchange of information.

Aktuální čas: Ne říj 22 15:39:12 CEST 2017

Celkový čas potřebný k vygenerování této stránky: 0.00485 vteřin
.:: Kontakt :: Domů ::.
Běží na: FUDforum 3.0.4.