Connect. Communicate. Collaborate. Securely.

Domů » Česky » Kerio Control » HTTPS (Problém s HTTPS exclusions)
  •  
pasik je nyní offline pasik

Příspěvky: 2
Odeslat poštu tomuto uživateli
Dobrý den,
nevím si rady s nastavením skupiny IP, která definuje adresy, které nemají být vyloučeny z dešifrování. Ve Warning logu se mi neustále opakuje hláška, že "HTTPS: Certificate's CA has been rejected by client 192.168.1.171, server: googledrive.com", i když mám tuto adresu ve zmíněné skupine HTTPS Exlusions. Navíc, i po povolení zmíněných adres aplikace google drive nefunkční. Díky.

  • Příloha: 001.JPG
    (Velikost: 14.42KB, Staženo 165 krát)
  •  
pasik je nyní offline pasik

Příspěvky: 2
Odeslat poštu tomuto uživateli
BTW te tečky jsem si všiml .. ale problém přetrvává i u jiných adres ... hlavně spojených s google drive a dropboxem ..
  •  
Petr Dobrý je nyní offline Petr Dobrý

Příspěvky: 427

Odeslat poštu tomuto uživateli
Je mozne ze se Google drive pripojuje i na servery s jinou URL, ktere bude nutne dat take do vyjimek. Seznam spojeni je mozne videt u kazdeho hosta.
  •  
ministry je nyní offline ministry

Příspěvky: 7
Odeslat poštu tomuto uživateli
Petr Dobrý (Kerio) napsal dne Čt, 02 červen 2016 20:21
Je mozne ze se Google drive pripojuje i na servery s jinou URL, ktere bude nutne dat take do vyjimek. Seznam spojeni je mozne videt u kazdeho hosta.


Stejny problem je i s windows aktualizacemi .. viz prilohy. Nejhorsi je ze obcas to zafunguje .. obcas ne ..


  • Příloha: f1.PNG
    (Velikost: 12.91KB, Staženo 173 krát)
  •  
Petr Dobrý je nyní offline Petr Dobrý

Příspěvky: 427

Odeslat poštu tomuto uživateli
Asi tady doslo k mirnemu nepochopeni jak HTTPS filtrovani funguje.
Do seznamu vyjimek se davaji IP adresy (pocitacu v LAN kterych se HTTPS inspekce nema tykat) nebo uzivatele kterych se nema tykat. Pokud tam date domenu napr. dropbox.com, tak to URL se resolvne na IP a prida se tam taky. Ovsem diky loadbalancingu cloudovych sluzeb ta IP bude zrejme pokazde jina.
Aby to fungovalo pro domenu, musi klienti pouzivate Kerio Control jako DNS server a musi byt v Controlu zapnuta DNS cache - http://kb.kerio.com/1345.

Pokud chcete vyjmout pouze konkretni sluzbu pro vsechny, nejlepsi je vytvorit si na to traffic pravidlo, napr:
Zdroj: Trusted Interfaces
Cil: dropbox.com
Service: HTTPS
Translation: NAT
Protocol inspector: None

[Aktualizováno: Pá, 03 červen 2016 11:44]

  •  
Petr Dobrý je nyní offline Petr Dobrý

Příspěvky: 427

Odeslat poštu tomuto uživateli
A jeste jedna vec. Hlaska "HTTPS: Certificate's CA has been rejected" taky muze znamenat ze klientsky pocitac nema certifikacni autoritu Kerio Controlu za duveryhodnou - http://kb.kerio.com/1651. Zkontrolujte zda je na klientskych pocitacich nainstalovana CA z Controlu - bud rucne nebo pres AD.
  •  
ministry je nyní offline ministry

Příspěvky: 7
Odeslat poštu tomuto uživateli
Petr Dobrý (Kerio) napsal dne Pá, 03 červen 2016 11:35
Asi tady doslo k mirnemu nepochopeni jak HTTPS filtrovani funguje.
Do seznamu vyjimek se davaji IP adresy (pocitacu v LAN kterych se HTTPS inspekce nema tykat) nebo uzivatele kterych se nema tykat. Pokud tam date domenu napr. dropbox.com, tak to URL se resolvne na IP a prida se tam taky. Ovsem diky loadbalancingu cloudovych sluzeb ta IP bude zrejme pokazde jina.
Aby to fungovalo pro domenu, musi klienti pouzivate Kerio Control jako DNS server a musi byt v Controlu zapnuta DNS cache - http://kb.kerio.com/1345.

Pokud chcete vyjmout pouze konkretni sluzbu pro vsechny, nejlepsi je vytvorit si na to traffic pravidlo, napr:
Zdroj: Trusted Interfaces
Cil: dropbox.com
Service: HTTPS
Translation: NAT
Protocol inspector: None


Vypadá to, že to traffic pravidlo je správná cesta Smile Díky.
  •  
ministry je nyní offline ministry

Příspěvky: 7
Odeslat poštu tomuto uživateli
Tak jsem to zakřiknul. Po vytvoření pravidla se tváří vše ok .. ovšem jen chvíli. U pravidla je napsáno, že se používá. Přes fidlera jsem si při spuštění win update odfiltroval, kam to sahá. Udělal jsem pravidlo viz. obrázek. Chvíli vše ok .. po hodině stejný problém.

  • Příloha: 2.JPG
    (Velikost: 26.16KB, Staženo 154 krát)
  •  
Petr Dobrý je nyní offline Petr Dobrý

Příspěvky: 427

Odeslat poštu tomuto uživateli
a pouzivate Kerio Control jako DNS server a je v nem zapnuta DNS cache ?
  •  
ministry je nyní offline ministry

Příspěvky: 7
Odeslat poštu tomuto uživateli
Dobrý den,
po zapnutí DNS a cache stanice hlásí, že nemohou kontaktovat AD. Funguje to jen v případě, že ručně vyplním lokální DNS databázi (to je dost krkolomné řešení). Předávání dotazů dle pravidel "DNS jméno síť a DNS servery" nastaveno mám, ale vypadá to, že předávání nefunguje korektně.

Nějaké nápady ? Díky.
  •  
Petr Dobrý je nyní offline Petr Dobrý

Příspěvky: 427

Odeslat poštu tomuto uživateli
Pak to predavani dotazu neni nastavene spravne. Bohuzel bez ukazky nastaveni se tezko radi.
  •  
ministry je nyní offline ministry

Příspěvky: 7
Odeslat poštu tomuto uživateli
Co konkrétně chcete vidět?
Použít dns forwarder - zaškrtnuto
Používat cache - zaškrtnuto
Povolit předávání - zaškrtnuto (DNS jméno /sít: xy.cz) DNS server(y): Dvě ip oddělené středníkem.

Lokální DNS databáze
zaškrtnuta první volba a v tabulce vyplněna IP kompu + jeho název. Ip jsou stále stejný. O DHCP se nestará kerio.


  •  
Petr Dobrý je nyní offline Petr Dobrý

Příspěvky: 427

Odeslat poštu tomuto uživateli
A tady je prave ta chyba. Pokud chcete predavat dotazy pro celou domenu, musi tam byt *.xy.cz

[Aktualizováno: Po, 06 červen 2016 09:20]

  •  
ministry je nyní offline ministry

Příspěvky: 7
Odeslat poštu tomuto uživateli
Petr Dobrý (Kerio) napsal dne Po, 06 červen 2016 09:19
A tady je prave ta chyba. Pokud chcete predavat dotazy pro celou domenu, musi tam byt *.xy.cz


Nastavili jsem *.xy.cz a nyní se některé stanice tváří ok, ale u části zůstává stejný problém. DNS cache jsem vyprázdnil.
  •  
ministry je nyní offline ministry

Příspěvky: 7
Odeslat poštu tomuto uživateli
Mi to uz nejak hlava nebere. Aktualni nastaveni:

Forwarder povolen
Cache povolena
Predavani dotazu povoleno s nastavenim *.xy.cz a ip oddelene strednikem

Klientum se nacita DNS (ip keria)

Divny je .. ze i kdyz mam v komunikacnim pravidlu povoleny http i https .. tak treba skype se vubec nepripoji i kdyz ma zaskrtnuty aby pro dalsi spojeni pouzival 80 a 443. Bez pravidla .. ktere povoli nejake porty v rozmezi 40000 - 40300 si ani neskrtne.

pres netstat vidim .. ze porty nicim blokovany nejsou ..

Nekterym stanicim weby jedou ok .. nektery se ani neprihlasi .. s hlaskou ze nelze kontaktovat AD. :/

Předchozí téma: MS Azure Site-to-Site VPN
Další téma: Propustnost IDS/IPS
Jít na fórum:
  


Disclaimer:
Kerio discussion forums are intended for open communication between forum members and may contain information and material posted by members which may be useful in learning about Kerio products. The discussion forums are not intended to provide technical support for any specific product. Any information implied or expressed in the discussion forums is that of the posting member. Kerio is in no way responsible for the information posted in the forums, or its accuracy. Kerio employees may participate in the discussions, but their postings do not represent an offical position of the company on any issues raised or discussed. Kerio reserves the right to monitor and maintain the forums to promote free and accurate exchange of information.

Aktuální čas: St pro 13 08:01:31 CET 2017

Celkový čas potřebný k vygenerování této stránky: 0.99657 vteřin
.:: Kontakt :: Domů ::.
Běží na: FUDforum 3.0.4.