kerio win Route and outlook
2892
9
Est win2003 server c AD, firewall WinRoute kerio, na servere korporativnoi pochti v moskve MS exchange.
Vopros: nastraivau outlook ne furichit, tolko fire wal otkluchy nachinaet rabotat, pri etom outloke ''test account setting'' prohodit i Explorer po inety hodit i pri vkluchenom firewall, a vot outlook ne rabotaet, Mojet kto nibyd znaet kakie porti kyda otkrit nado ctob zafyrichilo? a to ia yje prosto.....
Artem_
настройки керио (trafic policy для начала) и учетки аутлука в студию. и включите на дефолтном правиле (самом нижнем) логгирование пакетов и посмотрите filter.log - будет видно что не проходит.
ADmitry
A trafig policy prost
1) local area to world area any permit NAT (translate to outgoing intarface)
2) local area to local area any permit
3) default any any any drop
Artem_
Порты:
Как минимум 53 (DNS), 25 (SMTP), 110 (POP).

Я делал так - сносил все правила кроме самого нижнего (запретить все на всех)

Делал правило для входящих пакетов (указывал протоколы акие должны подключатся к шлюзу с винроутом). У вас их помоему не должно быть.
(inet->firewallhost=drop (all) )

Делал правило для исходящих протоколов
( firewall->inet=permit (pop3,smtp,http, dns) ) - разрешить со шлюза исходящий траффик по этим протоколам

Делал правила для NAT
lan->inet=NAT (http,dns)

Делал правила для почтовика
mailhost->inet=NAT (pop3, smtp)

последним идет стандартное правило - запретить все на всех.

При Таких правилах с компа с винроутом (firewal host, шлюз) исходящий трафик по http, dns, pop и smtp разрешен. В локалке разрешен только http и dns, pop и smtp запрещены.

Почтовый сервак имеет протоколы: pop,smtp, http, dns.

Если из копроративного сервера нужен доступ на почтовый сервак то перед самым первым правилом вставить правило:

corporate_mailhost->firewallhost=MAP mailhost (pop, smtp)

Это правило позволит с IP вашего корпоративного почтовика в москве цеплятся к вашему локальному почтовику, используя маппинг портов.

Помните что правила применяются "сверху вниз".

Вроде все.
Artem_
это понятно, а параметры учетки? как подключаетесь? какая топология сетки? а то с такими правилами и не факт что работать будет. ибо есть еще такая полезная, но глюковатая вещь как протокол инспектор, так вот иногда (но не всегда) его кое где есть смысл отключать, ибо не всегда он делает как надо, но отключив теряем очень много - потому настроечки плз учетки в студию.
ADmitry
Фишка в том, что сеть - компьютеры в свич, свич в сервер, сервер к провайдеру, и при этом с тем же сервером (почтовым) соединяются некоторые компьютеры, а некоторые не соединяются, и при этом на одном и том же компьютере Outlook express вроде даже соединяется а outlook напроч не соединяется, при этом, как только выключаешь Firewall все работает,
За...... я уже с ним! :bottle:
Artem_
Включи логирование на правилах, ломанись отуглюком, а потом посмотри в логах куда и чего не пустило, после этого разреши то, что не пускает и попробуй законектица заново.
Barlog
Пробовал, пришел к мнению что Аррива лучше! :bottle:
Открыл я порт который он писал, что блокирует по дефолтному правилу, не помогает, продолжает блокировать, у меня такое ощущение что у керио крыша поехала, говорят бывает... так что :pivo:
Artem_
Блин.
Керио врядли. Настраивоть нужно уметь просто.
попробуй открыть для подключения сервис LDAP - может в этом дело
Artem_
Не, должно работать. Правило на Винруте нужно, у меня такое: source - any, destination - IP нужного сервера, трансляция адресов - вкл (defoult). Если есть еще и свой почтовый сервер, то нужно правило для внутренней сети: source - local1, local2 (i-net), FW, destination - local1, local2 (i-net), FW, трансляция адресов - выкл. Тогда письма будут ходить внутри и уходить наружу.