5
Kerio Winroute Firewall lässt MSN, Windows Update, sowie pop3 und SMTP nicht durch.
Hi @ all
Habe folgendes Problem:
Ich habe vor kurzem die Kerio Winroute Firewall installiert.
Habe auch alles so eingestellt, wie ich mir gedacht habe, dass es richtig sei. Allerdings kann der Server selbst sich nicht updaten, was schon mal ziemlich scheiße ist, des weiteren funktionieren zwar http https aber kein pop3 und kein smtp, sowie msn Messenger. Allerdings kommt man ins ICQ Netzwerk via ICQ Client sowie Trillian. Mac Benutzer haben allerdings das Problem, dass Audium wieder rum nicht geht, da es anscheinend dynamische Ports braucht.
Hab mal Screenshots gemacht um zu euch zu zeigen, wie ich es eingestellt habe. Vielleicht seht ihr meinen Denkfehler.
Also ich habe mir das ganze so gedacht, dass wenn ein Rechner nicht registriert ist, also sein MAC Adresse, dieser dann in einen anderen IP Bereich kommt. In meinem Fall 192.168.90.1-254 (Nicht Registrierte). Diese kommen mit der Regel „Zugriff auf Anmeldeseite“ zwar zur Firewall sehen dort aber nur eine Website, wo sie erklärt bekommen, wie sie ihre MAC auslesen und dann noch ein Formular bekomme, dass die dort runterladen können.
Nachdem dann der Systemadmin die MAC eingetragen hat, bekommt der PC eine IP von dem Bereich Schüler zugewiesen via DHCP. Da Allerdings es auch möglich ist sich selbst eine IP zu geben und dann ausserhalb des DHCP Bereiches trotzdem ins Internet zu kommen habe ich diese mit den Gruppen (Gesperrte Schüler, Gesperrter Bereich, Gesperrter Bereich 2, nicht freigegeben und Nicht Registrierte) gesperrt, in dem die Firewall den zugriff auf die Lan-karte, sich selbst und das Internet verwehrt. Diese Liste ^^ kann somit nur auf die Website zugreifen, die im Intranet liegt. Mein PC ist unwichtig, da ich dort nur schaue, ob es an der FW oder am Internet liegt. Die VPN Clients sind in unserem Fall nur die Admins.
So, nun zu dem Bereich „Schüler zu Internet“ (NAT) und „Firewall zu Schüler“.
Dort habe ich einige Dienste freigeschaltet und bei beidem gleich. Allerdings gehen bestimmte Dienste wie oben beschrieben andere nicht. Irgendwo muss mein Fehler genau da liegen aber ich weiß nicht wo.
So und die oberste Regel ist, dass die Firewall (also der Server selbst do denk ich mal) und das Internet frei kommunizieren dürfen. Aber genau da ist das 2te Problem. Der Server holt sich bei eingeschalteter Firewall keine Updates. Wenn ich diese allerdings runterfahre fängt er fröhlich an up zu daten.
Währe um jede Hilfe und Anregung dankbar.
Frohe Weihnachten
Mit freundlichen Grüßen Xerver
PS: ich hoffe ich hab es nicht zu Kompliziert erklärt….
Habe folgendes Problem:
Ich habe vor kurzem die Kerio Winroute Firewall installiert.
Habe auch alles so eingestellt, wie ich mir gedacht habe, dass es richtig sei. Allerdings kann der Server selbst sich nicht updaten, was schon mal ziemlich scheiße ist, des weiteren funktionieren zwar http https aber kein pop3 und kein smtp, sowie msn Messenger. Allerdings kommt man ins ICQ Netzwerk via ICQ Client sowie Trillian. Mac Benutzer haben allerdings das Problem, dass Audium wieder rum nicht geht, da es anscheinend dynamische Ports braucht.
Hab mal Screenshots gemacht um zu euch zu zeigen, wie ich es eingestellt habe. Vielleicht seht ihr meinen Denkfehler.
Also ich habe mir das ganze so gedacht, dass wenn ein Rechner nicht registriert ist, also sein MAC Adresse, dieser dann in einen anderen IP Bereich kommt. In meinem Fall 192.168.90.1-254 (Nicht Registrierte). Diese kommen mit der Regel „Zugriff auf Anmeldeseite“ zwar zur Firewall sehen dort aber nur eine Website, wo sie erklärt bekommen, wie sie ihre MAC auslesen und dann noch ein Formular bekomme, dass die dort runterladen können.
Nachdem dann der Systemadmin die MAC eingetragen hat, bekommt der PC eine IP von dem Bereich Schüler zugewiesen via DHCP. Da Allerdings es auch möglich ist sich selbst eine IP zu geben und dann ausserhalb des DHCP Bereiches trotzdem ins Internet zu kommen habe ich diese mit den Gruppen (Gesperrte Schüler, Gesperrter Bereich, Gesperrter Bereich 2, nicht freigegeben und Nicht Registrierte) gesperrt, in dem die Firewall den zugriff auf die Lan-karte, sich selbst und das Internet verwehrt. Diese Liste ^^ kann somit nur auf die Website zugreifen, die im Intranet liegt. Mein PC ist unwichtig, da ich dort nur schaue, ob es an der FW oder am Internet liegt. Die VPN Clients sind in unserem Fall nur die Admins.
So, nun zu dem Bereich „Schüler zu Internet“ (NAT) und „Firewall zu Schüler“.
Dort habe ich einige Dienste freigeschaltet und bei beidem gleich. Allerdings gehen bestimmte Dienste wie oben beschrieben andere nicht. Irgendwo muss mein Fehler genau da liegen aber ich weiß nicht wo.
So und die oberste Regel ist, dass die Firewall (also der Server selbst do denk ich mal) und das Internet frei kommunizieren dürfen. Aber genau da ist das 2te Problem. Der Server holt sich bei eingeschalteter Firewall keine Updates. Wenn ich diese allerdings runterfahre fängt er fröhlich an up zu daten.
Währe um jede Hilfe und Anregung dankbar.
Frohe Weihnachten
Mit freundlichen Grüßen Xerver
PS: ich hoffe ich hab es nicht zu Kompliziert erklärt….
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 104715
Url: https://administrator.de/contentid/104715
Printed on: April 18, 2024 at 00:04 o'clock
5 Comments
Latest comment
Moin und schöne Weihnachten!
Zu deinen Regeln:
"Firewall zu Internet": diese Regel läßt wirklich alles und jedes vom Internet von und zur Firewall durch. Somit kannst die auch weglassen! Sofort ändern!!!!!!!
"Verkehr von der Firewall weg": ist überflüssig, da in der Regel dadrüber enthalten
"DHCP und Ping": Solltest Du nur auf das LAN beschränken und nicht auch vom Internet aus zulassen
"VPN Clients": Auch hier sind die Cleinst aus dem Inet ohne Beschränkungen erreichbar
"Mein PC": genauso offen wir die VPN-Clints!
Das mußt Du natürlich schnellstens ändern!
Aber zu deinem eingentlichen Problem/Frage, da die erste Regel schon alles für den Server öffnet, kann es schon nicht mehr am Regelwerk liegen. Also schon doch mal in die "Inhaltsfilterung", dort gibt es eine Standardregel die den ZUgriff auf MS-Updates erlaubt. Man kann die aber unter den Eigenschaften noch einschränken, z.B. Welche Clientgruppe, zu welcher Zeit etc. Schau mal ob die dort den Server ausgesperrt hast.
Noch eine Stelle wären die URL-Groups, dort könnte die MS-Seite rausgefiltert werden, wenn Du eine entsprechende Regel gebaut hast.
Grüße
Zu deinen Regeln:
"Firewall zu Internet": diese Regel läßt wirklich alles und jedes vom Internet von und zur Firewall durch. Somit kannst die auch weglassen! Sofort ändern!!!!!!!
"Verkehr von der Firewall weg": ist überflüssig, da in der Regel dadrüber enthalten
"DHCP und Ping": Solltest Du nur auf das LAN beschränken und nicht auch vom Internet aus zulassen
"VPN Clients": Auch hier sind die Cleinst aus dem Inet ohne Beschränkungen erreichbar
"Mein PC": genauso offen wir die VPN-Clints!
Das mußt Du natürlich schnellstens ändern!
Aber zu deinem eingentlichen Problem/Frage, da die erste Regel schon alles für den Server öffnet, kann es schon nicht mehr am Regelwerk liegen. Also schon doch mal in die "Inhaltsfilterung", dort gibt es eine Standardregel die den ZUgriff auf MS-Updates erlaubt. Man kann die aber unter den Eigenschaften noch einschränken, z.B. Welche Clientgruppe, zu welcher Zeit etc. Schau mal ob die dort den Server ausgesperrt hast.
Noch eine Stelle wären die URL-Groups, dort könnte die MS-Seite rausgefiltert werden, wenn Du eine entsprechende Regel gebaut hast.
Grüße
Hi n.o.b.o.d.y
Danke für deine schnelle antwort.
Also der Server hängt nochmal hinter nem Router und den sollen die Vpns auch ansteuern können, also nicht direkt im Internet. Hab aber die erste Regel geändert. Der Server muss es nicht sei.
So das Windows Update Problem hab ich nun auch gelöst dank der Http Richtlinien die du angesprochen hast. Hab es für die Schüler gesperrt, da ne DSL 2000 Leitung nichts zum updaten von 120 clients ist ... Danke.
So nun noch zu dem Mail Problem. Thunderbird, sowie Outlook können durch die Regeln nicht auf pop3 zugreifen, egal ob man den Proxy einträgt oder nicht....genauso ist es bei smtp....also senden und empfangen ist absolut nicht möglich
Und das MSN Messanger Problem besteht auch weiter.... währe nett wenn jemanden noch irgendeine Idee hat ....
Danke im vorraus
Noch schöne Feiertage
MFG Xerver
Danke für deine schnelle antwort.
Also der Server hängt nochmal hinter nem Router und den sollen die Vpns auch ansteuern können, also nicht direkt im Internet. Hab aber die erste Regel geändert. Der Server muss es nicht sei.
So das Windows Update Problem hab ich nun auch gelöst dank der Http Richtlinien die du angesprochen hast. Hab es für die Schüler gesperrt, da ne DSL 2000 Leitung nichts zum updaten von 120 clients ist ... Danke.
So nun noch zu dem Mail Problem. Thunderbird, sowie Outlook können durch die Regeln nicht auf pop3 zugreifen, egal ob man den Proxy einträgt oder nicht....genauso ist es bei smtp....also senden und empfangen ist absolut nicht möglich
Und das MSN Messanger Problem besteht auch weiter.... währe nett wenn jemanden noch irgendeine Idee hat ....
Danke im vorraus
Noch schöne Feiertage
MFG Xerver
Moin!
ist es den die Kerio, die POP/SNMP (wo steht der Mailserer?) und MSN blockt, oder kann es auch der Router davor sein?
Check doch auch mal die Sttus > Alarmnachrichten und die Protokolle unten in der Adminkonsole. Steht dort was verwertbares drin?
MSN geht ja auch zu *gateway.messenger.hotmail.com* ist das u.U. auch geblockt?
Welche Ports hast Du für MSN, MSN 2, MSN Messanger hinterlegt?
Hier mal die benötigten: klick
ist es den die Kerio, die POP/SNMP (wo steht der Mailserer?) und MSN blockt, oder kann es auch der Router davor sein?
Check doch auch mal die Sttus > Alarmnachrichten und die Protokolle unten in der Adminkonsole. Steht dort was verwertbares drin?
MSN geht ja auch zu *gateway.messenger.hotmail.com* ist das u.U. auch geblockt?
Welche Ports hast Du für MSN, MSN 2, MSN Messanger hinterlegt?
Hier mal die benötigten: klick
Hi n.o.b.o.d.y
Also ich habe genau das System nochmal in einer Testumgebung aufgebaut und die Regeln auch so gemacht wie es auf dem Server ist, nur ohne URL Regeln und dort funktioniert pop3 und smtp auch nicht. (System steht gerade 200 km weg) Wenn ich mich entweder als VPN Client anmelde oder mich direkt an den Router kann ich Mails damit abrufen nur sofern die FW da ist geht es leider nicht mehr ....
Das mit MSN da hab ich genau die Ports davon hinterlegt, die in deiner Liste sind hab die Seite auch gefunden auf meiner Suche. Kann es sein das ich so Sachen wie UpnP oder ipSec dafür aktivieren muss ??? Hab das irgendwo gelesen gehabt, aber noch nicht ausprobiert, da UpnP ja zum konfen von Routern ist wenn mich nicht alles täuscht.
Und unter den Alarmnachrichten stehen nichts drinnen.
Vielen Dank für deine Bemühungen.
MFG Xerver
Also ich habe genau das System nochmal in einer Testumgebung aufgebaut und die Regeln auch so gemacht wie es auf dem Server ist, nur ohne URL Regeln und dort funktioniert pop3 und smtp auch nicht. (System steht gerade 200 km weg) Wenn ich mich entweder als VPN Client anmelde oder mich direkt an den Router kann ich Mails damit abrufen nur sofern die FW da ist geht es leider nicht mehr ....
Das mit MSN da hab ich genau die Ports davon hinterlegt, die in deiner Liste sind hab die Seite auch gefunden auf meiner Suche. Kann es sein das ich so Sachen wie UpnP oder ipSec dafür aktivieren muss ??? Hab das irgendwo gelesen gehabt, aber noch nicht ausprobiert, da UpnP ja zum konfen von Routern ist wenn mich nicht alles täuscht.
Und unter den Alarmnachrichten stehen nichts drinnen.
Vielen Dank für deine Bemühungen.
MFG Xerver
Hi
Also ich glaube ich habe das problem gelöst.
Hatte bei beiden Servern vergessen den Domainnamenserver unter DHCP einzutragen. Ist nur komisch das ICQ ging aber MSN nicht... Auch die Mails lassen sich somit abrufen.
Vielen dank an n.o.b.o.d.y für seine tatkräftige Unterstützung.
(Was so eine kleine Einstellungen alles vergeigen kann....)
MFG Xerver
Also ich glaube ich habe das problem gelöst.
Hatte bei beiden Servern vergessen den Domainnamenserver unter DHCP einzutragen. Ist nur komisch das ICQ ging aber MSN nicht... Auch die Mails lassen sich somit abrufen.
Vielen dank an n.o.b.o.d.y für seine tatkräftige Unterstützung.
(Was so eine kleine Einstellungen alles vergeigen kann....)
MFG Xerver
