Интернет через VPN и Kerio WinRoute Firewall 6.3.1.2906,
+ Антивирус Касперского 7.0.0.124. KAV+KWF.

23.03.2007
дополнено 07.08.2007
Новиков М.Г.

 
Содержание:

Вступление
Проблема — полное отключение локальной сети провайдера после инсталляции
Причина отключения локальной сети провайдера и решение проблемы
Настройка VPN-соединения с Интернетом
Установка антивируса Касперского 7.0.0.124 вместе с файерволом Kerio WinRoute Firewall
Непонятные отключения пользователей сети от Интернета при работе через Kerio
Некоторые ньюансы и советы по настройке KWF

Вступление

Недавно у меня возникла необходимость обновить через Интернет ПО на моём втором домашнем компьютере. Чтобы не таскать компьютер из комнаты в комнату, я соединил их витой парой, добавив на основной компьютер вторую сетевую карту. Теперь можно было наладить выход в Интернет со второго компьютера средствами ОС согласно методике, описанной мной ранее в статье «Подключение локальной сети к Интернету».

Но я решил выпендриться, и поставить себе полноценный корпоративный шлюзовой файервол с функцией маршрутеризации, а именно Kerio WinRoute Firewall 6.3.1.2906, заодно защитив себя от возможных атак хакеров. Срок установленной у меня триальной версии персонального файервола Outpost 4.0.971.7030 (584) давно закончился — я планировал попробовать в действии и другие файерволы. И вот случай представился.

Замечу, что Интернет ко мне поставляется через локальную сеть провайдера по каналу VPN (подробнее об этом я рассказывал в статье «Доступ в Интернет через VPN и Outpost Firewall Pro»). То есть при работе в Интернете у меня существует два сетевых соединения — одно — это локальная сеть провайдера а второе — VPN-канал с Интернетом. Третье соединение — это моя внутренняя сеть.

[Вернуться в начало]

Проблема — полное отключение локальной сети провайдера после инсталляции

После полной инсталляции файервола Kerio WinRoute Firewall 6.3.1.2906 у меня намертво обрубилась локальная сеть провайдера (а значит и канал VPN с Интернетом) несмотря на то, что правила для трафика были автоматически сгенерированы файерволом правильно. Более того, при остановке файервола сеть восстанавливалась не всегда.

Я несколько раз деинсталлировал и снова инсталлировал файервол, пробуя разные режимы установки, в том числе и с остановленным антивирусом Касперского 7.0.0.124 — ничего не помогало. Надо заметить, что Kerio WinRoute Firewall 6.3.1.2906 очень корректно деинсталлируется, восстанавливая после себя все сетевые настройки.

[Вернуться в начало]

Причина отключения локальной сети провайдера и решение проблемы

Памятуя о том, что антивирус Касперского уже мешал ранее какой-то программе, даже будучи отключенным, я деинсталлировал его, и о счастье, локальная сеть провайдера заработала! Вывод — антивирус Касперского 7.0.0.124 конфликтует с файерволом Kerio WinRoute Firewall 6.3.1.2906. Жаль, что этот файервол ничего не знает о существовании антивируса Касперского, и поэтому даже не предупреждает о несовместимости.

[Вернуться в начало]

Настройка VPN-соединения с Интернетом

Локальная сеть провайдера заработала, однако VPN-соединение к Интернету подключаться не захотело. Поскольку VPN-соединение основано на протоколе PPTP, надо просто добавить этот протокол в список протоколов правила Firewall Traffic (раздел Traffic Policy). VPN-соединение включится, но трафик через него не пойдёт. Естественно, ведь в столбце Destination правила Firewall Traffic значится соединение с локальной сетью провайдера, а не с VPN!

Чтобы разрешить трафик через VPN, задублируем правило Firewall Traffic, уберем из дубликата протокол PPTP, а в столбце Destination локальную сеть провайдера заменим на VPN, выбрав в открывшемся списке пункт Network connected to interface и найдя там соединение VPN. После этого Интернет через VPN заработает. К протоколам правила для VPN можно добавить протоколы и сервисы, которые используются в Интернете нашим главным компьютером, например, сервис ICQ.

Чтобы разрешить доступ к локальной сети провайдера и Интернету с других компьютеров нашей внутренней сети, следует также вышеописанным образом задублировать правило NAT — в правило NAT для локальной сети провайдера прописать протокол PPTP, а в правило NAT для VPN можно добавить протоколы и сервисы, которые используются компьютерами нашей внутренней сети, например, сервис ICQ.

[Вернуться в начало]

Установка антивируса Касперского 7.0.0.124 вместе с файерволом Kerio WinRoute Firewall

Теперь снова установим антивирус Касперского 7.0.0.124, но в несколько усечённом варианте. При установке антивируса Касперского 7.0.0.124 в полном виде он будет ругаться на несовместимость с Kerio WinRoute Firewall 6. Однако если мы выберем не типичную а выборочную установку и отключим при выборе компонентов для инсталляции компоненты защиты «Почтовый Антивирус» и «Веб-Антивирус», антивирус Касперского 7.0.0.124 прекрасно установится и будет работать вместе с Kerio. Что касается защиты почты и веб-контента, этим будет заниматься встроенный антивирус McAfee, базы которого следует обновить в разделе Content Filtering -> Antivirus.

Таким образом, мы получаем двойную антивирусную защиту — встроенный антивирус McAfee будет на лету ловить вирусы в почте и веб-контенте, а антивирус Касперского — в уже сохранённых на диске файлах, если McAfee что-нибудь пропустит.

[Вернуться в начало]

Непонятные отключения пользователей от Интернета при работе через Kerio.
Kerio блокирует пользователей.

Описание глюка: Пользователи отваливаются от Интернета. При задании правил для новых пользователей старые пользователи не могут получить доступ к Интернету. Если правило старого пользователя перевести выше остальных, удалить из правила имя пользователя, а потом снова его вписать в правило, то он может подключиться, однако после перезагрузки отключаются другие пользователи. Еесли же прописать вместо имён IP-ы компьютеров, то всё начинает работать.

Причина: Наверное KWF еще и ругается периодически во всплывающей подсказке: «Windows Internet Sharing or is enabled. Kerio WinRoute Firewall is incompatible with this Windows feature. Please disable it, otherwise the network connectivity might fail.». Объясняется всё просто — KWF не узнаёт пользователя по имени, поскольку тот подключается к нему не через базу пользователей KWF а напрямую средствами Windows по IP.

Решение проблемы: В свойствах подключения Интернета убрать галочку, разрешающую пользователям сети получать доступ в Интернет используя интернет-соединение этого компьютера, после чего восстановить IP компьютера в соединении с локальной сетью, если тот слетит. Осуществление доступа в Интернет пользователям сети теперь полностью берёт на себя KWF.

[Вернуться в начало]

Некоторые ньюансы и советы по настройке KWF

1. Правила обрабатываются сверху вниз. Найдя пакет, удовлетворяющий правилу, KWF выполняет требуемое действие (Permit — пропустить, Deny — остановить с сообщением об этом программе-отправителю или Drop — молча остановить),  прерывает просмотр правил и переходит к следующему пакету. Поэтому запрещающие правила, как более важные, должны находиться выше разрешающих и все остальные правила тоже должны выстраиваться согласно требующегося порядка их обработки. Единственным запрещающим правилом, всегда стоящим в самом конце всех правил, является правило запрещения всего трафика кроме разрешенного вышестоящими разрешающими правилами.

2. Имеющееся по умолчанию правило «Ident», запрещающее трафик одноимённой службы и сообщающее об этом в Интернет, можно отключить или даже удалить совсем. В Интернете уже практически нет систем, ожидающих ответ об отсутствии этой службы на нашем компьютере, а значит действие «Deny» уже не нужно. Отключив это правило, мы делаем компьютер невидимым по этому порту, а значит наша безопасность увеличится.

3. При занесении пользователей в раздел Users and Groups, пользователю, работающему на компьютере с файерволом, в отличие от других пользователей, не присваивается IP его компьютера (например 192.168.0.1), а устанавливается галочка «Firewoll». Иначе при подсчёте статистики по трафику он будет значиться как «нераспознанный пользователь».

4. Если периодически над иконкой KWF в трее появляется сообщение «Windows Internet Sharing or is enabled. Kerio WinRoute Firewall is incompatible with this Windows feature. Please disable it, otherwise the network connectivity might fail.», и наряду с этим не работают правила, если в них использованы имена пользователей, значит у вас в свойствах подключения Интернета стоит галочка, разрешающая пользователям сети получать доступ в Интернет используя интернет-соединение этого компьютера. Её надо снять, поскольку теперь эту функцию берёт на себя KWF.

5. Если доступа в Интернет нет, или его появление на тех или иных компьютерах сети носит случайный характер, хотя все правила в KWF настроены как надо и снята галочка в свойствах подключения Интернета, разрешающая пользователям сети получать доступ в Интернет используя интернет-соединение этого компьютера, то проверьте, не установлены ли на компьютере с KWF другие программы типа шлюзов или прокси-серверов. Если такие программы есть, их надо деинсталлировать. Простое их отключение обычно не помогает.

6. При любых странностях в работе KWF всегда бывает полезно почитать его логи «error» и «warning».