Jump to content
Jury Sazonov

KE10 11 + проблемы при работе с удаленным доступом

Recommended Posts

Добрый день.

Столкнулся с непонятной особенностью антивируса, пытаюсь найти воркэраунд.
Итак, у меня и  Kaspersky EndPoint Security 11.0.1.90 имеются проблемы при работе с удаленным доступом (Remote Access, построен по технологии IKEv2 IPSec VPN + RSA—auth).

Изначально есть рабочая станция  (HP EliteBook 2540p) под управлением MS Windws 10 Pro.
При помощи встроенного в ОС VPN-клиента настроен удаленный доступ к локальной сети офиса.  На сетевом экране предприятия настроены правила, разрешающие доступ извне к ресурсам компании.  Все проверено, в данной конфигурации удаленный доступ успешно работает из любого места - я это гарантирую 100%.

Мои проблемы начинаются после установки антивируса.  
Сам удаленный доступ (т.е. зашифрованный туннель от клиента к серверу) устанавливается без проблем. Но пользовательский трафик (ping, rdp, smb) перестает ходить по этому туннелю. При этом, трафик иногда «пробивается» в нужном направлении (при том, что никаких изменений в настройках KES не делаю), но отловить закономерность мне не удалось.

Буквально, это происходит таким образом:
- включение ноутбука, загрузка ОС, подключение к WiFi
- подключение к удаленному доступу (Remote Access)
- попытка пропинговать рутер или рабочие станции, которые находятся в локальной сети (за фаерволом) – неудача.
- ждем некоторое время (около 10 мин.), повторяем попытку - успешно. Также, иногда помогает просто полазить в настройках антивируса, выключить / включить FW, вернув потом все, как было.

В ходе испытаний после установки антивируса (на ноутбуках такого типа предполагается ручная установка антивируса, без использования KSC) никакие настройки, кроме «Сетевого экрана» не меняются.

Какие изменения были в конфигурации:
- в настройках KES виртуальный сетевой интерфейс (который «поднимается» при установленном подключении) добавлен в «Trusted» - не помогло.
- временно был отключен модуль «Firewall» (целиком) – не помогло даже после перезагрузки ОС
- было создано «широкое» правила типа разрешить любой трафик в любую сторону 192.168.20.0/26 (диапазон адресов из которого назначает адрес при подключении) < -- > 192.168.40.0/26 (локальная сеть предприятия) - не помогло.
- сеть WiFi к которой подключен ноутбук была добавлена в «Доверенные» - помогло только до перезагрузки, но это неправильное решение:
А) не каждая сеть WiFi может быть доверенной
Б) пользователь не должен делать никаких дополнительных действий при каждой новом подключении
В) зашифрованный трафик должен идти через виртуальный сетевой интерфейс
Г) после перезагрузки этот воркараунд не работает


Резюмируя – после установки антивируса наблюдается плавающий эффект, при котором трафик может не уходить в зашифрованный канал (или же блокируются обратные сессии).

Вопрос знающим - кто-то с подобным сталкивался? Самое печальное, что я пока не понимаю саму природу такого поведения.

 

В ЛК создано обращение  INC000010104464  , но по опыту знаю, что иногда на форуме помощь приходит быстрее.

 

Заранее и с уважением.

 

Share this post


Link to post

Здравствуйте,

Пожалуйста, уточните, где бы вы хотели получить поддержку: на форуме или в рамках  INC000010104464?

Пожалуйста, приложите к своему ответу экспорт активной политики или конфигурации KES.

Спасибо!

Share this post


Link to post

Добрый день.

Для меня конечная цель - решить проблему.  Каким именно спопосб она будет решена - не имеет значения.

Отдельно отмечу, чтов "Персональном Кабинете"  пока не ответили.

Экспорт настроек - в приложении. Готов предоставить дополнительную информацию.

 

С уважением

conf.cfg

Share this post


Link to post

Обнаружил особенность - при установленном KES трафик ничинает ходить в канале спустя 6-10 минут после начала работы (после того, как был установлен удаленный доступ).

Хронолоия работы такова:
- 12:56 - загрузка ОС
- 12:57 - подключение к Remote Access и время начала тестов (попытка пинговать)

Прошу обратить внимание на приложенный скриншот. Это - лог работы модуля FW в KES.  

pings.jpg.f77f62be010daba51e89ff219ebba3d7.jpg
С адреса 192.168.20.13 (адрес, который получил виртуальный адаптер ноутбука при удаленном подключении) осуществляются попытки пинга адреса 192.168.40.17  (рабочая станция локальной сети).
Красным (интервал времени около 13:02) отмечены неудачные попытки пропинговать рабочую станцию, согласно разрешающему правилу (Remote Access) ICMP выходит, но ответа нет (не доходит или дропается, но не логируется). При этом, трафик доходит до сетевого экрана предприятия, пропускается и назад отправляется ответ.

001.thumb.PNG.749c35311ebced341fd06cba6ca38a3d.PNG


Далее, ничего не меняв в конфигурации я получаю возможность пинговать адрес 192.168.40.17 - интервал времени около 13:03, выделено зеленым. Зеленая зона отличается от красной тем, что в ответ на ICMP-запросы приходят ответы. В красной зоне ответов нет (не доходят или не логируются). Лог с сетевого экрана предприятия ничем не отличается от предыдущего

002.thumb.PNG.369448a602a2ea46bf54231ef8b632a9.PNG

Экспорт настроек ничем, особо, не отличается от предущей версии, возможно, включено логирование и изменен порядок следования правил.

conf1.cfg

Share this post


Link to post

Здравствуйте!

Ожидайте ответа в рамках инцидента. 

Спасибо!

Share this post


Link to post

Скажите, а каково время хотя бы первичной реакции?

Пошли уже вторые сутки.

Share this post


Link to post

Был неправ, признаю.

Получил Private Fix, на первый взгляд все работает. По крайней мере, это сообщение я пишу, подключившись к удаленке.

Осталось еще несколько вопросов вторичного плана, но, надеюсь, мы их решим в рабочем порядке.

Share this post


Link to post

Спасибо за информацию!

Уточните, пожалуйста, можно ли считать, что проблема решена?

Пожалуйста, оцените оказанную помощь, используя опцию "Rating" в названии топика!

Спасибо!

Share this post


Link to post

Добрый день.

Основная проблема решена, подтверждаю.

 

Сейчас необходимо получить ответ на второстепенный вопрос и здачу можно будет считать закрытой

Share this post


Link to post

Все, обращение в ЛК закрыто.

Спасибо, все оперативно и профессионально.

 

С уважением

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.