Нет доступа к сети у пользователей при работе сетевого экрана

[imperiose]

Добрый день. В политике на KSC настроены правила на сетевом экране, самым последним размещается блокировка трафика, выше есть правила на доступ вх/исх трафик и в локальных адресах прописаны пулы адресов локальных сегментов.

При включении пк, клиент не успевает получить адрес по dhcp, т.к сетевой экран блокирует все подключения.
Подскажите, как избежать этого или какое правило нужно прописывать, что бы не блокировался весь трафик внутри сети еще до момента получения ip.

[En1gma]

Для получения адреса по DHCP необходимо соединиться с DHCP-сервером, если у вас среди прочих разрешающих правил нет на это отдельного разрешения, то и соединения никакого не получится.

Секрет скорее всего в том, что у вас DHCP раздаёт какая-нибудь AD-шка, на которой есть статика. До получения IP-адреса узлом, он имеет какой-то рандомный адрес, полученный из чёрт-те знает откуда. Наверняка на AD-шке нет разрешения на коннект с такими адресами, поэтому KES на ней откидывает попытки получения адреса. А вовсе не на узле.

Сетевая защита в KES работает поверх всего, что есть в системе, даже дров сетевого адаптера. Поэтому она способна перекрыть дыхание даже до собственного шлюза. Следствие из этого: если нужно именно такое правило, необходимо другими правилами разрешить абсолютно все необходимые соединения, в том числе служебные.

Антивирус не заменит нормальный железячный межсетевой экран, он может играть вспомогательную роль, но вот такие приколы неизбежны, увы.

Если у вас DHCP-сервер не на серваке с таким же KES, то при желании оставить именно такое правило, выходом будет таки раздать статические адреса, хотя бы базово коннект появится.