» Настройка WinRoute 4.x

UserWR

А он с ZoneAlarm нормально уживается? Вот только вчера поставил WinRoute, временно ZA Pro убрал, но как же без него, сегодня вечером буду назад ZA ввинчивать. Какие нибудь проблеммы при установке могут случится? Что то для ZA дополнительно указывать надо?

memo
хз про ZA, а вот с Outpost у меня все ок работает

2olenidal
Проверь настройки IP (x.x.x.x - то, что дал провайдер) по IPCONFIG/ALL:

Local Area Connection - Ethernet adapter:

IP-адрес . . . . . . . . . . . . : 192.168.y.y1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : x.x.x.x
x.x.x.x
Основной шлюз на карте, смотрящей в локалку не должен иметь адреса.
На карточке, смотрящей на модем должна стоять причка на "Исключить этот компьютер из списка трансляции адресов".
На компьютерах в сети должно быть:

IP-адрес . . . . . . . . . . . . : 192.168.y.yn
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . . : 192.168.y.y1
DNS-серверы . . . . . . . . . . . : x.x.x.x
x.x.x.x


Добавлено:
2 memo
Проблем с установкой не было. При работе с ZA доступ к ICQ стал возможен только с ICS и был заблокирован полный доступ для других компьютеров к некоторым адресам - но работе это не мешало, а балду гонять можно и не на работе.

Проблема - нет звонка по требованию. Всё работало до того, как в сервер воткнул вторую сетевую карту. Она подключена к ADSL-модему для связи с удалённой подсетью. Кое-как разрулил с маршрутизацией между двух сетевух. Но звонка по требованию - провайдеру через обычный модем - нет. Смотрю логи - когда я пытаюсь выйти в интернет с рабочей станции, то DNS-запросы идут по второй сетевой карте через ADSL-модем на удалённый DNS-сервер. А в том краю интернетом не пахнет. Надо чтобы туда ходил только один, совершенно определённый DNS-запрос, а по всем остальным, неизвестным системе, далался звонок провайдеру. Крутил по-всякому - работать не хочет. Отключаю вторую сетевую - нормально звоним. Может подскажет кто-нибудь куда смотреть?

2maigen
Проверь настройки IP, включая DNS, для всех карточек и модема (что-то типа RAS)

Отбой - проблема решилась. Полезная ссылочка: http://www.kerio.com.br/manuais/kwf/ch10s03.html. Там объясняется, как работает звонок по требованию.

В качестве прокси используется Винроут 4.2.5, включен нат. В локальной сети стоит веб-сервер. Когода пользователи заходят на внутренний сайт в переменную REMOTE_ADDR всегда кладется айпишник прокси-сервера. Как сделать так, чтобы для запросов адресованных внутреннему веб-серверу подмены айпишников не происходило?

Добавлено:
Пробовал играться с дополнительными настройками преобразования адресов, но все без толку.

griin
поставить в IE отметку "Не использовать прокси-сервер для локальных адресов".

ShriEkeR, не помогает, у меня же нат включен... Да и к тому же перенастраивать ие у всех пользователей геморойно, плюс не факт что кто-то не использует оперу или мозилу. Поэтому лучше это сделать настройками винроута.

Все-таки мне кажется что я правильно начал копать в сторону "дополнительнеых настроек преобразования адресов", но вот не пойму что делаю не правильно. Настройка выглядит так: отправитель - любой, получатель - мой_веб_сервер, не преобразовывать, но это не работает.

PS переменные HTTP_X_FORWARDED_FOR и HTTP_CLIENT_IP пустые.

И не получится.
Web-сервер на внутреннем интерфейсе, следовательно и преобразование адресов (в смысле NAT) здесь не работает. А работает прямое указание браузеру работать через прокси. Вот он и формирует запросы к прокси, а не в Web-серверу, а это несколько разные вещи по определению. А прокси уже от своего имени (адреса) лезет на сервер. Как лечить - см выше

ShriEkeR, Walker, вообще вы правы. Тлько одного понять не могу. При установленной галке "не использовать прокси для локальных адресов" айпишник все-равно остается от прокси, а если снять галку "использовать прокси", то локальный сайт правильно определяет айпи пользователя... Разумеется внешние сайты при этом перестают работать...

griin
Walker все уже объяснил...сервачек внутри сети стоит у тебя и потому и обращения сыпятся
4ALL
Собираюсь вот на досуге опубликовать в инет из сети своей почтовый сервер MDaemon, кто нить уже проделовал? ну чтобы не наступить на грабли мне, я конечно и сам подниму, но спросить то проще и еще момент про то, что MDaemon возможно будет стоять на той же машине, что и WR.

Никаких проблем.
Нужно только остановить почтовик WR, настроить пакетный фильтр по поводу 25 и 110 портов, да портмапинг на них-же при необходимости.

Walker

Цитата:

почтовик WR

не поднимал

Цитата:

настроить пакетный фильтр по поводу 25 и 110 портов, да портмапинг на них-же при необходимости.

И дальше этой машинки ничего не пойдет? ну я о безопасно пекусь...

Добрый день. есть такой вопрос. Нужно подсетки разрешить доступ только к одному сайту.
Что имеем есть сеть с адр. 203.ххх.ххх.ххх которая имее полный доступ в интернет.
через проксю на 203.ххх.ххх.201 и есть подсетка с адрессами 168.ххх.ххх.ххх
Я на своем компе поднимаю 203.ххх.ххх.104(XP) поднимаю винроут для того чтобы подсетка два имела доступ к одному сайту и не имела доступ ко всей сети, как мне это настроить. В закладке доступ получается только ограничение доступа к определенным сайтам.
Заранее спасибо за ответ.
P.S.
По форуму полазил но нашел вроде только тот, что можно ограничить по списку сайтов.
По фильтру пробывал не получилось или полный доступ сеть или ни какого.

Помогите кто знает, 2 вопроса , KWP 4.2.5
1. Периодически возникает 193.193.19x.xx denied: connection limit reached , это как раз интерфейс в смотрящий интернет , перезапуск WR помогает. Или само проходит через какое-то время
2. dns: I:0 - dns fwd table is out of free records и так же лечится как в 1-м случае

Кто знает как бороть (в смысле чтоб не возникало) ?

Вопрос по работе WR + BSB (http://bsb.net.ru/)
не удается никак нормально настроить эту связку, у кого есть наработки - давайте делиться?

Добавлено:
Вопрос снимаю, разобрался самостоятельно, если что то обращайтесь, чем смогу помогу...

ДрУги!
Есть сетка из 30 компов с выходом в Инет через WinRoute. В последнее время в его почтовом протоколе замечаю отправки не с моего домена, а какие-то совершенно левые. Наверное один (или не один) из компов в сети заразился трояном. Антивирусы стоЯт на всех компах. Антитрояном обошел тоже всех - чисто. А левый исходящий почтовый траффик идет.
Кто знает как при организации выхода в Инет через WinRoute, определить IP адрес тех, кто отсылает письма?

Smap
а ты не пробовал саму машинку с WR проверить на вири?
На счет почтового траффика не могу знать потому как - не юзаю, но например в http трафике там наглядно идет лог с какого iP от кого имени идет пакет и куда, возможно и в почтовом подобное, а вообще MDaemon рулит

vworld
С нее и начал! Потом обошел всех остальных. http-лог - там все нормально и виден IP-адрес компа, а вот с почтой - фиг ;-(((

Smap
Попробую тогда посоветовать тебе юзать прогу сниффер CommViev отсортируй по правилам пакетов на твой локальный интерфейс на шлюзе пакеты из ЛВС на него по 25 порту.

Smap
Создай правило в пакетном фильтре на приеи порт 25 и поставь галку "регистрация пакетов" и посмотришь потом кто и когда

Случайно нашел - полная инструкция по установке и настройке BSB - ограничитель траффика и скорости, когда уже стоит WinRoute 4.25 http://ziet.zhitomir.ua:8890/C+P/office.html

Очень быстро разрастается лог security до 1,5 Гб (потом просто место кончается) галки, вроде, где знал убрал - все равно растет, как отключить?

exMIB
Настроить, то я настроил, Но есть не очень приятный момент в работе BSB, это подмена IP юзеров на IP внутреннего интерфейся в текущем журнале HTTP на WR
Почему я это считаю плохим?
Просто я иногда трояны и вири отслеживаю по левым пакетам от юзеров, которые не имеют авторизации для инета...а сейчас выявить сложно стало, т.к. фигурирует в статистике только IP внутреннего интерфейса.
Статистику конечно можно посчитать например ProxyInspector если указать ему лог BSB, там присутствуют реальные IP юзеров, еще как способ можно и нужно предложит, что оговорено в манулале BSB - привязка по MAC адресу, но мне почему то это решение кажется трудоемким.

vworld

Цитата:

Настроить, то я настроил, Но есть не очень приятный момент в работе BSB, это подмена IP юзеров на IP внутреннего интерфейся в текущем журнале HTTP на WR
Почему я это считаю плохим?
Просто я иногда трояны и вири отслеживаю по левым пакетам от юзеров, которые не имеют авторизации для инета...а сейчас выявить сложно стало, т.к. фигурирует в статистике только IP внутреннего интерфейса.
Статистику конечно можно посчитать например ProxyInspector если указать ему лог BSB, там присутствуют реальные IP юзеров, еще как способ можно и нужно предложит, что оговорено в манулале BSB - привязка по MAC адресу, но мне почему то это решение кажется трудоемким.

А можешь тоже самое написать в форуме по BSB http://forum.ru-board.com/topic.cgi?forum=8&bm=1&topic=3729#1
Я хочу тоже узнать решение этой проблемы

exMIB
Написать то напишу, просто я с их саппоротом по эл. почте общаюсь, причем достаточно оперативно ребята отвечают, но немного в шуточной форме

Есть вопрос. Сразу соглашаюсь что изврат, но интересно существует ли возможность как-то настроить, чтоб работало без дополнительной покупки маршрутизатора.
Вообщем есть сервер, на нем крутится винроут, с поднятым натом, и проксей, у сервера две сетевых карты. одна имеет адрес 192.168.10.1, и соединена с локальной сетью, на второй, внешней сетевой настроены два ип, первый ип - 192.168.1.1, второй ип - реальный адрес x.x.x.194. От второй сетевой идет линк на циску, у циски на езернет интерфейсе также настроены два ип-адреса. один реальный - x.x.x.193, второй серый - 192.168.1.2. То есть внутри езерет линка, соединяющего винроут с циской проходят два логических канала.На циске один сериальный интерфейс, на нем два PVC канала, то есть два логических канала внутри одной физической линии, один в интернет, второй канал на другой офис, на PVC1 реальный ип - y.y.y.193, на PVC2 серый ип - 192.168.30.1. PVC2, соединен со второй циской, во втором офисе. На второй циске два интерфейса - сериальный, с серым ип 192.168.30.2, и езернет, также с серым ип-192.168.0.1. Езернет-порт циски соединен со второй локальной сетью с адресами 192.168.0.x.
Вообщем маршрутизаторы настроены, клиенты с первого офиса, с серыми ип типа 192.168.10.x могут ходить в инет как через проксю, так и посредством ната. А вот клиенты со второго офиса могут только ходить через проксю. Нужно чтоб могли и через нат. Причем именно нат винроута. Поднять нат на циске не предлагать;) На первой циске настроил полиси роутинг, теперь пакеты с адресами назначения глобальной сети, приходящие c PVC2 перенаправляются на адрес 192.168.1.1. А дальше по идее должен сработать винроут, снатить пакеты и выплюнуть их через интерфейс x.x.x.194 на шлюз x.x.x.193 циски и дальше в инет. Но не работает Точнее запускал снифер - пакеты из второго офиса с ип вида 192.168.0.x на внешний интерфейс винроута доходят, а вот винроутовский нат не срабатывает, пакеты с интерфейса 192.168.1.1 через интерфейс x.x.x.194 не натятся Связано это по все видимости с тем, что на нат работает на физическом интерфейсе, а там у меня два логических интерфейса, один с реальным ип, а второй с серым. Пробовал играться с адвансед настройками винроутовского ната, все беcтолку Где то я настройки винроута не допонимаю? нутром чую, ведь можно все таки такой изврат настроить!

Walker
установил танковую настройку (как написано у вас на сайте) Винроут 4.1.25рус от Тини + добавил чтоб пользователи мимо прокси не проходили. на Вин98 все соединения проходили нормательно. Стоило только переставить ВинРоут на Вин2Кпро, как у меня прекратилась связь клиентской машины про Telnetу и по Https, остальная связь с инетом осталась в порядке
в чем может быть дело?

разобрался таки в фильтрах!..
"Танковая защита" (использованы рекомендации по настройке с сайта wrspy.ru):
закладка "Входящие", интерфейс внешний
TCP Any host any port => Any host port > (NatPortAllocBegin-1) permit
UDP Any host any port => Any host port > (NatPortAllocBegin-1) permit
IP Any host any port => Any host any port drop
где NatPortAllocBegin ключик реестра HKEY_LOCAL_MACHINE\Software\TinySoftware\WinRoute. Обычно он имеет значение, равное "61000".
далее установка, чтоб узеры не проходили мимо прокси:
закладка "Входящие", интерфейс внутренний
TCP ХХХ.ХХХ.ХХХ.ХХХ any port => Any host port =80 permit
TCP Any host any port => Any host port =80 drop
где ХХХ.ХХХ.ХХХ.ХХХ - IP-адрес внешнего интерфейса
Почтовый сервер у меня отсутствует!
кто, что думает по поводу таких настроек?