» Настройка Kerio Winroute серии 5.x и 6.х

не подскажите как избавить от траффика который в статистике обзывается "the others"?
заранее благодарен

IvanPL
а твои подключения извне идут на порт 8080, ты уверен? ну, т.е. в браузере должно фигурировать http://xxxxxx.yyy.zzz:8080

Добавлено:
pridecom
по умолчанию, сразу после установки Рвоты оно всё так и есть, как ты хочешь

У меня есть непонятная проблема, создаётся слишком много соединений.
Сначала я думал, что это вирус, но машины я проверял.
Каждый раз на разных машинах, я думаю, что глючит winroute (у меня 6.0.0).
Раньше такого не было.
Я не знаю как справится с этой проблемой
Посмотрите на скриншот (вышлю по мылу) и вы сразу поймёте в чём моя проблема.

Accessor
Да, уверен. Локально все работает (http://192.168.0.234:8080/), а на машине с WR нет. Т.е. пишешь http://192.168.0.100:8080/ или http://81.211.103.26:8080/ и ждешь завершения таймаута. В логах винроута пишет, что соединение есть, маппинг типа работает, а вот в браузер ничего не возвращается.

Boris84 выложил логи всего происходящего.
В логах вэбсервера вообще упоминаний о запросах нет.
Это мы одну проблему мусолим.

IvanPL
Я с такой задачей никогда не сталкивался, поэтому точно не уверен, но может, опять же отключить Protocol Inspector или установить его в http режим, короче покрутить ему мозги.

Добавлено:
catdaemon
из соображений секурности, никто не даст тебе email. выложи свой скриншот на файлообменник

Попробовал поставить 6.1.2 - с фаером разобрался, а вот с ВПН - не выходит и всё!
Ситуация такая: есть 20 машин в сети (никаких доменов - одна рабочая група), шнур с нетом, отдельно стоящий слабенький комп-по-идее-роутер (AMD 800) и четыре человека, которые должны иметь доступ в нет через фаервол. Плюс необходимо трафик по каждому учитывать (желательно знать, а не гуляют ли по порнухе, вместо туда куда надо), при чем желательно раздать им логин-пароли, так как в принципе могут они заходить с любых из 20 машин.

вопрос, собственно: а может я и без RWF обойдусь? есть ли легшее решение вышеразказанной ситуации?

заранее спасибо.

не подскажите как можно сделать автоматическую регистрацию на проксе?
что бы при входе на интернет страницу не требовал вести пароль, а автоматически брал из домена (под кем зарегистрировался), учетные записи я настроил что бы брались из домена,а вот что бы автоматически авторизировался на проксе не получается
заранее благодарен

Вот конкретная проблема после его установки.
Nat работает, машины со шлюзом в инете работают нормально, но.
При включении KRW 6.1.3-746 (некрякал еще) инет на самом сервере работать перестает, хотя на клиентах все нормально.
Почта (110, 25), интернет - все это жутко тупит и не работает.
ICQ запустить удалось, но после того как прописал 5190 порт по шаблону из FAQ, а все остальное победить не могу.
I need your help!

1. OS WINDOWS 2003sp1
2. KRW 6.1.3-746 Trial
3. MDServer
4. Соединение Dial-Up

Привет,Алл
не подскажите как можно осуществить в kerio winproxy настройку так что бы клиенты за проксей могли забирать и отправлять почту с mail.ru?

заране благодарен

Добрый дэй.
Наступил на какие-то загадочные грабли. Есть 2 сервера WinRoute, на обоих VPN-серверы. Если пробую коннектиться VPN-клиентом - оба сервера дают корректные сертификаты, IP-адреса, коннектятся. При попытке соединить 2 сервера (всё по мэнуалу, актив-пассив, без изысков ) - происходит странное. Соединение устанавливается - и немедленно рвётся. Никаких ошибок, сообщений в логах. В debug - следующее:

Цитата:

[18/Oct/2005 13:24:42] Service "DNS" started, bound to address 10.189.187.1
[18/Oct/2005 13:24:42] Service "HTTPProxy" started, bound to address 10.189.187.1
[18/Oct/2005 13:24:42] Service "VPN" started, bound to address 10.189.187.1
[18/Oct/2005 13:24:52] Service "DNS" bound to address 10.189.187.1 stopped
[18/Oct/2005 13:24:52] Service "HTTPProxy" bound to address 10.189.187.1 stopped
[18/Oct/2005 13:24:52] Service "VPN" bound to address 10.189.187.1 stopped

10.189.187.1 - VPN-сервер. Идей - ноль ;-(

pridecom
Достаточно распространенная проблема для dial-up. Если мне не изменяет мой склероз, то там надо что-то крутить с настройками в Interfaces - Dial-up. Точнее уже не вспомню, т.к. давно было это дело.
tolyn77
создай правило идентичное правилу NAT (которое делается по умолчанию) только в Service укажи pop3 и smtp и главное, не забудь про Protocol Inspector (отмотай несколько страниц назад)

Accessor
Я уже все перепробывал, все политики убивал, по новой выстовлял - все работает кроме инета на файровской машин.
Очень странно, но аська то конектится, а почта и инет не работает!
Что за хрень.
Помогите

Привет всем (ещё раз).
У меня создаётся огромное количество соединений, то на одном то на другом компе, с разными сайтами, время от времени (в течение дня).
Я подозреваю, что это проблема с керио (у меня kerio winroute firewall 6.0.0).
Посмотрите пожалуйста на скриншот, там всё понятно.
Скриншот на http://webfile.ru/634455
Заранее спасибо.

Accessor
отматал только я ни чего не понял
а если я нат отключил?

не подскажите как включить квоты? когда заходишь в свойство пользователя там закладка квота не активна

catdaemon
Посмотрел я скриншот, такое впечатление, что эти сотни коннектов просто не закрываются, а происходит это, судя по всему, из-за того, что кто-то мешает их закрыть. Осмелюсь предположить, что это происходит из-за Кашпера. Попробуй удалить его, наглухо, полностью. Если это не поможет, тогда поочерёдно отключай Кабана и встроенный Рвотный антивирь.
tolyn77

Цитата:

а если я нат отключил?

В этом случае у тебя юзвери ходят в Инет через KWF-прокси, т.е. им недоступен "открытый Интернет". Значит надо создать правило, в котором Source - локалка, Destination - Firewall, Service - какой-то произвольный порт, например 5000, а в поле Translation надо сделать PortMapping на удаленный почтовик, типа pop3.mail.ru и в качестве порта указать 110; для отправки почты надо создать аналогичное правило, только в качестве Service будет, к примеру 5001 и мапиться этот порт должен на smtp.mail.ru на порт 25. При всём при этом, на клиентах в свойствах учётной записи надо указать в качестве POP3 сервера - имя твоего хоста, где работает kwf, а порты соответственно 5000(для pop3) и 5001(для smtp). В общем, как видишь, это получается намного сложнее, нежели правило с NAT - в этом случае никаких заморочек с портами, т.е. юзвери будут забирать свою почту напрямую, т.е. как-будто они сидят в "открытом Интернете".

Добавлено:
pridecom
давай посмотрим на твой Traffic Policy

Accessor
Вот правила
1 Fire LAN Any
2 LAN Fire Any
3 LAN DIALUP Any NAT
4 Fire DIALUP Any
5 DIALUP Fire 25, 110
По памяти вроде так, ну по крайней мере я бы так сделал

Accessor
У меня каспер 5.0.123.
Встроеный антивирь включён (я типа ему доверял, он много вирусов обрубает по пути).
Кобион, да я ради него то и винроут сажал, он порно глухо блокирует.

Попробую отрубить.

Accessor
а разве дл smtp нужно Source - локалка, Destination - Firewall,
может все таки Source - Firewall, Destination - локалка
?

Добавлено:
Accessor
Вот такая вот ошибка появляется
"Ошибка при соединении с сервером. Учетная запись: 'pop.mail.ru', Сервер: '172.х.х.х', Протокол: POP3, Порт: 5000, Защита (SSL): Нет, Ошибка сокета: 10060, Код ошибки: 0x800CCC0E"

catdaemon

Цитата:

У меня каспер 5.0.123.

Мне это ни о чём не говорит, поясни. Отрубай, начиная с него.

tolyn77
Да, надо именно так, как я сказал. Там надо быть внимательным в Translation. Sorce NAT - делаешь Translate на outgoing interface (default setting), а Destination NAT - указываешь Translate to: pop.mail.ru и Translate port to 110.

pridecom

Цитата:

Вот правила

ну, вроде всё правильно, должно всё работать. может у тебя какой-нибудь антивирь сторонний или встроенный бранмауэр мешаю нормальной работе?

С соединениями я протестирую пару дней там посмотрим?
У меня есть ещё одна странная проблема.
Уже несколько дней не заходит в почту на rambler (именно только rambler) при странных обстоятельствах, обычно файевол посылает сообщения типа соединение закрыто удалённым сервером и т.д. а с рамблером всё глухо просто обычная ошибка невозможно найти страницу как будто я без файервола работаю. Со своего сервака я отключил антивирь и файервол и попробовал зайти в почту, но ничего не получилось. Остальные сайты работали нормально.
Пытался через анонимайзер, всё получилось, я спокойно зашёл в почту.
Через outlook рамблер тоже работает.
Зашёл в соседнее инет кафе (у них тот же провайдер), у них всё работает.
Кстати neverlands тоже отрубился.
Я абсолютно не понимаю, почему не открывается через браузер на всех компах именно почта на рамблере.

catdaemon
Начни с простого пинга на rambler.ru, посмотри, правильно ли определяется его IP-адрес (www.rambler.ru [81.19.70.1], или просто rambler.ru [81.19.70.3]), потом отключай Рвоту и снова пингуй. Смотри результаты, делай выводы

pridecom
Антивирь сторонний стоит? Например SAV? KWF не дружит с SAV это точно, другие антивири не проверял - врубил встроенный и доволен...

Добавлено:
Кстати, люди, такой вопрос: никто не сталкивался с неверным подсчетом траффа KWFкой? Причем у мну ентот гад насчитывает больше, чем пров иногда раза в 2...

Accessor
Да я забыл сказать что всё пингуется я с самого начала это проверил
И с винроутом и без.

catdaemon
Ну, тогда включи протоколирование пакетов и соединений в том правиле, по которому ты ходишь в Инет. По идее это правило "Firewall Traffic" либо правило "NAT". А потом покажи сюда свои Logs—>connection и Logs—>filter.

Цитата:

Смежный топик в программах.
Лекарство ищем тут

подправил шапку. оба линка вели в варезник.

Здраствуйте. Прошу не посылайте меня в поиск (фильтр), второй день сижу, разгребаю здесь инфу, но не нашел внятного ответа на свой вопрос (если плохо смотрел - киньте в меня пожалуйста ссылкой)
Имеется сервер win2k3, на нем
одна сетевуха смотрит в инет
другая в локалку
стоит winrout 6
юзеры ходят в инет через NAT, настроенный в винруте. Все это работает.
Надо: сделать так чтобы юзеры ходили через прокси, настроенный в винруте. Объясните прям по шагам (для тупых и для меня) что и где нада настраивать, сам не смог.
Спасибо за внимание

Eye_Bass

Цитата:

сделать так чтобы юзеры ходили через прокси, настроенный в винруте

это совсем не сложно:
1. отключи им НАТ - для этого идешь в Traffic Policy и снимаешь птицу с правила "NAT" (удалять его не надо, оно нам потом потребуется).
2. Включаешь прокси-сервер; это делается в Content Filtering –> HTTP Policy закладка ProxyServer; тут ставишь птицу на Enable non-transparent proxy server.
3. Настраиваешь на каждом клиенте, что ходить теперь ему надо через прокси (указываешь имя и порт; порт по умолчанию обычно 3128).
4. Если ты сидишь на машине с KWF, то делать больше ничего не нужно, если же это не так, тогда надо сделать себе любимому NAT ; для этого берём правило, которое мы оставили в покое после первого шага и изменяем поле Source в нём на свой локальный IP, ставим птицу (включаем правило в работу); остальное оставляем нетронутым и всё.

Спасибо, сегодня попробую. Пока читал возник вопрос

Цитата:

указываешь имя и порт

указывать имя сервера на котором стоит винрут?



Добавлено:
Так все разобрался, прокси работает, спасибо. Вылезла другая проблема: На юзерах не работает BAT, если убрать NAT.
создаю правило:
source - локальная сеть
destination - инет
service - pop3, smtp, imap
разрешить
На юзерах в Bate пишет что не может соединиться с сервером. Где у меня ошибка?

Accessor

Цитата:

Да, надо именно так, как я сказал. Там надо быть внимательным в Translation. Sorce NAT - делаешь Translate на outgoing interface (default setting), а Destination NAT - указываешь Translate to: pop.mail.ru и Translate port to 110.

а работа пользователя с pop.mail.ru будет попадать в статистику?

Accessor

Цитата:

Ну, тогда включи протоколирование пакетов и соединений в том правиле, по которому ты ходишь в Инет. По идее это правило "Firewall Traffic" либо правило "NAT". А потом покажи сюда свои Logs—>connection и Logs—>filter.

Rambler почта заработал, сам по себе 8)
Сервис каспера отключил на всех компах через реестр, и рвотный антивирь тоже вырубил, посмотрим на результаты через некоторое время.
Если не получится выложу логи соединений.