» Настройка Kerio Winroute серии 5.x и 6.х

Добрый день.

Есть задачка, только вот не знаю с какого бока подойти.
Есть локальная сеть, на базе домена под Windows 2003. Все IP адреса в локалке внешние (19*.***.***.1 - провайдерский шлюз, выделенные провайдером IP адреса - 19*.***.***.2 - 19*.***.***.30)

Как сделать так чтобы все имели доступ в интернет посредствам Kerio Winroute Firewall? и при этом у всех были белые IP адреса (у каждого хоста свой внешний IP).

Сейчас на сервере стоит 1 сетевой интерфейс. Нужно ли устанавливать вторую сетевую карту, если да, то какие настройки следует произвести ?
Насколько критично, если все хозяйство AD, DNS,DHCP + Kerio стоит на одном серваке ?

Заранее всем спасибо.

не критично. но желательно керио держать отдельно, вторую сетевуху все равно придеться ставить, официальное руководство говорит об этом,не слышал что бы на одном интерфейсе керио нормально работал. адреса белые ты можешь оставить, вот только смысл, после керио реальные ip..могут быть невидны снаружи...на второй сетевой ставишь адрес своей сети, он же и явлется шлюзом для твоей сетки...а настройки керио смотри в теме

Не смог найти на форуме подобную проблему.
Условия такие: в здании есть своя сеть, стоит шлюз. В настройках сетевого адаптера, смотрящего в нее проставлен этот шлюз и DNS-сервера. Настройки Винроута по логике и документациям правильные, DNS берутся "ивестные системе", как там написано, НО... Когда сам движок выключен с этой же машины можно выйти в Инет и все прекрасно, когда включаю движок, перестает идти пинг даже до шлюза в здании. Соответственно, при попытке вылезти через браузер, после окна авторизации Винроутовской вылазиет винроутовское же сообщение, дескать, не нашел DNS ("DNS lookup failed")
Может, кто знает, в чем проблема мгет быть? Подскажите, плиизз..

попробуй убрать DNS-forwading...должно помочь... и правила покажи.. возможно там проблема..

Форвардинг отключал - та же хрень.
Полиция установлена через визард:
Name | Source | Dest | Serv| Act
1. ICMP | Firewall | Any | Ping | да
2. NAT | local | Inet | Any | да
3. Local Traf | Firewall | Firewall | Any | да
| Local | Local | Any |
4. Firewall Tr | Firewall | Inet | Any | да
а в URL правилах включено разрешение для всех авторизованных юзеров лазить на все сайты и правило авторизации. (как раз эта вот тема работает и даже логируется)

отключил форвард...?

Добавлено:
вроде поправилам все правильно... смотри настройки dns... кроме этого дай ipconfig, смотри если у тя есть еще фаеры.. могут быть проблемы...плюс к этому куда подключен твой фаер..либо напрямую к inet, либо иначе... скажи.. думаю поможем...

Добавлено:
смотри...убери все галки с правил...это неправильно но для проверки можно... на все интерфейс поставь для всех и куда угодно... если не заработает, то смотри систеиу, наверняка есть фаер....или неправильно установлен керио... если срочно не уходи из темы...дальше:
ты делаешь настройку мастером? да или нет?
Судя по настройке смотри.. очевидно выбран не тоот интерфейс....кроме того если ты выходишь из локалки которая защищена фаером на кой..... тебе керио...или ты пытаешься раздать нет в домашней сети....

Добавлено:
ты правила смотри... и хоть ипкониг пошли на мыло подскажу..мне не влом..

Вот ipconfig:

Local - Ethernet адаптер:

DNS-суффикс этого подключения . . :
IP-адрес . . . . . . . . . . . . : 10.0.0.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :

Inet - Ethernet адаптер:

DNS-суффикс этого подключения . . :
IP-адрес . . . . . . . . . . . . : 192.168.0.40
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.0.1

Форвардинг выключен
Из других файеров - только касперский, но он выключен уже (может, попробовать снести?)
Мой шлюз, получается, подключен к еще одному шлюзу, который смотрит уже напрямую в Инет. А смысл этого Винроута - раздать Инет с одного IP по офису.
Настройку делал мастером, когда не заработало, вручную правил, но тоже безрезультатно.
Кстати, отключил все правила, поставил всем и везде и заработало. значит правила... ща попробую покопаться еще, хотя... хотя, мне кажется, что интерфейс там правильный проставлен...

Добавлено:
В принципе, основнаяз задача выполнена, но я хочу сделать так, чтобы в обход прокси не могли пролезть, а то при правиле "всем везде" остальные пользователи без указания прокси запросто могут лезть (ессно, при этом не логируется и траффик посчитать невозможно)

касперского точно снеси...в керио включи непрозрачный прокси, в настройках клиентов шлюзом винрут, плюс в свойствах обозревателя укажи прокси...если у тя в сетке нет DHCP то веб-интерфейс может не заработать...тогда в свойствах юзверей прописываешь их ip. Статистика будет считаться. Правила внимательно пересобери...

С Касперским ща работает нормально. В принципе, я так уже все и сделал
Пасиба огромное Если чего еще появится, буду знать, куда обращаться

Подскажите что можно сделать.
есть шлюз в интернет на Win2003 с установленным KWF 6.2, являющимся также RRAS сервером, у клиентов подключающихся по модему, проблема- не могут скачать через POP большие письма примерно от 1 мб. Происходит обрыв соединения с рор сервером и на него нельзя зайти в течении 5-6 минут.
По умолчанию для клиентов Dial-In можно всё на DSL соединение. всё остальное работает и HTTP и другие протоколы. Может в керио есть настройки по этому поводу?

Народ помогите мне с сабжем.

Раньше стояла 6.0.11 - все нормально работало, слетела винда и после переустановки, керио никуда не пускает. Пинги ко всем компам и серверам идут, но к сервисам( ftp, SSH, HTTP, lan) не пускает.Поставил 6.2.1 таже проблема !
Что надо делать непойму ?
Может кто сталкивался с этим ?

Спасибо !

какая винда? все полностью переустановил? правила новые создал?.. или конфигурацию со слетевшего винроута перетащил все-таки? давай подробнее!..

[q][/q]
Винда XP sp1, переустановил все полностью, правила новые создал по дефолту, такие же как на старом

локальный виндовый фаервол не включен? вообще-то говоря, не дело это винроут на xp ставить..

Да виндозный фаер отключен, раньше то ведь работало ?

можешь с машины, на которой стоит Винроут, выходить в инет?

Нет винроут никуда не пускает только пинги идут

см. Личный ящик

есть такое подозрение что при настройке правил при помощи визарда ФТП траффик не обсчитывается, вернее сказать в логах его не видно хотя в статистике есть пункт Фтп, но где получить лог.
я использую прогу Интернет Акцесс монитор для изучения траффика, но там не отображается ФТП
подскажите что не так я делаю

на самом деле никто не подскажет ?

В версии kerio-kwf-6.2.1-1454 bandwitch limiter чето делает вообще ?
Есть ли хелп какой на русском. А то я ставлю минимум довнлоада (например 4 кб) - по боку ?

Добавлено:
Есть ли ограничение скорости по юзерах ? Или как вообще можно придумать это дело организовать ?

Andreyua
У меня он скорость ограничивает. Поставил 4 кб\сек и пипец. Прикольно получилось. Никто mp3 больше не качает

Сразу не пинайте. Проблема с правилами трафика. Отрубается нафиг сетка независимо от правил. Поставил правило - источник - любой , цель - любой , сервис любой , разрешить ... загнал его вверх всех правил (что по умолчанию мастером генеряться). Никуда немогу выйти .
В чем засада ? Просьба не отправлять меня читать всю ветку - только оттель .... может чего и упустил ..... Заранее благодарен .

кто-нибудь сталкивлся с такой проблемой:
имеется локальная сеть, например, 192.168.0.0/22. На 192.168.2.1 установлен керио винроут и настроен NAT для некоторых компов в этой сети. Для подключени шлюза к инету используется впн подключение к 192.168.0.1, который тоже принадлежит этой сети.
Все это работает, доступ в интернет есть, но проблема в том, что никак не удается настроить статистику для пользователей. Пользватель заходит на 192.168.2.1:4080, авторизируется и получет доступ в инет.
Так вот проблема в том, что весь трафик этого пользователя не считается. Весь этот трафик в статистике считается как unrecignized users. И так с любых компов в сети, кроме самого компа, на котором стоит керио. На нем трафик считается пользователю, который авторизировался.

Народ помогите решить проблемку
Керио 6.2.1
1. Задача стоит в том, ч то бы у всех работало поп3, смтп, аська. Это решается просто.
2. Дать только опрелеленным авторизированным пользователям доступ к фтп, хттп, хттпс.
(как только ставлю праило типа юсер>инет>сервайсы то досутп появляется у всех сразу.) А нужно чтоб только у конкретного.
Подскажите как быть.

Поставить рарешения только на конкретных пользователей

Пожалста подскажите, как пользователю разрешить доступ в инет но не давать доступ к аське?

OlegYuferov
закрыть порт 5190(traffic pilicy) - это стандартный вариант + его необходимо дополнить запретом в
"http rules" на адреса:
http://*.icq.com/*
http://*.aol.com/*
*.aol.com/*
*.icq.com/*


Capcom
Поставь на все компы kerio - шутка.
включи в настройках галочку
"Always require user to authorize when accesing web pages"
и еще ты видимо пускаешь пользователей по ip в trafic policy ?
надо по пользователям.
создай пользователей в users и сделай "automatic authorize" по ip.


Andreyua
Работает так: если определенный пользователь скачал или выгрузил настроенное количество мегабайт/килобайт при выбранном сервисе(http, ftp и т.д.) или всех сервисах при том что передача данных не останавливалась на N-ное количество секунд ------ то ограничивать скорость выгрузки или загрузки до N килобайт.

Цитата:

Поставить рарешения только на конкретных пользователей

если можно поподробнее.
Потому как даю доступ одному пользователю, и все могут выйти в инет.

Цитата:

Andreyua
Работает так: если определенный пользователь скачал или выгрузил настроенное количество мегабайт/килобайт при выбранном сервисе(http, ftp и т.д.) или всех сервисах при том что передача данных не останавливалась на N-ное количество секунд ------ то ограничивать скорость выгрузки или загрузки до N килобайт.

Не совсем понял. Для каждого пользователя в отдельности как сделать ?
Например пользователь A гребет з mp3.com и download.com 4 кб максимум, с остальных по фулу.
Пользователь Б - скажем, с rapidshare.com, megaupload.com - 6 kb (ну хотябы 4, как и с пользователем А), c остальных по максимуму .

Так можна сделать ?