» Настройка Kerio Winroute серии 5.x и 6.х

всё верно выхожу через спутник, запросный канал через ADSL и тут начинается фишка,
я с провом (ADSL) разобирался когда, в принципе стало ясно, что они внесли меня в спам лист, у меня же ip спутника, и вообщем сказали что подключаясь именно так, у меня другой ip из другого диапазона ( трафик же у них исходящий бесплатный, и им это не интересно) и помочь ничем не могут.

у меня вопрос, могу ли я напрямую через адсл отправлять и получать почту, ну фиг сним пользоваться аськой, прикинувшись всё таки добропорядочным гражданином

а по OpenVPN получать входящий трафик протоколов HTTP и HTTPS.

как настроить эти правила? можно примеры?

как я это вижу, допустим,

NAT---->Lan/Firewall---->интерфейс адсл---->pop3,smtp,icq,dns----> транслировать на интерфейс адсл

Sky Nat ----> Lan/Firewall---->интерфейс OVPN---->HTTP,HTTPS----> транслировать на интерфейс OVPN

у меня сейчас получается так что если боа эти ната включены почта не получается, если отключею SKY NAT всё идёт!

ну если неправильно поправьте плиииз, и какие правила у меня ещё должны быть, у кого может встречалось подобное, что не получалось согласовать с провайдером запросного канала, отправку через их исходящий SMTP сервак.

как сделать всё правильно?

помогите!

вот что посоветовали на техподдержке самого сатгейта, от кого я спутниковый инет беру.


Код: К сожалению, мы повлиять на политику вашего запросного провайдера никак не
сможем. Поэтому решить эту проблему можно тремя способами:
1) сменить ADSL-провайдера
2) отказаться от спутникового интернета
3) держать почтовый домен на вашем сервере.

Люююддиии плиизз! хелп

djmix777

Цитата:

Люююддиии плиизз! хелп

на форуме ixbt.com обсуждаются подобные вещи:
http://forum.ixbt.com/topic.cgi?id=14:30017-10

Можно ли заставить KWF считать только тот траффик, который идет через прокси?

Alex_Dredd
CuS

Прочитал я ваше обсуждение по настройке Локалки провайдера с раздачей InterNet'а по VPN. Сейчас возникла полностью аналогичная проблема, вечером буду пытаться шарить, хочется уточнить (поскольку в VPN я вообще дуб-дубом)

Вы используете VPN клиент Керио, или VPN клиент предоставленный провайдером?

Мне нужно получить доступ не только к InterNet'у через VPN, но и к самой локалке провайдера. Могу ли я использовать ваши правила (и типа все само разрулится), или мне еще нужно разруливать пакеты по IP адресам назначения?

И нужно ли как-то перемапливать порты?

P.S. А может быть что нибудь полегче чем Керио поставить? Но с Керио я хоть как-то знаком.

ребята, а как поменять стандартную страничку deny.html на мой собственный слоготипом нашей компании???

Попытался вчера вечером настроить...

Так вообще. бред. Ладно эксперименты... Делаем стандартные настройки, пытаюсь запустить VPN клиент провайдера. Клиент не входит в сеть.

Разозлился... Поставил пропускать вообще все везде. Аналогично. VPN не логинится.
Запускаем VPN, запускаем сервис. Какое-то время работает, потом VPN разлогинивается.

Керио при этом ругается, что обнаружено 2 интерфейса раздающих Инет и это все неправильно...

Что делать?

JAW
У тебя на серверном компе 3 подключения:
1 - Локалка внутри офиса
2 - Локалка провайдера
3 - VPN провайдера
так?
если да, то тебе, грубо говоря, нужно сделать следующее:
Добавить в Разделе Interfaces Подключение RAS Dial-UP(имеющее название ВПНа к провайдеру). В его свойствах прописываешь логин/пароль который тебе выдал провайдер, и ставишь Persistent в колонке "Connection"(для того чтоб подключение всегда держалось включенным)
Дальше создаешь грубо говоря 3 правила(если тебе необходимо чтоб люди ходили в инет свободно, без использования Керио ВПН):
1) - правило разрешающее обмен между внутренней локалкой и фаерволл хостом
(источник - Фаерволл хост/Подключение1, получатель - Фаерволл хост/Подключение1 - Сервисы - те которые нужны - Пермит)
2) Правило, разрешающее Обмен между Внутр. Локалкой и локалкой Провайдера
(источник - Фаерволл хост/Подключение1, получатель - Подключение2 - Сервисы - те которые нужны - Пермит - Nat(Подключение2))
3) правило, разрешающее обмен между Внутр локалкой и Подключением в Интернет(VPN провайдера)
(источник - Фаерволл хост/Подключение1, получатель - Подключение3 - Сервисы - те которые нужны - Пермит - Nat(Подключение3))


Если Необходимо чтоб клиенты из внутренней сети ходили через Керио ВПН, то правила немного меняются(но предварительно Необходимо настроить подключение "VPN Server". Как его настроить напишу ниже):
1) - правило разрешающее обмен между внутренней локалкой и фаерволл хостом
(источник - Фаерволл хост/Подключение1, получатель - Фаерволл хост/Подключение1 - Сервисы - те которые нужны - Пермит)
2) Правило, разрешающее Обмен между Внутр. Локалкой и локалкой Провайдера
(источник - VPN Clients, получатель - Подключение2 - Сервисы - те которые нужны - Пермит - Nat(Подключение2))
3) правило, разрешающее обмен между Внутр локалкой и Подключением в Интернет(VPN провайдера)
(источник - VPN Clients, получатель - Подключение3 - Сервисы - те которые нужны - Пермит - Nat(Подключение3))
---------------------------------------------------------------------------------------------------

Настройка VPN Server
Для начала необходимо установить керио вместе с компонентом VPN Server
Затем в Разделе Interfaces открыть Контекстное меню на VPN Server'e и выбрать Edit. Поставить галочку напротив Enable Vpn Server.
В поле VPN Network прописать адреса которые будут выдаваться машинам, которые коннектятся к впн серваку(У меня указано 172.26.36.0). В поле маска указать соответственно маску подсети, указанной в VPN Network. Вкладка DNS. Пишешь там DNS Server провайдера. Дальше переходишь на вкладку Advanced. Нажимаешь Add, пишешь имя маршрута, Network - 0.0.0.0 , Маску 0.0.0.0 и кликаешь OK.
Дальше заходишь в раздел Clients и создаешь необходимые тебе логины для юзеров.
Собственно на этом Настройка сервера заканчивается, если конечно Ругаться ни на что не будет.

Настройка Клиентской машины(Только для случая с VPN сервером)
Открой свойства Подключения по локальной сети на клиентской машине. Удали оттуда шлюз по умолчанию. Айпишник, маску и DNS оставь.
Дальше ставь KVC, настраивай на подключение к айпишнику Фаерволл хоста, прописывай туда логин/пасс и будет тебе счастье.

Мог забыть что-нибудь незначительное. в таком случае прошу простить, ибо Рядом керио нигде нету(:

Alex_Dredd

Спасибо большое...
Да, 3 подключения (думаю понятно, что VPN идет поверх Локалки провайдера)...

Я не знал о самом первом действии (т.е. что необходимо добавить VPN подключение как DialUp). Через часик пойду домой настраивать...

P.S. Нужно будет тупую инструкцию написать для юзеров локалки провайдера...

P.P.S. А нету ли для этой ситуации чего нибудь более легкого чем WRF и желательно бесплатного (не на Unix'ах конечно)?


Заработало зараза... Нужно бы еще скорость проверить подключения к локалке.

Проблема подсчета трафика! Подскажите!!!!!
Есть винрут 6.2.0. есть сетка из 15 компов. Усера ходят как через нат так и через прокси. Считается и ограничивается трафик по IP адресам при достижении предела усера отключаются. Все работает уже давно, начиная с 6.0 версии.
И теперь происходит странное (после установки этого билда)- internet access monitor показывает, что пользователю присвоено 2 ip адреса, причем например 192.168.0.104 и 192.168.0.114, соответственно трафик кончается. Настройки такие- прописаны пользователи с указанием адресов компов, домена нет, создан шаблон ограничения трафика, авторизация не включена.
Че делать-то!!!!!
Вот теперь еще одна корява вылезла- теперь к пользователю, первому в списке прюсуется весь!! внешний трафик, т.е. в списке IP для данного усера присутствует внешний адрес!

JAW

Цитата:

А нету ли для этой ситуации чего нибудь более легкого чем WRF и желательно бесплатного

Ну наверно можно и средствами Винды- через Internet Connection Sharing... Только тогда про удобство и гибкость забудь. И ещё: рад, что всё у тебя заработало. Но вот мой пров предоставляет ряд бесплатных серверов внутри своей сети с внешними IP - но к ним надо попадать в обход VPN, а то будет за деньги. Если есть подобная ситуация - напиши, там ньюансики.

А попробуй через тривиальный прокси сервер.
Я попрбовал WinRuote, тот, который Чешский.
Работает.

Более сложный, но чем-то интересный вариант...
3proxy
Но эта собака более Юниксовая, чем Виндовая.
Зато бесплатная. И конфигурируется через текстовый файл .cfg

Да и быстрая, маленькая и нетребовательная к ресурсам.

http://www.security.nnov.ru/soft/3proxy/

Оччень внимательно читать документацию.
Тривиальный файл конфигурации (все открыто всем звучит так

log log.log
rotate 30
## IP адрес того интерфейса с которого разрешены соединения
#internal 192.168.0.1
## IP адрес интерфеса смотрящего в сеть (т.к. динамический - не указываем)
#external 192.168.0.2
#
# Запускаем прокси на стандартных портах
# 3128 для proxy, 1080 для socks и 110 для pop3p
# либо: proxy -p8080 для порта 8080
proxy
socks
pop3p
#DNS Proxy на UDP/53
dnspr
#FTP Proxy (21 порт)
ftppr
#Sock Proxy (1080)
socks
# Хиленькое администрирование, порт 80
admin

подскажите как перед установкой новой версии керио винроут сохранить все настройки
URL Policy потому что все сайты вводить заново это очень долго и ище логи юзеров ато их 45 человек и долго всех вводить

Сохраняешь из каталога C:\Program Files\Kerio\WinRoute Firewall папку logs, файлы
с расширением stat, конфиги *.cfg и *.cfg.bak. Работает, если только апгрейдишь
с 6-ой версии на 6-ую, с более старойможет не проканать.

Господа проблема в следующем.
Раз в три - четыре дня вылетает в лог следующее сообщение "(1002:1450) Internal error: Cannot retrieve information on network adapters". И тут же машина "прячется" - вырубает оба интерфейса. Лечится только перегрузом, на срок следующих 4-х дней. На шлюзе стоит 6.2.1, в интранет смотрит вайфай от dlink (5 клиентов), Realtek смотрит на адсл модем. Никаких специфичных настроек не стоит (нат)
Может кто встречал - расскажите как полечить.

VoVuX
Однажды сталкивался с подобным на какой-то старой версии. Тогда пришёл к выводу, что проблема железная. Соответственно лечение.

Есть сеть в офисе, подключенная к провайдеру LAN'ом. На серваке(подключенном напрямую к прову) стоит KWF, есть 4 подключения:
1) Office LAN - сетка внутри офиса
2) Prov_LAN - локалка провайдера
3) Prov_VPN - ВПН Соединение с провайдером, через которое и осуществляется доступ к интернету
4) Bank - модемное соединение с Банком (для Клиент-Банка)

Подключение Prov_VPN почти всегда включено. Когда соединяюсь с Bank добавляется маршрут, который рулит всё через Bank.
Добавляю постоянные маршруты(в Керио):
1) 0.0.0.0 mask 0.0.0.0 через Prov_VPN
2) 192.168.100.11(IP сервера Банка) mask 255.255.255.255 через Bank
---------------------------------------------------------------------------------------

После этого до отключения Prov_VPN все работает нормально.
После отключения Prov_VPN Керио начинает активно пытаться его подключить в независимости от моего желания, при чем Постоянно появляется в свойствах подключения(в винде) галочка напротив "Требуется Шифрования Данных", из-за чего подключение не поднимается.
В керио в свойствах Prov_VPN в поле Connection указано Manual , Пробовал ставить On Demand - не помогает. Все равно ломится.

Как сделать так чтоб оно не ломилось Подключатьмся к инету постоянно?

ps забыл сказать, что в подключениях Prov_VPN и Bank айпишники, шлюзы итп назначаются с помощью дхцп, то есть какие они будут - хз, к айпишникам привязать это дело не выйдет, то есть обычные роуты в винде не помогут.

Всем привет! Народ хелп! Немогу разобраться как через удаленный доступ (по локалке) заходить одновременно с разных компов под разными именами. в общем чтобы статистика велась по каждому из ползователей отдельно.

Привет
выхожу в инет через кабельный модем(PPPoE)
Поставил Winroute 6.2.0 ,правила стандартные он выставил сам ,
добавил только
CT | Dial-In+LAN | Dial-Up | ICQ | Allow

хттп траффик работает нормально ,сайты открываются ,а QIP(июнь 2006 релиз) ,The Bat и ftp провайдера не работают. QIP и бат не могут cоединиться с сервером ,ftp просит логин/пароль хотя приотключенном winroute не просит и заходит. При отключении сервиса Winroute все работает. Объясните какие правила надо создать чтобы все заработало?

ЗЫ
когда ставлю правила разрешить все всем QIP и Bat работают ,а ftp все равно просит логин/пароль

----------------------
методом тыка выяснил:
2 варианта правил:
1)
............
N | Dial-In+Lan | Dial-Up | DNS+FTP+HTTP+HTTPS+IMAP+POP3+SMTP+TELNET+ICQ+TCP465+TCP995 | Allow
............
F | Firewall | Dial-Up | DNS+FTP+HTTP+HTTPS+IMAP+POP3+SMTP+TELNET | Allow
.............
QIP и The Bat не работают
2)
............
N | Dial-In+Lan | Dial-Up | DNS+FTP+HTTP+HTTPS+IMAP+POP3+SMTP+TELNET | Allow
............
F | Firewall | Dial-Up | DNS+FTP+HTTP+HTTPS+IMAP+POP3+SMTP+TELNET+ICQ+TCP465+TCP995 | Allow
.............
QIP и Bat работают. Почему именно так?

Не могу настроить связку MDaemon+Winroute. Настроил все, кроме получения почты с внешних ящиков.
Помогите, плз, кто сталкивался. Я так понимаю - нужно создавать правило в Trafic Policy. Но какое? если можно объясните подробно

Господа, а не подскажете где взять список адресов бесплатных mail-серверов чтоб скормить его кобиону и не пускать туда юзверей?

eskaflone
неплохо было бы понятнее описать правила (в том стиле что тут пишут ИМХО)
а вцелом скорее всего почта у тебя проверяется по безопасному (SSL) соединению
потому и нужен порт 995
ну и 465 тоже используется скорее всего (случаем не gmail ??? )

solo2006
скорее всего правило типа
internet -> firewall (dns pop3 smtp TCP995 imap nntp ...) permit NAT MAP=(IPмашины на которой стоит почта)
в случае если почта на той же машине где и керио то nat map не надо.

Добавлено:
tippmann
может просто запретить слово mail в запросах?

тут в андерграунде народ пытался найти серваки без слова mail.... не самая лёгкая задачка

Mikes,
gmail ,почта уже работает ,надо было добавить эти порты в правило которое разрешает траффик от винроута во внешку.

а вопрос про ftp остался.

Цитата:

может просто запретить слово mail в запросах?

тут в андерграунде народ пытался найти серваки без слова mail.... не самая лёгкая задачка

Да вот к примеру первый тычёк в яндексе - http://zgrk.com.ua/ http://www.post.su/
Там нету слова mail
В андеграунде поди пытались найти почту, где от 100 мегов дают или больше

Народ у меня тоже похожая проблема,на работе есть сетка из 10-ти рабочих компов и сервер который раздаёт и-нет по логину и паролю, и даёт он только HTTTP соединение...а хотелось бы поиграть в инете контер страйк...уже весь инет пролазил но всё не то..или у меня уже мохги не пашут...вообщем кто чем может помогите.

Цитата:

а хотелось бы поиграть в инете контер страйк...уже весь инет пролазил но всё не то

Ну а в чем проблема? Создаешь правило, которое разрешает соединение по заданному порту UDP. Для контры это вроде 27015 (не помню точно) и - вуаля!

inside2000
это в том случае если он сам админ

inside2000
если нет то тогда в андерграунд и там читать методы обхода прокси ( SOCKS Cap.... и тд)

Вечер добрый! Помогите плиз!
Проблемма такая: у меня KWF 6.2.1 При включенном DNS Forwarder генериться DNS трафик с постоянной частотой, когда отключаю DNS Forwarder всё нормально, на 53 уходит только по запросам - от меня или юзеров с локалки. Вопрос такой : это глюк? или так и задумывалось? За вмрусов уверен - нема. Уж очень интересно , а то ведь провайдеру ен очень то нравиться когда его NMS сервак долбят каждые 3 секунды.

Пожалуйста подскажте прогу которая позволит ограничивать объём внешнего трафика для пользователей и будет работать совместно с KWF. Стандартные средства KWF ( Quota) не подходят, так как пользователи уже созданы и менять свойства каждого из них займёт уйму времени. И необходима возможность выделения новых квот после исчерпания выданной.
Заранее спасибо!

Помогите пожалуйста.
Не могу настроить HTTP Policy

1) Создала URL Groups "HeavySites" в нее добавила строку *.afisha.ru
в HTTP Rules добавила правило:
Is in URL groups "HeavySites"; Deny; Show denial page

и нифига!!!!! запускаю www.afisha.ru - нате пожалуйста,
goroda.afisha.ru аналогично ...

когда в "HeavySites" добавляю конкретно goroda.afisha.ru то на этой
странице правила работают ...
но не возможно же каждую страничку сайта перечислять

2) можно как то установить квоту на закачку клипов, mp3 шек, картинок
... но при этом не ограничивать общий трафик? он по работе часто
приличный требуется?