» Настройка Kerio Winroute серии 5.x и 6.х

Господа, а не подскажете, как сделать, чтобы Екрио пускал в инет, только те Ip адреса, которые я указал пользователям в закладке Users?
А то у меня юзеры, исчерпав свой трафик, просто IP адрес себе меняют и шарятся по инету, а в статистике потом полно аннонимного трафа.

CuS

как отключить и как DHCP клиента включить, можешь написать првило?

noblekey


Цитата:

sourse - descript -servis - action локал -  локал -    smtp     перминт инет -     инет -      pop

После этого почта в зе бате перестает работать, пишет сервер не готов!


Цитата:

сделай для терминала отдельное правило в нем разреши порт 3389 и его на самый верх

можешь тоже написать правило?

Буду очень благодарен!!!

Никак не могу понять одной штуки:

Есть локалка. Все компы смотрят через шлюз с Kerio. Имеем внешний IP Х.Х.Х.Х
Как сделать так, чтобы внешний IP был другим? Если не трудно, напишите пошаговую последовательность действий.

Я пробовал менять в трафик полиси методом тыка вроде бы все...
И пробовал в HTTP POLICY на закладке PROXY SERVER ставить галку на forward to parent proxy (с введением адреса любого внешнего прокси сервера + его порт).

Цитата:

После этого почта в зе бате перестает работать, пишет сервер не готов!

телнетом проверь 25 порт сервера отправки

Цитата:

можешь тоже написать правило?

локалка - firewall - tcp 3389 -permit

noblekey

Цитата:

телнетом проверь 25 порт сервера отправки

Если я правильно сделал, то вот что мне выдало:
220-s10.uahoster.com ESMTP Exim 4.52 #1 Fri, 01 Sep 2006 09:16:36 +0300
220-We do not authorize the use of this system to transport unsolicited,
220 and/or bulk e-mail.


Может выкидывает из-за того, что юзер минут 20 в терминале не активный. Где-то читал в мануалах, если таймаут вышел, керио разьединяет соединение. Но на картинках в мануале не было указано, где поменять это ограничение.
Может есть какой-то файл, и с помошью блокнота его можно отредактировать, таймаут изменить???

Цитата:

Может выкидывает из-за того, что юзер минут 20 в терминале не активный. Где-то читал в мануалах, если таймаут вышел, керио разьединяет соединение. Но на картинках в мануале не было указано, где поменять это ограничение.
Может есть какой-то файл, и с помошью блокнота его можно отредактировать, таймаут изменить???

тайм аут настраивается в свойствах терминального подключения на закладке сеансы

limondimon

Цитата:

как отключить и как DHCP клиента включить, можешь написать првило?

Да не правило, а в сервисах - переставить на авто ;=)
По бату. Правило IMHO

lan - inet - (POP,SMTP) - permit - NAT(def outgouing int)
плюс разрешение по локалке - либо всё LAN, Firewall - Lan, Firewall,
либо как минимум POP, SMTP.
Если же почтовик стоит - надо еще на вход открывать 25,110. У меня так именно Бат и работает - и с внутренним сервером, и с внешними. И ещё раз: проверь антивирусные штучки.

Есть проблема.Подскажите пожалуйста.я устанавливаю на "чистый" ПК Керио.В компе новая сетевая карта.Как мне корректно перенести настройки со старого компьютера и при этом что-бы все работало. Дело ведь наверняка будет в сетевой карте.И где сами настройки хранятся? Помогите пожалуйста советом.

WolfEnstein
Все настройки керио хранятся в cfg файлах. переносятся путем копирования.
после копирования придется подправить трафик полиси

WolfEnstein

Цитата:

Как мне корректно перенести настройки со старого компьютера и при этом что-бы все работало.

Цитирую по форуму (вот только автора не помню, извините)

Вопрос. Как можно экспортировать базу юзеров? Или хотя бы где она храниться, что бы после полоной переустановки вернуть ее?

Ответ. В рабочей директории Винроут в файле UserDB.cfg (начиная с версии 6.1.4). По умолчанию: C:\Program Files\Kerio\Winroute\UserDB.cfg. Это обычный текстовый файл, как и все остальные конфигурационные файлы.

А вообще вся конфигурация Винроут хранится в следующих файлах:

winroute.cfg
Главный конфигурационный файл

users.cfg
Информация о пользователях и группах.

logs.cfg
Настройки журналов

host.cfg
Настройки для резервного копирования конфигурации, (настроек пользователей, баз данных сервера DHCP и т.д.)

UserDB.cfg
Что в нём хранится, описано выше 8)

Т.е. для резервного копирования необходимо скопировать эти файлы в директорию свежеустановленного Винроута.

[!] Но после этого необходимо сделать выполнить следующее:

1) Установите WinRoute на нужной машине (смотрите главу Установка).
2)Остановите WinRoute Firewall Engine.
3) Скопируйте резервные копии конфигурационных файлов host.cfg, logs.cfg, users.cfg и winroute.cfg в директорию установки WinRoute (обычно C:\Program Files\Kerio\WinRoute Firewall).
4) Запустите WinRoute Firewall Engine.

WinRoute сам обнаружит нужные файлы. В данном процессе ,в системе будут обнаружены неизвестные сетевые интерфейсы (которые не определены в файле winroute.cfg ) .Каждый сетевой интерфейс включает в себя уникальный идентификатор (случайно сгенерированный) в операционной системе. Практически не возможно чтобы два идентификатора совпадали.

Для избежания настройки новых интерфейсов и изменений правил траффика (traffic rules), вы можете присвоить идентификатор нового интерфейса, старому интерфейсу в файле winroute.cfg.

4) Остановите WinRoute Firewall Engine.

Используйте простой текстовый редактор (например Notepad ) чтобы открыть winroute.cfg. Найдите кусок текста:

<list name="Interfaces">

Посмотрите содержимое этой секции (между открывающим и закрывающими тэгами), и найдите секции старого и нового интерфейсов, замените идентификатор старого интерфейса идентификатором нового.Удалите секцию нового нового интерфейса.

Пример: Название интерфейса локальной сети LAN. Это сетевое соединение обозначается как Local area connection в новой операционной системе. присутствуют оба интерфейса, задача подменить идентификатор старого интерфйса новым, чтобы использовались настройки старого:

<listitem>
<variable name="Id">\DEVICE\
{7AC918EE-3B85-5A0E-8819-CBA57D4E11C7}</variable>
<variable name="Name">LAN</variable>
...
</listitem>
<listitem>
<variable name="Id">\DEVICE\
{6BF377FB-3B85-4180-95E1-EAD57D5A60A1}</variable>
<variable name="Name">Local Area Connection</variable>
...
</listitem>

Скопируйте идентификатор интерфейса Local Area Connection в интерфейс LAN . Удалите информацию о интерфейс Local Area Connection (соответствующий элемент listitem).

Когда все изменения будут совершены, файл конфигурации будет выглядеть вот так:

<listitem>
<variable name="Id">\DEVICE\
{6BF377FB-3B85-4180-95E1-EAD57D5A60A1}</variable>
<variable name="Name">LAN</variable>
...
</listitem>
Сохраните winroute.cfg и запустите WinRoute Firewall Engine.
После такой процедуры настройки WinRoute идентичны настройкам исходного сервера WinRoute, в предыдущей операционной системе.

CuS
Огромное СПАСИБО! Очень выручил.

Господа.. сегодня столкнулся с интересной траблой...
в общем в траффик полиси имею туеву кучу правил. одно из них разруливало http трафик для клиентов локальной сети (я использую контроль протоколов, поэтому для каждого протокола была отдельная строчка).
возникла проблема - голосовая болталка Skype очень упорно просила снять ограничения передачи не текстовых данных по 80 порту... без этого не работала (разбираться с параметрами Skyp-а было некогда и решил снять контроль протокола для этого правила).
после этого сразу же началась работа всех машин локальной сети без авторизации (!) и даже не логировались проходящие запросы ...

это нормальное поведение винроута или я где-то туплю?

проводил несколько экспериментов (backup-нул заранее все настройки и сбросил все правила развода траффика на дефолтные (в общем запустил мастер)) и включая отключая контроль протокола на правиле для http траффика наблюдал за поведением авторизации...
если стоит режим без контроля протокола (none) то имеем большую дыру вне зависимости от настроек авторизации юзеров

Цитата:

это нормальное поведение винроута или я где-то туплю?

ну вобщем да... если убрать протокол инспектор то Керио не разбирается что там и как просто происходит пересылка пакетов.. то есть NAT в чистом виде ...

если есть протокол инспектор то Керио начинает разбирвать запросы и применять к ним правила по поводу ограничения доступа и авторизации...

PS
лучше делать правила user - internet(NAT) а не (local - internet NAT) тогда авторизация буде всегда

Цитата:

лучше делать правила user - internet(NAT) а не (local - internet NAT) тогда авторизация буде всегда

пробовал делать правило где источником стоял такой вариант Авторизованные пользователи
но трабла была в том что доступ к некоторым ресурсам должен быть разрешен неавторизованным пользователям ...

за разъяснения спасибо..

Проблема есть небольшая. Керио (6.2.2 Build 1746) стоит, работает, интернет даёт и т.д., к нему притензий нет, вот только с учетом трафика косяк
Смотрю статистику через Internet Access Monitor (3.2), так он выдает, что примерно половина всего трафика идет с самого файрвалла (такого быть понятное дело не должно), и при этом идут большие расхождения с провом (IAM показывает примерно в 1.5 раза больше чем у прова).
Думал дело в прозрачной проксе, поднял непрозрачную, забил юзерам и всё равно та же фигня с трафиком осталась

товарищи, может повторюсь, но пипец полный.
стоит 6,0,6.
на машинах пользователей OutlookExpress с учетками, которые находятся на Yandex. почта забирается без проблем. был придуман домен beer.com.ua, на котором тоже были созданы ящики. если подключить учетки к Аутглюку на сервере - все работает, но на машинах пользователей, при тех самых настройках (напрямую, типа сервер СМТП beer.com.ua) письма без вложений приходят, а с вложениями - получен список сообщений, идет прием сообщений и ничего не выгребает. Антивирус на машине (пользователя) для интереса вообще удалил. еще прикол: на учетке Яндекса SMTP прописан как SMTP.YANDEX.RU, а beer просто BEER.COM.UA. пробовал добавлять "смтп" впереди - вообще не катит. пробовал в трафик полиси создать наверху правило, по которому ОТ всех КО всем разрешено ТСР 25,110. Тогда вообще даже Яндекс нихт арбайт.
может кто че подскажет?

Denuk
Поставь МайлСервер от того же керио и вся почта у тебя пойдет через 1 смтп
да и управлять почтой будет легче

Подскажите, стоит Kerio 6.1.4 переодически он отваливается выдавая сообщения, что лецензия кончилась либо он крякнут. Тоесть он коннектится со своим серваком и проверяет себя. как это можно запретить? Проверка обновления отключена.

Цитата:

Подскажите, стоит Kerio 6.1.4 переодически он отваливается выдавая сообщения, что лецензия кончилась либо он крякнут. Тоесть он коннектится со своим серваком и проверяет себя. как это можно запретить? Проверка обновления отключена.

одно из двух:
1.надо пользоваться лицензионным софтом
2.либо правильными таблетками

Проблема не могу заставить KWF пропускать HTTPS трафик (443 порт) то есть вкл SSL для HTTP
в настройках стоит пропускать HTTPS от меня к инету и обратно,
однако реально при установке связи при HTTPS страницы не открываются
отключаю службу KWF все работает
что делать

Цитата:

Подскажите, стоит Kerio 6.1.4 переодически он отваливается выдавая сообщения, что лецензия кончилась либо он крякнут. Тоесть он коннектится со своим серваком и проверяет себя. как это можно запретить? Проверка обновления отключена.

Тут всё до ужаса просто и глупо -
Создаём правило в Http policy (вроде так называется) вида - ВСЁ от *kerio.com экшн - DENY или тупо DROP. И УСЁ =)

Добавлено:

Цитата:

Подскажите, стоит Kerio 6.1.4 переодически он отваливается выдавая сообщения, что лецензия кончилась либо он крякнут. Тоесть он коннектится со своим серваком и проверяет себя. как это можно запретить? Проверка обновления отключена.

Тут всё до ужаса просто и глупо -
Создаём правило в Http policy (вроде так называется) вида - ВСЁ от *kerio.com экшн - DENY или тупо DROP. И УСЁ =)

[b]CuS[\b]
Привет!
Огромное спасибо тебе за помощь, всё настроил так как ты сказал!
В общем остался вопрос с авторизацией надо чтоб при каждом входе в систему она выскакивала и просила логин с паролем, далее есть список определённых сайтов, куда можно ходить и делать всё что угодно, их порядка 10 штук, нужно чтоб некотрые юзеры могли заходить только на них и чтоб у некоторых юзерей был полный доступ к инету... и последнее.. вопрос с аськой, комуто нужно её запретить, а комуто разрешить.. как это сделать? помоги пожплуйста!

Вся инфа по винроуту есть здесь
http://www.internetaccessmonitor.ru/rus/support/docs/winroute/ch12s03.php

а не подскажете, как по-простому сделать доступ с моего внешнего ip на чужой внешний ip по rdp? чето потыкался, не получается с лету, Remote Desktop Connection не коннектится.

Проблема не могу заставить KWF пропускать HTTPS трафик (443 порт) то есть вкл SSL для HTTP
в настройках стоит пропускать HTTPS от меня к инету и обратно, т.е.

от firewall, сеть инет к firewall, сеть инет разрешать HTTPS

однако реально при установке связи при запросе HTTPS соединение
страница не открывается
отключаю службу KWF все работает
что делать ?

Foma1979
надо настроить разрешения это раз, если у того к кому ты подключаешься стоит файрволл надо соответственно настроить и его чтобы он пускал

Читал не нашел, извините, ответ на такой вопрос!
Перестал загружаться драйвер VPN.
В interfaces VPN Server VPN Driver is not loaded.
где искать?

Добрый день.
Ситуация такая: у меня w2k3 server, на нем стояла сетевая плата с внешним ip адресом х.х.х.у с маской подсети 255.255.255.240, выходил в интернет все нормально (фаервол KWF 6.1.2), потом возникла необходимость добавить еще пару устройст, чтобы они были видны из интернета, провайдер выделил внешние ip адреса, но не в тойже сети, что и первая сет.карта, а в др. подсети (дословно это звучало так "На вашу точку подключения х.х.х.у смаршрутизирована подсеть х.х.х.z netmask 255.255.255.248"), я в сервер добавил еще одну сет карту с первым адресом из добавленной подсети и соединил с устройством, которому дал второй адрес из той подсети. Как мне смаршрутизировать компьютер (какое правило добавить в KWF), чтобы ip адреса из добавленной подсети были видны из интернета?

apolenary
что-то не очень понятно, короче винроут не понимает два внешних интерфейса надо ставить ещё одну машину, собсно получится межсетевой экран по большому счёту

День добрый всем.
проблема такая:
на сервере стоит w2003r2 сервер, на нем же настроен KWF 6.2.2 вроде все правильно сделал, а пользователям по протоколу POP3 и SMTР почта не уходит и не приходит, пишет что невозможно подключиться к серверу mail.***-***.kz, а через веб интерфейс нормально заходит, но telnet mail.***-***.kz 110/25 подключиться не удается, где я неправильно настроил, и что мне делать, подскажите.
Зарание Благадарен