» Настройка Kerio Winroute серии 5.x и 6.х

А антиспуфингом да, я тоже тупил долго в эти выходные
тоже настраивал свою сетку под тарелку.

Аплоад от тебя или когда к тебе на сервер ломятся извне?
Если последнее, то читай дальше, а если нет то должно работать, смотри что у тебя в нате разрешено.

боюсь тебя огорчить, либо ты не пользуешься vpn, а качаешь например через прокси провайдера тарлеки, либо ставишь юникс, либо ставишь 2 сервака виндовых.

я выбрал последние и в выходные это и делал.

Катастрофа!!! kerio winroute firewall has crashed and have been restarted... и ничего не работает!!! (в смысле - kerio). Кто нибудь сталкивался?

2 logrus
зайди на
http://www.kerio.cjb.net/index-rus.html
там есть програмка Services Checker
написано что помогает и винроуту.

может поможет

Добавлено
Подскажите пожалуста
керио 6.0.6
прописано в трафик полиси
три правила (для начала - только что поставил)

1) фаервол эни эни пермит
2) локалхост фаервол хттп пермит
фтп
3) убить всё (стандартное правило)

из правила 2) видно (для меня) что локалхост имеет право пропихнуть через фаервол наружу
только www и FTP, а всё остальное должно быть зарезано.
но всё работат, кроме нетбиоса, опять же

непонятно

в 4.2.2 всё просто in и out
а в 6.х всё вместе

как понять?
подскажите PLZZZZZZZZZZZZZZZ
просьба камнями некидаться

pentium
Насколько я понял, Services Checker предназначена для слежения за службами и перезапуска, а тут вообще не запускается(((

2Logrus

тогда сохраняй настройки и перестустанови

Netacom

Цитата:

либо ставишь 2 сервака виндовых.

я выбрал последние и в выходные это и делал.

ну предположем поставил 2 сервака виндовых, и что потом ???
объяснишь популярно ???

2 pentium


Что такое локалхост в твоем описании? Это и есть сервак 127.0.0.1 или какой-то из компов в сетке?

Нетбиос и не будет работать, т.к. нет разрешающего правила для приема нетбиос бродкастов с твоей локалки.
Тут всё в одном, и немного не привычно сначала, но понять можно.

Ты разрешил серваку ходить куда угодно, а принимать пакеты доверил только от локалхоста, да и то только http и фтп.

2 Bernu

схема примерно такая
internet -- serv1 -- serv2 --- локалка
на serv2 естетственно и стоит dvb карта.
с второго уставливаешь vpn со спутником и у всей локалке прописываешь шлюзом serv2.
у serv2 шлюз serv1

на обоих серваках NAT поднимаешь
на serv1 НАТ только для serv2, а на serv2 НАТ для локалки.

примерно так.

Помогите пожалйсята с проблемой:
два компьютера в локальной сети (разные подсети со своими шлюзами)
на одном компьютере есть Winroute 6.0.8 и VPN-соединение с интернетом, поднят VPN-server, а второй компьютер конектится к первому(цель интернет) посредством kerio VPN Client:

Kerio VPN - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Kerio VPN adapter
Физический адрес. . . . . . . . . : 44-45-53-54-F4-F8
Dhcp включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 10.1.1.2
Маска подсети . . . . . . . . . . : 255.255.255.0
IP-адрес . . . . . . . . . . . . : 169.254.70.11
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DHCP-сервер . . . . . . . . . . . : 169.254.70.10
DNS-серверы . . . . . . . . . . . : 10.1.1.1

traffik policy по логике настроен верно-
но вот клиент только принимает пакеты ,
поднимал прокси-сервер- клиент получал доступ в интернет до первой его перезагрузки (почему пропала связь не понятно) и забавно, что шлюз не прописывается у клиента (прописывал в ручную, не помогало)
странно также что на сервере виден один ИП клиента, а тот в свою очередь имеет два - должно ли быть так?
может у кого-то есть соображениея или опыт?

Netacom

Цитата:

схема примерно такая
internet -- serv1 -- serv2 --- локалка
на serv2 естетственно и стоит dvb карта.
с второго уставливаешь vpn со спутником и у всей локалке прописываешь шлюзом serv2.
у serv2 шлюз serv1

на обоих серваках NAT поднимаешь
на serv1 НАТ только для serv2, а на serv2 НАТ для локалки.

примерно так.

Поправь меня если я тебя не так понял.

internet -- serv1 -- serv2 --- локалка

на serv1 стоят IP адреса сайтов и мэйла
на serv2 IP адрес может быть локальный т.е. нереальный ???
и на обеих serv по 2 сетевухи ?

Кто-нибудь разобрался с порт мапингов в винроуте?

У меня цель проросить 25 порт на другой сервер, где поднят smtp, пишу правило
Any to Firewall на 25порт портмап удаленный сервер 25 порт.
и нифига

Netacom
А NAT у тебя есть чтобы "другой сервер, где поднят smtp" мог ответы слать?

На нем тоже стоит винроут.
они оба смотрят в инетрнет через разные каналы.

хочется чтоб на оба могла приходить почта по smtp, но не хочется на обоих серваках ставить почтовые сервера.

2 Netacom
локалхост это машина на каторой установлен винроут, в чатсности это моя машина в локалке.

Цитата:

Тут всё в одном, и немного не привычно сначала, но понять можно.

Вот это самое и непонятное - привык к 4.2.х и всё тут
немогу въехать в правила
и фаервол этот сделали гы, как буд то ручками нельзя прописать
навертели пампасов блин... разбирайся

если не сложно мил человек - пособи.

а я в свою очередь ссылочку подкину с одного форума, старого правдо - но посмеяться можно, я плакал когда читал "Про Анжелу и её друга строителя"
http://www.valeramonah.ru/other/sikel.htm

но это к теме не относится

а каже тогда рулить in и out трафиком ?

2 Benru
Всё так, только на втором можно и одной обойтись, но вторая идеологически правельнее, чтоб не городить маски подсети.

2 pentium

А что там особо непонятного.
исходящи это когда соурс твой сервак, а дистинейшн удаленный.
т.е. смотря в какую сторону смотреть

Версия 5.1.7 - 6.0.8
Проблема одна и та же для всех версий - "висят" соединения с таймаутом 24 часа, много соединений.. все к удалённым 21 портам.

А в чём причина: локальный веб-сервак с php-сервисом сканирования ссылок http и ftp на доступность. С http всё в порядке, нашёл ссылку и отсоединился, не нашёл - небольшой таймаут и тоже убрался. С ftp всё иначе..
Если для правила поставить protocol inspector на Default или FTP, то сканер находит все включенные компы сети - и с фтп и без фтп, но показывает что у них открыт 21 порт! С соединениями всё ок, быстро разрываются..
Если protocol inspector отключить, то находит именно только FTP серверы, НО у остальных (что находились как лишние в верхнем случае) возникает соединение с таймаутом в 24 часа!!! Пользователей много и таких соединений за день около 500, что жутко снижает производительность сервака (P3-800, 512, Win2k)!

подскажите где KWF6 хранит настройки?
нужно с сервера на сервер перебросить

BigBear в двух CFG файлах из корня папки WinRoute: "users.cfg" и "winroute.cfg"

sghi
спасибо
там все настройки?

Подскажите как наиболее просто поборть банеры?
в url групу повключал всякие там *.ads.* .... и запретил эту групу, но всеравно проскакивает их еще очень много. Скачал отсюда (с рубоарда) файлик со списком банерных ресурсов (в тхт формате), а как его подключить к винроуту ума неприложу. В .cgf информация прописывается 4 строчками - тоесь просто туда вбросить все это неполучится вроде.
Короче прошу помощи и совета как наиболе просто можно растатся с банерами.
версия винроута 5.1.9 - но думаю это непринципиально.

Привет, Аll.

Проблема у меня и своих мозгов не хватает.

Есть комп. клуб, сетка на 15 компов и сервак,(если можно так сказать, стоит WinXp HomeEd, лицензионная, начальник на нормальный сервер денег пожалел)
Инет раздаю через проксю winroute 5

Всё работает нормально но есть необходимость сделать выход в инет по паролю (инет sDSL), причём только с главного компа, локальные юзеры чтоб без пароля ходили, просто у них там всё ограничено и выход только на определённые сайты только.

а на главном компе открыт полный доступ, ессно хочу доступ с этого компа только для себя.
Как настроить не могу понять тыкаюсь как слепой по разным галкам и ничего.

Помогите чайнику.

пишите на личку или в АСЮ 322958642

Поскажите чайнику. Есть ли документация на русском языке по настройке WinRoute 6.x. Хочу на сервере поставить прокси с выходом по паролю на локальных машинах. И чтобы с интернета не лезли кто попала на сервак. Поставил со стандартными настройками, чуть сервак кто не "уронил".

Со стандартными настройками никто с инета на сервак к тебе не влезет, для этого надо ручками постараться А вот документации на русском, нет. Искал много и долго.

Люди подскажите поалуйста. У меня стоит KWF 6.0 WIn XP. На моей машине 3 пользователя. Статистиску я вижу только по всей машине всех пользователей. А также остальных машин со своими IP. Хочу ограничить других пользователей своей машины и видеть их статистику. Сделать аутентификацию мне не удалось, подскажите кчто делать. В XP входят все под своими логинами. Спасибо.

routewin

Цитата:

Сделать аутентификацию мне не удалось, подскажите кчто делать. В XP входят все под своими логинами.

Если у тебя в сети домен, то можно сделать автоматическую NTLM-аутентификацию. Для этого импортируй пользователей из домена и поставь им галку, чтобы они авторизовались через NTLM.

Если домена нет, то пользователей нужно завести руками и присвоить им пароли. После этого для авторизации пользователи дождны заходить на порт WebAdmin (4080 для http или 4081 для https, в зависимости от того, что у тебя открыто) шлюзовой машины и вводить имя и пароль.

Всё должно работать.

ralphnsk

Домена у меня нет. Я обыскался, но не нашел ни где эту NTLM аутентифифкацию.
Винроут 6.0. А можно по порядку, что и как делать. Куда лезть и чего заводить, пожалуйста. Я уже много времени бьюс не получается. И еще вопросик: А можно после того как квота кончилась у кого-то то обрубить только этот IP или этого пользователя?
Я что то тоже не нашел где это сделать. Спасибо

routewin
Ну давай по порядку.

Идём в конфигуратор Винроута, в раздел Users and Groups/Users
На вкладке Authentication options ставим первую галку, вторую убираем. Если надо, чтобы по истечение таймайта пользователи автоматически отлогинивались, поставь нужный интервал.
На вкладке Active Directory убираем всё, т.к. домена нет.

После этого добавляем пользователей. В том месте, где Authentication, выбираем Internal User Database, и назначаем пароли.

Затем идём в Configuration/Advanced Options и в разделе Web Interface выбираем, по какому протоколу будем авторизовать пользователей - http или https.

По-идее, это всё Дальше с юзерской машины заходим, например, на http://твой_шлюз:4080, авторизуемся и получаем доступ.

А квоты могут устанавливаться отдельно для каждого пользователя (при создании юзера сходи на вкладку Квоты).

Вроде бы так.

ralphnsk

Все так и сделал. Вопрос: вкладка advanced optoins / web interface вней нужно писать Winroute Server Name.

Я все это проделал. Но вот юзеры могут залезть в инет и без идентификации. Т.е. у них ничего не вылазит при попытке подключится. Просто тыкаешь на инет пишешь адрес и все у них работает. И нет ни какой идентификации типа введите пароль. Может чего то не так? Или обязательно им надо писать в адресе шлюз:4080?

Спасибо за интерес к моей проблеме.

Про квоту я нашел. Но вот вопрос. Там можно рубануть всех юзеров или выдать сообщение. А можно ли рубануть только этого юзера???

Спасибо

Цитата:

Но вот юзеры могут залезть в инет и без идентификации.

Ну, это глядя что у тебя написано в правилах (Traffic policy)
Например, есть у тебя правило для http, что из внутренней подсетки можно ходить во внешний мир через NAT по некоему протоколу (http). Вот в том месте, где указывается, откуда, снести все IP-адреса и вместо них либо перечислить пользователей, у которых есть доступ именно по этому протоколу, либо выбрать пункт "Авторизованные пользователи".

Отныне все, кто не прошёл авторизацию, инета не увидят, как своих ушей.
Цитата:

Там можно рубануть всех юзеров или выдать сообщение. А можно ли рубануть только этого юзера???

Конечно. Заходишь в свойства конкретного пользователя, вкладка "квоты" и там пишешь, сколько мего в день/месяц этот юзер имеет право накачать.
Цитата:

Вопрос: вкладка advanced optoins / web interface вней нужно писать Winroute Server Name.

ну это же имя хоста твоего шлюза

И вновь проблема. Все равно все выходят в инет без авторизации и с друих машин и другие пользователи с моей тоже могут.
Вот мои правила, что не так?

Name Source Destination Service Action
ICMP traffic | firewall | ANY | Ping | V
ICQ | Inet | Inet | ICQ | V
ICCOrangeWeb | firewall | ANY | HTTPS, | V
TCP6000
NAT | Authenticated User | Inet | HTTP | V
NAT | Authenticated User | Inet | DNS | V | Nat
FTP
POP3,IMAP
SMTP,HTTPS
TELNET
Local Traffic | Firewall, Подкл по | Firewall, Подкл | Any | V
лок сети по лок сети
Firewall Trafic | Firewall | Inet |DNS,FTP | V
HTTP,HTTPS
ICQ,IMAP
POP3,SMTP
Telnet Translation
Service HTTP | Inet | Firewall | Http | V | MAP 192.168.0.2
Ident | Inet | Firewall |Ident | V



Это все правила. Уже запарился, ничего не получается , все в инете

Вроде должно работать.

Цитата:

ICQ | Inet | Inet | ICQ | V

Смысл этого правила я не понял.


Цитата:

NAT | Authenticated User | Inet | HTTP | V

А здесь почему-то NAT Не включён.

Проверь ещё здесь:
Users and groups/Users, вкладка Authentication options
Стоит ли галка в том месте, где Always require users to be authenticated...

Потом посмотри Status/Hosts & users
Появились ли там авторизованные пользователи? Сделай всем Logout

В правилах NAT попробуй явно перечислить всех пользователей, которым открыт доступ.