» Kerio WinRoute Firewall (часть 3)

Народ, помогите, может и был мой случай, но не найти.
Всё выглядит так: прокси прозрачный, надо выпустить пользователей на удалённый сервер терминал через инет 212.ххх.ххх.4:9999 и 9833
прописываю в правилах
S D Service
FW Inet tcp9999
tcp9833
но не хочет всё равно подключаться

Народ?! как настроить в винроутере 2 шлюза? Смысл : Сеть А -> Сеть В -> Сеть С
Нужно чтобы Сеть А видела сеть С. Предполагаю настроить два шлюза на роутере между Сетью А и сетью В.
Ну так кто подскажет?

Kamikaze13

Цитата:

S D Service
FW Inet tcp9999
tcp9833

Во первых S должно быть Local network (или что-то в этом духе), а не FW (это выход только с него) , во вторых нужно NAT добавить ( Translate -> адрес Inet интерфейса)
Если не катит, включайте лог и смотрите что там.


Добавлено:
tezarius

Цитата:

как настроить в винроутере 2 шлюза? Смысл : Сеть А -> Сеть В -> Сеть С
Нужно чтобы Сеть А видела сеть С.

А на кой два шлюза?
Просто пишите правила кому куда ходить и все, например:
Source Dist Serv
Сеть А Сеть А Any
сеть С сеть С

vimaret
Yips
хочу сделать проброс порта 25422 из инета на порт 22 в локалке ип 192.168.1.254

alin
Вот теперь более понятно где искать проблему.
У вас две задачи:
1. Выпустить в инет и в локалку провайдера вашу домашнюю локалку.
2. Впустить из локалки провайдера клиентов на ваш сервер он же файервол.
Все так?

1. Нужно написать два правила в керике для выхода в локалку прова и в инет, например:
Для лок. прова.: Sour-> 192.168.0.0/255.255.255.0 Dest->10.2.0.0/255.255.0.0 Ser-> Any tran-> NAT(10.2.17.18)
Для VPN (инет): Sour-> 192.168.0.0/255.255.255.0 Dest->Any Ser-> Any tran-> NAT(Default outgoing interface)
Причем правила должны идти именно в этой последовательности, чтобы пользователи идущие в локалку прова натились в IP 10.2.17.18. иначе пакеты обратно не вернутся после коннекта VPNа.
2. Здесь все куда более запушено. Обычно провайдеры используют авторизацию по PPPoE, а не по VPN. Не знаю всех деталей, но думаю, что в последнем случае происходит следующее. До того, как вы авторизовались по VPN у провайдера есть маршрут в вашу сеть 10.2.17.18/255.255.255.255, а вот после... он его динамически убирает и создает новый в сеть 83.167.75.165/255.255.255.255. Вот ваши чатовцы и теряют вас в сети. Поэтому предлагаю попробовать два способа решения. Во-первых поработать с провайдером, может быть достаточно прописать статический маршрут в вашу сеть 10.2.17.18/255.255.255.255. И второй способ, заказать у провайдера еще одно подключение (возможно даже на одной и той же сетевой карте но дополнительный IP). Через одно вы будете подключены к локалке провайдера, а через другое будете коннектить VPN, вот тогда будет работать независимо от настроек прова.
Ну и конечно вам нужно правило для допуска клиентов из локалки прова к вашему серверу. Думаю здесь ваше старое будет работать.

Добавлено:
IL81

Цитата:

хочу сделать проброс порта 25422 из инета на порт 22 в локалке ип 192.168.1.254

Те есть в локалке есть сервис с портом 22 и нужен доступ к нему из инета с порта 25422?
Тогда так:
Sour -> Any (или конкретный IP, или название внешнего интерфейса), Dest -> Ваш реальный IPадрес в инете (ни в коем разе не firewall) Serv -> TCP 25422 Trans-> MAP 192.168.1.254:22

vimaret
Огромное спасибо!
Буду пробовать ваши рекомендации реализовать в жизнь...

vimaret
Вот так заработало
Спасибо.

Имеется такая конфигурация:
KWF, на нем 3 pppoe соединения в интернет

необходимо настроить это все так, чтобы часть пользователей ходила через первое, часть через второе, а почтовый сервер был на третьем...

возможна ли такая конфигурация с помощью KWF?

Bastie
Керио не может динамически маршрутизировать...

Помогите пожалуйста разобраться с пингами в Winroute c VPN.

10.253.58.2 ---vpn--- 10.253.58.1/192.168.1.1

C 10.253.58.2 ping проходит до 10.253.58.1 а когда пингую 192.168.1.1 Ping не проходит.

pathping 192.168.1.1 отправяет с нужного интерфейса 10.253.58.2 но даже до 10.253.58.1 не доходит.

PS: Включенный Proxy никака на это не может влиять?

Armed

А ты на керио то пинг разрешил из вне? И позволь спросить что это?

Цитата:

10.253.58.1/192.168.1.1

Цитата:

PS: Включенный Proxy никака на это не может влиять?

ёпт а ты попробуй

1. Пинги разрешил Any - Any - Ping

2. 10.253.58.1/192.168.1.1 машина с Winroutom (Server 2003)

3. Так выключал проксю - правда не перегужал (сервак далеко - в случай чего бежать не охота)

И еще интересный момент если пингую из локалки (192.168.1.0), то пинги доходят до 10.253.58.1 а до 10.253.58.2 не идут.

Цитата:

Во первых S должно быть Local network (или что-то в этом духе), а не FW (это выход только с него) , во вторых нужно NAT добавить ( Translate -> адрес Inet интерфейса)
Если не катит, включайте лог и смотрите что там.

всё выставил в нужном порядке, IP указал, с самого прокси терминал запускаю без проблем, локалка выйти не может (
по логам пакеты уходят
что я делаю не правильно?

Yips

Цитата:

Это не помогает. И ничего я не порчу. Если существует проблема, то стоит о ней повоговорить.

Это ПОМОГАЕТ! Чтобы антивирус керио не проверял POP3 и SMTP, то надо отключить проверку этого в закладке антивируса, а затем отключить Protocol Inpector в Services у POP3 и SMTP.

Kamikaze13
Порядок покажи....

Armed
Правила в студию... Иначе что то не сходится... да и route print cо шлюза.

Ребят вот скажите , ну чем трафик учитывать нормально , не сходится что то у меня Internet Access Monitor 3.1 врет гад как пить дать врет!! Кто чем учитывает скажите , плиз!!

Вот так оно у меня выглядит
Подскажите где туплю
И когда пингую IP из локалки то эха нет (((
С прокси же всё хорошо

Frose
Тебе тут помогут:
http://forum.ru-board.com/topic.cgi?forum=2&topic=2359&start=640#lt

Добавлено:
Kamikaze13
Мля давай route print

Добавлено:
Kamikaze13
Да и пинг из локалки не будет работать по определению....
Как ты думаеш согласно 3 правилу машина с адресом 192.168.х.х получит эхо-ответ от яндекса к примеру?
Добавь пинг в 5 правило и воздасться тебе. А 3 удали и не показывй никому.

Kamikaze13
Какой IP не пингуется: внутренний, внешний? Если внутренний, то KWRF не при делах.

народ помогите:
не могу одному пользователю настроить, чтобы смотрел на сайтах *.flv, сделал все что мог не пойму, что мешает; (на хосте показывает)
еще вопрос:
можно сделать, чтобы можно было открывать в браузере *.pdf, а скачивать нет? и как одному пользователю разрешить скачку. на windowsfaq нашел:

Цитата:

Q5: Что крутить, что бы WinRoute вырезал рекламу и т.п., а так же не давал юзерам скачивать большие файлы из инета?
А5: Настраивается все просто. Настройки - Прокси-сервер - Доступ. Добавь в верхний список все адреса, которые будешь резать в следующем формате: *banner* и т.д. Так же можешь запретить качать юзерам из инета. Для этого добавь туда же, например следующую строку: *.zip Можешь разрешить видеть банеры и качать из инета избранным пользователям (себе, например http://forum.windowsfaq.ru/images/smilies/smile.gif ). Для этого перемести имя пользователя из окна "Зарег. пользователи/группы" при помощи кнопки "<<Добавить" в окно "Предоставлен".
Вот, в кратце, так.

не понял, где перенести имя пользователя и куда
v. 6.4.2 (3672) таблэтка от Farby

snayper7
можно только разрешить\запретить и открывать, и скачивать, т.к. открыть = скачать

Подскажите пожалуйста, сабж может разруливать одновременно 2 интернет канала на 2 кучки компов сети через 1 сервер? Если да, то что писать в Routing Table? For example...

Inet 1 - Network (0.0.0.0) Mask (0.0.0.0) Gateway (192.168.1.1)
Inet 2 - Network (0.0.0.0) Mask (0.0.0.0) Gateway (192.168.1.2)

Такой вариант не проходит, одновременно работает только с одним.

AndV

Цитата:

Подскажите пожалуйста, сабж может разруливать одновременно 2 интернет канала на 2 кучки компов сети через 1 сервер?

Нет.

sadafaga
Вы уверены в своих словах?

AndV
Конечно может. У меня так работает.

Arakcheev Не хотите показать свою таблицу маршрутизации?

Arakcheev
Интересовался как-то такой схемой. Нашёл у керио только вот такой вариант - Ссылка. С интересом выслушаю порядок настройки вашей схемы.

AndV
sadafaga
И расскажу и покажу.

Задача: разные группы пользователей выпускать по разным каналам
Все разруливание идет в Traffic Policy. У меня два соединения UNLIM1 и UNLIM2.
Все идея состоит в том в следующем:

SOURCE - указать группы пользователей, можно IP адреса, имена компов
DESTINATION - указать ВСЕ внешние соединения (в моем случае, их два)
SERVICE - указать нужные службы
TRANSLATION - здесь указать ОДИН из каналов, в который выпускаем SOURCE


МИНУС данного способа, что запросы будут уходить только по одному каналу. Тот канал, который "поднимется" первым, тот и будет их отправлять.

Картинка

Народ в чем может быть трабла, у меня керио не собирает логи Connection - там просто пусто у меня??????!!!!

timsson
а в Traffic Policy в нужных тебе правилах в столбце Log стоит галка Log matching connections ?

Спасибо руборду!!!
Всё заработало, пинг осчастливил меня своим присутствием, ещё только правило RDP под NAT опустил и всё.