» Kerio WinRoute Firewall (часть 3)

Спасибо большое за ответы. Извиняюсь, что долго не отвечал.
Yips

Цитата:

А то, что EgOus в конце поста написал не помогло?

Я так понял, что написал он сделать как раз:

Цитата:

Нужно удалить сервисы POP3 и SMTP из Services и в трафик полисях прописать просто порты.

Удалил сервисы и сделал вот так: http://ipicture.ru/uploads/080303/599RW5X2Wj.jpg

Результатов это увы не дало.
С провайдером дело врятли ибо проверяли напрямую без керио и усё было ок.

vimaret

Цитата:

А, слабо попробовать на W2K3 server. Может собака здесь зарыта? Ведь если я правильно понял, у вас не мало клиентов работает с почтой. Может быть возникают какие-нибудь конфликты при одновременной работе нескольких клиентов. При этом не серверная ось просто не тянет многопользовательскую работу...

Ось действительно и на проблемном компе и на сервера XPSP2. И быть может собака и правда зарыта где-то здесь. Однако
1) Переводить сервер на другую ось сейчас немножко проблематично.
2) Даже перезагрузив сервер и попробовав загрузить почту с одной единственной машины проблема никуда не пропадает.

подскажите пожайлуста в каких случаях в статистике (через консоль админа) не указывается трафик пользователей, т.е. весь объем записан за unrecognized

включен прокси непрозр + прозрачн + кэш
юзеры бегают через явно указаный прокси с указанием имени и пароля

весь объем трафика unrecognized программа WrSpy раскидывает по юзерам как и должно а сам керио нет

замечено также что при просмотре статистики через веб интерфейс server:port
почти весь обьем списан на соединение по RDP

к пуговицам претензий нет, к рукавам тоже, но вцелом пиджаг амно какое-то )

Подскажите пожалуйста.
Для анализа трафика раньше использовал Internet Access Monitor, все устраивало
Сейчас, спустя время сново пришлось использовать керио.
Но IAM показывает неверную статистику, во много уменьшенную, не могу разобраться в чем дело. Где и как можно сделать отчет по трафику в керио?

Bear39
Вот хорошая прога.

lavren

Слышал про эту прогу что эту ее просто к логам не прикрутить, нужна база какая то?

сорри, тупой вопрос задал, спасибо за совет =)))

Народ, такой вопрос:
Самая банальная конфигурация - комп с двумя сетевухами. Одна - провайдерская, вторая - внутренняя. В интернет ходим через VPN.
Как настроить Керио, чтобы он по запросу из внутренней сетки автоматом поднимал VPN, так, как это делает обычная XP при расшаривании VPN-соединения и включении опции "Устанавливать вызов по требованию"?

1. Configuration -> interfaces и проверь есть ли там твоё VPN соединение (проверь его свойства-там есть режимы работы типа постоянное, по требованию и т.д.)
2. (быстрый вариант) Идёшь в Traffic Policy и жмёшь кнопочку Wizzard и на шаге 2 из 8 выбираешь тип соеденения с интернетом Dial-Up дальше настраиваешь как тебе нужно...
3. (медленный вариант) не запускаешь визарда а вручную вбиваешь правила

Bear39

Цитата:

Слышал про эту прогу что эту ее просто к логам не прикрутить, нужна база какая то?

Это ты не понятно от кого слышал. Ты попробуй, настраивается в 3 сек. Надо указать где файлы керио с логами и все. сама втянет все.

как сделать что бы vpn клиенты хавали внутренние dns адреса?
например, сижу я в нете где нито, и хочу пингануть по имени сервак или на внутренний портал по хттп зайти?
по ip все ходит, но это я такой умный, а пользователи знают только имена хостов и адрес в браузере

Doctor_Livsi

Цитата:

Не совсем то что нужно.
Так как у него настроено на расширения канала.
а мне необходимо разрулить по протоколам.
хттп, фтп, торент на один адсл модем
рдп, почта, на другой.
Оба адсл на одного провайдера настроены.
Модемы работают в актив режиме.

Но вот если бы внимательно прочитали все ответы по этой теме, то поняли бы, что керик на две внешних сетевухи работать не может. Нужно посадить оба модема на одну сетевуху, если у вас соединение с авторизацией по PPPoE, либо организовать маршрутизацию двух сетей через один модем, если у вас маршрутизируемое соединение с провайдером. Вот тогда разрулите. А еще andrejvb давал ссылку на MikroTik RouterOS http://forum.ru-board.com/topic.cgi?forum=8&topic=13675&start=340#lt.



Добавлено:
AmunRa

Цитата:

как сделать что бы vpn клиенты хавали внутренние dns адреса?
например, сижу я в нете где нито, и хочу пингануть по имени сервак или на внутренний портал по хттп зайти?

Нужно чтобы КВФ стоял на серверной оси. Поднять RRAS. Там в свойствах сервера на вкладке IP есть галочка Enable Broadcast name resolution. Ну и выбор адаптера для локалки. Сам не тестировал, но очень интересно сработает или нет. Успехов.

Bear39
Ненужно никакой базы! В настройках ставишь откуда читать логи, жмешь импорт и наслаждаешься репортами!

vimaret

Цитата:

Нужно чтобы КВФ стоял на серверной оси. Поднять RRAS. Там в свойствах сервера на вкладке IP есть галочка Enable Broadcast name resolution. Ну и выбор адаптера для локалки. Сам не тестировал, но очень интересно сработает или нет. Успехов.

БРЕД!!! Ты сам то понял что написал??? Ещё раз прочитай и подумай КАКОЙ наф броадкаст в ВПНе, помимо того что две службы маршрутизации конфликтовать будут!!!

AmunRa

Цитата:

как сделать что бы vpn клиенты хавали внутренние dns адреса?

Если раздавать адреса по ДХЦП Керио то там пропиши адреса внутренних ДНСов. Опять же надо проверить/разрешить доступ с VPN IP к этим ДНСам.
Если адреса статичны то надо прописать внутрений НС в настройках соединения.

Потом в настройке Сетевого окружения - Доаолнительные параметры. Поставить соединение VPN первым. И всё будет работать...
Возможно ещё wins пондобится но не он не критичен.

Никакого RRAS с broadcast'ом не надо!!!

Всем доброго дня. Помогите советом. Есть комп с установленным Windows server 2003+Winroute 6.3.0 для раздачи инета. Все компы с WinXP sp2. На одном из компов есть ВПН соединение для подключения к серверу в другом городе и работы установленной в ней программы. Но не могу подключиться. В Traffic policy для этого компа разрешаю РРТр и IPseq-не получается. Попробовал разрешить все - всеравно не подключается. Когда останавливаю Winroute на сервере-подключается. Что и как мне настроить чтоб все получилось?

rovshan1000
Сделай ВПН средвствами Kerio а не стандартным PPTP...
И будет счастье...

rovshan1000
скриншот трафик полиси в студию и опишите задачи более чётко, мало что понятно. для Kerio VPN нужно разрешать сервис Kerio VPN для виндосовского VPN нужно разрешить PPTP и GRE

Народ а в керио юзер может просматривать как нибудь скока унего осталось или скока уже заюзал трафа?
стоит керио 6,1,4.

rovshan1000

ipconfig /all в студию
скрин трафик полиси
у тебя все за натом? или прокси?

Вопрос такого плана , у меня в сетке есть умные пользователи, которые умудряются лазить на забаненные сайты,вообщем обращаются к другому серверу в нете халявному а те в свою очередь устонавливают сессию с сайтом , итог в статистике только показывается IP сервера в нете через который конектются пользователи к забаненным сайтам, как все таки это исключить, банить ИП не вариант их масса.

Frose
Забань сайт...
И вообще для таких случаев очень полезнительная тема в Адеграунде:
ЧИТАЕМ, ДУМАЕМ, ПРОБУЕМ !!!
Только ДУМАЕМ, ЧИТАЕМ, БЛОКИРУЕМ....

vimaret

Цитата:

Но вот если бы внимательно прочитали все ответы по этой теме, то поняли бы, что керик на две внешних сетевухи работать не может. Нужно посадить оба модема на одну сетевуху, если у вас соединение с авторизацией по PPPoE, либо организовать маршрутизацию двух сетей через один модем, если у вас маршрутизируемое соединение с провайдером. Вот тогда разрулите.

Столько всего было сказано, а собственно прямо на сайте керио написано доступным языком.

Supported Internet connections
Support for DSL, cable modems, ISDN, satellite, dial-up or wireless Internet allows users to deploy Kerio WinRoute Firewall in networks of all sizes and in all locations. All users can share one a single Internet connection.

Так что если у кого получиться зарзрулить две сетевухи, то пусть выложит в инет решение

Пришло время качать ису

Пришло время качать ису и тр.....ся с ее причудами
"Дайте мне дело, а уж особым я его сделаю сам" - тоже можно отнести ко всем продуктам линейки мс

To Ruza , в том то и дело что нельзя по сайту забанить, Керио не видет в этом случае имя сервера однокласников или его ИП, и банить то по суте не чего

5555555
Что ты тогда виндой пользуешься???

Доброго дня.

Помогите разобрать маленькую проблему, поставил kerio wf 6.4.2, все работает кроме outlook(не забирает почту с @mail.ru). останавливаю kerio, почта забирается с @mail.ru.
где глянуть в логах почему не забирает, что ему мешает?

ArkadiyBa
протокол инспекторы убери на почтовых сервисах в керио и правила проверь

Doctor_Livsi

Цитата:

Что ты тогда виндой пользуешься???

как узнал? мой минимак меня вполне устраивает. Юзеры - дело другое..
ArkadiyBa

Цитата:

где глянуть в логах

сам же и ответил, именно в логах и надо смотреть, только не забыть включить их ведение (временно хотя бы, чтобы не засирались).

обращение к таким сайтам по каким портам идет?

А возможно ли поднятие керио на одном интерфейсе, т.е. сетевуха одна. нужно просто для поднятия прокси, и что бы траф ограничалься. Сейчас стоит какая то ССПрокси. Работает. Но нельзя добавить порт дополнительный например.

TohaDub
без проблем

Frose

Цитата:

есть умные пользователи, которые умудряются лазить на забаненные сайты

Цитата:

как все таки это исключить

А надо ли?, может проще телегу генеральному написать..., а он скажет: "пусть лазят" или примет меры сам.