» Kerio WinRoute Firewall (часть 4)

прочитал мануал, расстроился....

Для доступа в Интернет VNP клиенты используют свое текущее Интернет соединение. VPN клиентам не разрешается связываться с Интернет через WinRoute (настройки шлюза по умолчанию для клиентов установить невозможно).
(с)
на сколько я понимаю, сделать все выше описанным мной способом не удастся?

WinRoute имеет так называемый IPSec проход. Это значит, что WinRoute не имеет инструментов для установки соединения IPSec (туннеля), но он может обнаружить IPSec протокол и активизировать трафик между локальной сетью и Интернет (с)
и ipsec средствами керио отпадает....

помогите пожалуйста. соединяюсь c ftp через тотал командер и получаю вот такую ошибку...

http://slil.ru/26106097

настройки тотала:
галка соединение через прокси и hhtp прокси с поддержкой ftp.
в чём грабли, народ?!
в правиле фаервол-инет ftp указан.

Всем привет. Такая проблемка.
киря 6.3.x
У пользователей дневные квоты. После превышения квот - ограничение траффика (bandwith limiter).. Ограничение срабатывает, но вот в чём проблема. Необходимо, что резалась скорость на всём, кроме почты (POP3 и SMTP). В моём же случае режется на всём. Вопрос, как всё же сделать, чтобы скорость по указанным протоколам не резалась.
Screen прилагаю. (нажать для увеличения)


Спасибо заранее.

daledale
Кнопка адвансенд в ограничителе трафика
на перевой закладке 2 и 3 радиобутон на твое усмотрение

noblekey
Дык там ж, эта кнопка, только для "больших Фаил трансфер" правила.. А внизу, где "Юзерс with excedeed quota" кнопку advanced - нету

daledale

ты же хотел

Цитата:

Необходимо, что резалась скорость на всём, кроме почты (POP3 и SMTP).

ставь 3 галку и указывай POP3 и SMTP
эти самым у тебя ограничения будут применятся ко всему кроме POP3 и SMTP

noblekey
Причём тут ограничения на скачивание больших файлов и скачивание после превышения квоты. Да, мне нужно исключить из квоты почтовый траффик, но причём тут....(нажать для увеличения)

окно настройки ограничения сервисов для случая ограничения скачивания больших файлов и какая связь между этим и превышенными квотами.
Ещё раз - кнопки адвансед в свойствах "юзерз with exceeded quota" - нет, а приведённая кнопка адвансед относится к ограничению на скачку больших файлов... (нажать для увеличения)


Добавлено:
noblekey

Иными словами, всё, что находится во вкладке "Адвенсед", касается ТОЛЬКО скачивания больших файлов? Я тоже вот давно пытаюсь в этом разобраться, в итоге - только запуталсо ))) Если ставлю размер файла максимально большой, то я вообще не вижу действия шейпера. Если мы ставим размер файла маленький, то тогда вопрос - как быть со временем блокировки - меньше одной секунды не поставить, как быть? Ведь если я правильно понял, секунды - время блокировки(остановки) закачки. Как же всё-таки правильно ЭТО настроить? Интересует именно хттп, и нужно зарубить весь канал для всех юзеров на опред. предел.

Ruza

Цитата:

Шлюз в домене?

эээ.... если я правильно понял вопрос, то шлюз отдельный от домена сервак Win2003
предназнач. для инета и домен Win 2003 DNS DHCP и он входит в домен.

Подскажите плиз, понимает ли Kerio VLAN'ы?? Никак не въеду...

Суть проблемы.
На одной сетевухе на проксе висят 2 продразделения, скажем Наши и НеНаши. Так вот хотелось бы всех Наших загнать в один VLAN и через Kerio дать полный доступ к серверам локалки, а парочке компов из НеНаших дать только выход в инет через прокси.
Все используемые свичи управляемые и с VLAN.

Это в принципе возможно средствами Kerio?

Lovec

Цитата:

понимает ли Kerio VLAN'ы?? Никак не въеду

какая связь между коммутацией и маршрутизацией тоже не совсем понятно..
А что обязательно это делать ср-ми керио? керберос не устраивает?

5555555
Устроит любой вариант, лишь бы работало.
Не ясно что писать на Керио.
Щас например в ТП: 198.198.197.1 - имеет доступ к KWF по HTTP (это для инета НеНашим)
Теперь добавится 25 IP адресов Наших. Я конечно могу привязать их к MAC адресам в DHCP и прописать в Керио что этим IP можно любой трафик с нашими серверами...
Но было бы красивее и безопаснее допустим загнать их в VLAN01 и на Керио прописать что то типа VLAN01 - <серверы> - ANY - Permit

Но так видимо на керио нельзя...

Lovec да раззоритесь на еще одну сетевуху для НЕнаших и все проще будет..

Позанимался шейпером)))) одновременно и наивная, и эффективная штука. А вот как-то здесь писалось не так давно про новую версию винроута с балансировкой канала. Что-нить слышно про это?

Народ, повторюсь...
Короче нужно чтобы почта не попадала под ограничения после превышения траффика. Есть ещё идеи?
Спс.

Ruza

Цитата:

Шлюз в домене?

Да шлюз в домене(но не на домене)!

daledale

Цитата:

Короче нужно чтобы почта не попадала под ограничения после превышения траффика. Есть ещё идеи?
Спс.

Идеи есть, а телепатов нету.

Есть понятие ограничения скорости ПОСЛЕ превышения лимита!!! И ниипёт pop/smtp/rdp и другой фуфел... А ты просто не считаешь трафик по pop/smtp (на первом скрине) и он соответственно в квоту не попадает. Зато накачавшись по http юзер получает ограничение на всё.

А разруливается так - не считать трафик по мыльным протоколам, или завести группу которая будет безлимитной и иметь доступ только по pop/smtp или выделить под это дело виртуального пользователя.


Добавлено:
Georgi4

Цитата:

хотя база юзеров берётся с АД через маппинг

Сделай не маппинг, привязку в домене. Должно попустить либо приводи настройки маппинга

Ruza

Цитата:

А разруливается так - не считать трафик по мыльным протоколам

Вот здесь можно поподробней, т.к. я уже голову сломал и Protocol Inspector (PI) в службах в самих протоколах pop3/smtp отключал (None), и в Traffic Policy PI отключал (см.screen). Как тока траффик превышен - скорость рубится по всем протоколам ёпть.

Ruza
мапинг откл. сделал привязку,


в настройках юзера поставил аутентификац карберос Вин нт, не пашет, откл, задал им пароли, могут ходить, но не ведётся трафик. Может трафик полиси корявые.?

как заставить KWF при превышении дневного трафика пользователем не только блокировать доступ но и выдавать сообщение в браузере?

HEPL

Народ,помигите с проблемкой - не могу загрузить фото на однокласников - керио стоит на домене,канал 128/32.
Вот интерфейсы

вот полисы


Постоянно пишет шо соединение закрыто уд. серваком.Уже пробывал различные броузеры и нифига
Да и по моим полисам - я закрыт от внешнего мыра,конечно кроме тореннтов для которых я сам открыл порт?

MagistrAnatol
Судя по предоставленным настройкам никаких проблем быть не должно. А если попробывать загрузить фото через настроенный в браузере другой прокси сервер? Если этот вариант сработает, то дело может быть в провайдере. А вообще, судя по скриншоту, используется бета версия Kerio WinRoute, что также может быть причиной.

Народ подскажите, какие доп настройки нужны для того что бы почта тоже ходила через прокси?

Я настроил http - работает через прокси.
Microsoft Outlook использует те же настройки что и ИЕ, но при этом выдает ошибку
Ошибка подключения к серверу. Ошибка сокета 10060 и т.п.

Что можно посмотреть?
В правилах открыто все для всех.

AmunRaТе же - это какие? ))) Поставь почтовик, будешь доволен, и в процессе узнаешь много нового )) А так настраивай нат

Как организовать в KWF что б вся подсеть ходила через прокси Прокси-провайдера(внещние прокси сервера). ?

Привет всем!

У меня доступ к интернету организован через proxy с аутентификацией, но есть доступ к почте (pop3 и smtp), реализованый с помощью nat. Kerio позволяет забирать почту всем вне зависимоти от того, есть ли такой пользователь в его списке пользователей или нет.
Можно как-нибудь сделать так, чтобы неизвестные для kwf пользователи не могли пользоваться nat?

Всем здрасте

Возникла такая проблемка, связанная с сертификатами SSL:
В домене есть центр сертификации на базе Windows 2k3 Enterprise, он у всех машин в домене доверенный. Как можно выдать с помощью этого корневого ЦС сертификаты для KWF?
Сам ЦС выдает сертификаты в формате .cer, а Керио требует отдельно ключ в виде .key, и отдельно сам сертификат в формате .crt. Я уже себе мозг сломал.

Может вопрос не сюда, а в тему про ЦС Windows 2k3? Дайте тогда пожалуйста ссылочку, где спросить можно, как выцепить отдельно ключ и сам сертификат в нужных для Кериохи форматах.

Заранее спасибо.

KlaxOn
ну пускай правилом NAT только авторизованных пользователей( но для этого пользователю придется сначала авторизоваться, или автоматическую авторизацию поставить)

kliv1
Спасибо за наводку
Может кому пригодится: в traffic policy для правила с NAT в источнике ставится не интерфейс локальной сети, а конкретные пользователи.

Добавлено:
Ещё вопросик: если ставить суточный лимит по трафику, то при его перерасходе, сабж пишет "Соединение с сервером www.сервер.ru сбой (Сервер не отвечает.)".
Вместо этого может выдаваться страница с сообщением, что "превышен лимит" или типа того?

Цитата:

источнике ставится не интерфейс локальной сети, а конкретные пользователи.

не обязательно пользователей, можно создать группу, и ее указывать в сорсе, а в эту группу заносить разрешенных пользователей, так "красивее" будет, особенно если пользователей много


Цитата:

Вместо этого может выдаваться страница с сообщением, что "превышен лимит" или типа того?

Насколько я знаю, нельзя. Можно оповещение на мыло слать