» Kerio WinRoute Firewall (часть 4)

при запуске консоли администрирования выскакивает



но при этом дозвон все равно проходит с 3-ей попытки

это что значит?
[more=ipconfig_all на машине с winroute]
Настройка протокола IP для Windows



Имя компьютера . . . . . . . . . : Den

Основной DNS-суффикс . . . . . . :

Тип узла. . . . . . . . . . . . . : неизвестный

IP-маршрутизация включена . . . . : нет

WINS-прокси включен . . . . . . . : нет



Подключение по локальной сети - Ethernet адаптер:



DNS-суффикс этого подключения . . :

Описание . . . . . . . . . . . . : Marvell Yukon 88E8053 PCI-E Gigabit Ethernet Controller

Физический адрес. . . . . . . . . : 00-C0-9F-C5-8A-AD

Dhcp включен. . . . . . . . . . . : нет

IP-адрес . . . . . . . . . . . . : 192.168.180.29

Маска подсети . . . . . . . . . . : 255.255.255.0

Основной шлюз . . . . . . . . . . : 192.168.180.1



Kerio VPN - Ethernet адаптер:



DNS-суффикс этого подключения . . :

Описание . . . . . . . . . . . . : Kerio VPN adapter

Физический адрес. . . . . . . . . : 44-45-53-54-F5-B0

Dhcp включен. . . . . . . . . . . : да

Автонастройка включена . . . . . : да

IP-адрес . . . . . . . . . . . . : 169.254.99.123

Маска подсети . . . . . . . . . . : 255.255.255.0

Основной шлюз . . . . . . . . . . :

DHCP-сервер . . . . . . . . . . . : 169.254.99.122

NetBIOS через TCP/IP. . . . . . . : отключен

Аренда получена . . . . . . . . . : 2 ноября 2008 г. 8:35:44

Аренда истекает . . . . . . . . . : 2 ноября 2008 г. 8:38:44



Беспроводное сетевое соединение - Ethernet адаптер:



Состояние сети . . . . . . . . . : сеть отключена

Описание . . . . . . . . . . . . : Intel(R) PRO/Wireless 2200BG Network Connection

Физический адрес. . . . . . . . . : 00-15-00-31-55-EE



etupe - PPP адаптер:



DNS-суффикс этого подключения . . :

Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface

Физический адрес. . . . . . . . . : 00-53-45-00-00-00

Dhcp включен. . . . . . . . . . . : нет

IP-адрес . . . . . . . . . . . . : 192.168.73.104

Маска подсети . . . . . . . . . . : 255.255.255.255

Основной шлюз . . . . . . . . . . : 192.168.73.104

DNS-серверы . . . . . . . . . . . : 192.168.10.1

192.168.10.1

табличка выскакивает до соединения с инетом по ppp
[/more]

Так есть какието соображения, что не так???

DenisStrelok

Цитата:

это что значит?
ipconfig_all на машине с winroute

Вам сообщили, что на сетевой карте компа с Керио *.180.29 задан шлюз по умолчанию *.180.1 Распространено мнение о том, что винда плохо работает с двумя шлюзами. Ссылок на инфу не дам - у меня их нет Юзайте поиск на forum.kerio-rus.ru или тут.
Ваша схема работы не понятна: *180.1 действительно маршрутизирует пакеты или вы его просто так свой комп на него завязали? Короче, без "route print" на шлюзе и компе с керио до и после соединения не разберешься


Цитата:

теперь: коннектится к инету (с 2-3 попыток... работает 3 минуты (работает аська и агент, браузер не пашет) и отключается. В чем может быть загвоздка?
не знаю, пригодится или нет, но вот некоторые протоколы и личные наблюдения:

Видно, что устанавливается PPP-подключение с адресом *.73.104 и не реже, чем раз в три минуты гаснет А в error.log за время сеанса есть что-нибудь?
Попробуйте, в Dialing Settings указать Persistent.

Правило для трафика МСЭ должно быть раньше правила, куда он влетает вместе с NAT'ом.


Цитата:

Port Scan: protocol: TCP, source: 127.0.0.1, destination: 192.168.73.104, ports: 1311, 2383, 1959, 1243, 1247, 2271, 1251, 1255, 1271, 1275, ...
происходит в момент отключения инета
================
при активном соединении с инетом пингуется адрес, который присваевается интерфейсу etupe при соединении с инетом.
при неактивном - "заданная сеть недоступна"

Кем пингуется? *.73.104 существует только в момент подключения, так? Или он там статический?

ArticDT


Цитата:

Ваша схема работы не понятна: *180.1 действительно маршрутизирует пакеты или вы его просто так свой комп на него завязали?

этот шлюз указан в виндовом подключении по локалке (оно работает)


Цитата:

Короче, без "route print" на шлюзе и компе с керио до и после соединения не разберешься

на шлюзе не обещаю, на компе с керио вот:
[more=до подключения]
===========================================================================
‘ЇЁб®Є Ё-вҐа䥩ᮢ
0x1 ........................... MS TCP Loopback interface
0x2 ...00 15 00 31 55 ee ...... Intel(R) PRO/Wireless 2200BG Network Connection - Kerio WinRoute Firewall
0x3 ...00 c0 9f c5 8a ad ...... Marvell Yukon 88E8053 PCI-E Gigabit Ethernet Controller - Kerio WinRoute Firewall
0x10005 ...44 45 53 54 f5 b0 ...... Kerio VPN adapter - Kerio WinRoute Firewall
===========================================================================
===========================================================================
ЂЄвЁў-лҐ ¬ аиагвл:
‘ҐвҐў®©  ¤аҐб Њ бЄ  бҐвЁ Ђ¤аҐб и«о§  €-вҐадҐ©б ЊҐваЁЄ 
0.0.0.0 0.0.0.0 192.168.180.1 192.168.180.29     10
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1     1
169.254.0.0 255.255.0.0 192.168.180.29 192.168.180.29     30
169.254.99.0 255.255.255.0 169.254.99.123 169.254.99.123     20
169.254.99.123 255.255.255.255 127.0.0.1 127.0.0.1     20
169.254.255.255 255.255.255.255 169.254.99.123 169.254.99.123     20
192.168.180.0 255.255.255.0 192.168.180.29 192.168.180.29     10
192.168.180.29 255.255.255.255 127.0.0.1 127.0.0.1     10
192.168.180.255 255.255.255.255 192.168.180.29 192.168.180.29     10
224.0.0.0 240.0.0.0 169.254.99.123 169.254.99.123     20
224.0.0.0 240.0.0.0 192.168.180.29 192.168.180.29     10
255.255.255.255 255.255.255.255 169.254.99.123 169.254.99.123     1
255.255.255.255 255.255.255.255 192.168.180.29 192.168.180.29     1
255.255.255.255 255.255.255.255 192.168.180.29 2     1
Ћб-®ў-®© и«о§: 192.168.180.1
===========================================================================
Џ®бв®п--лҐ ¬ аиагвл:
ЋвбгвбвўгҐв
[/more]
[more=после подключения]
===========================================================================
‘ЇЁб®Є Ё-вҐа䥩ᮢ
0x1 ........................... MS TCP Loopback interface
0x2 ...00 15 00 31 55 ee ...... Intel(R) PRO/Wireless 2200BG Network Connection - Kerio WinRoute Firewall
0x3 ...00 c0 9f c5 8a ad ...... Marvell Yukon 88E8053 PCI-E Gigabit Ethernet Controller - Kerio WinRoute Firewall
0x10005 ...44 45 53 54 f5 b0 ...... Kerio VPN adapter - Kerio WinRoute Firewall
0x40006 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
===========================================================================
===========================================================================
ЂЄвЁў-лҐ ¬ аиагвл:
‘ҐвҐў®©  ¤аҐб Њ бЄ  бҐвЁ Ђ¤аҐб и«о§  €-вҐадҐ©б ЊҐваЁЄ 
0.0.0.0 0.0.0.0 192.168.73.104 192.168.73.104     1
0.0.0.0 0.0.0.0 192.168.180.1 192.168.180.29     11
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1     1
169.254.0.0 255.255.0.0 192.168.180.29 192.168.180.29     30
169.254.99.0 255.255.255.0 169.254.99.123 169.254.99.123     20
169.254.99.123 255.255.255.255 127.0.0.1 127.0.0.1     20
169.254.255.255 255.255.255.255 169.254.99.123 169.254.99.123     20
192.168.5.219 255.255.255.255 192.168.180.1 192.168.180.29     10
192.168.73.104 255.255.255.255 127.0.0.1 127.0.0.1     50
192.168.73.255 255.255.255.255 192.168.73.104 192.168.73.104     50
192.168.180.0 255.255.255.0 192.168.180.29 192.168.180.29     10
192.168.180.29 255.255.255.255 127.0.0.1 127.0.0.1     10
192.168.180.255 255.255.255.255 192.168.180.29 192.168.180.29     10
224.0.0.0 240.0.0.0 169.254.99.123 169.254.99.123     20
224.0.0.0 240.0.0.0 192.168.180.29 192.168.180.29     10
224.0.0.0 240.0.0.0 192.168.73.104 192.168.73.104     1
255.255.255.255 255.255.255.255 169.254.99.123 169.254.99.123     1
255.255.255.255 255.255.255.255 192.168.73.104 192.168.73.104     1
255.255.255.255 255.255.255.255 192.168.73.104 2     1
255.255.255.255 255.255.255.255 192.168.180.29 192.168.180.29     1
Ћб-®ў-®© и«о§: 192.168.73.104
===========================================================================
Џ®бв®п--лҐ ¬ аиагвл:
ЋвбгвбвўгҐв
[/more]

это я подключался виндовым стандартным подключением. Не с консоли керио.



Цитата:

Видно, что устанавливается PPP-подключение с адресом *.73.104 и не реже, чем раз в три минуты гаснет А в error.log за время сеанса есть что-нибудь?

за время сеанса - пусто, а вот при неудачном подключении пишет (8405:800) RAS error: Unable to dial "etupe" (Не удалось создать VPN-подключение. VPN-сервер недоступен или параметры безопасности для данного подключения настроены неверно.)
кстати в виндовом ppp соединении стоит шифрование. Но не IPSec, обычное.



Цитата:

Попробуйте, в Dialing Settings указать Persistent.

ничего не дает. просто переподключается через каждые 3 минуты.


Цитата:

Правило для трафика МСЭ должно быть раньше правила, куда он влетает вместе с NAT'ом.

кто такой МСЭ?



Цитата:

при активном соединении с инетом пингуется адрес, который присваевается интерфейсу etupe при соединении с инетом.
при неактивном - "заданная сеть недоступна"

Цитата:
Кем пингуется? *.73.104 существует только в момент подключения, так? Или он там статический?

Доброе время суток.
Подскажите что может быть не так в моем случае.
При отключенном kerio NAT настроен и работает все отлично.
Как только включаю kerio сразу же перекрываются аськи, обновления винды и не пингуется вообще ничего кроме самого сервака.

вот правила

Цитата:

на шлюзе не обещаю, на компе с керио вот:

На шлюзе и не надо, ибо он от провайдера. После подключения

Цитата:

Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза И-терфейс Метрика
0.0.0.0 0.0.0.0 192.168.73.104 192.168.73.104 1
0.0.0.0 0.0.0.0 192.168.180.1 192.168.180.29 11

Второе 0.0.0.0 не дает выхода в локалку за пределами 192.168.180.* Следовательно, для одновременной работы с Интернет и локалкой нужно шлюз по умолчанию ликвидировать и добавить правило маршрутизации. См. настройки внизу.

Цитата:

это я подключался виндовым стандартным подключением. Не с консоли керио.

Не имеет значения кто иницирует подключение: керио или винда. Точнее, керио использует механизмы винды, а не "гробит" их. Зачем гробить то, что на чем сидишь. Правильно?

Цитата:

кстати в виндовом ppp соединении стоит шифрование. Но не IPSec, обычное.

А шифрование зачем? Провайдер так хочет? И какие у него еще пожелания? Обычные (рекомендуемые) параметры безопасности не годятся?

Цитата:

Цитата: Цитата:
Правило для трафика МСЭ должно быть раньше правила, куда он влетает вместе с NAT'ом.

кто такой МСЭ?

мне это уже начинает доставлять мазохистское удовольствие

ArticDT

схема подключения еще раз на всякий пожарный...




Цитата:

На шлюзе и не надо, ибо он от провайдера. После подключения

Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза И-терфейс Метрика
0.0.0.0 0.0.0.0 192.168.73.104 192.168.73.104 1
0.0.0.0 0.0.0.0 192.168.180.1 192.168.180.29 11

Второе 0.0.0.0 не дает выхода в локалку за пределами 192.168.180.* Следовательно, для одновременной работы с Интернет и локалкой нужно шлюз по умолчанию ликвидировать и добавить правило маршрутизации.

1) а зачем мне выход в локалку провайдера?
2) Так насколько я могу понять, не разбираясь в маршрутах, выход в локалку и так есть. Кто-то же мне выдает адрес *.73.104 при подключении?.. или я чет не понимаю?
3) Есть разница, какую ставить метрику при добавлении маршрута?


Цитата:

Возможно есть такой выход из положения для компа с керио:
1) для сетевой карты
- ip=192.168.180.29
- DNS=нет или прописать DNS провайдера из сети 192.168.*
- шлюз=нет
в Routing Table керио добавить статичное правило для сети 192.168.0.0/255.255.0.0-LAN-192.168.180.1 - будет доступ в локалку провайдера

1) Пробуем с указанным в "подключении по локальной сети" шлюзом: коннект с 3-ей попытки как и раньше. Пингуются адреса (например ping www.mail.ru) но при попытке загрузки в браузере www.mail.ru пишет "Готово" но браузер пустой. Даже ошибки не выдается. Т.е. делает вид что все загрузил, но ничего не загружено.
2) Удаляем шлюз из "подключения по локальной сети" и рисуем вышеуказанный маршрут:
получается новый маршрут висит в "неактивных" и не хочет перемещаться в активные. (по ходу из-за того, что этот шлюз указан в другом маршруте, хотя я могу и ошибаться ибо ничего в этом не смыслю )



Цитата:

2) для PPP-подключения
- ip=автомат
- DNS=автомат
- на вкладке Дополнительно использовать основной шлюз в удаленной сети

нет у меня такой вкладки



Цитата:

Цитата: кстати в виндовом ppp соединении стоит шифрование. Но не IPSec, обычное.

А шифрование зачем? Провайдер так хочет? И какие у него еще пожелания? Обычные (рекомендуемые) параметры безопасности не годятся?

DenisStrelok

Цитата:

мне это уже начинает доставлять мазохистское удовольствие

А мне на ночь глядя уже нет

Цитата:

схема подключения еще раз на всякий пожарный...

Видел её тремя страницами ранее Хотя сначала и не заметил, и думал, что вы сисадмините свою локальную сеть и шлюз *.180.1 в полном Вашем распоряжении...

Цитата:

Цитата: Цитата:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.73.104 192.168.73.104 1
0.0.0.0 0.0.0.0 192.168.180.1 192.168.180.29 11
Второе 0.0.0.0 не дает выхода в локалку за пределами 192.168.180.*

1) а зачем мне выход в локалку провайдера?
2) Так насколько я могу понять, не разбираясь в маршрутах, выход в локалку и так есть. Кто-то же мне выдает адрес *.73.104 при подключении?.. или я чет не понимаю?
3) Есть разница, какую ставить метрику при добавлении маршрута?

ArticDT
сорри. поясняю.
когда керио отключен, все работает и пингуется с любой машины.
соответственно когда включен - отваливается аська, клиент банк и пинг.
по журналированию - попробую.

Ipconfig /all с сервера:

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : dcn
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : нет

Local - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet NIC
Физический адрес. . . . . . . . . : 00-0E-2E-95-BE-8F
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 10.197.98.135
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 10.197.225.100
10.197.225.105

Internet - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC
Физический адрес. . . . . . . . . : 00-16-E6-36-27-1B
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.1.100
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.1.1
DNS-серверы . . . . . . . . . . . : 192.168.1.1

И с клиента:
Windows 2000 IP Configuration

Host Name . . . . . . . . . . . . : hr
Primary DNS Suffix . . . . . . . :
Node Type . . . . . . . . . . . . : Broadcast
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No

Ethernet adapter Local Area Connection:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Realtek RTL8139(A)-based PCI Fast Ethernet Adapter
Physical Address. . . . . . . . . : 00-17-31-3E-D1-26
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 10.197.98.5
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 10.197.98.110
DNS Servers . . . . . . . . . . . : 10.197.225.100
10.197.225.105

Такое впечатление что просто прокси мертв. Что не так?

ArticDT
журналирование включил. особо картина не прояснилась. что нужно вам показать для понимания ситуации?

Я такого еще невидел, при конекте с клиентской машины вот что получается


Каким образом можно забить 600 подключений и все на 1 адрес?

Big_mazy
Опишите картину подключения Тока без своих внешних адресов, пожалуйста.

Цитата:

когда керио отключен, все работает и пингуется с любой машины.

Ну да, если файрволл отключен он никому не мешает. Вы еще говорили, что

Цитата:

NAT настроен и работает все отлично

Этим служба "Брандмауэр Windows/Общий доступ к Интернету (ICS)" занимается.
При включении керио эта служба должна быть остановлена, как и "Служба обнаружения SSDP", "Узел универсальных PnP-устройств". Работу этих служб керио берет на себя и конфликтует с ними.

Цитата:

соответственно когда включен - отваливается аська, клиент банк и пинг.

На сервере или остальных компах отваливается?
Что пишет Ping когда отваливается и есть ли при этом строчки DROP "Правило по умолчанию" в журнале filter?
Для фиксации пингов в журнале добавьте правила для трафика в начало списка:
1) Firewall-Any-Ping-Permit-Log packets
2) Доверенный/локальный-Интернет-Ping-Permit-Log Packets-NAT
ping www.ru и ping 194.87.0.50
И на всякий случай, передвиньте правило для Firewall выше правила для "Доверенный/локальный" с NAT'ом. В консоли керио в Интерфейсах и Routing Table есть предупреждения?
Для работы клиент-банка необходимо открывать какой-либо входящий порт?
Является ли сеть доменной? Где установлен DNS-сервер (или контроллер домена) и что задано на сетевых интерфейсах керио и остальных компов в качестве DNS и шлюзов по умолчанию? Включен ли DNS-Forwarder в керио? Вот...

Добавлено:
Zeon911
Соображения следующие:
1) есть две маршрутизируемые локалки: 10.197.98.* (ваша) и 10.197.225.* (не совсем ваша
2) шлюз в интернет для вашей локалки 10.197.98.135 (комп с керио), для компа с керио 192.168.1.1 (интернет модем)
3) за разрешение имен отвечают 192.168.1.1 (интернет модем) и 10.197.225.100,10.197.225.105 (в другой локалке)
4) Надо, что б любой клиент из вашей локалки мог ходить по адресам/именам другой локалки (что видимо и работает) и в интернет.
Правильно?
5) к этой схеме так же есть вопросы: в вашей локалке поднят домен? Сервер DHCP?
Адреса на клиентах, как видно, статические.
6) разве правило, что керио не должен ходить в Интернет через свой собственный NAT, уже устарело?? Поднимите его на две позиции вверх.
7) на сетевых интерфейсах керио задан только один шлюз - это хорошо, но на обоих сетевых интерфейсах заданы DNS-сервера это плохо.
8) на клиентской машине и шлюз, и DNS заданы только для выхода в другую локалку, но не в инет. Значит ли это, что инет Вы хотите дать им только через прокси?
Почему бы и нет, тогда правило для NAT на шлюзе можно вовсе отключить, ведь оно уже никакой роли не играет

Добрый вечер всем. Что то как то даже не знаю с чего начать решение. Подскажите пожалуйста может кто сталкивался.
Стоял 6.2.2. Наверх накинул 6.5.1 с лицензиями все в порядке. Работает http не работает icq pop3 smtp. Удалил все. На свежую залил 6.5.1 лицензии все дела. Мастером по дефолту сделал правила, NAT все разрешено, никакой аутентификации, http на ура, telnet login.icq.com 5190 шиш (на сервере работает). Градации по протоколам нет никакой. Что скинуть? Башка кипит.

Добавлено:
а да, никаких нетранспарированных прокси. NAT и прозрачный прокси

ArticDT

описываю:
сеть не доменная. сервер и 10 машин клиентов. АДСЛ модем бриджем, соответственно на локальной карточки сервера установлено
IP 192.168.0.77
маска 255.255.255.0
шлюз отсутствует
DNS провайдера.

на карточке смотрящей в интернет
IP наш постоянный от провайдера
маска 255.255.255.0
шлюз и DNS от провайдера совпадают

на клиентских машинах
IP машины
маска 255.255.255.0
шлюз - IP карточки сервера смотрящей в локалку 192.168.0.77
DNS провайдера.

PING пишет: превышен интервал ожидания для запроса
описанные вами правила добавил никаких сообщений в журнале фильтр не появляется.
для клиент банка нужны порты.
Самое интересно что проблема возникла при переезде на другое железо (сервер новый), на старом все работало влет по таким же настройкам керио.
никаких предупреждений ни в Интерфейсах ни в Routing Table нет.
переадресация DNS в керио включена.

pilotro
Правила покажи...

Big_mazy

Цитата:

сеть не доменная. сервер и 10 машин клиентов. АДСЛ модем бриджем

Это гуд и сильно упрощает дело. Зачем на обоих сетевых интерфейсах компа с керио задавать DNS-сервера? Он должен быть только на внешнем интерфейсе. Тогда можно в керио DNS-Forwarder включить режим automatically selected... know to OS и кэш. А на клиентах имеет смысл задать его DNS-сервером. Еще проще в такой небольшой сетке поднять керио DHCP-Server и настройки для клиентов там все прописать.

Цитата:

PING пишет: превышен интервал ожидания для запроса
описанные вами правила добавил никаких сообщений в журнале фильтр не появляется.

Хм-м, а если на компе с керио или клиентской машинке ping <шлюз провайдера>?
ping www.ru
Подвинули правило трафика для файрвола выше правила для NAT'а?
Трафик полиси новый приведите
route print на компе с керио
ipconfig /all там же и на клиентской машинке

У меня вопрос есть, Можно ли в Керио сделать так, чтобы клиентские машины настраивать только сетевую карточку? То-есть = настроить IP, Маска, Шлюз, DNS; а вот свойства обозревателя не нужно было настраивать. Как в простом ДНС-сервере, поднять Натляндию.???

Спасибо за отклик.
Соображения следующие:
1) 10.197.225.* (вторая сеть)
2) Правильно
3) Несовсем понял
4) Надо, что б любой клиент из вашей локалки мог ходить по адресам/именам другой локалки (да это работает) и в интернет - в точку
5) Нет ни каких Доменов, ДШСП простая одноранговая сеть, адреса у всех статика.
6) Попробую.
7) Могу отключит серверу нефиг во вторую локалку смотреть.
8) Именно НЕТ они получают исключительно через прокси. Попробую НАТ отключить.

Цитата:

pilotro
Правила покажи...

Надоумьте кто нибудь пожалуйста

Zeon911

Цитата:

Цитата: 3) за разрешение имен отвечают 192.168.1.1 (интернет модем) и 10.197.225.100,10.197.225.105 (в другой локалке)

3) Несовсем понял

pilotro
"modem" перенеси их "доверенных" в "интернет".

Провайдер Укртелеком.
На версии Керио 5.5 все работало.
Да ненужен 10,197,98,135 в списках ДНС на клиентах, интернет через прокси и все.
При конеткте Керио забивает 600 подключений это бок самого Керио наверное.

ArticDT
на сервере пингуется все отлично. любой адрес.

привожу новые и дополнительные скрины.

pilotro


Цитата:

Надоумьте кто нибудь пожалуйста

1. Не совсем понятно что подразумевается под "Доверенный/локальный" - либо интерфейс либо сеть. (Я 6.5.1 не ставил поэтому такое сомнение)
попробуй в источнике 3-го правила указать подсеть типа 192.168.1.0/24
2. Чтение журнала помогает... Посмотри журналы "фильтр" и "соединения"


Цитата:

pilotro
"modem" перенеси их "доверенных" в "интернет".

Не обязательно...

Zeon911

Цитата:

Провайдер Укртелеком.

Дык, не в названии дело, а в адресах шлюза и DNS-сервера провайдера.

Цитата:

Да ненужен 10,197,98,135 в списках ДНС на клиентах, интернет через прокси и все.

Согласен, не нужен. Это я зря замарачивался. Счас проверил, можно вообще на клиенте не задавать ни шлюз, ни DNS, только прокси. И браузер полезет через него.
Вернемся к тому, что есть сейчас:

Цитата:

локалка пашет а Интернет даже на сервере отрубает. Какие только правила неписал неработает и все.

Цитата:

При коннекте Керио забивает 600 подключений это бок самого Керио наверное.

Странная графа в Подключениях - "распределение нагрузки". Там указан внешний сетевой интерфейс. Случайно не включен Bandwidth Limiter?
Правило NAT'а убрали? Помогло? Ping с 1.100 до 1.1 идет? nslookup www.ru 192.168.1.1? То есть DNS вообще работает?
Приведите route print на компе с керио или снимок Routing table в керио.
Еще у Вас внешний сетевой интерфейс на гигабитном Realtek. Насколько помню, там можно отключить всякие Offload функции. Может быть, из-за них глючит. ИМХО, нет тут глюка керио.

Собственно разобрался. Всем спасибо за помощь. Правда пришлось откатится на версию 6.5.0

Кому интересно рассказываю. Как видно выше интернет работает через vpn подключение. Как вы знаете при установке подключения, создается маршрут по умолчанию 0.0.0.0 маска 0.0.0.0 так сказать весь диапазон ip. На подключении смотрящем на модем тоже был шлюз, и соответственно второй маршрут по умолчанию (для запуска vpn). Так как не нравилось наличие двух маршрутов один грохнул в керио, и ошибся, не тот грохнул. Потом грохнул второй, в надежде что первый поднимется при последующем подключении. Потом убрал шлюз с сетевухи смотрящей на модем, добавил статичные маршруты на ip провайдера. И вот тут произошел казус. vpn подключение если подключается то в керио находится в состоянии "подключение..." (на рисунках выше видно) и маршрут по умолчанию в kerio не добавляется, тогда как по команде route print он виден. Kerio переустанавливал, машину перегружал, vpn перепрописывал, ничего не помогало. vpn подключается, в керио становится в процесе подключения, маршрут по умолчанию в винде есть в керио нет. Как работал http, я и сам не знаю (это еще когда у сетевухи на модем смотрящей gate way был прописан).
В итоге все снес. перегрузил машину. поставил 6.5.0. заработал с ходу. Жаль только вечер убил на эту хрень.

сам решил
удалено

Всем спасибо.
Проблему решил способом "есть человек, есть проблемы, нет человека, нет проблем".
Так вот Керио уже нет. В место него успешно трудится Трафик инспектор.
Еще раз спасибо за отзывы, больше мучаться нету сил (неделю на него грохнул, к стати в топку ушол и Юзер Гад).

ArticDT
Доктор! мы жить будем?
сегодня вообще прикол произошел. неожиданно все интерфейсы отключились в керио. причем пока не перегрузил сервер ничего даже по локалке не пускало. после перезагрузки исчез интернет ваще.