» Kerio WinRoute Firewall (часть 4)

goodwen

Цитата:

Опишу свою сеть может пригодится.

У Вас внешний и внутренний интерфейсы LAN и WAN сидят в одной подсети 192.168.0.0/24 !!!. Вы уверены, что все работает как надо, что пакеты не ходят мимо вашего керио?

vimaret
Да, уверен. WAN я его назвал по традиции (так оно понятное дело не ван никакой). Так как, непосредственно в инет смотрит роутер а не керио то обе сетевые имеют внутренние адреса, вторая сетевуха нужна для правильного подсчета трафика пользователей. Пользователи ходят к керио через Лан сетевуху, а керио к шлюзу через Ван (смотри скрин роутинг). Шлюз (длинк) инет дает только керио больше не кого не пускает. Все организованно именно так потому, что у делинка нет собственного контроля трафика.
П.С.
В самом начале практически теже правила работали и на одной сетевой. Но статистика в керио не считалась (валилась на анрегистр и приходилось пользоваться дополнительно Прокси инспектором -он считал правильно). Добавление второй сетевой решило проблему. Трафик сверяю с провайдерским.

macromedia23
адсл подключи непосредственно к серверу (если керио на сервере) с сервера вторую сетевушку на концентратор.На компах укажи шлюз ИП сервера.Открой керио и запусти мастер (закладка политика трафика.
ип адсля и сервера должны быть разными (адсл 192.168.1.х для сервера с локалкой 192.168.0.х

NegoroX
Сделал все как ты сказал, сеть осталось но интернета нет, асдл пингуется. Какой должен быть шлюз на сетевой который смотрит в концентратор. Политики трафика сделал по мастеру, но интернета нет, что делать???

macromedia23

Цитата:

Какой должен быть шлюз на сетевой который смотрит в концентратор

надеюсь она смотрит в локалку.
на сетевой что смотрит в локалку шлюз не нужно вписывать на машинах в локалке впиши шлюзом ИП этой сетевой карты.
открываем свойства обозревателя-подключение-настройка сети ставим галку использовать прокси адрес ИП сетевой что смотрит в локалку 192.168.0.х порт 3128
если и после этого не заработает
1. выложи сюда ipconfig /all с машины с керио и машины из локалки
2. картинку Политики трафика

(схема сетки такая ? :
инет-=>(адсл)-=>(1сетевая-комп с керио-вторая192.168.0.х)-=>концентратор-=>локалка

goodwen

Цитата:

Да, уверен.....Пользователи ходят к керио через Лан сетевуху, а керио к шлюзу через Ван (смотри скрин роутинг).......В самом начале практически теже правила работали и на одной сетевой.

Смотрел я ваши интерфейсы и роутинги, и ...сразу же увидел эту ошибку, отсюда и вопрос возник. На одной сетевухе это было правильно хотя и не безопасно, а вот на двух.. у Вас не прокси сервер получился а Хаб какой-то. Нужно обязательно внешнюю и внутреннюю сетевуху посадить в разные подсети. Например Lan в 192.168.0.0/24 , а Wan в 192.168.1.0/24, или, если вы так любите сеть в 192.168.0.0/24 и хотите сохранить адреса интерфейсов, то порежте ее на части по 32 адреса:
Lan в 192.168.0.192/27 , а Wan в 192.168.0.224/27, (, ну или более привычно: Lan IP 192.168.0.200, Lan MASK 255.255.255.224 и Wan IP 192.168.0.237, Wan MASK 255.255.255.224) при этом все адреса локальных компов должны быть из 32 адресного диапазона Lan, т.е с 192.168.0.193 по 192.168.0.222 с масками 255.255.255.224. Ну и в модеме(роутере) вашем тоже нужно маску подрезать до 224.

Вот только после этого Вы можете быть уверены, что сеть работает ВСЕГДА правильно!!! И не один юзварь ни при каких условиях не пролезет в нет мимо вашего "прокси".

vimaret
Приведите хотябы 1 пример условия при котором пользователь может пролезть мимо прокси при текущих настройках.
Приведите хотябы 1 пример условия при котором "сеть работает не правильно".
Спасибо.

goodwen

Цитата:

Приведите хотябы 1 пример условия при котором пользователь может пролезть мимо прокси при текущих настройках.
Приведите хотябы 1 пример условия при котором "сеть работает не правильно".

Я не Бета тестер, чтобы придумывать примеры. Просто я уже не первое десятилетие работаю в сфере ИТ и много "собак съел". Если где-то оставлена дыра, она когда нибудь даст о себе знать, даже если сейчас все фунциклит. Например Вы смените PPPoE на сетку, смените модем на роутер, перейдете с рабочей группы в домен, придет другой админ, когда Вы в отпуске и что-нибудь изменит в конфигурации... и т.д. Вот тогда, возможно, и вылезет, даже не сразу заметите. Не нужно жить только сегодняшним днем. Сеть нужно изначально строить правильно, тогда Вы избежите неожиданностей в будущем. Это всего лишь совет. Хотите - оставляйте, как есть. Ваша сеть-ваша головная боль.
Sorry for Offtop


Добавлено:
И все-таки пример:
На локалном компе в качестве дефолтового гейта Юзарь ставит IP ADSL модема например 192.168.0.253, убирает в инет эксплорере галку "Использовать прокси сервер" и идет в нет мимо. Попробуйте. При одной сетевухе точно сработает. При двух может получиться, а может и нет. Зависит от правил. Но тут легко можно ошибиться и с правилами, и сам керио, что-нибудь не учтет. Ведь два разных интерфейса объединены в один сегмент сети. Практически это репитер.

vimaret

Цитата:

Я не Бета тестер, чтобы придумывать примеры

Таким образом вы не понимаете при каком условии пользователь может пролезть мимо прокси при текущих настройках.

Цитата:

Если где-то оставлена дыра, она когда нибудь даст о себе знать, даже если сейчас все фунциклит.

Так в чем дыра-то заключается объясни ?

Цитата:

Например Вы смените PPPoE на сетку,

на статистический адрес в смысле?

Цитата:

смените модем на роутер

У нас модем мостом, роутер через него с помощью PPPoE.

Цитата:

перейдете с рабочей группы в домен

Эти правила работают и в домене и в группе. Домен маленький учетки от керио. Не понятно что вы имели ввиду но придумать можно такие сюжеты, что все текущее оборудование и ПО можно выкинуть хоть завтра. Не говоря уже про перенастройку керио.
Это как рассуждения из серии: Что вы будете делать если ВДРУГ окажитесь в пустыне.

Цитата:

придет другой админ когда Вы в отпуске и что-нибудь изменит в конфигурации...

И причем тут это? А если он вообще тупо все удалит обольет бензином и сожжет вмести с собой ?))

Цитата:

Не нужно жить только сегодняшним днем.

Такие "откровения" наверное лучше своим детям говорить. У незнакомого человека (читай меня) кроме улыбки ничего не вызывает. Без обид.

Цитата:

Сеть нужно изначально строить правильно, тогда Вы избежите неожиданностей в будущем.

100%

Цитата:

Ваша сеть-ваша головная боль.

Прекрасно себя чувствую. Вам того же.

Цитата:

Хотите - оставляйте, как есть

Я за язык никого не тянул. Но если пошел разговор давайте договорим ). Рассуждения типа "поверь моему опыту" я могу принять за ответ от человека которого хорошо знаю лично дабы не отнимать у него время. На форуме нет.
---------------
----------------
-----------------

Цитата:

На локалном компе в качестве дефолтового гейта Юзарь ставит IP ADSL модема например 192.168.0.253, убирает в инет эксплорере галку "Использовать прокси сервер" и идет в нет мимо

А) 3 раз пишу: Модем мостом. Роутер раздает инет ТОЛЬКО керио (конкретно только интерфейсу Ван, фильтруя по айпи и мак адресу).
Б) У пользователей нет прав менять настройки TCP/IP


Цитата:

Но тут легко можно ошибиться и с правилами, и сам керио, что-нибудь не учтет.

С правилами можно напутать при любой конфигурации, пример тому весь этот топик. Конкретно мои правила я показал. Конкретно с моими правилами все считается нормально. Но это понятно не значит, что они претендуют на некую безупречность и лаконичность.

goodwen

Цитата:

Я за язык никого не тянул. Но если пошел разговор давайте договорим

Давайте завтра. Сегодня мне уже некогда. Продолжим дебаты в личку, чтобы не флудить.

goodwen
А вы так и не описали в чем проблема то? Во всяком случае я не нашел самого вопроса.
Если вопрос заключается, все ли у вас правильно? Так вам конкретно ответили что нет не правильно. Вам нужно сесть и почитать книжку про основы tcp\ip. Поймите люди давно работающие, давно азы изучили и даже их поняли , а так как азы не из легких то благополучно забыли, и многие вещи обяснить тяжело, просто знают что нужно так а не иначе.

Толком сеть вашу так и не обрисовали. Куда воткнут модем? куда обе сетевухи на сервере? как настроены клиенты (ip маска шлюз)?
Вопрос на засыпку. Если модем мостом, то где находится непосредственное подключение к интернету?

Вы спрашиваете чем плохо на двух сетевухах ip из одной подсети? В маршрутизации. Так устроен tcp\ip, почитайте книжку. Пакеты запутываются в назначении. Представте, что необходимо доставить пакет на ip 192.168.0.10, то в какую сетевуху его закидывать?

Ну и забегая чуть вперед обсуждения, объясните такой вопрос. Зачем на второй сетевухе (WAN как вы ее назвали), вообще нужен протокол tcp\ip?

Я понимаю ваш максимализм (все такими были). Кажется что все просто, решаемо и препятствий не существует. Но почему то каждый раз натыкаешься на какие то грабли Эх было время. (правда со временем грабли становятся реже но больше

Если вы хотите узнать можно ли ставить одинаковые диапазоны на двух сетевухах, то да это возможно и даже можно довести это до работоспособности. Но это высшая точа виртуозности работы с протоколом tcp\ip (и применяются такие вещи далеко не в вашей ситуации), как сказал коллега разделение на диапазоны (сегменты), маршрутизация через MAC адреса средствами arp, использование trunck, использование PAT вместо NAT.
Так что вместо иронии лучше поинтересуйтесь почему говорят что так нельзя (причем уверен что не один человек). А то вы как Шариков: Взять все да и поделить поровну.

pilotro


Цитата:

А вы так и не описали в чем проблема то? Во всяком случае я не нашел самого вопроса.

Уважаемый pilotro. В том, что вы не нашли вопроса нет ничего удивительного. Потому, что вопроса не было. Вопрос был у пользователя kaskad . Вопрос заключался в следующем: Настройка непрозрачного прокси сервера с авторизацией пользователя и рабочей статистикой без использования NAT. У меня настроен именно такой прокси. За тем лишь исключением, что керио смотри в инет не сама а через роутер. Все у меня на данный момент работает (уже как год почти). Поэтому я решил, что мое описание поможет ему. А вопрос мне первым задал vimaret


Цитата:

Так вам конкретно ответили что нет не правильно

Это форум. Тут желательно обосновывать ответ.


Цитата:

Вам нужно сесть и почитать книжку про основы tcp\ip

Спасибо. Как умеете читать лично вы - я увидел.


Цитата:

многие вещи обяснить тяжело, просто знают что нужно так а не иначе.

Этого достаточно для самих кто знает. Как аргумент в общении с другим человеком - не канает. Ну разве что для вас.


Цитата:

Я понимаю ваш максимализм (все такими были).

Да, я уже понял, что вы все понимаете. Молодец.


Цитата:

Кажется что все просто, решаемо и препятствий не существует. Но почему то каждый раз натыкаешься на какие то грабли

Может вы просто неудачник?


Цитата:

вы как Шариков: Взять все да и поделить поровну.

Толи дело Вы. Чисто профессор Преображенский.

voffka1984
http://forum.ru-board.com/topic.cgi?forum=8&topic=0948
macromedia23
RTFM

Цитата:

пожалуйста не надо меня ни куда посылать

Без базовых знаний и конкретных вопросов дискуссия может затянуться на долго...

goodwen
Война, не?
И я внесу свой посильный вклад, так сказать подам снаряд... Не знаю кому но всё же не могу пройти мимо столь славной заварушки...
vimaret

Цитата:

Вы уверены, что все работает как надо, что пакеты не ходят мимо вашего керио?

Да тут нико не может быть уверен т.к. не указаны настройки шлюза (Длинк) и не указано его метода соединения с локальной сетью... Если роутер воткнут в свитч и натит всё пространстов /24 то не исключено.

goodwen

Цитата:

Приведите хотябы 1 пример условия при котором пользователь может пролезть мимо прокси при текущих настройках.

Я чуток выше написал... (правда потом Вы указали не достающую инфу)

Цитата:

Приведите хотябы 1 пример условия при котором "сеть работает не правильно".

По поводу статичного МАР (вторая картинка) - тут я даж не знаю что и сказать то... Толи лыжи, то ли асфальт...
Представим ситуацию:
юзер запрашивает smtp.gmail.com - ДНС отдаст ip и пакет уйдёт на керио с определённым направлением, тут его перенаправляют на другой/тот же самый, ранее определённый админом, и при этом пакет из 192.168.1.0/24 натится на 192.168.1.1 (IP выдуманные). Вам не кажется что, что то лишнее. не?
А если гугль ИП сменит (или рамблер порт) - Вам надо будет срочно правила переделывать, не?

Цитата:

Что вы будете делать если ВДРУГ окажитесь в пустыне.

Нет, этот вопрос Вы должны себе задать...



Цитата:

А то вы как Шариков

Цитата:

Может вы просто неудачник?

Цитата:

Толи дело Вы. Чисто профессор Преображенский.

Давайте без перехода на личности...

Ruza

Цитата:

Война, не?

Да какая война ). В этом топике я один пост запостил (но читаю регулярно). Давать кому-то советы не могу, т.к. настраивал только свой керио. Kaskad-у тоже ничего не советовал, просто описал свои настройки. Если vimaret говорит - так нельзя, я лиш могу спросить - Почему ? что я и сделал. vimaret-у то ли лень то ли нет времени конкретно ответить. pilotro - без комментариев.


Цитата:

Давайте без перехода на личности...

Давайте. И без козыряний сединой аля "поживи с моё", "почитай с моё" )

Поехали.

Цитата:

юзер запрашивает smtp.gmail.com - ДНС отдаст ip и пакет уйдёт на керио с определённым направлением, тут его перенаправляют на другой/тот же самый, ранее определённый админом, и при этом пакет из 192.168.1.0/24 натится на 192.168.1.1 (IP выдуманные). Вам не кажется что, что то лишнее. не?

Честно не совсем понял. В домене керио с dns у меня никак не связан. Если пользователь обратится к доменному ДНС за адресом smtp.gmail.com он его не найдет. В Outlook Express обращение к smtp.gmail.com в током виде 192.168.0.200:465 т.е. непосредственно обращение к керио. В рабочих группах ДНС понятно нет.


Цитата:

А если гугль ИП сменит (или рамблер порт) - Вам надо будет срочно правила переделывать, не?

Да. Если предложите более красивый вариант для клиентов типа Outlook Express буду признателен.

goodwen
Прошу прощения обознался. Думал просите совета.
Если вы не будете ерничать то я смогу объяснить вам допущеные ошибки. Честно.
Можно будет пользоватся любой почтой, да и любыми сервисами то же. (без прописывания каждого нового почтового сервера в правилах), хотя настройка работы через мапинг это супер

kaskad
Думаю что все станет ясно если вы покажете настройки маршрутизации и интерфейсов. Или результат команды route print с сервера.


Цитата:

Толи дело Вы. Чисто профессор Преображенский.

Мне больше по душе товарищ Швондер

Добавлено:

Цитата:

Спасибо. Как умеете читать лично вы - я увидел.

Даже не знаю как и ответить. Да собственно никогда не жаловался.

Добавлено:
goodwen
Просто поймите, в ваших утверждениях очень много ошибок. (начиная от того что у вас модем в bridge стоит и заканчивая утверждением "В рабочих группах ДНС понятно нет")
И такие ошибки на каждом шагу, поэтому я и попросил вас узнать базовые принципы. Не обижайтесь.

goodwen
У меня статистика работает, пока я не поставлю галку "Использовать принудительную авторизацию ( Force none-transparent authorisation)".
У меня в терминале юзеры сидят, и если я галку ставлю, окно авторизации выскакивает у всех, однако статистика не пашет. Если галки нет, трафик падает на 1го зашедшего в инет...
Хелп

ArChIvarIuS

Цитата:

У меня в терминале юзеры сидят....трафик падает на 1го зашедшего в инет...

есть такое - решения пока нет

goodwen

Цитата:

Честно не совсем понял.

Ну да Бог с ним - тут не школа...


Цитата:

В домене керио с dns у меня никак не связан. Если пользователь обратится к доменному ДНС за адресом smtp.gmail.com он его не найдет.

А почему - идейные соображения?


Цитата:

Да. Если предложите более красивый вариант для клиентов типа Outlook Express буду признателен.

Логично предположить что - нужен ДНС который сможет определить внешние имена, даже закладка есть "пересылка запросов".
(Мне самому иногда приходится менять IP почтовых шлюзов и других сервисов, а т.к. клиентов больше 100 то обойти и всем писать новый IP не очень удобно, это на счёт того что у клиентов настроен IP вместо имени)
Соответственно в керио есть возможность DNS-forward который тоже пересылает запросы на другие сервера.

ArChIvarIuS
NegoroX

Цитата:

есть такое - решения пока нет

Что то не вяжется в таком утверждении... Если клиент с терминала получив запрос регистрируется и его пропускает в инет - то логично предположить что статистика должна работать... Скорее всего решение прячется в настройках политик http (в разрезе доступа к непрозрачному прокси) и расположениях правил доступа к прокси и локального трафика. Так же в правиле доступа к порту 3128 возможно есть необходимость указывать не локалку, а группу авторизованных пользователей... Попробуйте, если получится/не получится пишите, только более одробно о настройках...


Добавлено:
Да и ещё для проверки сделайте пару правил (над локальным трафиком)
1. User - Firewall - 3128 - permit - log - PI on
2. localnet - firewal - 3128 - drop - log
При этом у пользователей RDP должен быть прописан непрозрачный прокси на порту 3128... Лог включайте полный дабы посмотреть "кто виноват и что делать"

Ruza


Цитата:

Что то не вяжется в таком утверждении...

Логично, что не вяжется, траффик считается в разрезе авторизованных пользователей до тех пор, пока НЕ стоит галка о принудительной авторизации через непрозрачный прокси. То есть до тех пор пока авторизованным с одного АйПи остается только одно подключние - все хорошо, есть статистика. Как только появляется желание с одного IPадреса одновременно авторизовать несколько пользователей, причем неважно это из терминала 3 человека сидят одновременно, или это с простого компа логятся 3 процесса (юзер, апдейт какой-нить, аська или еще чего).
в версии 6.4.2 однозначно не работала статистика в этом случае, то есть разработчики Керио не считали багом невозможность одновременно считать статистику по АйПи и по пользователю.
То есть, другими словами, Керио принуждает считать трафик по ИП, а статистика по пользователям неполноценна.

pilotro

Цитата:

Прошу прощения обознался.

Аналогично, извините если обидел.


Цитата:

Просто поймите, в ваших утверждениях очень много ошибок. (начиная от
того что у вас модем в bridge стоит

4 раз пишу. 2 устройства: Модем и Роутер. Модем мостом ,РРРоЕ настроенно
на роутере. Теперь понятно ?)


Цитата:

и заканчивая утверждением "В рабочих группах ДНС понятно нет")

В группах, в нутри локалки, никаких ДНС серверов нет, компьютеры
взаимодействуют через Нетбиос. Что не так -то ? Только конкретно.



Цитата:

И такие ошибки на каждом шагу

Я может где-то и написал чего не того, но уж точно не на каждом шагу.


Цитата:

Вы спрашиваете чем плохо на двух сетевухах ip из одной подсети? В
маршрутизации. Так устроен tcp\ip, почитайте книжку. Пакеты запутываются
в назначении. Представте, что необходимо доставить пакет на ip
192.168.0.10, то в какую сетевуху его закидывать?

Тоесть пакет от Керио к 192.168.0.10 так ?
Он кидает все в лан (проверял). Когда только пробовал свои настройки мне самому было интересно как он себя поведет при таком роутинге. Если что-то бы отдавал через ван - наверное глючила бы статистика.

Ruza


Цитата:

А почему - идейные соображения?

Сначала все было организованно в группе. В домене тоже все заработало, по этому дальше не лезли.


Цитата:

Мне самому иногда приходится менять IP почтовых шлюзов и других сервисов, а т.к. клиентов больше 100 то обойти и всем писать новый IP не очень удобно, это на счёт того что у клиентов настроен IP вместо имени

У клиентов настроен IP kerio в качестве поп3 и смтп серверов , поэтому менять ничего не нужно. Только в самом керио.



Цитата:

Соответственно в керио есть возможность DNS-forward который тоже пересылает запросы на другие сервера.

Ну у меня там как раз и прописан ДНС провайдера.
....
Попробовал работает:

Прошу помочь в настройке керио, поставил на 2003 керио 6,5,1 настроил как было по монуалу, проблема с тем что не блокируються некоторые пользователи которые ненужны в инетрнете и не читает трафик... перерыл весь инет уже, а если сдесь и была такая тема то читать 500 страниц у меня не хватит просто нервов. прошу тех кто может откликнуться на мою просьбу напишите мне пожалуйста в аську 313679446, очень прошу просто умояю, такой геморой что скоро вздернусь.

goodwen
Вот все равно вы добились того что бы я полез вспоминать теорию, а не вы.

Цитата:

4 раз пишу. 2 устройства: Модем и Роутер. Модем мостом ,РРРоЕ настроенно
на роутере. Теперь понятно ?)

Ну это вы погорячились. То что 2 устройства я только сейчас увидел.
Насколько я понимаю схема примерно такая:
локалка-kerio-некий_роутер-модем-internet? будет неплохо если распишите ip адреса на каждом из промежутков. В этой связке kerio и некий_роутер дублируют друг друга, наличие одного из них бессмысленно. (Хотя честно признаюсь у меня такая же схема на работе, обусловлена тем что руководство доверяет cisco а не kerio, но последний нужен для статистики по доменным пользователям). Теперь поехали про поднятые сервисы. Готов поспорить что у вас так:

локалка-kerio-некий_роутер-модем-internet
NAT NAT Bridge

В этой цепочке один лишний NAT.
Cпособы выхода:
1. Поднять pppoe на kerio, некий_роутер поставить тоже в bridge либо простую пересылку, либо просто убрать из этой цепочки. (по желанию)
2. Поубирать из всех правил NAT (кстати тем самым разгрузив сервер). И настроить маршрутизацию. Здесь сложнее потому как для настройки маршрутизации вам придется разделить ip двух интерфейсов на разные подсети, этого почему то вы упорно не хотите делать.
Кстати если убрать некий_роутер то между kerio и модем можно не подымать протокол tcp\ip в принципе.


Цитата:

В группах, в нутри локалки, никаких ДНС серверов нет, компьютеры
взаимодействуют через Нетбиос. Что не так -то ? Только конкретно.

вот тут http://www.citforum.ru/operating_systems/winntadm/winntadm_09.shtml написано

Цитата:

Разрешение имен с помощью DNS
В Windows NT 4.0 реализован клиент службы DNS (Domain Name System). Служба DNS обеспечивает способ просмотра отображения имен при подключения компьютеров к посторонним (не Windows NT) хостам, в которых работают DNS-серверы. Эта служба предназначена для тех случаев, когда подключение осуществляется путем использования NetBIOS поверх TCP/IP или для приложений, использующих интерфейс Windows Sockets, таких как FTP. DNS - это распределенная база данных, разработанная для решения задач направления трафика, которые возникли во время быстрого роста сети Internet в начале 80-х годов.

Здесь про active directory равно как и про рабочие группы ни слова, не правда ли?
Даже скажу больше. При условии рабочего домена DNS далеко не всегда используется. Если имя разрешается с помощью wins сервера dns никто не трогает.
Теперь смотрите что вы делаете. В каждом правиле вы вставляете map на определенный ip. Для чего вы это делаете? дак а для того что в outlook expres вы пишите smtp.rambler.ru и из этой строчки каким то образом необходимо извлечь 81.19.66.20. Почему так неободимо цифровое выражение хоста? Ну потому что так tcp\ip работает. Теперь внимание вопрос как же донести до бедного outlooka эти загадочные 4 числа? Время пошло... Дак собственно все просто. На каждый используемый хост необходимо написать мапинг на сервере. И тогда трафик ищущий своего обладателя да найдет его. я издеваюсь? ну собственно да. надо же как то отомстить за то что вынужден поднять литературу.
На самом деле для резолва имени в ip придумана служба DNS. (еще придуманы wins и netbios, но будем считать это ересью). Что же необходимо для работоспособности столь загадочного сервиса. Да собственно не много: 1 - работоспособность и доступность DNS сервера, и 2 - наличие записи dns сервера на клиенте. Пункт 1 можно достичь разными путями можно поднять майкрософтовский dns и в нем бозначить форвард на провайдерский dns, можно тоже самое сделать помощью самого керио, а можно ничего не делать а просто на клиенте написать ip dns провайдера, или кого другого. Проверить работоспособность dns сервера на клиенте можно с помощью команды nslookup. Как? вот тут сказано как http://ru.wikipedia.org/wiki/Nslookup. А для упрощения записи dns на каждого из клиентов была придумана такая шука как DHCP. После нормальной настройки работоспособности сервиса DNS в Рабочих Группах можно будет убрать со всех строк мапинг, да собственно и вообще грохнуть все строки, оставив только Local I-net Any (или что там у вас разрешено)


Цитата:

Он кидает все в лан (проверял). Когда только пробовал свои настройки мне самому было интересно как он себя поведет при таком роутинге. Если что-то бы отдавал через ван - наверное глючила бы статистика.

(самолично ловил)а статистика да особено на сетевом уровне модели OSI она покажет пакеты.
Вот здесь.

если чуть открыть глаза есть две записи.
192.168.0.0 255.255.255.0 LAN 10
192.168.0.0 255.255.255.0 WAN 10
Почему же так не правильно делать сеть? Кто сказал что не правильно? все правильно. Пакет предназначенный для подсети 192.168.0.x уйдет конечно же в LAN. Почему? Да потому что это LAN пакет же не дурак что бы WAN идти. Он же знает что за WAN находится роутер а не сеть, там же для особо понятливых написано WAAAN. Это всем же ясно что не LAN.
Хотя на самом деле если правила противоречат друг другу и находятся под одинаковым весом, то каждый роутер поступает по разному, что происходит в винде? знают только программисты винды (а да Еще и вы). Думаю он поочередно кидает то по одному правилу то по другому. (по логике UDP при такой ситуации работать не будет) Уменьшая тем самым пропускную способность в два раза. Но нам на это на все с большой вышки, нам ведь что главное, что бы сетевухи были в одном диапазоне.
Удачи в изобретении велосипеда.


И все равно добавлю большей половине опрошающих. Читайте книжки, для того что бы быть сис админом, или сетевым админом инженером интегратором а заодно еще и деньги получать, надо запостись терпением не на 500 страниц и не на 5000, и даже не русского. Надо приготовится к ежечастному ежедневномуи круглогодичному изучению так вами ненавидимых букавак, Это работа, Зачастую тяжелая, идите касиром на вокзал там надо знать две цифры полного билета и льготного.
Че то меня совсем занесло. Извините.

Цитата:

Вот все равно вы добились того что бы я полез вспоминать теорию, а не вы

Не проецируйте свои фантазии на меня. Процитируйте где я добивался что бы полезли вспоминать теорию ?


Цитата:

Ну это вы погорячились. То что 2 устройства я только сейчас увидел.

Цитата:

PppOe соединение настроено у нас на роутере (dlink.ru/ru/products/5/1227.html),

Цитата:

У нас модем мостом, роутер через него с помощью PPPoE.

Цитата:

3 раз пишу: Модем мостом. Роутер раздает инет ТОЛЬКО керио

Цитата:

локалка-kerio-некий_роутер-модем-internet? будет неплохо если распишите ip адреса на каждом из промежутков. В этой связке kerio и некий_роутер дублируют друг друга, наличие одного из них бессмысленно.

Роутер который вы называете "некий" он вот тут

Цитата:

(dlink.ru/ru/products/5/1227.html),

Керио и роутер друг друга не дублируют. Роутер нужен для организации шифрованного Впн канала с другим подразделением, PPPoE соединения, а также НАТ для керио. Изначально керио никто не планировал ставить. Есть группа, в качестве шлюза у которой прописан роутер. Группа видит соседние подразделение. Те кому нужен был ище и инет, прописывали дополнительно ДНС провайдера. Так все и работало пока понятно не встал вопрос подсчета и квоты трафика. Почему изначально об это никто не думал и что сеть нада изначально строить правильно и.т.п и.т.д. уж разрешите я рассказывать не буду, никому не интересно. Когда время пришло, наименьшим по времени (имхо) решением было запретить на роутере доступ в инет всем кроме тачки с керио, остальным раздавать через прокси керио.


Цитата:

Цитата:
Разрешение имен с помощью DNS
В Windows NT 4.0 реализован клиент службы DNS (Domain Name System). Служба DNS обеспечивает способ просмотра отображения имен при подключения компьютеров к посторонним (не Windows NT) хостам, в которых работают DNS-серверы. Эта служба предназначена для тех случаев, когда подключение осуществляется путем использования NetBIOS поверх TCP/IP или для приложений, использующих интерфейс Windows Sockets, таких как FTP. DNS - это распределенная база данных, разработанная для решения задач направления трафика, которые возникли во время быстрого роста сети Internet в начале 80-х годов.

Вы сами то читали? )) В этом отрывке говорится "В Windows NT 4.0 реализован КЛИЕНТ службы DNS". Дальше идет описание службы ДНС. И что ? Это отменяет то что в группе где нет не винс не днс серверов и настроенных на них клиентов. компьютеры обнаруживают друг друга широковещательными запросами по нетбиос имени ?

Ruza, Рассуди нас)


Цитата:

Теперь смотрите что вы делаете. В каждом правиле вы вставляете map на определенный ip. Для чего вы это делаете? дак а для того что в outlook expres вы пишите smtp.rambler.ru и из этой строчки каким то образом необходимо извлечь 81.19.66.20. Почему так неободимо цифровое выражение хоста? Ну потому что так tcp\ip работает.

Вот что я пишу у клиентов в аутлуке


Вот что прописано в керио.
обратите внимание уже без указания айпи.


Все получают\отправляют почту, все считается в статистику. Предложите более простой способ для рабочих групп и аутлука. Перенастраивать всю сеть мне предлагать не надо. В данный момент это дело не ближайшей перспективы.


Цитата:

если чуть открыть глаза есть две записи.
192.168.0.0 255.255.255.0 LAN 10
192.168.0.0 255.255.255.0 WAN 10

Да, а если еще научиться этими глазами читать можно увидеть следущее:


Цитата:

Когда только пробовал свои настройки мне самому было интересно как он себя поведет при таком роутинге.

Цитата:

н же знает что за WAN находится роутер а не сеть, там же для особо понятливых написано WAAAN.

Да, а еще пару постав назад написано:
Цитата:

WAN я его назвал по традиции

Цитата:

Думаю он поочередно кидает то по одному правилу то по другому.

Вы "думаете" а я запускаю сниффер и смотрю. Почему он только через лан отдает, я не знаю. Вот может Ruza объяснит.


Цитата:

Но нам на это на все с большой вышки, нам ведь что главное, что бы сетевухи были в одном диапазоне.

На самом деле мне главное понять, при каком условии моя "схема" даст сбой. Предположим я не запускаю снифер и не смотрю ничего. Предположим керио кидает клиенту данные то по одному интерфейсу то по другому ( а судя по таблице маршрутов он деействительно имеет на это право кто тут спорит), при этом статистика пашет и клиенты мимо не ходят, и что ? Что в мне этим доказали ?
Еще раз повторюсь, что наличие двух правил
192.168.0.0 255.255.255.0 LAN 10
192.168.0.0 255.255.255.0 WAN 10
естественно наводит на строго определенные закономерные мысли. Это понимают все. И если бы я вдруг сюда пришел задавать вопросы или спрашивать почему у меня что-то не работает никто бы со мной даже разговаривать не стал. Но уже около 7-8 месяцев все в порядке.




Цитата:

я издеваюсь? ну собственно да.

Ну да. Правда при этом вы с первого раза не смогли отличить вопрос от ответа а с трех раз не можете врубиться в то что у меня модем и роутер - два разных устройства. И ладно если бы дело было в недопонимании, три вопроса три ответа - и всё ок. Так нет же, вы с самого 1 поста твердо решили, что это просто я не знаю, что такое мост на модеме. И так
Цитата:

на каждом шагу

говорит это (имхо) об определенной вашей ограниченности, и попытках причесать любую чужую ситуацию (не вникая в детали) под свои привычки и методы работы, под свои способы решать текущие вопросы. Хотя возможно вы просто привыкли отвечать на вопросы уж очень не опытных админов, и теперь гребете вех под одну гребенку. Поэтому ваши ерничества опять же (имхо) вызывают только легкую жалость.

Вы если потратили свое время на "чтение" ради меня, и в замен без моего согласия разменной монетой сочли ерничество по этому поводу , так знайте меня это не устраивает, я об этом не просил. Не можете по другому ? - Пожалуйста не пишите мне ничего. Ваше неуважение и надутая пустотой надменнасть, кроме оффтопа ничего не порождает. Спасибо.


Цитата:

Это работа, Зачастую тяжелая, идите касиром на вокзал там надо знать две цифры полного билета и льготного.
Че то меня совсем занесло. Извините

Извиняю.

goodwen
Обычно компьютер с установленным kerio тоже называют роутером. Отсюда и путаница.

Цитата:

Керио и роутер друг друга не дублируют. Роутер нужен для организации шифрованного Впн канала с другим подразделением, PPPoE соединения, а также НАТ для керио.

PPPoE соединения (равно как и другие vpn соединения) замечательно поднимаются на винде, а в керио встроена функция их постоянного поддержания в работоспособном виде. НАТ для керио не нужен потому как Керио сам замечательно организует НАТ, и с другой стороны если поднят НАТ за Керио то зачем в нем самом керио поднимать его еще раз?
Так что дублируют.


Цитата:

решением было запретить на роутере доступ в инет всем кроме тачки с керио, остальным раздавать через прокси керио.

Керио предназначен для авторизации и подсчета трафика, поэтому разрешать или запрещать кому то доступ можно непосредственно на керио, для этого d-link можно не использовать.


Цитата:

компьютеры обнаруживают друг друга широковещательными запросами по нетбиос имени ?

Но это же не мешает настроить на них dns клиентов, и кстати абсолютно не мешает установить в сети свой собственный dns сервер?


Цитата:

Вот что прописано в керио.
обратите внимание уже без указания айпи.

Достижение Извините.
А в outlook вместо 192.168.2.200 написать mail.rambler.ru нельзя?


Цитата:

Все получают\отправляют почту, все считается в статистику. Предложите более простой способ для рабочих групп и аутлука. Перенастраивать всю сеть мне предлагать не надо. В данный момент это дело не ближайшей перспективы.

а жаль. Тем более работы на 1-2 часа


Цитата:

WAN я его назвал по традиции

Я вам даже секрет открою: его можно хоть матным словом обозвать, протоколу tcp\ip это до одного места. Для выбора маршрута протокол руководствуется ip маской шлюзом и на крайняк метрикой.


Цитата:

Вы "думаете" а я запускаю сниффер и смотрю.

Помимо думанья я еще умею информацией пользоватся.
Если внимательно изучите модель OSI http://ru.wikipedia.org/wiki/Сетевая_модель_OSI то увидите что проблемы у вас возникают на канальном уровне при поиске назначения. И по логике каждый второй пакет пытается отправится по неверному пути, а после этого обнаружения отправляется по верному, так как tcp гарантирует доставку информации. И этой штуки вам ни один снифер на свете не покажет, хакер вы наш.


Цитата:

Правда при этом вы с первого раза не смогли отличить вопрос от ответа а с трех раз не можете врубиться в то что у меня модем и роутер - два разных устройства.

Так нравится смаковать это? По поводу ограничености спорный вопрос.

Народ, подскажите, что настроить... для того, чтобв не выскакивала страница о не правильном сертификате?

И стоит ли овчинка выделки?

Добрый день. Проблема в следующем: Kerio 6.4.0.3176, перестала работать такая штука. Есть url группа запрещающая просмотр определённых сайтов и есть соответствующее http policy в котором при заходе на запрещённую страничку должна у пользователя выскакивать надпись о запрете на просмотр данной страницы. Так проблема в том, что до недавнего времени всё отлично работало, а сейчас перестало. Вместо страницы с словами о запрете выскакивает просто: Невозможно отобразить страницу. В чем может проблема? Заранее благодарен.

Cheerful_a_bear
1. Купить сертификат.
2. Добавить сертификат на каждом компе.
3. Раскинуть сертификат по сети с помощью GPO

exdee
скорее всего появилось другое приложение слушающее 80 порт (или https). IIS, apache, может антивирус какой, или еще что то. Вот и конфликтует.

а как узнать какой порт может занимать его? ничего вроды на шлюзе не трогал...

Подскажите, как подружить MS VPN сервер с Kerio WinRoute Firewall? MS VPN сервер работает, навесил Керио, открыл на вход порт PPTP и GRE. В итоге соединение клиента с MS VPN происходит, но ни байта от клиента не пропускает. Долго изращался с настойками и анализом логов, в итоге попробовал разрешить все и всем - что любопытно, так же ни байта по VPN каналу от клиента не пропускает.

Народ,помогите решить проблему - надо временно блокировать пользователей, перепробывал все варианты - и по имени юзера и по айпишнику,нифига не выходит, правило "Блок" не работает
Вот все картинки