» Kerio WinRoute Firewall (часть 4)

dumpert

сделай проще ...
снеси kerio подчистую... и поставь все ручками с нуля, тем более 6.4.2 уже давным давно не новая версия...

а когда будешь настраивать заново если появится снова "глюк", то отловишь на каком моменте ...

это самый проверенный дедовский метод..
..
только так совет! .. сделай полный бекап диска акронисом.. (если что-то не заведется - сможешь вернуться к текущему состоянию)..
и сделай скриншоты всех окон с настройками .. пригодятся при установке..

ок спасибо, ну это конечно же первый вариант который пришел мне в голову.. ) со скринами тоже конечно же, однако думал кто то сталкивался и просто исправлю..
Я больше склоняюсь к неверным правилам.. сносить пока времени нету, поэтому еще поковыряю..

dumpert
если действительно косишь в сторону правил ..то можно обойтись не удалением...
отключи все =) ..и включай по одному..

Есть локальная сеть и сервак на котором стоит Керио.
К серверу подвидено 2 сети: интернет и гость.
Требуется сделать:
1. Чтоб скорость интернет и гость делились на всех пользователей в зависимости от загрузки канала (1-вариант: 1 пользователь в сети - весь канал его, 2, 3...10 пользователей канал делится на всех поровну, 2-й вариант: 1 человек качает, другой сёрфит, 1-ый занимает практически весь канал, 2-ой значительно меньшую часть, ту которая необходима для открытия страниц, у первого скорость снижается когда 2-ой открывает страницы. Если второй начиннает качать, то скорость делится с учётом, того сколько может отдать сервер откуда идёт скачка.)
2. Закрыть торрент для пользователей, но оставить возможным скачку с торрентов для сервака.
3. Установить ограничение на скорость скачки для интернет и гость, но с разным значением, т.к. разная пропускная способность каналов.
4. Лимитировать скорость для конкретных пользователей и групп пользователей на определённую сеть.

нужна помощь в реализации задуманного.
Ну или хотя бы скажите возможно ли это реализовать с керио

Espi
1.по первому варианту керио и так автоматический распределяет скорость между пользователями
2.Создать группу адресов для которых хочешь оставить скачку. В политиках трафика создать правило для этой группы адресов
3.Если я не ошибаюсь то можно ограничить для всех.
4.для каждого пользователя можно установить квоту, если выбрать параметр "данный пользователь имеет собственную конфигурацию"

Espi

1. Вам ответили, (Kerio сам распределяет канал)
2. По правильнмоу открыть только нужные порты, а остальные закрыть следовательно - никто ничего качать не будет, а можно еще вообще p2p прикрыть.
3. Ограничивать можно по службам, группам, пользователям.. а по сетевым интерфейсам нельзя..

Можно ограничить по нижнему пропускному каналу =)..

4. Квотировать, как написано выше, можно по разному..

а вообще взял бы да поигрался с параметрами ... там все просто ..

kolyas
2.по умолчанию все порты закрыты. в политиках мы только открываем порты
галочка которая есть в керио касаемо p2p работает отвратительно, по крайне мере мне так показалось, большинство клиентов(имеется ввиду по для торентов и тп.) всё равно соединяются с серверами.

MiXoiD
тем более, если по умолчанию все закрыто, значит сам открыл..
дак смотри по каким портам качают, и прикрывай их... а особенно настойчивым по "голове"..

kolyas
я проверял функционирует ли эта возможность или нет..соответвственно открывал порты и ставил галку на запрет p2p

Цитата:

4.для каждого пользователя можно установить квоту, если выбрать параметр "данный пользователь имеет собственную конфигурацию"

не совсем так, в квотах пользователей есть только объем скачиваемого трафика, а вот шейпер отсутствует для каждого юзера или группы((( Поправьте если я ошибаюсь, самому нужно)

Цитата:

1.по первому варианту керио и так автоматический распределяет скорость между пользователями

Возможно этот автоматизм где-то надо включить, потому что какого-то интеллектуального разделения скорости я не заметил, распределение работает точно так же если к модему на прямую подключается несколько человек.

что касается второго пункта п2п, то мне тоже показалось, что работает он достаточно косячно, ограничение по скорости срабатывает 1 к 5, блокировка п2п почти всегда срабатывает. Но вроде какэтапроблема сама собойразрешилась, серваку на котором стоит керио паралельно на этот блок.


Цитата:

3. Ограничивать можно по службам, группам, пользователям.. а по сетевым интерфейсам нельзя..

Можно поподробнее? Необходимо задать для группы Х одну скорость, для группы У другую скорость, и чтоб эти скоростиварьировались в зависимости какая служба активна. Реально ли так?


Цитата:

4.для каждого пользователя можно установить квоту, если выбрать параметр "данный пользователь имеет собственную конфигурацию"

Размер квоты может быть разным, но вот скорость после окончании квоты у всех одинаковая, либо я не нашёл где ставить отдельную скорость для каждого пользователя.

Добавлено:

Цитата:

1.по первому варианту керио и так автоматический распределяет скорость между пользователями

Автоматическое распределение где-нибудь включается? Просто такое ощущение, что она не работает, т.к. если кто-то качает, то качает он на максимум канала, при попытки посёрфить, скорость скачки падает на пару кб, а хотелось бы, чтоб при сёрфинге не ощущалось загруженность канала. До этого было подключение к модему напрямую, разницы никакой, система загрузкиканала абсолютна такая же.

что касается второго пункта п2п, то такое чуство, что функция в керио реализованна корява, но этот вопрос отпал.


Цитата:

3. Ограничивать можно по службам, группам, пользователям.. а по сетевым интерфейсам нельзя..

Не могли бы поподробнее описать как сделать различное ограничение скорости для различных служб и групп пользователей?


Цитата:

4.для каждого пользователя можно установить квоту, если выбрать параметр "данный пользователь имеет собственную конфигурацию"

Размер квоты можно разный выставлять, а вот лимит скорости при превышение квоты, для всех одинаковый или я чего-то не нашщёл?

с 4 пунктом ошибся,виноват.неправильно прочитал вопрос.
квота скаченого трафика, а не скорости.


Присоединяюсь к 3 что-то я не доглядел где можно ограничить скорость по группам и службам.

Пытаюсь настроить Kerio VPN в сети с доменом (W2k3).

Вроде бы всё настроил правильно, разрешил двум пользователям из домена подключение по VPN.
Один из них подключается нормально, а вот при попытке подключения под логином второго Kerio VPN Client выдаёт ошибку "Сбой аутентификации", а в журнале Security KWF появляется строка "Authentication: VPN Client: Client: 192.168.0.2: Invalid passwd for NT/Kerberos user User2"

При этом настройки двух пользователей как в Kerio, так и в консоли пользователей AD идентичны, они входят в одни и те же группы, выставлена галка "Срок действия пароля не ограничен".

Подскажите пожалуйста, куда копать?

Цитата:

Цитата:
3. Ограничивать можно по службам, группам, пользователям.. а по сетевым интерфейсам нельзя..



Не могли бы поподробнее описать как сделать различное ограничение скорости для различных служб и групп пользователей?

неправильно написал, извиняюсь...
ограничить можно одну группу .. =( ..а не несколько..


Цитата:

Размер квоты можно разный выставлять, а вот лимит скорости при превышение квоты, для всех одинаковый или я чего-то не нашщёл?

да лимит скорости у всех одинаковый..

Ultranium
попробуй:
1 проверь написание клиента (попробуй указать имя пользователя в виде ldap тобищ "user@domain.com" .com это ради примера прописываеш полностью твой домен)
2 новую версию клиента
3 новый пасс юзера
4 новый сертификат сгенерировать


да кстати попробуй дать разрешение доступа по vpn не юзерам а группе. это тебе в будущем поможет...

Добрый ... как настроить раздачу интернет локальной сетке при помощи WinRoute ....


Пробовал средствами XP ... но у меня почему-то не хочет включатся IPRouting ((

в яндексе вбей настроить керио, первая ссылка твоя.

mouser
смотри шапку там всё есть.

честно ... желания читать весь текст нет ... хоть какой пункт прочитать, потому как я приблизительно не знаю куда рыть

Добавлено:
кстати ... нужно это для раздачи компу на VMWare

mouser
эммм... а почему не получилось средствами ХР???

влюбом случаи качаеш керио при первом запуске вылезит визард (мастер)там все очень просто и доступно описано)))

только в разрешающем правиле укажи для nat и firewall доступны все сервисы,
и вот что смотри, для виртуальных машин нужно правильно настроить виртуальные интерфейсы. ты можеш задать чтобы он транслировал все запросы на основной а не виртуальный интерфейс. но это таак к слову)))
далее указываешь на виртуальном интерфейсе реальной машины адрес и маску
а на виртуалке адрес в томже сегменте только в качестве шлюза и днс укаживаеш адрес реальной машины

ну вот впринципе и все)))

если ты привильно все настроил должно работать...

подскажите kerio в windows прозрачный мост не убивает ?

Dimsoftа по конкретнее?

Labigo4you
на сервере стоит windows home server и kerio последний 6.6.0 5729
не могу несколько интерфейсов объединить в мост - не появляется пункт меню.

вообще задача поднять несколько pppoe которые у провайдера привязаны к мак и объединить в 1 канал для torrent

в виртуалке все прошло отлично поднял и kerio собрал в 1 канал, но нагрузка большая, тормозит сам сервер.
сейчас ищу способ как на 1 сетевую привязать несколько маков и с помощью raspppoe 0.99b поднять несколько соединений.

пробовал перепривязать к одному маку - скорость как 1 канал - провайдер шейпирит по макам

Проблема подключением по VPN решена, оказывается, второму пользователю был запрещён вход на сервер с Kerio в свойтвах учётки AD.

Ultranium
назначь разрешения доступа на группу...

Dimsoft
в керио есть режим работы распределение сетевой нагрузки... непробовал?

так задача какова... тебе нужно собединить несколько сетевух в группу?
если так то средствами керио это сделать не получится... только распределение нагрузки

но тут поевляется еще один пункт... если у тебя один провайдер и несколько тунелей к нему то начнется чихорда с роутами...

а несколькое тунелей то зачем???
pppoe соединение используется в большинстве случаев только для аунтификации...

возможно я неправильно понял задачю... распиши по пунктам...

Labigo4you
все сделал
поставил vmware в которой завел 1 LAN и 2 WAN с разными мак адресами
в виртуальной машине последний керио на windows xp
все отлично работает.

суммирует оба канала

Помогите разобраться:
Есть 2 офиса
Каждый офис подключен через своего провайдера
У каждого офиса свой статический белый IP
В первом офисе Домен, во втором Раб. группа
В каждом офисе есть своя подсеть (192.168.0.0 и 192.168.10.0)
В каждом офисе стоит шлюз KWF
На каждом шлюзе настроен активный туннель в другой офис
В настройках каждого туннеля вручную прописаны маршруты в другую локальную сеть
Статусы туннеля на каждой стороне Connected
В правилах Локального трафика и в Source и в Dest. туннели указаны, разрешен любой трафик (на каждом шлюзе)

Проблема:
Любой IP 1-й подсети пингуется из 2-й подсети и наоборот, НО взаимного доступа к ресурсам нет
Т.е. доступа нет ни по именам, ни по IP адресам

Что хотел получит делая туннель:
1. Внутри 1-й сети есть свой jabber сервер
2. Внутри 1-й сети есть внутренний почтовый сервер

Хотел чтобы 2-я сеть имела доступ к этим ресурсам, чтобы сотрудники могли общаться.
Вот сижу читаю и вроде все правильно сделал и даже есть пинг!!!

cutlasss
tracert ip_другой_сети с обоих сетей как выглядит ?

Добрый день. Проблема с распределением нагрузки.

Есть 2 внешних интерфейса и один локальный.

Проблема состоит в том что инет на клиентских машинах периодически отваливается.

C:\Users\mapcuahuh.CLUB>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : work
Основной DNS-суффикс . . . . . . : club.local
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Да
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : club.local

Ethernet adapter Подключение по локальной сети 6:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : D-Link DGE-530T V.B1 Gigabit Ethernet A
pter
Физический адрес. . . . . . . . . : 00-1E-58-99-F6-43
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 10.1.9.96(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.128
Основной шлюз. . . . . . . . . :
DNS-серверы. . . . . . . . . . . : 192.168.0.1
192.168.20.2
NetBios через TCP/IP. . . . . . . . : Включен

Ethernet adapter Подключение по локальной сети 2:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Realtek RTL8139/810x Family Fast Ethern
сетевой адаптер
Физический адрес. . . . . . . . . : 00-40-F4-EA-61-61
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 10.1.9.98(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.128
Основной шлюз. . . . . . . . . : 10.1.9.126
DNS-серверы. . . . . . . . . . . : 192.168.0.1
192.168.20.2
NetBios через TCP/IP. . . . . . . . : Включен

Ethernet adapter Подключение по локальной сети:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Сетевой контроллер NVIDIA nForce
Физический адрес. . . . . . . . . : 00-18-F3-80-EE-8A
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.0.3(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . :
DNS-серверы. . . . . . . . . . . : 192.168.0.1
NetBios через TCP/IP. . . . . . . . : Включен

У обоих внешних ингтерфейсов шлюз одинаков - 10.1.9.126

Правила в Керио

Interfaces:
Интернет интерфейсы:
подключение по локальной сети 2 10.1.9.98 255.255.255.128 Подключено/Активный Распределение 2мбит/с
подключение по локальной сети 6 10.1.9.96 255.255.255.128 Подключено/Активный Распределение 1900кбит/с

Локальные интерфейсы
подключение по локальной сети 192.168.0.3 255.255.255.0 Подключено

Политики Траффика:

Ping > Any > Any > Any ICMP > permit
RDP >Internet > Firewall/LAN > RDP > permit > map 192.168.0.1
ISS > Firewall > Any > HTTPS TCP6000 > permit
NAT > LAN > Internet > CoD4, CS, DNS, FTP, Garena, GameGuard, Lineage, IMAP, ICQ, HTTP, HTTPS, POP3, SMTP > permit > NAT
LAN > Firewall/LAN > Firewall/LAN > any > permit
Firewall > Firewall > ANy > CS, HTTP, HTTPS, FTP,DNS,POP3,SMTP,GameGuard,Garena,Lineage > permit
Deny > any > any > any > deny

Ограничение полосы пропускания - 50 кб/с

DHCP off

Переадресация DNS отключена

таблица маршрутизации:

системный маршрут > 0.0.0.0 > 0.0.0.0 > 10.1.9.126 > Подключение по локальной сети 2 > Метрика 20
системный маршрут > 10.1.9.0 > 255.255.255.128 > > Подключение по локальной сети 2 > Метрика 276
системный маршрут > 10.1.9.0 > 255.255.255.128 > > Подключение по локальной сети 6 > Метрика 276
системный маршрут > 10.1.9.127 > 255.255.255.255 > > Подключение по локальной сети 2 > Метрика 276
системный маршрут > 10.1.9.127 > 255.255.255.255 > > Подключение по локальной сети 6 > Метрика 276
системный маршрут > 192.168.0.0 > 255.255.255.0 > > Подключение по локальнйо сети > Метрика 266


Сейчас инет есть, но как только идет нагрузка - инет на компах клиентов валится

ManiacBHD
а зачем у второго внешнего интерфейса нет шлюза ?
зачем от тогда ?