» Kerio WinRoute Firewall (часть 4)

Да я видел, но дело в том что когда я прописываю ему шлюз 10.1.9.126 , винда ругается на наличие нескольких шлюзов на компе, я все равно говорю сохранить эти настройки. Сохраняю - но на втором интерфейсе шлюз не прописывается. Причем если первый интерфейс отключить, на втором интерфейсе шлюз прописыватеся автоматом и инет работает дальше.

ManiacBHD

зачем 2 интерфейса ?
они из одной подсети

cutlasss

если пингуется то все должно работать... можеш правила фаерволла выложить?

СКОРЕЕ ВСЕГО у тебя проблема с icmp трафиком или с маршрутами хотя это маловероятно т/к пингуется же)))...

у меня подобным образом 4 офиса завязано...

ManiacBHD
у тебя чехорда с роутами. вин роут некорректно распределяет нагрузку, а делает он это путем динамического изменения метрики в системных маршрутах... и выглядит это почти всегда неочень хорошо(((

а можно вопрос? ЗАЧЕМ тебе это??? я понимаю если бы у тебя 2 провайдера было с разными тарифами... а так у тебя все сыпится на основной шлюз провайдера и толку от этого распределения никакого. разве что 2 разных тарифа... ноооо не проще договориться с провайдером?

P/S
да кстати совет отключи на внешних интерфейсах службы доступа сетей microsoft и службу доступа к файлам и прингтерам... чтобы осталось только службы tcp/ip и kerio

Провайдер не может дать канал больше 2 мбит. Необходимо минимум 6 мбит. Пров завел 1 оптический кабель. Кабель идет в коммутатор откуда выходят на данный момент только 2 кабеля на две сетевые платы на шлюзе. Соответсвенно неободимо чтобы работали оба порта.. Каждый порт со своим внутернним прововским ip - 10.1.9.96, 10.1.9.97, 10.1.9.98, 10.1.9.99. У них используется один шлюз и все они лежат в одной подсети. Я понимаю что это бред какой то получается. И в маршрутизации тоже вижу что чехорда получается.
Собственно в чем и вопрос - как поступит в данной ситуации? Дополнительный кабель кидать не будут.

Все службы на внешних интерфейсах отключены.

Цитата:

ровайдер не может дать канал больше 2 мбит. Необходимо минимум 6 мбит. Пров завел 1 оптический кабель.

ManiacBHD

а сколько в оптике ?
где режеться скорость ?

на оптике или на коммутаторе ?

ManiacBHD
нужно пиво и думать...

скорость по ip режется на стороне провайдера. От прова в помещение приходит один оптико-провод. На нем висят 4 ip адреса с ограниченями по 2 мбита. ip лежат в одной подсети и используют один шлюз. естественно при такой растановке шлюз присваевается только одному интерфейсу, остальные три висят без шлюза. Винроут при распределении нагрузки по очереди переподключает интерфейсы. Т.е по очереди дает шлюз то одному то другому. Инет есть в любом случае. Проблема в том что используется только один канал, в момент переподключения инет у клиентов виснет и потом опять же используется один но другой канал.

Из мыслей только попробовать провайдера попинать заменить все ip на ip из разных подсетей с разными шлюзами, но думаю через 1 оптику убдет сложно сделать.

ManiacBHD
эммм.... ну ты почти прав....
просто твоему провайдеру тупо лень лезть в биллинг и изменить настройки для тебя....

про распределение нагрузки... скажем так... керио работает почти так как ты сказал...
и не всегда работает корректно...
я конечно могу предложить тебе купить циску...))) на которой это функция работает корректно... но вот с её настройкой ты замучаешься...))))

а если не секрет зачем 6 мбит? это же максимальная скорость канала.... реально ты её не используешь....

Добавлено:
можно конечно пошутить... поднять вторую машину... на ней керио... часть юзеров перевести на нее :-D
но это бред

Добрый день!

Стоит Winroute 6.2.2 build 1746.

Проблема очень странная: иногда не завершается закачка файлов. Например, качается файл (любого размера) с определенного сервера - и на 99% браузер сообщает об ошибке. Если отключить Винроут, то успешно доходит до 100%. Скачивание обычное по HTTP (например, rapidshare). На 10 успешно скачиваемых файлов найдется один, который скачать нельзя, не остановив Winroute. И эти "проблемные" файлы всегда закачиваются на 99%, а затем закачка обрывается.

Где копать?

Спасибо заранее.

Цитата:

Где копать?

антивирусная проверка, если это не вирус то возможно запароленный архив, который невозможно проверить. В настройках антивирусного модуля - разрешить передачу файла если не удается его проверить.

Первый раз столкнулся со следующей проблемой, хотя с винроутом работаю уже больше 10 лет!
Не могу промапить порты во внутреннюю сеть.
Свежеустановленный сервер w3k +KWF 6.6.0 bild 5729 от Farbi +Tmeter 9.0.523 +Mdaemon 10+DNS от мелкомягкого.
Все работает отлично, почта, DNS, Radmin на него самого, кабан все фильтрует, нареканий никаких.
Понадобилоь подключится на сервак стоящий веутри сети (терминал), сделал правило по стандартному порту Radmina отключил трафик инспектор. При подключении выводит строку пароля потом появляется окно получения экрана и отваливается (как я понял по тайауту). Ладно думаю не проблема - захожу на саму машину с винроутом(все нормально) пытаюсь подключиться через удаленый доступ к рабочему столу к терминальному серверу - выдает что невозможно подключится . попробовал скачать из расшаренной папки с терминального сервера файл - не может скопировать, пытаюсь открыть через браузер страничку на внутреннем сервер - не пускает.
Но с остальных машин внутри сети все работает на терминальный сервак пускает, сайт внутренний работает, шары на терминале тоже работают, не работает только с машины на которой установлен винроут, пытался промапить и 80 порт снаружи, не пускает.
Отключил вироут - эфекта нет.Только если в настройках внутренего интнрфейса убрать крыж с драйверов винроута все начинает летать, но тогда винроут лежит
В чем проблема кто знает???????????????????

Доброго времени суток! Есть сервак 2000 с АД, есть второй сервак 2000 на нем стоит KWF последней версии, пользаков берет из АД с первого сервера. С недавнего времени KWF перестал подгружать пользаков из АД, пишет ошибку по таймауту. Соответственного кого керио не подгрузил - у них инета нет! Подскажите в чем может быть проблема? может увеличить время обращения к АД?

BigBear
Не знаю насколько тут вопрос в винроуте. Вот находясь в локалке со шлюза можно поключиться к нужному компу? Может в правилах косячок скрыт? Трудно понять.
Для подключения (через радмин, например) к компьютеру локальной сети можно:

настроить впн. например, виндузовый RRAS PPTP. настроить правило для впн на винроуте. подключиться и пользоваться радмином как и в локальной сети.
настроить правило на шлюзе с винроутом для подключения радмина. в радмине при подключении к компу в локальной сети в свойствах установить галочку "подключиться через промежуточный сервер". указать шлюз с винроутом.

Уважаемый All.
Есть проблема такого характера, у тестеров стоит апликуха, которая качает кучу всяких файлов с ftp. Некоторых произвольно пускает, некоторых нет.

В логе вижу такое:
[14/May/2009 12:51:55] FTP: Bounce attack attempt: client: 192.168.xxx.xxx, server: 206.yyy.yyy.yyy, command: PORT 127,0,0,1,193,8
[14/May/2009 12:52:02] FTP: Bounce attack attempt: client: 192.168.xxx.xxx, server: 206.yyy.yyy.yyy, command: PORT 127,0,0,1,193,19
[14/May/2009 12:52:09] FTP: Bounce attack attempt: client: 192.168.xxx.xxx, server: 206.yyy.yyy.yyy, command: PORT 127,0,0,1,192,195

Помогите поставить правило, чтоб таких проблем не возникало.
Антиспуфинг, лимит коннектор убирал, не помогло.
Win2k3 SP2 + Kerio 6.6.0 + авторизация в AD

Спасибо

udaf666
А включен ли контроллер домена, с которого kwf таскает учётки? На контроллере домена в диспетчере задач посмотреть на предмет загруженности какого-нить процесса. Доступен ли контроллер с рядового компутера? Перезагрузить контроллер и/или шлюз с kwf. Не менялся ли IP у контроллера. попробовать использовать в kwf "подключаться к первому доступному...".

настроил WinRoute для раздачи инета на VMWare
на VMWare поставил "Check Point VPN-1 SecureClient"
пытается соединится с сервером и не выходит (думает на "Connecting to gateway..." после обрывается)

Checking network connectivity...
Preparing connection...
Connecting to gateway...
Gateway not responding
Connection failed

mouser
как настроины сетевые интерфейсы в VMware?

Labigo4you

Вот настройки на виртуальной машине ... подмечу что инет на VMWare работает
IP: 192.168.0.2
Mask: 255.255.255.0
gateway: 192.168.0.1
Pref DNS: 192.168.0.1

Вопрос по настройкам RDP к KWF при соединении через pppOe, инициируемом на стороне KWF. Есть копутер winXP PRO SP3 с 2 мя сетевыми картами (IP_LAN и IP_WAN статика ). Есть DSL модем настроеный в "странный бридж". Подключение к инету идет через pppOe, которое дает соединение с интернет с ip адресом IP_pppOe. Причем IP_WAN неравен IP_pppOe. Пигуются оба адреса, и IP_pppOe, и IP_WAN. Можно устаноить VPN соединение к компутеру с KWF при помощи клиента KerioVPN если указать адрес IP_pppOe. Нужно подключиться к ТерминалСерверу(IP_LockServer) внутри локальной сети, за компутером с KWR из интернета. Стандартный вариант не проходит.
ист(любой) - назначение(Firewall) - Служба RDP(или TCP+port 3389) - permit - инспектор(нет) - MAP:IP_LockServer:3389
Подключение удаленного офиса нужно. Кто-нть делал такое, подскажите...

niichavo
вопрос именно в винруте
с убиванием драйвера на интерфейсе все работает
дело не только в радмине
я не могу промапить любой сервис который крутится не на шлюзовой машине
сейчас то все работает в мапе нет необходимости (за исключенем радмина)
но разобратся то надо , эт необходимость точно возникнет
предидущие версии работали нормально
так еще радмин не рабоает с машины с винроутом на внутренний сервак!!!
еще кстати заметил что с внутреннего сервака я тоже черезвинроут навнеши машины зацпится не могу
сейчас придумаю как прицепить картинку и выложу мои правила
[img]kerio66.jpg[/img]

BigBear
знаеш... если ты грешиш на дрова сделай проще... переустанови керио...
только незабуть файлы с расширением cfg скачать из каталога керио в них конфигурация храниться....

и сразу станет ясно что не так...

добрый день. существует следующая проблема.
имеем:
win server 2008 + kerio 6.6.0-5729 (32bit) + инет поднят на модеме d-link 2500.

на сервере уже отключены служба netbios, виндовый брендмауэр. на сервере нет домена.
инет поднят на модеме (но также поднимался и в винде - результат один и тотже)
ипользовал мануал для настройки kerio в сети без домена с сайта kerio-rus. все настройки приведены ниже на скриншотах. в результате максимум, что смог достичь - пинг и работающая аська. http - не работает!!!
если есть возможность помочь, буду очень признателен!

Код: C:\Users\Администратор>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : server
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Да
WINS-прокси включен . . . . . . . : Нет

Ethernet adapter интранет (локалка):

Состояние носителя. . . . . . . . : Носитель отключен
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : TEG-PCITXR Gigabit PCI Adapter
Физический адрес. . . . . . . . . : 00-14-D1-11-61-B7
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Ethernet adapter интернет (интернет):

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : HP NC105i PCIe Gigabit Server Adapter
Физический адрес. . . . . . . . . : 00-23-7D-F4-AB-45
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::8827:691b:df9c:ab5e%10(Основной)
IPv4-адрес. . . . . . . . . . . . : 192.168.1.2(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.1.1
DNS-серверы. . . . . . . . . . . : 85.95.164.60
85.95.165.60
NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер Подключение по локальной сети* 8:

Состояние носителя. . . . . . . . : Носитель отключен
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 02-00-54-55-4E-01
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

C:\Users\Администратор>ping ya.ru

Обмен пакетами с ya.ru [213.180.204.8] с 32 байтами данных:
Ответ от 213.180.204.8: число байт=32 время=39мс TTL=56
Ответ от 213.180.204.8: число байт=32 время=41мс TTL=56
Ответ от 213.180.204.8: число байт=32 время=41мс TTL=56
Ответ от 213.180.204.8: число байт=32 время=39мс TTL=56

Статистика Ping для 213.180.204.8:
Пакетов: отправлено = 4, получено = 4, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 39мсек, Максимальное = 41 мсек, Среднее = 40 мсек

C:\Users\Администратор>tracert ya.ru

Трассировка маршрута к ya.ru [213.180.204.8]
с максимальным числом прыжков 30:

1 1 ms <1 мс <1 мс 192.168.1.1
2 31 ms 89 ms 30 ms 87-119-240-1.saransk.ru [87.119.240.1]
3 25 ms 25 ms 25 ms 79.126.125.17
4 31 ms 30 ms 31 ms 79.126.126.154
5 38 ms 39 ms 38 ms xe210-301.RT.V10.MSK.RU.retn.net [87.245.244.5]

6 39 ms 37 ms 39 ms GW-Yandex.retn.net [87.245.253.26]
7 40 ms 39 ms 38 ms silicon-vlan901.yandex.net [77.88.56.125]
8 39 ms 38 ms 41 ms ortega-vlan4.yandex.net [213.180.210.188]
9 39 ms 40 ms 38 ms ya.ru [213.180.204.8]

Трассировка завершена.

Sweetty
Ну ты молодца ! если написал в политику трафика "любой любой" и тд будет работать - сомневаюсь там внизу на этой закладке есть кнопка "мастер" запусти полегчает.
( и почему локальный интерфейс отключен? включи обязательно

Sweetty
Во-первых, судя по скринам HTTP у тебя есть
Во- вторых, попробуй сделать так:
В-третьих, что-то у тебя, мне кажется, с маршрутами. То есть в целом сеть по моему не так настроена.

знаю, что http должен быть! не его нет. я две недели бьюсь. ни с сервера, ни с удаленной машины. пробовал и с помощью мастера, и сам, и чувак приходил гораздо опытнее меня - результат один и тот же. только пинг. а что с маршрутами может не так быть? подскажите правильный вариант, пожалуйста!
пользовательские днсы тоже прописывал! остается лишь вариант с маршрутами... но чувак сказал, что по его все нормально.

Sweetty
приведи результат netcfg -s n

Sweetty
- отключи на всех сетевых интерфейсах IPv6.
- как тебе уже советовали, создай нормальные правила через мастер. проверь чтобы было правило с NAT. Иначе компы, для которых kwf служит шлюзом не смогут выйти в инэт. убери allow any to any.
- проверь http-правила, чтобы компу с kwf было разрешен выход через http.

Labigo4you
это понятно, спасибо
хотелось бы знать сталкивался ли кто на 6,6 версии с подобным глюком.
Откликнитесь у кого стоит 6,6 и портмапинг нормально работает!!!!
Очень надо,что бы не сносить зря

У меня при работе с Kerio VPN Client наблюдается следующий очень неприятный глюк - около недели двух все работает нормально а потом в логах начинает появляться следующее:
[18/May/2009 10:48:11] VPN client 'client' connected from xx.xx.235.37
[18/May/2009 10:48:21] VPN client 'client' disconnected, connection time 00:00:10
[18/May/2009 10:48:53] VPN client 'client' connected from xx.xx.235.37
[18/May/2009 10:49:03] VPN client 'client' disconnected, connection time 00:00:10
И так до бесконечности. На клиентской стороне проблема состоит в том, что у керио происходят какие то обрывы в его виртуальном интерфейсе и он пишет насчет не подсоединенного кабеля. Помогает лишь переустановка клиента. Может кто-то сталкивался с такой проблемой?

BigBear

Цитата:

Откликнитесь у кого стоит 6,6 и портмапинг нормально работает!!!!

У меня 6.6, работает маппинг (делаю маппинг портов emule, edonkey на комп из внутренней сети). работает и радмин. и подключение через промежуточный сервер (в роли которого машинка с kwf) на комп из внутренней сети.

ЗЫ. Для радмина у меня нет никакого маппинга, ибо это и не нужно. я уже писал как подключаться к другому компу через промежуточный сервер радмина. Я для радмина создал службу "Radmin" - протокол TCP, нет инспектора протокола. порт источника любой, порт назначения равен 4899. В политиках трафика стоит правило: интернет firewall Radmin.
Для emule, edonkey тож создал службу "jackass" и правило: интернет firewall jackass MAP 123.45.67.89

ЗЗЫ. Сёрвер win2003std r2 sp2.