» Kerio WinRoute Firewall (часть 5)

Как вариант: в "Ограричение полосы пропускания" указываешь скорость для пользователей, превысивших квоту. Это будет предел скорости для каждого юзера. В свойствах юзеров указываешь квоту "месячный лимит" - 1Мбт, и активируешь "Не блокировать дальнеыший трафи".

При установке вот такая ошибка, незнаю что и делать....
http://i043.radikal.ru/0908/b8/eb61f2d2140d.jpg

PashaT
Спасибо, видимо это единственный способ

GR0Mi
от админа запускал? может всякие UAC работают?

Ребята, каждый день идет сумашедший трафф по unrecognized users!!! Непонятно куда уходит вообще! Менял настройки и так и эдак. не помогает!!! Что нужно сделать? SOS! Help wanted!!! Политики и правила прилагаю!

http://img191.imageshack.us/i/78506898e.jpg/
http://img220.imageshack.us/i/83382593.jpg/
http://img198.imageshack.us/i/48245696.jpg/
http://img295.imageshack.us/i/34599387.jpg/
http://img191.imageshack.us/i/11736852.jpg/
http://img295.imageshack.us/i/81146913.jpg/
http://img386.imageshack.us/i/41161139.jpg/
http://img295.imageshack.us/i/86024122.jpg/
http://img510.imageshack.us/i/51205208.jpg/

зачем тебе авторизация по IP? убери её сделай нормально, домен есть? сделай ntlm человеческий. убери авторизацию на непрозрачном прокси сервере, поставь галку, выполнять автоматическую авторизацию пользователей обозревателями, на той же закладке убери домент AD и NT, оставь ТОЛЬКО на закладке AD всё. добавь хост квф в зону интранет на клиентских пк. и вообще читай мануал или базу знаний, вот статья тебе поможет, как правильно сконфигурить NTLM
http://support.kerio.com/index.php?_m=knowledgebase&_a=viewarticle&kbarticleid=77&nav=0,2

Народ, пожалуйста подскажите, на работе стоит офф Вин ХП сп3, и Kerio WinRoute Firewall 6.6.0 , дома поставил семерку 7600 х86 рус, сеть вроде настроил все бегает, но не так как бы хотелось. Интернет берется с работы через впн-керио соединение, замечаю затыки интернет радио, фильмы по сети с работы жутко тормозят, причем обычные DivX. Замерил скорость, под ХП примерно 4000 кбит а под семеркой с такими же настройками и версией ВПН скорость 1100 кбит. Если отключить впн, то скачивани именно с провайдера идет нормально как и на ХП 8000-9000 кбит. Работа в 200 метрах от дома, и сеть проложена провайдером, тоесть 100 мбит\с. Под ХП все летает, и фильмы, и интернет, а вод под семеркой уже лысину себе начисал, что я не так настроил, или что отключить для повышения быстродействия работы сети. Антивирусников и фаерволов нет. Может как-то настраивать по другому керио-впн нужно. Заранее спасибо.

Garik_Lugansk
попробуй отрубить инспектор протоколов

Tihon_one
Так под ХП если перезагрузиться, то все нормально бегает, а на 7 ужасно.

Так-с. Сделал как написано в мануале, в трафф полиси забил юзеров из домена а не лок базы. Не помогло. Точнее инет перестал работать везде. Вернул юзеров из локальной бд - запахало. Что за фигня...

Garik_Lugansk
В свойствах подключений на 7-ке отруби если стоит до сих пор галка IP-6 и QoS - у другана помогло говорит!)

Tihon_one

от админа запускал? может всякие UAC работают?


Да от админа, что за "может всякие UAC работают?" можно поподробнейй?

utp_ss
всегда думал, что в керио последних версий есть шейпер (бандвич лимитер)

GR0Mi

Цитата:

может всякие UAC работают?" можно поподробнейй?

UAC - юзер аккаунт контроль - открыть и флажок вниз.
DEP тоже иногда полезно в OFF ставить.
(сори за офтоп - подробней в теме по вин7.

Приветствую!
Работало все нормально, но дергнул меня черт подцепить керио к домену.
После этого учетка Admin со старым паролем не пускает. Доменного админа тоже не пускает.
Файл userDB.cfg выглядел так:

Код: <config>
<list name="UsersData">
<listitem>
<variable name="UUID">59251cce-d36a-4c9f-9cdf-2451fa68d70c</variable>
<variable name="Name"></variable>
<variable name="AccStatus">1</variable>
<variable name="WWWFilter">SRAJP</variable>
<variable name="UseTemplate">0</variable>
<variable name="Rights">511</variable>
<variable name="AdmFilter">JARSP</variable>
<variable name="QuotaDayEnabled">0</variable>
<variable name="QuotaDayType"></variable>
<variable name="QuotaDay">0</variable>
<variable name="QuotaWeekEnabled">0</variable>
<variable name="QuotaWeekType"></variable>
<variable name="QuotaWeek">0</variable>
<variable name="QuotaMonthEnabled">0</variable>
<variable name="QuotaMonthType"></variable>
<variable name="QuotaMonth">0</variable>
<variable name="QuotaAction"></variable>
<variable name="QuotaSendAlert">0</variable>
<variable name="Lang">detect</variable>
<variable name="DontUseLangTemp">0</variable>
<variable name="DetectedLang">ru</variable>
</listitem>
<listitem>
<variable name="UUID">010a6c68-7a77-43f0-9e5e-ad48a39e92f3</variable>
<variable name="Name"></variable>
<variable name="AccStatus">1</variable>
<variable name="WWWFilter">SRAJP</variable>
<variable name="UseTemplate">1</variable>
<variable name="Rights">0</variable>
<variable name="AdmFilter">JARSP</variable>
<variable name="QuotaDayEnabled">0</variable>
<variable name="QuotaDayType"></variable>
<variable name="QuotaDay">0</variable>
<variable name="QuotaWeekEnabled">0</variable>
<variable name="QuotaWeekType"></variable>
<variable name="QuotaWeek">0</variable>
<variable name="QuotaMonthEnabled">0</variable>
<variable name="QuotaMonthType"></variable>
<variable name="QuotaMonth">0</variable>
<variable name="QuotaAction"></variable>
<variable name="QuotaSendAlert">0</variable>
<variable name="Lang">detect</variable>
<variable name="DontUseLangTemp">1</variable>
<variable name="DetectedLang">ru</variable>
</listitem>
</list>

<list name="GroupsData">
</list>

<list name="UserDomains">
<listitem>
<variable name="AdDomain">albatroscargo.local</variable>
<variable name="SpecificADServer">1</variable>
<variable name="AdServer">albadc</variable>
<variable name="AdSearchDN"></variable>
<variable name="AdUserName">dcadm</variable>
<variable name="AdPasswd">D3S:19faa9d9bd6e396d1fb89bde43313dd61a552897e1ccf5cd</variable>
<variable name="NtAuthEnabled">0</variable>
<variable name="NtDomain"></variable>
<variable name="LDAPS">0</variable>
<variable name="Description"></variable>
<variable name="Primary">1</variable>
<variable name="Rights">0</variable>
<variable name="AdmFilter">JARSP</variable>
<variable name="QuotaDayEnabled">0</variable>
<variable name="QuotaDayType"></variable>
<variable name="QuotaDay">0</variable>
<variable name="QuotaWeekEnabled">0</variable>
<variable name="QuotaWeekType"></variable>
<variable name="QuotaWeek">0</variable>
<variable name="QuotaMonthEnabled">0</variable>
<variable name="QuotaMonthType"></variable>
<variable name="QuotaMonth">0</variable>
<variable name="QuotaAction"></variable>
<variable name="QuotaSendAlert">0</variable>
<variable name="Lang">detect</variable>
</listitem>
</list>

<table name="LocalDomain">
<variable name="AdDomain"></variable>
<variable name="SpecificADServer">1</variable>
<variable name="AdServer"></variable>
<variable name="AdSearchDN"></variable>
<variable name="AdUserName"></variable>
<variable name="AdPasswd"></variable>
<variable name="NtAuthEnabled">0</variable>
<variable name="NtDomain"></variable>
<variable name="AdAuthEnabled">0</variable>
<variable name="AdAutoImport">0</variable>
<variable name="Rights">128</variable>
<variable name="AdmFilter">JARSP</variable>
<variable name="QuotaDayEnabled">0</variable>
<variable name="QuotaDayType"></variable>
<variable name="QuotaDay">0</variable>
<variable name="QuotaWeekEnabled">0</variable>
<variable name="QuotaWeekType"></variable>
<variable name="QuotaWeek">0</variable>
<variable name="QuotaMonthEnabled">0</variable>
<variable name="QuotaMonthType"></variable>
<variable name="QuotaMonth">0</variable>
<variable name="QuotaAction"></variable>
<variable name="QuotaSendAlert">0</variable>
<variable name="Lang">detect</variable>
</table>

<list name="LocalUsers">
</list>

<list name="LocalGroups">
</list>

</config>

ReverseDNSLookupType setting в winroute.cfg

<table name="Misc">
<variable name="ReverseDNSLookupType">0</variable>

0 - не резолвить IP в имена хостов в журнале connection: TCP 10.7.1.4:1818 -> 77.88.21.60:80
1 - резолвить только IP source
2 - резолвить IP source и destination в имена хостов

Как заставить KWF не проверять электронную почту с определенных адресов? Приходящие по почте обновления банковской программы благополучно сбрасываются в карантин.

интересные дела))) теперь не пускает никого в инет кроме меня, админская учета ад имеет доступ к инету, остальные юзеры кому разрешил - нет) странно)

скрипт под 6.6.0 для авторазлогинивания никто не встречал???
или как завершить сессию в керио после выхода из ХР ?

Доброго времени суток.
Солкнулся с такой проблемой:
Керио забивает весь канал при попытке зайти на какой либо сайт.
Вот скрин:

riffin

Цитата:

Вот скрин:

значит так настроил.
ты б лучше "политику трафика" выложил и ipconfig /all с машины керио и любой юзерской.

Добавлено:
VOVANCHIK9
я тебе ответил на предыдущей странице
http://forum.ru-board.com/postings.cgi?action=edit&forum=8&topic=32663&postno=564
(правда kerio-rus.ru что то глючит

NegoroX
Ipconfig:
Настройка протокола IP для Windows



Имя компьютера . . . . . . . . . : PDC

Основной DNS-суффикс . . . . . . : Perm.vm

Тип узла. . . . . . . . . . . . . : неизвестный

IP-маршрутизация включена . . . . : да

WINS-прокси включен . . . . . . . : нет

Порядок просмотра суффиксов DNS . : Perm.vm



Local - Ethernet адаптер:



DNS-суффикс этого подключения . . :

Описание . . . . . . . . . . . . : Atheros AR8121/AR8113/AR8114 PCI-E Ethernet Controller

Физический адрес. . . . . . . . . : 00-24-8C-A8-AC-4F

DHCP включен. . . . . . . . . . . : нет

IP-адрес . . . . . . . . . . . . : 10.101.5.10

Маска подсети . . . . . . . . . . : 255.255.255.0

Основной шлюз . . . . . . . . . . :



Kerio Virtual Network - Ethernet адаптер:



DNS-суффикс этого подключения . . :

Описание . . . . . . . . . . . . : Kerio Virtual Network Adapter

Физический адрес. . . . . . . . . : 44-45-53-54-4F-53

DHCP включен. . . . . . . . . . . : да

Автонастройка включена . . . . . : да

IP-адрес . . . . . . . . . . . . : 10.253.246.1

Маска подсети . . . . . . . . . . : 255.255.255.0

Основной шлюз . . . . . . . . . . :

DHCP-сервер . . . . . . . . . . . : 10.253.246.2

NetBIOS через TCP/IP. . . . . . . : отключен

Аренда получена . . . . . . . . . : 28 августа 2009 г. 7:20:16

Аренда истекает . . . . . . . . . : 29 августа 2009 г. 7:20:16



Inet - Ethernet адаптер:



DNS-суффикс этого подключения . . :

Описание . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet NIC

Физический адрес. . . . . . . . . : 00-19-CB-53-EB-57

DHCP включен. . . . . . . . . . . : нет

IP-адрес . . . . . . . . . . . . : 94.138.134.50

Маска подсети . . . . . . . . . . : 255.255.255.252

Основной шлюз . . . . . . . . . . : 94.138.134.49

DNS-серверы . . . . . . . . . . . : 194.88.14.4

194.88.14.134



TP:
http://pic.ipicture.ru/uploads/090828/g467aT4a2O.jpg

riffin
Картинку "интерфейсы" тоже выложи.
у тебя "Local - Ethernet адаптер" в доверенных?
ipconfig /all с любой машины из сетки.
(локалка 10.101.х.х , а что так не стандартно ? для локалки обычно 192.168.х.х

Интерфейсы:
http://pic.ipicture.ru/uploads/090828/UW0AFETW5R.jpg

В инет не может выйти даже с машины, на которой керио установлен.
Причем ВПН с другим керио работает без проблем.
Забиваться канал начинает когда пытаешься выйти через HTTP.
Пробовал на другой машине (чистая XP), все так же...
В другом городе с такими же настройками все работает.

riffin
открой закладку DNS в керио и поставь галку "вкл днс форвардер" и галку использовать указанные днсы впиши руками свои 194.88.14.4;194.88.14.134 перечисляй через точку с запятой.
сделай стор керио - старт.
в командной строке набери tracert www.ya.ru
(что за интерфейс "Tyumen" ?

NegoroX

Tyumen - VPN тунель с другим сервером.

Трассировка маршрута к ya.ru [213.180.204.8]
с максимальным числом прыжков 30:

1 1 ms <1 мс <1 мс 94.138.134.49
2 <1 мс <1 мс <1 мс core-gw.saturn-r.ru [194.88.14.230]
3 1 ms 1 ms <1 мс 77.236.64.17.impuls-perm.ru [77.236.64.17]
4 36 ms 60 ms 34 ms ix2-m9.yandex.net [193.232.244.93]
5 35 ms 36 ms 34 ms ya.ru [213.180.204.8]

riffin
как я понял трасировка нормально, а инета на машинах нет?
на клиентских машинах шлюзом IP машины с керио стоит?
и в свойствах обозревателя поставь на закладке подключения настройка ЛАН галку использовать прокси - впиши IP локального интерфеса машины с керио и порт 3128

NegoroX
шлюз прописан.
Через прокси тоже не идет.
В общем что выяснил:
Если отключить инспектор протокола HTTP

Инет работает, но при этом не идет веб логи и не работает политика HTTP.
В чем может быть дело?

riffin
пробуй не в сервисах отключить прот.инспектор, а в политиках трафика "локальный трафик"
Встань на строку правой кнопкой добавить колонки добавь прот. инспектор - поставь отключено
( строку "локальный трафик" передвинь в самый верх

используется kerio 6.6 для объединения 4 pppoe коннектов к провайдеру, пока провайдер давал 1 мегабит на внешку/10 на себя все было нормально.
Сейчас канал стал 4 на 100 при транспортном 100 - стал "захлебываться" в торрентах - загрузка процессора подскакивает до 100%, скорость падает до 32 килобит и медленно скорость восстанавливается, процессор "отпускает" и такая "пила" постоянно.

нет ни авторизации, ни правил кроме NAT (балансировка по соединениям), что еще можно облегчить ?

Добавлено:
новая версия под linux = kwf-installer_6.7.1-6210.iso поможет ?
(по ней вообще не видел обсуждения)
в ней можно привязать внутрь её linux-a multimac ?