» Kerio WinRoute Firewall (часть 5)

shadow user777

Цитата:

Его ИП периодически меняется, хотя адрес остается одним и тем же - aa.no-ip.info

Ну так и сделать правило основываясь на dns имени, а не на IP.

Цитата:

Клиент игры коннектится если вносить в правила Керио ИП сервера игры, и прописать роут на машине юзера для этого ИП

А роут зачем прописывать на клиениской машине? Без этого не работает? Шлюз по-умолчанию на клиентском компе машина с керио?

niichavo
Без роута не работает. Игра вроде общается по УДП.
Даже если сделать для юзера правило *, то игра все равно не работает, нужно указать для неё конкретный ИП.
Именно в этом и проблема.
Так говоришь прописать само имя - aa.no-ip.info?

shadow user777

Цитата:

Без роута не работает

Странно. Не понимаю я зачем нужен роут...

Цитата:

Так говоришь прописать само имя - aa.no-ip.info

В "политиках трафика", в правиле, где есть NAT добавить нужный порт (если необходимо) и dns-имя сервера в пункте "назначение". Хотя, если правило NAT настроено как: юзвери интернет_интерфейс список_портов NAT, то и никакого адреса (ни IP, ни DNS) не надо. Тогда главное открыть нужный для игры порт.

Точно проверил что с обычным нодом и касперским отказывается работать напрочь. ПРосто пинги не идут то не делай. А серверный касперский.....то ли у меня руки кривые то ли он настолько убогий.

народ, последняя версия Visnetic у когонить работает с керио нормально? сколько не мучался, при попытке подключения в керио выдает ошибку

Цитата:

NegoroX

Спасибо за ответ, я так и думал но убедить тяжко, начальник сказал что гдето видел такое и всё теперь хоть кол на голове ему чеши .
Тогда у меня вопрос будет можно ли настроить билинг в керио по типу как у юзерджета. Сам я с керио мало работал, вполне подойдёт ссылка где можно про такое прочитать .
Заранее благодарен

pokerdrav

А ProxyInspector for WinRoute не подходит? Или нужен именно билинг?

Здравствуйте. Столкнулся с такой странностью. Имеется модем в бридж и керио подымает через заранее настроенное в винде соединение PPPoE. но что-то там у провайдера/или у меня обламывается иногда и вроде как при живом соединении пакеты не идут. В версии 6,5,0 была функция "Зависнуть" или как-то так. Сейчас в 6,6,0 она просто "разорвать" называется. Так вот при попытке это действии произвести виснет вся система... Если выключить автоподключение в керио и сделать "разорвать", то срабатывает... Но как-то напряжно все это. Кто сталкивался? может решили?

Здравствуйте. Возникла потребность...

Есть два провода (два тарифа от одного провайдера).
Необходимо, чтобы:
1. один провод работал только на отдачу по полной, а второй провод работал как на отдачу, так и на приём.
2. также надо на сервере настроить маршрутизацию для локальной сети (чтобы на локальных компьютерах был доступ к интеренту и локалке провайдера).

Возможно ли такое реализовать через Kerio? Если да, то насколько это трудно в наладке, чтобы работало без сбоев?

Могу пояснить такую нужду. У провайдера есть лимитные 100Мбитные тарифы, у которых лимит только на входящий трафик, поэтому хочу использовать такой тариф только на отдачу...

Заранее спасибо.

Цитата:

pokerdrav

А ProxyInspector for WinRoute не подходит? Или нужен именно билинг?

спасибо за ответ
но нужен именно билинг, с отключением юзера по окончанию его ресурсов в скаченном обьёме данных и тому подобное, с отоброжением всего что и кем и когда и сколько

Так вот, в свойствах пользователя выставляется квота на трафик в разных вариациях. А ProxyInspector for WinRoute покажет

Цитата:

с отоброжением всего что и кем и когда и сколько

pokerdrav

Цитата:

убедить тяжко, начальник сказал что гдето видел такое....вполне подойдёт ссылка где можно про такое прочитать

Да тут и без ссылок понятно две однотипные программы совместно функционировать не будут - с начальством тяжелее - я бы не думая поставил юзергейта функционал почти такой же как у керио - а шефу скажи что почитал о юзергейте, керио типа понял что функционал у программ одинаковый и решил ставить юзергейта - он поймет
(сколько машин в сетке ?

NegoroX

Цитата:

Да тут и без ссылок понятно две однотипные программы совместно функционировать не будут - с начальством тяжелее - я бы не думая поставил юзергейта функционал почти такой же как у керио - а шефу скажи что почитал о юзергейте, керио типа понял что функционал у программ одинаковый и решил ставить юзергейта - он поймет
(сколько машин в сетке ?

спасибо за ответы и советы

конкретно для этой конторы, то тут 5 машин но будет расширяться до 10-15 но это максимум, и неизвестно когда это будет

pokerdrav

Цитата:

Люди добрые помогите пожалуйста, в сети с АД стоит керио 6.1.4, начальство озадачило поставить ещё UserGate для билинга инета, пожайлуста дайте ссылку где про такой симбиоз можно почитать в плане установки и настройки, поиском пробовал пользоваться результатов не дало, а все пять разделов сил нет и времени прочитывать.
Заранее благодарен за ссылки и советы

на одной машине два низкоуровневых фаера врядли будут работать - да и возникает вопрос зачем? переходите тогда на ЮГ полностью если точный биллинг так важен. Керио умеет отрубать трафик и работать с квотами - но вот с точными и подробными отчетами у него отродясь проблемы это да. хотя проблему с отчетами прокси инспектор худо бедно решает хоть и не всегда точно.

z3r

Цитата:

Точно проверил что с обычным нодом и касперским отказывается работать напрочь. ПРосто пинги не идут то не делай. А серверный касперский.....то ли у меня руки кривые то ли он настолько убогий.

с каспером последним работало - тут просто надо ставить только файл антивир, и возможно антихакер и антишпион, в исключения добавлять керио как программу и всю ее требуху, и всю его папку - плюс не забыть отключить самозащиту и приментить реестр

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KL1]
"PatchOB"=dword:00000000

pokerdrav
Для такой сетки (5-15машин+1пров) разницы между керио, юзергейтом, лан2нет, трафикинспектором особой нет все со своими тараканами к какой привыкнешь та и лучшая
(если не ошибаюсь lan2net до 15 юзеров была бесплатна

Есть два офиса, соединенные между собой на 100Мбитах, в них по керио. Поднят между ними впн туннель, все работает. Так вот, скачка одного файла в один поток идет на скорости около 2-2,5 Мбайт (т.е. 16-25Мбит), что составляет всего 20-25% от всего канала. Запускаем с той же машины еще один файл копироватЬ, скорость становица 40-50 Мбит и т.д. При запуске 5 потоков (или 5 файлов одновременно, или на один файл несколько потоков каким нибудь флешгетом) скорость достигает максимума в 100Мбит. Никаких ограничений скорости нигде не стоит. Такая фигня наблюдается независимо от того, с какого компа и на какой копировать, между сетями естественно.
Вопрос, у кого есть туннель на керио - у вас также скорость рубится? Я пробовал включать отключать QoSы на интерфейсах с обоих сторон, не помогает.
Что сделать, чтобы полностью канал на один поток отдавался? Какие есть идеи?

здравствуйте. есть офис на 20 компов и стоит керио 6.5.1. и есть юзер, который все время что-то качает с инета всевозможными закачками (скачавание идет с 3-5 серверов одновременно). как можно ограничить трафик конкретно этому юзеру? в Bandwidth Limiter лимит ставлю 40к - не помогает - закачка у него лезет вплоть до 90к (максимум). помогите, пожалуйста- достал уже он, жизни не дает!

Vedmak2

где то когда то читал пропускная способнось : ISA - 90 Mb, Kerio - 70 Mb, UserGate, WinGate, Outpost - 60 Mb, прочие - не выше 50 Мб (не самые последние версии.
У тебя 100Мб весьма прилично.

gansyk
Вариантов немало:
1. Поставить квоту ему разумную (у себя именно так делаю). В зависимости от того чем он должен по работе заниматься и сколько, предположительно трафика ему нужно. К примеру по прикидкам ему нужно 20 мег в день. Столько и ставь. Далее пусть сам чешется как теперь их распределить. Хочет, пусть за час выкачает а потом чешет репу как работать. Хочет, пусть весь день экономит, а под конец доберет свое. В общем - полная демократия . А Если будет с утра палить весь трафик а потом жузджать, что, мол интернет отключили - нет возможности работать, то логи шефу на стол, с пометками, куда дел трафик.
2. Просто логи шефу на стол - пусть он разбирается с "умниками".
3. В Ограничение полосы пропускания, выставить: Пользователи превысившие квоту - ограничение загрузки и закачки по 1кб/с (к примеру). А юзеру, опять же квоту, только меньшую гораздо, чем в пункте 1. К примеру 5 мег. Превысит - будет ползти как черепаха далее. Но для HTMLя более чем достаточно.
4. Там же в Ограничение полосы пропускания, выставить Передачи большого объема - ограничение загрузки скажем 3кб/с, и отдачи 1кб/с. Щелкнуть по Дополнительно на вкладке Ограничения выставить Применить только к указанной группе адресов и выбрать группу (которую заранее создать) которая включает возможные IP пребывания нашего нерадивого оппонента. Там же при необходимости ограничить временными рамками, скажем, рабочими часами. Далее на вкладке Дополнительно задать лимиты. К примеру: Если передается больше чем 150 кб. Без перехода в режим ожидания как минимум 30 сек.
5. Правилами HTTP/FTP позакрывать доступ. Можно выборочно. А можно на все, а открыть только на нужные ресурсы (зависит от рода деятельности.

Можно ещё придумывать и придумывать. Комбинировать, к примеру. Это ж своего рода "холодная (тактическая) война"

Germanus
большое спасибо! будем експерементировать

Germanus

Цитата:

5. Правилами HTTP/FTP позакрывать доступ. Можно выборочно. А можно на все, а открыть только на нужные ресурсы (зависит от рода деятельности.

Обычно не срабатывает юзер находит "весомую" причину, что ему нужен именно "тот сайт" который закрываешь - если наглеет предупредить - не поймет пусть начальство решает надо это качание фирме или нет.

Цитата:

Точно проверил что с обычным нодом и касперским отказывается работать напрочь. ПРосто пинги не идут то не делай. А серверный касперский.....то ли у меня руки кривые то ли он настолько убогий.

А не пробовал в "обычном ноде" Internet monitor вырубать? Нод (с отключенным IMON) вполне прилично работает с Керио.

Добавлено:

Цитата:

Люди добрые помогите пожалуйста, в сети с АД стоит керио 6.1.4, начальство озадачило поставить ещё UserGate для билинга инета, пожайлуста дайте ссылку где про такой симбиоз можно почитать в плане установки и настройки, поиском пробовал пользоваться результатов не дало, а все пять разделов сил нет и времени прочитывать.
Заранее благодарен за ссылки и советы

Для формирования отчетов (кто сколько накачал, куда, когда ходил и много-много других позиций) использую Internet Access Monitor for Kerio. Минус в том, что продолжительное время обрабатываются логи и бесплатная версия не ставится на серверную ось. С другой стороны, гибкая настройка отчетов и специальная заточка под Керио перевешивают минусы.

есть керио винроут 6.6.0 с поднятым впн сервером в офисе(пасивный конец тунеля) и есть
винроут 6.6.0с поднятым впн сервером в офисе 2 (активный конец тунеля)
пользователи в офисе 1 ходят через сервер в офисе 2 в инет и скорость скачки одного файла у них 20-30 кб в секунду и выше не поднимается...(при этом если качать 10 файлов одновременно суммарная скорость скачивания поднимается до 200кило байт в секунду)
как сделать чтоб и один файл скачивался с максимальной возможной на впн канале скоростью...

еще вот что заметил
когда к моему серверу в офисе 2 подключаются впн клиенты то они качать могут один файл с скоростью до 100 килобайт в секунду (те максимально для них доступной)

на одном из форумов на это мне написали что это из за кривогокряка...а крячил я farby

Добавлено:
на сервере в офисе 2 те кто сидяят через его прокси на порту 3128. у них все ок...оникачают одиночные файлы на максимальной скорости...
а те кто без прокси у тех какойто невидимый лимит в 20-30 килобайт.сек на файл

как сделать блокировку по ключевым словам?
запрещенные слова забил, вес поставил
потом нужно сделать новое правило URL? там в закладке Правила содержимого
ставлю галку запретить страницы с запрещенными словами
на закладке Общие ставлю запретить
но так как стоит чекбокс URL начинается с *
то запрещает все не обращая внимания на запрещенные слова

как правильно сделать? или еще какие-то шаги нужны? чтобы не по адресу банил а у всех сайтов проверял вхождение ключевых слов

Цитата:

на закладке Общие ставлю запретить

здесь ставь РАЗРЕШИТЬ.

Кто-нибудь сталкивался с проблемой, когда при настроенной авторизации пользователей через HTTP, Керио (6.4.1) не выводит страницу авторизации до тех пор пока не начнешь ломится на адрес прокси где стоит керио?

t1amat
Вам нужно проверить ISS Orange web filter включен ли для начала ) (бывают проблемы с креком) и в правиле выбрать is rated by ISS.... там же еще можно настроить какие сайты блокировать, у меня лично режет ггнуху отлично )

А теперь мой вопрос !

Я уже по всякому пробовал, щас встал вопрос остро, поэтому немогу больше копаться, надо настроить быстрей )
1.Задача такая, знать трафик использованый по POP3 и SMTP для каждого пользователя, и чтоб почта работала всегда, потому как у всех стоят ограничение по мб.(клиенты на аутлуке, kerio 6.4.2)
2.Как добавить protocol inspector для определенного порта ? (те хочу считать траф с определенного порта)

dumpert
По первому вопросу в траффик полиси делаешь так:
правило нат: Авторизованные пользователи - Инет - Эни - Пермит - Нат
Правило выше должно быть по почте: локалка - инет - {смтп, поп, тсп 25, тсп 110} - пермит - нат
Теперь все пользователи в не зависимости от количества траффика на счету будут пользоваться почтой. Если траффик у пользователя кончился, то необходимо разлогиниться, чтобы снова пользоваться почтой.

По второму вопросу. Можно использовать Internet Access Monitor for Kerio. Тогда при формировании отчета ты можешь указать позицию подсчета траффика по определенному порту.

NegoroX
Пропускная способность софтовых прокси зависит только от мощности проца, т.к. именно он нагружается при обработке. У меня стоят мощные процы, поэтому все 100Мбит и работают.

Вопрос то не в этом был совсем, а в том, что на один поток выделается не более 20-25% процентов от всей полосы. Почему так, и как это исправить?

Vedmak2

Цитата:

Пропускная способность софтовых прокси зависит только от мощности проца

не гони - и от софта и сетевого оборудования многое зависит.