» Kerio WinRoute Firewall (часть 5)

adjuster
Да, канал 1. Пока вроде со скрипом настроил. Помониторю недельку. Кстати тот факт что я в службе http отключил http инспектор не сильно повлияет на качество подсчета траффика? А то это важно потом сверять с выставляемыми счетами.
А то траффик 1 рупь/мегабайт. Грабеж!

Но если что откачусь тогда на 6,4,2.

McKlavishnikov
версия kwf 6.4.2 не поддерживает windows 7 в качестве хостовой ОС. Хз вообще как работать будет.

lypky

Цитата:

Кстати тот факт что я в службе http отключил http инспектор не сильно повлияет на качество подсчета траффика?

С этим все норм.

У меня такой трабл. Стоит галка "Всегда требовать аутентификацию польз. при доступе к вебстраницам" а редирект на страницу авторизации непроисходит.
это можно исправить каким-нибудь URL правилом?

1XTR
Для этого нужно правильно разрулить траффик полиси. Суть в том, что выходить в нет могут только аутонтефицированные пользователи. А если, к примеру, в качестве источника "Пользователи подсоединенные к интерфейсу..." То конечно будут миновать. Поищи в теме. Недавно вопрос поднимался.

Germanus

1XTR
Под Group1 или Group2 (как тебе нужно) поставь такое правило:

И ещё. Какие настройки у пользователей? Не привязаны к ИП? Если привязаны, то будут идти мимо авторизации. Если отвязываешь, то переадресовываются на страницу логина.
Кроме того, я не знаю (не уверен) как работает группа в "источнике". У меня пользователей не так, чтобы очень, поэтому забиты прямо в поле источника. Хотя, думаю, это не должно иметь значения в данном случае.

1XTR
Дело в том, что есть разница между аутентификаций при использовании HTTP прокси и при NAT.
Если используется HTTP прокся (в браузерах прописана), то не нужно создавать в ТП правило.

Если же в браузерах ничего не прописано, то нужно в ТП прописать правило для редиректа на страницу авторизации, а предыдущим правилом прописать выход в инет для авторизованных пользователей.

Germanus,adjuster, спасибо за помощь. Сегодня попробую с правилом таким.
У меня у некоторых пользователей есть привязка к IP, в основном у начальства.
Попробую сначала с группами в правилах, если будут проблемы то забью в источник пользователей, благо их не более 30.

1XTR

Цитата:

сначала с группами в правилах

Учти, что группы пользователей в ТП не работают (не доработки KWF) - нужно использовать группы IP адресов в ТП.

adjuster

Цитата:

группы пользователей в ТП не работают (не доработки KWF) - нужно использовать группы IP адресов в ТП.

вот походу из-за этого я уже неделю борюсь с kwf и все бестолку.
я настроил DHCP в kwf, сделал привязки IP по MACy для пользователей у которых авторизация будет автоматом по IP. А вот остальным придется логиниться в ручную.
Щас на работу пойду, проверю работоспособность, потом отпишусь.


-----------------------------------------------------------------------------------
Установил правила, настроил все, вроде работает как надо, каждого юзера пускает по нужному каналу как прописано в ТП (группы убрал, указал юзеров в источнике, позже как настрою DHCP в источнике пропишу IP адреса).
В таблице маршрутизации ничего не менял (где читал, что надо прописать стат.маршруты для каждого интерфейса).
Удостоверюсь что все нормально только с понедельника, когда все придут и полезут в инет. Буду мониторить по каким каналам ходят пользователи. Если все будет в шоколаде выложу все настройки на всеобщее обозрение, а то таких как я много и чтоб решить задачу пришлось столько форумов облазить за 2 недели. Но зато опыт приобрел.

Спасибо всем кто откликнулся!

Такой вопрос: ктонибудь пробовал ставить одновременно Керио винроут и траффик инспектор на одном сервере?
Вроде ставятся оба и прилично работают, вот в чем их несовместимость может проявляться?
Керио как фаервол нравится очень, но в нем не хватает контроля пользователей, для этого ставлю Траффик инспектора, в нем будет использоваться только шейпер, может биллинг.

konart2
работают на одном без проблем, у меня у одного клиента так и сделано

konart2
Работают они нормально на одной машине.

Подскажите чайнику
В офисе есть комп с винроут 6.6.0, с тремя интерфейсами: инет через адсл модем (РРое),IP192.168.1.1(Интернет), на него из компа смотрит сетевуха,на ней NAT, c адресом 192.168.1.3(Интернет-LAN), шлюзом в ней прописан модем, вторая сетевуха в локалку 192.168.5.100 (LAN). Подключение ADSL было создано на компе. IP пользователей cтатические, DNS пустое. Всё работало прекрасно
Теперь ADSL модем заменили ADSL точкой доступа Wi-Fi с маршрутизатором ( Asus 604g), и по вайфаю для получения инета к ней подключили несколько ноутов с динамическими IP со своей сетью. Подключение ADSL сейчас стало создано внутри Асуса. Это работает, но как теперь скрестить старую сеть с асусом? Т.е. чтобы старая сеть функционировала также, как раньше? Что я сделал: один из сетевых выходов Асуса соединил с первой сетевухой(Интернет-LAN), IP адреса остались все те же, у винроута удалил ненужное теперь подключение ADSL, и переопределил подключение (Интернет-LAN) не как локальное подключение, а как подключение "интернет". Не работает.
Можно конечно было бы всю старую сеть подключить без винроута к Асусу, но так бы не хотелось

persivan
на KWF дать доступ в локалку - создать правило:
сурс список этих IP
дест Local
протокол ....
пермит
NAT на локальный интерфейс

И прописать маршрут в локалку с этих вай-фай компов.

adjuster, спабо за участие. Вы меня несколько не поняли...Ну да ладно, проблему уже разрешил

Пожалуйста не пинайте, все сделал по инструкции (вродебы), но нормально не работает.
Описание конфигурации:
Имеем сервер в двумя сетевыми картами (одна смотрин в локальную сеть Local, во вторую Internet подключен ADSL модем (провайдер УкрТелеком ОГО!, модем настроен в режиме роутер, IP адрес модема 192.168.1.1 )
1. сервер керио, сетевуха "внешняя" Internet
IP – 192.168.1.2
M - 255.255.255.0
DG - 192.168.1.1
DNS1 - 192.168.0.1 (сетевуха "внутренняя)
DNS2 – 213.179.249.131 провайдерский

2. сервер керио, сетевуха "внутренняя" Local
IP - 192.168.0.1
M - 255.255.255.0
DG - НЕТУ !!!!!!!!!!!!!!!!!!
DNS1 - 192.168.0.1
DNS2 - нету

3. клиентская машина
IP - 192.168.0.2
M - 255.255.255.0
DG - 192.168.0.1 (kerio)
DNS - 192.168.0.1 (kerio)
Сделал это:
Жмем Advanced. В закладке DNS убираем галочку на Register this connectionТs addresses in DNS, в закладке WINS убираем Enable LMHOSTS lookup и ставим Disable NetBIOS over TCP/IP. Также, галочек НЕ ДОЛЖНО БЫТЬ на Client for Microsoft Networks, Network Load Balancing, Fail and Printer Sharing Microsoft Networks.

Дальше, заходим в Панель управления, Cетевые подключения, в этом окне (окно проводника) меню Дополнительно -> Дополнительные параметры. Во вкладке "Адаптеры и привязки" передвигаем "Local Area Connection" ("Подключение по локальной сети") на самую верхнюю позицию.

Не знаю как сделать это В Winroute, Configuration -> DNS Forwarder ставим галку "Enable DNS Forwarding", указываем DNS-серверы провайдера.

У меня версия 6.7.0 patch1 build 6228, не могу в русском интерфейсе найти этого.

Правила ничего не запрещают, созданы встроенным мастером.
Симптомы:
На сервере все открывается нормально, на клиентских машинах страницы не открываются , явные проблемы с DNS.
Когда на клиентских машинах явно прописываю в качестве DNS dns провайдера – все работает, но это не то как должно быть.
Подскажите пожалуйста, что нужно подправить. Спасибо Большое за помощь.

Kanev75
2)
Цитата:

DNS1 - 192.168.0.1 (сетевуха "внутренняя)
DNS2 – 213.179.249.131 провайдерский

1)
Цитата:

DNS1 - 192.168.0.1
DNS2 - нету

честное слово всегда интересовал истинный смысл этой рекомендации, просто интересно обоснование, зачем?

Не знаю как сделать это В Winroute, Configuration -> DNS Forwarder ставим галку "Enable DNS Forwarding", указываем DNS-серверы провайдера.

У меня версия 6.7.0 patch1 build 6228, не могу в русском интерфейсе найти этого.

Kanev75
то не в KWF настраивать, а в DNS переадресации в настройках DNS сервера от Microsoft.



Цитата:

IP – 192.168.1.2
M - 255.255.255.0
DG - 192.168.1.2
DNS1 - 192.168.0.1 (сетевуха "внутренняя)
DNS2 – 213.179.249.131 провайдерский

тебя тут ничего не смущает?! DG наверное сменить надо?




Добавлено:
у тебя сеть с доменом али без? если с доменом, где расположен контроллер домена?

Цитата:

тебя тут ничего не смущает?! DG наверное сменить надо?

Простите ошибся в описании.
Реально так:
1. сервер керио, сетевуха "внешняя" Internet
IP – 192.168.1.2
M - 255.255.255.0
DG - 192.168.1.1
DNS1 - 192.168.0.1 (сетевуха "внутренняя)
DNS2 – 213.179.249.131 провайдерский


Цитата:

у тебя сеть с доменом али без? если с доменом, где расположен контроллер домена?

Сеть без домена, одноранговая.

Ну и что тогда мудришь?

внешний интерфейс:
IP – 192.168.1.2
M - 255.255.255.0
DG - 192.168.1.1
DNS1 - 192.168.0.1 (сетевуха "внутренняя) >>вместо этого вписываешь второй dns сервер прова
DNS2 – 213.179.249.131 провайдерский


внутренний интерфейс:
IP - 192.168.0.1
M - 255.255.255.0
DG - НЕТУ !!!!!!!!!!!!!!!!!!
DNS1 - нету
DNS2 - нету


в консоли администрирования: конфигурация\DNS\включить переадресацию DNS(отметь галку и всё)


Если всё же будет отваливаться служба переадресации, это ты поймёшь, когда временами будет пропадать тырнет, ну пропиши ДНС сервера провайдера в свойствах сетевых соединений хостов LAN.

Сколько у тебя компов в локалке?

Цитата:

Если всё же будет отваливаться служба переадресации, это ты поймёшь, когда временами будет пропадать тырнет, ну пропиши ДНС сервера провайдера в свойствах сетевых соединений хостов LAN.

так и сделал, прописал ДНС сервера провайдера в свойствах сетевых соединений хостов LAN, только это и помогло, но это как то не совсем красиво.

провайдер имеет привычку менять DNS


Цитата:

Сколько у тебя компов в локалке?

до 10

если 10, и если часто меняет есть два выхода:
1) dhcp ожно кериво можно какое-нибудь turbo dhcp как-то так кажется
2) всётаки настроить интерфейсы и переадресацию днс в керио как я написал, это штатная конфигурация и никаких проблем быть не должно. Если есть, значит всё таки где-то что-то не до конфигурил, если хошь пришли мне в личку winroute.cfg, я погляжу что тебе надо до настроить.

Tihon_one

спасибо за советы, попробую проверить.
наличие NOD 4 не может влиять?

папка с kerio внесена в исключения, IMON отключен.

Цитата:

1. сервер керио, сетевуха "внешняя" Internet
IP – 192.168.1.2
M - 255.255.255.0
DG - 192.168.1.1
DNS1 - 192.168.0.1 (сетевуха "внутренняя)
DNS2 – 213.179.249.131 провайдерский

2. сервер керио, сетевуха "внутренняя" Local
IP - 192.168.0.1
M - 255.255.255.0
DG - НЕТУ !!!!!!!!!!!!!!!!!!
DNS1 - 192.168.0.1
DNS2 - нету

3. клиентская машина
IP - 192.168.0.2
M - 255.255.255.0
DG - 192.168.0.1 (kerio)
DNS - 192.168.0.1 (kerio)

ой, хлопцы... шото вы тут мудрите ппц...

1. на кой ляд в интернет-интерфейсе в качестве основного ДНС указывать самого себя? (192.168.0.1)
- это может быть выгодно только в том случае, если на этом самом хосте (192.168.0.1) устанвлен ДНС сервер - за счет кеширования
- это может быть необходимо только в том случае, если хост (192.168.0.1) является контроллером домена - тогда тут по-любому должен быть ДНС сервер для разрешения имен внутри домена

2. АДСЛ модем в режиме роутера, пров любит менять ДНС сервера
- и в чем проблема? слабо верится, что в модеме ДНС форварда нету.
- настрой сетевуху Интернет интерфейса на ДНС сервер самого роутера 192.168.1.1
- и только в том случае, если в модеме нет ДНС форварда, пров таки действительно часто меняет ДНС сервера (в чём лично я ооочень сомневаюсь - т.к. знаю Укртелеком) что мешает-то поюзать открытые ДНС? (www.opendns.com)

3. указан ДНС сервер на лоальном интерфейсе
- это может быть необходимо только в том случае, если хост (192.168.0.1) является контроллером домена - тогда тут по-любому должен быть ДНС сервер для разрешения имен внутри домена (в твоем случае без АД тебе это НЕ НАДО!)

4. форвард ДНС в Керио
- Админ консоль - Конфигурация - ДНС - ставить галку Включить переадресацию ДНС


Как этот ДНС пашет?? Да просто! Керио просто обращается по указанным в настройках интерфейса адресам ДНС серверов, задает вопрос, получает ответ, кеширует и отдает спросившему клиенту.
А что у приведенном конфиге? Первичный ДНС - сам же Керио. И у кого, скажите на милость, Керио должен спросить о неизвесном адресе? У самого себя? долго будет спрашивать.... поймет что сам себе ответить не может и таки только потом спросит у альтернативного - провайдерского - ДНС сервера.

Клиентская машинка настроена верно.

Страницы не открываются на сервере и клиентах из-за неверной настройки ДНС

Kanev75
Если у тебя модем поднимает соединение PPPoE или в нем прописана статика, делаешь так!

внешний интерфейс:
IP – 192.168.1.2
M - 255.255.255.0
DG - 192.168.1.1
DNS1 - 192.168.1.1

внутренний интерфейс:
IP - 192.168.0.1
M - 255.255.255.0
DG -
DNS1 -
DNS2 -

У клиентов можешь писать руками или настрой все в DHCP сервере винроута, это удобнее!

IP - 192.168.0.2-254
M - 255.255.255.0
DG - 192.168.0.1
DNS1 - 192.168.0.1

На керио форвардинг так делай, текстовики не правь


Самый лучший вариант - сделать модем мостом и все настроить на шлюзе (Подключение к ДСЛ) Если что пиши в личку или асю!

Добавлено:
progmike

Цитата:

на кой ляд в интернет-интерфейсе в качестве основного ДНС указывать самого себя?

Потому что какой то идиот так написал в мане на керио-рус!

Tihon_one

Цитата:

честное слово всегда интересовал истинный смысл этой рекомендации, просто интересно обоснование, зачем?

Обычно такая баламуть относится к настройкам на серваке, где стоит DNS сервер + KWF.

Господа, не подскажите, что Kerio подразумевает в веб-статистике под словом "Другое" ?





Добавлено:
тьфу блин, походу это все остальные пользователи...