» Kerio WinRoute Firewall (часть 5)

JohnSilver182
Цитата:

Firewall это ведь любой интерфес

Ага, любой - файрвола. У тебя же НТП не файрволе находится, а в инете. adjuster прав.

dimam84
Цитата:

ткните носом плз

На всякий случай : 2-й раздел, пункт 16.

Цитата:

Цитата:подскажи, правило с какими портами создать для того чтобы dyndns обновлялся?
заранее спб.

Достаточно 80 порта.

Цитата:

Ага, любой - файрвола. У тебя же НТП не файрволе находится, а в инете

Не , я согласен что так оно и работает . Но отдает как то маразмом !

JohnSilver182
Firewall в политиках трафика = хост на котором установлен KWR, соответственно для обращения к нему НЕ нужен НАТ. Если же клиенты пользуются реальным публичным NTP сервером, находящимся в WAN, то в политике в поле "назначение" должно быть значение интерфейса отправления (так как там находятся эти узлы согласно маршрутной таблице) или значение Любой (так как в таблице маршрутов в любом случае сказано куда отправлять пакеты).

Добавлено:
IvanovNick
а что за тип соединения у тебя?

Добавлено:
JohnSilver182

Цитата:

IvanovNick Если Kerio 6 , то 100% рассово неверная ОС .

Это кстати с чего ещё? У них, если мне не изменяет память, виндовая версия много раньше появилась.

Цитата:

Firewall в политиках трафика = хост на котором установлен KWR

ОО !! Такс !! А что такое "хост на котором установлен KWR" ??????
Я думал что Хост или Firewall (от англ. host — хозяин, принимающий гостей) — любое устройство.
И я думал что Firewall это и : LAN , WAN , WPN , DialIn и т.д

JohnSilver182
ууу как всё тяжко.
Хост = это действительно любой девайс. Но "хост на котором установлен KWR" сужает поиск (в идеале) до одного ПК, иными словами это тот компьютер на котором и стоит Kerio. Т.е. Firewall в политиках означает ссылка на сам Kerio, на самого себя. (это символический линк, облегчающий настройку)

ААА !! Понял
Firewall это тот пакет который родился на шлюзе непосредственно !!!
Не пришел из вне , а именно родился !!
Firewall надо читать не хост !!
Firewall надо читать : Пакет TCP\IP РОЖДЕННЫЙ хостом !!!

Даже не так

Пакет TCP\IP РОЖДЕННЫЙ хостом или предназначенный только ему !!

JohnSilver182

Цитата:

Sourse=FireWall Dest= Firewall Service=any
Это читать как Любой интерфейс на Любой интефейс ????

это правило не исключает это возможность, в конце концов читать мануал не вредно и головой думать тоже.

JohnSilver182
я всё больше боюсь за вашу сеть.

Добавлено:
JohnSilver182
WAN < - > Firewall <-> LAN
Такая схема ничего не говорит?

Цитата:

я всё больше боюсь за вашу сеть.

а я как боюсь

Цитата:

WAN < - > Firewall <-> LAN
Такая схема ничего не говорит?

WAN общается с LAN только посредством Kerio

P.S. Вобще я спрашивал сейчас у знакомого одмина . После объяснения понял я, потом понял И ОН
P.S.S. Изменения правил на удаленном роутере к большой дороге .

ПОМОГИТЕ:
===
1. Создаю пользователя "Колорист" с ip 192.168.2.26
2. При создании отмечаю его неактивным
3. После этого Колорист в интернет выйти конечно не может, НО в "Активных пользователях" он есть с пустым "Временем регистрации" и с пустым "Методом аутентификации".
ПРОБЛЕМА в том, что колорист забирает на себя одну лицензию своим присутствием в "Активных пользователях" и другой комп изза этого не может попасть в интернет.
Я даже пробовал удалять пользователя "Королист", но в активных пользователях все равно находится его ip-адрес.
===
И второй вопрос: керио выдает лицензии не динамически а на первых залогиневшихся? Ато у меня утром бухи проверят погоду и керио потом их весь день видит в "Активных"

leomaks
тут вопрос в системе подсчёта лицензий, они учитываются не по пользователям, а по ip адресам, пакеты от которых приходят на kwf и передаются по его основному маршруту через шлюз по умолчанию, т.е. привязав учётку к ip адресу, и отключив её, вы никак не исключили возможность прохождения данного трафика. Следовательно, либо блочим через политики трафика, жёстко drop, либо думает как эти пакетики убрать из сети, т.е. убираем шлюз в настройках tcp\ip клиенского пк, либо выключаем комп и через 15 минут этот ip пропадает из списка занимаемых лицензий(активных хостов).

по второму вопросу, да выдача лицензий идёт соревновательным способом, кто первый тот в интернете.

Цитата:

либо блочим через политики трафика, жёстко drop, либо думает как эти пакетики убрать из сети

спасибо. попробую.
Может еще подскажите какие порты (назначение) блокировать шоб керио не видел колориста в активных, но колорист мог видеть комп с керио по локалке?

leomaks
никак, смотрите какие пакеты уходят во внешнюю сеть через kwf и режьте их, а лучше резать их в корне, т.е. на машине от куда они исходят, потому как наиболее верное лечение, это лечение причин а не симптомов.

Цитата:

потому как наиболее верное лечение, это лечение причин а не симптомов.

Tihon_one
+1!!!

Цитата:

dimam84
Цитата:ткните носом плз


На всякий случай : 2-й раздел, пункт 16.

ну а если серьезно? для вин7 х32 "ukaip-2.2-final-vityan" после создания лицухи пишет "не может загрузить новый файл лицензии.."

Вам намекнули что лекарства к программе ищут в разделе Варезник этого же форума - ссылка в шапке темы под колоритным СИНИМ текстом - Смежная тема в Варезнике.
Вдумчиво и внимательно читайте правила форума.

Есть Win2k3 + WKF 6.4.2 + IpSec (средствами win2k3), в ТП прописаны правила для служб IpSec и IKE - все работает отлично.

Вот скрин настроек удаленного маршрутизатора:


ТП:


Соединение:

о - это source port

Нужно обновить WKF до свежей версии (6.7.1) с целью подключения резервного канала интернет и распределения нагрузки.

Обновляюсь, в соединениях вроде показывает что правила VPN отрабатывают (есть прием и передача трафика), но удаленные машины не пингуются, нельзя к ним подключиться удаленно.

Не могу понять в чем дело.

sergikhack
tracert ip.удалённой машины с сервера.
И на всякий отключи инспектор протокола для этого правила. Логи покажи. И другие правила не помешало бы.Пароли и реальные айпишники можешь не показывать они ни к чему.

Serg0FFan
Да всё по умолчанию.

Сервер VPN:
VPN-сеть: 172.20.1.0
Маска: 255.255.255.0
Остальное по умолчанию назначается автоматом kerio.

Юзер VPN:
Собственная конфигурация, имя, пароль.
Группы нет, права админа, квоты нет, разрешения все включены,
Назначить VPN-клиенту статический IP 172.20.1.2

Правило:
Local Traffic VPN 172.16.1.1-172.16.1.2<->Firewall, любой, разрешить, инспектор выключен.
Service Kerio VPN Интернет интерфес-Firewall, Kerio VPN, разрешить.

Ам... дико извеняюсь если повторюсь.... поставил Kerio WinRoute Firewall 6.7.1 на 2003 server.... как его крякнуть.... в шапке темы смотрел под эту версию лекарства не могу наити....

cuci21
дуй в варезник.
Туда.

Ай сори вроде нашол но еще вопросик.. скачал это:

Universal Kerio And IceWarp Patch 2.0 FiNAL HAPPY NEW YEAR EDiTiON-ViTYAN
Пасс:Стандартный с дефисом

А какой пас такой стандартный....

Добавлено:
Мужики подскажите что за пас????

cuci21
дуй в варезник.
Туда
))

есть два инет провайдера

1. выдает скорость 100МВ/сек по стране и 1МВ/сек остальной мир
2. выдает скорость 10МВ/сек по стране и 10МВ/сек остальной мир

можно ли в керио настройть так чтобы определялся трафик, и по стране использовался лишь первый вариант а по внешке только второй ?

sergiu2005
можно.
Указыешь в правиле NAT в дестинейшене INTERNET группу.
Прописываешь маршруты до нужных IP в нужные интерфейсы (по стране через определенный WAN)
и все.

Всем доброго времени суток

Подключили в офис второго провайдера!
На втором провайдере инет с ограниченным трафиком но с высокой скоростью!

Стоит керио 6.5.1, авторизация через ип адрес.
Сейчас весь трафик бежит через первый пров.. Можно ли создать правило при котором я некоторых пользователей направляю на второго провайдера?
если можно то как?

правило должно выгледеть примерно так ?

I. соурс. LAN
дест. 1пров 2пров

II. соурс. 1пров
дест. ip range (ip blocks по стране) ?

xstaford

Цитата:

Можно ли создать правило при котором я некоторых пользователей направляю на второго провайдера?
если можно то как?

Конечно можно - создаешь группу IP адресов и создаешь на базе этой группы ТП правило:
сурс Grope1
дест Интернет интерфейсы
NAt на Inet1 карту

Также можно разруливать и по протоколам.

sergiu2005

Цитата:

правило должно выгледеть примерно так ?

Правило должно выглядеть так, как я показал для xstaford, только у тебя ранжируется не локальные IP адреса, а внешние.
Базу внешних IP придется создавать самому, так как не известна страна обитания .

Цитата:

Конечно можно

Огромной спасибо!

но теперь столкнулся с другой проблемой!))) На первом провайдере скорость 512 но скорость скачки максимум была 45-50! думал на провайдера что не отдают максимальную скорость.

У второго провайдера скорость 1мбит, перенаправляю пользователя на второй пров. (проверяю доступом к настройкам модема от этого пользов.) но скорость не поднимается выше 50. скажу больше если пользователи (через первый пров) начинают качать то скорость скачки падает и у пользователя (который через 2-ой пров.)
без керио скорость нормальная!

Такое ощущение что керио для всех пользователей не пропускает скорость выше 50 кбайт.
"Ограничение полосы пропускания" есть, но не для пользователя на котором проверял да и пробывал полностью отключить результат тот же!

В чем может быть проблема?