» Kerio WinRoute Firewall

ragrik22
я честно говоря не представляю как у тя работает нижнее правило - Users NAT если NAT на этом правиле не включен....

получается что юзверя могут ходить только или Firewall Traffic или по NAT, т.к. NAT у тя группа Admins - остаеться один вариант -что юзвери ходят у тя через прокси а не через NAT....

вообще не знаю зачем заморачиваться с группами?
а не проще ли включить Web Interface
и поставиить галку - Users - Auhentication Option - Always require users....
и тогда всех юзверей (и через NAT и через proxy) будет принудительно требовать ввести логин и парол...

кстати подозреваю что у тебя в ИЕ забит ип и порт твоей машины и все ходять не через нат а через прокси....

Добавлено:
ragrik22
кстати есть подроные с скриншотами инструкции на _http://kerio-rus.narod.ru/

ragrik22
хм...ну мне сложно конечно советовать, ненужно пока было такого делать...ну да одна голова хорошо, а 1.5 лучше..)))
по моему правило Users Nat у тя вааще не рабочее, ты же ему даже трансляцию NAT не включил...несмотря на это в инет все ходят...значит ходят по какому-то другому правилу...Попробуй, включи в нем NAT и подыми повыше, можно даж над NAT (где у тя админам все разрешено). Или сразу под ним. Посмотрим, изменится что, или нет...

--------------------------------------------------------------------------------
Нужно создавать аккаунт в kwf 6.0.8 из скрипта, с заданными параметрами: имя, пароль, e-mail, ограничение на общий трафик. По достижении ограничения трафика дизактивировать аккаунт. Причем трафик ограничивать надо на месяц, то есть пример:
1Гб на месяц, пример с 21 февраля по 21 марта. А то стандартно есть ограничения только трафика по месяцам или дням. А общего нет. Можно ли как то это организовать, есть ли com интерфейс для вызова этих функций?

ragrik22
У тебя в четвёртом правиле прописано, что Локалка на Файр может всё. Затем, в пятом правиле прописано Файр на Инет может всё. Вот и ходят, все кому не лень
Через прокси, естественно, а не через NAT ...

Так как правильно сконфигурить?

Сейчас у меня WinRoute настроен так, что все пользователи и компьютеры ходят в Интерент через proxy. А как сделать так, чтобы на определенный адрес (например, www.mirsant.ru) все ходили через NAT? Какое правило надо создать?

ragrik22
Розовенькое правило передвинь на 4ю позицию и включи на нём NAT, а после него создай следующее правило: Source - Локалка, Destination - Файр, Service - httpProxy(3128), Action - deny.

Кстати еще вопрос поставили керио на сервер в смежной сети и писец( Даже не пингуется а раньше там и фтп сервер был и все дела. Роутинг порезал видимо керио

ragrik22
ты туда ходил? - _http://kerio-rus.narod.ru/
там все понятно расписано...

а смежную сеть зарезало скорее всего потому что разрещение для второй сетки не сделал....

и вообще телепаты в отпуске... описывай более конкретно настройки сети, топологию и прочее...

Цитата:

А как сделать так, чтобы на определенный адрес (например, www.mirsant.ru) все ходили через NAT?

Мне кажется, надо создать правило Source-Локалка, Destination-www.mirsant.ru, Service-http(80) или какой нужен порт, Action-естественно permit, в Translation включить NAT, и влупить это правило где-нибудь перед тем, которое позволяет твоим юзерам доступиться к Фаеру на порт 3128.
По идее, должно работать.

Ребят, такой вопрос... Захотел тут поубавить баннеров с помощью фильтра URL. Начал туда забивать самые гнилостные баннерные сети...да больно уж их много собак, и одними ключевыми словами не отделаешься... Есть в инете списки этих сетей для импортирования в персональные фаеры, для SQUID тоже попадались, а вот для керио как-то не особо... Мож кто знает, как этот процесс облегчить, иль поделится частью своего конфигурационного файла, где их уже много накопилось... Буду оч благодарен.

crapaud
если очень уж много забьешь - тормоза могут начаться

Есть два вопроса:
1) Как сохранить конфигурацию (настройки, правила) в версии 6.09. В версии 4.25 надо было сохранить 2 вестки реестра, а как это сделать в 6.09?

2) Никто не сталкивался с такой ситуацией. Есть комп с Windows 2000 server + Kerio WinRoute Firewall 6.09 + Kaspersky for File servers 5.0.40 + Admuncher + выделенка. Где-то неделю назад (до этого работало без проблем 1,5 месяца) начались проблемы: стал пропадать интернет. Т.е. сайты не грузятся до конца, а грузится только маленкая часть страницы без картинок + синяя строка над меню в Internet Explorer. Остановка и выход из Kerio WinRoute Firewall решает проблему, но всегда, т.е. такая же ситуация и без Kerio WinRoute Firewall. Tracert до сайтов проходит, а вот с пингом ситация интересная. Сайты пингуются пакетами длиной только не более 8150. Если поставить 8151 то будет превышено время ожидания Вирусов на машине нет. Дрова к сетевым карточкам переставлял. Кто что думает? В какую сторону копать? Заранее спасибо за советы.

Цитата:

Как сохранить конфигурацию (настройки, правила) в версии 6.09.

http://support.kerio.com/?_a=knowledgebase&_j=questiondetails&_i=59

Как заставить WinRoute 6.09 делать авторизацию пользователей не через Web-интерфейс, а окном IE? У меня домен, пользователи берутся из Active Directory автоматом. Отключал галочку Enable HTTP Web Interface - не помогает.

Andy_Solo
Под окном ты понимаешь запрос типа введите имя и пароль? Но если ты поставил экспорт пользователей из Active Directory. Не проще ли будет сразу как они логинятся в домене, подключать их и в винроуте? Там для этого галочку нужно поставить. А насчёт окна, я видел эту опцию только в 5.х.х версиях вроде...

Yuushi
Просто пользователи работают не только на своем компьютере, но и на чужих. Сейчас у меня появляется веб-страница с именем и паролем, автоотключение через 10 минут. Но пользователи сменяются быстрее.

Andy_Solo
ПОХОЖЕ я понимаю чего ты хочешь (типа как оно было в версии 4.25) но похоже так не получиться....

Добавлено:
Andy_Solo
только веб интерфейс

Hrist
Так можно сделать. А у меня вот не получилось это сделать в 4.25

Andy_Solo
Я делал это на 6.09. Минимальное время, которое можно установить в программе - 1 минута, а если устанавливать через файл конфигурацию - то 1 секунда (Я ставил 5 секунд). Это ситуация обсуждалась на форуме Kerio. Как именно это сделать скажу позже, мне снова придется это настраивать, т.к. сносил из-за глюка 609 и временно перешел на ISA. Вопрос в другом: у тебя пользователи, когда уходят с компьютера "завершить сеанс" делают? Если нет и они поставят галочку сохранить пароль, то никакая авторизация не поможет: все будет относиться к предыдущему пользователю.

Mushroomer

Цитата:

Я делал это на 6.09. у тебя пользователи, когда уходят с компьютера "завершить сеанс" делают?

Так напиши же, как сделать авторизацию пользователей окном IE в 6.09. Мои пользователи не авершают сеанс. Но это их проблемы.

Подскажите!!! Как в KWF можно отключить proxy? При удалении галочки enable proxy-server инет по сетке отваливается. То же происходит при высталении direct access.

Asir
естественно что Инет отваливается..
если отключаеш прокси - то надо включать НАТ в правилах и компы все в сетке соответсвенно настраивать и указывая в свойствах тсп на рабочих станциях шлюзом твою машину с керио....

Уважаемые, есть одна такая проблемка.
Есть терминальный сервер в далеке.
Он работает и доступен отовсюды. Проверено методом тыка.
есть сеть от кедова хотелось бы на этот Терминал сервер заходить.
На выходе из этой сетки стоит winroute 6.0.9.
Получается вот такая загогулина:
с гейта на этот сервер подключается на раз, а вот со внутренних компов никак.
в Traffic Policy пользователям сетки можно все:
первым же правилом стоит вот что:
Source -> Local
Dest -> Any
Service -> Any
Action -> Permit
Trans -> NAT (Def outgoing interface)(та что вторая строчка)
Valid on-> Always
Как это побороть????

Asir
При удалении этой галочки, нужно чтобы на клиентах во всех программах стояло Direct Access и был указан шлюз (это IP твоего KWF). Шлюз указывается в свойствах сетевого подключения. Очень удобно этот и другие параметры задавать через DHCP
Ну, а на рвоте у тебя дожно быть правило из Локалки в Инет разрешить ВСЁ (или только то, что нужно) и при этом в столбике Translation должно быть указано - осуществлять Network Address Translation (NAT). Пробуй

Andy_Solo
Не получается у меня снова настроить авторизацию пользователей окном IE в 6.09. Т.е. я сделал все как и раньше делал, но она не работат. Окно авторизации появляется, но почему-то не подходят пароли пользователей из AD. Вот что я делал: остановил KFW, зашел в Winroute.cfg и изменил период неактивности на 5 секунд (в программе минимум 1 минута). за это отвечает строка <variable name="InactivityTimeout"> затем отредактировал правило NAT: Source: only Authenticated user Destination: Internet Interface и cделал (на всякий случай) это правило первым и поставил галочку Always require users to be authenticated then accessing web pages.

Помогите, если кто с этим встречелся:

соединение с провайдером осуществляется по VPN или PPPOE , на компе с WR две сетевухи, соотв. одна в инет по VPN или PPPOE ,другая в локалку. Надо что-бы пользователи выходили в инет без использования внутреннего прокси,но сего не происходит.
При соединении с провайдером по обычному модему все работает нормально(модем по понятным причинам не устраивает, просто тестировал)

Если есть идеи ,подскажите

mihaelizhe
ты доки то какие нить читал? типа _http://kerio-rus.narod.ru/
и что значит VPN или PPPOE? впн это одно , ппое это другое...

прокси можно отключить в настройках и убрать из ИЕ клиентских машин

а что бы они через НАТ работали надо в тсп.ип забить шлюзом машину с WR (ye и DNS ом резервным тоже может придеться указать)

а вообще мало данных, какие настройки сетевух? какая маршрутизация, какие правила http и так далее...

как говорит Налман - телепаты в отпуске...

Люди помогите!

Проблема: Winroute занимает 100% времени процессора при выключенном dial-up.

Подробнее: Сервис Winroute грузит процессор на 100% если соединение к интернету (dial-up) отключено. Если выключить Winroute, подключиться к интернету вручную, а затем запустить Winroute, то всё будет работать (до того момента пока не отвалится соединение). Если dial-up упадет, то Winroute опять заёмет 100% процессора (а при таком раскладе подключиться к интернету не поолучится, приходится опять останавливать Winroute и всё по-кругу).

OS: Windows XP SP2 + all updates + WinRoute 6.0.9 + Remote Admin 2.2 (больше ничего не установлено)
PC: iPentium 800MHz, 128Mb, 10Gb, 100Mbit, ISDN

Может кто сталкивался с такой проблемой??? Помогите, житья нет с таким раскладом

zaharmd
1. я бы ИМХО никогда не стал бы ставить керио на хп сп2

Добавлено:
иногда еще помогает переименовать коротко по ангицки сетевые интерфесы или поменять вообще сетевуху

Hrist

Цитата:

1. я бы ИМХО никогда не стал бы ставить керио на хп сп2

Можно узнать почему? Ведь всё работало где-то 1,5 месяца, а в одно утро - засада. На сервере ничего не менялось.


Цитата:

2. чем ломал керио?

KeyGen by SnowPanter.


Цитата:

иногда еще помогает переименовать коротко по ангицки сетевые интерфесы или поменять вообще сетевуху

Сетевуха встроенная. Называется "LAN".