» Kerio WinRoute Firewall

Исключаю IP игрового сервака из квоты/статистики, но траффик все равно считается у пользователей. Версия 6.0.11. Может кто сталкивался с этим? Больше копать то не куда...
MoJo
Многие используют, все ок. Разруливается правилами в зависимости от типа подключения.

проблема свелась к следующему.
- полностью деинсталирую winroute 6.1.4. patch2
- полностью его инталирую, правила создаю визардом. можно сказать конфигурация по умолчанию.
- не работает http, ftp, pop3; работает https. это при включенном pi=default. при pi=none работает всё. в логах неработающие службы никак не отражаются.

вопрос: как это исправить ?
(ну мне собственно нужен только работающий с pi ftp нормальный)

почему-то не даёт скачивать файлы с ftp? по самому ходит нормально, а вот как захотел скачать, так фиг. Вроде раньше работало да и прописано в политеке, что можно по ftp лазить.

death9

а ты на машине с керио в браузере прописываешь строку типа 127.0.0.1:3128 или напрямую ломишься в инет?


2all:

В хелпе нашёл, что для того чтобы запустить Rules Configuration Wizard нужно нажать соответствующую кнопку. Не подскажите, где эта чёртова кнопка? Всё морду облазил - не нашёл. Kerio 6.1.4

ViKor

Цитата:

как правильно выдать статические маршруты по dhcp в kerio ?
нашел static route в настройках DHCP
но при этом получайю маску 255.255.255.255
а мне нужно 255.255.255.0
как сделать?

Вообщем код 33 это статический маршрут задаваемый на один определённый адрес, а тебе нужен код 249 - безклассовые статические маршруты.... но к сожалению я его не нашел в керио.

Vsevolod
Используй пассивный режим FTP для браузера или качалки.
MoRoZ
Traffic Policy-> справа в углу Wizard

Vsevolod
vikspb
ребят... телепаты - вот там - http://forum.ru-board.com/topic.cgi?forum=2&topic=2359&start=40#lt

а тут плиз скриншот трафик полиси в студию и хотя бы результат команды ipconfig с описанием какие интерфейсы куда глядят к чему подключены...

кстати - вот вы говорите - вижу как дропаються пакеты - где видите - кусок логов с дропами сложно вывести?

У меня вот такой вопрос. Заметил что не качаются у меня драйверы с www.hp.com. Это точно керио, так есть второй канал по адсл, не через керио и там всё работает. Может кто сталкивался? А так всё остальное работает, и по http и по FTP качает без проблем. Бред какой-то.

При просмотре логов видим вот что:

[Service] FTP [User] john [Connection] TCP 192.168.1.10:4535 -> 192.6.234.9:21 [Duration] 125 sec [Bytes] 741/1139/1880 [Packets] 12/18/30
[Service] FTP [User] john [Connection] TCP 192.168.1.10:4539 -> 192.6.234.9:43272 [Duration] 125 sec [Bytes] 168/88/256 [Packets] 4/2/6
[Service] FTP [User] john [Connection] TCP 192.168.1.10:4545 -> 192.6.234.9:44818 [Duration] 122 sec [Bytes] 168/88/256 [Packets] 4/2/6
[Service] FTP [User] john [Connection] TCP 192.168.1.10:4544 -> 192.6.234.9:21 [Duration] 125 sec [Bytes] 781/1238/2019 [Packets] 13/19/32
[Service] FTP [User] john [Connection] TCP 192.168.1.10:4548 -> 192.6.234.9:44169 [Duration] 123 sec [Bytes] 168/88/256 [Packets] 4/2/6
[Service] FTP [User] john [Connection] TCP 192.168.1.10:4546 -> 192.6.234.9:21 [Duration] 126 sec [Bytes] 781/1228/2009 [Packets] 13/19/32
[Service] FTP [User] john [Connection] TCP 192.168.1.10:4550 -> 192.6.234.9:40221 [Duration] 121 sec [Bytes] 168/88/256 [Packets] 4/2/6
[Service] HTTP [User] john [Connection] TCP 192.168.1.10:4541 -> 192.6.72.190:80 [Duration] 179 sec [Bytes] 1392/4999/6391 [Packets] 6/8/14

Коннектиться ещё на порты, как я понял пассивный FTP, самое интересное что стандартный то виндовый браузер и работает в пассивном режиме по умолчанию, но на остальных сайтах этого не замечено, всё работает как часы.


Добавлено:
death9

Цитата:

нет не логинюсь.....
и вторая машина в сети не проходит регу...просто по ай-пи смотрю.....
на другом роуте работало...версию не помню и все считал....но потом пришлось поставить другую версию и считать трафик на машине с керио перестал...
как вылечить не знаю....

Может стоит попробовать раздать им логины и автоматически логинить их, мож тогда будет нормально считать.

Evgeny_Sorokin
странная картина... возможно хп нужно нестандартные порты открыть... ил проксиинпектор попробовать отрубить...

алл
на суд общественности - выкладываюб свои трафик полиси...
еже ли что непонятно спрашивайте...
каждое правило - подчиняеться конкретной логике и их расположение тоже...
http://img65.imageshack.us/img65/3614/snap14ut.jpg

Добавлено:
death9

Цитата:

на другом роуте работало...версию не помню и все считал....но потом пришлось поставить другую версию и считать трафик на машине с керио перестал...

а галку случаем V Advanced Options - Quota/Statistics - Enable per user statistics и Enable per interface statistics

не пробовал ставить?

и еще если конфиг правил и сключил из обработки по ошибке не только локальный интерфейс но и тот что смотрит в инет - то стат. считаться не будет..

и еще если отключил протокол инспектор на основных протоколах - тот же отриц эффект

Hrist

Цитата:

странная картина... возможно хп нужно нестандартные порты открыть... ил проксиинпектор попробовать отрубить...

А у тебя то же самое ?

Цитата:

Цитата:адсл на отправку пакетов и спутник на прием?
возможно... сам не делал но знаю людей которые делали...


Да, это возможно. В настройках KWF нужно отключить anti-spoofing. При таком расскладе наиболее стабильно себя показал OpenVPN + нужно немного поколдовать с маршрутизацией.

А вот с этого момента можно поподробнее как и что настроить?

интересная вещь. У мя установлено 3 интерфейса: со спутника SS2, обычная сетевая в локаль и модем на запросы. При запуске визарда на построение правил на втором шаге, где спрашивается о способе подключения к инету возможно выбрать только "Ethernet, Dsl, cable modem or other", а остальные пункты задизаблены. Это нормально?
Ведь потом при вопросе, какой именно интерфейс смотрит в инет, он даёт мне выбрать только спутниковый да тот, что в локалку идёт. А самый опасный - модемный - игнорирует. Хм, вот ведь досадо то. Теперь сиди, ручками всё проковыривай

2 Hrist.
да обычные у меня правила. Мне удалось на другую машину поставить фарвол с первого раза с правилами по умолчанию. Такие же.

А на моём не работает без PI HTTP, FTP, POP3 кажется. И в версиях 6.1.4p2 и в 5.1.10 (!)

От чего это может быть ?

Включено два интерфеса

VMware Network Adapter VMnet1 - Ethernet адаптер:
DNS-суффикс этого подключения . . :
IP-адрес . . . . . . . . . . . . : 192.168.159.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
3com - Ethernet адаптер:
DNS-суффикс этого подключения . . :
IP-адрес . . . . . . . . . . . . : 10.4.4.72
Маска подсети . . . . . . . . . . : 255.255.0.0
Основной шлюз . . . . . . . . . . : 10.4.4.1

Без чего свежеустановленный файрвол не будет работать ? Аутентификация какая-то или что-то ?

vikspb

Цитата:

VMware Network Adapter VMnet1 - Ethernet адаптер:

С этого надо было начинать. Я б тебя всразу в ветку эмуляторов отправил без лишних разговоров. Тут и с реальными не разобрались ещё, а ты с VMware лезишь.

MoRoZ
это нормально - просто он дает настраивать то что видит - добавть еще сетевуху и обзови её МОДЕМ - потом запиши правила - поставиш модем обратно вернеш правила.
PS Бывают еще умнее прокси програмки которые например проксят только в разрешенный публичный диапазон 192.168.*.*, 10.*.*.* и т.д. и другие варианты просто не расматривают

как сделать, чтобы спокойно ходить на ftp, а то не пускает. ОТрубаю винроут и всё замечательно, врубаю и не даёт. Где смотреть?
В трафик политик разрешено ftp

Vsevolod

Это извечная проблема Kerio.
Для себя я сделал так:

FTP-мой IP-выход в инет-Any-Permit

при таком правиле мой комп заходит на FTP хот в Passive mode, хоть не в Passive mode

Добавлено:
MoRoZ

Цитата:

интересная вещь. У мя установлено 3 интерфейса: со спутника SS2, обычная сетевая в локаль и модем на запросы. При запуске визарда на построение правил на втором шаге, где спрашивается о способе подключения к инету возможно выбрать только "Ethernet, Dsl, cable modem or other", а остальные пункты задизаблены. Это нормально?
Ведь потом при вопросе, какой именно интерфейс смотрит в инет, он даёт мне выбрать только спутниковый да тот, что в локалку идёт. А самый опасный - модемный - игнорирует. Хм, вот ведь досадо то. Теперь сиди, ручками всё проковыривай

Опиши пожалста, как именно ты настраиваешь что бы запросы шли по одному интерфейсу, а ответы принимались по другому.

Помогите пожалуйста у нас локальная сеть разбросана на дом и имеет выход в инет через ADSl и kerio 6.1.3 так вроде все нормально но онлайновые игрушки не работают типа как MU и Lineage2 народ жалуется . спасибо

Цитата:

С этого надо было начинать. Я б тебя всразу в ветку эмуляторов отправил без лишних разговоров. Тут и с реальными не разобрались ещё, а ты с VMware лезишь.

Хорошо, пойду посмотрю. Может вернусь ))
Хотя это обычный интерфейс, такой же как и VPN, ADSL модем и прочие софтовые интерфейсы. Тем более не работает оно не из VMWare а просто никак не работат.
Послать меня можно туда, только если известны хоть какие-нибудь случаи конфликтов драйверов. Да и при чём тут PI.
p.s. В том же vmware тот же керио работает, хотя это тут и не причём...

DINAR

Эти игрушки скорее всего используют нестандартные порты. вот их и надо открыть. тогда все будет тип-топ.
А какие именно порты - читай FAQ от игр.

Цитата:

kerio 6.1.3 так вроде все нормально но онлайновые игрушки не работают типа как MU и Lineage2 народ жалуется

Lineage2 прекрасно работает. Для неё надо настроить выход по NAT на логин и игровые сервера. Порты 7777 и 2106.
Узнавай подробнее у админов этих серверов или их сайтах.

стоит ли разворачивать впн?

BlackFox
Если планируешь объеденить две сетки через инет, то да. Хотя я бы поставил для этих целей OpenVPN.

Товарищи, у меня такой вопросик. Что-то какие то странности возникают с авторизацией пользователей и вообще с пользователями когда я использую базу с АД из под W2003:
1) Если не прописать в настройках юзера IP то он вообще не определяеться и никакого доступа если в правилах фигуриует его имя ему не даеться.
2) А у одного юзера даже с такими настройками не работает а помогает вот что сначала в правилах пишешь к его имени еще и IP он подключаеться потом IP убираешь и он работает как в ничем не бывало и статистика и все начисляеться.

Растолкуйте а то что-то совсем запарился и понять не могу. У меня стоит взять пользователей из АД а на вкладке опции аунтификации стоит флажок автоматическое разьединение через 120 минутов .

SVR
Нужно чтобы пользователь сначала аутентифицировался, керио не пускает его в и-нет потому что незнает что это тот пользователь кому разрешен доступ. Для того чтобы знал ему соответственно нужно аутентифицироваться сначала, т.е. зайти на http://имя_сервера:4080/fw/login , а потом уже ломится на сайт или ещё куда, причём керио сам не переадресует на страницу аутентификации при такой схеме, что есть прискорбный факт!
Как сделать чтобы переадресовывал сам не пойму.

knackita

Цитата:

Для того чтобы знал ему соответственно нужно аутентифицироваться сначала, т.е. зайти на http://имя_сервера:4080/fw/login , а потом уже ломится на сайт или ещё куда, причём керио сам не переадресует на страницу аутентификации при такой схеме, что есть прискорбный факт!

У меня всё переадресовывает. Если юзер ломится в инет, то сначал выскакивает страница аутентификации керио, и там он вводит свои данные, причем не надо вручную указывать этот адрес http://имя_сервера:4080/fw/login

Шлюз по умолчанию какой у тебя стоит , на машину с керио ? ты по НАТу выходишь или через непрозрачный прокси ?

Evgeny_Sorokin,
Я думаю дело в правилах, как только я в правилах ставлю IP то он автоматически переадресовывает, а если ставлю допустим только группу из AD, то пока не аунтефицируешься ничего не произойдёт. И впринципе это логично, в пакете керио распознаёт IP, но группу AD в которую входит пользователь ессесно не может.
А вообще шлюз настроен ессесно на хост где керио, идём по нату.

Кому интересно как сделать автоматичесукю переадресацию на страницу аутентификации смотрите здесь:
Administration Console -> Help (Administrator's Guide) -> Contents -> Troubleshooting -> User accounts and groups in traffic rules -> Enabling automatic authentication.

Но ведь в керио есть опция брать аунтефикацию из АД. Я так понимаю что когда произойдет аунтификация в домене то автоматически произойдет и в керио, притом что керио стоит на контроллере домена.

Добавлено:
И если смотреть с практической точки зрения, пользователю то очень даже неохота вводить тучу паролей. А что бы все сразу и всерьез! Они вообще запутаються да и я то же.


Добавлено:
Ах да я выхожу по нат впринципе все пашет вот только загвоздочка с пользователями =(

Как таковой аутентификации при помощи AD нет. Просто есть сопоставление пользователя с IP (при автоматической аутентификации).

А чтобы не приходилось вводить пароль при аутентификации, то надо поставить галочку "Enable NT domain authentication for this domain" на вкладке "Active Directory" в свойствах пользователя, а в настройках IE добавить сервак, где стоит Kerio, в список "Trusted sites" и поставить опцию автоматически аутентифицировать пользователя при помощи текущих имени и пароля.