» Kerio WinRoute Firewall (часть 2)

ну укажи чтобы не с локальной сети а с firewall ... в чем трудности?


Source - Firewall
Destination - your IP
Service - ICQ
Translation - NAT - (а там укажи на какой интерфейс)

Достаточно понятно?

XDefender, вполне.
Я пробовал так, но ничего не получилось.

Hrist



Цитата:

dim0k


Цитата: Можно ли заставить KWF считать только тот траффик, который идет через прокси?

есть вариант на нат правилах отключить протокол инспектор - тогда и считать наверное не будет и просить авторизации... а то и вообще пустить по нату только машины которых считать не надо и в правилах разрешить им ходить без авторизации... а вообще - какова задача то? что именно на каких задачах и почему не нужно считать трафик? может можно решить задачу другим способом?

ребят по мультикасту то нет предложений?

У меня вопрос по спящему режиму. Раньше стояла версия 6.1.4.1084, комп нормально переходил в спящий режим. Сегодня поставил версию 6.2.1.1454, и винда мне заявила. что керио винроут препятствует переходу в спящий режим. Можно ли как-то эту проблему решить? А то без спящего режима туго.

Спасибо всем не ответившим Проблема была в VPN Support'е. Удалил ее и спящий режим снова стал возможен.

dim0k
А почему бы уважаемому сэру не использовать какой-нибудь анализатор логов? Например, Internet Access Monitor? Или просто считать по своим правилам с помощью T-Meter? Из-за квот?

Я, наверно, неправильно сформулировал вопрос. По большому счету сама цифра мне известна и не особо интересна. Проблема в том, что траффик считается общий по всем портам и если я ставлю лимит, скажем 100 МБ на пользователя, а он из них из инета вытянул всего 30, а остальное - бесплатный траффик, но он тоже сосчитался и пользователя отрубает, а доступ к бесплатной части д.б. постоянный.
Я не знаю внешних программ (анализаторов логов) чтобы они умели блокировать пользователя в реальном времени при превышении квот.

dim0k, а предложение уважаемого Hrist'a не пробовал реализовать? Оно как раз и должно решить твою проблему.
А попробуй создать правило, где в направлении будут интересующие адреса/протоколы, и отключи для него протокол-интспектор, поместить его естесно надо выше общего правила, пускающего в инет.

Что значит:


Цитата:

есть вариант на нат правилах отключить протокол инспектор - тогда и считать наверное не будет и просить авторизации...

Я не понимаю как это сделать. Можно по подробнее. И к чему это приведет?

А насчет:

Цитата:

а то и вообще пустить по нату только машины которых считать не надо и в правилах разрешить им ходить без авторизации...

Не получиться надо считать все машины, вот только трафик надо не весь считать.

Я так понимаю, что проблему с LowID никто не решил или не решал ?
Попробовал даже решить таким образом в правилах :

Адрес_машины-Internet-All_TCP_Ports-Permit-NAT
Internet-Адрес_машины-All_TCP_Ports-Permit-NAT

Все равно получается LowID.
Какие еще могут быть пути решения ?

Спасибо.

P.S. В принципе и Torrent и eMule работают, но КАК получить не LowID ?

Chimney
Давай чуть конкретней. Если нужен HighID на машине, которая стоит за NAT'ом KWF'a и при этом у машины с KWF'ом есть реальный, то тогда так.
Source: Interface connected to: <твое соединения с Интернет>
Destination: Firewall Host
Action: Permit
Service: Port: <тот порт, который ты прописал н в eMule на клиентской машине, которая стоит за KWF>
Translation:
Source NAT: No Translation
Destination NAT: Translate to: <IP машины, которая стоит за KWF>

Объясняю по-русски.
Ты в eMule указываешь номер того порта, на который к тебе должны коннектиться клиенты. Этот номер передается на сервер eMule. Сервер eMule сразу же проверяет возможность коннекта на этот порт. Естесственно, он пытается приконнектиться на этот порт не к машине с eMule, а к машине с KWF - ведь на ней же реальный айпи. Машина с KWF видит входящий пакет на порт eMule и видит что он пришел из Интернета...она перенаправляет его на тот адрес, который ты указал в Translate to. Ну и сервер eMule уже как бы коннектится к машине с eMule, видит что коннект удался и выдает тебе HighID. После этого такие же юзеры как ты, а верней их eMule'ы будут коннектиться к твоей тачке.

Получается, что если тебе надо сделать HighID на нескольких машинах в сетке, то на всех них надо указать разные порты и для всех них надо сделать разные правила. Ведь в каждом правиле будет свой порт и свой IP на который надо будет перенаправить пакет.

Не забудь что если на машинах с eMule есть брандмауэры, то в них надо открыть соответствующие порты (те самые из eMule).

Вроде все
У меня так работает!

Добавлено:
Если что - стучи в ICQ.

Добрые люди, объясните пожалуйста на пальцах, что нужно подковырять, чтобы при запросе веб страницы неавторизованным пользователем его автоматически перекидовало на страницу авторизации KWF. Т.е. чтобы страница аутентификации Керио вываливалась автоматом, а не запускалась скомандной строки браузера командой типа _https://office.com:4081/fw/login.

ICY_fire Я же расписал как решить эту проблему! Смотри пост правило WebAvtorizacia выбрасывает юзера автоматом на страницу регистрации, но NAT на IP локалки не даёт пользователям не прописаным в верхнем правиле NAT разгуливать по HTTP. В чём непонятка то?

motor2hg
не фига не получается по описанному тобой мануалу сделать... на страницу авторизации напр., не перенаправляет. Это так работает?: пока юзер неавторизован, то на него действует пр-ло Web Avtorizacia, он перенаправляется на страницу авторизации(только не пойму как), когда он авт-ся, то уже дей-т пр-ло NAT и юзеры гуляют по инету и т.п.? И в настройках Authentication options у тебя что стоит?

Цитата:

1. п2п элиминатор не включен? протокол инспектор пробовали отключать на правиле п2п?
2) выводили из анализа файрвола - локальный интерфейс?

в конфиге прописать для локальных интерфейсов
<variable name="FirewallExclude">1</variable>
исчезают тормоза и загрузка процессора при интенсивной работе локальной сети

1p2p отключен, что есть протокол инспектор?

2 ну отключил анализ локального интерфейса, проблема осталась, при созданном в сети сервере cs ни одна машина его не видит (если делать поиск средсвами контр страйка) если делать коннект по ip всё фурычит.
кстати если отключит анализ локальных интерфейсов это случайно не будет означать что тот локальный интерфейс через который мы коннктимся к ВПН серверу будет виден в сети с открытыми портами?

Весь инет перерыл в поисках способа лечения, но кроме схожих вопросов ничего не нашёл. Итак.

Имеем:
- w2k
- WinRoute 6.1.4
- Dial-Up ADSL
- dial-in соединение

Я пытаюсь расшарить инет для Dial-In, чтобы знакомый мог через меня выходить в инет. Вроде кое-как настроил и он выходит в инет через меня... но иногда. Получается это у него один раз, во второй раз уже в инет не выйти (от меня к нему уходит 291 байт и на все его пинги и запросы из браузера, полная тишина), но если перезагрузить мою машину, то опять один сеанс инета будет. Если остановить WinRoute, то он сможет меня пинговать.

Подскажите, в чём может быть дело? Может Dial-In + WinRoute как-то хитро настраиваются?

Никак не могу понять: является ли прокси-траффик в KWF НАТ-траффиком?

morjov
Win2000 Pro или Serv?
Попробуйте после его отключения перезапустить у себя службу "Маршрутизация и удаленный доступ...". У меня такое бывало что клиент не мог подключиться повтороно к WinXP Pro до тех пор, пока я не перезапущу эту службу.
А вообще - если у Вас Win 2000 Pro, то я очень рекоменду. воспользоваться VPN Server'ом встроенным в KWF, так как в Win 2000 Pro и в Win XP Pro Dial-In сервер работает ооочень глючно!

Venchik
А как быть если адрес динамический? Запускаю Емул на самом фаере, все равно Lowid

GOODmen
Динамический айпи на клиентской машине внутри сети?

Если запускаете eMule на самой машине с KWF, то должно быть правило:
SRC: Internet
DST: KWF
Service: <eMule Port>
Action: Permit
Translation: No

Цитата:

Динамический айпи

на самом прокси, менялся один раз за полтора года
правило (any)-(any)-(edonkey+4242-4246)-permit, куда уж больше?

Venchik
в том-то и дело, что win2000 PRO
А не ткнёшь в мануал как настроить VPN на керио и на клиентской машине?

morjov
Да там все элементарно вроде...попробуй...если что не получится - маякуй...но мануалы тоже есть, навярняка.

Доброго времени суток. Решил поставить себе Керио из-за его возможностей работы с впн, но столкнулся с траблой при установке: во время инсталла все ок, после перезагрузки не доходя до приветствия в винХР идет ребут...запустил от последней удачной конфигурации всеравно не стартует - [18/Jul/2006 22:17:45] (5009) Initialization error: Driver is not properly installed.
Кто-нибудь спотыкался об такие грабли?

Знатоки, подскажите, есть комп в домосетке, инет раздается через ВПН и есть ноут с вайфай. Хочется: иметь одновременно инет и на компе и на ноуте, чтобы при этом лан тоже работал.
Рассматриваю следующие варианты:
1. D-Link типа 824, чтобы держал ВПН туннель, но что-то дороговато.
2. Собственно фиговина в комп для вайфай (усб) + Керио.
Будет ли второй случай работать?

ICY_fire

Обрати внимание на эти скриншоты.




то есть любой пользователь открывший свой браузер и набравший в строке адрес любого сайта автоматически перемещается на страницу авторизации Kerio (только если этот пользователь ещё не авторизирован)!
Смотри третее правило с верху на рисунке:



но дальше авторизации он не пойдёт- почему?
Да потому что я прописал NAT на карту которая смотрит в локалку, в локалке никакого интернета нет!!! Поэтому, кто залогинился и не имеет разрешения по второму сверху правилу идут на хутор бабочек ловить. Им не видать инета как собственных ушей исключения возможны допустим alex твой хочет почту так разреши ему или группе таких как алекс POP и SMTP но не более!

Веб авторизация обязательно!!
Последовательность правил в трафик полиси играют роль!!

Есть много других способов решения твоей проблемы, надо смотреть внимательно логи и анализировать. Твой alex гуляет по HTTP, потому как, одно из правил в твоём трафик полиси разрешают ему это делать!

Venchik
чё-то покрутил я этот VPN, но так ничего и не получилось. Когда клиент ко мне коннектится, то ему выкидывают ошибку 678 (Удалённый компьютер не отвечает.). Что мне надо на Kerio настроить, чтоб VPN vpn'ил?

morjov
Вы что пытались стандартным впн клиентом к впну керио прилепиться?
Они несовместимы, у керио свой впн клиентег есть.

AnLe
да, пытался виндами прицепится к керио. Я думал VPN-клиент это опция по желанию...

Блин, так как же заживить этот ВПН?