Привет.Помогите плз. Не могу никак разобраться с программой WinRoute. У меня ситуация такая у меня выделенка от корбины. В одном компе стоит 2 сетевые карты а в другом 1. Там где две есть доступ в интернет через vpn. Так вот напишите плз как мне на другом компе сделать выход в инет через тот комп в котором две сетевые карты. Я сделал шнур кроспатч у меня компы соединены. Друг друга видят(пингуются). Но инет никак не могу подключить. Если можно поподробнее про прокси и где что запускать. Заранее спасибо.
» Настройка WinRoute 4.x
На том компе, где две сетевые карты и интернет ставишь WinRoute. Далее идешь в меню "Настройки->Настройки прокси->Общие настройки" ("Settings->Proxy Server->General"). Далее привожу настройки относительно английской версии.
Cтавишь галочку Proxy Server Enabled и если необходимо протоколирование трафика (для контроля и подсчета трафика) ставь галочку Log access to proxy server.
вкладка Caсhe - если необходимо кеширование страниц, то отмечаем Cashe Enabled.
вкладка Access - одно из средств ограничения доступа на конкретные сайты и запрет на скачивание определенных файлов. Можно использовать для вырезания баннеров.
вкладка Advanced - здесь необходимо прописать адрес прокси-сервера провайдера, если таковой имеется (напр., proxy.lucky.net, порт 3128)
Далее настраиваем второй комп. Для этого запоминаем IP адрес машинки с WinRoute (напр. 192.168.0.1) и на втором компе заходим в настройки подключения IE "Настройка сети". Снимаем галочку "Автоматическое определение настроек" и ставим галочку "Использовать прокси сервер", где прописываем адрес машины с Winroute, через которую планируем лазать в Инет (192.168.0.1) и порт 3128 (если все не меняли порт).
Cтавишь галочку Proxy Server Enabled и если необходимо протоколирование трафика (для контроля и подсчета трафика) ставь галочку Log access to proxy server.
вкладка Caсhe - если необходимо кеширование страниц, то отмечаем Cashe Enabled.
вкладка Access - одно из средств ограничения доступа на конкретные сайты и запрет на скачивание определенных файлов. Можно использовать для вырезания баннеров.
вкладка Advanced - здесь необходимо прописать адрес прокси-сервера провайдера, если таковой имеется (напр., proxy.lucky.net, порт 3128)
Далее настраиваем второй комп. Для этого запоминаем IP адрес машинки с WinRoute (напр. 192.168.0.1) и на втором компе заходим в настройки подключения IE "Настройка сети". Снимаем галочку "Автоматическое определение настроек" и ставим галочку "Использовать прокси сервер", где прописываем адрес машины с Winroute, через которую планируем лазать в Инет (192.168.0.1) и порт 3128 (если все не меняли порт).
Ктонибудь знает, как обстоит дело с легальностью использования "пиратского" WinRoute 4.x
-Если данная версия продукта, более не потдерживается и не продаётся?
-Если данная версия продукта, более не потдерживается и не продаётся?
Помогите настроить нат , инет получаю через интерфейс 192.168.0.1 ,интерфейс в локальную сеть 10.0.0.1 (шлюз)
помогите настроить Nat через WinRoute 4.* для диапазона 10.*.*.*
помогите настроить Nat через WinRoute 4.* для диапазона 10.*.*.*
Первоначальная настройка
После установки в меню «Пуск – Программы» появилась новая программная группа – WinRoute Pro. Запускаем WinRoute Engine Monitor. В трее появляется значок WinRoute. Если он с красным кирпичиком – сервис WinRoute остановлен. Запустить его можно кликнув по значку правой клавишей мыши и выбрав соответствующий пункт контекстного меню. Помимо этого в этом же меню можно настроить параметры запуска сервиса и его монитора (Preferences). Рекомендуется установить обе галочки («Auto run WinRoute Engine at startup» и «Launch WinRoute Engine Monitor at startup»). Первая запускает собственно сам WinRoute Pro, а вторая – значок в трее. Значок не является обязательным и служит для удобства. Если за этим компьютером работают другие пользователи – монитор лучше не запускать.
Теперь дважды кликаем на значке WinRoute в трее (либо запускаем WinRoute Administra-tion из новой программной группы в меню «Пуск»). В окне аутентификации нажимаем «ОК» - на этапе установки пароль администратора пустой. Сразу же меняем его на безопасный. Захо-дим в меню «Настройки – Учетные записи» (многие меню дублируются значками для быстрого входа – изучите их самостоятельно). Если имеется домен, можно импортировать имена и паро-ли пользователей с него. Для этого в открывшемся меню зайдите в закладку «Дополнительно» и укажите требуемый домен, после чего нажмите «Импорт сведений о пользователях». WinRoute предложит список пользователей, которых можно импортировать. Можно выделить всех или только необходимых при помощи левой клавиши мыши и удерживаемой клавиши Ctrl или Shift. Если Вам не удается получить список пользователей, попробуйте указать NETBIOS-имя домена. Например, вместо «domain.local» указать просто «domain». Пользователей также можно заводить вручную. Перейдя на закладку «Пользователи», дважды кликните по пользователю Admin. Задайте для него пароль, снимите галочку «Использовать средства аутентификации Windows NT» и убедитесь, что галочка «неограниченный доступ к средствам администрирования» установлена для этого пользователя. Рекомендуется хотя бы одному пользователю оставлять статичную, а не доменную авторизацию. Оставьте пользователя Admin, как резервного администратора на случай сбоя контроллера домена. Если вы не хотите производить авторизацию пользователей для доступа к ресурсам через прокси-сервер, а желаете предоставить доступ в интернет напрямую через NAT – пользователей заводить не нужно.
Следующее действие – настройка интерфейсов и NAT. Меню «Настройки – Таблица ин-терфейса». Рекомендую сразу соответственно переименовать интерфейсы для различия внеш-него и внутреннего. Сопоставьте их согласно IP-адресам, отображаемым справа. Например, «Internet» (или «Dial-Up» в случае использования телефонного подключения) и «LAN». В даль-нейшем так и будем называть эти интерфейсы. Это понадобится для удобства настройки пакет-ного фильтра. После переименования дважды щелкните на интерфейсе Internet (или Dial-Up) и проверьте, чтобы галочка «Преобразовывать IP-адреса этого интерфейса во всех случаях уста-новки связи» была установлена, а следующая – «Исключить этот компьютер из списка трансля-ции адресов» - снята. У внутреннего интерфейса обе галки должны быть сняты!
В случае, если вы пользуетесь Dial-Up соединением, необходимо еще настроить парамет-ры подключения. Делается это в меню «Настройки-Таблица интерфейсов-RAS-Удаленный сер-вер». Выбираем требуемое нам соединение или настраиваем новое, а также настраиваем «Под-ключение» и «Параметры». Расшифруем их сверху вниз:
Подключение:
Вручную – инициировать подключение может только администратор (или пользователь с соответствующими правами), через консоль управления.
По требованию – подключение будет инициировано только при попытке клиента обра-титься к внешнему ресурсу. Обычно используется с параметром «Отбой при простое» (см.ниже).
Постоянное – для постоянного подключения к интернет. Рекомендуется использовать с галкой «Восстанавливать связь при разрыве».
Иное – Удобно применять при пользовании «Бизнес-тарифами» (например, неограничен-ное подключение по рабочим дням в рабочее время). Тогда задав в «Настройки-Дополнительно-Временные интервалы» нужные временные отрезки можно гибко настроить свое соединение.
Параметры:
Отбой при простое – разрывает связь при отсутствии любых исходящих запросов по ис-течении заданного интервала.
Автодозвон – количество попыток автодозвона.
Восстанавливать связь при разрыве – автоматически дозванивается при случайной по-тере соединения.
Затем настраиваем ретранслятор DNS, если данный сервер не совпадает с DNS-сервером домена. Меню «Настройки – Ретранслятор DNS” Выставляем галку «Включить ретрансляцию DNS», а также «Перенаправлять запросы DNS на указанный(ые) сервер(а). Вводим DNS-сервер провайдера. Если их несколько - разделяем их точкой с запятой. Ставим галочку «Включить кэш для ускор. ответов на повторные запросы». Если данный сервер совпадает с DNS-сервером домена – «Выключить ретрансляцию DNS».
Proxy-Server
Теперь включаем Proxy-Server. Меню «Настройки – Прокси-сервер». Ставим галки «Включить прокси-сервер» и «Вести журнал доступа к прокси-серверу». Задаем порт 3128 (можно задавать произвольно). Далее рассматривается вариант с портом 3128.
Если необходимо кэшировать запросы к ресурсам (для ускорения доступа), то идем на за-кладку «Кэширование» и выставляем галку «Включить кэширование». Параметры для кэширо-вания задаем по образцу ниже. Расшифруем некоторые из них (остальные интуитивно понят-ны):
«Продолжить после прерывания» - лучше отключить. Задает докачку объектов в кэш, даже если пользователь закрыл окно или отменил закачку объекта. Создает большой лишний трафик. В большинстве случаев абсолютно не нужно.
«Прекратить после прерывания» - лучше включить. В отличии от предыдущей опции – прекращает закачку в кэш, если пользователь отменил процесс открытия.
«Кэшировать только FTP-каталог» - лучше отключить. Задает кэширование только списка файлов FTP.
«Время существ. по сигналу сервера» - полезная опция. Позволяет обновлять информа-цию определенных ресурсов в кэше, если ресурс поддерживает Time-To-Live. Лучше включить.
«Игнорировать кэш-контроль сервера» - лучше выключить. В противном случае ин-формация в кэше будет устаревать, и пользователи не будут видеть обновление ресурсов.
Также рекомендуется увеличить параметры кэша. Примерные параметры можно увидеть на скриншоте. Не стоит сильно увлекаться увеличением этих параметров для слабых систем.
Защита. Пакетный фильтр (FireWall)
Теперь о первичной защите. «Настройки – Дополнительно – Параметры защиты». Реко-мендую задать здесь следующие параметры:
«При поступлении эхо-запроса по протоколу ICMP – Игнорировать запрос»
«При поступлении пакета, не зарегистрированного в таблице преобразования адресов – Игнорировать пакет»
«Пакет, поступивший по протоколу UDP – Допускается к преобразованию адресов при условии, что IP-адрес отправителя зарегистрирован при отправке первого исходящего пакета за пределы ЛВС»
«Параметры регистрации при преобразовании адресов – Входящие TCP-пакеты, не зане-сенные в таблицу преобразования адресов»
– Регистрировать только пакеты с символом синхронизации
– Входящие UDP-пакеты, не занесенные в таблицу преобразования адресов.
– Записывать в файл защиты
– Регистрировать в окне защиты
Помните, что при такой настройке вы отключаете эхо-ответ диагностической утилите ping, поэтому никто, включая техслужбу провайдера, не сможет проверить вашу сеть сна-ружи. Для временного разрешения включите параметр «Отправлять Эхо-ответ по прото-колу ICMP», а также смените на пакетном фильтре для внешнего интерфейса (Internet) правило для входящих по протоколу ICMP на «Разрешить».
Все. Теперь настраиваем защиту от несанкционированного доступа извне – фаерволл (FireWall). В WinRoute это называется Пакетный фильтр. Меню «Настройки – Дополнительно – Фильтр пакетов» либо соответствующая кнопка на панели инструментов.
Отмечаем нужный интерфейс и нажимаем «Добавить». Выбираем протокол, а также на-страиваем разделы «Отправитель» и «Адресат». Помимо этого указываем, что необходимо де-лать с пакетами такого типа: Разрешить, Игнорировать или Запретить.
Вместо «Запретить» рекомендуется использование «Игнорировать». Отличие данных опций состоит в том, что «Запретить» посылает в ответ запрещающий пакет, а «Игнорировать» никаких действий не предпринимает (как будто по сканируемому адресу вообще отсутствует что-либо).
Итак, следующий раздел посвящен настройке пакетного фильтра. Рекомендуется исполь-зовать эту статью для настройки всего, КРОМЕ Пакетного фильтра. Его лучше настраивать по инструкции, ссылка на которую расположена в конце статьи.
Пакетный фильтр правильно настраивать по принципу "Что не разрешено, то запрещено". Сразу рекомендую зайти в меню «Настройки-Таблица интерфейса». Там вы увидите список установленных у вас интерфейсов. Очень внимательно переименуйте их (если вы не сделали этого на предыдущих шагах), например в Internet и LAN (Internet - сетевая карточка либо другой интерфейс, который смотрит наружу, а LAN - сетевая карточка, которая смотрит в локальную сеть). Сделав это один раз, вы не будете потом путаться в настройках, какой интерфейс внешний, а какой внутренний. Далее будут использоваться именно эти обозна-чения.
Заходим в меню «Настройки – Дополнительно – Фильтр пакетов». Там видим несколько сетевых интерфейсов (смотря сколько их у вас установлено). Обычная ситуация - их 2 (исполь-зуемых). Остальные - просто так (например, если у вас выделенный канал, то наружу смотрит сетевая карточка, но помимо этого есть модем на материнской плате, он там тоже отобразится как RAS). Там видим две закладки: Входящие и Исходящие.
Чтобы добавить правило на нужный интерфейс надо выделить его и нажать «Добавить». Появится такое окно:
ВНИМАНИЕ! Правила рассматриваются СВЕРХУ ВНИЗ! Поэтому правила, запрещаю-щие все, должны находиться в самом низу, а выше необходимо выставить разрешающие что-либо правила. Для этого предназначены стрелки слева от правил.
Чаще всего ошибки при настройке фильтра по данной инструкции заключаются как раз в не-правильном расположении фильтров - при "настройке с листа" по данной инструкции все за-прещающие правила окажутся на самом верху, что неправильно. Будьте внимательны! Новые создаваемые по нижеприведенной схеме правила необходимо сразу поднимать стрелками вверх. В тексте статьи указано ОКОНЧАТЕЛЬНОЕ их расположение в таблицах Пакетного фильтра.
На рисунке приведен пример настройки и расположения правил:
Настраиваем во всех случаях такие ЗАПРЕЩАЮЩИЕ ВСЕ ПРАВИЛА:
Входящие (Internet):
■ Игнорировать IP Любой адрес => Любой адрес - запрещает все входящие пакеты
Исходящие (Internet):
■ Игнорировать IP Любой адрес => Любой адрес - запрещает все входящие пакеты
Необходимо их выставить самыми последними в списке.
Все. Теперь мы точно знаем, что ни к нам, ни от нас, ни один пакет не пройдет.
Далее нам необходимо настроить разрешения.
Рассмотрим пример организации, в которой работают с HTTP через Proxy-сервер, функциони-рует ICQ, имеется корпоративный почтовый сервер, пользователи работают со своих рабочих мест напрямую с внешними почтовыми ящиками (POP3 или IMAP), могут отсылать почту не только через корпоративный SMTP, но и через внешние SMTP-серверы (многие бесплатные почтовые службы), а также имеют доступ к внешним FTP, NNTP (News) серверам.
Помимо этого, корпоративный почтовый сервер допускает подключения к нему снаружи по протоколу POP3, а также снаружи доступен внутренний Web-server по HTTP. Еще в органи-зации имеется свой внутренний FTP-сервер, к которому необходимо дать доступ снаружи.
Далее будет приведен пример настройки всех описанных возможностей с комментариями у каждого правила. Если ваша организация не использует что-либо из описанных воз-можностей - правила с соответствующими комментариями СОЗДАВАТЬ НЕ НАДО.
Клиенты локальной сети имеют IP-адреса 192.168.0.10-192.168.0.254 и входят в адресную группу Clients (можно задать в «Настройки-Дополнительно-Группы адресов»)
Proxy-IP - внутренний IP-адрес компьютера с WinRoute (LAN).
External-IP - IP-адрес внешнего интерфейса (Internet).
Итак:
Входящие/Internet (внешний интерфейс, входящие пакеты - см.выше):
■ Игнорировать TCP Любой адрес Любой порт -> Любой адрес Порт 3128 (Запрет использо-вать Proxy снаружи - укажите порт, на котором работает прокси-сервер. По умолчанию 3128)
■ Разрешить TCP Любой адрес Любой порт -> External-IP Порт 20,21 (внутренний FTP сна-ружи)
■ Разрешить TCP Любой адрес Любой порт -> External-IP Порт 80 (внутренний HTTP снару-жи)
■ Разрешить TCP Любой адрес Любой порт -> External-IP Порт 110 (внутренний POP3 снару-жи)
■ Разрешить TCP Любой адрес Любой порт -> External-IP Порт 143 (внутренний IMAP сна-ружи)
■ Разрешить UDP <DNS-сервер провайдера> Порт 53 -> External-IP Порт >1023 (DNS-ответы от провайдера)
■ Разрешить TCP Любой адрес Любой порт -> External-IP Порты В диапазоне 45000-65000 (выставить галку «Только установленные соединения) (ответы на TCP-IP запросы)
■ Разрешить TCP Любой адрес Порты В диапазоне (20-21) -> External-IP Порты В диапазоне 45000-65000 (ответы на активные соединения FTP)
+ описанное выше запрещающее правило
Входящие/LAN (внутренний интерфейс, входящие пакеты- см.выше):
В принципе, здесь правила необязательны. Можно добавлять, например, запрет на обращение к Proxy-серверу от определенных IP (например, с сервера с IP-адресом 192.168.0.1):
■ Игнорировать 192.168.0.1 Любой порт -> Proxy-IP Порт 3128
Исходящие/Internet (внешний интерфейс, исходящие пакеты - см.выше):
■ Разрешить TCP Corporate_Web_Server-IP Порт 80 -> Любой адрес Порт >1023 (ответы внутреннего Web-Server'а наружу)
■ Разрешить TCP Corporate_PO3_Server-IP Порт 110 -> Любой адрес Порт >1023 (ответы внутреннего почтового сервера по POP3 наружу)
■ Разрешить TCP Clients Любой порт -> Любой адрес Порт 20,21 (внешние FTP для клиентов)
■ Разрешить TCP Clients Любой порт -> Любой адрес Порт 25 (внешние SMTP для клиентов)
■ Разрешить TCP Clients Любой порт -> Любой адрес Порт 110 (внешние POP3 для клиентов)
■ Разрешить TCP Clients Любой порт -> Любой адрес Порт 143 (внешние IMAP для клиентов)
■ Разрешить TCP Clients Любой порт -> Любой адрес Порт 119 (внешние NEWS для клиен-тов)
■ Разрешить TCP Clients Любой порт -> Любой адрес Порт 5190 (ICQ для клиентов)
■ Разрешить TCP External-IP Любой порт -> Любой адрес Любой порт (выпускает сам шлюз наружу - необходимо практически во всех случаях)
■ Разрешить TCP Internal-IP Любой порт -> Любой адрес Любой порт (выпускает сам шлюз наружу - необходимо практически во всех случаях)
■ Разрешить UPD External-IP Порт>1023 -> <DNS-сервер провайдера> Порт 53 (DNS запро-сы провайдеру)
+ описанные выше запрещающие правила.
Настройка пакетного фильтра для Dial-Up c динамическим внешним адресом отличается от приведенного примера. При отсутствии постоянного IP теряют смысл правила, вклю-чающие External IP. Единственный выход - использовать весь диапазон адресов, выда-ваемых провайдером при подключении, тогда круг сузится. Для этого необходимо узнать в технической службе вашего провайдера этот диапазон и создать группу адресов External-IP, включающую в себя именно этот диапазон. («Настройки-Дополнительно-Группы адресов»). Далее приведен именно этот вариант. Более простое решение просто заменить все External-IP на «Любой адрес»
Входящие/Internet (внешний интерфейс, входящие пакеты - см.выше):
■ Игнорировать TCP Любой адрес Любой порт -> Любой адрес Порт 3128 (запрет использо-вать Proxy снаружи - укажите порт, на котором висит прокси-сервер - по умолчанию 3128)
■ Разрешить UDP <DNS-сервер провайдера> Порт 53 -> External-IP >1023 (DNS-ответы от провайдера)
■ Разрешить TCP Любой адрес Любой порт -> External-IP Порт В диапазоне(45000-65000) (выставить галку «Только установленные соединения) - (ответы на запросы)
■ Разрешить TCP Любой адрес Любой порт -> External-IP Порт В диапазоне(45000-65000) (ответы на активные соединения FTP)
+ описанные в начале статьи запрещающие правила для всех случаев.
Для исходящих создаем только такие правила:
Исходящие/Internet (внешний интерфейс, исходящие пакеты - см.выше):
■ Разрешить TCP Clients Любой порт -> Любой адрес Порт 20,21 (внешние FTP для клиентов)
■ Разрешить TCP Clients Любой порт -> Любой адрес Порт 25 (внешние SMTP для клиентов)
■ Разрешить TCP Clients Любой порт -> Любой адрес Порт 110 (внешние POP3 для клиентов)
■ Разрешить TCP Clients Любой порт -> Любой адрес Порт 143 (внешние IMAP для клиентов)
■ Разрешить TCP Clients Любой порт -> Любой адрес Порт 119 (внешние NEWS для клиен-тов)
■ Разрешить TCP Clients Любой порт -> Любой адрес Порт 5190 (ICQ для клиентов)
В следующих правилах желательно в качестве источника указать весь возможный диапазон получаемых адресов (см.выше ссылку про адресную группу External-IP). Можно использовать вместо External-IP и «Любой адрес», но тогда клиенты смогут выходить наружу минуя фильт-ры:
■ Разрешить TCP External-IP Любой порт -> Любой адрес Любой Порт (выпускает сам шлюз - необходимо практически во всех случаях).
■ Разрешить TCP Internal-IP Любой порт -> Любой адрес Любой Порт (выпускает сам шлюз - необходимо практически во всех случаях).
■ Разрешить UPD External-IP Порт>1023 -> <DNS-сервер провайдера> Порт 53 (DNS запро-сы провайдеру)+ описанные выше запрещающие правила.
Если что-то в настройке пакетного фильтра у Вас не получилось – рекомендую попробовать настроить по инструкции в моем Online-FAQ, так как там я ее периодически правлю, а данная статья серьезно изменялась только один раз. Ссылка на FAQ и на форум, где меня можно найти приведена в конце статьи.
Помимо этого, в WinRoute есть очень много недокументированных возможностей, настраивае-мых через реестр. Но это является темой отдельной статьи. Например, фактически, NAT ис-пользует только определенный диапазон портов, задаваемый через реестр. Более подробно об этом можно прочитать на сайте моего коллеги Walkera, создавшего систему ограничения тра-фика для WinRoute Pro и оказавшего неоценимую помощь в тестировании статьи: http://wrspy.nm.ru/key.htm
Распределение портов
Теперь настраиваем Распределение портов (нужно только если вы хотите разрешить кли-ентам снаружи получать доступ к внутисетевым сервисам). Например забирать почту с внут-реннего почтового сервера, видеть внутренний Web-Server, пользовать внутренним FTP-сервером и т.д.)
Эти опции удобны при наличии статического (постоянного) внешнего адреса.
Заходим в «Настройки-Дополнительно-Распределение портов». Создаем следующие пра-вила:
Для FTP:
Протокол - TCP,
Ожидание сигнала по IP - внешний IP (External-IP),
Прослушивание порта – В диапазоне 20 до 21,
IP адресата - IP внутреннего FTP-сервера,
Порт адресата=20 до 21.
Для POP3:
Протокол - TCP,
Ожидание сигнала по IP - внешний IP (External-IP),
Прослушивание порта - Одиночного=110,
IP адресата - IP внутреннего POP3-сервера,
Порт адресата=110
Для Web-server:
Протокол - TCP,
Ожидание сигнала по IP - внешний IP (External-IP),
Прослушивание порта - Одиночного=80,
IP адресата - IP внутреннего Web-сервера,
Порт адресата=80
В заключении хочется сказать, что Распределение портов – очень удобный инструмент, при помощи которого можно перебрасывать практически любые IP запросы с внешнего адреса во внутреннюю сеть, фильтруя при этом нежелательные.
Например, если Вы установили внутри локальной сети на своем компьютере программу Remote Administrator и хотите получить доступ к своему рабочему столу из дома, Вам необхо-димо добавить следующие правила в Распределение портов:
Протокол - TCP,
Ожидание сигнала по IP - внешний IP (External-IP),
Прослушивание порта - Одиночного=4899 (порт Remote Administrator по умолчанию),
IP адресата – внутренний IP компьютера с запущенным Remote Administrator,
Порт адресата=4899
Все. Установите дома клиента и настройте его на обращение внешнему IP вашей организации (External-IP). Все ваши запросы будут автоматически переброшены на ваш рабочий компьютер. БУДЬТЕ ВНИМАТЕЛЬНЫ С НАСТРОЙКОЙ РАСПРЕДЕЛЕНИЯ ПОРТОВ! Не защитив дос-туп соответствующим образом, вы рискуете предоставить его и злоумышленникам.
Настройка клиентов.
На клиентах настраиваем следующие TCP/IP параметры:
Шлюз по умолчанию (Default Gateway) - внутренний IP сервера с WinRoute. Сервер DNS: тот же IP в случае отсутствия домена Active Directory или DNS-сервер домена, если AD поднят (см.выше). Если клиент Win98, то имя компьютера в настройках DNS - его имя в сети. Домен – локальный домен, или рабочая группа.
Все. Перегружаем клиента, и он считает, что подключен к интернет напрямую.
Помимо этого, в свойствах браузеров клиентов прописываем «Использовать прокси»
Например, для русской версии Internet Explorer 6 это: «Сервис-Свойства обозревателя – Подключения – Настройка LAN». Там выставляем две галочки: Использовать прокси-сервер…» и «Не использовать прокси-сервер для локальных адресов». В поле «Адрес» задаем имя или IP-адрес нашего прокси-сервера (в нашем случае 192.168.0.23) и порт, на котором у нас работает сам прокси-сервер (3128 по умолчанию). То же самое для других программ, предусматривающих подключение через прокси-сервер.
Если хочется чтобы клиенты абсолютно полноценно пользовались интернетом без всяких ограничений, следует добавить такое правило в начало списка правил Исходящие/Internet:
Разрешить TCP Clients Любой порт -> Любой адрес Любой Порт
При такой настройке прокси-сервер вообще не нужен, его можно не прописывать клиен-там и даже не включать. Использование прокси-сервера дает возможность вести журнал досту-па пользователей к ресурсам.
Для предоставления прямого доступа клиентов в интернет только по протоколам HTTP и HTTPs (просмотр Web-страниц) следует вместо приведенного выше правила добавить два та-ких:
Разрешить TCP Clients Любой порт -> Любой адрес Порт 80
Разрешить TCP Clients Любой порт -> Любой адрес Порт 443
В завершении статьи хотелось бы обратить внимание, что WinRoute Pro является доста-точно мощным и универсальным средством для предоставления общего доступа в интернет и данная статья является лишь «надводной частью айсберга». Если Вас заинтересовало развитие темы конфигурирования общего доступа в интернет на базе данного программного продукта, то в следующих статьях мы рассмотрим такие популярные темы, как «Настройка системы ограничения трафика на базе сервера WinRoute Pro», «Использование встроенного почтового сервера WinRoute Pro» и «Тонкая настройка, полезные советы и недокументированные возможности».
Столкнулся тут с проблемой, хотя WR стоит года три на машинке....
Почта отсылается на сервак почтовый внешний.
Раньше arbatek вроде как и требовал ставить в почтовом клиенте "проверку подлинности пользователя", но как-то обходились без "галочек" в этом пункте, а сейчас - фига.
Не нашел где в Винроуте ставить эту приблуду... не хотелось бы ставить из-за этой фигни другой почтовик - встроенного хватает...
Что посоветует умный all ?
Почта отсылается на сервак почтовый внешний.
Раньше arbatek вроде как и требовал ставить в почтовом клиенте "проверку подлинности пользователя", но как-то обходились без "галочек" в этом пункте, а сейчас - фига.
Не нашел где в Винроуте ставить эту приблуду... не хотелось бы ставить из-за этой фигни другой почтовик - встроенного хватает...
Что посоветует умный all ?
на сколько помню в реестре(при остановленном винруте):
HKEY_LOCAL_MACHINE\SOFTWARE\Kerio\WinRoute
"MailRelayAuth"="1"
"MailRelayUser"="..."
"MailRelayPassword"="..."
HKEY_LOCAL_MACHINE\SOFTWARE\Kerio\WinRoute
"MailRelayAuth"="1"
"MailRelayUser"="..."
"MailRelayPassword"="..."
а как настроить:
имеется один шлюз - на нем четыре сетевухи
имеются две подсети (в локалке)
нужно чтобы каждая подсеть выходила наружу через свой внешний интерфейс
имеется один шлюз - на нем четыре сетевухи
имеются две подсети (в локалке)
нужно чтобы каждая подсеть выходила наружу через свой внешний интерфейс
Wenhaver
Создаешь две группы с IP адресами каждой локподсети.
Настройки -> Дополнительно -> Преобразование адресов
Добавить:
Отправитель Группа Адресов - Выбираешь свою
Адресат Любой
Только с исходящим интерфейсом - ставишь галочку и выбираешь интерфейс для этой группы
Преобразоввывать по указанному адресу - внешний IP на выбранном интерфейсе
последний пункт может быть и не нужен - я не уверен
то-же самое повторить для второй группы
впрочем, если одна из групп ходит через "интерфейс по умолчанию", то достаточно только одного правила
ну и, соответственно, настроить пакетный фильтр
Создаешь две группы с IP адресами каждой локподсети.
Настройки -> Дополнительно -> Преобразование адресов
Добавить:
Отправитель Группа Адресов - Выбираешь свою
Адресат Любой
Только с исходящим интерфейсом - ставишь галочку и выбираешь интерфейс для этой группы
Преобразоввывать по указанному адресу - внешний IP на выбранном интерфейсе
последний пункт может быть и не нужен - я не уверен
то-же самое повторить для второй группы
впрочем, если одна из групп ходит через "интерфейс по умолчанию", то достаточно только одного правила
ну и, соответственно, настроить пакетный фильтр
Подскажите пожалуйста.
На данный момент стоят 2 сетевые карты одна в локалку другая в инет.Хочу настроить VPN соединение для инета.Имеется ли возможность и что сделать? спасибо.
На данный момент стоят 2 сетевые карты одна в локалку другая в инет.Хочу настроить VPN соединение для инета.Имеется ли возможность и что сделать? спасибо.
Цитата:
Подскажите пожалуйста.
На данный момент стоят 2 сетевые карты одна в локалку другая в инет.Хочу настроить VPN соединение для инета.Имеется ли возможность и что сделать? спасибо
Канеша имеется -необходимо на интерфейсе смотрящем в Инет. прописать IP который тебе выдал твой провайдер ну и естествена, поднять VPN и опять таки пароль и логин который тебе твой пров. выдал
-НЕ потеме парниша, софсем не потеме ...
Pr0d1
Спасибо.А настройки(добавить) изменить в винрауте?
Извиняюсь, но почему не по теме?Тема вроде называется "В помощь системному администратору"
Спасибо.А настройки(добавить) изменить в винрауте?
Извиняюсь, но почему не по теме?Тема вроде называется "В помощь системному администратору"
Цитата:
Спасибо.А настройки(добавить) изменить в винрауте?
Пока ещё неЗаЧто ...
-Более подробно опиши поставленную задачу, раз речь идёт о настройке WinRoute ...
Чего нужно то? -Просто чтоб WinRoute поднимал VPN или фильтрацию пакетов ?
Pr0d1
Да о настройках WinRoute.Поднимать в WinRoute VPN не надо.Пров требует соединение по VPN для выхода в инет.Вот я интересуюсь заранее как что сделать в WinRoute,фильтрация пакетов тоже интересует.
Да о настройках WinRoute.Поднимать в WinRoute VPN не надо.Пров требует соединение по VPN для выхода в инет.Вот я интересуюсь заранее как что сделать в WinRoute,фильтрация пакетов тоже интересует.
Во первых на сетевом интерфейсе смотрящем в инет -разрешить входящий по PPTP xxx.xxx.xxx.xxx -IP VPN сервера => xxx.xxx.xxx.xxx IP выданый тебе твоим провайдером (т.е. который на сетевом интерфейсе смотрящем в инет.)
Ну и в исходящем тоже самое только наоборот разрешить PPTP твой IP => IP VPN сервера
А также разрешить входящий и исходящий TCP на порт 1723
in TCP ххх.ххх.ххх.ххх port=1723 =>Any>1023
соответственно в исходящем "переворачиваем"
out TCP Любой узел все порты=> Любой узел port=1723
И скорей всего потребуется тоже самое проделать с UDP
для IP DNS твоего пров.
Ну и в исходящем тоже самое только наоборот разрешить PPTP твой IP => IP VPN сервера
А также разрешить входящий и исходящий TCP на порт 1723
in TCP ххх.ххх.ххх.ххх port=1723 =>Any>1023
соответственно в исходящем "переворачиваем"
out TCP Любой узел все порты=> Любой узел port=1723
И скорей всего потребуется тоже самое проделать с UDP
для IP DNS твоего пров.
Спецы, помогите с настройкой Kerio WinRoute Pro 4.2.5, уже второй день долбаюсь, ничего не выходит! Доку прочитал неск. раз, делаю по примеру - ни фига!
Ситуация следующая:
У нас в здании есть две сети - 10.0.0.х и 10.10.0.х, вторая сеть имеет выход в и-нет. Связаны они через машину 10.0.0.3/10.10.0.13 с ВинРоутом, на интерфейсе 10.10.0.13 стоит NAT, юзеры в обоих сетях пользуются интернетом, всё в порядке.
Мне нужно из второй сети (10.10.0.х) подключиться к двум видеорегистраторам, находящимся в первой сети (10.0.0.5 и 10.0.0.6) с пом. родного софта. В программе связи выставляется IP видеорегистратора и порт. Пробовал настраивать в распределении портов, ставил:
Протокол - TCP/UDP
Ожидание сигнала по IP - 10.10.0.13 (также ничего не ставил)
Прослушивание порта - 8080
IP адресата - 10.0.0.5
Порт адресата - 8080
результат нулевой, в протоколе безопасности не появляется ни одной записи (в параметрах защиты стоит "регистрировать все TCP пакеты").
Пробовал разные варианты с дополнительным преобразованием адресов - тот же результат.
Подскажите, как правильно настроить ВинРоут.
Ситуация следующая:
У нас в здании есть две сети - 10.0.0.х и 10.10.0.х, вторая сеть имеет выход в и-нет. Связаны они через машину 10.0.0.3/10.10.0.13 с ВинРоутом, на интерфейсе 10.10.0.13 стоит NAT, юзеры в обоих сетях пользуются интернетом, всё в порядке.
Мне нужно из второй сети (10.10.0.х) подключиться к двум видеорегистраторам, находящимся в первой сети (10.0.0.5 и 10.0.0.6) с пом. родного софта. В программе связи выставляется IP видеорегистратора и порт. Пробовал настраивать в распределении портов, ставил:
Протокол - TCP/UDP
Ожидание сигнала по IP - 10.10.0.13 (также ничего не ставил)
Прослушивание порта - 8080
IP адресата - 10.0.0.5
Порт адресата - 8080
результат нулевой, в протоколе безопасности не появляется ни одной записи (в параметрах защиты стоит "регистрировать все TCP пакеты").
Пробовал разные варианты с дополнительным преобразованием адресов - тот же результат.
Подскажите, как правильно настроить ВинРоут.
Отбой воздушной тревоги!
Всё получилось, все параметры установлены правильно, это брендмауэр на одной машине выкобенивался. Нужно было несколько дней биться головой ап стену, чтобы он переспросил " Я тут немного ограничил возможности такой-то проги, вы не против?"... Сука...
Вопрос снят.
Всё получилось, все параметры установлены правильно, это брендмауэр на одной машине выкобенивался. Нужно было несколько дней биться головой ап стену, чтобы он переспросил " Я тут немного ограничил возможности такой-то проги, вы не против?"... Сука...
Вопрос снят.
поставил винрут на 1 компе все наладил но каждые 10-15 минут нет на 2 пропадает что зделал неправильно? после ребута нет пояляеться снова на 15 минут... как убрать конекшон лимит? и че с кипом постоянно отезжает как на основной машине так и на 2
Цитата:
и че с кипом постоянно отезжает как на основной машине так и на 2
Убери в QIP хождение через прокс. И назначь порт 5190 !
Естесна и в WinRoutе создай соответствующие правила -и будет те щастьЯ
Нужно ли ставить обновления Windows Updates на Windows 98SE, если машину планируется использовать в качестве интернет шлюза на WR 4.x?
Цитата:
Нужно ли ставить обновления Windows Updates
Может Я и не прав -Но лично моё мнение, что поровну какие дыры есть у винды или нет ...
WinRoute 4.x к ним доступ всёровно перекроет
Естесна если сам в нём не разрешишь хождение пакетоф на открытые виндовозовские "дыры"
Прошу помощи. Имеется: стационарный комп (Виста х86) с анлимом. Провайдер предоставляет динамический iP, кроме того, оговорено подключение к инету исключительно 1-й машины. Желательно: подключить к инету через десктоп ноут с ХР. Локалка через Эзернет присутствует, функционирует на ура. При попытке сосдать подключение типа мост тут же пропадает инет и на десктопе. Как можно обойти эту заразу?
всем добрый день!! в общем у меня такой вопрос, немогли ли бы вы разобраться в чём дело, у меня в сети 21 компьютер ip адреса и настройки шлюза выдаются автоматом Kerio сервером. (с 192.168.2.3 по 192.168.2.20) Ip адрес сетевой карты смотрящей в локальную сеть 192.168.2.2 , ip адрес сетевой карты смотрящей в интернет 192.168.1.2 (присваивается ADSL модемом). обе карты стоят на одном компьютере на котором стоит Kerio 6.5.0 4794. сеть в организации БЕЗ домена VPN отключен. Вообщем проблемма в том что kerio отказывается считать трафик пользователей, а самое странное в том что на вкладке активные пользователи у меня отображаются пользователи прошедшие авторизацию но не отображается их соединения (в окне ниже) а отображается трафик firewall итоговая скорость приёма и итоговая скорость передачи только для хоста firewall ;( за всех пользователей сразу! а авторезованные пользователи в списке висят как ничего не принимающие и ничего не передающие, при этом интернет у всех работает.... С чем это может быть связанно??
Добавлено:
Вот пример моих правил
Добавлено:
Вот пример моих правил
MORPHIUSS Удивительно вообще, как тебе удалось "подружить" WinRoute 4.x с Vista - Ты ничё не путаешь? -может ты поставил уже WinRoute 5.x ?
Добавлено:
DarckMan
Судя по скришоту -Ты ошибся темой форума -здесь обсуждается работа WinRoute 4.x
Добавлено:
DarckMan
Судя по скришоту -Ты ошибся темой форума -здесь обсуждается работа WinRoute 4.x
Есть Windoute 4.2 и две сетевые карты:
- первая внешний интерфейс (интернет): ip 1.1.1.1, mask 255.255.255.0
- вторая внутренний (локальная сеть): ip 192.168.0.1, mask 255.255.255.0
Windoute настроен(через преобразование портов) так, что все запросы на 80 порт перенаправляются на веб-сервер в локальной сети (ip 192.168.0.10)
Провайдер для разделения трафика попросил добавить на внешний интерфейс еще один ip 2.2.2.2, mask 255.0.0.0.
В свойствах сетевой карты я добавил новый внешний ip, но при попытке зайти по нему получаю ошибку – сервер не найден. Если включить лог для правила перенаправления, то видно что запрос пришел и был обработан:
[30/Dec/2008 11:45:55] Packet filter: ACL 4:0 Inet: permit packet in: TCP *.*.33.2:3269 -> 2.2.2.2:80
но при этом в логах веб-сервера запроса нет. По первому внешнему ip заходов на веб-сервер нет, а по второму не хочет, хотя пинг и трассировка проходит.
Еще, если посмотреть таблице интерфейсов, то там в графе ip-адрес виден только первый ip провайдера - 1.1.1.1
Подскажите где ошибка? Почему запрос не доходит до веб-сервера, хотя Windoute его как бы видит и пропускает через себя?
Добавлено:
Может быть дело в том Windoute не понимает несколько IP адресов на одной сетевой карте?
- первая внешний интерфейс (интернет): ip 1.1.1.1, mask 255.255.255.0
- вторая внутренний (локальная сеть): ip 192.168.0.1, mask 255.255.255.0
Windoute настроен(через преобразование портов) так, что все запросы на 80 порт перенаправляются на веб-сервер в локальной сети (ip 192.168.0.10)
Провайдер для разделения трафика попросил добавить на внешний интерфейс еще один ip 2.2.2.2, mask 255.0.0.0.
В свойствах сетевой карты я добавил новый внешний ip, но при попытке зайти по нему получаю ошибку – сервер не найден. Если включить лог для правила перенаправления, то видно что запрос пришел и был обработан:
[30/Dec/2008 11:45:55] Packet filter: ACL 4:0 Inet: permit packet in: TCP *.*.33.2:3269 -> 2.2.2.2:80
но при этом в логах веб-сервера запроса нет. По первому внешнему ip заходов на веб-сервер нет, а по второму не хочет, хотя пинг и трассировка проходит.
Еще, если посмотреть таблице интерфейсов, то там в графе ip-адрес виден только первый ip провайдера - 1.1.1.1
Подскажите где ошибка? Почему запрос не доходит до веб-сервера, хотя Windoute его как бы видит и пропускает через себя?
Добавлено:
Может быть дело в том Windoute не понимает несколько IP адресов на одной сетевой карте?
Всем доброго.
Такая проблема: при приеме писем (44 шт.) с одного IP, вылезла ошибка в логе WinRoute:
Mail server: WinRoute Pro 4.2.4 at #######.by
Error description: message could not be delivered, server replied:
450 4.7.1 Error: too much mail from 000.000.000.000
Original message is attached.
Я так понял, что в настройках где-то стоит лимит. Как и где его изменить?
Отправлено было 44 письма, а пришло 30.
Такая проблема: при приеме писем (44 шт.) с одного IP, вылезла ошибка в логе WinRoute:
Mail server: WinRoute Pro 4.2.4 at #######.by
Error description: message could not be delivered, server replied:
450 4.7.1 Error: too much mail from 000.000.000.000
Original message is attached.
Я так понял, что в настройках где-то стоит лимит. Как и где его изменить?
Отправлено было 44 письма, а пришло 30.
Windoute 4.2.5 и три сетевые карты:
- первая внешний интерфейс (интернет): 164.120.120.50
- вторая внутренний (локальная сеть):192.120.120.50
- третья внутренний (локальная сеть):194.120.120.50
На 164.120.120.50 ставлю "Преобразовать ІР-адреса..." и "Исключить компютер из ..." есть доступ в интернет с внутренних адресов, но теперь со своей машины 164.120.120.15 не могу зайти в сеть 192.120.120.х и 194.120.120.х. Что мне ещо нужно сделать?
- первая внешний интерфейс (интернет): 164.120.120.50
- вторая внутренний (локальная сеть):192.120.120.50
- третья внутренний (локальная сеть):194.120.120.50
На 164.120.120.50 ставлю "Преобразовать ІР-адреса..." и "Исключить компютер из ..." есть доступ в интернет с внутренних адресов, но теперь со своей машины 164.120.120.15 не могу зайти в сеть 192.120.120.х и 194.120.120.х. Что мне ещо нужно сделать?
volodjaGOV
А запрещающие правила имеются, на этих интерфейсах?
Если да, то дабавь правила (разрешить IP 164.120.120.15 на любой порт) в исходящие и во входящие на этих интерфейсах
А запрещающие правила имеются, на этих интерфейсах?
Если да, то дабавь правила (разрешить IP 164.120.120.15 на любой порт) в исходящие и во входящие на этих интерфейсах
У меня в пакетном фильтре, любой интерфейс проставлено
ІР 164.120.120.15 => Любой узел Log
IP Любой узел => 164.120.120.15 Log
но доступа все равно нет.
ІР 164.120.120.15 => Любой узел Log
IP Любой узел => 164.120.120.15 Log
но доступа все равно нет.
volodjaGOV
А перед этими правилами нет запрещающих?
Что пишет в логах, при попытках пойти в желаемые подсети?
Вообще я делаю так:
Создаю правила, все те что нужно разрешить.
А последним (в самом низу) Запретить - IP Any host => Any host Log
И если что то "не ходит" -читаем логи ...
А перед этими правилами нет запрещающих?
Что пишет в логах, при попытках пойти в желаемые подсети?
Вообще я делаю так:
Создаю правила, все те что нужно разрешить.
А последним (в самом низу) Запретить - IP Any host => Any host Log
И если что то "не ходит" -читаем логи ...
Страницы: 1234567891011121314151617181920212223242526272829
Предыдущая тема: Можно ли соединить через интернет две разные локальные сети
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.