» Настройка Kerio Winroute серии 5.x и 6.х

У меня на сервере стоит WinRoute версия последняя. на самом серваке стоит симантик антивирус корпоративный. вопрос такой WinRoute этот симантик не поодерживает а встроенный макафи даёт конфликт, а обновляться не хочет почему то. подскажите плиз как обновить макафии или что сделать с симантиком чтоб всё работало.

noblekey

Цитата:

настройки РОР какие?

MS Exchange 2003. SMTP.

The1st
DNS и SMTP прописать "по земле" не могу (или не знаю как....).
Приходиться выяснять на какие почтовые домены почта не уходит. Определять IP-шники их почтовых серваков и прописывать их route'ом по "земле":
route add -p IP почтового сервера mask 255.255.255.0 213.189.x.x (шлюз местного прова) if INET.
Что делать с приемом почты???

supa_funky

Цитата:

У меня на сервере стоит WinRoute версия последняя. на самом серваке стоит симантик антивирус корпоративный. вопрос такой WinRoute этот симантик не поодерживает а встроенный макафи даёт конфликт, а обновляться не хочет почему то. подскажите плиз как обновить макафии или что сделать с симантиком чтоб всё работало.

1. Два антивируса в одной машине - это бред и нужно принять решение кого из них зарубить.
2. симантик антивирус корпоративный последних версий действительно не поддерживается напрямую в КЕРИО (младшие работали, посмотри в этой и других ветках мои сообщенния об этом). Проблема том, что симантик сам анализирует pop и smtp протоколы м в этом клинчит с керио.
Я у себя сделал следующее - в правилах Керио работу с портами 25,110 и 143 выделил в отдельное привило и по нему в качестве инспектора протокола поставил NONE. В антивирусных настройках Керио также NONE. А в настройках самого симантика включил анализ почты.
Т.о. Керио пропускает все мимо себя, но поток "чужой" почты, летящий через машину-файервол, читает и блокирует симантик.
Все работает.

такая проблема
поставил kfw 6 на winXP, прошел Wizard но не работала почта.
Создал правило
Dest: internet
Source: firewall
Services: tcp 25, 110; udp 53
Permit
отключил McAfee, безрезультатно
(в Wizarde ставил Allow Access to all services)

подскажите в чем ошибка
заранее спасибо

Подскажите плиз, имеет ли смысл, а собственно и сама возможность корректной установки 6-го керио на машину где:

1. Данная машина является контроллером домена...
2. Стоят AD; DNS-server; Mail-server и файл-сервер...

даа.....такой вот гамбургер.....

3. 2 сет. карты - одна в локалку, другая на провайдера
2. Дозвонщик держит связь с провом...

Требуется:
1. Обеспечить локальных пользователей инетом....соответственно предохраниться от "гостей".......трафик на разного рода рекламных картинках, баннерах сыкономить....

Макисмум, что я выжал из этого, так запустил инет в локалку посредством кериёшного прокси, но его фаер соответственно не контролирует трафик на локальных машинах, как и не считает его... Проблемс в том, видимо, что DNS-forwarder конфликтует с виндузным ДНС в связи с чем и не получается корректной настройки.....А использовать керио за его проксю - бред.....

Неделю уже бьюсь в спешке, перерыл разные форумы но так ничего конкретного не понял....ЧТО ДЕЛАТЬ?!?!.......сносить кериёшку или всетаки есть светлая голова со свободным временем, чтобы объяснить как устроить енто дело??? Заранее извиняюсь, если где такая тема и поднималась.......НЕ НАШЕЛ.....а сегодня уже просто необходимо енто довести до конца....

BABAYKA
1. Перестать биться в спешке, спокойно почитать мануал
2. Спокойно все настроить - все заработает (и DNS тоже)
3. Задуматься, что столь функционально серьезная машина не должна быть под потенциальной угрозой ломки ее из внешней сети. Что произойдет, если в ночи случайно слетит сервис керио (такое случается)?

Спасибо за дельный совет товарищ ilion

Такая ситуация:
Стоит 6 винороут на сервере, подключённому к модему точки ру. Интернет на компе работает. Как только подключаю кабель к внутреннему интерфейсу (LAN), то интернет на сервере пропадает, компьютеры из сети сервер не пингуют и никак не видят. ОТключаю кабель от внутреннего интерфейса - всё работает.
В чём может быть проблема?
Настройки фаервола те, что были по умолчанию. Интерфейсы винроут видит и определяет правильно.

Поставил Winroute 6.1, кракнул его до 2020 года.
Настроил нат. Все работает. Но стоит перезагрузить компьютер, где стоит Winrout'e, как клокальные компьютеры не могут больше выходить в инет. Сервер с Winroute даже не пингуется из локалки. Однако, если снести программу и поставить ее снова, то все работает, опять же до первой перезагрузки. Настройки правил после перезагрузки не сбрасываются, однако компьютер с Winroute не пингуется с локальных компьютеров. Помогите. Лучше напишите в личку. Заранее благодарен.

loskus
Откуда не работает поччта? с компа где установлен керио или с других? стоит ли на компе какой либо антивирус?

Добавлено:
Glacius4
правила своих настроек керио в студию пожалста.

Я в шоке !!!! Никто не знает

KudisovArkan

Цитата:

правила своих настроек керио в студию пожалста.

Правила настроек:
1. Default rule. Source: Any. Destination: Any. Services: Any. Action: Drop.
2. Local traffic. Source: Firewall, лок сеть1, лок сеть2, Internet, VPN Clients. Destination: Firewall, лок сеть1, лок сеть2, Internet, VPN Clients. Services: Any. Action: Permit
3. NAT Internet Source: Лок сеть1. Destination: Internet. Services: Any ICMP, FTP, HTTP, HTTPS. ICQ, IMAP, POP3, SMTP, telnet. Action: permit. Translation: Сетевой нтерфейс "Internet"
4. NAT Local Source: Лок сеть1. Destination: Лок сеть2. Services: Any ICMP, FTP, HTTP, HTTPS. ICQ, IMAP, POP3, SMTP, telnet. Action: permit. Translation: Сетевой нтерфейс "Лок сеть2"
5. ICMP in Source: Лок сеть1, Лок сеть2. Destination: Firewall. Services: Any ICMP, Action: permit.

Посмотрите пожалуйста настройки. Может чего-то действительно не хватает. Повторю проблему: после перезагрузки сервера Winrout не работает ни один из Nat'ов.
И еще один вопрос. Как прописать правило для прокси. Надо чтобы один из компьютеров Локальной сети 1 выходил в интернет по протоколу proxy.

1-ое правило опусти в самый низ и все заработает!
Читай доки там написанно что правила читаются с верху в низ!

уважаемый ALL. Опишу ситуацию - был установлен KWF 5.x.x (по моему 5.1.10 ) при переносе сервака просто с места на место (архитектура сети не изменилась) слетела система (WinXP Pro SP-2) перелил систему заново - решил поставить KWF 6.1.1 bild 419 мастером пропустил - все по умолчанию - VPN не включал - NAT включил. все настроил инет есть - все работает нормально - НО. во вкладке Status\HOST/Users в списке хостов которые лезут в инет есть только Firewall и все!!! хотя все остальные доступ в инет имеют. У меня раньше (если мне память не изменяет было все настроено так же) теперь вот не разберусь где грабли. Пробовал создавать юзера и ставить полную авторизацию - появляется в списке этот юзер - НО ни трафик ни текущее использование канала по нему не считается - отображается только список ссылок куда он пошел *( Сеть БЕЗ ДОМЕНОВ
Отсюда вопросы:
1. Можно ли настроить так чтобы из локалки юзеры заходили без авторизации , но в статистике они мне показывались.
2. Можно ли в сети без доменов создав список юзеров и включив полную авторизацию сделать так чтобы они заходили автоматом (не требовалось вводить имя и пароль)
3. Где ошибка может быть если не считатся ни трафик ни текущее использование канала даже при существующем списке юзеров - везде нули стоят % (

Спасибо за ответы - и прошу прощения если это уже обсуждалось меня хватило всего на 15 страниц ;(

Цитата:

Style Print

Первое правило и было внизу, просто я так написал.

уважаемый ALL. Опишу ситуацию - был установлен KWF 5.x.x (по моему 5.1.10 ) при переносе сервака просто с места на место (архитектура сети не изменилась) слетела система (WinXP Pro SP-2) перелил систему заново - решил поставить KWF 6.1.1 bild 419 мастером пропустил - все по умолчанию - VPN не включал - NAT включил. все настроил инет есть - все работает нормально - НО. во вкладке Status\HOST/Users в списке хостов которые лезут в инет есть только Firewall и все!!! хотя все остальные доступ в инет имеют. У меня раньше (если мне память не изменяет было все настроено так же) теперь вот не разберусь где грабли. Пробовал создавать юзера и ставить полную авторизацию - появляется в списке этот юзер - НО ни трафик ни текущее использование канала по нему не считается - отображается только список ссылок куда он пошел *( Сеть БЕЗ ДОМЕНОВ
Отсюда вопросы:
1. Можно ли настроить так чтобы из локалки юзеры заходили без авторизации , но в статистике они мне показывались.
2. Можно ли в сети без доменов создав список юзеров и включив полную авторизацию сделать так чтобы они заходили автоматом (не требовалось вводить имя и пароль)
3. Где ошибка может быть если не считатся ни трафик ни текущее использование канала даже при существующем списке юзеров - везде нули стоят % (

Спасибо за ответы - и прошу прощения если это уже обсуждалось меня хватило всего на 15 страниц ;(


Добавлено:
простите за дубль - при первой отправке сообщения вылетело с ошибкой Server Internal error .... отправил повторно а оказалось что второй раз сорки

Проблема, может кто сталкивался:
Имеется:
Winroute 6.1.1 (предыдущие версии ведут себя аналогично)
MDaemon 7.2
и нестандартный порт РОР3 2000 вместо 110 - (110 блокирует арендатель)
почтовый сервер стоит там же, где и керио, но нестандартный порт на РОР3 он не прорабатывает, ошибок не пишет- пакеты не дропит..
телнетом конектится и сразу вылетает.
есть какие-либо соображения?

Р.С. пробывал мапить с 2000 на 110 , тот же печальный результат, нестандартные порты не работают с почтовыми протаколами.


Добавлено:
понял проблему-
2000 порт вступал в конфликт с уже имеющейся SCCP (назначил SCCP другой порт- и оле

Народ. Есть вопрос. Есть сеть провайдера(192.168.248.х). Есть сеть моя локальная(10.0.0.х). Везде витая пара. У провайдера инет выдаётся по PPPoE-протоколу, который я привязал к внешнему интерфесу и выдаётся ещё один ИП(в диапазоне 192.168.20.х(при каждом подключении разный)). Проксёй выступает машина с ИП 10.0.0.254 на котором и стоит Керио. Создал правила:
Source Destination Action
1) 10.0.0.1-10.0.0.254 10.0.0.254 permit(лок доступ на инетсерв)
2) 192.168.20.1-192.168.20.254 any permit(доступ машины в инет)
3) 10.0.0.1-10.0.0.254 any permit(интернет-доступ)
4) lan(локал интерфейс) internet(внеш интерфейс) permit(NAT)
5) any any drop
Для доступа в интернет нужно авторизироватся у Керио.
Вопроса 2:
1) Может ли интернет сервер каким-то образом юзать инет минуя прокси(трафик и\у провайдера по статистике есть, а откуда он появился не знаю - в керио трафика в таких обьёмах нет)
2) Можно ли финроуту расписать какие мак-адреса могут авторизироваться, т.е. авторизацию давать только моим локальным пользователям проверяя их мак(хотя с перечисленными правилами у меня не хватило возможности достучаться на комп из вне, но я не уверен что я использовал все возможности)

Dimrix
по поводу авторизации сходи на kerio-rus.narod.ru , там есть подробная инструкция с картинками

Ray999
1. нет, в принципе, весь трафик будет вешатся либо на "Admin", либо на "unrecognizer users"
2. можно, добавляешь пользователя (c\без пароля), вписываешь его ip в "Specific host IP addresses", на вкладке "Authentication Options" ставишь галки напротив "Always require users..." и "Enable user authentication automatically...", еще в "Address Groups" задай промежуток ip локалки.
3. проделай пунк 2. тогда напиши что да как.
В разрешенный правилах включи в секции LOG - Log matching connections и в Logs\connection посмотри что происходи при подключениях.

Господа, подскажите как запретить mail.ru агента на kerio.
У меня kerio 6.0.9, этот агент лезет по https. Пытался запрещать весь протокол https для определенных ip, всё равно эта дрянь пролазит.

проблема с пользователями домена:
в Kerio Winroute Firewall 6.1.1 настроил авторизацию пользователей через домен. и возможно из-за того что в домене был пользователь Admin я потерял достум в админскую консоль под этим логином.
Вопрос следующий - Возможно ли добавить пользователя в домене с правами админа в керио? (очень не желательно прерывать работу офиса)

Добавлено:
проблему решил
просто создал в домене пользователя с именем Admin (такого в домене всётаки небыло)

У меня проблема, может кто сталкивался: стоит Керио 6.1.1. Он считает траффик по каждому из пользователей. Пользователей определяет по статическому IP-адресу. Есть ограничение (поставленное в Template) допустим на 80 Мб в месяц для каждого пользователя. Так вот когда пользователь превышает этот объем, Керио по прежнему пускает его в интернет, абсолютно не ограничивая посещение сайтов. Хотя в том же Template стоит Kill all users connections immediately. Не могу понять почему. Сеть одноранговая, без контроллера домена.

Приветствую всех. Помогите пожалуйста с KWF.
Проблема с VPN Вроде бы я всё сделал как в инструкции. подключаюсь к серверу через кериовпн клиент. Он всё нормально соединяется на сервере в соединениях видно что я подключен. но на клиентском компьтере инет не появляется. мне кажется что проблем где то в трафик полиси если не трудно расскажите всё с самго начала может я где то в начале упустил что либо.
если не трудно помогите решить проблему
а то начальник поставил заачу сделать впн подключения сотрудников к инету а что то у меня не получается.
Благодаою за помощь.

Помогите кто нибудь плиз

Цитата:

Господа, подскажите как запретить mail.ru агента на kerio.
У меня kerio 6.0.9, этот агент лезет по https. Пытался запрещать весь протокол https для определенных ip, всё равно эта дрянь пролазит.

Настраивается в HTTP POlicy
что-то пипа
all users
*mail.ru
deny

Добавлено:

Цитата:

У меня проблема, может кто сталкивался: стоит Керио 6.1.1. Он считает траффик по каждому из пользователей. Пользователей определяет по статическому IP-адресу. Есть ограничение (поставленное в Template) допустим на 80 Мб в месяц для каждого пользователя. Так вот когда пользователь превышает этот объем, Керио по прежнему пускает его в интернет, абсолютно не ограничивая посещение сайтов. Хотя в том же Template стоит Kill all users connections immediately. Не могу понять почему. Сеть одноранговая, без контроллера домена.

а авторизация настроена?
если да , то попробуй уменьшить параметр
Automatically Logout users

Люди а где русский язык для Керио взять? То бишь файл wradmin601.??.qm для версии 6.1.0, а то юзерам вебинтерфейс перевел, а себе wradmin - нет.

2 noblekey

Цитата:

Настраивается в HTTP POlicy
что-то пипа
all users
*mail.ru
deny

К сожалению это не катит, поскольку https

alkid11
тогда попробуй так создать правило
https://*mail.ru*

2 Billtm
Тоже не катит, урловые группы только для протокола http. Но я сам догадался!

Итак, чтобы запретить работу mail.ru агента из вашей сети нужно всего лишь запретить фаерволу соединяться с сетями 194.67.23.* и 194.67.57.* по HTTPS. Это сети mail.ru и данное правило больше ни на что не повлияет.