» Настройка Kerio Winroute серии 5.x и 6.х

Всем привет!
Помогите с настройкой WKF 5.1
Существует сеть W2k AS с установленной AD, в локалке рабочие стан W2k и XP
Интернет по Dial-Up
Необходимо настроить WKF как шлюз
Машина на которой установлен WKF ip 192.168.0.243 шлюзом у неё прописан DNS провайдера, на локальных машинах шлюзом указан адрес машины с WKF и указан DNS сервер провайдера! Таблица маршрутизации настроена с помощью мастера( по умолчанию)
С локальных машин пинги уходят до провайдера, а IE работать не хочет!
Не откажите в помощи решения данной проблемы!
Если понадобится могу про сеть рассказать более подробно!
asunet@mail.ru

Цитата:

Машина на которой установлен WKF ip 192.168.0.243 шлюзом у неё прописан DNS провайдера

вот это как то вообще не понятно, по мне там должен стоять ip выдаваемый твоим провайдером.

для начала вопрос.. почему ДНС провайдера .. есть есть АД?
второе... что используется NAT или прокси?
я так понимаю что NAT всё же...
каке есть правила?
инет на локальных машинах как всё же есть если пинг идёт...
смотри настройки ИЕ и правила...
попробуй обратится по IP куда нить
что-то мне кажется что с ДНС не правильно у вас....


Цитата:

Машина на которой установлен WKF ip 192.168.0.243 шлюзом у неё прописан DNS провайдера

ну IP понятно написан внутренний.. а шлюзом ДНС это правильно? у меня допустим при dial-up DNS и шлюз это разные IP ... причём выдаются динамически

asunet
Если пинги уходят во внешний мир, то тут тоже надо оговаривать, какой именно пинг:
1. пинг по Имени сервера - это означает, что имена нормально резолвятся, значит, по меньшей мере половина работы сделана правильно.
2. пинг по IP - говорит о том, что сеть функционирует, доступ во внешний мир есть, но здесь опять-же надо проверить на предмен пинга из п.1

Когда это сделаешь, то станет всё ясно, а именно:
1. Если пинг по IP идёт, а по имени не идет, значит нет резолвинга имен, т.е. проблемы с достпом к ДНС-серверу. Эта проблема решается очень легко - прописываешь на клиентах в качестве ДНС твою-же машину с KWF, шлюз оставляешь неизменным, все тот-же KWF, единственное, в настройках Рвоты (раздел ДНС) активируй функцию Forward DNS queries или что-то вроде этого и всё заработает .
2. Если пинг ходит как по IP так и по имени, а IE не может выйти в Инет, значит проблема с правилами, т.е. доступ в Инет не обеспечен, значит выяснять причину надо в Traffic Policy.

не подскажите как сделать что бы в logs -> filters не заносилось строки такого плана?
"[25/Nov/2005 08:51:53] DROP unknown ICMP packet from хх.ru, proto:1, len:36, ip:ххх.ххх.ххх.100 -> 224.0.0.1, plen:16"

tolyn77
а у тебя, случайно, не установлено протоколирование соединений в последнем (запрещающем) правиле?

Всем привет.
Кофигурация: Контроллер DNS;AD + Машина XP KWF 6.1.3 последний + сеть. Авторизация в KWF через AD.

Такие проблемы:

1. При включении Anti-spoofing валятся ошибки в логи и ничего не работает, отключаю Anti-spoofinng - все нормально.

2. По прошествии некоторого периода времени инет умирает. Подключение есть, все в норме, ошибок в логах нет, а в интернет выйти нельзя, пока машину в инет не перегружу. Рестарт сервиса KWF не помогает.

Какие идеи у кого?

Accessor
если речь идет про столбец log, то во всех правилах пусто.
зачем нужна опция "Anti-spoofing"?

Анти-обман
"Обман" (spoofing) - это процесс передачи IP адреса пакета, так что брандмауэр будет считать, что запрос пришел из надежного источника. Хотя пакет невозможно промаршрутизировать обратно до точки отправления, есть возможность бессмысленной перегрузки сети и отказа сервиса. WinRoute может отслеживать трафик и проверять, чтобы адрес источника пакетов, приходящих на интерфейс, не был связан с сетью противоположного интерфейса. Другими словами, такой трафик (хотя и возможный) никогда не оправдан, и его следует блокировать.


Добавлено:
Еще интереснее. "По прошествии некоторого периода времени инет умирает. Подключение есть, все в норме, ошибок в логах нет, а в интернет выйти нельзя, пока машину в инет не перегружу. Рестарт сервиса KWF не помогает. " Машина в KWF не может войти в сеть.

Alex Koenig
а на предыдущих версиях было также, или только на новой версии?

На 6.0.10 было то же самое. Причем 6.0.10 в двух других конторах работает на ура.

я бы снёс всё, вместе с настройками, всё под ноль, поставил новую версию и заново настроил, пятиминутное дело! если и это не сработает, то дело не в винруте.

Я так уже сделал два раза. Результаты нулевые.

ну уж верняк полностью ось переставь и пропатч по полной. у меня на W2003Server стоит, апдейт веду с v.6.0.9, сбоил иногда только cobion, а так всегда как часики. перед экспериментами епст-но всегда тупо делаю полную копию папки kerio, если не пашет, просто тупо возвращаю в исходную!
попробуй полностью машинку перебей, вирусняк хороший поставь, не может не завестись!

Буду пробовать...

Alex Koenig
Удачи!

iloleg

Цитата:

вирусняк хороший поставь

попрошу уточнить, какой вирусняк и куда поставить?

я в восторге от NOD32, рекомендую!!!

iloleg
Я надеюсь, речь идет про плагин для KWF, а не про самостоятельный продукт

речь батенька виду исключительно про самостоятельный продукт, а трафик пусть встроеный МакКафя шарит! друг другу они ни капли не мешают! у меня по крайней мере! правда у меня ща Ф-Секура стоит (это временно!)!!!
Всем ПАКА, пора ПИВКА! )))

Доброго с полезным.
Стоит KWF 6.1.2 (603)
Правила таковы
Сеть в инет (Авторизированые пользователи) (Интернет соеденение VPN) (ВСЕ) Включен НАТ
Я в сеть (Фаэрволл) (Сетевая плата) (ВСЕ)
Сеть ко мне (Сетевая плата) (Фаэрволл) (все протоколы которым дозволено попадать на сервер)
Я в инет (Фаэрволл) (Интернет соеденение VPN) (Все)
Инет ко мне (Интернет соеденение VPN) (Фаэрволл) (http, ping)
Дефолтное Запрет на все.

Далее автоматическая авторизация включена т.е. через веб, у пользователей не прописанны ИП адреса, настроены пользователи на выход в инет шлюзом этот сервер как и днс и т.д., все у всех работает никто не жалуется но трафик считает KWF считает только свой т.е. АДМинский все остальные пользователи показывает что подключены кто куда ходит что от куда берет и т.д. но КВОТИРОВАНИЕ не работает.... и трафик тоже не выводится в статистике.

Помогите советом где грабля? Спасибо.

Crusayder
ты не пробовал включить в правилах логи? там после столбика с разрешением/запретом есть столбик, в к-ром надо поставить галочки, чтобы лог велся и на пакеты и на соединения... По-моему так.

Добавлено:
Кстати, у меня началась конкретная мистика... Пингую с моего компа внутреннюю сетевую сервака - нормально, пингую внешнюю, смотрящую в интернет - нормально... А самой связи НЕТУ!!! Дальше внешней сетевой пинг не идет...

iloleg
если он не трогает сетевой трафик - тогда ладно, хрен сним, но если он проверяет его - то однажды можно наступить на грабли.

У меня еще один МАЛЕНЬКИЙ вопросик... Как понизить приоритет ВинРуту в 2000 windows'e? Мне это никак пока не удалось...

Вопрос касается эксплуатации ОС, это обсуждается не здесь.

Сорри, но это напрямую касается винрута. Если хотите - спрошу по-другому...
====================================================
Как заставить винрут жрать меньше ресурсов компьютера???
====================================================

Просто на этот вопрос мне пока никто не смог ответить...

Axmedka
Погоди, ты опять смешиваешь в кучу всё подряд. Жрать меньше ресурсов компьютера - это значит: 1. использовать меньше процессорного времени; 2. использовать меньше памяти; 3. использовать меньше дискового пространства. Если тебя интересует 1й вопрос, то тебе в Операционные системы, если второе - то, имхо, никак, т.к. этой задачей занимается Диспетчер памяти, а ему не прикажешь. Если тебе надо 3е - то тогда отключить и удалить логи, больше, кажется, там сделать нечего.

Tio Lan

Цитата:

вот и фильтрую Интернет Акксесс Монитором эту всю чехарду.

Подробнгее можно. У тебя получается четко вывести кто, где и когда реально из инета слил?




Добавлено:
iloleg

Цитата:

попробуй полностью машинку перебей, вирусняк хороший поставь, не может не завестись!

А вот с ентим нуна быть поаккуратнее... А то я как-то поставил SAV потмоу долго не мог понять, почему никто не могет почту получить...

Admin CSB

Цитата:

Со всех компов за серваком не цепляется? Попробуй пингануть из локали - что скажет?

Из локалки пингуется по имени, трасерт проходит, НО телнет и почтовик не могут достучаться до 25 или 2525 порта smtp.mail.ru, на все другие почтовики проблем нет.
Onym

Цитата:

Порты
110 - POP3
25 - SMTP
23 - Telnet

У Mail.ru SMTP также должен откликаться с порта 2525 См. настройки здесь.
А про пинг Admin CSB правильно советует.

Я поправился чуть ниже. Но толку то ноль. А ведь именно у босса ящик на майле, и он мне сушит мозги конкретно.
ЧТО ДЕЛАТЬ?????

Добавлено:
А при этом с сервера нормально соединяется, никаких проблем нет

Локальная сеть с DHCP - не получается заблокировать использование ICQ из локальной сети.
В правиле указал: источник - address group по имени компьютера, получатель - внешний интерфейс, сервисы - все, действие - drop.
Содениняются через NAT https.
Запрещающие правило стоит самым первым.