» Настройка Kerio Winroute серии 5.x и 6.х

Посоветуйте пожалуйста хороший анализатор логов для Kerio WRF 6.0.1, а то встроенный - плоховат (прям скромный какой то), а ProxyInspector for WinRoute видимо всё таки для 4ой версии и у меня немного глючит(точнее не поддаётся настройке) - юзеры левые, не все протоколы учитывает etc.
В общем, кто что может посоветовать для грамотной детальной статистики (чтобы обрабатывал логи самого WRF 6.0.1)? И если это не будет сильным оффтопом, расскажите, намного ли лучше обстоят дела с отображением логов/статистики в ISA 2004?

Vasa_Husainov
СПАСИБО!! Вот где собака порылась однако )
Никогда бы не подумал...хы! а нафик он нужен етот протокол инспектор??
МОгет можно как нить прикрутить штобы всё работало правильно?

Добавлено
Вопрос ко всем...
Установил 6.0.1.. у юзеров теперь аська не работает.. через HTTP прокси.
Как побороть?

Господа, подскажите пожалуйста. Сижу на связке - Winroute 4.25 + Usergate 2.8 и неплохо себя чувствую (компов - 80). Что может дать мне переход на более свежую версию Winrout'a?.

может у кого возникала проблема : при запущенном керио (6.0.1) все приложения отказываються показывать диалог печати. т.е - файл - печать , и всЁ ..приложение повисает вусмерть. фотошоп и неровская прога для рисования обложек для дисков - вообще незапускаюца ( .оська - winxp с первым сервис паком. касперский , но его отключение непомогает ( нид хельп ! . причом что самое интересное на w2k с предыдушей пятой версией керио , такой проблемы невозникало ниразу (.
и ещЁ один сразу вопрос впринципе неочень актуальный - подтормаживает открытие сетевых компов , по самим ресурсам и скачка - нормально , но вот процесс открытия компа по сетке - тормозит. ключи в реестре виндовые убил , кобион отключен нафиг , кюос нежывет на моем компе. заранее благодарен за помощь

Serg0FFan
Отруби в аське проксю напрочь, не нужна она тама...
В принципе можно и в эксплорер отрубить у меня без всякой прокси все кошерно ходит...
На всякий случай добавь сервис ICQ в трафик полиси Firewall (это чуть ниже чем НАТ)...

MadDrew
для того штобы она без прокси работала..через NAT ..как минимум нужно шлюз прописать на рабочих станциях..и DNS сервер... а вот не хочется штобы юзеры ломились в нет каким то еще способом акромя как через прокси...хотябы в целях безопасности...

Serg0FFan
гут, согласен. тогда есть вариант не хттп прокси ставить в аське, а сокс 4
пробовал работает, только порт не 1080, а тот который у тебя в керио указан (3128 по умолчанию)

Поздравляю всех с Днем Системного Администратора! Ура!

Dimrix

Цитата:

Дык а тут разве нету, что верхнее правило с any anu any permit перекрывает собой все остальные более нижние правила, которые что то ограничивают?

Не помню как в винруте, но если такое сделаешь во фре нат не заработает
Потому над должен быть поднят первым правилом!
где сорсе внутренний интерфейс а дестинайшен внешний
ну а сервисы которые разрешаешь, сам прописывай

MadDrew
Так 6ка еще и сокс содержит?! хыы...вот уж не знал нифига...
Щас потестю..

Добавлено
MadDrew
Хм...не работает нифига...

Цитата:

Так 6ка еще и сокс содержит?

Нет просто Аська с такими насторйками вроде лучше работает, но всё это так, самое оптимальное через NAt её.

Serg0FFan
1. ты порт какой поставил для прокси в асе?
2. ты сервис ICQ в трафик полиси Firewall добавил?

MadDrew
1. порт оставил как ты и говорил тот што стоит по умолчанию 3128.
2. а нафига? если у меня всё разрешено? в плане все сервисы.... Any стоит.

Добавлено
neva102502
Интересно как аська будет работать через HTTP прокси если ей указать SOCKS прокси якобы..а подсунуть HTTP?? =)) или я чегота не понимаю или одно из двух.. Думаю у сокса и хттп спецификация то разная!!!

Люди, кому удалось настроить ВПН в 6.01, стукните плиз в асю. Очень нужна помощь в настройке маршрутизации.

Serg0FFan
да ты пойми! у тебя есть два "основных" трафик полиси - Firewall и NAT - если у тебя указан сервис ICQ в NAT и не указан в Firewall, то файервол будет банально резать пакеты идущие от аськи. ты просто загляни в логи винрута и увидишь что все пакеты висят там, заблоченные файерволом. добавь сервис туда и проблема исчезнет.

Serg0FFan

Цитата:

как аська будет работать через HTTP прокси если ей указать SOCKS прокси

в 4ке так работала года 2 у народа , почему то так самое лучшее, выяснил опытным путём. Потом в инете тоже видел подобные советы, но NAt и ещё раз НАТ ИМХО лучшее.

neva102502
Если не прописать в firewall сервис ICQ то его пакеты будут резаться...

MadDrew
NAT - Service - Any
Local traffic - Service - Any
Firewall traffic - Service - Any
всё стоит в пермит...чвота не так?
я так понимаю и там и там правило разрешено...

Вопрос решилса....отрубил в настройках прокси сервера галку.
Вернее снял галку с "Ignore server Cache-Control directive"
и всё заработало...

MadDrew Ну это уже детали, см. какие правила, но пускать их само собой надо.

Serg0FFan

Цитата:

Вопрос решилса....отрубил в настройках прокси сервера галку

Значит всё же через прокс пускаешь.

Цитата:

для того штобы она без прокси работала..через NAT ..как минимум нужно шлюз прописать на рабочих станциях

мог бы прописать чтоб ICQ через nat тока у тя ходила, а на всех остальных deny

Народ - подскажите как решить проблему с ICQ - довольно нестандартую.
Не стали открывть порт 5190 - соответственно получили бумерангом следующий ответ от пользователей - стали указывать чтобы аска коннктилась к login.cq.com по 25 порту.
Блокировка следющего вида не срабатывае:
источник - внутренний интерфейс
адресат - login.icq.com
сервисы - any
что делать - запретить
И не срабатывает т.к. лезет в в днс и видит там другой IP, т.к. если с завидной регулярностью пиновать login.icq.com - то увидите что менются ip адреса.
25 порт я естественно закрывать не могу и не хочу пускать почту через другой порт - т.к. гемор все везде перенастраивать и возможно что на асе сделан коннект не только по 25 порту.
А нужно выборочно пускать к асе - с этим проблем нет, но вот когда ухари ставят себе 25 порт - это не радует и отелось бы средствами винрута почикать эти вещи.
Стоит версия 5.1.10
В настройкахДНС есть такая опция use cutom forwarding
может там можно использовать некий механизм переброса на конкреый днс и тогда все будет зарублено - знать бы только куда, чтоб ася работала постоянно.

login.icq.com - это целая сетка, да еще отвечающая на всех портах. Выход - банить всю сеть (не помню /24 или /16).

Есть ли какая-нибудь прога-счетчик трафика хорошо работающая с винрутом?

MadDrew
Давно юзаю TMeter (.http://www.tmeter.ru) и очень доволен...
работал на 4.2.5 версии винрута...всё зашибиса было..Щас перешол на 6ку и всё тоже неплохо )

Sav
Решил банить так
193.232.5.0
205.188.0.0
64.12.0.0
cb.icq.com
icq.mirabilis.com
login.glogin.messaging.aol.com
login.icq.com
Думаю с этим будет сложно бороться


Добавлено
В 6.0.1 наткнулся на грабли с инспектором POP3 не принимает почту выше 1 метра
вот здесь тоже освещена проблема
http://forums.kerio.com/index.php?t=msg&goto=8062&S=8c0c1e798065eb545f94bb6e49b7103f#msg_8062
снял инспекторы POP3 и SMTP с соответствующих сервисов - все заработало - видать сыроваты еще их инспектора - вот засада.
Если кто то победил - подскажите как

у меня проблема

Kerio WinRoute FireWall 6
Windows 2000 server
PrintServer

Когда запускается фаирволл невозно ни печатать, ни зайти в свойства притера, притом что принтсервер пингуется нормально

может у когото будут какие-нить идеи?

А вот ктонить скажет как заставить ВинРоут 6.0.1 базы обновлять от маккафе?
не хочит сволочь и всё тута...грит ошибка..ищите в еррор лог..а тама тишина.

Serg0FFan
кстати вопрос животрепещущий
он и у меня так ругается, а при попытке подключить другой антивирус тоже пишет ошибка, дескать движок антивируса не найден, хотя он на самом деле стоит уже давно...

False

Цитата:

Когда запускается фаирволл невозно ни печатать, ни зайти в свойства притера, притом что принтсервер пингуется нормально

У меня такое было при неправильной настройке IP на КЛИЕНТСКИХ машинах. В частности, в качестве шлюза был задан несуществующий адрес. При этом сетка в целом работает, а вот с печатью именно такая засада. А ошибиться при настройке DHCP сервера легко.

to ilion

спасибо

Люди добрые.... помогите!
Стоит Kerio WinRoute FireWall и Kerio MailServer .....

Ситуация следующая....... включаю я Web-Mail на 80м порту.......
(при этом, естественно, в правилах входящего трафика порт 80 открыт)
С НАРУЖИ НЕ РАБОТАЕТ
В сети прекрасно грузится..........
....... включаю Web-Mail на любом другом свободном порту.......
(при этом, естественно, в правилах входящего трафика порт этот открыт)
С НАРУЖИ прекрасно РАБОТАЕТ

Как сделать чтоб WebMail на 80м порту РАБОТАЛ????????????