» Настройка Kerio Winroute серии 5.x и 6.х

kutikovav
как на счёт правил... а? может у тебя только http и разрешено .. а pop3 smtp нету

to ALL
кто нить знает как можно изменить web интерфейс Керио?
там всё упакованно при помощи zend optimizer ...
как распаковать?

to kutikovav

Желательно написать какие правила для почты установлены и запущены,
причин может быть много.

У меня 6-я версия. Настраивал правила с помощью визарда. И в правилах NAT и в "файервол-интернет" указаны pop3 и smtp. Пробовал сделать отдельные правила с помощью мапинга (нашел рекомендации на стр.46, кажется) - аутлук настроить на порт 5000 например, а в правилах перенаправить на почтовый сервер. Нифига. И главное, если включен NAT должно же все работать! Помогите плз.

kutikovav
а можешь где нить скриншот правил выложить?
а в логах что? ты включал логи для NAT ... неплохо бы почитать чё там написано
какие настройки на клиентах?

Если ящики внешние, то используются порты 25 и 110. Почта не работала изначально или потом перестала? Кроме pop3,smtp должен быть еще dns > работает ли инет через proxy или nat? Поставьте правило с nat вверх списка, при попытке соединения смотрите- работает ли правило.

Кто имеет 2 и более внешних интерфейсов (интернет) в KWF 6.2.1?
Подскажите, есть ли возможность и как сделать доступным внутренний Web-сервер
одновременно с 2-х внешних интерфесов.
У меня получается либо с одного либо с другого
Пример:
WAN1- внутренний IP-10.10.10.1 ADSL-195.161.112.60 (интерфейс шлюз по умолчанию)
WAN2- внутренний IP-10.20.20.1 ADSL-82.200.34.25
Мап портов сделал все работает но только (одновременно) с одним интерфейсом (который шлюз по умолчанию). т.е. один и тот же клиет из вне не может зайти по WAN1, а потом WAN2.
Пробовал прописать в Routing table IP сеть внешнего клиета - тогда входит по WAN2, а по WAN1 соответственно нет.
...я так понимаю проблема в маршрутизации KFW или Win2003, возможно

Товарищи спецы! Помогите разрулить такую проблему. Есть выход в Инет. Поставил на xp-станцию kwf6. Сделал его прозрачным прокси (transparent). Поднял NAT. Включил аутентификацию. Включил DNS-forward на внешние DNS. С компа, где установлен kwf, все имена ресолвятся нормально. В инет все выходит отлично. Но на станциях в лок. сети не все имена ресолвятся. Т.е., например, на раб. станции ping www.ya.ru срабатывает, а ping www.polit.ru нет. А на сервере все работает ок. Что это может быть и как побороть эту проблему? Заранее большое спасибо за ответы.

Starry,
на станциях, например, должено быть прописано в настройках сетевой карты (это если у тебя DHCP в KFW не включен и не настроен правильно):
шлюз по умолчанию: IP сетевой карты которая смотрит в локалку машины c KWF
DNS: IP сетевой карты которая смотрит в локалку машины c KWF
в настройках KFW - Traffic Policy правило:
ICMP traffic - источник: Firewall, назначение: All, Сервис: Ping, Action: Permit.
------
а на другие внешние хосты пинг со станций срабатывает? может это проблема только с одни хостом?

Sled
Все так и прописано. Дело в том, что пинг на станциях срабатывает примерно на 60% внешних хостов. На сервере - на 100% хостов. Возможно, это как-то связано с двумя NATами - по VPN подключаюсь к правайдеру через его NAT, а лок. станции работают через NAT kwf? Или DNS forwarder в kwf глючит (версия 6.2.1.1454)?

Starry
Прочитай мое сообщение
http://forum.ru-board.com/topic.cgi?forum=35&topic=28826&start=860#19
один-в-один то, что ты наблюдаешь.
Плюс какие-то внутренние глюки Керио - если его снести и поставить заново, то с очень большой вероятностью проблема также исчезнет.
О результате шаманства сообщи.

ilion
Сообщаю результаты шаманства. Отключил DNS forwarder в kwf6. Поставил маленький DNS сервер (haneWIN DNS) на комп с kwf. Первичным DNS является dns в локалке, если запрос не обработан, происходит forward на 3 внешних DNS - и все работает (процентов 95). Некоторые сайт все равно пингуются только с сервера, но их стало значительно меньше!
Вывод: днс-фавордер в керио - г**но.
Большое спасибо за советы.

Цитата:

Вывод: днс-фавордер в керио - г**но.

А як же!

WIinroute версия 6.2.1 билд 1454
падает раз в три дня с ошибкой - (1002:1450) Internal error: Cannot retrieve information on network adapters

Доброго времени суток.
Помогите ламеру понять работу KWR.

Есть WinXP SP2. Стоит KWR 6.2.0. Две сетевые. Одна смотрит в инет (подключение в инет по PPPoE называется Ukrtel). Другая во внутреннюю локальную сеть. Ничего вроде сложного.

Есть машины в локальной сети, которые пользуются некоторым набором благ интернета (аська, http, ftp, pop, smtp и т.д.). Эти айпишники я "тыкаю носом" в фаервол и в фаервольном правиле говорю какие сервисы я разрешаю пользовать. Что-то подобное такому набору правил:
Name Source Dest Service Action Translation Protocol Inspector
User Inet 192.168.1.22 Firewall Any Permit
Firewall trafic Firewall Ukrtel Http,icq,etc Permit

Но есть другой тип компьютеров, которые пользоваться благами интернета не могут, но по долгу службы должны ходить на некоторые служебные адреса по протоколу https.
Для них создано следующее правило (62.141 - инет адрес):
Name Source Dest Service Action Translation Protocol Inspector
VMT 192.168.1.52 62.141.???.??? https Permite

Над вышеописанным правилом весит только правило НАТа и трафика в локальной сети:
Name Source Dest Service Action Translation Protocol Inspector
Local Traf LAN LAN Any Permite
Firewall

Так вот. В правиле локальной сети если в Dest не поставить Firewall - то работать не будет. И ставить мне в Dest Firewall нельзя. Не нужно чтоб эту машину пинговали, видели и т.п. Могу я обойти это ограничение каким-либо образом учитывая все условия? Нутром чую, что могу и сделать это легко, но как допетрить не могу.

Помогите плиз.

Объясните вкратце, как подружить сабж с пользователями из АД? Как одной группе из АД задать время и квоту, а другой разрешить все?

Привет All! У меня ещё вот какой вопрос, подскажите как безболезненно перенести уже настроеный Керио с одной машины на другую, другими словами где Керио хранит настройки там всякие пользователей, полиси, всякие правила и.т.д...
Спасибо......

Здраствуете, помогите. Настроена связь с Инетом через KWR. И надо настроить конект через диал-ап, к другой сети. При конекте пропадает связь с Инетом.
внутрений IP 192.168.0.*
внешний IP 85.113.*.*
внутрений dial-up IP 10.0.1.*
При конекте, основной роутинг замещается свежим диал апом. Назначения статического не помогает.

Dor
имхо, проще копирнуть папку с сабжем на другой комп и поставить сверху новый

Eqwind
оключи antispoof.
или как вариант пропиши все маршруты коммандой route


DorPatrician

единственный вариант(imho):
т.к. керио пишет в правилах интерфейсы то
надо установить на новом компьютере kerio открыть
winroute.ini и вдумчиво переносить строки в новый winroute.ini
user.ini можно(нужно) переписать старый.

можно впринципе и сразу кинуть winroute.ini но потом
будет некрасиво везде где есть интерфесы. и еще правила придется подправить
т.к. старых интерфейсов то уже нет.
но работать будет.

Patrician
не очень понял что требуется но понял вот что(поправь еси что):
требуется чтобы компьютер A имел доступ к https://microsoft.com через proxy но не имел возможности пинговать(ну и всё остальное) proxy.

тогда так:
proxy(компьютер с KWR) должен быть шлюзом для этого сайта, либо быть прописан на шлюзе(в случае если есть маршрутизатор) что для интернета идти через proxy(компьютер с KWR)
далее в правиле для компьютера "A" создаем правило которое разрешает ему http сервис и в графе translation выбираем NAT (defult outgoing interface).
для того чтобы он ходил только на одни сайт https://microsoft.com мы создаем пользователя и присваеваем этому пользователю через опцию automatic authorization ip адрес. затем в http policy создаем правило которое будет разрешать пользователю ходить на сайт https://*microsoft.com/* ,и следом (именно следом) правило которое запрещает пользователю ходить на *(т.е. все url)

хотя ситуация может быть и проще в реальности. но я понял так если что поправь чё не так понял.

Patrician

Цитата:

Так вот. В правиле локальной сети если в Dest не поставить Firewall - то работать не будет. И ставить мне в Dest Firewall нельзя. Не нужно чтоб эту машину пинговали, видели и т.п.

Ставить Firewall в Dest НАДО. Иначе он просто нафиг пошлёт всех и будет созерцать свой пуп А вот если хочешь, чтоб его кто-то не видел - выше правило, запрещающее на Dest: firewall Source: (кто не должен видеть) netbios : 135, 137, 139. Или лучше вообще отключи netbios и microsoft client на сетевухе, смотрящей в LAN. Аналогично можно и пинги изнутри запретить, но IMHO это дюже сурово, да и тебе мешать будет - что-нибудь проверить etc. Главное - помнить, что правила действуют сверху вниз, или разрешить внутри локалки на firewall только нужные сервисы.

Здравствуйте.
Подскажите пожалуйста возможно ли сделать трансляцию smtp, т. е.
я таскаю ноут домой и на работу, у меня дома почта отправляется через smtp.mail.ru
а на работе можно слать письма только через smtp провайдера.
Не хочется каждый раз bat перенастраивать
Спасибо

привет всем! помогите пожалуйста найти статью
подобную вот этой
http://www.internetaccessmonitor.com/rus/support/docs/winroute/

но только с кучей примеров и либо в одном файле типа помощи, либо всё в архиве, по 6 версии винрута, спасибо огромное заранее!!!


собственно у меня следующая проблема,
у меня появилась тарела не так давно, и блин облом нужно работать с использование VPN туннеля,
раньше было как

вообщем обычный модем, 6-ой винрут,
всё идеально и просто, раздача в сеть и и ничего больше,
а вот с моим случаем сейчас ,я ещё не встречался,

чтобы пакеты приходили со спутника, а отправлялись по всё тому же обычному модему, как настроить это в винроутере?

может кто столкнулся решил и успешно использует, очень срочно надо!!!!!!!!!!!!!!

Нигде не могу найти как заставить авторизоваться при любом запросе на любой внешний порт.
В сети dhcp - значит привязка по ip не катит.
Создал группу по именам компьютеров - нифига не обрабатыает.
Как заставить авторизоваться?

раз в 1-2 дня падает инет на адсл. в логах пишет вот это


[25/Jun/2006 02:05:20] Line "1" dropped, connection time 15:31:50, 215192227 bytes received, 8035909 bytes transmitted
[25/Jun/2006 02:05:24] Line "1" is persistent, connecting ...
[25/Jun/2006 02:05:29] Line "1" disconnected
[25/Jun/2006 02:05:30] Line "1" is persistent, connecting ...
[25/Jun/2006 02:05:34] Line "1" disconnected
[25/Jun/2006 02:05:36] Line "1" is persistent, connecting ...
[25/Jun/2006 02:05:40] Line "1" disconnected
[25/Jun/2006 02:05:42] Line "1" is persistent, connecting ...


связь не восстанавливается пока не перезагрузишь комп...как можно решить эту проблему?


стоит керио Version 6.2.0 Patch 1

BlackFox

Цитата:

раз в 1-2 дня падает инет на адсл.

Сталкиваюсь на одном серваке с похожей проблемой. От версии КВФ похоже не зависит. Наблюдения такие: если VPN-коннект разорвал пров (таймлимит подключения), то почти тут же восстанавливается и подцепляет. А если завис сам модем, и был передернут по питанию, то сервер именно хочет перезагрузки. Похоже, как-то времена, что ли, в ОС и КВФ не стыкуются... Решения не знаю, и не очень представляю, как отмакетировать - тем более что модем не личный, а на целую локалку, и физически недоступен.

CuS
короче решения проблемы нет?.

История такова, поставил Керио последней версии со стандартными настройками, 2 дня - полет нормальныи, потом намертво отрубилась сетевуха глядящая в локалку. Поставил более старую версию - нормально проработало месяц, потом опять намертво закрылась локалка. Это что такое?

Таки никто не подскажет как сделать обязательную авторизацию при обращении по любому порту в нет?

BlackFox
Я не нашел. Возможно, кто-то из гуру...


Добавлено:
Kornholio

Цитата:

нормально проработало месяц

Очень похоже на неотключенные обновления и керио.ком. Так оно мстит - даже пинги не идут...

Цитата:

История такова, поставил Керио последней версии со стандартными настройками, 2 дня - полет нормальныи, потом намертво отрубилась сетевуха глядящая в локалку. Поставил более старую версию - нормально проработало месяц, потом опять намертво закрылась локалка. Это что такое?

что пишет в Warning-логе? сообщение 2007? если да, последи за сабжем повнимательнее.. после первого случая, когда сабж просто перешел в режим STOP, я отрубил автоматическое обновление сабжа, но, внимание, СООБЩЕНИЕ 2007 ОПЯТЬ ПОЯВИЛОСЬ, даже несмотря на отключенную фичу автомат. обнавления.. задумываюсь о переходе на старую версию сабжа, в ктр не реализована система слежения и мести..