» Настройка Kerio Winroute серии 5.x и 6.х

По многочисленным просьбам системных администраторов разделили общую тему по настройкам различных серий прокси серверов версий WR 4.х и KWR 5.х на две.
Пожалуйста, обращайте внимание:
В этом топике только серия KWR 5.х и выше
Настройка серии WR 4.x и старые вопросы по KWR 5.х (по состоянию на 19.01.2004 г.) в теме:
Настройка WinRoute 4.x

---

Офф. сайт:
http://www.kerio.com/kwf_home.html
http://www.kerio.com/wrp_home.html



Цитата:

Kerio WinRoute Firewall 5™ sets new standards in versatility, security and user access control. Designed for corporate networks, it defends against external attacks and viruses and can restrict access to websites based on their content.
Kerio WinRoute Pro™ is a robust network firewall that protects your network from hackers and Internet threats. It easily connects the network to the Internet using various access devices. Built-in mailserver allows users to have their own corporate email.

Смежный топик в программах.
Лекарство ищем тут

Давеча перешел на Winroute 5.1.9 с Winroute 4.2.5 и вроде бы все тип топ, но очень туго общается с машинами в локалке на которых стоит Win98, с NT-шными машинами все нормально. В старом Winroute такого не было.

Помогите, плз, с проблемой.

KWF не устанавливает Dial-Up по требованию.

Домашняя сеть подключена через мой сервер (Win2kServ+KWF5.17) к районной LAN.
Для доступа в инет надо создать VPN-подключение, которое у системы и KWF считается Dial-Up'ом.
Так вот по требованию (on demand) оно не устанавливается.
А если висит постоянно (persistent) - идет дополнительный служебный трафик.
Пусть он копейки стоит - неприятно.

Вроде бы все облазил - не нашел.
Что можно сделать?

Господа, подскажите, можно ли настроить WinRoute для работы в качестве прокси с Putty?

У меня такая проблема. После установки Керио 5.1.х как-то коряво начинает работать FlashGet: все закачки идут в один поток (с любого сервера независимо от поддержки многопоточности), при обрыве или остановке закачка возобновляется с начала (а не с прерванного места) и раза в 2-4 упала скорость. Доступ снаружи к ФТП-серверу тоже не получается: доходит до стадии чтения каталога и затыкается. Как это все настроить?

Problema takaja

Kak nastroijt shtobi rabotal httpS ??????

У меня вопрос. Есть работающая сеть. На серваке стоит NAT, Active Directory+DNS, настроено подключение через VPN в инет. Все организовано штатными средствани Windows 2003 Server EE. Но неусраивает меня никак этот "Basic firewall". Нужно что-то более гибкое и удобное. И не помешал бы прокси. Вот я и задумал поставить Kerio WinRoute Firewall 5.1.10. Но насколько я знаю, в нем есть, помимо файрвола и прокси и роутера, еще и свой NAT и еще чего-то там. Вот я и боюсь, что он мне все мои настройки похерит виндовые. Похерит или не похерит? Можно ли будет врубить только файрвол+прокси _без_ НАТа и роутера? И вообще, может я зря на этот WinRoute смотрю и есть какие-то лучшие варианты? Нужен только Firewall+Proxy.

ISLov

Цитата:

У меня такая проблема. После установки Керио 5.1.х как-то коряво начинает работать FlashGet: все закачки идут в один поток (с любого сервера независимо от поддержки многопоточности), при обрыве или остановке закачка возобновляется с начала (а не с прерванного места) и раза в 2-4 упала скорость. Доступ снаружи к ФТП-серверу тоже не получается: доходит до стадии чтения каталога и затыкается. Как это все настроить?

Выключить антивирус.
Без него будет тебе и много потоков во флешгете, и докачка...

А вот мой вопрос:
- дропаются у меня вот такие пакетики

Код: 12/Mar/2004 13:17:41] DROP "Default traffic rule" packet from External, proto:UDP, len:73, ip/port:my.DNS.IP:53 -> my.External.IP:47580, udplen:45

с проблемой столкнулся Winroute Firewall 5.1.10
нужно поделить юзеров на две группы
1. Имеют Инет и аську
2. Имеют только аську
убился а не сообразил как разрулить

acidr
Наверное, так.
Для инета и аськи - source: группа работающая по правилу 1; destination: nic внешней сети; service: HTTP (наверное ты это имел ввиду, подразумевая иметь инет), HTTPS (если юзеры пользуются шифрованным протоколом и гоняют через инет кучу денег ), ICQ, DNS;action: permit; translation: NAT.
Для аськи то же самое, но заменить группу 1 на 2 и выкинуть HTTP и HTTPS.

acidr
А в чем проблема-то?
Для всех интернет запрещаешь а аську разрешаешь.
Создаешь группу тех, кто имеет интернет и разрешаешь его для этой группы.
то, как именно разрешать/запрещать интернет зависит от того, что ты под ним понимаешь (скорее всего доступ к порту прокси или доступ к 80му порту наружу если под "юзерами" понимаются ip, или соответствующая галка в http политике, если это именованые юзеры)

Все сделал ...неработает где грабли не понимаю
мне нужно резать инет юзерам не по айпи а по логину
обьясните пошагово как это сделать ...



Добавлено

hoochie
сделал все как ты сказал


Sav
в хттп политке создал два правила
1. резать всех
2. пустить группу
все равно она всех режет ... что неправильно сделал ?

Цитата:

Sav
в хттп политке создал два правила
1. резать всех
2. пустить группу
все равно она всех режет ... что неправильно сделал ?

Включай отладку, там прекрасно все видно какое правило когда срабатывает.

Цитата:

мне нужно резать инет юзерам не по айпи а по логину

Попробуй использовать группу, созданную по IP. Если будет работать, копай авторизацию по логину.

Цитата:

в хттп политке создал два правила
1. резать всех
2. пустить группу

Сейчас подумал, может ты эти правила именно в таком порядке и разместил? Их надо местами поменять.

пробовал по разному ... изврящался сегодня весь день всяко ...
и пришел к мысли что у меня проблемы с НТЛМ аутентификацией
завтра попробую резать группы по айпи
да еще вопрос, в трафик полис разве по логину резать нельзя ? группы же прописывать там пожно вроде

Цитата:

Выключить антивирус.
Без него будет тебе и много потоков во флешгете, и докачка...

Любой антивирь? У меня стоит McAfee Enterprise, мониторинг я отрубил, но трабла осталась...

да еще ...
если ставлю резать всех тоесть эни юзер то они естественно режет всех ..
а если выбираю группу со всеми юзреми то она не режет .

Вопрос: можно ли поставить на ХП про с установленным КАВ 4,5,094 ВинроутФаер 5,1,10 с встроенным Маккафи ??

Добавлено
====Пока стоит CCproxy, а раньше был ВинГад 4,5 --> 5.2.....

alexmats
Практически не пробовал, но работать должно.
Ведь KAV в режиме монитора пашет, а McAfee проверяет файлы по запросу KWF.
В любом случае, удачи! Она понадобится

У нас АДСЛ в LAN через Винроут транслируется при помощи NAT. При этом стоит прозрачный КЭШ.
Есть вопрос к спецам. Трафик провайдера 2.8 Гб - а в Винруте 3.2 Гб... Как с этим бороться может кто знает?
К примеру - пользователь геймился в ГТА ВайсСити... По Винроуту - 50 Мб... а реально 34 ( проверено обнулением статистики)
Кто борится с такими проблемами? - или я один такой

miasnikov andrew
ага.....
ладно, НортонХостом образ сделал, и вперед!
удача!!!!!!! где ты????

Добавлено
Поставить - поставил, а вот кинуть адсл в "народ" н6е получается...
Как прописать что, обьясните, кому не в лом! И в ВинРоуте, и на локальных машинах.
А также вопрос: как настроить на локальных машинах БЭТ?
Версия ВинРоут 5-1-10

alexmats
1. Запусти wizard для начальной конфигурации KWF.
2. HTTP раздается пользователям после авторизации => отключить авторизацию/создать пользователей
3. на клиентах прописать в браузерах стандартный прокси ip_сервера:3128

Добавлено
сорри, я сейчас не могу точнее. сервера нет под рукой

miasnikov andrew
???
можешь по пунктам (терминами ВР)

sorry...

0. Ставим и запускаем KWF (в первый раз он сам предлагает настроить все мастером, т.е. wizard).

1. Configurations/Traffic policy. Кнопка [wizard]
Цитата:

Traffic policy rules can be defined in Configurations / Traffic Policy. The rules can be
defined either manually (advanced administrators) or using the wizard (recommended).

задать надо будет:
- Ethernet, WaveLAN, DSL, etc. или Dial-Up, ISDN, etc.
- public interface (который с интернетом); интернет-сервисы доступные для LAN
- доступ из интернета к серверам внутри сети
- NAT (вкл/выкл)

2. Смотрим на то, какие правила (Traffic policy) создал мастер.
Учимся. Дописываем свои, если надо.

3. Пробуем лезть с локального компьютера в интернет, указав в браузере ip и порт прокси-сервера (обычно 3128).
Должна выскочить pop-up аутентификации.

Логин - администраторский, пароль тоже.
Если покатило - все сделали правильно.
Задаем пользователей (логины, пароли).

Если нет - сообщаем проблему. Чем можем - поможем

miasnikov andrew
спасибо, буду пробовать.

Osysopov
пока особых расхождений не замечал...
а ты где/чем смотришь траффик?

Osysopov
Первым возник тот же вопрос шо у Андрюхи:
какой прогой траффик шитаешь?

А кто знает где WinRoute Firewall 5 хранит настройки?
Как их можно забекапить при переустановке компа?

stalker780
Вроде как все *.cfg файлы в установочной директории