» WAN->LAN MAP (port-mapping) в Kerio Winroute

Добрый день.

Итак, задача. Есть роутер аппаратный,компьютер с kerio winroute в качестве программного и наконец сервер.

Пакеты приходящие из интернета перенаправляются на kerio winroute считаем грубо, что у нас компьютер с kerio с обычным модемом и интернетом.

Теперь этот компьютер с интернетом должен перенаправлять пакеты приходящиее на него к серверу. Вот это у меня в kerio сделать и не получается. Какие будут варианты?
Можно конечно перенаправлять не все, а допустим только ftp.

Добавлено:
Т.е. нужно получить обратное NAT. Должен быть как LAN -->WAN так и WAN-->LAN, но последнее почему-то не получается

monokius
для реализации подобного в WinRoute есть порт-маппинг...
так можно опубликовать наружу например свой внутренний FTP сервер... и там уже задается NAT внешнего интерфейса на внутренний и даже можно указать на какой IP и на какой порт все это добро пересылать
обрисуй задачу точнее.. какие сервисы и какие порты... правило помогу написать

http://slil.ru/22529302

Здесь я разместил картинку (24Kb) организации сети.

Да, по сути мне, пожалуй, этот порт-маппинг и нужен.
Итак попробую на словах описать ту картинку, если Вы решили её не скачивать.

Аппаратный роутер (статический внешний Ip 83.239.71.114). Внутренний Ip этого роутера 192.168.2.1. Он перенаправляет все пакеты из Internet на компьютер 192.168.2.2. И наоборот все пакеты с компьютера 192.168.2.2 успешно уходят в интернет.

Программный роутер (Kerio Winroute Firewall) имеет два интерфейса: один именуется WAN имеет адрес 192.168.2.2, другой именуется LAN, имеет адрес 192.168.1.1.
Этот компьютер успешно раздает всем в локальной сети исходящий интернет, но входящий пока имеет только на себя, а нужно, чтобы ряд портов, в частности FTP сервиса, он перенаправлял на компьютер 192.168.1.10

Если нужны какие-нибудь еще уточнения, пожалуйста, спрашивайте.
Спасибо за внимание и помощь.

Не пойму в чем проблема. В Traffic policy запускаешь wizard и на 6-м вроде шаге добавляешь (Add..) протокол и IP. Все.
Настройка Kerio Winroute серии 5.x и 6.х

Почитал я доку про порт-мэппинг. По идее значит нужно добавить правило:
Source:WAN
Destination:192.168.1.10
Service:FTP

Хотя вроде пробовал я и так. Ну, ладно, еще раз попробую.

Добавлено:
Кстати говоря маленький вопрос к этому еще, а как разрешить доступ к самому Kerio Firewall, если я хочу использовать консоль администратора из вне?

Source:WAN
Destination:Firewall
Service:FTP
Translation: MAP192.168.1.10
Вроде так.

Ici Chacal
одно маленькое уточнение... я не уверен что такая конструкция будет работать.. нужно задавать диапазон портов для пассивного режима.. иначе через winroute (имхо) не получиться опубликовать внутренний фтп

Большое спасибо. Моей главной ошибкой было то, что я не замечал поле Translation. Поэтому и не получалось сделать,что требовалось.

А для пассивного конечно понадобятся порты. В моем случае диапазон 5000-5100.

Ну и повторюсь хотелось бы узнать какой порт нужно открывать для доступа к консоли через интернет. Речь не идет о веб-консоли, а об обычной

monokius

Цитата:

Речь не идет о веб-консоли, а об обычной

Не понимаю о чем ты. Если об удаленном рабочем столе, то в WR он описан стандартно, как служба RDP, хоть это и не служба, но в общем понятно.

monokius
44333, если память не подводит. Посмотри на вкладке сервисы - там описание ниболее известных сетевых сервисов, в том числе есть и консоль Kerio.

hoochie

Цитата:

44333, если память не подводит

Таки подводит. 3389 TCP если мне память не изменяет.

Ici Chacal
выдержка из WinRoute Help:

Цитата:

Remote administration can be either permitted or denied by definition of the appropriate traffic rule. Traffic between WinRoute and Kerio Administration Console is performed by TCP and UDP protocols over port 44333. The definition can be done with the predefined service KWF Admin.

короче правило:
Source — диапазон IP с которых будет разрешен доступ
Destination — Firewall
Service — KWF Admin
Action — Permit
Translation — no translation

Для доступа по Удаленному рабочему столу, если не ставились проги типа 2X Secure RDP то аналогичное правило, только в поле Service ставим RDP (TCP 3389)

Всем спасибо. Все получилось. Теперь надо будет подумать о приобретении продукта.

Ici Chacal

Цитата:

Кстати говоря маленький вопрос к этому еще, а как разрешить доступ к самому Kerio Firewall, если я хочу использовать консоль администратора из вне?

Ключевое словосочетание "консоль администратора".
Ты указал ему мелкомягкий rdp. Возможно для тебя это будет новостью, но консолью керио можно (и нужно) управлять через собственный протокол, который висит на 44333.

Да, всем спасибо, я имел ввиду действительно KWF Admin service (44333), а не RDP

hoochie

Цитата:

Возможно для тебя это будет новостью, но консолью керио можно (и нужно) управлять через собственный протокол

Ты серьезно? Т.е. для каждого разработчика я должен изучить его собственный протокол. Чехам - чехово, америкозам америкозово. Голова не опухнет?
Возможно для тебя будет новостью (с), но лучше стандартизировать исходящие правила, да и вообще стандартизировать и автоматизировать работу; а если у тебя здесь "керио", там "вингейт", а поодаль "иса", да и еще много чего есть, то эта стандартизация становится невозможной. В случае с "керио" почти готов согласиться, но вот что-то не хочется вешать лишний сервис и фсе тут. Лучше иметь одну потенциальную дырку, чем несколько, вы не находите?

В общем считаю, что тема есть дубль. А автору лучше заменить NAT на MAP в названии, для пущей полезности.

2 Ici Chacal. Автор специально поставил вопрос после слова NAT, так как не знал уверенно, что это будет. Потом менять тему здесь можно разве если просить модераторов.
Касательно дубля - я конечно не удивлюсь, если эта тема уже подымалась, но к сожалению иногда сложно поставить такой поиск, чтобы найти нужное. Поверьте, я всегда сначала пытаюсь найти ответ, прежде чем задавать вопрос.

Еще раз всем спасибо!

monokius
На то, что тема по Kerio существует, я указал в первом своем посте. И не без умысла. По правилам спрашивать надо в существующих темах. А название поменять проще простого, тебе надо отредактировать первый твой пост. Объясню зачем: если в будущем, кто либо захочет узнать про мапинг портов, есть вероятность, что он наберет в поиске именно MAP, но никак не NAT. И наоборот, интересуясь "натом" и набрав NAT пользователь найдет не нужную ему тему про мапинг.

Спасибо, теперь буду знать как менять тему. Касательно темы про правила Winroute - все хорошо, и, возможно, там даже есть ответ на мой вопрос, но так как тема не систематизирована (что есть нормально для форума) - то там просто зароешься, чтобы найти ответ. Больно уж широка тема (в ней около 1200 постов!). Так что я считаю, что существование таких конкретных тем как эта - не так уж и плохо. Хотя, конечно, каждому свое.

Возникла проблема с Kerio
Мне необходимо расшарить на ощий доступ из вне FTP сервер внутри сети (за Kerio)

Сделал правило:

Source: Inet (извне)
Destination: Firewall
Service: FTP
Translate: 192.168.0.189 (внутренная машина)

Но! Тут проблема.
указываю ftp://адрес сервера

Ввожу логин и пароль для входа на ftp
аутентификация не проходит.
когда отключаю правило - то же самое.
такое ощущение что Керио сам запрашивает какие-то логины и пароли для входа на FTP
плиз помогите разобраться.

В логах ftp сервера нет даже попыток аутентификации с сервера, где стоит сам Kerio

Ftp сервер Gene6 FTP Server
Kerio 6.2.0 build 1323

для Gene6 FTP в мануале есть наиподробнейший пример как делать публикацию фтп сервера через керио

в кратце - надо включить пассивный режим и разрешить работу не только с портом 21 (и 20) но и что-то за пределами номера 60000

если не найдешь - пиши в личку.. скину пример рабочего конфига как буду на работе

Добавлено:
вообще ответ в свое время давали в этой вот ветке

но на всякий случай:


Цитата:

внимательно прочитаете хелп от Gene6FTP server... там достаточно подробно описан процесс завязки Kerio WinRoute (6 кажется) и FTP сервера. у меня разнесено это дело на две машины и в траффик полиси стот два правила:
1) Name: ftp_inc
Source: Any
Dest: Firewall
port: TCP-21 and TCP-50000...51000
Nat to Lan, Map to <FTP_server_hostname>
2) Name: ftp_out
Source: <FTP_server_hostname>
Dest: Wan
port: TCP-20 and TCP-50000...51000

и все работает. само собой в Gene6 задан диапазон пассивных портов 50000-51000

З.Ы. диапазон пассивных портов строго говоря стандартизирован и ограничивается 49152-65534 но можно брать более узкий диапазон, главное чтобы он совпадал на сервере фтп и в портмаппинге керио )

родной мануал от Gene6 FTP в русском варианте тута
в нем есть раздел 4 - работа за маршрутизатором

IJCuper
огромное спасибо
сколько бился
сколько раз бросал это дело
как бы все и понимал
и порт маппинг включал
но работало только на сервер
к которому подключен был модем
оказывается надо было НАТ включать в локалку
на входящем правиле


Цитата:

Name: ftp_inc
Source: Any
Dest: Firewall
port: TCP-21 and TCP-50000...51000
Nat to Lan, Map to <FTP_server_hostname>