Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Kerio WinRoute Firewall (часть 2)

Автор: Evgeny_Sorokin
Дата сообщения: 29.08.2006 13:06
vidoq123
Угу, настроить... и ещё как-то VPN клиентам раздать адрес wins сервера... а в настроеках керио VPN что-то не нашел я этого..

dvk54
Ничего не понятно из вышесказанного, но две серых сети у меня с помощью KWF роутит нормально. (без НАТа).
Автор: vidoq123
Дата сообщения: 29.08.2006 13:14
Evgeny_Sorokin
хм.. настроить то настроил, только вот как дальше то его нормально настроить? там прописал только другие винс сервера (у меня они есть в другой сети), а свою локалку то как в кеш загнаьт чтобы вообще винс работал?
а керио клиентам как его раздать?
Автор: Evgeny_Sorokin
Дата сообщения: 29.08.2006 13:21
vidoq123

Цитата:
а свою локалку то как в кеш загнаьт чтобы вообще винс работал?

Клиентам свой сети прописываешь этот сервак с ВИНСом и всё.

А вот как выдать этот адрес клиентам керио ВПН, я к сожалению пока не догнал.
Автор: vidoq123
Дата сообщения: 29.08.2006 13:23
но ведь у тебя все стало нормально когда ты винс поднял...
у меня то он давно уже поднят оказывается...
но все равно обращение идет по имя+полное_название_домена
Автор: Evgeny_Sorokin
Дата сообщения: 29.08.2006 13:33
vidoq123

Цитата:
но все равно обращение идет по имя+полное_название_домена

В локалке или у клиентов VPN керио ?
Автор: vidoq123
Дата сообщения: 29.08.2006 13:45
Evgeny_Sorokin
в локалке все нормально, это у клиентов керио такое происходит, или полное имя писать с префиксом полного доменного имени, или ип адрес вводить.
Автор: dvk54
Дата сообщения: 29.08.2006 14:55
Evgeny_Sorokin
Пример:
[сеть А] <---- >{[ if 1 ] машина с KFW [ if 2 ]}<---->[инет]

Из сети "А", IP x.x.x.x, на интерфейс 1 приходит пакет для www.vasja.ru на порт 1234.
KFW должен проверить его по TP и молча транслировать на шлюз-по-умолчанию через интерфейс 2.
Т.е. сэр Вася, при анализе логов своего фаера, должен видеть пакет с адреса x.x.x.x , а не с машины-KWF.

Проверить экспериментально в данный момент нет возможности.
Автор: ICY_fire
Дата сообщения: 29.08.2006 16:46
vidoq123, а ты вообще пытался как-нить настроить DNS? Если да, то поподробнее пожалуйста...
Самый простой способ, думается - прописать соответсвующие записи в файле hosts у VPN клиентов, но это только если клиентов не много.


Автор: DeXterX
Дата сообщения: 29.08.2006 18:12
ALL, такой вопрос. Можно ли как-нибудь (средствами Керио или других программ к нему прикрученных) реализовать несколько тарифных планов для пользователей? Просто на спутнике цена за метр меняется в зависимости от времени суток, а вручную следить за количеством оставшегося трафа муторно...
Или если такое невозможно, предложите какую-нить другую прогу для раздачи инета. З.Ы. Юзергейт не предлагать - ИМХО трафик криво считает и глючен...
Автор: vidoq123
Дата сообщения: 29.08.2006 20:01
ICY_fire
на самом деле я уже заколебался настраивать днс, бесит просто...
самое прикольное, что я обноружил, - по идее если настроить внутреннюю сеть нормально (не знаю даже как) то при запросе из одной подсети определенного имени в другой подсети, он его нормально найдет...
т.е. у меня в городе имеются 4 подсети со своими ип адресами:
1. 192.168.44.ххх
2. 192.168.3.ххх
3. 192.168.4.ххх
4. 192.168.5.ххх
так чтобы мне из 4.ххх попасть на комп в 44.ххх я должен набрать его ип адрес, или же полное имя + домен, вида vidoq.domain.ru
а чтобы попасть из 44.ххх в 3.ххх (например) мне нужно опять же обратиться к нему по ип, или же по полноми имени pcname.domain2.ru
причем DNS сервер в винде настроен на то чтобы видеть имена других доменов, но опять же обращаться к ним придется по полному имени, короче не знаю я как сделать чтобы все было без домена....
отсюда причем беда появляется, керио не дает дать ип адрес из той же подсети к который ты подключаешься:
предположем у меня керио стоит в подсетке 44.ххх так ип у него будет не вида 44.ххх а вида 192.168.99.ххх - бесит прям. я думаю тут беда тоже имеется!

а может кто нить скажет чем виндовый впн сервер хуже? т.е. у меня и такой и такой поднят, но почему то я боюсь виндовому впн серверу доверять!!!
Автор: AnLe
Дата сообщения: 29.08.2006 20:36
vidoq123
Кто сказал что он хуже?
Возможно он в ковырянии с rras посложнее.

Тут проблема другая, часто натыкался, что провайдеры фильтруют протокол gre. (виндовый впн этот караз pptp (1723 tcp)+gre) А у керио он немного по иному сделан и такой фильтрации не боится.
Автор: Evgeny_Sorokin
Дата сообщения: 30.08.2006 06:08
vidoq123
DNS сервер на это и предназначен, он не будет никогда тебе пинговать по имени компа, для этого существует WINS-сервер. У меня правда всего две локалки 192.168.0.0/24 и 192.168.1.0/24. WINS сервера настроены и в той сетке и в другой, между собой они свои записи реплицируют и всё отлично пингуется по имени хоста..

PS. Возможно в виндовом ВПН сервере есть возможность прописать этот сервак для клиентов. Я просто не пробовал его ставить.

Добавлено:
dvk54
а x.x.x.x это (белый) адрес ?

Если да то как-то делал так: (но НАТ всё-таки пришлось использовать):
Компу у которого (белый) адрес x.x.x.x, из сети "А" прописываем серый адрес из сети y.y.y.y

На сервере с KWF на внешнем интрефейсе прописывал дополнительные(белые) адреса, как раз x.x.x.1 и x.x.x.2
и делал правила:

SOURCE DESTINATION service ACTION NAT/MAP
y.y.y.1 vasya.ru any permit nat:x.x.x.1
y.y.y.2 vasya.ru any permit nat:x.x.x.2

vasya.ru x.x.x.1 any permit map:y.y.y.1
vasya.ru x.x.x.2 any permit map:y.y.y.2

Что-то типа такого...

Автор: ICY_fire
Дата сообщения: 30.08.2006 10:21
Evgeny_Sorokin
позвольте вопрос =), а для чего же нужен DNS сервер?
По нижележащему ответу: это все понятно, но хотел спросить несколько иное, но не буду, ибо действительно оффтоп.
Автор: Evgeny_Sorokin
Дата сообщения: 30.08.2006 10:42
ICY_fire

DNS сервер переводится как сервер ДОМЕННЫХ имен, тоесть имя хоста+домен. соотвественно и пинговать ты сможешь только по имени хоста+домен к которому он принадлежит.

www.mail.ru:
www - имя хоста(скорее алиас для него)
mail.ru - домен

А для локалки как хочет vidoq123 нужен именно WINS который не имеет понятия о доменах, но хорошо справляется с именами хостов, сопоставляя IP адрес с именем хоста.


Добавлено:
ЗЫ. И вообще мы помоему уже полезли в оффтопик..
Автор: zas05
Дата сообщения: 30.08.2006 11:00
Подскажите пожалуйста какие файлы инишные нужно сохранить в архиве, чтобы установленные настройки фильтров (кабан и т.п.) постоянно не переустанавливать. Бывает, что нужно по работе кому-то что-то добавить,убавить, а потом не можешь вспомнить у кого что было.

Спасибо.
Автор: Evgeny_Sorokin
Дата сообщения: 30.08.2006 11:52
zas05
Все настройки в файле winroute.cfg
Автор: eheadz
Дата сообщения: 31.08.2006 00:45
Возникла проблема.

OS: Windows Server 2003 SP1 +AD
KWF: 6.1.4 patch1
DNS родной AD.

Все это на одной машине крутится, в trafic policy весь локальный трафик разрешен.
Месяц назад понадобилось сделать правило, содержащее dns-имя. Месяц все проработало ОК, однако вдруг порт закрылся (речь идет о доступе из интернета)
DNS-forwarder в KWF вырублен конечно, виндовый DNS по nslookup отдает запрос совершенно правильно. Захожу в KWF-консоль, на вкладку connections, жму "show DNS names"- локальные доменные ip превращаются в имена, нужный мне ip нет. В журнале filter вижу что KWF честно отбивает этот адрес.

Очень напрягает, к сожалению обновить KWF возможности пока нет.
Наведите на правильный ход мысли, пожалуйста
Автор: Hrist
Дата сообщения: 31.08.2006 10:22
Evgeny_Sorokin
zas05
если быть точнее то при архивации лучше сохранять...

[more=17.1. Резервное Копирование и Импорт Настроек]
Все настройки WinRoute хранятся в файлах конфигурации, в директории где установлен WinRoute:

winroute.cfg
Главный конфигурационный файл

users.cfg
Информация о пользователях и группах.

logs.cfg
Настройки журналов

host.cfg
Настройки для резервного копирования конфигурации, (настроек пользователей, баз данных сервера DHCP и т.д.)
[/more]

я вообще все cfg архивирую на всякий случай

+ папку logs - т.к. по логам разбираю кто чего качал да и вообще логи вешь не лишняя

+ users.stat - там статистика которую посчитал керио по юзверям...

Добавлено:
eheadz
у квра днс бывает поглючивает...
были мысли что он берет только первый из указанных в интерфейсе адресов днс серверов...
т.к. у тебя свой виндовый днс - то врядли тебе поможет эта мысль - но кто знает...
возможно нужно кеш днс-а почтистить в квр...
Автор: Evgeny_Sorokin
Дата сообщения: 01.09.2006 07:03
А кто-нибудь с винрутом использует ещё какую-нибудь защиту или может посоветуете какой-нибудь детектор атак, чтоб с винрутом не конфликтовал?

Добавлено:
Хотел ещё вопрос задать. У кого-нить сходится траффик тот, что показывает винроут с тем что допустим в конце месяца предостовляет ваш провайдер... У меня всегда приблизительно в 1,5 раза расхождение. Причем у винрута всегда меньше чем у провайдера.. Неужели он так криво считает ?
Автор: Cacka
Дата сообщения: 01.09.2006 10:20
подскажите плиз, каким образом можно вытащить из Керио статистику за предыдущий месяц и распечатать или сохранить в каком-нибудь общем формате?
Автор: Hrist
Дата сообщения: 01.09.2006 11:05
Cacka
если логи ведуться то есть ProxyInspector и http://www.wrspy.ru/news.shtml

боле менее правильно у меня получаеться сичтать с помощью ПИ - при включенных логах хттп и коннект на фтп,хттпс и прочих...
Автор: Evgeny_Sorokin
Дата сообщения: 01.09.2006 11:34
Cacka
Я пользуюсь Internet Access Monitor for Winroute 3.1
http://forum.ru-board.com/topic.cgi?forum=35&topic=15782&start=640#lt
На работу жалуюсь. Настроил отчеты(экспорт в html), подшаманил в PHP и вот наглядная статистика, каждые 10 мин текущий по пользователям, каждый день отчет за предыдущий день, и каждый месяц за предыдущий.. и т.д.
Автор: Hrist
Дата сообщения: 01.09.2006 19:46
попросили меня тут в сетку одну поставить два компа ну и посмотреть - что то письма не принимались...

[more=я был в шоке...]

вместо того что бы воткнуть адсл ные модемы в режиме бриджа скроссированные у провайдера один на другого для содеинения двух офисов - просто в свичи двух сеток с одинаковым адресным пространством - бывший админ вокнул их через юсб в машину на одном конце и в сервак на другом...

ну ладно - хочет через задницу - его дело..

но на обоих машинах поставил квр - только лишь для того что бы две сетки рутить одну в другую - инет ни кому раздавать не надо был...

правила - убией себя об стенку...

первое - в соурсах локальный и бридж - дестинейшен ани... ну ладно - ани в соурсах и дестинейшен ОЧЕНЬ ПЛОХАЯ ПРИВЫЧКА но типа работает ...

второе - абзац просто - в соурсах диалапный интерфейс - дестинейшен - ани и порты хттп и почта - ЭТО ЗАЧЕМ? что бы весь инетрнет видел всю сетку и мог хакать через эти проты ее??? причем судя по правилам - это типа было правило для работы в интернете гыыыыыыыыыыыыы

и в самом низу правило - соурс - этот сервак - дестинейшен сетевухи локальные и бриджа...

опять же - на серваке база стоит 1С - и правило разрешающее серваку стучаться в сетку - собирать список обозревателя сети и прочее в самом низу - не знал чел видно что правила обрабатываються сверху в низ... и правила для сетки локальной нужно ставить в самый верх...

в итоге почта и инет не работают совсем... дырка из инета в сетку... и сетка тормозит...

что я сделал - убил квр - воткнул бридж адсл в хаб и назначил ему ип из адресного пространства локалки, в другом офисе убил квр даже не смотря правила что бы не нервировать себя - и также воткнул бридж в хаб и ип поставил из того же пространства локалки - все получилось красиво и логично и работает на ура...

вывод. неплохо бы хоть чуть чуть знать челу логику квр-а а она проста.. нужно всего лишь четко представлять откуда и куда и какие пакеты хочешь слать...
[/more]
Автор: discreet
Дата сообщения: 01.09.2006 21:01
Люди, помогите
Мельком глянул тему, времени совсем нету, но толком не нашел советов, по своему вопросу.
Есть два компьютера, которые соединены в локальную сеть. На первом - выход в интернет через ADSL, на втором (на нем две сетевухи) - "инет по кабелю" (домашняя сеть или типа того).
Нужен ли WinRoute, чтобы юзать на первом компьютере интернет со второго, и если да, то как нужно настроить WinRoute (на обоих машинах?), чтобы юзать параллельно и ADSL и "инет по кабелю"? Пытался прописать в настройках первого компа второй, в качестве шлюза и "инет по кабелю" некоторое время работал, но потом перестал. Пров предупреждал, что комп каким-то образом ограничивается (по мак адресу?) и поэтому вывести сеть в инет будет не так просто.
Надеюсь получилось не очень путано

P.S. хелп винрута тоже глянул, простых how-to для подключения компа через другой к инету не нашел. Если оно там есть, направьте, изучу
Автор: Efrome
Дата сообщения: 02.09.2006 17:24
Напишите пошагово, как в Kerio 6.2 реализовать на компьютере с тремя сетевыми картами:

локальная сеть
ADSL Интернет
домашняя сеть Интернет

доступ в Интернет по обоим линиям. Нужно, чтобы этот компьютер шел в Интернет через ADSL Интернет, а пользователи, подключающиеся через Локальную сеть, шли в Интернет через домашнюю сеть Интернет

ОС: Windows Server 2003. Для подключения к Интернету через домашнюю сеть Интернет устанавливается подключение по VPN с сервером провайдера.
Автор: PitBull
Дата сообщения: 02.09.2006 17:40
У меня маленький вопрос:
Привык пользоваться windows counters (perfmon). Так вот после установки winroute фаера цифры подскачили раза в 2.. Очень неудобно ориентироваться. Как вернуть обычную метрику, не отрубая winroute?
Автор: andymo
Дата сообщения: 05.09.2006 19:11
Народ, странные траблы.... Поставил версию 6.2.2-1746 - в перезагрузку... и синий экран насколько я понимаю рушит все vpn-драйвер... как же его победить?
Автор: dvk54
Дата сообщения: 06.09.2006 06:09
andymo
..reset...F8... дальше по обстоятельствам. Говорят, боги анализируют системный журнал и загружаются с протоколированием...
Автор: Mushroomer
Дата сообщения: 06.09.2006 08:21
[off] А что, картинка в шапке загружается по https?[/off]
Теперь проблема. Работала у меня аутентификация пользовалелей - горя не знал. Долго работала. Но в последнее время стал я замечать (по отчетам Proxy Inspector), что есть сайты, на которые я не хожу. Поставил последнюю версию 6.2.2-1746 - тоже самое. Причем я сижу за самим прокси-сервером и никто кроме меня там не сидит и сидеть не может. А каким-то образом народ умудряется за другим компом ходить подо мной. Пароль, я почти на 99% уврен, никто не знает. Мне кажется, что я неправильно настроил авторизацию пользователей. Период неактивность - 5 секунд и раньше окно авторизации выскакивало очень часто, а теперь 1-2 раза в день . Как правильно настроить авторизацию? Есть домен с AD.
Автор: bredonosec
Дата сообщения: 06.09.2006 20:14
Mushroomer - может это картинки/скрипты/ифреймы/флешки/апплеты/.... с других сайтов, интегрированные в страницы, по которым ходишь?

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869

Предыдущая тема: Microsoft Exchange Server


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.