» Kerio WinRoute Firewall (часть 2)

Serg0FFan
то же вариант...
Arakcheev
а вот там - http://forum.windowsfaq.ru/showthread.php?t=17253&page=507&pp=15 чел пишет:
Цитата:

счего оно будет работать? ведь НАТ - это просто таблица и механизм замены адреса отправителя на адрес интерфейса и обратно, направление следования пакетов это не меняет. Так что в этом случае исходящие пакеты будут уходить через интерфейс по умолчанию, а ответы возвращаться через интерфейс, указанный в НАТе (конечно если правила это позволяют).
Собсно этого я тогда опытами и добился, но потом просто плюнул и разрулил рутами по адресам нужных серверов.

Hrist
Да это не принципиально.
Главное - работает как надо, т.е. по двум каналам.
Я, например, качаю тоже на два канала. Одну закачку напрямую в НАТ, а вторую черех проксик КЕРИО, который смотрит на второй канал.

f0s Уже писал про свою проблемму выше, но решения так никто и не дал
Описание связки оборудования:
Есть Win2003 с АД + DNS + DHCP (Домен "route.local"), DNS имя - "serverdb". На нем два сетевых интерфейса, один смотри в сеть (Switch) (192.168.0.1), другой (192.168.10.2) связан напрямую кроссовером по Гигабиту с другой машиной - Firewall (192.168.10.1), на котором стоит Керио.
У Firewall-a тоже два сетевых интерфейса, второй из них смотрит в интернет по прямому IP.
Вопрос:
Керио никак не может импортировать базу данных пользователей, а машину никак немогу завести в домен?! Помогите плиз, нужно срочно и позарез!
Заранее огромное спасибо!

Мож кто сталкивался с такой траблой.
Время от времени падал драйвер VPN в Керио (VPN Driver is not loaded). После 1-2 перезагрузок ПК вродь как все восстанавливалось, но последний раз пробовал несколько перезагрузок не помогло. Делал рестарт сервиса, не помогло.
Мож кто встречал подобноу траблу, буду рад за любую инфо.

kck
сними на серваке одну сетевуху, и сделай так чтоб машинка с керио была в той же подсети что и домен, и будет тебе счастье, вообще непонятно зачем на серваке два интерфейса если и так есть отдельный шлюз. то бишь шлюз тоже воткни в свич и на его внутреннем интерфейсе пропиши адрес 192.168.0.х пусть все будут в одной подсети и тогда и в домен вогнать его сможешь и юзверей импортировать, вообще непонятно зачем сделана такая схема как у тебя.

Hrist
Бьюсь с 2мя каналами уже 2ю неделю. Не выходит каменный цветок...
Все, что предложил Arakcheev уже давно опробовано. Лишь в самом начале что-то выходило, когда у 2го канала (adsl) в модеме был зашит провом ip как раз из моей подсети. Тогда оставалось только днс разрулить, т.к. днс по умолчанию (как я понял) всегда идет через дефолтный шлюз. Но когда получили внешник, все перестало :)
Вы кстати видели окно при запуске консоли в винруте на винде с 2мя шлюзами?
- "Multiple default gateways detected!"

Керио меня лишь держит своим соурс натом и connection failover. А так полно багов.
Несколько примеров этого года:
- Переставил керио и забыл убрать протокол инспектор у smtp и pop3. Mdaemon сглючил....
- Попал вирус на одну из персоналок (как раз виснетик не ловил вирусы тогда), видимо начал гнать кучу инфы. Керио конечно блокировал, но вот сам процесс керио был под 99%. Пинга до керио не было, перезагрузки не помогали. Открыть керио невозможно. Что делать?
Подрубил тестовый инет сервак на freebsd вместо керио, пинг до него стал 20-30 мс, инет ожил. Еле еле, но ожил. И главное машина написала ip персоналки, у которой проблема.

А так керио - решение хорошее, но до поры до времени :)

fedich

Цитата:

Открыть керио невозможно. Что делать?

а файлик error.log почитать? керио же логи пишет в виде обыкновенных текстовых файлов...

Делаю так. Удаляю все правила в керио (кроме последнего запрещать всем все и везде), добавляю правило Firewall - Any - Any - Permit, жму Apply. После этого локалка мне не открывается. Непонятно почему. Ведь вышеуказанное правило означает, что фаером можно лезть в любом направлении и любым сервисом. Где я не прав?
Точнее одно время открывается, спустя несколько минут - нет...

Добавлено:
И какая самая стабильная версия из последних? А то у меня на 6.2.2 то есть инет, то пропадет... и так постоянно. Отключаю винроут - все ок.

aljd
И логи смотрел и syslog смотрел)

здравствуйте.
такая странная вещь случилась: керио перестал понимать хосты по днс-имени. если использовать ип - правило работает. если что-то вроде login.icq.com - правило не работает.
виндовый днс сервер, запущенный на этой же машине, нормально резолвит все адреса.
кто-нибудь знает, в чем может быть дело?

Еще вопрос.
Как сделать чтобы одному компу (по IP) разрешить доступ только через http, другому - только ICQ, третьему и то и другое? Что конкретно писать в трафик полис и что в настройках ICQ и TCP/IP на клиентской машине. При этом все желательно через прокси, а НАТ только по необходимости.
Стандартные правила созданные визардом я все отключил - хочу все руками прописать.
Щас одним из первых стоит правило: <IP машины> - Any - ICQ - Permit - NAT (Default) - не работает
Если заменить ICQ на Any - работает... Но не хочется все подряд пускать.

Объясните кому не сложно подоходчевее. Весь день уже угрохал на чтение топиков и факов! А чувство что топчусь на месте....

Слышал много нареканих на встроенный прокси. Действатльно это так и стоит ли его использовать? Версия керио - 6.2.2

Lovec
ты не забывай что изнутри то аську ты разрешил а вот правило на то чтоб ответы проходили ты забыл создать, для начала создай правило чтоб снаружи внутрь сети пропускались все порты выше 1024-го, а потом уж создавай правила нужные на разрешения изнутри наружу для определённых машин по определённым портам

e0ne

Я двое суток мучался с Вингейтом - гемор еще тот. Вроде все просто, по русски. Делаешь правило, работает. Проходит время, при тех же правилах нет инета. Наплясался с ним с бубном. Поставил Винроут - сказка! Я в восторге! Правила вступают в силу тут же как нажмешь Apply. Если что-то не коннектиться - то виноват ты сам, где-то не доглядел, а не проксик. Надо просто думать дальше, а не плясать с бубном. Взял винроут в руки сутки назад первый раз и сейчас близок к тому, что ве готово (хотя времени убил массу на понимание и чтение). Вобщем я пока двумя руками за винроут.
(Извиняюсь за излишнюю эмоциональность)

SHRIKE74

Спасибо. Как выяснилось дело было в невнимательности.

не работает внешняя почта через винроут.
здесь много читал но всё-равно ничего не получилось.
хотелось бы что-бы в инет ходили через прокси. а неторые машины могли пользоваться внешней почтой, я так понимаю это уже через нат.
инет через vpn.
тот нат что прописан не работает.
вот мои правила.
http://smicle.narod.ru/kwf.JPG

подскажите пожалуйста.

Lovec
вово. качественые продукты всегда работают хорошо
e0ne
имхо встроеная прокся работает замечательно

smiclek
ничего непонятно если честно, обьясни толком как у тебя инет организован

smiclek
В простейшем случае НАТ выглядит так:
http://img250.imageshack.us/img250/5972/43395851ql3.jpg
Т.е. здесь компу с IP 192.168.0.1 разрешен доступ по НАТ в любую сторону и любым сервисом. Обрати внимание: НАТ стоит по дефолту (при выборе второй пункт сверху, на Винроут 6.2.2).
Далее на клиентском компе, которому нужен НАТ в свойствах TCP/IP прописываем в качестве DNS DNS провайдера, а в качестве шлюза - IP машины с Винроутом.
Вуаля. Получаем на тачке НАТ. Соответственно все проги (IE, почта, ICQ) подключаются на клиентской машине без каких-либо дополнительных настроек (типа прокси).

Как пустить почту через прокси, без НАТа - пока не знаю, надеюсь сегодня попробовать - получится, отпишусь.

с машины (w2003) на которой стоит kwf устанвливается VPN соединение через ADSL модем (модем тоже в локальной сети) с провайдером. этот инет и разадаётся через прокси.
на машине одна сетевуха.
получилось объяснить?

Добавлено:
спасибо. вроде делал всё то же самое. но теперь заработало. вчера вером, правда, тоже работало. ещё раз спасибо.

mukca
К непрозрачному поркси вопросов нет. А вот при использовании порзрачного у меня в 2-х сетях довольно-таки большое расхождение статистики с провайдером. Может я чего не так делаю?

Необходимо запретить музыку и видео. Создаю правило в http policy. устанавливаю Deny и на вкладке Advanced указываю тип mime Audio/*
При включении этого правила музыка блокируется, но также блокируются pdf-файлы. Что я делаю не так или что я забываю сделать?

KiRGELLA
не проще ли указывать расширения файлов? типа *.mp3 ?

Цитата:

не проще ли указывать расширения файлов? типа *.mp3 ?

Может и проще. Каким образом это сделать?

Как исключить трафик ICQ и POP3 из квоты?
P.S.
KWF 6.2.3

Добрый день товарищи!

Столкнулся со следующей пролемой:

Недавно установил VPN server как vpn role on win2k3;
у VPN Server две метевые карты (две в локалку)
Шлюзом в сети является керио винроут 6.0.6 (это отдельная машина)
Пакеты PPTP с фаервола мапятся на VPN server.
После этого пакеты по GRE идут обратно на клиента.
Но вот в чем проблема: клиент ругается (ошибка 619):
на Сервере следующее сообщение в логах

A connection between the VPN server and the VPN client RemouteIP has been established, but the VPN connection cannot be completed. The most common cause for this is that a firewall or router between the VPN server and the VPN client is not configured to allow Generic Routing Encapsulation (GRE) packets (protocol 47). Verify that the firewalls and routers between your VPN server and the Internet allow GRE packets. Make sure the firewalls and routers on the user's network are also configured to allow GRE packets. If the problem persists, have the user contact the Internet service provider (ISP) to determine whether the ISP might be blocking GRE packets.

Если подклучатся к VPN server в локалке то все хорошо и коннект есть, а вот удаленно не получается. т.к. у VPN server два интерфейса я пробовал мапить и на тот и на другой, но результаты наиболее лучшие только с обним интерфейсом (понятно почему).
Повторюсь еще раз: есть линк по GRE ot VPN serverra k Remote Client.

что может повлиять на такое поведение


перерыл все что можно. на оф сайте про мой случай сказано настройте мапинг и все, если что не так то убейте антивирей, но их у меня вообще нету,
заранее благодарен за помощь


из локалки в инет разрешено абсолютно все, и GRE тоже, инспекторы для PPTP GRE & L2TP стоят нормальные стандартные

Прошу прощения на возможно тупой вопрос, но по ссылкам в шапке ответа не нашел
При заходе в инет через прокси WinRoute предлагает авторизоваться. Пользователь авторизуется и все работает. Но вот после закрытия браузера пользователю уже не предлагается авторизоваться! У меня на одном компе могут работать разные пользователи и мне нужно, чтобы при закрытии браузера "авторизационная сессия" закрывалась.
В общем сделать так, как это было в старом WinRoute или как это сделано в Squid.
Как мне достичь нужной функциональности?

Labutin
Ээ, ну либо время логина оставить минуту, чтоб быстро разлогинивало, либо проверить это вот:
Открыть winroute.cfg и поправить "HttpProxyAlwaysAuth" to "1". И рестартнуть винрут.

koltz
Не поверите, повлиять может сам провайдер, такшто звоните и спрашивайте!
В часности у нас у некоторых операторов сотовой связи, пока тело сидит с внутреним адресом за натом гре не пропускается, на логичный вопрос оператору какого рожна, он говорит - берите внешний ип за деньги и всё.

AnLe у меня внешний IP

AnLe

Цитата:

Открыть winroute.cfg и поправить "HttpProxyAlwaysAuth" to "1". И рестартнуть винрут.

То что нужно. Спасибо.

SHRIKE74

Со своей траблой разобрался. Сделал группу в URL groups в которую засунул *.mp*, *.wm* и *.avi. Напиал правило для блокирования этой группы. Музыку теперь блокирует нормально - pdf не затрагивает. Но видео файлы почему-то не блокирует.
Может кто подскажет что еще можно сделать?