» Kerio WinRoute Firewall (часть 2)

sghi
Ну я например могу сказать что если стоит криво настроеный днс сервер виндовый к примеру, то он вполне может такое намотать имхо.

Траблы такие.
1. С аутентификацией все нормально. Пускает, работает. Но если запускаешь, скажем, аську, то она не будет работать, пока не запустишь браузер и не залогинишься.
2. Как разрешить доступ по POP3 и SMTP не всем, а только тем, кому надо? Убрал из правила NAT в разделе Deatination службы POP3 и SMTP и создал правило, где доступ дается только определенным хостам. Не работает ни фига! Доступа нет ни у кого!
3. То же самое и с разрешением какого-либо порта. Если это прописать отдельным правилом- не работает, а если добавить порт в правило Firewall Traffic, то работает. Но надо этот порт открыто только для конкретных хостов.

Короче, запарился я с этими правилами... Помогите, плиз.

Justin Omsk

1. Я аську пускаю без авторизации. Один черт трафика она много не сожрет.
2-3. Правила в студию


Добавлено:
snayper7

Цитата:

дружат свежие версии kerio с kasperskim (kfs, kws)?

Вроде все как было так и осталось

Скриншот с правилами выложил сюда: http://omskfree.en.cx/data/games/1344/Image00001.jpg

2 Justin Omsk: Создай группы в закладке Address Groups и расписывай правила для них.

1. эт где?
2. IP-адреса динамические

Друзья! У кого нормально работает Skype через WinRoute 6.2.2 или вообще любой - дайте скрины плиз! У меня работает, но хрипит и в дебаге пишет UDP status: Local: BAD Remote: BAD, хотя я порты открывал...

Africa2004
у меня прекрасно работает, просто изнутри наружу всё открыто и всё

А скрин мона? И что пишет debug? UDP Local: Good?

iddqd2

Цитата:

Вроде все как было так и осталось

да/нет???
читал, что старые v. не дружили,
а у новых v. в конфликтующем оборудовании не пишут про друг друга

Сеть с доменом, Контроллер домена w2k Server (IP:192.168.6.101 DC, AD, DNS).
Сеть класса С (192.168.6.0/24)
Сейчас стека выходит в интернет через ADSL модем ZyXEL OMNI ADSL LAN EE (IP:192.168.6.1 Router).
Задача: использование шлюза KERIO и перевод всех пользователей домена на работу через шлюз. Т.е. что бы для пользователей не был заметен переход на прокси-сервер.

Начало: Выбрал менее загруженный компьютер, с двумя сетевыми интерфейсами (w2k3 Server IP(LAN):192.168.6.116). Установил KERIO. Настроил второй интерфейс (ISP) в соответствии с информацией данной провайдером:
IP:     212.26.226.101
Mask:     255.255.255.252
Gate:     212.26.224.102
DNS:     212.26.224.65
    212.26.203.61

Итого получается:

(LAN)                
IP:    192.168.6.116        
Mask:     255.255.255.0        
Gate:     пусто            
DNS:     192.168.6.101        

(ISP)
IP:    212.26.226.101
Mask:    255.255.255.252
Gate:    212.26.224.102
DNS:    192.168.6.101


Включил DNS Forwarding в настройках KERIO там указал DNS DC (192.168.6.101). На DNS сервере DC поставил разрешение на пересылку запросов на внешние DNS сервера (212.26.224.65; 212.26.203.61). Импортировал пользователей из AD в KERIO. Разрешил NT аутентификацию. Политики трафика были настроены мастером.
Модем был перенастроен на работу в режиме «моста» (опять же в соответствии с настройками данными провайдером).
На клиентских машинах были сделаны следующие настройки:
IP:     192.168.6.XXX
Mask:    255.255.255.0
Gate:    192.168.6.116
DNS:    192.168.6.101

Вот собственно и все. Но ничего не работает. Что делаю не так?

Не получается настроить SIP адаптер Planet VIP-157 через Керио Винроут файервол 6.2.3 build2027.
Фаервол Керио Винроут ip 192.168.168.1, локальная сеть 3 компьютера, выход в инет через NAT, для ip адреса 192.168.168.5 открыты все порты наружу, замапины входящие порты UDP 1025-65535 и отдельно SIP на 192.168.168.5
SIP адаптер VIP-157 имеет адрес ip 192.168.168.5 и настроен на Sipnet по инструкции http://www.planet.com.ru/upload/VIP-156-PE-157-S-SIPNET.pdf
VIP-157 соединен через разъем LAN со свичем. Телефон подсоединен к разъему Phone.
В настройках VIP-157:
Domain name: sipnet.ru
Proxy Server: sipnet.ru
Outbound Proxy: 212.53.35.219
Status: Registered
Прописан Stun сервер stun.sipnet.ru:3478
Пробовал Stun отключать, не помогло.
Провайдер Comcor, говорят, что VoIP трафик не фильтруют. На шлюзе c Керио софтверные Sip телефоны работают без проблем (X-Lite, Sippoint). На машине в сети за шлюзом только через XTunnel.

Проблема:
Гудка нет, набор номера вида 8-495-XXX-XX-XX идет, а дальше все тихо. Может кто сталкивался?

В догонку, забыл сказать, что Скайп, подключеный без Винрута пашет на ура - UDP status: Local Good, Remote: Good... Точно проблема с портами, но я вроде открыл...Если у кого есть скрин с рабочей системы - сбросьте плиз..


-------------------------------------------------------
Друзья! У кого нормально работает Skype через WinRoute 6.2.2 или вообще любой - дайте скрины плиз! У меня работает, но хрипит и в дебаге пишет UDP status: Local: BAD Remote: BAD, хотя я порты открывал...

pankrusheff
перво наперво тебе надо добиться чтобы инет был на шлюзе,
в днс форвардинге надо указывать днс прова через точку с запятой, в днс домена сервер пересылки указать внутренний айпишник шлюза с керио

SHRIKE74
В DNS Forwarding прописал DNS прова через точку с запятой. На DC настроил пересылку DNS на шлюз с KERIO.
А вот с интом на шлюзе щас пробую

Инета на шлюзе нету. По ходу шлюз шалит.

KWF 6.2.3
файр включен, например "ping www.yandex.ru" проходит с сервака с KWF замечательно, с машин клиентов доступ в интернет есть, но пинг того же сайта не проходит. В чем может быть причина? Файр Визардом был настроен, пинг не проходит даж при отключенном фаере.

pankrusheff
вот когда сделаешь чтоб на шлюзе инет был тогда и можно будет думать дальше, ковыряйся, либо мост у тебя барахлит либо керио неправильно настроен

Добавлено:
AFT
а какие у тебя правила на внутренний интерфейс шлюза?

SHRIKE74
даж при выключенном KWF не пингуется, а инет есть

AFT

мож провайдер закрыл сие действо как пинг?

SHRIKE74
я грю с сервака(комп с которого все выходят в инет) пингуется нормально! с машины клиента (это те кто выходит в инет через сервак) не пингуется

А вот интересно, кто чем анализирует логи из KWF?

IcebergV а что, кроме немного глючного IAM есть какие-то варианты?

Maddy101
WinrouteSpy вроде неплохо справляется.. Опять же бесплатный.

Artur2316
Пока не пофиксил, попробую на выходных поставить др. сетевуху

Maddy101
Proxy Inspector, tmeter

krash report выскочил, где увидеть че за ошибка?

Saftor
да кстати забыл сказать (в тему про 100 загруз процессора)
обновил драйвера сетевух...
брал здесь - ftp://202.65.194.211/cn/nic/PCI_Install_5663_20070216.zip

Нужна помощь...Скачал Symantec Scan Engine. Не прекручивается к Winroute. Могет кто подскажет какой нужно проставить порт в Winroute и как сделать чтобы Symantec Scan Engine использовал теже антивирусные базы что и SACE на том же компе. Сорри если офф-топ...

скажите, как пашет VPN Client? как терминал, радмин или еще как-то?
кабан сильно нагружает firewall?

Помогите, пожалуйста, советом!
Дома есть два компьютера:
-----------------------
I-сервер: параметры установлены провайдером для доступа в Локалку (внутренние ресурсы провайдера) и Интернет (VPN)
Установлен Kerio WinRoute Firewall 6.2.
Установлен сервер с чатом (IP: 10.2.1.89, Port: 9730) локальной сети.

1-я сетевая карта:
IP: 10.2.1.89
Mask: 255.255.0.0
Gat: 10.2.0.1
DNS: 83.167.65.2
DNS: 83.167.66.166

2-я сетевая карта (домашняя сеть):
IP: 192.168.0.1
Mask: 255.255.255.0
Gat:
DNS:
DNS:
-------------------------
II-клиент:
IP: 192.168.0.7
Mask: 255.255.255.0
-------------------------
Какие нужно повести настройки, чтобы оба компьютера:
1) Имели выход в локальную сеть и в Internet (через VPN).
2)Работал сервер чата.
Если можно подробно.
Заранее благодарен.

Всем привет!

Есть обычный сервак (W2003) + керио винрут последняя версия. До недавнего времени все работало отлично. Но недавно народ стал жаловаться на затыки инета. Начал копаться: оказалось скорость скачки с сервака прыгает от 200 кбайт до 3 Мегабайт в сек, иногда совсем падает. Думал сетевые карточки накрылись, поменял - эффекта ноль, все так же. При отключении керио всё нормально - скорость под 10 Мбайт....

Плиз помогите!!! ...не знаю чего делать!!!!