» Kerio WinRoute Firewall (часть 2)

alex_rusanov
при отключении днс форвардинга керио не знает куда перенаправлять запросы потому инет и не работает, а пользователей можно и в керио разбивать на группы и предоставлять группам определённый доступ.
Цитата:

хочу отказаться от винроута вообще,потому что надо поделить юзверей на группы и кому-то аську обрубить,кому-то сайты забанить,чтобы абы кто в нете не лазил

это и в винроуте сделать можно

Стоит у меня связка KWF и PI. Все юзеры проходят авторизацию для доступа в инет (фамилии вбиты русскими буквами). Лог http сохраняется в кодировке UTF-8 (все символы отображаются). Перевожу в 1251 - вместо русских букв - кракозяблы. Естественно, что и в PI импорт идет в таком же не читаемом виде. В реестре кодовые страницы заменены.

Существует ли решение этой проблемы, кроме как все поменять на латиницу?

Не нужен вовсе форвардинг в KWF, если есть внутренний DNS-сервер.
На этом внутреннем DNS-сервере организовывается пересылка запросов на DNS-сервера провайдера, а в KWF делается правило в Traffic Policy для пропускания этих запросов.
при этом в настройках TCP/IP у клиентов и у обеих cетевых интерфейсов KWF указывается в качестве DNS адрес внутреннего сервера.

leo mvv76
можно конечно и так сделать

Почему Content Filtering -> HTTP Policy не применяются? Сам значок Content Filtering перечеркнутый.

И возможно ли такое:
- сеть подключена к одному роутеру, который раздает интернет;
- на всех рабочих станциях стоит WinXp с одной сетевой картой с указаным шлюзом на роутер;
- на одну раб. станцию WinXP ставится kwf, настраиваются правила доступ в Интернет,.., а все оставшиеся рабочие станции меняют шлюз с роутера на раб. станцию, где установлен kwf.

Не хочется на каждую машину устанавливать фаер, установить отдельный сервер тоже нет возможности.
Задачу поставили разграничить доступ в инет только на определенные ресурсы и при этом везде должна стоят WinXP.

P.S. Как запретить даже админу останавливать службу kwf без ввода пароля, по умолчанию пароль нужно ввести только чтобы зайти в консоль управления, а остановить службу, находясь в сеансе администратора можно без пароля.

Есть проблема с программой удаленного администрирования NetOp remote control 9 версии (как в общем и с предыдущими)...
Прога работает через порт 6502 по TCP/UDP.
На машине, опдключенной к инету ставится WinRoute 6.x и NetOp Gateway (модуль, умеющий роутить, в отличие от NetOp Host, который является просто сервером).

Так вот, имеем (при подключении снаружи):
6 серверов и локалок за ними (несвязанные между собой организации)
из них:
3=все ОК - виден Gateway, выполняется обзор хостов (т.е. Gateway ищет доступные хосты и показывает их список)
2=виден Gateway, не выполняется обзор хостов но доступ к ним есть (т.е. если знать имя хоста и вбить его вручную, то подключаемся)
1=виден только Gateway

на всех трех серваках настройки практически под копирку.

собсно вопрос: где копать?

ЗЫ на одной из машин изначально все было по вар.3, но после вариаций с трафик полиси (открытие просто порта, задание соотв. сервиса, итп шаманства) все вдруг заработало, причем, что самое интересное, на первоначальных настройках... работает до сих пор

ЗЫЫ при замене WinRoute -> ISA 2004 все работает отлично. Но иса тяжеловата и иногда удобнее WinRoute...

armanim
А протокол инспектор на ХТТП включен?

доброе время суток....господа андмины помогите настроить ....или пошл...., нет, лучше помогите!

есть на машине(1) интернет через радио-канал:
сетевая карта - 192.168.24.246 \ 255.255.255.0 подключена к DLINKу с адресом 192.168.24.246 \ 255.255.255.0 - через который устанавливается VPN (минипорт WAN PPTP) сорединение с сервером-раздающим интернет (адрес вида 192.168.9.x устанавливается динамический)

и есть домовая сеть:
сетевая карта - 192.168.0.1 \ 255.255.255.0(комп 1) - на фиксированные адреса 192.168.0.3 \ 255.255.255.0; 192.168.0.2 \ 255.255.255.0;...
было: расшареное подключение VNP -у всех инет (разумеется при прописанном шлюзе комп (1))
нужно: считать трафик ,каждому пользователю инета...(об этом пока не речь)
чего стучу: после установки KWR 6.0.10 и ключа на "унлимит" лицензию, запускается визард(по умолчанию) и все...с инетом больше связи НЕТ!

что за правило нужно поменять чтобы соединение не рубило?

нашел в логах такую надпись :
[12/Mar/2007 20:47:05] (3301) ISS OrangeWeb filter plugin error: Internal Error: could not resolve host Software is not licensed. Trial ticket is not active.



Добавлено:
описался , правильно :....подключена к DLINKу с адресом 192.168.24.1...

ImWitasik
в полиси пересмотри интерфейсы нужные стоят?

Цитата:

ISS OrangeWeb filter plugin error

ну кабан у меня тоже спал по началу.. через неделю запустился

винроут внезапно перестал видеть пользователей в домене, пытаюсь импортировать а он не может подключиться к контроллеру, пинг есть, связь есть но нифига не хотит, в чём трабла знает кто-нить?

snayper7
только что снес, установил заново, визард не запускал- в трафик полици все запрещено. Создал правило "разрешить все всем" - все заработало- значит визард создает какое-то правило- не пускаюшее меня
Цитата:

устанавливается VPN (минипорт WAN PPTP) сорединение

по идее
Цитата:

ISS OrangeWeb filter plugin

должен проверять из списка "ISS OrangeWeb Filter использует всемирную динамическую базу данных"
-может можно отключить его(я пробовал на предыдущей установке снять правило - не помогало )
- а может просто без визарда посоздавать нужные правила...тогда точно ничего "лишнего" делать не будет?
....есть у кого-нить шаблон правил для данной (типичной) конфигурации?

Artur2316
Блин я так и не смог исправить трабл с загрузкой CPU на 100 %, когда с меня качают по FTP, когда я качаю по FTP да и по HTTP по внешнему интерфейсу (при скорости в 5 М\С)!!! Всё отлично работает на втурненем интерфейсе! Когда отключить керио всё встаёт на свои места!
ALL Кто нибуть смог пофиксить это, подскажите как решить проблему!??
Драйвера на сетевухи обновил, правил конфигурационный файл керио, создавал отдельно правило на FTP, убирал прокси инспектр, нечего не помагает! Help

ImWitasik

Цитата:

Создал правило "разрешить все всем"

с таким правилом зачем тебе тада файр, поставь полегче какой-нидь прокси

Цитата:

ISS OrangeWeb Filter может можно отключить его

HTTPpolicy\ISS OrangeWeb Filter - убери галку "enable ISS OrangeWeb Filter"

Цитата:

есть у кого-нить шаблон правил для данной (типичной) конфигурации?

тут, тут, тут должны быть

Господа!
Возникла проблема. С KWF работаю давно, но недавно потребовалась авторизация на прокси. После ввода в KWF примерно 80 пользователей и недели работы wrdrv.sys стал заваливать сетевую подсистему на всех сетевых интерфейсах - буквально шлюз по локалке не пинговался. При отключенной авторизации вроде все нормализуется, но не до конца - все равно есть провалы.
Использую: KWF 6.2.3 на Windows 2003 EE SP1 Eng. Фикс на KWF использовал от Serg0FFan. Помогите советом, не хочется отказываться от авторизации.

snayper7

Цитата:

я пробовал на предыдущей установке снять правило - не помогало

...

Цитата:

с таким правилом зачем тебе тада файр

- если в контексте выше сказаного , то понятно зачем...
а за ссылки пасиба...щас будем (опять )
читать....

Надеюсь получить быстрый ответ на вопрос: можно ли не регистрировать (не ломать) Kerio WinRoute Firewall (у меня версия 6.1.2-603) для работы на одной машине в качестве "ограничителя сайтов", т.е. работать с триальной версией. И какие тогда ждать гадости? Английского не знаю, потому на родном сайте ничего не понял. Спасибо.

Kucher2
Нельзя. Да и не надо этого делать, это что пушкой по воробьям... А для того, что ты хочешь полно спецпрограмм есть

Kucher2
можно и не регестрировать если тебя устроит ограничение cкорости трафика до 4 kb/sec

Доброе время суток.

Поставил на днях Kerio WinRoute Firewall 6.1.4 настроил правила что
локаль => Dial-Up => Any=> Allow => NAT
firewall => Dial-Up => Any => Allow
тишина.
тогда зделал any to any allow для проверки
из консоли ping nslookup проходят а в браузере ни в какую, пробывал и с включенным прокси и без него. Как только вырублю WinRout все летает.

Выход через изенет по PPPoE. на борту только одна сетевая

В чем траблы могут быть?

Заранее благодарен за ответ.

вопросик, мож кто сталкивался:
виснет VPN подключение после перезагрузки KERIO, висит conecting, соединение не устанавливается, установить можно только после перезагрузки сервера.
Такой баг наблюдаю на версиях старше 6.2...

Crion

Цитата:

В чем траблы могут быть?

в настройках трафик полиси
примеры настроек можно посмотреть по ссылкам из поста
snayper7
Цитата:

тут, тут, тут должны быть

Проблему с загрузкой проца решил категоричным способом поставил процессу WINROUTE.EXE режим работы Below Normal вместо High! Теперь при закачке с внутреннего интерфейсас при скорости более 2 mb\c комп у меня работает нормально не тупит, хотя CPU загружен!
P.S.Если есть другие предложения с нетерпением их жду!

народ подскажите плиз - вот такая проблема стоит win2003 sp1 + kerio winroute firewall
но почему то ни вкакую не работает UpnP, вроде все сделал как пишут в мануале - я уже не знаю где копать..

Народ, посоветуйте пожалуйста !
Есть гостиница, в которой я планирую раздавать клиентам гостиницы Инет по WI-FI.
Есть машинка, на которой стоит Kerio Winroute Firewall.
Как лучше организовать работу и безопасность, чтобы клиентам не впихивать дополнительный софт в виде Kerio VPN Client ? Желательно, чтобы клиент получил от нас только логин и пароль, и мог спокойно пользоваться Инетом.

Несколько дней назад началось. Kerio 6.2.3(build 2027)
Все работает вроде как нормально.
Но! Как только начинает кто-то из юзеров получать почту через pop3 - в непредсказуемые промежутки времени (может 1 письмо получить может 50) сервер просто перестает даже пинговаться. Монитор подцепляешь - вроде фурычит. Ошибок не пишет.

Что может быть такое?

bercsoft
просто авторизацию поставь без vpn

gorra

Цитата:

Что может быть такое?

жди утра )), у меня пол дня ченидь не пашет на утро пошло... (адрес-динамика правда)

bercsoft не уверен, что kerio для этого правильный выбор.. но. Ты хочешь раздавать VPN или достаточно PROXY? если прокси - то никаких клиентов не надо, аунтефикация в браузере осуществляется. kerio clientless vpn - есть такая штука, но я ее не пробовал. говоря, глюкавая. надо читать документацию.

snayper7 какую авторизацию без vpn? тогда и доступа к vpn не будет. если же ты имеешь ввиду раздавать NAT по wi-fi.. весьма опасное это дело. хотя можно, конечно, и так. с wi-fi надо будет поработать на предмет криптования.

To snayper7
Можно по подробнее про авторизацию, мы об одном и том же думаем или это что-то другое ?

To Maddy101
Дело в том, что основной сервер построен тоже на Kerio и между этими машинами создан VPN-тунель, чтобы клиенты гостиницы не имели доступа к ресурсам локальной сети предприятия. Авторизация должна быть такая, чтобы я при выезде каждого клиента мог видеть сколько клиент израсходовал всего траффика, а не только HTML, FTP и т.д.

Народ подскажите зачем нужен Kerio VPN Client ... ? ... если в винде идёт свой vpn клиент ... ? .. какая от него польза ? ...

Помогите... Не могу найти настройку таймаута разрыва связи после прекращения трафика... По дефолту стоит 40 минут, нужно больше... Трафик внутресетевой, не http и не ftp, а коннекты к базе данных...