» Kerio WinRoute Firewall (часть 2)

Подскажите как организовать удаленый доступ по RDP к нескольким серверам за KWF?
К одному (любому) все просто:
Source Destination Service Action Map
Inet Firewall RDP Permit IP сервера
А если нужно более чем к одному?

Gatti
Юзайте разные порты.
тоесть для трёх машина напримре будет:
Inet Firewall RDP Permit IP сервера
Inet Firewall tcp 3390 Permit IP сервера2 port 3389
Inet Firewall tcp 3391 Permit IP сервера3 port 3389

Если хосты людей которым мона ходить на рдп извне извесны и они постоянны то лучше тока их и прописать вместо Inet.

Можно ещё через керио впн если пользователи все на виндоус сидят а после конекта по керио впн там уже куда угодно к каким угодно серверам.

AnLe
Спасибо, насчет IP извне я знаю, Inet написал для общего случая. А впн не использую т.к. не удалось заставить работать DNS для впн-клиентов. Т.е по IP к хосту поключиться можно, а по имени никак.

Парни помогите плиз

Винроут 5.1.10

конфиг такой: адсл модем по юсб (который в компе как сетевая карточка)
к инету подключение через pppoe, то есть драйвер pppoe конектит к модему( к его айпи) и модем потом конектится к провайдеру.

tracert не работает "превышен интервал ожидания ответа"

ping работал! пока я не поменял в Action на запрет(просто тестил) , потом вернул обратно на "разрешение" , но ping не стал работать

В чем может быть косяк?
настройки такике в правилах:
Name Source Destination Service Action
ICMP Firewall Mtu-Intel PING (разрешено)

Но вообще tracert так у меня и не работаел после включения винроута(
То есть таймаут возникает, где-то запрет видимо либо косяк в маршрутах, хотя если я выключаю винроут то все работает нормально.

Похоже траблы такие же как и у Arakcheev, только не могу не как решить их (

Прошу прощения если вопрос Ламерский... Но! Подскажите если я всех пользователей пускаю через NAT а не через ПРОКСИ - Winroute всё равно кэширует? Вопрос к тому что он всё равно будет помогать экономить траффик?

подскажет кто? - как выставить общую квоту на входяжий трафик для всех пользователей в совокупности

ToCheetos
Если стоит соотв. галка "Enable cache on transparent proxy" то кеширует
verillo
Можно задать темплейт, который установит для всех одинаковую квоту по умолчанию, соотв. кнопка на вкладке Users

Странная проблема, локальные клиенты не могут законектится к внешним серверам VPN.
Разрешаю локальной сети PPTP, GRE, виндовское соединение доходит только до проверки имени и пароля и все, иногда и до этого не доходит, дальше ошибки с разными номерами. Разрешаю локальным компам вообще ВСЕ, то же самое. Выключаю службу winroute - все ок.
Я уже начинаю грешить на винду.
Стоит win 2003 sp1, поднята служба RRAS, Kerio Winroute 6.3.0, на более ранних версиях то же самое.
Может нужно еще что-то, подскажите плиз?

ToCheetos
Кешировать будет в любом случае если стоят галки! Конечно помогает экономить траффик!
verillo
Сделай как посоветовал Proger или подели весь свой траффик на всех пользователей!
P.S. verillo Я честно говоря не пойму зачем тогда вообще ставить общую квоту, должен быть же приоритет!?

Появилась проблема. ОС 2000 сервер.
Стояла версия 1,4. Без проблем работала.
После сбоя 220В процесс winroute жрёт 99% ЦПУ. НО: ТОЛЬКО при включенном проводке локальной сети. При выдергивании - всё ок.
Как результат - практически стоит интернет, невозможно работать на расшаренных папках шлюза.
Удалял, переинсталивал, менял на более ранние версии - тот же результат.
Что подскажете ?

2) Ищу микстуру для Version 6.3.0(build 2683) .....все ссылки выше не сработали.
Если не трудно - на мыло вышлите.

mpa
@
ua.fm

здраствуйте. В продолжение вот этой темы.
http://forum.ru-board.com/topic.cgi?forum=8&topic=21735#1
Интересует все таки КАК.
Сделал как посоветовал andrejvb

Протелнетте меня
telnet 83.166.229.10 1433
Если работает, круто.
Если нет, то прошу Вашей помощи.

Добавлено:
Уважаемые, выкладываю текущие настройки, и мои издевательсва чтобы все заработало


Код:
<list name="TrafficRules_v2">
<listitem>
<variable name="Order">1</variable>
<variable name="Enabled">1</variable>
<variable name="Color">0</variable>
<variable name="Name">New rule</variable>
<variable name="Description"></variable>
<variable name="Src">192.168.0.6</variable>
<variable name="Src">192.168.0.62</variable>
<variable name="Dst">192.168.0.6</variable>
<variable name="Dst">192.168.0.62</variable>
<variable name="Proxy"></variable>
<variable name="Service">"MS-SQL"</variable>
<variable name="ValidTime"></variable>
<variable name="Action">permit</variable>
<variable name="SNAT">iface:"lan"</variable>
<variable name="DNAT">192.168.0.6</variable>
</listitem>
<listitem>
<variable name="Order">2</variable>
<variable name="Enabled">1</variable>
<variable name="Color">0</variable>
<variable name="Name">New rule</variable>
<variable name="Description"></variable>
<variable name="Src">iface:"lan"</variable>
<variable name="Dst">iface:"lan"</variable>
<variable name="Proxy"></variable>
<variable name="Service">"MS-SQL"</variable>
<variable name="ValidTime"></variable>
<variable name="Action">permit</variable>
<variable name="SNAT">iface:"lan"</variable>
<variable name="DNAT">192.168.0.6</variable>
</listitem>
<listitem>
<variable name="Order">3</variable>
<variable name="Enabled">1</variable>
<variable name="Color">0</variable>
<variable name="Name">local sql</variable>
<variable name="Description"></variable>
<variable name="Src">192.168.0.6</variable>
<variable name="Src">iface:"inet"</variable>
<variable name="Src">Firewall</variable>
<variable name="Dst">192.168.0.6</variable>
<variable name="Dst">iface:"inet"</variable>
<variable name="Dst">Firewall</variable>
<variable name="Proxy"></variable>
<variable name="Service">"MS-SQL"</variable>
<variable name="ValidTime"></variable>
<variable name="Action">permit,logpkt,logconn</variable>
<variable name="SNAT">iface:"inet"</variable>
<variable name="DNAT">192.168.0.6</variable>
</listitem>
<listitem>
<variable name="Order">4</variable>
<variable name="Enabled">0</variable>
<variable name="Color">0</variable>
<variable name="Name">local sql</variable>
<variable name="Description"></variable>
<variable name="Src">192.168.0.6</variable>
<variable name="Src">192.168.0.62</variable>
<variable name="Dst">192.168.0.6</variable>
<variable name="Dst">192.168.0.62</variable>
<variable name="Proxy"></variable>
<variable name="Service">"MS-SQL" tcp:1433</variable>
<variable name="ValidTime"></variable>
<variable name="Action">permit,logpkt,logconn</variable>
<variable name="SNAT"></variable>
<variable name="DNAT">192.168.0.6</variable>
</listitem>
<listitem>
<variable name="Order">5</variable>
<variable name="Enabled">1</variable>
<variable name="Color">5</variable>
<variable name="Name">ICMP traffic</variable>
<variable name="Description">Enables outgoing ICMP traffic - ping, traceroute, etc.</variable>
<variable name="Src">iface:"inet"</variable>
<variable name="Dst">192.168.0.6</variable>
<variable name="Proxy"></variable>
<variable name="Service">"Ping"</variable>
<variable name="ValidTime"></variable>
<variable name="Action">Permit,logpkt,logconn</variable>
<variable name="SNAT"></variable>
<variable name="DNAT">192.168.0.6</variable>
</listitem>
<listitem>
<variable name="Order">6</variable>
<variable name="Enabled">0</variable>
<variable name="Color">5</variable>
<variable name="Name">ISS OrangeWeb Filter</variable>
<variable name="Description">Enables ISS OrangeWeb Filter traffic.</variable>
<variable name="Src">Firewall</variable>
<variable name="Proxy"></variable>
<variable name="Service">"HTTPS" tcp:6000</variable>
<variable name="ValidTime"></variable>
<variable name="Action">Permit</variable>
<variable name="SNAT"></variable>
<variable name="DNAT"></variable>
</listitem>
<listitem>
<variable name="Order">7</variable>
<variable name="Enabled">1</variable>
<variable name="Color">5</variable>
<variable name="Name">NAT</variable>
<variable name="Description">Enables access from local machines to public network using address translation.</variable>
<variable name="Src">iface:"Dial-In"</variable>
<variable name="Src">iface:"lan"</variable>
<variable name="Dst">iface:"inet"</variable>
<variable name="Proxy"></variable>
<variable name="Service">"DNS" "FTP" "HTTP" "HTTPS" "ICQ" "IMAP" "MS-SQL" "POP3" "SMTP" "Telnet" tcp:1950</variable>
<variable name="ValidTime"></variable>
<variable name="Action">Permit</variable>
<variable name="SNAT">auto</variable>
<variable name="DNAT"></variable>
</listitem>
<listitem>
<variable name="Order">8</variable>
<variable name="Enabled">1</variable>
<variable name="Color">5</variable>
<variable name="Name">Local Traffic</variable>
<variable name="Description">Enables local traffic between firewall and local networks.</variable>
<variable name="Src">Firewall</variable>
<variable name="Src">vpn-user</variable>
<variable name="Src">iface:"Dial-In"</variable>
<variable name="Src">iface:"lan"</variable>
<variable name="Dst">Firewall</variable>
<variable name="Dst">vpn-user</variable>
<variable name="Dst">iface:"Dial-In"</variable>
<variable name="Dst">iface:"lan"</variable>
<variable name="Proxy"></variable>
<variable name="Service"></variable>
<variable name="ValidTime"></variable>
<variable name="Action">Permit</variable>
<variable name="SNAT"></variable>
<variable name="DNAT"></variable>
</listitem>
<listitem>
<variable name="Order">9</variable>
<variable name="Enabled">1</variable>
<variable name="Color">5</variable>
<variable name="Name">Firewall Traffic</variable>
<variable name="Description">Enables communication between firewall and public network.</variable>
<variable name="Src">Firewall</variable>
<variable name="Dst">iface:"inet"</variable>
<variable name="Proxy"></variable>
<variable name="Service">"DNS" "FTP" "HTTP" "HTTPS" "ICQ" "IMAP" "MS-SQL" "POP3" "SMTP" "Telnet" tcp:1950</variable>
<variable name="ValidTime"></variable>
<variable name="Action">Permit</variable>
<variable name="SNAT"></variable>
<variable name="DNAT"></variable>
</listitem>
<listitem>
<variable name="Order">10</variable>
<variable name="Enabled">1</variable>
<variable name="Color">4</variable>
<variable name="Name">Service HTTPS</variable>
<variable name="Description">Allowed access to service HTTPS on firewall machine from public network.</variable>
<variable name="Src">iface:"inet"</variable>
<variable name="Dst">Firewall</variable>
<variable name="Proxy"></variable>
<variable name="Service">"HTTPS"</variable>
<variable name="ValidTime"></variable>
<variable name="Action">Permit</variable>
<variable name="SNAT"></variable>
<variable name="DNAT"></variable>
</listitem>
<listitem>
<variable name="Order">11</variable>
<variable name="Enabled">1</variable>
<variable name="Color">4</variable>
<variable name="Name">Service Kerio VPN</variable>
<variable name="Description">Allowed access to service Kerio VPN on firewall machine from public network.</variable>
<variable name="Src">iface:"inet"</variable>
<variable name="Dst">Firewall</variable>
<variable name="Proxy"></variable>
<variable name="Service">"Kerio VPN"</variable>
<variable name="ValidTime"></variable>
<variable name="Action">Permit</variable>
<variable name="SNAT"></variable>
<variable name="DNAT"></variable>
</listitem>
<listitem>
<variable name="Order">12</variable>
<variable name="Enabled">1</variable>
<variable name="Color">5</variable>
<variable name="Name">Ident</variable>
<variable name="Description">Disables ident between public network and firewall.</variable>
<variable name="Src">iface:"inet"</variable>
<variable name="Dst">Firewall</variable>
<variable name="Proxy"></variable>
<variable name="Service">"Ident"</variable>
<variable name="ValidTime"></variable>
<variable name="Action">Deny</variable>
<variable name="SNAT"></variable>
<variable name="DNAT"></variable>
</listitem>
</list>

3Dob
у тебя телнет открыт для внутренней сети.
наружу открой.
правило создай еще одно.
источник - сетевая внешняя, направление - фаервол, порт телнет, разрешить

partner1980

Цитата:

источник - сетевая внешняя, направление - фаервол, порт телнет, разрешить

ну только еще MAP добавить надо, как в "кривом" правиле не картинке и порт не телнет а MS-SQL

Нужна помощь!!!
У керивы ровно через каждый час останавливается служба.
В системном логе появляются следующие записи:

Тип события:    Ошибка
Источник события:    Service Control Manager
Категория события:    Отсутствует
Код события:    7031
Дата:        22.05.2007
Время:        11:08:42
Пользователь:        Н/Д
Компьютер:    router
Описание:
Служба Kerio WinRoute Firewall была неожиданно завершена. Это произошло 1 раз(а). Следующее корректирующее действие будет предпринято через 15000 мсек: Перезапуск службы.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

После чего служба опять подымается..

Версия Фаервола последняя.
Может кто сталкивался с подобным?

Вопрос решил установкой более новой версии.
Спасибо за патчи.

Jozz
Используй микстуру от Farby

День добрый!!! Такой вопрос.Стоит KWF 6.2.3. Есть 3 сетевых 1- в локалку 2 в инет.
На одной сетевухе стоит обычный адсл модем в режиме роутер, а на второй сетевухе стоит другой адсл модем в режиме бридж.Для второго модема на серваке поднято ПППоЕ соединение. Т.е. оно у меня отображается типа как диалап.Вопрос: Как сделать так чтобы работали одновременно оба выхода в инет?

Заранее благодарен!!!

pashick22
Гм, а что нужно получить в итоге то?

Можно тупо убрав на одном из соединений дефолт гейтвей прописать роуты до нужных ресурсов через другово прова.

Если же вы имеет ввиду одновременное их заюзывание, я о таком читал только как под бсд сделать, сумеет ли такое винрут, имхо нет.

Если хочется часть локалки через одного прова а часть через другово - так вроде можно, инструкци есть как это сделать.

Ну хотябы так!!! Хотябы часть локалки через одного, а часть через другого!!! Только как это сделать? Я уже вкурсе что там нужно прописывать маршруты, но какие и где?(в винде или в винроуте)Может вымне поможете?(с маршрутами)
У меня локалка 172.17.17.0 255.255.255.0, инет1 192.168.1.1 255.255.0.0 , инет2 213.227.228.59 255.255.255.255 (ПППое соединение)

Жду помощи Или киньте ссылку на инструкцию КАК это сделать!!!

pashick22
http://forum.ixbt.com/topic.cgi?id=7:12821#1091

Попробуйте, нам раскажете об успехах потом

Парни помогите плиз!
версия 5.1.10.
конфиг: комп на нем винроут и адсл юсб модем, у кого по юсб откликнитесь?
там видимо осбенности какие-то своеобразные, потому что картина такая:
правила:

Подключеник к инету(pppoe) - ANY ANY Permit

в результате:
пинг работает
трейсрт не работает (превышен интервал ожидания ответа)

однако если сделать сначала пинг домена, а потом трейсрт , то трейс пройдет нормально! что это за глюк?

Браузеры не работают с таким правилом по хттп:
Подключеник к инету(pppoe) - ANY ANY Permit

если так:
Подключеник к инету(pppoe) - ANY HTTP Permit

тоже не работают.

ДНС провайдера прописаны на соединение Подключеник к инету(pppoe) в свойствах.

У кого по юсб? отпишитесь плиз( неделю не могу уже сделать

Focusrite
Назад отлести страниц 7 уже обсуждалось!

да я что-то не найду где там про это((

Добавлено:
c 70 странице все прочитал, что-то не нашел ничего, кроме советов взять ethernet модем и еще был трабл у Arakcheev по поводу ppp и сетевухи, ему надо было сделать основным шлюзом ppp насколько я понял, и никакой связи с моим вопросом не нашел(

Всем привет!
Прошу помощи в настройке керио.
Ситуация следующая: в одной сети есть сервер с керио (192.168.0.1) и почтовый компьютер (192.168.0.100).
Нужно настроить правила для работы почты.
На почтовом в Бате указал SMTP и POP3 ip сервера (..0.1) в керио добавил два правила с translation: source=translate to IP address of outgoing interface, destination=translate to "IP_ПОЧТОВОГО_СЕРВЕРА" для POP3 и SMTP.
Почта принимается.. Но не уходит.
Что-то не так настроил?

nwiz
Во первых как я понял подсеть у тебя одна и таже или в них маски подсети разные???
Во воторых зачем На почтовом в Бате указал SMTP и POP3 ip сервера ( ...0.1), если почтовый сервер (...0.100)?
В третих почту нужно организовать только локально?
В четвёртых если разные маски сети правило почты:
Name (Правило почты)---Source (интерфейс той сетевой которая смотрит в инет\др подсеть;Firewall)---Destition (Firewall; интерфейс той сетевой которая смотрит в инет\др подсеть)---Sorce (POP3 SMTP)---Action (Permit)--Translation (MAP 192.168.0.100) ИМХО

Добавлено:
Focusrite
Да что то проблема такая с USB модемами, жаль (или к радости) что у меня его нет, но поюзать хотел бы! А почему не подходит вариант проблемы как у Arakcheev?
У тебя инет есть на машине где стоит керио? И почему решил поставить 5 версию (или она лицензионная) если 6-я уже есть!!??
Да и как у тебя авторизация происходит клиентов?

Добавлено:
Focusrite

Цитата:

однако если сделать сначала пинг домена, а потом трейсрт , то трейс пройдет нормально! что это за глюк?

После того как ты запускал команду пинг и производишь пинг машины с керио, у тебя происходит авторизация на KWF и поэтому у тебя работает команда трейсрт. ИМХО

Saftor

"После того как ты запускал команду пинг и производишь пинг машины с керио, у тебя происходит авторизация на KWF"

дык я пинг делаю С! машины на которой керио стоит и инет, какая там авторизация.

решение проблемы как у Arakcheev, у меня не получилось, то есть результат такой же, да и у него конфиг немного другой.

инет на машине есть, он нормально работает пока я не включаю керио.

5-ую поставил потому что ее только нашел, пока ищу 6.2.3 найти не могу, в шапке линки не работают, ну и чтож она такая гючная чтоль 5ая:-\

авторизации никакой нет, я все делаю с машины где стоит непосредственно керио, создаю правила, по поводу закрытия пинга, пинг закрывается, открываю правила, открывается, но кроме пинга ничего не работает, по причине каких то глюков с днс.
Форвардинг днс и включал и выключал, все одно и тоже, хотя при данном конфиге форвардинг не нужен, потому что в инет лезем с машины на котрой стоит керио.

Цитата:

nwiz
Во первых как я понял подсеть у тебя одна и таже или в них маски подсети разные???

Одна подсеть

Цитата:

Во воторых зачем На почтовом в Бате указал SMTP и POP3 ip сервера ( ...0.1), если почтовый сервер (...0.100)?

...0.100 не почтовый сервер, просто компьютер с почтовой программой

Неправильно может объяснил немного - попробую еще раз

Есть комп с инетом и комп с почтой, надо настроить правило для того чтобы почта ходила... Задача простейшая как мне кажется, тем не менее, почта не отправляется.

Попробовал версии Керио от 4 до 6, и везде один и тот же глюк - не проходят запросы на фтп с паролем, на обычные все Ок, а вот если фтп с паролем - пишет ошибка авторизации на фтп(403). Юзаю режим http прокси. Чую подвох какой-то, как решить?

Привет.
Поставил Керио 6.
Настройки где дефолтные, где сменил чего.
Проблема в том, что не заведенные в Керио юзеры локальной сети могут выходить в интернет.
Те, кого завел с авторизацией по ип - так же ходят.
Где копать, где галку ставить?

duHA
Тебе ВЕСЬ трафик надо перекрыть неавторизованным или только HTTP? Если весь, то в полисях создай правилa
nat1 - Lan - inet - DNS, HTTP - Permit - nat
nat2 -User's - inet - any - permin - nat
в http правилах создай :
1.Allow_user - для выбранных пользователей - разрешить
2.Redirect - все (галку "не требовать аутент" НЕ СТАВИТЬ!) - deny - на владке Advanced redirect to http://kwf_host:4080/star
3.Drop_unautorise - все, нетребов включить - Deny
В Users на вкладке Autentification поставить ТОЛЬКО галку Always require... все остальное (кроме логаута) снять. После этого Можешь и по IP делать аутентификацию и по логину\паролю в браузере. Если не надо блокировать аську и т.д., то в Трафик полисях правила не создавай. Всё, кроме HTTP и так будет работать, а вот в WEB - только авторизованным