Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Kerio WinRoute

Автор: balbec
Дата сообщения: 11.10.2005 14:31
mishasystem
ага мне этот выход ужо пришел на ум... просто настройки еще пока не знаю перекинуться?? или нет???
Автор: HighTower
Дата сообщения: 08.12.2005 11:10
Народ!

Есть машинка с WinRoute 4.1.25
На что посоветуете поменять эту версию, если мне требуется:
- нат
- прокси
- фаер
- проброс портов внутрь
- мейл сервер (чтобы и можно было получать почту с внешних ящиков и раскладывать по локальным, и чтобы _он сам отправлял_ почту, а не тупо передавал релею)

спасибо.

з.ы. да, переход чтобы был простым, а то как минимум ящиков много и алиасов для них тоже...
Автор: exMIB
Дата сообщения: 08.12.2005 17:09
vavaka2

Цитата:
Раньше был 1 выход в инет через модем и все работало, сейчас подключили еще один выход в инет через сетевую карту. Нужно, чтобы почтовая программа Office Mail Server ходила как раньше через модем а все в инет лазили через новую сетевуху. Но настроить так не получается, весь инет идет через модем, если в пакетном фильтре для модема разрешить порты 25 и 110 и запретить все остальное то почта работает а инета ни у кого нет, новая карта просто игнорируется. Через новую карту можно выйти в инет только отключив старое модемное подключение, а оно нужно для работы почтовой программы. Пожалуйста, подскажите как настроить WinRoute.

Вот интересный вопрос.
Мне тоже хотелось бы узнать на него ответ.
Возможно ли это ? И как если возможно ?
Автор: Venchik
Дата сообщения: 04.01.2006 15:38
Задача.
Есть 3 компьютера. Все 3 работают под Win XP Pro RUS+SP2.
№1:
10.0.1.101/255.255.255.0 - смотрит на провайдера - статический
Гейт: 10.0.1.1

№2:
10.0.2.102/255.255.255.0 - смотрит на провайдера - статический
Гейт: 10.0.2.1
192.168.0.1/255.255.255.0 - смотрит на домашний комп №3 - могу менять что угодно

№3:
192.168.0.2/255.255.255.0 - смотрит на домашний комп №2 - могу менять что угодно
Гейт: 192.168.0.1

1 и 2 связаны между собой сервером провайдера. Естественно, никакие провайдерские настройки менять нельзя.
На 1-ом есть Интернет, доступ к которому осуществляется путем установки VPN соединения с сервером провайдера. VPN получает фейковые (192.168.1.0/255.255.255.0) айпи динамически.
Небходимо сделать доступ к Интернету на компьютерах 2 и 3.
Для этих целей ставлю на 1-ом Winroute Pro 4.2.5 (все что вышло после него мне не нравится), в таблице интерфейсов делаю разрешение на преобразование адресов для VPN'a, который будет подниматься на провайдера. Средстави ОС делаю VPN сервер, к которому будут подключаться 2 и 3. Без этого сервера ничего не получится, так как 1 и 2 лежат в разных подсетях. Если я не прав - поправьте меня.
Итак, сделали NAT, 2-ой ходит через 1-го в Интернет, 3-й ходит через 2-го (я на 2-ом просто ICS включил) и 1-го, все хорошо...почти...
Теперь вопрос: Каким интерфейсам и адресам позволено ходить в этот Интернет? Если прописать на 10.0.1.х компьютерах в качестве шлюза 10.0.1.101, то можно-ли будет ходит в Инет через него? Мне нужно, чтобы нельзя было такого сделать, то есть я хочу понять где можно настроить фильтрацию интерфейсов и адресов, которым будет доступен Интернет на VPN'e.
Извините что так много написал...я постарался подробно описать ситуацию.
Автор: Den Ju
Дата сообщения: 04.01.2006 22:33
Venchik
Описал - хорошо! Но лучше...как говорится, один раз увидеть, чем....ну ты понял.
1.Нарисуй схему сетки
2. Не понятно зачем 2-му компу, у которого и так есть инет сам по себе еще инет и через 1-й комп?
3. Где физически расположены эти компы?
4. И все-таки мне кажется, ты на поставил промежуточную задачу....А в итоге что ты хочешь сделать?
Автор: Venchik
Дата сообщения: 04.01.2006 23:40
Den Ju
Первое что я понял - это то, что не надо поднимать VPN соединение на 3-ем компе. Это лишнее. Вполне достаточно будет настроить NAT в Winrout'e на 2-ом компе для VPN'a, который 2-ой комп поднимает на первый.

1. http://interguide.com.ua/ven/network2.gif - это схема (17 КБ)
2. Потому, что второй комп не имеет денег для использования инета, а первый имеет
3. 1 и 2 В 10 км друг от друга. 2 и 3 в 15 метрах.
4. Задача конечная: дать инет 2 и 3 компу, используя желтенький (на схеме) канала 1-го компа.
Автор: Den Ju
Дата сообщения: 05.01.2006 19:13
Схема понятна, спасибо.
Значит, трафик внутри сети провайдера халявный? так? а за инет платишь с 1-го...хорошо. Идея понятна. Да на 3-м VPN не нужен ты правильно понял. Чтобы запретить компьютерам из сети (1) 10.0.1.х пользоваться инетом, надо настраивать правила на внутреннем интерфейсе шлюза (1). Методика на самом деле проста.
Пишешь правило на ВХОДЯЩИЕ внутреннего интерфеса: Протокол IP запретить все с любого адреса на любой адрес. Но имей ввиду...весь трафик с компов сети 10.0.1.х на шлюз 10.0.1.101 будет запрещен, так что если есть запущенные сервисы, которые используются, надо будет создавать разреш. правила. Затем вкючаешь логи на экран на это правило и смотришь какие нужные пакеты режутся, и для них создаешь разрешающее правило, только перед запрещающим. Вот и все.
Автор: Venchik
Дата сообщения: 05.01.2006 23:10
Спасибо!
Для ясности хочу уточнить:
1. Правила надо создавать на компьютере №1 для интерфейса, смотрящего в сеть провайдера (сетевушка), для входяхщих пакетов?
2.
Цитата:
Протокол IP запретить все с любого адреса на любой адрес.
Наверное, не с любого, а только с 10.0.1.0/255.255.255.0. Или я не правильно понял?

Добавлено:
Я вот что подумал...
А может быть надо на 1-ом компе для внешнего (желтенького) интерфейса сделать правило для исходящих пакетов, которое бы блокировало пакеты с адресом отправителя 10.0.1.0/255.255.255.0?
Автор: Den Ju
Дата сообщения: 09.01.2006 20:12
Обожди ...ты не понял
Тебе нужно запретить выход в интернет из внутренней сети 1-го компа или я не прав?
Если -да, то именно на ВНУТРЕННЕМ (а не на внешнем интерфейсе надо ставить правило).
Стоп...а там же одна сетевуха?)))) Что-то я запутался...Какие тогда компы ты не хочешь в инет пускать?
Автор: Venchik
Дата сообщения: 09.01.2006 22:17
Проехали...я уже 6.1.4-1044 поставил...теперь занимаюсь решением проблем в ней
Автор: Mobil84
Дата сообщения: 13.01.2006 23:22
"Нужен полный комплект антивирусных модулей для Kerio Winroute 6 c возможностью
обновления антивирусных баз не ограниченного по времени ( в крайнем случае длительный срок – несколько лет)." Возможно ли такое?
Автор: HSWT
Дата сообщения: 14.01.2006 02:28
Подскажите а дома что надо ставить, а то поставил Kerio WinRoute Pro, а там нет работы с приложениями.
Автор: Den Ju
Дата сообщения: 14.01.2006 16:24
Если дома один компьютер, подключенный к Инету, то ставь Outpost Pro и радуйся жизни. Если же несколько компов дома и всем необходимо обеспечить выход в интернет, то один компьютер настраиваешь как шлюз, на него ставишь или Winroute или Wingate, остальные выходят в интернет через него.
Автор: SERG19
Дата сообщения: 25.01.2006 11:34
Братцы, помогите !
Не пускает в пакетный фильтр ВинроутПро 425.Все работает, а в фильтр не пускает.
Кто сталкивался с такой проблемой ?

Добавлено:
armagedo
Привет !
А был ли случай когда кнопка пакетного фильтра переставала работать ?
Вот получилось так и не могу разобраться.
Помоги плиз.
Автор: LunJin
Дата сообщения: 27.01.2006 18:25
Друзья ! Всем доброго времени суток ! Я тут уже видел подобный вопрос но ответа на него не нашёл. Может кто-то заморачивался ? Суть в том, что когда у юзвера заканчивается квота его просто не пускают никуда. Так вот может кто-нибудь из вас знает способ как в таком случае выдавать юзверу какой-нибудь месадж ? Может кто скрипт написал или это возможно средствами сабжа ? Просто людей раздрожает, когда их отрубает но причины они не знают. Спасибо за внимание !
Автор: rain2006
Дата сообщения: 31.01.2006 10:32
у меня проблема.
Мне нада на пользовательской машине открыть рорт 3579.
на машине где стоит керио в керио я открыл доступ для порта 3579.
но на пользовательской машине он не открывается.
Когда прописываю основной шлюз IP сервера(керио) тогда работает но зато не работает сетка на этой машине. А мне надо что бы работал порт 3579 и работала сетка одновременно.
Автор: Helmsman
Дата сообщения: 03.02.2006 16:42
Подскажите, что где крутить, чтобы любая прога, стучащаяся через Керио в инет, вызывала выброс пользователю окошка ввода имени и пароля. Переставил новый билд, правила перенес нормально, а вот окошко теперь выскакивает только если через браузер по хттп куда-нибудь ломишься, а допустим e-mail никаких событий не вызывает и соответственно, так как все правила прописаны только для авторизованных - получаем бритву. Галка "всегда требовать авторизацию" выставлена... куда копать?
Автор: AnLe
Дата сообщения: 03.03.2006 12:36
Helmsman
Как вариант просто привязать юзара и ипшник его чтобы автомато авторизовался.
Автор: dariusii
Дата сообщения: 13.04.2006 18:27
Den Ju

Цитата:
Если дома один компьютер, подключенный к Инету, то ставь Outpost Pro и радуйся жизни. Если же несколько компов дома и всем необходимо обеспечить выход в интернет, то один компьютер настраиваешь как шлюз, на него ставишь или Winroute или Wingate, остальные выходят в интернет через него.


Смотрим на машину с Outpost:

netbios в настройках заблокирован:
starting Nmap 4.01 ( http://www.insecure.org/nmap/ ) at 2006-04-12 00:43 MSD
Interesting ports on x.x.x.x:
(The 1665 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
135/tcp filtered msrpc
136/tcp filtered profile
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
1434/tcp filtered ms-sql-m
MAC Address: ...............

фильтрация, конечно , хорошо, но что там за Фильтраццио - x.. ..ет

Задача была скрыть netbios. Outpost этого, как я вижу, не делает.

теперь смотри на машину с банально настроенным Kerio winroute

Starting Nmap 4.01 ( http://www.insecure.org/nmap/ ) at 2006-04-11 16:56 MSD
Note: Host seems down. If it is really up, but blocking our ping probes, try -P0
Nmap finished: 1 IP address (0 hosts up) scanned in 1.132 seconds

это через "-sS - P0"

Аутглюк файрволл, ко всему прочему, вешает win2k3.

BSOD

STOP:0x0000008E
STOP:0x8000003
STOP:0x8086C810
STOP:0xBAA43A8C

а win2k3 мне больше нравиццо, чем winxp

http://forum.ru-board.com/topic.cgi?forum=62&topic=6672#1
Автор: KASSIOTRE
Дата сообщения: 14.04.2006 08:07
    
Установил на компьютре с Kerio Winroute Firewall e-mule. Не знаю, что нужно сделать, чтобы на e-mule получить Hi-ID . Как был Low - ID, так и остался.
Встречался кто-нибудь с такой проблемой?
Автор: Niko84
Дата сообщения: 19.04.2006 13:59
Облазил форум в поисках ответа, но что-то не нашел, может полхо искал... не знаю...
Прошу о помощи. Уже второй день бьюсь и не могу понять в чем же дело.

А дело собвственно в том, что на машинке с KWF работает только ping в "Inet", больше ничего не работает, совсем

Правила:
Name | Source | Dest. | Service | Action |
------------------------------------------------------------
"Ping"    | Firewall | Any | Ping | Allow
"Me -> LAN" | Firewall | LAN | Any   | Allow
"LAN -> Me" | LAN | Firewall | Any  | Allow
"Me -> Inet" | Firewall | LAN | Any | Allow
"LAN -> Inet" | LAN | LAN | Any  | Allow (NAT)
"HTTP -> Me" | LAN | Firewall | HTTP | Allow

Расшифровка:
"LAN" - PPPoE соединение через которое раздается инет и работает локалка

Как я уже говорил - при включеном KWF работает только пинг (работает как по имени так и по адресу), но ничто другое так и не работает, а надо бы... Где грабли?
Help. Спасибо.


Автор: errare
Дата сообщения: 21.04.2006 10:58
Народ, подскажите, плз!
Поставил КВФ 6.2.0 патч 1, лечу, настраиваю - все ок, работает.
Файлы настройки меняются по отношению к bak-файлам. Т.е. если
сразу после установки winroute.cfg был 21 байт, скажем, и
winroute.cfg.bak столько же, то после настройки winroute.cfg
стал N килобайт. Но после остановки фаервола и последующего его
старта, такое впечатление, что настройки он считывает не из
winroute.cfg, а из winroute.cfg.bak, т.е. захожу в админку и
вижу все по-умолчанию, и без всяких правил...
Уже голову себе сломал - почему так???
Я так понимаю, что при старте фаер должен копировать winroute.cfg
в winroute.cfg.bak (и прочие файлы настроек)? Тогда почему он этого
не делает, а делает наоборот???
Автор: Evgeny_Sorokin
Дата сообщения: 25.04.2006 06:47
KASSIOTRE

Цитата:
Установил на компьютре с Kerio Winroute Firewall e-mule. Не знаю, что нужно сделать, чтобы на e-mule получить Hi-ID . Как был Low - ID, так и остался.
Встречался кто-нибудь с такой проблемой?

Нужно замапить входящие порты на твой компс мулей, тогда всё ок будет.
Автор: KASSIOTRE
Дата сообщения: 25.04.2006 12:22
Evgeny_Sorokin - правильно ли я понял?
Я сделал так -
Configuration -Definitions - Services
Добавил сервисы :
protocol - TCP/UDP ; Source port - Any; Destination port - 8001
и
protocol - TCP/UDP ; Source port - Any; Destination port - 8002

А в emule - порты клиента -
TCP - 8001
UDP - 8002

Потому что так , как я сделал - не работает.
Выручайте!
Автор: KASSIOTRE
Дата сообщения: 26.04.2006 11:09
Может, надо правило какое добавить?
Автор: Evgeny_Sorokin
Дата сообщения: 28.04.2006 10:00
KASSIOTRE

Цитата:
Может, надо правило какое добавить?

Обязательно надо...

Source - Destination - Service - Action - NAT/MAP
INET FireWall eMule permit MAP to (ip адрес компа в локалке)
(TCP/UDP
8001,8002)

Автор: Indikator
Дата сообщения: 28.04.2006 10:39
Niko84
Я в общем то не спец по Керии, но сам юзаю потихоньку и сдается мне у тебя напутаны правила для выхода в инет. У меня стоит прокси через порт 3128, NAT я вырубил. И правила выглядят примерно так:
LAN>Inet Source: LAN, Dest: Firewall, Service: HTTP Proxy, Action: Permit
Я в инет: Source: Firewall, Dest: инет, Service: HTTP (и т.д.), Action: Permit

Непонятно назначение последнего твоего правила - по названию вроде разрешение инета к тебе (что уже странно), а по сути - разрешение доступа в инет (через тебя) локалке. Четвертое твое правило полностью дублирует второе, хотя называется "доступ в инет", а настроено как доступ в локалку. Пятое правило называется как доступ локалке в инет, а по факту просто разрешает трафик в локальной сети.
Автор: Evgeny_Sorokin
Дата сообщения: 28.04.2006 12:39
Niko84
Вместо всех правил аналогичное действие от этих двух... остальные бесполезны..

"LAN -> Me" | LAN | Firewall | Any | Allow
"Me -> Inet" | Firewall | LAN | Any | Allow

Только как-то сложно всё у тебя..
Я так понял что у тебя один сетевой интерфейс... да ?


Автор: R2y
Дата сообщения: 24.06.2006 19:44
Настроил я FTP сервер с NAT и MAP трансляцией, и заметил более 10 кратное понижение скорости по локалке при uploade файлов на ftp сервер. Это нормально или есть какие-то решения?
Автор: BlackFox
Дата сообщения: 25.06.2006 16:09
раз в 1-2 дня падает инет на адсл. в логах пишет вот это


[25/Jun/2006 02:05:20] Line "1" dropped, connection time 15:31:50, 215192227 bytes received, 8035909 bytes transmitted
[25/Jun/2006 02:05:24] Line "1" is persistent, connecting ...
[25/Jun/2006 02:05:29] Line "1" disconnected
[25/Jun/2006 02:05:30] Line "1" is persistent, connecting ...
[25/Jun/2006 02:05:34] Line "1" disconnected
[25/Jun/2006 02:05:36] Line "1" is persistent, connecting ...
[25/Jun/2006 02:05:40] Line "1" disconnected
[25/Jun/2006 02:05:42] Line "1" is persistent, connecting ...


связь не восстанавливается пока не перезагрузишь комп...как можно решить эту проблему?


стоит керио Version 6.2.0 Patch 1

Страницы: 123456789101112131415161718

Предыдущая тема: Kerio Mail Server


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.