» Kerio WinRoute

BlackFox
Пппое соединение?

1. может быть это связано с тем (как у стрима) что ввиду некоректного разрыва сесии недаёт приканектица некоторое время.
2. точто видел я, было тока при стопании керио, в папке сетевых соединений на против пппоешного соединения так и оставалась надпись: Разъединение. Лечил онли перезагрузкой.
3. включите в дебаге логирование в соотв пункте про wan и поглядите что он творит там.

AnLe

две недели моего отсутвия было все ок..инет падал говорят но восстанавливался... но суд по логам сбой был в два часа ночи, и подключений не было пока я не перезагрузил сервер в 2 дня.
я грешу на провайдера всетаки, пров говорит что это изза модема...

BlackFox
С юсб модема опыта нету как такогого, старался всегда брать лан.

А это вы где вычитали про точто устройство сдало сбой в логах винрута или виндоус?

AnLe
в логах керио...

и еще сказали что в некоторых компаних тоже вешаются модемы и такаяже ошибка.... изза перегрева случаютс.

уважаемые, пожалуйста скиньте ссылки на кряки 5.1.10. кучу ссылок посмотрел, ни одна не работает


Добавлено:
люди, скиньте пожалуйста ссылочку на кряк, посмотрел кучу ссылок, ни одна не рабочая. вер 5.1.10, заранее спасибо

люди поможите
установил новую версию KWF 6.2.2 билд 1746
в трафик полиси всё настроил визардом
пытаюсь подключиться VPN клиентом версии 1.2.2 билд 610
к другому KWF 6.2.2 билд 1746 или предидущей версии клиент не коннектится
выдает ошибку
[30/10/2006 10:12:31] GUI: connecting to '212.xxx.xxx.xxx'
[30/10/2006 10:12:31] D[VPN client] VPNClient[0002] - connecting to 212.xxx.xxx.xxx:4090, username xxx
[30/10/2006 10:12:31] D[VPN client] VPNClient[0002] - server name resolved - 212.xxx.xxx.xxx
[30/10/2006 10:12:31] D[VPN client] VPNClient[0002] - route to server added, gw = 192.168.100.1 (adapter 0x2)
[30/10/2006 10:12:52] D[VPN client] VPNClient[0002] - network error occured while sending message to peer, closing connection
[30/10/2006 10:12:52] Ошибка (165): Сервер VPN не отвечает.

причем в момент попытки подключения на KWF в статус коннекшинах даже нет такого подключения

из дома подключаюсь ко всем сервакам таким же клиентом без проблемм

пока писал осенила мысль в НАТ не добавлено же правило Service Kerio VPN
o_O

rezets
а поновей версию не бывает поставить
SAA

Цитата:

пока писал осенила мысль в НАТ не добавлено же правило Service Kerio VPN
o_O

помогло?

Народ, нужно сделать так чтобы один из пользователей сети имел доступ только к почтовым сервисам. Каким образом можно прописать правила чтобы это реализовать?

roma6ka

Дорога Вам прямо в фильтр пакетов...
Зайди и перекрой для этого адреса все порта, кроме 25 и 110

Имеем выделенный сервер (без домена) с винроутом 6.2.3.2027, из него торчат 2 Ethernet-интерфейса:
1 смотрит в локалку
2 смотрит на ADSL-модем, через который соединяется с провайдером, посредством высокоскоростного подключения (WAN Miniport PPPoE). Вобщем винроут легкомысленно причисляет его к Dial-Up-соединению.

Уровень доступа пользователей локалки в инет различный: кому - http, кому - pop3/smtp, кому ICQ/IRC, а кому вообще без ограничений.

Разруливать решил по IP через NAT. Т.к. каждый юзер строго закреплен за своим компом.
Насоздавал юзеров, закрепил за каждым определенный IP (вкладка IP addresses - Automatic login - Specific host IP-addresses) пораспихивал их по группам.

Лезу в Traffic Policy. Рисую NAT-правила:

1. source: группа1
destination: моё "Dial-Up" соединение
service: Any
Translation NAT (typical...)
дальше по дэфолту

2. source: группа2
destination: моё "Dial-Up" соединение
service: DNS, HTTP
Translation NAT (typical...)
дальше по дэфолту

Результат: Группу1 в инет пускает. Группу2 - не пускает.

Менял правила местами - не помогает.

Интересный факт: стоит задать вместо "группа2" конкретный IP-адрес одной из машин группы - пускает! Затем возвращаю все как прежде - все равно пускает!!!

P.S. И еще второстепенная проблема: пропала скорость! Имеется adsl 256/128 а как замутил винроут - и скорость упала существенно и время отклика на запрос заметно увеличилось.

Прошу помощи!

Fader
были у меня похожие траблы
1 а ты в HTTP правилах разрешения для группы добавил?
2 когда я привязывал по ИП, я у себя создал в Difinitions -> Addres Groups группу с ИП пользователей. не знаю, имеет ли это отношение к твоей проблеме.
3 старайся не использовать Any. керио его не всегда корректно обрабатывает.
4 Пользователи авторизируются? т.е. в user/hosts имена видно?
5
Цитата:

Затем возвращаю все как прежде - все равно пускает!!!

пускает, но только потому, что не произошел логаут.

здравствуйте!
я где-то в одной из многочисленных тем по winroute задавал вопрос, получил ответ но так и не выяснил до конца как сделать такое:
есть сеть большой организации ("внешняя"). к ней через шлюз с winroute подключена малая ("внутренняя") сеть. хочется
1. чтобы из малой сети были видны машины большой внешней сети
2. чтобы из внешней сети была видна например всего лишь одна папка на каком-то компьютере малой сети, или вообще не была видна малая сеть
при этом внутри малой сети все диски расшарены, т.е. с одной машины можно запросто зайти на C:/ другой машины.
я понял что это netbios, но если я просто открою эти порты, то кто угодно сможет скачать из внутренней сети все наши файлы, или даже испортить их. С другой стороны, внутри малой сети нужен максимально простой доступ между машинами, и потому там простейшая сеть на рабочих группах и все расшарено. А во внешней сети выложено много добра, и хотелось бы иметь к нему доступ. подскажите (я не админ, поэтому если можно поподробнее с настройками)

xcode
1 на удаленном компе должен стоять клиент VPN
2 дальше в справке прочитаешь

Logrim, на каком именно удаленном компе? во внешней сети много компов, там другие админы и все такое... я даже точно не знаю где они физически находятся просто люди расшарили там некоторые папки, и нужно чтобы эти папки были видны во внутренней сети через winroute. ведь без winroute они прекрасно видны и доступны, так наверняка имеется способ увидеть их и через winroute

xcode
еще раз
условно есть ДВЕ сети с "серыми ИП адресами" (192.168... и т.д.) между ними интернет.
соединять сети можно двумя способами

1 напрямую, разрешив шлюзам этих сетей принимать определенные пакеты с определенных ИП-адресов. но это не очень безопасно, хотя и не является откровенной дырой.

2 установив между сетями VPN - соединение. это более безопасно, но жрет немного больше ресурсов и несколько более заморочено в настройке.

у керио есть собственный впн-клиент.
простейшая схема.
"офис" и "ноутбук директора"
в офисе на шлюзе стоит керио винроут, на ноутбуке стоит керио впн-клиент.
директор уезжает и берет ноут с собой, подключается к интернету и работает, как будто находится в офисе. только скорость меньше.

если между сетями нет интернета, нет воэможности настроить впн на удаленных компах и т.д. то ПРОСТО РАЗРЕШИ ВХОДЯЩИЕ с определенных ИП.
sourse (ип удаленных компов) - destination (локальная сеть) - разрешить. ну и все остальное настроить, типа маршрутизация, ДНС и тд

Добавлено:
или я чего не понял?
может на компах во внешней сети есть шары и ты их хочешь видеть?
а нетбиос в свойствах внешего интерфейса разрешен?

тогда вообще очень смутно представляю что тут нужно делать
виндовыми шарами вообще для передачи файлов между сетями пользоваться не очень правильно.

и что значит, что без керио все видно? если керио отключаешь, то видно, а если включаешь, то нет?

Logrim, да именно "на компах есть шары" и я хочу их видеть.
собственно вопрос сводится к тому, как поставить разрешения для netbios таким образом, чтобы из ВНУТРЕННЕЙ сети были видны шары во ВНЕШЕЙ сети, НО из внешней сети НЕ БЫЛО ВИДНО внутреннюю сеть !!!. Поскольку во внутренней сети все расшарено, я не хочу утечек информации.

ups

А подскажите, я хочу анализировать лог посещенных сайтов, и мне надо получать по юзерам инфу какие домены он посетил какой анализатор лучше использовать?

И вопрос, нету ли мода какого-нибудь к нему чтобы он блокировал скачку больших файлов, а также блокировал скачку разного типа файлов который я укажу?
Спасибо

2 seva1 По второму вопросу Content Filtering-Http Policy-Url Rules можно добавить правило с вкладкой Advanced использовать Valid Mime type is:

Можеш поподробней рассказать как?

Я подумал в URl groups добавить *.mpg напрмиер?

А по логам ничем не поможеш?

Добавлено:
[03/Sep/2007 14:30:32] Anti-spoofing: Packet from LAN, proto:UDP, len:78, ip/port:89.175.167.217:137 -> 89.175.167.223:137, udplen:50
[03/Sep/2007 14:30:32] Anti-spoofing: Packet from LAN, proto:UDP, len:78, ip/port:89.175.167.217:137 -> 89.175.167.223:137, udplen:50
[03/Sep/2007 14:30:38] Anti-spoofing: Packet from LAN, proto:UDP, len:78, ip/port:89.175.167.217:137 -> 89.175.167.223:137, udplen:50

Почему то после таких ошибок встает инет

2 seva1 Подробнее, у меня используется Content Filtering-Http Policy-Url Rules добавлено правило с вкладками General-Deny Access to the Web Site=X Log=X; Advanced-Valid Mime type is: audio/mpeg
В URl groups тоже можно добавить в Ads/banners Url:*.mpg;Url:*.mpeg

Насчет подвисания, у меня керио плохо работал давно как Proxy Server и бета версии падали иногда

У меня проблема такая.
Из сетки юзеры в нэт через браузер залезают, а вот пропинговать что-нибудь типа mail.ru не удается, зато по DNS IP определяется... Соответственно, другие проги не могут выйти в нэт

Народ а в Kerio 6.3.1 есть фича что бы создавать квоты не отдельным пользователям, а целой группе пользователей. А то прописывать одинаковые квоты сотне пользователей как то влом?

moxnatii
Выделяешь через Ctrl всех нужных пользователей, ставишь галочку индивидуальная конфигурация и вперед настраивать им квоту.
Это если юзеры уже забиты, а если нет, то по шаблону юзеров клепаешь

R2y

1) слух а как запретить например просмотр сайта в котором проигрывается видео?

2) Никак не запретить скачку больших файлов?

3) Все таки по анализу логов
- Как сделать чтобы они не чистились то есть почему то логи ограничиваются каким то количеством записей
- Какой прогой наиболее удобно анализировать их?


Спасибо

seva1
1. Аналогично попробуй Advanced-Valid Mime type is: video/*
2. Да, есть такая проблема, особенно меня достают многопотоковые качки - даже Bandwith Limiter слабо помогает иногда
3. Logs-http-Edit-Log Settings... указать свои цифры ротации
Анализаторы сейчас не использую, на предыдущей работе люди сами писали, правда использовался огород из разных серверов linux+windows+excange

Yips
в правило NAT добавь сервис ping
кстати, правила Radmin и Project Expert лишние. В правиле Local Traffic уже разрешено ходить всему между LAN и Firewall

AlOne
Thnx за совет по Radmin и PE. А про Ping догадался сам

Connection to server www.domain.ru failed (code 1004)

Часто выскакиевает такая ошибка что она значит? и из-за чего она возникает?

+ на некоторых компах при включении связь с сервером сразу ен устанавливается...
Из-за чего?

Спасибо

Здравствуйте.
Ребята есть небольшая проблемка, а точнее непонятка, для меня! Помогите разобраться!
Есть сервер c 2-мя сетевыми, на нем KWF, который выполняет роль шлюза в инет для локальных машин.
На локальной машине(XPSP2) создаю защищенное VPN-соединение(тип:L2TPIPSecVPN) с удаленным VPN-сервером.
Соединение устанавливается успешно! Но выйти на предлагаемый адрес через браузер не получается,
хотя telnet-ом выходит!
Покапавшись в логах KWF, нашел в логах фильтра следующее сообщение:
DROP packet with bad format to LAN, proto:17,len:1460,ip:195.xxx.70.70 -> 192.168.0.2,plen:1440
195.ххх.70.70 - внешний IP VPN-сервера.
т.е. все пришедшие пакеты с внешнего ip на мою локальную машину почему-то
отбраковываются! Вот и вопрос - ПОЧЕМУ?
P.S. Я пробовал разрешить всё в оба напрвления в правилах KWF - никакого эффекта, и в логах тоже самое!