» Настройка Kerio Winroute серии 5.x и 6.х (часть 2)

Эта информация с локального компьютера, Интернет на нем работает. Информацию с сервера на котором стоит KWF (Интернет тоже работает), выкладываю:
C:\Documents and Settings\Администратор.MASTER>tracert ya.ru

Трассировка маршрута к ya.ru [213.180.204.8]
с максимальным числом прыжков 30:

1 <1 мс 1 ms <1 мс 192.168.1.1
2 15 ms 15 ms 15 ms 17-48.242.80-adsl.new-link.ru [80.242.48.17]
3 19 ms 19 ms 22 ms 6-48.242.80-adsl.new-link.ru [80.242.48.6]
4 77 ms 180 ms 51 ms 212.96.193.121
5 30 ms 28 ms 28 ms 90.150.2.14
6 23 ms 22 ms 23 ms 217.150.52.66
7 63 ms 68 ms 59 ms mow-b2-link.telia.net [213.248.97.173]
8 85 ms * 61 ms mow-b1-link.telia.net [80.91.251.176]
9 97 ms 122 ms 119 ms yandex-ic-123531-mow-b1.c.telia.net [213.248.104
.142]
10 69 ms 67 ms 89 ms ya.ru [213.180.204.8]

Трассировка завершена.

C:\Documents and Settings\Администратор.MASTER>pathping ya.ru

Трассировка маршрута к ya.ru [213.180.204.8]
с максимальным числом прыжков 30:
0 master.com [192.168.1.33]
1 192.168.1.1
2 17-48.242.80-adsl.new-link.ru [80.242.48.17]
3 6-48.242.80-adsl.new-link.ru [80.242.48.6]
4 212.96.193.121
5 90.150.2.14
6 217.150.52.66
7 mow-b2-link.telia.net [213.248.97.173]
8 mow-b1-link.telia.net [80.91.251.176]
9 yandex-ic-123531-mow-b1.c.telia.net [213.248.104.142]
10 ya.ru [213.180.204.8]

Подсчет статистики за: 250 сек. ...
Исходный узел Маршрутный узел
Прыжок RTT Утер./Отпр. % Утер./Отпр. % Адрес
0 master.com [192.168.1.33]
0/ 100 = 0% |
1 0мс 0/ 100 = 0% 0/ 100 = 0% 192.168.1.1
0/ 100 = 0% |
2 29мс 0/ 100 = 0% 0/ 100 = 0% 17-48.242.80-adsl.new-link.ru [80.
242.48.17]
0/ 100 = 0% |
3 59мс 0/ 100 = 0% 0/ 100 = 0% 6-48.242.80-adsl.new-link.ru [80.2
42.48.6]
0/ 100 = 0% |
4 80мс 0/ 100 = 0% 0/ 100 = 0% 212.96.193.121
0/ 100 = 0% |
5 73мс 0/ 100 = 0% 0/ 100 = 0% 90.150.2.14
0/ 100 = 0% |
6 73мс 3/ 100 = 3% 3/ 100 = 3% 217.150.52.66
0/ 100 = 0% |
7 97мс 0/ 100 = 0% 0/ 100 = 0% mow-b2-link.telia.net [213.248.97.
173]
5/ 100 = 5% |
8 --- 100/ 100 =100% 95/ 100 = 95% mow-b1-link.telia.net [80.91.251.1
76]
0/ 100 = 0% |
9 --- 100/ 100 =100% 95/ 100 = 95% yandex-ic-123531-mow-b1.c.telia.ne
t [213.248.104.142]
0/ 100 = 0% |
10 104мс 5/ 100 = 5% 0/ 100 = 0% ya.ru [213.180.204.8]

Трассировка завершена.

Ну вот и всё понятно, 80.242.48.17 (17-48.242.80-adsl.new-link.ru) закрыт частично, звонишь прову, просишь открыть нужные порты.

Address : 80.242.48.17
Port 21 ... Ok ! (port 21 - File Transfer [Control])
Port 25 ... Ok ! (port 25 - Simple Mail Transfer)
Port 80 ... Ok ! (port 80 - World Wide Web HTTP)
Port 81 ... Ok ! (port 81 - HOSTS2 Name Server)
Port 82 ... Ok ! (port 82 - XFER Utility)
Port 83 ... Ok ! (port 83 - MIT ML Device)
Port 110 ... Ok ! (port 110 - Post Office Protocol - Version 3)
Port 119 ... Ok ! (port 119 - Network News Transfer Protocol)
Port 143 ... Ok ! (port 143 - Internet Message Access Protocol)


Соединение с сервером 80.242.48.17 сбой (Запрос на установление соединения отклонен сервером.). Управляемый )

Провайдер сказал, что ищите проблемы у себя. Что у других все работает. Этот шлюз закрыт, но он и должен быть закрыт, потому- что это их шлюз и т.д. т.п. Еще предложения будут?

Цитата:

Провайдер сказал, что ищите проблемы у себя. Что у других все работает. Этот шлюз закрыт, но он и должен быть закрыт, потому- что это их шлюз и т.д. т.п. Еще предложения будут?

Так это у них шлюзец значит, ну тут тебе ничего не светит либо пока не зазнакомишься с верхними админами, либо не случиться чуда и они пойдут на уступки. Есть вариант перехода на других провайдеров, с хорошими мозгами.

Кста, у тебя внутри вэб сервер есть ? юзай Remote Desktop Web Connection

эти порты у них открыты (скажешь что у тя в сети вэб сервер и ниипёт), хотя они правы, что это их шлюз, проще купить прямой IP

Не они сказали немного по другому, что пользователям они порты не закрывают, то есть, от них ничего не зависит. Если я все настроила правильно, то порт будет открыт. А это не может быть модем?

Цитата:

А это не может быть модем?

Так у тя адсл ? o-0
Вот ё маё, видно не внимательно посты читал, кароче тада все предельно просто, у тя он по ходу со встроенным фильтром, лезешь в админку модема, находишь параметры и делаешь перенаправление. Все.

lavren
вот эти правила прописаны сейчас!



вчера пробовал отключить встроенный в KWF антивирус! не помогло
Так же не работала ICQ однако добавил ее в правила и все пошло на ура! а вот почта сволочь так и не хочет!!!

Такая проблема появилась после установки Керио версии 6.4.0. В Outlook приходят пустые письма.

у меня на компах что в локалке, пишет что сервер pop3 и smtp не найдены соответственно до приема и отправки писем вообще дело не доходит.
а на компе где установлен сам KWF все нормально работает!!!

Andrey12
В правилах кажись все хорошо! Попробуй на остальных компах в свойствах сетевой там где основной шлюз проставить IP машины с керио!

Цитата:

у меня на компах что в локалке, пишет что сервер pop3 и smtp не найдены соответственно до приема и отправки писем вообще дело не доходит.
а на компе где установлен сам KWF все нормально работает!!!

Т.е. исходя из твоих правил аутентификация тебе не нужна или у тебя стоит галка Always requre users to authentificate when accessing web-pages.
NAT задвинь после Firewall Traffic.

На машине с Kerio не должен быть прописан IP шлюза и отключена служба маршрутизации, плюс ко всему у тебя может быть релей почты, и ты его не прописал в Керио.

lavren
attaattaatta
аутентификация мне там не нужна.
фирмачка совсем маленькая 4 компа всего и 7 чел. народу. два друга, их жены и три грузчика ))
IP шлюза на машине с kerio не прописан. служба маршрутизации (прости не понял) должна быть отключена?
сегодня попробую передвинуть NAT.
а релей почты в kerio я так понимаю по умолчанию закрыт для всех!? необходимо прописывать для каждого? или достаточно прописать общее правило для всех?

Andrey12

Цитата:

IP шлюза на машине с kerio не прописан

Отлично! А на машинах без керио, на каких юзеры сидят, какой IP шлюза проставлен?
И воще ты уверен что твои 4 юзерских компа обращаются к машине с керио по протоколах POP3 и SMTP?

Цитата:

а релей почты в kerio я так понимаю по умолчанию закрыт для всех!? необходимо прописывать для каждого? или достаточно прописать общее правило для всех?

не надо для всех ничего прописывать ! в админке керио залезь в Advanced Options и во вкладке SMTP Relay пропиши IP релея.


Цитата:

Отлично! А на машинах без керио, на каких юзеры сидят, какой IP шлюза проставлен?

Ну если инет на тачках сетки есть значит всё пучком

Народ а кто знает как настроить Керио для доступа к удаленному терминалу из интернета?! Внутри сети доступ есть.



по поводу почты. Если отключить Protocol Inspector везде то почта доходит полностью и нормально. Но не ведеться проверка и учет трафика. Работает только статистика трафика. Возможно что даже не проверяется все антивирусом. Пытался отключить протокол инспектор только на поп3 и смтп, а отдельно включить на всех остальных протоколах... не помогло. Из аутлука вообще пропала связь с почтовым сервером( что делать хз(

attaattaatta

Цитата:

Ну если инет на тачках сетки есть значит всё пучком

Нет! Если в браузере проставил прокси то интернет есть! А в оутлуке проставлено прокси? Я чтото не помню где поставляется, как он догадается через ково посылать?

Добавлено:
Shaggy1

Цитата:

Возможно что даже не проверяется все антивирусом.

Да!
Создай правила отдельно для POP3 и SMTP и в них отключи Protocol Inspector

lavren

Цитата:

Нет! Если в браузере проставил прокси то интернет есть! А в оутлуке проставлено прокси? Я чтото не помню где поставляется, как он догадается через ково посылать?

действительно в настройках оутлука есть галка что-то вроде "использовать настройки Internet Explorer". и она там стоит.

Цитата:

Нет! Если в браузере проставил прокси то интернет есть!

Да не спорю, но зачеи прокся в такой маленькой сетке на 4 компа и без аплоада на верхнюю проксю ?. Потому и сделал такое предположение 8)


Цитата:

Если отключить Protocol Inspector везде то почта доходит полностью и нормально. Но не ведеться проверка и учет трафика.

Блин ВОТ ВОТ это мне и надо было ещё деяток постов назад !!!!
СПАСИБО !!!!! Нафиг этот учет )))

Да незачто) А вот мне нужна проверка на Антивирусом которая не будет работать при отключенном протокол инспекторе(

Цитата:

А вот мне нужна проверка на Антивирусом которая не будет работать при отключенном протокол инспекторе

Хм, у мну вообще антивируса в керио не стоит т.к. файло коцает иногда, решил установкой корпоративноко Касперского централизованного.

Подскажие пожалуйста. Можно ли сделать так, чтоб smtp и pop3 трафик(nat) мог ходит независимо от того, кончилась ли квота у пользователя.

Вот вопрос как настроить доступ к удаленному терминалу из интернета в Керио.
Доступ был пока не поставил Керио. А терь незнаю что где надо включить или отключить.

Shaggy1
Попробуй проброс порта RDP с интерфеса internet на firewall'а

Цитата:

Подскажие пожалуйста. Можно ли сделать так, чтоб smtp и pop3 трафик(nat) мог ходит независимо от того, кончилась ли квота у пользователя.

Создай адресную группу для тех имен компов или айпишников кому надо так сделать и создай правило

Source - эта группа
Destination - инет интерфэйс
Service - dns, pop3, smtp, imap, pop3s
Action - Permit
Nat (default)

Посмотри на правлило "сетевые сервисы незареганых" здесь http://img489.imageshack.us/my.php?image=pol3ca4.jpg

Но учти, что правила читаются сверху вниз.


Добавлено:

Цитата:

Попробуй проброс порта RDP с интерфеса internet на firewall'а

Source - инет интерфэйс
Desination - Firewall Host
Service - RDP
Action - Permit
Nat - map adress to (IP компа где работает терминальный сервер)
map port to 3389

Спасибо за помошь) Заработало)
И как ни странно после сброса всех ностоек, и настройке того же самого заного заходила почта нормально. с включенным протокол инспектором

Подскажите плиз каким образом в керио можно настроить ограничение скорости по пользователям?

Подскажите, а можно ли заставить WinRoute 6 - при запросе определенной страницы - перенаправлять на другую проксю?

Доброго времени суток Братья по разуму !
Помажите люди добрые, сами ми не местные..и.т.д..и.т.п....
Короче, кто съел не однин питомник собак на вопросе настройки KWF , и просто тот, кто знает конкретный ответ, на поставленный ниже впрос - пожалуста ответьте, буду премного благодарен.
Ситуэйшин следующий - есть комп (PIII-1200,128 (WinXP_SP2)), на нём установлен
KWF 6.3.1 (2906), из сетевых железяк классика - две сетевухи, одна смотрит на мопед (тот в свою очередь на нет) и вторая смотрит в сеть с клиентами. Клиенты ни как ни афторизуються и не ограничиваються (ибо безлимит). Поднят непрозрачный прокси на порту 8080 ну ищё пару правил прописано

1: name=(uTorrent) src=(iface:"LAN_Inet") dst=(Firewall) service=("My_uTorrent") snat=(any) dnat=(any) action=(permit), time_range=(always) inspector=(none)
2: name=(12VoIP) src=(iface:"LAN_Comp") dst=(Firewall) service=("MY_12VoIP") snat=(iface:"LAN_Inet") dnat=(any) action=(permit), time_range=(always) inspector=(none)
3: name=(OUT_LAN) src=(Firewall) dst=(iface:"LAN_Comp") service=(any) snat=(any) dnat=(any) action=(permit), time_range=(always) inspector=(none)
4: name=(OUT_INET) src=(Firewall) dst=(iface:"LAN_Inet") service=(any) snat=(any) dnat=(any) action=(permit,logconn), time_range=(always) inspector=(none)
5: name=(IN_INET) src=(iface:"LAN_Inet") dst=(Firewall) service=(any) snat=(any) dnat=(any) action=(drop), time_range=(always) inspector=(none)
6: name=(IN_LAN) src=(iface:"LAN_Comp") dst=(Firewall) service=(any) snat=(any) dnat=(any) action=(permit), time_range=(always) inspector=(none)
default: action=(drop)
--------------------------------------------------------------------------------------------------------
Внимание вопрос - какие нужно создать правила чтобы работала почта (SMTP, POP3) ?
--------------------------------------------------------------------------------------------------------
З.Ы.
Интуетивно понятно что надо портмап курить....
Но большие танцы с бубном вокруг портмапа и IPмаскарадинга (в разных вариациях)
ни к чему не привели...
прала
name=(SMTP) src=(iface:"LAN_Comp") dst=(Firewall) service=("MY_SMTP") snat=(any) dnat=(194.67.23.111:25) action=(permit), time_range=(always) inspector=(none)
name=(POP3) src=(iface:"LAN_Comp") dst=(Firewall) service=("MY_POP3") snat=(any) dnat=(194.67.23.102:110) action=(permit), time_range=(always) inspector=(none)
так же их вариации не работают... (:o(

З.Ы.Ы
Просьба Админам не бить меня сильно за столь длинный пост ибо пост с сестрой таланта
рождает много новодящих & не нужных вопросов и прочих "TP в студию"

usertemp
если честно непонятно зачем ты сам сбе этот гемор устроил? почему было прокси не запустить на стандартном порту 3128? почему правила не настроить визардом, портмаппинг по почтовым протоколам нужен только в случае если у тебя в сети свой почтовый сервак.

Вот блин/аладь/баурсак...Как в воду глядел, когда говорил про ненужные вопросы...
SHRIKE74

Цитата:

почему было прокси не запустить на стандартном порту 3128?

Дело вкуса и предпочтения...Мне понравился 8080...мог хоть 10101 - всё равно пахать будет. ИМХО (да и со мной мнгие согласяться) - не столь важно...


Цитата:

почему правила не настроить визардом

Визардом (ИМХО) делаються общие настроики и праявяться ручками тонкие места, моменты... Я же изначально делал всё ручками поскольку они у меня не очень кривые...


Цитата:

портмаппинг по почтовым протоколам нужен только в случае если у тебя в сети свой почтовый сервак

Не могу не согласиться...Но это не есть ответ на поставленный вопрос, а если разобраться то вообще не ответ...
Если есть конкретные рекомендации (настраивал сам подобное, а не по теории) то буду премного благодарен...
--------------------------------------------------------------------------------------------------------
Внимание вопрос - какие нужно создать правила чтобы работала почта (SMTP, POP3) ?
--------------------------------------------------------------------------------------------------------