» Настройка Kerio Winroute серии 5.x и 6.х (часть 2)

чтоб работала почта в правиле где нат в сервисах добавь протоколы pop3 и smtp всё,
можешь ещё в сервисах попробовать на этих протоколах отключить протокол инспекторы, если ты почту хочешь пускать исключительно через прокси тогда настраивай почтовые клиенты на хождение через прокси

Есть проблема, Инет выхожу через адсл, он включен в сетевую карту на сервере. На сервере есть дополнительный ВПН на другой офис. Проблемка в том что когда вкл. ВПН то в routing Table создается строка 0000 0000 ВПН с метрикой 1 , а у инета 0000 0000 инет метрика 21 . Соответственно инет падает!.В настройках впн галочку "использ основн шлюз" - убрал но эффекта нет. Как в керио отключить такую странность ? Керио 6.4 , сервер 2003 64 сп2 р2.

Господа! Помогите + спасите!

Как заставить какое-либо правило из Traffic Policy отрабатывать не всегда, но лишь по времени, например из Time Ranges? Подозреваю, что никак... ((

* * *

О! эврика, эврика!!!

Оказывается, нужные колонки в Трафик Полиси по умолчанию... спрятаны!
Нажимаем правой кнопкой на заголовке столбцов, "настройка" - и там два спрятанных
поля "Valid on..." (время) и "Траффик инспектор" (хрен его знает, что это такое).

Теперь еще надо посмотреть, работает ли оно. ;) Вдруг его спрятали от греха подальше, потому что оно сырое?... :\

гм, интересная хреновина выявилась, не знал об этом

Есть сеть на 10 машин и "железный" VPN-router, который выпускает сеть в инет. Необходимо посчитать трафик каждой машины (можно просто по IP). Руководству просто необходимо оценить "расход" каждого отдела, чтобы спланировать расширение в новом офисе. Подсчет - дело временное. Больше чем на 2-3 месяца оно не понадобится. Поэтому хочется найти простое решение и желательно не "трогать" пользователей. Они, чтоб как работали так и продолжали работать со своими почтами, броузерами, антивирями, асями, скайпами, а главное - с клиент-банками.

Годится ли для этого Винроут? Как его настроить? Работает ли он с VPN?

p.s.: я так понимаю, что понадобится выделенная машина с двумя сетевыми?

Цитата:

p.s.: я так понимаю, что понадобится выделенная машина с двумя сетевыми?

ага

Что надо заменить в файле logs.cfg, чтобы логи писались на другой диск?

Прошу прощения, если повторился, не смог найти.

Dima_GEN


Цитата:

чтоб работала почта в правиле где нат в сервисах добавь протоколы pop3 и smtp всё,
можешь ещё в сервисах попробовать на этих протоколах отключить протокол инспекторы, если ты почту хочешь пускать исключительно через прокси тогда настраивай почтовые клиенты на хождение через прокси

TP
Souse - карточка сети | Dest - FireWall | Servise - порты на которые я повешал почту
Action - Permit | PI - none | Translation - NAT (карточка нета)

на клиенте настраиваем ip прокси : мои порты

Запускаем The Bat - состояние "Соединение с сервером", пока по таймауту не отпадет...
в логах на проксе имеем :

PERMIT packet from LAN_Comp,//->// flags: SYN , seq:2088536960 ack:0, win:64240, tcplen:0
PERMIT packet to LAN_Comp ,//<-// flags: RST ACK , seq:0 ack:2088536961, win:0, tcplen:0

таких две строчки ещё два раза и потом

DROP malformed UDP packet from LAN_Inet, proto:UDP, len:376, ip/port:198.165.174.237:0 -> мой ip:1026, udplen:348

Запускаем The bee - состояние "Не удолось подключиться к (IP моей прокси)"...
в логах имеем :

PERMIT packet from LAN_Comp,//->//, flags: SYN , seq:91790598 ack:0, win:64240, tcplen:0
PERMIT packet to LAN_Comp,//<-//, flags: RST ACK , seq:0 ack:91790599, win:0, tcplen:0
этих две строчки еще два раза...

Кто подскажет куда рыть ?

Подскажите, можно ли при помощи керио объединить 2 PPPoE подключения в 1 канал?

SHRIKE74:
Цитата:

ага

Спасибо, дружище! Я всегда знал, что краткость - сестра таланта.

fez_i
RelativePathRoot не пробовал

Есть вопрос.
Возможно ли изменить права доступа к инету, используя веб-интерфейс Винроута? Учитывая что залогинился к фейсу под админом.

usertemp
Просто настрой нат для клиентов и разреши в нем только ПОП3 и СМТП
обычный нат (не забудь у клиентов должен быть выставлен Гейтвей и ДНС сервер - обычно и то и другое - это твоя машина с керио)
мой совет
убери у какого-нибудь клиента настройку на прокси, настрой ему нат,
добейся работы всего (браузеров, почтовиков, торрента) через нат
а потом уже в керио выстави в ТП натить только ПОП3 и СМТП

Как в Winrout'e вести подсчет трафика по IP?

Всем доброго здоровья
Ребят, помогите, если несложно... босс торопит, и времени нет.. или мозгов нехватает.. одним словом, поставил я керио 6.4.0 , и задача такова: есть две сетевухи:
1 на которой висят другие компы, хотелось бы сделать dhcp сервер и доступ в инет автоматом (чтобы на клиентских машинах вообще ничего ненадо было делать) типа прозрачного прокси, если я правильно понял.
2 на которой висит выход в городскую сеть, и для инета нужно запускать на соединении vpn.
пробовал, неполучается. инет даже на локальной машине погас, осталась работать только аська, но и впн керио отключает минут через 10.
Если нетрудно, помогите?
Просто шеф уже торопит, но типа не в ущерб основной работе, такчто немогу поэкспериментить нормально
ну и с наступающим уже можно начинать поздравлять

День добрый
Есть в домене комп с керио, через него все лазают в интернет. Вроде есть такая функция, что пользователь может набрать в строке IE некий адрес(http://имя_компьютера_с_керио:номер_порта/index.php) и попасть на страницу статистики интернет трафика.
Как эту функцию включить?

AlOne
Вот спасибо. Благодарю

Есть машина с инетом на ней Kerio KWF 6.4.1. С нее раньше через прокси раздавался инет. На всех машинах кроме двух доступ к инету ограничен к *.mail.ru и на одной доступ к IP банка. Она туда ходила через SOCKS5. Как все это настроить в KWF? На данный момент интересует как добавить юзеров и ограничить им доступ на *.mail.ru

romansub
Когда устанавливаешь VPN соединение, то должен появиться в сетевых подключениях сей самый интерфейс (в смысле стать активным). Вот ИМ и надо рулить, а не сетевухой. Проверь в списке интерфейса KWR, что он там присутствует.
Доступ можешь дать просто для локальной сети на VPN через NAT (если отсутствие статистики по пользователям не парит). Потом разберёшься с остальным, а пока и так прокатит (во всяком случае работать будет).

Добавлено:
gbcfkf
Configuration - Advanced Options - WEB Interface/SSL-VPN
Поставь крыж на Enable HTTP Web interface
Можешь и на HTTPS поставить
Под кнопкой Advanced напротив задай порты (по-умолчанию 4080 и 4081 соответственно)
http://firewallhost:4080
https://firewallhost:4081

Добавлено:
z3r
такая элементарщина должна быть в FAQ'е

Добавлено:
Bokr
Через сторонние анализаторы логов. Например, WRspy

Что-то местные знактоки не отвечают
Вот еще вопрос.
Есть некая онлайн-игра. Для запуска её клиента нужно указать сервер и порт.
На сервере игры кроме игры стоит так-же и страничка игры с обновляемой статистикой и состоянием сервера игры (т.е. количество персонажей, щас онлайн, сервер офф или он).

Ставим на комп пользователя игру. Комп находится в локалке(домене) у которой выход через 1 сервер в инет. На выходе стоит Керио. Каждому пользователю домена назначены права.
Запускаем для теста страничку игры, адрес странички типа 198.156.62.51:88, страничка открывается статистика на ней показывает что 156 пользователей онлайн, НО сервер игры OFF. Спустя некоторое время повторяем - результат тот же, количество пользователей изменилось И сервер опять OFF.
Страничка открывается - значит сервер работает.
Пробуем запустить игру - нет коннекта.

Теперь вопрос. Как настроить права юзера что бы он заимел возможность играть? Юзер на локальном компе не админ. Игра называется MU Online.

Э-э-э ... что то плохо думается уже. ... . Есть задача - три группы пользователей :

А - имеют все . Авторизация по IP чтоб не вводить ничего ручками.
Б - имеют только почту и аську через NAT . Авторизация по IP .
В - имеют почту и аську через NAT, авторизация по IP , в вот WEB должны иметь только через логин/пароль ( ибо несколько их на одной машине).

Может кто подскажет по "В" красивое решение , а ?

P.S. Машин на W2003Server , KWF 6.3.1 , AD ( и внутренний DNS ) есть , но в Винроуте не учавствуют ....

Заранее благодарен ....

alexbt
если будешь авторизовывать по IP, то как KWR будет знать, кто сейчас юзает траф и на кого его записывать?
Поскольку есть AD, то импортируй юзеров в KWR, и юзай аутентификацию Kerberos. Вводить ничего в данном случае не надо - достаточно просто зайти на логон-страничку, а авторизация пройдёт автоматом.

Делов том , что есть часть юзеров которые не в домене ( в рабочей группе) . Среди них есть и А и Б и В . А есть машины в AD с которых утром юзер заходит в домен под собой , а в течении дня на ней работает пять человек и всем охота новости и погоду в И-нете посмотреть ... Вобщем бардак - но тут так принято .. . Думаю импорт из AD мне не поможет ..

alexbt
тогда через интернальную базу KWR, но придётся авторизоваться вручную. Иначе никак. В KWR можно конечно рулить на уровне ресурсов, но в статистике получится каша тогда. Он более заточен под работу с пользователями.

Проблема с kerio winroute firewall 6.2.1
Суть проблемы:

Есть комп с вышеописанным софтом. Есть два модема (далее М1 и М2). Оба модема в одной подсети с компом. Соеденены через свитчи. То есть у компа - одна сетевуха. В Этой же подсети находится ноутбук.
На М1 проброшены все порты на комп. На компе поднять впн сервер с помощью Kerio, созданы логины.
На компе прописаны маршруты таким образом: для 3-х подсетей - маршрут через М1, остальные идут через М2, так как он прописан шлюзом на компе.

Зачем всё это: клиент из внешки с установленным впн-клиентом от керио коннектится на М1, а затем через роутер идёт ан М2.

В чём проблема: когда только настроил всё (правила, пользователей) - всё работает. Проходит какое-то время - перестают пинговаться выданные ip адреса vpn сервером. Но клиенты подключаются к серверу, и им выдаётся ip, соответственно не получается у клиентов пробиться до М2. В чём может быть данная проблема?

Ограничение количества коннектов отключено, блокирование п2п клиентов - выключено, прокси-сервер - выключен.
Маршруты настроены верно. Анти спуфинг выключен.

Но это ещё не всё. На ноутбуке поднимается коннект до впн сервера, выданный ему ip адрес пинугется, и интернет работает, но почему-то не работают все сайты. Например http://gmail.com через firefox не работает, а через IE - работает.

Сижу уже третий день чешу репу НИЧЕГО ЕН ПОЙМУ. Бубен тоже юзал.... Не помогает

Грешу на то что керио вылечен лекарством, но тогда почему на ноутбуке всё работает?! О_о..... Вобщем посоветуйте пожалуйста.

AlOne

Мда .....

С ВЕБ-ом понятно , в аськах как правило есть возможность указывать прокси и логин/пароль к ним , а как быть с почтой ? Скажем надо мне на pop.mail.ru:100 - так ведь KWF не пропустит , пароль спросит - а что ему Аутглюк ответить сможет....

А нету в Винроуте фишки как в UserGate-е - типа майл-гейта ?

Заметил такую вещь...

"Пингование" прекращается после того, как какой-нибудь клиент коннектится второй раз к впн серверу....

А как что бы когда квота кончается, то у юзера при любом запросе, в браузере появлялась страница с пояснениями что квота кончилась?

в добавлении к моей проблеме:

вот что показывает ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : gorik
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : нет

Kerio VPN - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Kerio VPN adapter
Физический адрес. . . . . . . . . : 44-45-53-54-8A-E0
DHCP включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 192.168.2.1
Маска подсети . . . . . . . . . . : 255.255.255.0
IP-адрес . . . . . . . . . . . . : 169.254.13.213
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DHCP-сервер . . . . . . . . . . . : 169.254.13.212
NetBIOS через TCP/IP. . . . . . . : отключен
Аренда получена . . . . . . . . . : 22 декабря 2007 г. 22:53:00
Аренда истекает . . . . . . . . . : 22 декабря 2007 г. 22:56:00

Подключение по локальной сети - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : NVIDIA nForce Networking Controller
Физический адрес. . . . . . . . . : 3A-EB-A1-0B-CE-11
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 10.1.9.124
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 195.218.208.67
195.218.209.67

Смущает то, что у VPN интерфейса 2 ip адреса...

alexbt

Цитата:

С ВЕБ-ом понятно , в аськах как правило есть возможность указывать прокси и логин/пароль к ним , а как быть с почтой ? Скажем надо мне на pop.mail.ru:100 - так ведь KWF не пропустит , пароль спросит - а что ему Аутглюк ответить сможет....

Выход - привязать юзера к ИП


Цитата:

А нету в Винроуте фишки как в UserGate-е - типа майл-гейта ?

нет.

bombording


Цитата:

А как что бы когда квота кончается, то у юзера при любом запросе, в браузере появлялась страница с пояснениями что квота кончилась?

Там же мыло отправляется.

Ruza - но сообщение то приходит на английском. И не все понимают что это. И расценивают как спам...

Можно ли хотя бы редактировать шаблон сообщения о том что квота кончилась?