» Настройка Kerio Winroute серии 5.x и 6.х (часть 2)

Люди добрые помогите! не могу догнать!
есть керио на машинку заведено три сетевухи два прова и локалка. как сделать чтобы один юзер ходил через одного прова а другой через другого?

PetrovA
я вижу сие решение таким образом, создаёшь группы адресов одно для тех кто будет ходить через одного прова, вторую которая будет ходить через другого, и делаешь два правила с натом для двух провов и в каждом правиле указываешь соответствующую группу, сам так не делал но мысль у меня именно в этом направлении

камрады, имеется сетка с кучей машин, на всех в браузерах стоит настройка "юзать прокс 192.168.1.1:3128"
поставил на сервак керио по мануалу. в инет не пускает
если у юзера снимаю "юзать прокс" то в инет пускает
как правило прописать, чтоб не надо юыло по всем зверям бегать и менять настройки браузера?

пробовал
сурс - локалка
назначение - внешка
служба - любая
транлир - мап 192.168.1.1:3128 (т.е. по мануалу тут шёл нат)

при таком правиле у зверей браузеры грят "готово" и ничего не грузят, но и не ругаются..

что где ковырнуть надо?

[q][/q] я делал так соурс - группа дестинейшн сетевая карта прова транслейшн нат на сетевую карту прова в чем я ошибся или где недоделал

Eric Lazzy
Тебе не правило (имеется ввиду - трафик пролитику) менять нужно, а смотреть в HTTP полисах - включен ли у тебя прокси на 3128 порту.
Если не хочется бегать по всем ( АД не затрагиваем), то в HTTP политике установи галку на non-trancerant proxy - и порт 3128 укажи....


Добавлено:
PetrovA
Трафик политики должны выглядеть вот так (авторизация по имени/паролю):
Пользователь1 --> Провайдер1(сетевая карта) (протокол) Permit NAT
Пользователь2 --> Провайдер2(сетевая карта) (протокол) Permit NAT

Либо (при авторизации по IP):
IPюзера1 --> Провайдер1(сетевая карта) (протокол) Permit NAT
IPюзера2 --> Провайдер2(сетевая карта) (протокол) Permit NAT

adjuster

Цитата:

в HTTP политике установи галку на non-trancerant proxy - и порт 3128 укажи

с этим всё в порядке - включено и указано

Вопрос такой: можно ли изменить отображение страницы ввода пароля, ибо нужно написать там пару вещей. Если да, какой файлик потрошить?

Народ скажите плиз что надо сделать в Керио чтобы internet access monitor показывал исходящий траф?
в IAM уже делал в параметрах импорта выстовлял вместо http --connection и вместе их ставил!
думаю дело что то в керио.
потому что сам файл с кот нужно собирать лог- -он пустой!
где что как нужно сделать подскажите наверняка кто то уже сталкивался с этим?!

timsson
Помоему не совсем корректный вопрос: я пользуюсь Proxy Inspector для Керио винрута.
В нем замечательно выставляется при создании отчета, что будем считать - хоть входящий - хоть исходящий, хоть суммарный.

Так что ищи проблемы НЕ в КЕРИО, а в IAM.

Добавлено:
kanare1ka
Попробуй обратиться к PHPшникам...

Добавлено:
kanare1ka
Вот он этот файл: \webiface\nonauth\login.php

adjuster
а как же тот факт что сам файл connection.log и connection.log.idx по пути - C:\Program Files\Kerio\WinRoute Firewall\logs - -- оба пустые, открываешь их а они чистые--ни одной записи там нет?

timsson
Не включено логирование трафика.

adjuster
Где не включено? что включить то надо поясни ка мне?
p.s.: в вкерио - -в меню log & alerts - в вкладке "connection"(в настрах) стоит галка enable logging to file, потом стоит галка Rotate regulary--every day, и keep at most-- 14 log files.

timsson
Вот именно в Logs--->connection
строки пакетов то есть??? или у тебя чистое поле???

adjuster

Вот именно, что пусто там!я те про че и говорю!!!

timsson
Извини- праздники . Вот чтобы у тебя началось протоколирование в Трафик политиках в столбце LOG установи напротив "нужных" правил логирование....

Прошу прощения за флуд, да за одно и узнаем как администрация к критике относится....
Портал ваш безусловно хороший, если не сказать больше...
В частности много интереснейшего и познавательного материала по KWF, НО!
я ни когда не предсталял, что так можно захламить не то, что ветку, а даже просто тему!
Неужели нельзя было создать отдельную, совсем маленькую веточку по KWF , в которой было бы много, интересных для обсуждения и решения, вопросов и тем?
а то уж очень сложно ориентировать в сотнях страниц.

LOSHKA
В этом форуме есть ищо несколько тем по КВФ:
http://forum.ru-board.com/topic.cgi?forum=8&bm=1&topic=22219&start=1700#lt
http://forum.ru-board.com/topic.cgi?forum=35&bm=1&topic=35888#1
http://forum.ru-board.com/topic.cgi?forum=8&bm=1&topic=2778&start=580#lt
Хочешь перевод офф документации Ссылка
А хочеш ищи стати по этой тематике, например Ссылка

А сдесь хорошие люди отвечают на большенство вопросов.

Как урезать скорость для группы пользователей которые получают NAT в Kerio 6.х

OOD
Можно только для пользователей!
Configuration\Bandwidth Limiter\Users with Exceeded Quota, а в свойствах юзверей ставишь маленькую квоту!

Помогите настроить KWF для простого подключения к интернет через gprs modem.
Настроил, создал правила разрешать все. Логирование включил. При коннекте с сайтами идет обмен пакетами с днс и удаленным серв.(смотрю сниффером CommView), но ничего не скачивается и не передается. В логах пусто. Почти все перепробовал.
Подскажите что там главное включить, настроить нужно?

inapht
нужен скрин TP (traffic policy) и DNS (в настройках Керио)
Смотреть нужно правило (TP) для Firewall:
Firewall-->GPRS подключение ANY Permit
Это основное правило для машины, на которой стоит Керио.
Вопрос: а при выключенном Керио соединение нормально работает???

Спасибо, здесь архив со скринами 96кб http://slil.ru/25575070

При выключенном (stop) Firewall, интернет работает.
Немогу найти фак, везде только про сети.

inapht
Посмотрел твои настройки... СНОСИ быстрее верхнее правило...
Третье сверху поставь первым (сверху).
Пинг проходит до какого-нить сайта??? (например ya.ru).
Еще бы не мешало ipconfig /all показать.

Добавлено:
http://www.redline-software.com/rus/support/docs/winroute/ - здесь очень замечательно описаны настройки на русском языке.

adjuster
Переделал traffic policy как ты сказал.
Здесь ipconfig.txt http://slil.ru/25577322
Еще Logs error - http://slil.ru/25577341 это при включении Firewall ошибки VPN, хотя это неважно.
Да, пинг не проходит, хотя обмен пакетами происхоит, судя по модему и сниферу.
А главное что пишет в Logs filter при пинг dns, 4 таких:
[14/Mar/2008 00:31:18] DROP "Default traffic rule" packet from Dial-Up, proto:ICMP, len:60, ip:193.232.88.17 -> 10.0.2.200, type:0 code:0
пример 2, это браузером на ya.ru, семь таких строк:
[14/Mar/2008 00:33:24] DROP "Default traffic rule" packet from Dial-Up, proto:UDP, len:142, ip/port:193.232.88.17:53 -> 10.0.2.200:1033, udplen:114
Значит надо traffic policy изменить, пока неполучается.

Все, нашел причину. Переустановил KAV отключив постоянную защиту сети и все.

Остался вопросец, можно ли в KWF 6.0.10 заблокировать входящие пакеты, только с флагом FIN ACK с определенных IP.

Что-то не пойму я....

Все просто - две сетевухи LAN и WAN соответственно . Стоит KWF 6.3.1 . Изпользую NAT . Создал группы пользователей ( ну там - Только ICQ , Интернет , Все Можно) Почитав тему прописал Трафик полиси ,( ну например - доступ для группы ICQ в WAN , сервис , НАТ ). Все работает НО! если включено правило LAN->WAN (т.е. локалка в Инет ) . При чем в Соединениях видно , что отрабатывает правило ICQ , видно пользователя .Если выключить правило LAN -> WAN то неработает . В логе на Дефолтном правиле ( последнее - все запретить) видно что дропится пакет из LAN к icq.com:5190 с IP-шника юзера .. Т.е. не происходит авторизация ( не соотносится IP c юзером). Что я делаю не так ?

Авторизация по IP , IP-шники у всех прописаны, нужен NAT . Локальный трафик разрешен. Стоит в самом верху.

inapht
Тебе обязательно блокировать именно эти пакеты?? - может быть целиком блокирнуть IP?? С блокирововкой пакетов у Керио проблемы - а вот блокировка по портам есть.

alexbt
Может быть у тебя ICQ имеет стандартные настройки??? - тогда тебе нужно разрешить еще и DNS через NAT.

Извиняюсь, если вопрос уже поднимался. На форуме найти не получилось
Можно ли вытащить файлы с кэша winroute ?
Если можно, то какой программой лучше воспользоваться?

adjuster
Нашел уже программу: KSSWare Extended IP Filter, она может и по флагу блочить и с KWF не конфликтует.

Возможно просто огрехи создания программы - по не известным причинам (может создатели специально для себя оставили это).
Собственно вот:
Во время руссификации КВФ я обнаружил некоторые непонятные расчеты внутри ЕХЕ файла:
Есть в файле настроек такое поле <list name="TrafficRules_v2">
В нем ниже указаны правила ТП - они идут по порядку, начиная с ордера =1.
Все эти правила отображаются ( и могут редактироваться через админку).
Но в формуле не указано значение =0 - нет проверки этого значения.
Начал копать в этом направлении - и обнаружил, что правило с ордером равным 0 - является ГЛАВНЫМ и не отображается в админке.
<list name="TrafficRules_v2"> Order can be used = 0.
Example:
####################################
<list name="TrafficRules_v2">
<listitem>
<variable name="Order"> 0 </ variable>
<variable name="Enabled"> 1 </ variable>
<variable name="Color"> 5 </ variable>
<variable name="Name"> ANY </ variable>
<variable name="Description"> </ variable>
<variable name="Src"> ANY </ variable>
<variable name="Dst"> ANY </ variable>
<variable name="Proxy"> none </ variable>
<variable name="Service"> ANY </ variable>
<variable name="ValidTime"> </ variable>
<variable name="Action"> Permit </ variable>
<variable name="SNAT"> </ variable>
<variable name="DNAT"> </ variable>
</ listitem>
####################################

Привел пример - к чему это может привести .
Конечно же, редактирование этого файла извне не возможно.

Эту тему поднял для админов - которые получили уже настроенный сервак "по наследству" - или которые хотят спрятать от коллег свои дыры из интернета .

Написал письмо разработчикам уже после выхода версии 6,4,2.
Не тестил на ней - но думаю тоже открыто .