» Настройка Kerio Winroute серии 5.x и 6.х (часть 2)

У меня сейчас есть 2 Интернет канала от одного провайдера (Соответственно ДНС одинаковы)
(Инет 1 стат IP локальная сеть Инет 2 подключение по VPN соединению.)
В нашей фирме есть несколько сетей, у меня сейчас есть 2 машины с Kerio WF с которых я раздаю инет. Руководство предложило вариант покупки одного но "мощного" компьютера. для замены этих 2х.

Вопрос можно ли все перенести на один комп, т-ть смогу ли я с помощью Керио раздавать 2 канала на разные сети с одного компа и 5 сетевух не занадто? (2 для 2х входящих 3 исходящих)

У когонибудь так работает?

Т-ть есть сеть 192.168.0.х Для нее канал 1
сеть 192.168.1.х Для нее канал 2
сеть 192.168.2.х Для нее канал 2

Сможешь, просто указываешь в первом правиле "Сорс" сеть "дестанейшен" инет канал №1. во втором правиле "сорс" сеть 2 "дестанейшен" инет канал №2 и т.д. (карточки указываешь с инетом и сетью и все)

Devils 0411
Да это я тоже понимаю
Меня интересует вопрос прокси сервера и VPN сервера.
Возможны еще какието засады. По этому я и спрашиваю так кто то работает аль нет?

мое почтение уважаемые.. помогите разрулить настройки KerioWinrouteFirewal. суть в следующем:
офисный сервак. на сервере DC+AD+DNS. на нем же крутится и Kerio. поднят VPN server. Kerio DNS forvarder конфликтует с DNS server контроллера домена из-за чего и был отключен. при подключении VPN клиентов, обращаться к серверу можно только по IP внешней сетевой карты, а хотелось бы по имени.
у каждой сетевой карты в качестве DNS указан свой же IP. вторичные DNS не указаны.
со стороны VPN клиента ping по IP проходит до сервера, а по имени пишет "При проверке связи не удалось обнаружить узел ххххххххх. Проверьте имя узла и повторите попытку."

[more=это мой домашний ipconfig]Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : work
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет

Подключение по локальной сети - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Marvell Ethernet Controller
Физический адрес. . . . . . . . . : 00-18-F3-13-6B-77
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . . . : 192.168.1.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.1.254
DNS-серверы . . . . . . . . . . . : указан DNS провайдера

Kerio VPN - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . . . . . : Kerio VPN adapter
Физический адрес. . . . . . . . . . . : 44-45-53-54-C5-48
Dhcp включен. . . . . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . . . . . . : 172.27.37.8
Маска подсети . . . . . . . . . . . . . : 255.255.255.0
IP-адрес . . . . . . . . . . . . . . . . . . : 169.254.65.171
Маска подсети . . . . . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . . . . :
DHCP-сервер . . . . . . . . . . . . . . . : 169.254.65.170
DNS-серверы . . . . . . . . . . . : 172.27.37.1
NetBIOS через TCP/IP. . . . . . . : отключен
Аренда получена . . . . . . . . . : 14 апреля 2008 г. 0:15:12
Аренда истекает . . . . . . . . . : 14 апреля 2008 г. 0:18:12[/more] могу приложить данные по серверу..

это настройки Kerio и список сетвых адаптеров


так же интересует: а)возможность заставить встроенный McAfee обновляться самостоятельно; б)программа для детального изучения логов сабжа

Полистал страницы, не увидел, подскажите:
Не работает ограничения в Керио 6.2.2 Qt lib 3.3.5, а именно когда ставишь ограничения в Bandwibth Limiter, там две галочки Limit downloads и Limit Uploads, смотрю в Status Hosts, а там как сливают траф так и сливают, как можно решить данную проблему?

Может повторюсь, но всё же…
Есть локальная сетка (192.168.0.X), сервак Win2003 (две сетевухи 192.168.0.1 в локалку, 192.168.1.1 на ADSL модем(192.168.1.253)). Модем настроен в режиме в Router.
С сервака инет валит без проблем. Настраиваем раздачу инета средствами винды(на внешнем интерфейсе сервака на правую кнопку… дополн->Дать доступ к этому подключению локалке…). Все работает, проблем нет, пользователи радуются. Но меня это решение не устраивает.
Ставлю KWF (вырубив виндовую шару инета). Настройки по умолчанию(визардовские)… Все работает. Я доволен. Только счастье мое не долгим было… Через минут 10 юзвери начинают жаловаться что инета нет, проверяю – большие закачки пользователей качаются, пробую серфинг не работает(т.е. установленные соединения не рвутся ася закачки и т.п., а новые создать невозможно). Ресет модема… Минут пять поработало потом опять свалилось.
Что делал:
1 создал правило any to any service any action permit (NAT на внешний интерфейс сервака (192.168.1.1)). Не помогло, те же симптомы остались.
2 Проверка извне. Пинг на WAN адрес модема пропадает, когда пропадает инет, но в это же время “WAN адрес модема”:80 дает возможность извне его конфигурить и делать ребут. Если из вне создать сессию к примеру RADMIN на комп в локалке, то эта сессия живет(WAN адрес модема перестает пинговаться, у пользователей нет инета, а я извне могу спокойно настраивать комп).
3. Если просто ждать… Пинг извне на WAN адрес модема периодически восстанавливается (может час-два поработать, может день быть всё ок, а может полдня затыкаться каждые 10 минут появляясь на пол минуты).

В чем дело? Где копать?
Пробовал KWF 6.4.1.3519 и 6.4.2-3672
На данный момент снес керио нафиг работаем через виндовую шару инета. Все хорошо, но хотелось бы сделать правильно (фильтр, статистика, контроль, фаер...)

ЗЫ: Пароли на сервак и железку знаю только я… По крайней мере искренне верю в это.
KWF с настройками визарда это от безысходности(настраивал свои конфигурации на трёх конторах все работает без проблем).

Так и не нашел ответ на ранее заданный вопрос одним человеком:
На сервере находятся базы 1C 7.7 в виде расшареных папок (версия с dbf сурцами, т.е. не sql'ная). Был установлен KWF с целью предоставления пользователям доступа в интернет через HTTP прокси. После установки KWF у клиентов 1С возникли трудности в работе связанные с медленной обработкой информации.
Если кто сталкивался с такого рода проблемой и смог решить ее поделитесь пожалуйста опытом.
Спасибо.

DeH
ну... убери оттуда квф или тачку модернизируй

snayper7
Такое решение проблемы меня не совсем устраивает... Хотелось бы что-нибудь другое.

Я так понимаю тормоза возникли из-за того, что КВР сканирет трафик. Файрвол по сути на той машине не нужен, требуется поднять прокси сервер с широким спектром настроек для предоставления интернета пользователям. Т.е. можно ли из КВР сделать чисто прокси сервер, выключить фильтрацию трафика и другие службы способствующие замедлению работы сервера? Спасибо.

DeH
ДА-ДА !!!
У меня такая же проблема. (win2000Pro лицензия (шлюз), KWF 6.4.2 кря..) После установки KWF на сервак, у которого еще и шары открыты с базами 1С 7.7, клиенты жалуются на медленную работу в 1С.

Решение не было времени искать - перекинул базы пока на другой комп.
Но все мои мысли приводят к одному: нужно Protocol Inspektor отключить на локальный трафик (не помогло). Но и это еще не все... Похоже нужно еще и антивирус вырубать...

Вообщем, не живет керио на машинах с базами 1С . (но это еще не диагноз).

MKaptsevich
Не понятно, как пользователи выходят в инет - через прокси или NAT ???
Твоя проблема скорее всего в разрешении DNS имен.
Как определить? : (для поиска неисправностей есть журнал - логи). во время обрыва связи в адресной строке (если используется прокси) набери IP адрес (например!!) яндекса.
Если у тебя NAT - то просто пингани любой удаленный IP адрес (скажем тоже яндекса).

Если пинги идут и по IP адресу выскакивает http страничка - значит точно DNS шалит - ищи проблему в DNS forwarder.

dmitri23
обнови версию!!!

nikolaevsergey
Совет: в ТП в самом верху должен быть локальный трафик...
"у каждой сетевой карты в качестве DNS указан свой же IP" - это уже перебор - неужели у тебя все это будет работать?? - надеюсь, хоть шлюз то настроен нормально??

adjuster
У меня интернет идет с другой прокси на соседнем сетевом интерфейсе, поэтому я вырубил все правила кроме одного - локального трафика, дабы не грузить KWF анализом трафика на правила, выключил протокол инспектор - результат не совсем удовлетворительный, хотя по словам бухгалтеров стало чуть побыстрее, но все равно неприемлемо.
Проблема остается открытой..

Здравствуйте, почитал посты и натолкнулся на мысль...
У всех ли на релизе 6.4.2-3672-win32 с таблеткой SSG работает проброс портов внутрь локалки? Пишу правило: sourse:Inet dest:Firewall service:TCP4665 translation: 192.168.0.1:3389 trafic inspector: none. Правило стоит в самом верху... и не работает никак. Порт снаружи откыт, более того в Connections при попытке подключиться пишет что соединение происходит, но заметил одну разницу. При подключении по RDP к компу с Kerio в Connections ы столбеце Info стоил RDP, а при подключении по RDP по вышеописаному правилу в этой графе пусто. По локалке естественно всё работает нормально.
ЗЫ Что самое интересное в другом месте, где Керь лицензионная той же версии всё работает

DeH
Зная, как 1С7.7 относится к кешированию файлов, у меня возникает мысль, может быть отключить кеширование в керио??? Как говорится - третьего не дано .

Frag1793
УФФ, напугал!!! Именно с этой таблеткой порт меппинг замечательно работает. показывай свои ТП.

adjuster
У КВФ кэш помойму по дефолту отключен. В общем кэш выключен собсна с момента первой настройки файрвола. По сути, проблему я уже решил поменяв КВФ на ВинГейт. Пока полет нормальный.

DeH
у вингейта вроде нет NAT. А так замечательный продукт. Я на нем сидел год - потом решил для себя, что-то новенькое изучить - результат: KWF с его капризами.

adjuster
Есь нат. Только он мне как таковой не нужен, меня полностью устроит банальный прокси сервер

2 adjuster

Цитата:

Frag1793 УФФ, напугал!!! Именно с этой таблеткой порт меппинг замечательно работает. показывай свои ТП.

Вообще я их словами уже описал, но если это поможет...
Картинка: http://slil.ru/25700005 (так и не допёр как её вставить)
Правило находится в самом верху таблицы...
Соображения?

доброе время суток!
ситуация такова: имеем инет приходящий на комп1 и раздающий инет на другие компы.

схематично выглядит так:
|-ноутбук1
|- сет. точка доступа |
инет - комп1 | |-ноутбук2
|- комп2

Инет приходит на сет карту через Шлюз и днс. Поставил КФС настроил ДНС форвардинг, поставил сервер дхсп. настроил по НАТу.

Что получил: компы логинятся на сервак и работает инет, но только в браузерах , зе бэт,а вот аська не работает вообще (так же пинг не проходит).

в трафик полисе стоит одно правило:

NAT - Any - Any - Any - зеленая галка - NAT

в чем подводный камень.
п.с. юзеров не создавал пока что

upd
если же включить прокси по порту , допустим по 3128, и прописать его на машинах в айсикью , то они заработают.
в чем же проблема НАТа ?!

sterid
Извини за банальность, но рекомендую почитать руководство.

NAT используется только для проброса пакетов из Интернета в Локальную сеть (к локальным машинам).
У тебя же в 1 правиле более 3 ошибок: 1. никогда нельзя разрешать из вне заходить в локальную сеть, только если тебе это нужно (а у тебя стоит источник ANY). 2. да и дест у тебя тоже ANY - сам подумай как у тебя пакеты определения имен будут ходить...
3. Соответственно, пакеты с машины, на которой стоит KWF у тебя не буду никак ходить - так как у тебя разрешено только для машин из локалки.
Есть масса примеров ТП для простейших схем раздачи интернета!!!!

Frag1793
У меня вопрос - ты спрашиваешь именно про 4665 порт?? (не считаем порт на машине 192,168,0,1). Может быть у тебя есть антивирус (касперский к примеру)??

Цитата:

1. никогда нельзя разрешать из вне заходить в локальную сеть, только если тебе это нужно

это просто было правило для проверки. думал что так все разрешится и небудет никаких ограничений , щитай фаер отлючен... :-[


п.с. почитал разные факи, подразобрался немного. но проблема такова. удалил квф, а теперь установить не могу :
[img=150x135, 4,6Kb]http://img209.imageshack.us/img209/7315/fotojs3.th.jpg[/img]
что делать ?

0_о

sterid
А как ты удалял керио???
Посмотри свойства сетевой карты, которая в инет смотрит, если ли там протокол от KWF - если остался удали его. А, может быть, ты не перезагрузился после удаления???

через установку \удаление прог удалил.
ессено посмотрел , не помогло - ничего нет там от квф...

Доброго вермени суток.

Проблема в следующем: стоит сервер 2003 одна сетевуха смотрит в нет через другой комп , вторая держит локалку, для локалки и нета керио настроить удалось, но открыть доступ к нету для локалки ни как не получается.

heleo
то есть ты не можешь настроить доступ из локалки в интернет??
если так то: руководство обязательно читать нужно...
есть 2 способа: 1. включить прокси сервер
2. пустить локальных пользователей/машин через NAT (настраивается в трафик политиках).

heleo

Цитата:

сетевуха смотрит в нет через другой комп

У это вобще садо-мазо!
Тоесть ты хочеш сказать что у тебя:
<Инет> ---- <Комп №1> ------ <Серверо 2003 с КВФ> ------ <Локалка>
А с выключенном керио на Серверо 2003 инет есть? Комп №1 точно пропускает через себя весь трафик?

lavren
как я понял - heleo удалось вылезти с машины где стоит керио в инет, а вот из локалки нет получается .
Значит связка <Инет> ---- <Комп №1> ------ <Серверо 2003 с КВФ> рабочая.
Согласен - полнейший изврат, но такое тоже бывает. Например на <Комп №1> стоит настроенный freebsd (виндяк соответсвенно его вообще не знает), с машины <Серверо 2003 с КВФ> в инет ходит.... Хочется настроить доступ для локалки.
Не лезть же учить freebsd - проще же на эту машину керио поставить .

adjuster С натом тоже не прошел фокус, а вот прокси не пробовал.
lavren Естественно Изврат, слава богу первые админы линукс на <комп №1 - сервак> поставили. Так если рассматривать <Инет> то там еще как минимум один сервак перед чистым нетом стоит.
А вообще мне пришлось локалку делать что бы неродивых студентов отсечь от внутренней сети кафы вот теперь только нет наладить в локалку не получаетя.

adjuster

Цитата:

проще же на эту машину керио поставить

Согласен!

Цитата:

стоит настроенный freebsd

У меня тоже стоял, снес и поставил Win XP+KWF+KMS. А ставить KWF на Серверо 2003 может быть причиной многих ошибок.

Цитата:

Значит связка <Инет> ---- <Комп №1> ------ <Серверо 2003 с КВФ> рабочая.

Кто знает! Он такова не говорил! Пусть сам проверит!

Добавлено:
heleo
Тебе помогут: Офф. мануал, стати по настройке, примеры правил.

Добавлено:
heleo
Сделай правило типа:
<Source: Те кому инет хочеш раздавать (Группа юзверей или ІР)><Destination: Ситевуха которая смотрит на комп с линухом><Service: Порты и Сервисы><Action: Permit><Translation: Translate to IP address of outgoing interface (typical setting)><Valid on: Always> <Protocol Inspector: Default>
Попробуй пинговать машину с линухом из локалки!

моё почтение, коллеги. помогите разрулить ситуацию..
<ИНЕТ>------<win2k3+(KWF+VPN)>-------<ДОМЕННАЯ-ЛОКАЛКА>
как сделать так, чтоб я cмог из дома(читай - интернет) достучаться по VPN к любой машине в локалке??? если можно, с IP-шниками и правилами KWF..
третий день бьюсь над проблемой... максимум чего могу добиться при пинге локальной машины по имени - ответ вида: обмен пакетами с 192.168.1.ХХХ и тишина.. превышен интервал ожидания..
как заставить правильно работать всё это хозяйство??

heleo
NAT не заработает, пока ты не укажешь у локальных пользователей шлюзом свою машину, где у тебя керио стоит. Да, еще, не забывай правильно настраивать DNS.
Раз у тебя еще и дальше стоит машина - то тебе точно придется выяснять какие протоколы там разрешены.

lavren
Бывает и так, что драйверов под определенное железо (например модем) для винды нет - вот и приходится фрю ставить. На счет связки Win 2003 + KWF, скажу одно - она работает и рекомендована производителем керио.

nikolaevsergey
Здесь никто тебе не выложит правил для VPN - все их можно найти в руководстве по KWF.
Чтобы разрешить VPN в локальную сеть, нужно группы VPN (читай сетевухи) занести в локальный трафик ТП.
Искать затыки лучше всего поэтапно:
Раз у тебя проходит пинг на локальные машины, значит все низкие протоколы настроены верно - подниматься нужно выше ---> к аутентификации пользователей.
Ты сам ответил на свой вопрос - у тебя доменная локалка - вот по этому поводу есть масса инфы.



Добавлено:
sterid
Поищи в реестре запись от керио... там иногда остается строка, точно не помню где...