» Настройка Kerio Winroute серии 5.x и 6.х (часть 2)

решил свою проблему.. грабли были в моей невнимательности... конфигурация сети на домашнем компе и удаленной сети была одинаковой - 192.168.1.0
Kerio VPN client при подключении ессно не мог добавить маршрут 192.168.1.0 удаленной сети потому, что он уже существует.. теперь любой комп в удаленной локалке доступен через VPN туннель..
однако вопрос насчет DNS остается открытым.. локалка пингуется только по IP -- имя не резолвится. собссно этого уже достаточно, но хочется как в лучших дома чтоб было...

Код:
C:\Documents and Settings\niks>ping proxy
При проверке связи не удалось обнаружить узел proxy. Проверьте имя узла и повторите попытку.

C:\Documents and Settings\niks>ping 192.168.1.201
Обмен пакетами с 192.168.1.201 по 32 байт:
Ответ от 192.168.1.201: число байт=32 время=153мс TTL=128
Ответ от 192.168.1.201: число байт=32 время=62мс TTL=128
Ответ от 192.168.1.201: число байт=32 время=62мс TTL=128
Ответ от 192.168.1.201: число байт=32 время=77мс TTL=128
Статистика Ping для 192.168.1.201:
Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
Минимальное = 62мсек, Максимальное = 153 мсек, Среднее = 88 мсек

nikolaevsergey
Configuration\Interfaces\VPN Server\DNS\Use specific DNS servers попробуй поставить IP DC. Ссылка

пробовал - не помогает, к сожалению.
делал еще так.. тут же - Use WinRoute as DNS Server.. при этом DNS-форвардинг настраивал и на автоопределение DNS серверов, и руками прописывал, в том числе указывал и DC DNS сервер..

Используй правильность в очередности DNS серверов. Поставь первым IP DC. Чтоб твоя машина не перлась сразу в инет, искать там такой адрес.
А, наоборот, сначала заглядывала в VPN тунель - а, потом уже, шла по своим делам в глобалку.

adjuster

Цитата:

На счет связки Win 2003 + KWF, скажу одно - она работает и рекомендована производителем керио.

Да работает но не так как хотелось! Не смог найти высказывание гуру по этой связке, но вот тут свеженькое появилось!

Помогите решить задачку!
Подключен к двум провайдерам, через ADSL и выделенку. На выделенке идет авторизация через специальную программу провайдера, а так же лежит локальная сеть, сайт и фтп. Но при одновременной работе провайдеров, авторизация не срабатывает и пропадает доступ пользователей к ресурсам.
Как мне с помощью KWF распределить работу этих подключений? Чтобы и авторизатор обращался к правильному сетевухе и пользователи могли иметь доступ к ресурсам?

DARGO
KWF одновременно не работает с двумя провайдерами (с двумя выходами в инет)

Но у него же есть NAT. А мне кажется что только с помощью этого как то можно сделать, или нет?

DARGO
Я говорю в том смысле что он не распределяет трафик равномерно (или не равномерно) по двум сетевухам, а валит всех в одну (если в правиле с NAT-ом в Destination две сетевухи стоят). Только если одних пустишь через одну сетевуху а других через другую!!!
ИМХО отсюда и проблема авторизации.

Я вот просто никак не могу понять правила в Керио. Их логику. Что является Source а что Destination, если я хочу авторизатор пустить через определенную сетевуху?

Читай здесь, здесь, здесь и здесь.

lavren

Цитата:

KWF одновременно не работает с двумя провайдерами (с двумя выходами в инет)

А есть ли программка которая это может. Назревает подключение второго провайдера (пока как резерв на случай потери связи с первым)?

Позволю себе повториться:
дело вот в чем - что при использовании 2 путей в инет (скажем - 2 провайдера), NAT трафик будет следовать по тому пути, по которому движется трафик KWF машины.
То есть, если в правиле Firewall дестином - первым указан провайдер1, то и весь трафик NAT будет идти только по этому пути.

Для авторизацииDARGO это не смертельно, так как авторизацию можно выделить в отдельное правило. Но все равно весь трафик NAT (то есть локальных машин) будет идти по тому пути, по которому пошел трафик Firewall машины.

zvb, к сожалению керио сможет только переключать провайдеров, при потере 1-го на 2-го, а при появлении 1-го сразу на него со 2-го, даже, если 2-й пров работает.

В Заключении: распределять трафик по 2 путям (внешкам) керио не в силах!!!! - хватит мусолить этот вопрос. (есть продукты под линукс - они умеют).

zvb
Я не встречал описание решения на этом форуме и не наталкивался на других! Найдешь достойное -- пиши сюда, хоть один пример увидим!
Поиск в гугле приводит к двум решениям.
Первый: Разделить юзверей на две половины и пускать их по отдельным каналам.
Второй: Распределение нагрузки в Линукс...

Цитата:

zvb, к сожалению керио сможет только переключать провайдеров, при потере 1-го на 2-го, а при появлении 1-го сразу на него со 2-го, даже, если 2-й пров работает.

А как это сделать! Я в принципе что то вроде этого и хотел сделать!

DARGO
Ссылка

Вопрос, а если на Керио 6.4.2, подключие будет идти через роутер Dl-LB604, на котором весит два DSL модема, в Керио дополнительно надо что-то настраивать, чтобы трафик параллельно шел с обоих подключений?

Доброго дня, админы ) Столкнулся с небольшой проблемкой. Керио версии 6.2.3 билд 2027.
Вчера всё работало, сегодня клиент банк не выкачивает с хоста 195.239.34.110 пакеты, пинга нет. С серва пингует 195.239.34.110. Получается проблема именно в керио. Но какое правило именно нужно создать, чтобы прокинуть трафик к этому хосту? Странно, что вчера всё пахало, а сегодня уже не пингует )
Заранее спасибо за ответ.

Kribos
Пинг разрешен через NAT ??? IP шлюза на клиенте не меняли??? tracert 195.239.34.110 c клиента. По какому порту банк-клиент работает??? - может быть он был удален из NAT ???

Kribos

Цитата:

Но какое правило именно нужно создать

Читай здесь, здесь и здесь!

Цитата:

вчера всё пахало, а сегодня уже не пингует

Уверен что никто ничего не менял?

задача стоит в соеденении двух сетей 192.168.0.0 и 192.168.200
в комп с керио вставляется сетевуха (дополнительная) как правильно написать правило для соеденения двух сетей, дабы видно было в обоих сетях все компутеры

смотри в предыдущем ответе, там наверника с политиками надо заморачиваться, гланое что не были в одних подсетях!!!

Подскажите пожалуйста как правильно (и возможно ли вообще) реализовать следующее: нужно сделать, чтоб ip-адрес моего proxy-сервера можно было прописать в качестве сервера в ICQ клиенте, находящемся во внешней сети, а керио бы просто перенапралял все на login.icq.com

Прокси работает на 3128 порту, а нужно задействовать другой, поэтому просто прописать прокси в ICQ клиенте нельзя.

Делаю следующее: в ICQ клиенте прописываю в качесвте сервера: мой внешний ip, порт 1234.

Создаю правило в керио:


Цитата:

Source: inet (интерфейс к ADSL)
Destination: localhost
Service: TCP 1234
Action: Permit
Translation: Destination map, 205.188.153.121, port 5190

... и клиент не может установить соединение с сервером.

ShamaN
Не получится, так как ICQ использует 1 сервер для аутентификации, а другие для работы.
Да и не понятно, зачем такие заморочки??? - IP чтоль забанили???

Тогда лучше использовать на KWF proxy-server - не NAT.
В клиенте указываешь: login.icq.com порт 5190, настраиваешь соединение через прокси HTTP(s).
В KWF создаешь правило, разрешающее конектиться из интернета на не прозрачную проксю - то есть:
сурс IP (машины, с которой хочешь выходить в асю) дест Firewall сервис TCP 3128.

ShamaN
Можно ли узнать зачем тебе такие заморочки?

lavren
есть необходимость использования прокси сервера для доступа к ICQ из внешней сети, но порт 3128 использовать нельзя.

ShamaN
HTTP Policy --> Proxy Server --> Port - ставишь туда значение, которое тебе понравится - кроме занятых... и ставишь галку - разрешить Non-transparent proxy.
Только тебя просили: Зачем тебе такие заморочки, чтобы из инета могли через тебя в инет ходить??? - этож тоже самое, чтобы одевать штаны через голову - результат один, а гемора ДО,,,,,,,

adjuster


Цитата:

HTTP Policy --> Proxy Server --> Port

стоит 3128 и менять его нельзя. Нужен другой способ.


Цитата:

Зачем тебе такие заморочки

есть компьютер, на котором хотелось бы пользоваться ICQ в другой организации. Там все закрыто, но есть доступ к моему IP.
Так же не помешало бы для использования ICQ клиаента на мобильном, т.к. с IP опсоса слишком много одновременных подключений и ICQ сервер зачастую не дает подключиться.

ShamaN
Ну иии.... трудно чтоль прописать в клиенте аськи настройки фаервола через твой IP и порт 3128 ??? - или это вера не разрешает???

adjuster
Уважаемый, а Вам вера не позволяет вопрос внимательно прочитать?


Цитата:

Прокси работает на 3128 порту, а нужно задействовать другой