» Настройка Kerio Winroute серии 5.x и 6.х (часть 2)

TankMan

Цитата:

Ну почему же фикция? для большинства, даже опытных пользователей, выставление в DHCP сервере соотношения маков к IP и запрет на всех машинах запуска редактора реестра, запрет изменения настроек сетевого интерфейса и командной строки - будет достаточно.

Тогда наверное проще всех перевести в пользователи (это будет надежнее). т.к. думаю можно наваять програмку, которая используя apiшные фнкции поменяет ip. И это все при условии жесткого контроля над компами, что возможно только в офисной сети. Но для офисной сети придуманы более лояльные способы воздействия, например AD.


Цитата:

Так в том то и проблема - не стоит этой галки у меня

Поиграйся с галочками на той закладке, может полный админ у него стоит?


Цитата:

которая может считать деньги, и чтобы при достижении определенной суммы траты - пользователь блокировался? Или это дело каких-то плагинов? Известно?

Сам никогда этим не занимался. Знаю что реализовано в usergate и traffic inspector, посмотри Tmeter может получится на его основе, Tmeter насколько я знаю ставят вместе с winroute.



Цитата:

так вот если поставить имя прокси сервера в настройках винроута "home-90" то по тому же пути, по которому он раньше захо

Только после того как ты написал, увидел что там можно имя сервера вводить, никогда туда ничего не вводил. Насколько я понял из скудного хелпа, это для того если в сети есть проблемы с DNS и пользователь не может разрезолвить имя сервера фаервола, о туда вводится dns который это сможет сделать. Короче фигня это все.


Kvert
1.У тебя два маршрута по умолчанию.
Пришли ответ route print

2. Че то не понял что ты хочешь сделать. Ты хочешь что бы второй пров никогда не включался? и всегда работал только один?

pilotro
Спасибо большое! По всем пунктам так сказать

pilotro
1. Втом то и дело, что маршрут один. Сетевая карта смотрящая на другого провайдера вообще вуключена. route print на проксе показывает IP сетевой карты смотрящей на провайдера, IP сетевой карты смотрящей в локалку, IP шлюза, т.е. ни чего лишнего.
там все нормально работает. Вот route print c локального компа
============================================================Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.133.2 192.168.133.11     10
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1     1
192.168.133.0 255.255.255.0 192.168.133.11 192.168.133.11     10
192.168.133.11 255.255.255.255 127.0.0.1 127.0.0.1     10
192.168.133.255 255.255.255.255 192.168.133.11 192.168.133.11     10
224.0.0.0 240.0.0.0 192.168.133.11 192.168.133.11     10
255.255.255.255 255.255.255.255 192.168.133.11 192.168.133.11     1
Основной шлюз: 192.168.133.2
============================================================Постоянные маршруты:
Отсутствует
Ранее я писал, что со старым, если включить, провайдером все нормально, а вот с новым, естественно старый пров выключен, пинг и трасерт не проходят, а интернет есть.

2. Мне нужно чтобы почтовик, он находится на компе с проксей, работал через одного прова, а пользователи ходили в иенет через другого.

перестал обновлятся встроенный антивир mcafee

current virus database is: 97 days old...
virus databse version 5272
scanning engine version: 5.1.0.0

Kvert
если все, кроме ping и tracert работает, значит у прова запреще icmp трафик позвони и поругайся с ними, но скорее всего они пошлют (хотя и не законно, в Беларусии одна такая зараза есть). С этим жить можно, но неприятно.

2. Ты должен настроить сервер так как будто работаешь только с одним провайдером. Естествено предварительно проверив что второй работает тоже. После настройки надо добавить правило, от firewoll к any по 25 порту MAP на вторую сетевуху (NAT по вкусу). Вот и по идее должно заработать.

le0nchik
Антивирус обновляется по http. Посмотри можешь ли ты на сервере открыть любую страницу с интернета, если нет то разбирайся почему, а если сможешь то слетела лицензия, а за этим в Варезник.

Добавлено:
Kvert
Гы а кстати не заработает так . Надо подумать.

Добавлено:
Kvert
Надо именно NAT, но не стандартный Translate to IP address of outgoing interface (typical setting), а Translate to IP address of interface: и поставить там вторую сетевуху. ТАк должно заработать.

pilotro
При этом есть еще один нюанс! У каждой сетевухи смотрящей на своего провайдера, нужно прописать шлюз, на что винюк ругается, типа нельзя иметь два шлюза. Я конечно это проигнорировал, но в итоге инет вообще не работает, пока один из шлюзов не вырубишь.
А на счет не проходящих пингов, такое ощущение, что оборудованю нового провайдера не нравится моя прокся, т.к. без прокси все нормально пингуется, еще раз повторюсь, у старого провайдера такой проблемы не было.
Может есть еще какие решения данных проблем?

Kvert
вот не люблю разговаривать "по душам". Могу ответить на конкретные вопросы. Если хочешь решить проблему, то задавай вопросы, а не тему для разговора.

При двух маршрутах по умолчанию винда (именно винда, winroute маршруты использует виндовые) будет работать криво, спасает раздача разных весов на эти маршруты, но не 100% все равно зачастую тупит, пакет может висеть по несколько секунд (типа не знает куда послать). А да, при прописывании шлюза в сетевухе, сразу же создается маршрут по умолчанию. По этому, на второй сетевухе шлюз убери, а в правиле для почты тогда сделай NAT не на сетевуху, а на конкретный шлюз (он должен быть в одной подсети с твоей сетевухой, на него смотрящей). Если не получится то пропиши второй маршрут по умолчанию руками, и дай ему большой вес (о том как это сделать тебе раскажет route /?)

по второй "теме для разговора". Если ты вырубаешь winroute пинги идут, а когда врубаешь winroute и пинги прекращают идти то проблема в winroute (к гадалке не ходи ), а вообще мой тебе совет, не относись к администрированию как к шаманству, любому глюку есть логическое объяснение (оборудованию провайдера не может не нравится твоя прокся, так как они работают на разных логических уровнях сети, поэтому ощущение ложное )

И еще то что я сдесь описывал большую часть я сам никогда не пробовал, поэтому вперед, так сказать на мины. А вообще есть книжка которую я в свое время прочитал и стал сразу на голову выше, называется "основы организации сетей cisco" (2 тома). Прочитай, и получишь ответы на большинство своих вопросов (не смущайся слова cisco там расказывают вообще про сети и основы на которых они работают)

Добавлено:
И еще в правиле, которое основное для раздачи интернета NAT тоже сделай не стандартный а на сетевуху 1 - ого прова

Доброе время суток. Сталкнулся с такой проблемой:
После включения роутера KWF выключен. Тоесть приходиться заходить на машину включать engine monitor и уже в трее запускать сам KWF. Где можно настроить, чтоб KWF запускался автоматически при включении машины? Я полазил, но что-то не нашел...

PolyakovI

Цитата:

engine monitor

на нем правой \ statup preferences \ верхнюю галочку поставь

Поставил WinRoute настроил, не грузятся страницы в IE, остальное все работает (почта, аська, антивир NOD 32 обновляется). Модем в режиме роутера, в другой подсети, встроенный антивир отключен, пробовал и с DNS Forwarder и без него, во вкладке Connections видно что при загрузке страницы трафик идет но страница не отображается. Кстати иногда получается загрузить ya.ru и даже иногда загрузить страницу после запроса поиска, с другими сайтами такого не наблюдалось. В какую сторону дальшо копать не знаю, а очень нужно.

Добавлено:
Поставил WinRoute настроил, не грузятся страницы в IE, остальное все работает (почта, аська, антивир NOD 32 обновляется). Модем в режиме роутера, в другой подсети, встроенный антивир отключен, пробовал и с DNS Forwarder и без него, во вкладке Connections видно что при загрузке страницы трафик идет но страница не отображается. Кстати иногда получается загрузить ya.ru и даже иногда загрузить страницу после запроса поиска, с другими сайтами такого не наблюдалось. В какую сторону дальшо копать не знаю, а очень нужно.

В общем стоит KWF на серваке и бодро раздает трафик фильтрует и т.д.
Админа хрен поймаешь он вечно гдето по объектам тусит.

Пришла новая программа...
которая требует.


1. Destination IP addresses - xxx.xxx.xxx.xxx and yyy.yyy.yyy.yyy ( даже не пингуются..создаю правило делаю полный ANY пинг идет а толку в дальнейшем ноль)

2. Communication port - 8080 ( ну это мы умеем и так)

3. Application protocol - SOAP (а вот тут непонятно, насколько я понял работает по HTTP...но всеравно нифига не арбайтен)

snayper7


Цитата:

Цитата:engine monitor


на нем правой \ statup preferences \ верхнюю галочку поставь

Это галочка стоит. Проблема остаеться. Все равно при загрузки после жесткого резета приходиться запускать KWF ручками... Еше может в чем-то загвоздка?

Сейчас попробую его культурно перезагрузить.


Добавлено:
Собственно определил проблему: В логах системы нашел: "Таймаут (30000 мс) ожидания для подключения службы Kerio WinRoute Firewall. " И соответсвенно он не включаеться... Там ОЧЕНЬ медленная машинка стоит и грузиться она Очень долго.. Можно как-то увеличить время ожидания? 30 000мс это сколько в минутах?

Alekseius
Найстройки кеширования проверь - раз у тебя уже открывается ya.ru - возможно он его из кеша берет. Скорее всего у тебя стоит докачка после разрыва (трафик льется, а страница не открывается).

bigga
8080 - не означает, что прога работает через HTTP. На этом порту может работать и другой протокол. Если работаешь через NAT, то:
сурс <локальный комп, или пользователь>
дест xxx.xxx.xxx.xxx and yyy.yyy.yyy.yyy
протокол 8080, SOAP=8080
NAT

Возможно придется настраивать правило для ответного трафика:
сурс xxx.xxx.xxx.xxx and yyy.yyy.yyy.yyy
дест firewall
port-mapping <локальный комп>

PolyakovI
Mili - на википедии написано, что это 1/1000 то есть 10 в минус 3 степени.
При не продолжительных расчетах получается 30 секунд.
Попробуй так: Управление-->Службы--> Свойства службы керио --> Закладка Восстановление: Первый сбой - выстави Перезапуск службы, и поставь понравившееся время (в минутах).

[q][/q]

Блин после недельного мучения, снес сегодня NOD32 и все заработало, страницы в IE начали грузится как по маслу. Ура.

Доброе утро всем! У меня проблема вот такого характера. Стоит Kerio Winroute Firewall 6.0.11 раз в неделю он проверяет обновления свои и, так как Керио у меня ломаный, то соответственно обновиться у него не получается, в итоге падает сеть и доступ удаленно к серверу. После перезагрузки компа все опять работает, но через неделю приходиться все повторять по новой. Плиз хелп!

Martynukav
Хм, утро... Попробуй отключить проверку на обновления: "Advanced Options" -> "Update Checker". Можешь ещё в HTTP правилах прописать... Короче, тебе в Варезник надобно.

Желательно еще создать HTTP policy (если они уже есть в этой версии) - запрет на сервер обновлений с firewall машины.

niichavo,adjuster

проверка отключена....в правилах прописал по слову "update" запреть. Все равно лезет и хочет обновиться....В *.cfg менял значение autoupdate на 0 все равно не помогло. Если не сложно можно ссылку на подробности решения моей проблемы? Думаю я не один такой=) Спасибо=)

Может не в тему спрашиваю но суть вопроса:
Стоит ли мигрировть из под ISA на KerioWF?
Хотелось бы услышать обоснованные доводы.
Заранее спасибо.

SurFicE
если парк не маленький наверно ненадо

Martynukav
Нужно запрещать не слово update, а возможность посещать адрес обновлений...

SurFicE
Сравнивать нужно цена-качество, если речь идет о лицензии. И, конечно же, кол-во одновременных пользователей интернета.

Поиском пользовался )))) Но не нашёл...
На серваке стоит последний керио, настроен НАТ. В керио стоят стандартный антивирь и виснетик. Устанавливаю на сервере НОД32 версии 3, перестаёт работать инет на клиентах. Пишет код 10048. Пробовал отключить "защиту доступа в интернет", не помогло. Пробовал вообще всё вырубить - не помогло. Как тока удаляю НОД, сразу всё работает.
Как избавиться от этой проблемы???

icydrago
в логах KWF при этом что пишет?

icydrago
судя по описанию проблемы керио не причем, ковыряй настройки нода
и три антивиря на одином компе при одновременной работе могут конфликтовать

icydrago
третий нод и керио принципиально вместе не живут так что от нода тебе придётся отказаться, сия трабла не лечится

хай народ, помогите с KMS 6.5.2
стоит домен, в нем пользователи соответственно, почтовый ящик 1 на mail.ru(немного рекламы сорьте)), нужно чтоб кмс закачивал почту с мыла на сервер а пользователи брали ее(почту) с сервера не обращясь к нэту, при этом могли отправлять письма, настроил все по мануалу керио вроде все норм кмс почту принимает с поп, установил доп программы active directory и outlook conn.(на польз компы), создал на кмс пользователя и сдела сортировку на него(mail@company.local), сделал группу ползователей домена с назв почты как mail@company.local, пытался настроит клинтов через оутлук через это мыло, сервер видет, ауторификация проходит, но почту не видет(((, что делать может я чтото не так настроил... хелп!
но приходят сообщения на уотлук от курио с тескстом:

This is an informative message sent by Внешний.ип.адрес.сервера.
The server was not able to deliver your mail message
Subject: ...
to the following addresses... адерс кому:...
This is just a temporary error. The server will continue to attempt to deliver
the message. If the message cannot be delivered in the defined time limit you will
be informed again.
Received: from Пользователь ([ип ПК пользователя])
(authenticated user admin@company.local)
by Вн.ип.Сервера. (Kerio MailServer 6.5.2)
for кмоу...;
дата,
бла-бла-бла
Message-ID: <000001c90805$4044a8f0$c0cdfad0$@local>
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_0001_01C90837.8ADF18F0"
X-Mailer: Microsoft Office Outlook 12.0
Thread-Index: AckIBT4IoHMFEmTwSx2jXANELh+TDg==
Content-Language: ru

вроде ничего вожного не удалил...
заранее Спасибо!

SHRIKE74, стоит нод3 вместе с керио - никаких проблем! Просто там надо отключить керио от проверки ХТТП в браузере.

KWF 6,4,2. Стоит на машине с 2003, не в домене.
Рядом стоит домен.
Какие птички ставить в авторизации, чтобы юзеры из домена, не вводя пароля, могли получать доступ в нет?

Пробовал все возможные варианты - спрашивает пароль и тот не подхватывается. Если завести локального юзера в керио - всё ок. Помогите, пожалуйста.

Проблема с доступом по FTP через KWF 6.
1 09.09.2008 11:48:02 Download state changed to Downloading
2 09.09.2008 11:48:02 Start new section [1]
3 09.09.2008 11:48:02 Start connection to 192.168.2.2:3128 [1]
4 09.09.2008 11:48:02 Connecting to 192.168.2.2:3128 [1]
5 09.09.2008 11:48:02 Connected [1]
6 09.09.2008 11:48:02 GET ftp://ftp.work.acer-euro.com/notebook/extensa_5620/driver HTTP/1.0
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
Accept: */*
Referer: ftp://ftp.work.acer-euro.com/notebook/extensa_5620/
Host: ftp.work.acer-euro.com
7 09.09.2008 11:48:23 HTTP/1.0 504 Gateway Timeout
Pragma: no-cache
Connection: close
Content-Type: text/html; charset=utf-8
8 09.09.2008 11:48:23 Header not recognized or 505 [1]
9 09.09.2008 11:48:23 Socket disconnected [1]
10 09.09.2008 11:48:23 Restart after pause 10 seconds. [1]
11 09.09.2008 11:48:34 Start connection to 192.168.2.2:3128 [1]
12 09.09.2008 11:48:34 Connecting to 192.168.2.2:3128 [1]
13 09.09.2008 11:48:34 Connected [1]
14 09.09.2008 11:48:34 GET ftp://ftp.work.acer-euro.com/notebook/extensa_5620/driver HTTP/1.0
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
Accept: */*
Referer: ftp://ftp.work.acer-euro.com/notebook/extensa_5620/
Host: ftp.work.acer-euro.com
15 09.09.2008 11:48:54 HTTP/1.0 504 Gateway Timeout
Pragma: no-cache
Connection: close
Content-Type: text/html; charset=utf-8
16 09.09.2008 11:48:54 Header not recognized or 505 [1]
17 09.09.2008 11:48:54 Socket disconnected [1]
18 09.09.2008 11:48:54 Restart after pause 10 seconds. [1]
19 09.09.2008 11:49:05 Start connection to 192.168.2.2:3128 [1]
20 09.09.2008 11:49:05 Connecting to 192.168.2.2:3128 [1]
21 09.09.2008 11:49:05 Connected [1]
22 09.09.2008 11:49:05 GET ftp://ftp.work.acer-euro.com/notebook/extensa_5620/driver HTTP/1.0
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
Accept: */*
Referer: ftp://ftp.work.acer-euro.com/notebook/extensa_5620/
Host: ftp.work.acer-euro.com
23 09.09.2008 11:49:26 HTTP/1.0 504 Gateway Timeout
Pragma: no-cache
Connection: close
Content-Type: text/html; charset=utf-8
24 09.09.2008 11:49:26 Header not recognized or 505 [1]
25 09.09.2008 11:49:26 Socket disconnected [1]

Как правильно настроить чтоб работал?
Заранее благодарю за ответы!

тебе необходимо добится чтобы ты увидел список своих пользователейдоменных в винроуте. вот здесь -> Users and Groups -> Users -> User Accounts в поле Domain: выбери свой домен. Для того что бы там нашел ты свой домен и своих пользователей необходимо сделать следующее.
Users and Groups -> Users -> Active Directory
птичку на Map user accounts from the Active Directory domain to Kerio WinRoute Firewall
в поле Active Directory domain name: полное имя домена типа mycompany.com
в Username: и Password: введи данны доменного пользователя (тока не знаю какие права у него должны быть, на всякий поставь админа домена потом обрежешь до пользователя)

птичку на Enable Windows NT domain authentication for this domain и короткое имя домена (то как у тебя рабочая грппа называется в сетевом окружении)

после этого у тебя будет список пользователей

потом можешь ставить автоматическую авторизацию
Users and Groups -> Users -> Authentication Options
птички на
Always require users to be authenticated when accessing web pages
и
Enable user authentication automatically performed by Web browsers

остальное по вкусу
удачи

Добавлено:
а да, и эти операции winroute очень долго соображает
уж не знаю почему,
т.е. вышеуказанные птички будут работать через 2-3 минуты после их установки