» Настройка Kerio Winroute серии 5.x и 6.х (часть 2)

ArgonOL есть бага по твоей проблемме, отправляли запрос разрабам, должны пофиксить к новой версии квф.

Добавлено:
GTA3
Цитата:

Возможно ли с помощью керио объединить две сети по инету в одну, соединение типа Site-to-Site или что-то другое...?

Возможность есть, глянь в ман на офф сайте, либо в русский на redline-software.com/rus

Tihon_one, бум надеятся, что пофиксют

ко поможет с пробросом по протоколу rdp?
Задача такова например из интернета конектимся через удалёнку по наружному ip к серверу оф,сети, теперь нужно сделать проброс rdp протокола на другой сервер 1с внутри этой сети с серым адресом 192.168.0.хх но так что бы этот проброс осущесвлялся только при введении не стандартного порта протокола rdp например 3391, тоесть если обьяснить попроще - (удалёнка по стандарту) то я вхожу на главный сервер, а если вбиваю дополнительно ещё другой порт то на внутрений.

wuferok, блин, писать надо понятно и пунктуацией пользоваться. Делаешь портмап в правилах керио с порта 3391 на хост 192.168.0.хх и порт 3389. В клиенте при подключении указываешь внешний_адрес_керио:3391.

Граждане, вопрос от тех, кто в танке )
1. В Политика HTTP в Правилах URL можно при создании правила писать в "URL начинается с" сайтики через запятую или точку с запятой? А то мне пришлось насоздавать там тьму почти одинаковых правил, только с разными сайтегами на блок. А так бы я в одно правило всех нелюдей понакидал бы и ок.
2. Можно ли с помощью Kerio Star понять, сколько казённого трафика пользователь влупил на mp3? Я что-то не могу понять как.

Версия Kerio 6.5.2

Вот ещё какой вопрос - а как разрешить соединения из локальной сети в глобальную по https ТОЛЬКО на определённый IP-адрес? Или на несколько адресов? Я всё со скайпом воюю, теперь пытаюсь пойти по пути создания белого листа ИПов, с которыми нуно работать по https.

kaskad
1. Использую URL группы
2. Да.
3. В проавилах трафика

ArgonOL

Цитата:

1. Использую URL группы

А можно на примере? Плиз )

Цитата:

2. Да.

Как? Я там нашёл в старе только такую группу как мультимедиа, а она включает в себя как mp3, так и всякие там ролики flv и т.п. Может есть возможность самому создать группу, которая будет отслеживаться кирей? По контенту тупо с MIME типом mp3? Вот как?

Цитата:

3. В проавилах трафика

Истоник LAN Назначение 89.171.51.18 служба https действие Развешить - и будет корректно отрабатывать?

Цитата:

А можно на примере? Плиз )

Если не можешь сам догадаться, то хелп почитай.


Цитата:

Я там нашёл в старе только такую группу как мультимедиа, а она включает в себя как mp3

Я думал это потянет тебе. Ничего связанного с MIME я не нашел.


Цитата:

Истоник LAN Назначение 89.171.51.18 служба https действие Развешить - и будет корректно отрабатывать?

В этом правиле не забудь VPN установить.
Следующим правилом запрети HTTP из лан на ЛЮБЫЕ внешние.

Доброго времени.

Только не пинайтесь сильно. Уже неделю бьюсь и ничего не могу понять. Перелопатил кучу информации, но от сетей я достаточно далек (необходимость возникла только сейчас, вот и пытаюсь разобраться).

Задача фантастическая. Не могу даже в принципе разобраться. Если возможно - проконсультируйте по этому поводу:
Основной компьютер (две сетевые карты, одна в сторону внутренней сети, вторая в сторону провайдера). По второй сети выходит в локальную сеть провайдера + дополнительно ВПН соединение для интернета.
Внутренняя сеть 3 компьютера.
Как настроить WinRoute так что бы из внутренней сети был доступ и к ресурсам интернета и к ресурсам внутренней сети провайдера (есть еще один компьютер в сети провайдера к которому нужно организовать удаленный доступ через радмин, поэтому доступ к сети провайдера обязателен).
Помимо этого нужно чтобы из внутренней сети почтовые программы могли забирать почту (насколько я понял в WinRoute можно организовать свой почтовый сервер, но по ряду причин это не желательно. Можно ли просто организовать сеть так чтобы был доступ из почтовых программ???).

Пробовал поставить прокси через squid (в качестве эксперимента). Вроде +- работает, но не совсем так как хотелось (и в английском слаб, да и настройки желательно менять наглядно, ане через редактирование файла настроек. Поэтому сейчас хочу попробовать WinRoute).
На данный момент - средствами виндовс разрешено использовать подключение к сети провайдера на клиентских машинах. Через прокси доступ в интернет.
В итоге: на основном компьютере все работает. На клиентских машинах доступ в интернет присутствует, доступ к сети провайдера почти присутствует (на сайт прова заходит, а вот другие компьютеры в сети прова не видит и к файлохранилищу не пускает), почтовики на клиентских машинах работать отказываются, удаленное управление через радмин не работает.
Вот.

Если не сложно - можно подсказать подоходчивее и желательно на примерах.
Заранее спасибо.

P. S. На всех компьютерах стоит Win XP SP3
Ниже настройки (ipconfig /all):
Основной компьютер:
Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : D1
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : да

WAN - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethe
rnet NIC
Физический адрес. . . . . . . . . : 00-40-F4-70-8F-2F
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.3.131
Маска подсети . . . . . . . . . . : 255.255.0.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 192.168.1.7

LAN - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethe
rnet NIC #2
Физический адрес. . . . . . . . . : 00-40-F4-7E-E8-95
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 10.10.10.1
Маска подсети . . . . . . . . . . : 255.255.255.240
Основной шлюз . . . . . . . . . . :

scs - PPP адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Физический адрес. . . . . . . . . : 00-53-45-00-00-00
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 172.16.2.210
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз . . . . . . . . . . : 172.16.2.210
DNS-серверы . . . . . . . . . . . : 188.128.36.129
188.128.36.129

Клиентский компьютер:
Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : prof
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : смешанный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : нет

Подключение по локальной сети 2 - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : NVIDIA nForce 10/100 Mbps Ethernet
Физический адрес. . . . . . . . . : 00-24-8C-3D-88-96
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 10.10.10.4
Маска подсети . . . . . . . . . . : 255.255.255.240
Основной шлюз . . . . . . . . . . : 10.10.10.1
DNS-серверы . . . . . . . . . . . : 192.168.1.7

Хм. Поставил Winroute.
Совсем ничего не понял, но при установках по дефолту получил такой результат:
Из плохого:
1. Не смог удаленно управлять Winroute
Перед этим почитал руководство (правда на четвертую версию) там было написано, что можно управлять просто скопировав и запустив файл администрирования. При попытке просто запустить файл - ругается на отсутствие dll, при копировании на удаленную машину всего каталога - ругается, что панель администрирования нельзя запустить отдельно от сервера. Пришлось устанавливать Winroute на эту машину. После этого смог пробиться на сервер.
Подскажите пожалуйста как в 6 версии управлять удаленно???
2. Внутренняя сеть работает, интернет работает, а вот доступ к сети провайдера рухнул. Пробиться могу только с машины на которой установлен Winroute.
Подскажите пожалуйста где, что нужно прописать, что бы был доступ до локалки прова???
3. В мастере настройки при установке Winroute поставил "дозвон по запросу". Несмотря на это, если на сервере отключен доступ в интернет - "дозваниваться" не хочет. При попытке запустить соединение из удаленного администрирования Winroute пишет сначала "подключение", а потом "ошибка".
Как его заставить подключаться???
4. Насколько я понял, файрволл Winroute управляется из той же консоли администратора.
Как разрешить подключение по определенному порту??? (радмин соединяться не хочет)

Из хорошего (ну или не очень, пока не разобрался)
1. Интернет присутствует на всех машинах. В свойствах обозревателя прокси отключен (в принципе можно и так), все почтовые программы нормально получают почту.
Правда из за пункта 2 (чуть выше) меня терзают смутные сомнения. Такое чувство, что Winroute просто переназначил общее подключение с подключения к локалке прова на подключение к интернету. Т. е. я оказался ровно там где был в самом начале (изначально пробовал средствами виндовс, но получается сделать общам или выход в интернет или доступ к сети провайдера)

Подскажите пожулуйста как это все настроить???

Цитата:

Подскажите пожулуйста как это все настроить???

Изучить осоновы компьютерных сетей и руководство керио.

Так. Продолжаем
К локалке прова получилось пробиться (путем добавления правила в политику трафика).
Трансляция NAT (просветите пожалуйста что такое NAT и что такое прокси и что нам нужно. Или где про это можно почитать. Мне конечно нравиться что все заработало, но хочется понимать).
Ну и остались пока вопросы по п 1 и 3 и поста выше.

Добавлено:
ArgonOL
Огромное спасибо за консультацию.

Есть городская сеть со своим ДНС...
Есть АДСЛ-инет и несколько домашних компов, подключенных напрямую в модем.
Несколько человек из городской сети получает доступ в инет через Kerio.
Не могу понять, почему один из клиентов (ник alena) упорно не может получить инет, хотя имеет те же настройки и ОС (Win XP SP3) и входит в ту же группу пользователей Kerio, что и остальные...
При этом остальные, настроенные по аналогии, доступ в инет имеют.

Настройки Керио такие:























ipconfig сервера:

Код: Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : server
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : нет

HOMEGIGABIT - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8168C(P)/8111C(P) PCI-E Gigabit Ethernet NIC
Физический адрес. . . . . . . . . : 00-1F-D0-A2-D4-3E
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.0.2
Маска подсети . . . . . . . . . . : 255.255.255.240
Основной шлюз . . . . . . . . . . : 192.168.0.1
DNS-серверы . . . . . . . . . . . : 192.168.0.1

GOROD_NEW - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : VIA VT6105 Rhine III Compatible Fast Ethernet совместимый адаптер
Физический адрес. . . . . . . . . : 00-1E-58-9F-F4-09
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 172.27.42.15
Маска подсети . . . . . . . . . . : 255.224.0.0
IP-адрес . . . . . . . . . . . . : 10.27.42.15
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 195.190.106.59
195.190.106.60

Kerio VPN - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Kerio VPN adapter
Физический адрес. . . . . . . . . : 44-45-53-54-4C-E0
DHCP включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 192.168.3.1
Маска подсети . . . . . . . . . . : 255.255.255.0
IP-адрес . . . . . . . . . . . . : 169.254.77.35
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DHCP-сервер . . . . . . . . . . . : 169.254.77.34
NetBIOS через TCP/IP. . . . . . . : отключен
Аренда получена . . . . . . . . . : 12 августа 2009 г. 23:00:25
Аренда истекает . . . . . . . . . : 12 августа 2009 г. 23:03:25

prof2008
В википедии можно почитать - в двух словах:
NAT - это трансляция пакетов с заменой IP - прозрачный (для пользователей) прокси
HTTP прокси - это старая прокся - работает с указанными настройками ( не прозрачная).

lizun
Не стоило захламлять...
Обрати внимание на то, какой шлюз по умолчанию при подключении Алены к VPN и какой маршрут в 0.0.0.0 по 0.0.0.0 при подключенном VPN. Подразумеваю, что у других пользователей - по другому.


Добавлено:
kaskad
Здорова!!! - через ";"

На счет mp3 - отвечу и сюда: нельзя через стар - можно через доп. программулины обработки логов от KWF.

И вот на счет скайпа - достаточно заблочить P2P - заблочит всех, также можно выставить лимит соединений меньше 50 - тоже самое.

А вот то, что тебе нужно:
создаешь правила:

сурс Локал
дест Инет
протокол HTTPS
пермит
NAT
порт мепинг на нужный IP

Либо так:
1.сурс Локал
дест 89.171.51.18
протокол HTTPS
пермит
NAT

2. сурс локал
дест инет
протокол https
запретить

Цитата:

Не стоило захламлять...

Вдруг какую галочку где-нить не поставил.
ну, можно грохнуть картинки, если что...

Цитата:

Обрати внимание на то, какой шлюз по умолчанию при подключении Алены к VPN

Не совсем понял.
У нее же шлюз там (виртуальная сетевуха керио) не должен быть вообще, так как в системе уже есть шлюз (на сетевушке города, он кстати у всех в городе разный). Соответственно, шлюз так и остается один - в ipconfig его видно.

Цитата:

и какой маршрут в 0.0.0.0 по 0.0.0.0 при подключенном VPN.

Подскажите, как посмотреть, разве что route print?
Так я это тоже привел:

Цитата:

0.0.0.0 0.0.0.0 10.24.1.254 10.24.1.20 20

Могу привести ipconfig и route print другого пользователя, у которого инет работает.
Я пробовал c другим логином/паролем на том компе - та же картина. Подозреваю, что что-то не то в настройках клиентского компа, но что?

adjuster
Да в двух словах я знаю.
Просто весь интернет перерыл в поисках доступной информации "что лучше, как лучше и т.д." Все статьи делятся на две категории, или уже достаточно профессиональный уровень (что для меня пока рано), или в двух словах.

Если возможно - еще два вопроса:
1. В сетке провайдера осуществляется ТВ вещание. Пробовал вчера поставить на клиентском компьютере.... Не хочет. Плейлист открывает нормально (VLC)? а картинку не кажет.
Пробовал сегодня узнать у провайдера - сказали, что вещание через маршрутизатор подключить нельзя (вроде).
Сталкивался кто нибудь с этим??? Действительно нельзя??? Или можно как то обойти???

2. Вчера пробовал поставить программу для учета трафика Tmeter. (прошу прощения, что немного не по теме). Для сбора статистики нужно выбрать внешний адаптер (доступны только физические, а VPN соединение выбрать нельзя). При выборе физического адаптера который смотрит в сторону прова, отрубает интернет (сеть провайдера видит нормально).
Работал кто то с этой программой??? Как ее можно настроить???

подскажите плиз, есть 2 шлюза. В керио выбран вариант распределения нагрузки трафика. Можно ли как то заставить ходить часть пользователей только через шлюз№1, а других только через шлюз №2 ???

Здравствуйте!
Такая проблема поставил kerio winroute firewall 6.6 все нормально работает но серваки долго грузится где то минут по 2 по терминалке или может при работе подвиснуть на пару сек!если выключить kerio то все летает!!в чем может быть проблема??kerio стоит на отдельном компе на другом серваке стоит ад днс dhcp в логах пишет Windows cannot determine the user or computer name. (The specified domain either does not exist or could not be contacted. ). Group Policy processing aborted.
Вопрос где нужно прописать ip kerio чтобы все нормально работало??

удалено

Цитата:

Сталкивался кто нибудь с этим??? Действительно нельзя??? Или можно как то обойти???

Можно. Для вещания используется 224.0.0.0 вирутальная сеть. Если смотреть на Firewall машине, то все должно работать при создании правила:
сурс Firewall
дест 224.0.0.0
протокол Эни

и обратного...

В данный момент разбираюсь с тем, как запустить браузер с вещанием на машине в локалке - затрудняет то, что у меня нет такого провайдера.

Добавлено:
alekseu3333
Проблема скорее в DNS, или ТП
Картинки покажут.

Добавлено:
Rutass
Можно - достаточно указать в NAT явное направление на конкретный интрефейс (создается правило, в источниках группа через интерфейс1 - натить на инт.1, создается второе правило: группа2 - натить на 2 интерфейс).

Добавлено:

Цитата:

Вчера пробовал поставить программу для учета трафика Tmeter.

KWF отлично ведет статистику - лучше в паре с ним использовать анализатор логов (Proxy Inspector, либо AIM)

adjuster
На машине с Winroute все работает.
Интересовала именно раздача на клиентские машины.

Я решил довольно элегантно раздачу IPTV. Изветсно, что IPTV вещается мультикастом, что делать не надо бы в корпоративной сети (забивает трафиком). Сделал так: настроил встроенный виндовый маршрутизатор на IGMP и мультикаст маршрутизировать на Dila-In интерфейс, к нему клиенты подключаются по VPN. Таким образом мультикаст трафик в корпоративную сеть не ходит, а кто надо, тот телик смотрит.

Добавлено:
(одмин IPTV вещания тоже мне втирал, что через маршрутизатор не получиться)

ArgonOL
Попрошу поподробнее - какая винда? где стоит KWF относительно этой винды.. какой VPN имеется ввиду?

ArgonOL
Если можно "с картинками". А то я достаточно слаб в этих вопросах. Опять же, если не затруднит.

Тут еще в интернете утилитку нашел. Гляньте пожалуйста, можно такое через нее организовать??? http://borpas.info/util#prox

Цитата:

Попрошу поподробнее - какая винда? где стоит KWF относительно этой винды.. какой VPN имеется ввиду?

Server 2003, KWF на ней же, VPN используется микрософтовский, от встроенной службы RRAS.


Цитата:

Если можно "с картинками". А то я достаточно слаб в этих вопросах. Опять же, если не затруднит.

Извини, затруднит.

ArgonOL

Цитата:

Server 2003, KWF на ней же, VPN используется микрософтовский, от встроенной службы RRAS

Везет некоторым - теперь ты понимаешь, что ты не через маршрутизатор пустил трафик, а через виндовый роутер.

А как быть с админами, у которых Kwf стоит на винде ХР ???

Вывод: считаю этот вариант альтернативой, но не полным решением проблемы относительно продукта, который разбирается в данной ветке.

Тут еще один вопрос появился.
Как Kwf с внешним антивирусом подружить???
Стоит НОД 32 2.7 (лицензионный). Если в Kwf ничего не указывать, то постоянно ругается матом на то что во внешнем антивирусе включены интернет сканер, е-майл сканер и т.д. Пробовал даже в ноде отключать эти сканеры. Kwf все равно продолжает ругаться.
Пробовал в Kwf выбрать внешний антивирус. Выбрал НОД - стал ругаться, что антивирус не запущен.

Для того, чтобы подружить KWF c лиц нодом, нужно купить для нода отдельную лицензию и добавить в нод соответсвующий лицензионный файл. Все сканирующие сеть функции в ноде нужно отключить при наличии керио на той же машине.

ArgonOL
Это специальная лицензия для KWF???

Насчет IPTV
Вот. Получилось сделать через UDP-to-HTTP Прокси.
Правда у нас кто то сделал трехуровневый плейлист и поэтому сам не разобрался.
Пообщался с разработчиком программы. С его помощью все получилось. Огромное ему спасибо.

И еще один вопрос.
Можно ли в KWF сделать так, чтобы пользователь просматривал только свою статистику, а статистика других пользователей была недоступна???