» Настройка Kerio Winroute серии 5.x и 6.х (часть 2)

Цитата:

Как в kerio заблокировать трафик если его объем превосходит заданый? Т. е. как только с инета накачали определенное кол-во мегабайт, так сразу доступ блокируется?

Добавлено:
Причем блокировка не навсегда, а до последнего числа текущего месяца включительно?

Можно заблокировать трафик пользователю - в настройках пользователя поставить галку Трафик в месяц... - выставить значение (направление выбираешь сам) и внизу ставишь поинт Блокировать по истечении...

ArgonOLлан тебе балоны катить, может у него из нутрей ничего не ходит, от кель знать-тО?
а про мастер было, чтобы человек увидел более или менее вразумительный набор правил.
благо у меня вся работает без нареканий.

adjuster

Цитата:

Можно заблокировать трафик пользователю - в настройках пользователя поставить галку Трафик в месяц... - выставить значение (направление выбираешь сам) и внизу ставишь поинт Блокировать по истечении...

А можно заблокировать выборочно один интерфейс (тот который раздает интернет по VPN), а остальные (там лок. сеть, за нее трафик не считается) оставить? Я там такого не нашел...

rdenk1
в керио нет ограничение интернет трафика по интерфейсу. Если у тебя 2 канала интернет и используется сначала первый, а когда там истекает трафик, то ты хочешь его пользователю заблокировать и перебросить на медленный второй канал - то этого тебе не сделать, так как при попадании пользователя в "красную зону" ему обрубается использование NAT.

adjuster

Цитата:

в керио нет ограничение интернет трафика по интерфейсу. Если у тебя 2 канала интернет и используется сначала первый, а когда там истекает трафик, то ты хочешь его пользователю заблокировать и перебросить на медленный второй канал - то этого тебе не сделать, так как при попадании пользователя в "красную зону" ему обрубается использование NAT.

А исключения по определенным сайтам можно сделать (сайт самого провайдера бесплатный, за него трафик не идет)? Плюс есть еще файлообменная сеть в самой локалке, она тоже бесплатна.

Можно, в Accounting можно добавить группу IP адресов в исключения.

У меня он в общем так и не ограничивает ничего. В статистике пишет просто "неопознанные пользователи - не зарегистрирован - столько-то Кб". А пользователь Admin как бы 0 накачал.

Цитата:

Можно, в Accounting можно добавить группу IP адресов в исключения.

Вот такое можно сделать - и это будет верным способом.


Цитата:

А пользователь Admin как бы 0 накачал.

Привяжи его к Firewall.

Здравствуйте.
Имеется проблема с настройкой Керио ВинРоут 6.
Есть интернет-шлюз на никсах с локальным адресом 192.168.0.90.
Есть сервер с ВинРоут с локальным адресом 192.168.0.1
Нужно настроить Керио так, чтобы пакеты от пользователей локалки 192.168.0.х (у которых 192.168.0.1 прописан шлюзом) перенаправлялись на никсовый комп с использованием НАТ (т.е. исходящий адрес в пакете менялся на 192.168.0.1).
Добавление правила Любой, Любой, Любой, Разрешить, НАТ - не помогло.
Отключаю Керио - на машине 192.168.0.1 интернет появляется и нормально работает, хотя и не раздается остальным пользователям. Запускаю Керио - работает только ДНС, даже пинги не проходят.
Если разнести локалку и никсовый шлюз в разные подсети с разными сетевыми интерфейсами все работает без проблем.
А вот как все завести на одном?
Подскажите что можно сделать?

Очень нужна помощь, есть fttb-интернет, свич D-Link DES1005D и 3 компа, интернет подключается через VPN-соединение, но можно подключиться только на одном любом компе. Можно ли с помощью Kerio WinRoute раздать интернет другим компам? И как это настроить. Если можно поподробнее. Заранее спасибо!

darkoracul, дело в адресации и маршрутах. Пропиши на машине с керио маршруты чтобы он и сам и его клиенты ходили в инет через внешний шлюз. Добавь правило локалка-внешние_адреса-включить нат. Но блин не правильно это всё с архитектурной точки зрения, не поручусь, что заработает.

demonnov, такую раздачу можно организовать средствами службы маршрутизации Windows Server, создав подключение через VPN типа "уделенный маршрутизатор" и включить NAT.

Также можно создать стандартное виндовое впн подключение и работать с ним из керио как с обычным сетевым адаптером.

ArgonOL
Я не совсем понял, где прописывать маршрут. Шлюзом по умолчанию никсовый шлюз прописан через свойства сетевого подключения. Поэтому когда останавливаешь Керио все и работает.
Или вы предлагаете дополнительно прописать еще один маршрут вида:
route add 0.0.0.0 192.168.0.90 (или даже стоит его с ключем -p прописать).
Я правильно понимаю? Или в Керио где-то можно прописывать маршруты?

Насчет архитектуры согласен, что очень все коряво - но это единственный способ сделать в организации все "по уму", начальство только на постепенные перемены соглашается, вот я и разгружаю потихоньку центральный сервер от кучи ненужных вещей.

update:
Нашел в Керио раздел "Таблица маршрутизации" попробую прописать маршрут там, возможно автоматически из настроек Виндовз он там не появляется.

darkoracul
Не заработает у тебя такая схема - как не пытайся - причем на Пакетном уровне (OSI) - чтобы ты не делал!!!
Либо нужно переводить в другую подсеть фряху и KWF, либо прямо на локальных машинах указывать шлюзом фряху.
Вот пример:
локал -> KWF -> фряха ->Inet
либо:
локал -> фряха -> Inet (KWF в стороне отдыхает в этот момент).

demonnov
Можешь это ВПН соединение перебросить на модем - тогда KWF не понадобится.
Либо поднять KWF, на нем поднимать ВПН для инета - и выпускать локальные машины. (есть в руководстве).

adjuster
Я не вижу принципиальной разницы в маскараде адресов - что локальных, что глобальных. По крайней мере обратная схема (никс - шлюз для локалки, шлюз для никса - сервер с Керио) работает на ура: никса (там кстати Убунту) успешно подменяет локальные адреса на свой локальный айпи и сует его Керио.
Или вы имеете в виду, что Керио в принципе не может брать и раздавать инет в одной подсети?
Сегодня вечером, когда юзеры разойдутся, буду мучать "зверушку". Надеюсь, все получится.

у кого нибудь было? после обновления windows 2003 server перестал работать керио (((

Цитата:

Привяжи его к Firewall.

Привязать - это поставить галку на межсетевом экране во вкладке "IP-адреса" в окне "изменить пользователя"? Если да, то в статистике трафик теперь подсчитывается, но ограничения трафика так и нет. Квоту я ему выставил, а качает сколько угодно.

darkoracul

Цитата:

Нашел в Керио раздел "Таблица маршрутизации" попробую прописать маршрут там, возможно автоматически из настроек Виндовз он там не появляется.

Да, там копай. У керио своя таблица маршрутизации.

darkoracul
Здравствуйте.
Имеется проблема с настройкой Керио ВинРоут 6.
Есть интернет-шлюз на никсах с локальным адресом 192.168.0.90.
Есть сервер с ВинРоут с локальным адресом 192.168.0.1
Нужно настроить Керио так, чтобы пакеты от пользователей локалки 192.168.0.х (у которых 192.168.0.1 прописан шлюзом) перенаправлялись на никсовый комп с использованием НАТ (т.е. исходящий адрес в пакете менялся на 192.168.0.1).
Добавление правила Любой, Любой, Любой, Разрешить, НАТ - не помогло.
Отключаю Керио - на машине 192.168.0.1 интернет появляется и нормально работает, хотя и не раздается остальным пользователям. Запускаю Керио - работает только ДНС, даже пинги не проходят.
Если разнести локалку и никсовый шлюз в разные подсети с разными сетевыми интерфейсами все работает без проблем.
А вот как все завести на одном?
Подскажите что можно сделать?



0,0,0,0 mask 0.0.0.0 gw 192.168.0.90(следовательно именно никс должен быть шлюзом для керио)\

приведи ка скрин с настройками тп и ipconfig /all с керио

Добрый вечер, Уважаемые!
До сегодняшнего дня имел место быть настроенный сервер с Керио, раздававший инет на определенные машины в локалке.
Сегодня понадобилось перенести керио на другую машину.
Установил заново, ту же версию, перенес .cfg файлы, все настройки перенеслись (правила, пользователи и т.д.) изменился только IP-адрес машины с керио.
В результате получил интересную ситуацию. Аська, скайп, обновление антивируса с клиентской машины - работают, просто поменял IP адрес прокси-сервера в настройках. Браузер - ни в какую.
После предложения ввести пасс для доступа к прокси (непрозрачному, авторизация пользователей по логину/паролю с привязкой к IP) выкидывает окно веб-интерфейса Керио, просит и туда логин с паролем ввести (раньше такого не было), пишу - безрезультатно.
Чувствую что мелочь какая-то мешает, но понять блин не могу...
Подскажите, пожалуйста, доктора-специалисты

Tihon_one
у тебя сетка так?
интернет-шлюз на никсах 192.168.0.90 -=> сервер с ВинРоут 192.168.0.1 -=> ВЫХОД сервера в твою локалку через другую сетевую карту!!! и адрес должен быть отличным от 192.168.0.х
(инет в машину с керио входит в одну сетевушку а для локалки у сервера с керио другая сетевушка.
я б адрес интернет-шлюз на никсах поменял например 192.168.1.90 локал оставив 192.168.0.х

NegoroX
Я пытаюсь настроить именно через одну карту с адресом 192.168.0.1 - и для получения инета со шлюза и для раздачи его в локалку.
Вчера смотрел Таблицу маршрутизации в Керио - после смены шлюзов с Сетевых подключениях Виндоуз в Керио автоматически меняется маршрут по умолчанию, т.е. все как нужно.
Есть у меня версия что Керио просто тормозит и настройки через раз применяются, сегодня буду пробовать дальше. Стандартными средствами Виндоуз в такой конфигурации интернет раздается, специально проверил, т.е. непреодолимых препятствий быть не должно, буду копать.

Добавлено:
Tihon_one

Вот скрины с настройками

http://foto.mail.ru/mail/dlormidal/kerio/44.html
http://foto.mail.ru/mail/dlormidal/kerio/45.html
http://foto.mail.ru/mail/dlormidal/kerio/46.html

NegoroX
оперный театр, что-то я пропустил. естесна разные подсети локална\инет

darkoracul
поправь если я тебя неверно понял, две подсети на квф есть, локалка и провайдер, причём керива имеет два адаптера один в локалку другой в провайдера, но людей ты хочешь пихать через керио по локалке не на провайдера, а на ип внутри локалки.
теперь основной ворос, ЗАЧЕМ?


Цитата:

Если разнести локалку и никсовый шлюз в разные подсети с разными сетевыми интерфейсами все работает без проб

чем это вариант неподходит-то?

Vibrother

Цитата:

Установил заново, ту же версию, перенес .cfg файлы, все настройки перенеслись (правила, пользователи и т.д.) изменился только IP-адрес машины с керио.

А вы поменяли идентификаторы сетевушек?
Ибо они другие становятся, когда весь софт переставляешь на другую машину.

Цитата:

А вы поменяли идентификаторы сетевушек?

хм... не менял. Как это сделать?

Vibrother, этот процесс подробно расписан в хелпе.

Если речь об идентификаторах интерфейсов в файле winroute.cfg - да, поменял. Не сообразил сразу о каких "сетевушках" речь

Добавлю... Все-таки аська, скайп, обновления антивируса работают, с теми же данными авторизации, через этот же прокси-сервер - а значит все сетевые настройки прописаны правильно, мне кажется... А при открытии любой страницы той же Оперой сначала исправно появляется окно прокси-сервера, предлагающее ввести логин и пасс, а уже потом появляется страница веб-авторизации керио, дальше которой пройти не удается никак. Раньше никакой веб-авторизации не было, после авторизации пользователя на прокси исправно открывалась запрашиваемая страница...

Все получилось, как и было задумано.
Основных проблем было две:
первая: Керио тупит при переключении шлюзов и применении настроек - несколько раз выскакивало сообщение "Подключение потеряно". После смены шлюза перезагрузился, поменял настройки Керио, перезапустил Керио и все заработало;
второе: ВПН-маршрутизация. На сервере есть интерфейс, который через ВПН обеспечивает связь с офисом №2. В Политике траффика ICMP-ВПН правило было выше обычного ICMP и поскольку в ВПН правиле в "Назначение" был интерфейс локальной сети ответные пакеты запрошенные локальными компьютерами в интернете обрубались. Оставил в этом правиле только IP, связанные с ВПН, и все заработало.

Цитата:

Квоту я ему выставил, а качает сколько угодно

В новых версиях лезешь в CFG и выставляешь значение (не помню) в 1 (там есть возможность включить использовать квоту для firewall).


Цитата:

У керио своя таблица маршрутизации.

Нет у KWF своей таблицы маршртутов = он ее из винды берет!!!

Цитата:

Нет у KWF своей таблицы маршртутов = он ее из винды берет!!!

А ты копни глубже, тогда увидишь значительные различия.

Цитата:

Цитата: Можно, в Accounting можно добавить группу IP адресов в исключения.

Вот такое можно сделать - и это будет верным способом.