» Настройка Kerio Winroute серии 5.x и 6.х (часть 2)

dddimmm
На внешней сетевухе шлюз тоже убрал?

procesha
Вопрос поставь правильно = набор букав получился.

Projex
Виндовый используй - чем тебе он то мешает? Ты же ег оможешь параллельно с KWFом (не DHCP) использовать.

Мне честно говоря дурно уже…три дня пытаюсь настроить KWF и никак не разберусь пока во всех премудростях.
Повторюсь…сетка из 25 комп., имеется локальный DNS (192.168.141.1), KWF установлен на отдельной машине в сети (192.168.141.2).

Народ если не лень киньте взор на скриншоты.
В Интернет никого не пускает. Но майл агент (от mail.ru) на машине с KWF почему-то работает.


В локалку:


В Интернет:


Интерфейсы:


Переадресация DNS


Пересылка:


Политика трафика:

А ты INTERNET интефейс в Интернет интерфейсы из Другие перемести.

Либо в NAT укажи на конкретный (INTERNET) интерфейс.

Далее открывай ссылку у пользователя http://213.180.204.8

dddimmm
1. в керио переадресацию ДНС убери
2. на пользовательских машинах укажи шлюзом адрес компа с керио (192.168.141.2).
3. в свойствах обозревателя IE закладка подключения - настройка сети - галку поставь использовать прокси адрес 192.168.141.2 порт 3128
(и интерфейс интернет из другие в интерфейс интернет

NegoroX

Цитата:

3. в свойствах обозревателя IE закладка подключения - настройка сети - галку поставь использовать прокси адрес 192.168.141.2 порт 3128

А ты уверен, что у него прокся включена?

dddimmm, а антивирус у тебя на хосте с kwf есть?

пинги до внешних ресурсов идут?

Добавлено:

Цитата:

1. в керио переадресацию ДНС убери

да и тогда в свойствах сетевухи, смотрящей во вне, пропиши только один адрес локального днс сервера, остальные убери.

Tihon_one

Цитата:

в свойствах сетевухи, смотрящей во вне

зачем на внешней карте локальный ДНС ?

NegoroX
затем чтобы свои запросы она тоже резолвила с одного и того же днс, в принципе это может помочь для резолва внутренних имён, если используется структура AD.

NegoroX
Tihon_one

пинги и tracer с локального днс и с клиентов не шли...на машине с керио стоял EAV v4 (варезный).
снес антивирус, перезагрузил и машину с керио и локальный днс, все запустилось! все работает! а то крышу срывало))

Такой еще вопросик...где можно почерпнуть информацию по поводу правильной настройки керио, в частности интересует разграничение доступа юзверей к определенным сайтам, программам...
я еще не волшебник а только учусь (это мой первый файервол)

и еще вопрос по поводу локального днс...не хотелось бы чтобы к нему был доступ из вне...то-есть с интернета...сейчас если попробовать открыть хоть какую страничку на нем, как положено запрашивается авторизация в керио, без авторизации я так понимаю доступа нет не с локального днс в интернет, не с интернета к нему? так?
и что будет если я уберу запрос авторизации в керио, это не повлияет на сбор информации о статистике пользователей? (кто куда ходил, что скачивал и тд.)


спасибо за внимание!

dddimmm
так ну антивирь-то настроить можно без проблем.
ты главное отрубай все мониторы сетевой активности и добавляй директорию с установленный KWF в зону исключений и будет тебе счастье.
По поводу разграничения доступа к веб ресурсам, юзай кури официальный ман и url правила, там не сложно.
По поводу публикации днс, ты свой мс-днс хочешь вывести в тырнет?

Tihon_one

Цитата:

По поводу публикации днс, ты свой мс-днс хочешь вывести в тырнет?

нет не хочу

dddimmm
сори тупанул, частицу пропустил 80)
ну а так, от куда к нему может быть доступ из-вне если ты явно этого не разрешал?

Tihon_one
доступ в настоящее время у меня разрешен для всех...и если отрубить авторизацию в керио, то соответственно логин и пароль запрашиваться не будут и доступ в интернет будет свободный...

ты хочешь закрыть доступ к тернету просто ip адресу данному, ну так собственно в политиках трафика создай правило:
ip-интернет-любой-запретить но тогда и dns запросу у тебя проходить не будут, в этом случае закрой всё кроме протокола dns, либо под dns создай отдельное правило для этого ip стоящее над запрещающим правилом

dddimmm

Цитата:

где можно почерпнуть информацию по поводу правильной настройки керио, в частности интересует разграничение доступа юзверей к определенным сайтам, программам...

Читай мануал керио, он весьма хорошь. Но для начала нужно иметь базовые знания. Для их получения даже справка виндовс-сервера вполне годится. Ну и на intuit.ru должны быть неплохие курсы лекций по сетям.

Цитата:

Ну и на intuit.ru должны быть неплохие курсы лекций по сетям

Не должны - а ЕСТЬ
Взять хотя бы курс "Основы локальных сетей"

Имеется
- Kerio 6.6.0 5729
- 3 VPN тунеля
- 2 VPN тунеля работают нормально
А 1 VPN постоянные разрывы в рабочее время.
- ОС переустанавливал на удаленной машине
- Kerio переустанавливал на удаленной машине
- пинги между машинами стабильны, но тунель рвется стабильно
[30/Sep/2009 15:52:38] VPN tunnel 'tunnel 3' disconnected, connection time 00:07:50
[30/Sep/2009 15:53:24] VPN tunnel 'tunnel 3' connected.
[30/Sep/2009 16:03:28] VPN tunnel 'tunnel 3' disconnected, connection time 00:10:04
[30/Sep/2009 16:03:28] VPN tunnel 'tunnel 3' connected.
[30/Sep/2009 16:19:43] VPN tunnel 'tunnel 3' disconnected, connection time 00:16:15
[30/Sep/2009 16:19:50] VPN tunnel 'tunnel 3' connected.
[30/Sep/2009 16:26:54] VPN tunnel 'tunnel 3' disconnected, connection time 00:07:04
[30/Sep/2009 16:27:06] VPN tunnel 'tunnel 3' connected.
[30/Sep/2009 16:31:06] VPN tunnel 'tunnel 3' disconnected, connection time 00:04:00
[30/Sep/2009 16:31:11] VPN tunnel 'tunnel 3' connected.
[30/Sep/2009 16:41:12] VPN tunnel 'tunnel 3' disconnected, connection time 00:10:01
[30/Sep/2009 16:41:23] VPN tunnel 'tunnel 3' connected.
[30/Sep/2009 16:47:23] VPN tunnel 'tunnel 3' disconnected, connection time 00:06:00
[30/Sep/2009 16:47:26] VPN tunnel 'tunnel 3' connected.
[30/Sep/2009 17:01:27] VPN tunnel 'tunnel 3' disconnected, connection time 00:14:01
[30/Sep/2009 17:01:30] VPN tunnel 'tunnel 3' connected.
[30/Sep/2009 17:29:39] VPN tunnel 'tunnel 3' disconnected, connection time 00:28:09
[30/Sep/2009 17:29:42] VPN tunnel 'tunnel 3' connected.
[30/Sep/2009 17:39:44] VPN tunnel 'tunnel 3' disconnected, connection time 00:10:02
[30/Sep/2009 17:39:48] VPN tunnel 'tunnel 3' connected.
[30/Sep/2009 17:47:50] VPN tunnel 'tunnel 3' disconnected, connection time 00:08:02
[30/Sep/2009 17:47:54] VPN tunnel 'tunnel 3' connected.
[30/Sep/2009 17:54:51] VPN tunnel 'tunnel 3' disconnected, connection time 00:06:57
[30/Sep/2009 17:54:59] VPN tunnel 'tunnel 3' connected.
[30/Sep/2009 18:04:01] VPN tunnel 'tunnel 3' disconnected, connection time 00:09:02
[30/Sep/2009 18:04:03] VPN tunnel 'tunnel 3' connected.
!![01/Oct/2009 00:42:09] VPN tunnel 'tunnel 3' disconnected, connection time 06:38:06
!![01/Oct/2009 00:43:47] VPN tunnel 'tunnel 3' connected.
!![01/Oct/2009 08:20:48] VPN tunnel 'tunnel 3' disconnected, connection time 07:37:01
!![01/Oct/2009 08:20:49] VPN tunnel 'tunnel 3' connected.
[01/Oct/2009 08:35:51] VPN tunnel 'tunnel 3' disconnected, connection time 00:15:02
[01/Oct/2009 08:35:52] VPN tunnel 'tunnel 3' connected.
[01/Oct/2009 08:41:59] VPN tunnel 'tunnel 3' disconnected, connection time 00:06:07
[01/Oct/2009 08:44:40] VPN tunnel 'tunnel 3' connected.
[01/Oct/2009 08:46:41] VPN tunnel 'tunnel 3' disconnected, connection time 00:02:01
[01/Oct/2009 08:46:52] VPN tunnel 'tunnel 3' connected.
[01/Oct/2009 09:07:02] VPN tunnel 'tunnel 3' disconnected, connection time 00:20:10
[01/Oct/2009 09:07:05] VPN tunnel 'tunnel 3' connected.
[01/Oct/2009 09:24:26] VPN tunnel 'tunnel 3' disconnected, connection time 00:17:21
[01/Oct/2009 09:24:28] VPN tunnel 'tunnel 3' connected.
[01/Oct/2009 09:34:29] VPN tunnel 'tunnel 3' disconnected, connection time 00:10:01
[01/Oct/2009 09:34:32] VPN tunnel 'tunnel 3' connected.

Куда копать?

Цитата:

Куда копать?

У меня такое было только когда связь была не стабильная и пакеты терялись. Пинги -- не показатель.

Цитата:

У меня такое было только когда связь была не стабильная и пакеты терялись. Пинги -- не показатель.

Как это проверить?

Тем же пингом, но с большим размером пакета и меньшей допустимой задержкой.

Для теста скорости очень хороша прога iperf.

это чем-то мне может помочь?

C:\ippref>iperf -u -c server_name -i 30 -t 1800
------------------------------------------------------------
Client connecting to server_name, UDP port 5001
Sending 1470 byte datagrams
UDP buffer size: 8.00 KByte (default)
------------------------------------------------------------
[1896] local 192.168.20.172 port 4271 connected with 21.22.22.16 port 5001
[ ID] Interval Transfer Bandwidth
[1896] 0.0-30.0 sec 3.75 MBytes 1.05 Mbits/sec
[1896] 30.0-60.0 sec 2.51 MBytes 701 Kbits/sec
[1896] 60.0-90.0 sec 3.75 MBytes 1.05 Mbits/sec
[1896] 90.0-120.0 sec 3.75 MBytes 1.05 Mbits/sec
[1896] 120.0-150.0 sec 238 KBytes 65.1 Kbits/sec
[1896] 150.0-180.0 sec 3.75 MBytes 1.05 Mbits/sec
[1896] 180.0-210.0 sec 3.75 MBytes 1.05 Mbits/sec
[1896] 210.0-240.0 sec 3.75 MBytes 1.05 Mbits/sec
[1896] 240.0-270.0 sec 3.75 MBytes 1.05 Mbits/sec
[1896] 270.0-300.0 sec 3.75 MBytes 1.05 Mbits/sec
[1896] 300.0-330.0 sec 3.75 MBytes 1.05 Mbits/sec
[1896] 330.0-360.0 sec 3.75 MBytes 1.05 Mbits/sec
[1896] 360.0-390.0 sec 3.75 MBytes 1.05 Mbits/sec
[1896] 390.0-420.0 sec 3.75 MBytes 1.05 Mbits/sec
[1896] 420.0-450.0 sec 3.75 MBytes 1.05 Mbits/sec
[1896] 450.0-480.0 sec 3.73 MBytes 1.04 Mbits/sec
[1896] 480.0-510.0 sec 3.75 MBytes 1.05 Mbits/sec
[1896] 510.0-540.0 sec 3.75 MBytes 1.05 Mbits/sec
[1896] 540.0-570.0 sec 3.75 MBytes 1.05 Mbits/sec
[1896] 570.0-600.0 sec 3.74 MBytes 1.05 Mbits/sec
[ ID] Interval Transfer Bandwidth
[1896] 600.0-630.0 sec 3.75 MBytes 1.05 Mbits/sec
[1896] 630.0-660.0 sec 3.75 MBytes 1.05 Mbits/sec
[1896] 660.0-690.0 sec 1.44 KBytes 392 bits/sec
[1896] 690.0-720.0 sec 7.47 MBytes 2.09 Mbits/sec
[1896] 720.0-750.0 sec 3.74 MBytes 1.05 Mbits/sec
[1896] 750.0-780.0 sec 3.75 MBytes 1.05 Mbits/sec
[1896] 780.0-810.0 sec 3.75 MBytes 1.05 Mbits/sec
[1896] 810.0-840.0 sec 3.75 MBytes 1.05 Mbits/sec
[1896] 840.0-870.0 sec 3.75 MBytes 1.05 Mbits/sec
[1896] 870.0-900.0 sec 3.75 MBytes 1.05 Mbits/sec
[1896] 900.0-930.0 sec 3.75 MBytes 1.05 Mbits/sec
[1896] 930.0-960.0 sec 3.75 MBytes 1.05 Mbits/sec
[1896] 960.0-990.0 sec 3.75 MBytes 1.05 Mbits/sec
[1896] 990.0-1020.0 sec 3.75 MBytes 1.05 Mbits/sec
[1896] 1020.0-1050.0 sec 3.75 MBytes 1.05 Mbits/sec
[1896] 1050.0-1080.0 sec 3.75 MBytes 1.05 Mbits/sec
[1896] 1080.0-1110.0 sec 3.75 MBytes 1.05 Mbits/sec
[1896] 1110.0-1140.0 sec 3.75 MBytes 1.05 Mbits/sec
[1896] 1140.0-1170.0 sec 3.75 MBytes 1.05 Mbits/sec
[1896] 1170.0-1200.0 sec 3.75 MBytes 1.05 Mbits/sec
[ ID] Interval Transfer Bandwidth
[1896] 1200.0-1230.0 sec 3.75 MBytes 1.05 Mbits/sec
[1896] 1230.0-1260.0 sec 3.75 MBytes 1.05 Mbits/sec
[1896] 1260.0-1290.0 sec 3.75 MBytes 1.05 Mbits/sec
[1896] 1290.0-1320.0 sec 3.75 MBytes 1.05 Mbits/sec
[1896] 1320.0-1350.0 sec 3.75 MBytes 1.05 Mbits/sec
[1896] 1350.0-1380.0 sec 3.75 MBytes 1.05 Mbits/sec
[1896] 1380.0-1410.0 sec 3.75 MBytes 1.05 Mbits/sec
[1896] 1410.0-1440.0 sec 3.75 MBytes 1.05 Mbits/sec
[1896] 1440.0-1470.0 sec 3.75 MBytes 1.05 Mbits/sec
[1896] 1470.0-1500.0 sec 3.75 MBytes 1.05 Mbits/sec
[1896] 1500.0-1530.0 sec 3.75 MBytes 1.05 Mbits/sec
[1896] 1530.0-1560.0 sec 3.75 MBytes 1.05 Mbits/sec
[1896] 1560.0-1590.0 sec 3.75 MBytes 1.05 Mbits/sec
[1896] 1590.0-1620.0 sec 3.75 MBytes 1.05 Mbits/sec
[1896] 1620.0-1650.0 sec 3.75 MBytes 1.05 Mbits/sec
[1896] 1650.0-1680.0 sec 3.75 MBytes 1.05 Mbits/sec
[1896] 1680.0-1710.0 sec 3.75 MBytes 1.05 Mbits/sec
[1896] 1710.0-1740.0 sec 3.75 MBytes 1.05 Mbits/sec
[1896] 1740.0-1770.0 sec 3.75 MBytes 1.05 Mbits/sec
[1896] 1770.0-1800.0 sec 3.75 MBytes 1.05 Mbits/sec
[ ID] Interval Transfer Bandwidth
[1896] 0.0-1800.0 sec 220 MBytes 1.03 Mbits/sec
[1896] WARNING: did not receive ack of last datagram after 10 tries.
[1896] Sent 157051 datagrams

C:\ippref>iperf -c server_name -i 30 -t 1800
------------------------------------------------------------
Client connecting to server_name, TCP port 5001
TCP window size: 8.00 KByte (default)
------------------------------------------------------------
[1896] local 192.168.20.172 port 1073 connected with 21.22.22.16 port 5001
[ ID] Interval Transfer Bandwidth
[1896] 0.0-30.0 sec 1.20 MBytes 336 Kbits/sec
[1896] 30.0-60.0 sec 1.13 MBytes 315 Kbits/sec
[1896] 60.0-90.0 sec 1.14 MBytes 319 Kbits/sec
[1896] 90.0-120.0 sec 736 KBytes 201 Kbits/sec
[1896] 120.0-150.0 sec 776 KBytes 212 Kbits/sec
[1896] 150.0-180.0 sec 848 KBytes 232 Kbits/sec
[1896] 180.0-210.0 sec 1.01 MBytes 282 Kbits/sec
[1896] 210.0-240.0 sec 952 KBytes 260 Kbits/sec
[1896] 240.0-270.0 sec 1.09 MBytes 304 Kbits/sec
[1896] 270.0-300.0 sec 992 KBytes 271 Kbits/sec
[1896] 300.0-330.0 sec 1016 KBytes 277 Kbits/sec
[1896] 330.0-360.0 sec 992 KBytes 271 Kbits/sec
[1896] 360.0-390.0 sec 1.03 MBytes 288 Kbits/sec
[1896] 390.0-420.0 sec 1.20 MBytes 336 Kbits/sec
[1896] 420.0-450.0 sec 1.05 MBytes 295 Kbits/sec
[1896] 450.0-480.0 sec 688 KBytes 188 Kbits/sec
[1896] 480.0-510.0 sec 640 KBytes 175 Kbits/sec
[1896] 510.0-540.0 sec 648 KBytes 177 Kbits/sec
[1896] 540.0-570.0 sec 512 KBytes 140 Kbits/sec
[1896] 570.0-600.0 sec 656 KBytes 179 Kbits/sec
[ ID] Interval Transfer Bandwidth
[1896] 600.0-630.0 sec 504 KBytes 138 Kbits/sec
[1896] 630.0-660.0 sec 592 KBytes 162 Kbits/sec
[1896] 660.0-690.0 sec 336 KBytes 91.8 Kbits/sec
[1896] 690.0-720.0 sec 528 KBytes 144 Kbits/sec
[1896] 720.0-750.0 sec 520 KBytes 142 Kbits/sec
[1896] 750.0-780.0 sec 560 KBytes 153 Kbits/sec
[1896] 780.0-810.0 sec 720 KBytes 197 Kbits/sec
[1896] 810.0-840.0 sec 928 KBytes 253 Kbits/sec
[1896] 840.0-870.0 sec 1016 KBytes 277 Kbits/sec
[1896] 870.0-900.0 sec 872 KBytes 238 Kbits/sec
[1896] 900.0-930.0 sec 656 KBytes 179 Kbits/sec
[1896] 930.0-960.0 sec 1.01 MBytes 282 Kbits/sec
[1896] 960.0-990.0 sec 1.02 MBytes 286 Kbits/sec
[1896] 990.0-1020.0 sec 760 KBytes 208 Kbits/sec
[1896] 1020.0-1050.0 sec 664 KBytes 181 Kbits/sec
[1896] 1050.0-1080.0 sec 808 KBytes 221 Kbits/sec
[1896] 1080.0-1110.0 sec 1.16 MBytes 325 Kbits/sec
[1896] 1110.0-1140.0 sec 1.12 MBytes 312 Kbits/sec
[1896] 1140.0-1170.0 sec 984 KBytes 269 Kbits/sec
[1896] 1170.0-1200.0 sec 1.10 MBytes 308 Kbits/sec
[ ID] Interval Transfer Bandwidth
[1896] 1200.0-1230.0 sec 1.10 MBytes 308 Kbits/sec
[1896] 1230.0-1260.0 sec 1.02 MBytes 284 Kbits/sec
[1896] 1260.0-1290.0 sec 824 KBytes 225 Kbits/sec
[1896] 1290.0-1320.0 sec 784 KBytes 214 Kbits/sec
[1896] 1320.0-1350.0 sec 1.00 MBytes 280 Kbits/sec
[1896] 1350.0-1380.0 sec 1.13 MBytes 317 Kbits/sec
[1896] 1380.0-1410.0 sec 1.08 MBytes 301 Kbits/sec
[1896] 1410.0-1440.0 sec 1.19 MBytes 332 Kbits/sec
[1896] 1440.0-1470.0 sec 1.10 MBytes 308 Kbits/sec
[1896] 1470.0-1500.0 sec 1.07 MBytes 299 Kbits/sec
[1896] 1500.0-1530.0 sec 1016 KBytes 277 Kbits/sec
[1896] 1530.0-1560.0 sec 752 KBytes 205 Kbits/sec
[1896] 1560.0-1590.0 sec 1.06 MBytes 297 Kbits/sec
[1896] 1590.0-1620.0 sec 992 KBytes 271 Kbits/sec
[1896] 1620.0-1650.0 sec 1.01 MBytes 282 Kbits/sec
[1896] 1650.0-1680.0 sec 1.05 MBytes 293 Kbits/sec
[1896] 1680.0-1710.0 sec 1.03 MBytes 288 Kbits/sec
[1896] 1710.0-1740.0 sec 1.01 MBytes 282 Kbits/sec
[1896] 1740.0-1770.0 sec 872 KBytes 238 Kbits/sec
[1896] 1770.0-1800.0 sec 912 KBytes 249 Kbits/sec
[ ID] Interval Transfer Bandwidth
[1896] 0.0-1800.3 sec 53.6 MBytes 250 Kbits/sec

[1896] 660.0-690.0 sec 1.44 KBytes 392 bits/sec

Странностей не замечаете?
Для Керио это ОБРЫВ.

Добрый день дорогие друзья!
Подскажите пожалуйста решение вопроса или где "копать":
стоит дома комп у него 2 сетевые карты. одна смотрит в инет, там ip 172.16.100.хх далее к провайдеру. вторая карта смотрит в hub, ставлю адрес 192.168.хх.хх и раздаю инет на бук. всё работает норм) поставил kwf 6.5.0. инет работает. но не могу назначить ip для второй карты, если говорю назначить автоматом - выдаёт, что tcp/ip для данной карты недоступен. если назначаю ip вручную всёравно карта не пингуется и не раздаёт инет. В Керио в интерфейсах этой карты нет( хелп ми плииз. заранне спасибо.

inery
в другой ветке тебе дан ответ.

Люди добрые, подскажите.
Есть внешний маил сервер(gmail.com)
Настраиваю exchange(или bat, outlook) на сервере, где стоит KWF всё намана, на клиентских машинах пишет не видит сервера.
В политиках прописал POP3,IMAP,SMTP(+ ssl ко всем)
->фаервол - локальный
-> локальный - фаервол
->фаервол - инет
-> локальный - инет - NAT
всё равно не пускает.
Инет на пользовательских машинах работает.
(я тоже, как сказал dimm, только учусь, поэтому и прошу помощи)

mihasiki
а ты хоть скажи как клиента настраиваешь...Да и ipconfig /all не помешает.

2 adjuster - Ну если в старой: http://forum.ru-board.com/topic.cgi?forum=8&topic=34299#4 теме не хочешь - помогать наверное в этой поможешь
Напишу все по порядку:
Имеется юзер которому необходима только почта - создал для него группу ICQ
Этот юзер имеет компьютер с шлюзом отличным от винроута --> возможность рулить натом отпадает.
Необходимо настроить что бы группа ICQ захоила в ICQ и QIP через проксю
login.icq.com
5190
https://винроут 3128
Авторизация user
user
И больше эту группу ни куда не пускало

karim2
я и в старой ветке отвечаю.
Тебе нужно:
1. создать ТП правило:
сурс firewall
дест inet
протокол ICQ
пермит

2. Созать HTTP правило:
для пользователя ICQ по адресам (группу IP создай) разрешить.

3. В HTTP политике прописать правило:
для всех (даже не аутентифиц) - заблокировать по *. - поместить правило ниже.

Между этими двумя правилами создать разрешающее правило для других пользователей по разрешенным сайтам.

Спасиб
примерно так я и сделал:
на счет п.1 - я думаю достаточно правила созданного когда- то мастером
source Firewall- desn Inet DNS,FTP,ICQ,DNS,POP3 и т.д - permit.

создал Url группу "ICQ" и вбил туда все хосты куда ломятся ICQ и qip из лог filter

в ШТТП полиси создал Url роль "ICQ" для юзеров группы ICQ и вписал разрешить все объекты Url группы "ICQ"
ниже Url роль "ICQ - запрет для этих юзеров * (все)

Вот.
Может это тоже что и Вы советовали..

Нафига такие извращения? И отчего вы взяли, что если пользователь использует керио в качестве http-прокси, то на него не действуют правила фаэрволла?