Цитата:
попробуй так
не работает
блин, почему в filter.log нет никаких записей????????
» Настройка Kerio Winroute серии 5.x и 6.х (часть 2)
Цитата:
не работает
блин, почему в filter.log нет никаких записей????????
а что ты пыиаешься пробросить?
Добавлено:
кстати брандмауэры везде отключены? они могут всю малину обсерать
Добавлено:
кстати брандмауэры везде отключены? они могут всю малину обсерать
Опа!
Правило:
Source Destination Service Action Translate to
Any Firewall TCP 7110 Разрешить 192.168.0.1:110
XX.XXX.114.146
такое правило тоже не пашет, хотя по 110-му все куль!
что-то с мапом могет быть?
Правило:
Source Destination Service Action Translate to
Any Firewall TCP 7110 Разрешить 192.168.0.1:110
XX.XXX.114.146
такое правило тоже не пашет, хотя по 110-му все куль!
что-то с мапом могет быть?
а что за порт 7110?
Добавлено:
стукнись ко мне в аську
Добавлено:
стукнись ко мне в аську
Цитата:
у меня же создаётся впечатление что тут многого не понимают в принципах действия винроута
да понимают. соединение откуда куда и по какому порту...
это понятно. остальные-то вещи я в фаере настроил и они работают не первый месяц, а тут вот столкнулся с портмапом и пошли траблы.
до этого в принципе на все вопросы по винруту смело можно было послать просто в мануал.
что-то я не понял что у тебя в Destination
почему там внутренний айпишник?
Добавлено:
у тебя радмин в сети используется?
если да то сделай проброс для радмина и проверь, у тебя есть возможность откуда нить из инета попробовать радмином подконнектится?
Добавлено:
лучше всего радмином проверять работоспособность а потом уже по его образу и подобию настраивать остальные правила
Добавлено:
сделай новое правило для проброса извне и не надо всё в кучу пихать для начала
и в Destination ставь не фаер а именно внешний айпишник
почему там внутренний айпишник?
Добавлено:
у тебя радмин в сети используется?
если да то сделай проброс для радмина и проверь, у тебя есть возможность откуда нить из инета попробовать радмином подконнектится?
Добавлено:
лучше всего радмином проверять работоспособность а потом уже по его образу и подобию настраивать остальные правила
Добавлено:
сделай новое правило для проброса извне и не надо всё в кучу пихать для начала
и в Destination ставь не фаер а именно внешний айпишник
Цитата:
почему там внутренний айпишник?
это я транслейт писал... съехал малехо при написании.
Цитата:
у тебя радмин в сети используется?
поставим если нуна.
Цитата:
есть возможность откуда нить из инета
нет
разве что если тебя попросить 
короче стучись в аську щас тебе всё сделаем
147913000
Добавлено:
Source Destination Service Action Translate to
Any Firewall TCP 7110 Разрешить 192.168.0.1:110
XX.XXX.114.146 эта строчка ни к чему не относится и мап на неё не действует
147913000
Добавлено:
Source Destination Service Action Translate to
Any Firewall TCP 7110 Разрешить 192.168.0.1:110
XX.XXX.114.146 эта строчка ни к чему не относится и мап на неё не действует
knyshow2
Что прописано в роутинге файера?
Добавлено:
SHRIKE74
Кстати, маппинг я тоже начинаю настраивать с "чистого листа" с помощью радмина...
Что прописано в роутинге файера?
Добавлено:
SHRIKE74
Кстати, маппинг я тоже начинаю настраивать с "чистого листа" с помощью радмина...
Вобщем, насколько я понял SHRIKE74 у меня ничего не получится.
У меня подключение через АДСЛ-мопед, который общается с компутером по локалке, которой он соединен со второй сетевой картой шлюза.
У мопеда на его сетевом интерфейсе ип 192.168.1.1, у компутера на сетевой, к которой подключен мопед - 192.168.1.2.
Инет через РРРоЕ как я уже говорил, но РРРоЕ создаю я, а не мопед.
Как оказалось, это тоже важное обстоятельство.
Так вот, нужно чтобы мопед делал портмап нужных мне портов на компутер, а он этого не умеет.
Может у кого есть еще какие идеи?
ЗЫ: SHRIKE74 спасибо за помощь и консультацию!
У меня подключение через АДСЛ-мопед, который общается с компутером по локалке, которой он соединен со второй сетевой картой шлюза.
У мопеда на его сетевом интерфейсе ип 192.168.1.1, у компутера на сетевой, к которой подключен мопед - 192.168.1.2.
Инет через РРРоЕ как я уже говорил, но РРРоЕ создаю я, а не мопед.
Как оказалось, это тоже важное обстоятельство.
Так вот, нужно чтобы мопед делал портмап нужных мне портов на компутер, а он этого не умеет.
Может у кого есть еще какие идеи?
ЗЫ: SHRIKE74 спасибо за помощь и консультацию!
knyshow2
поробуй раздобыть где нить обычным момед и с ним всё сделай, благо момеды щас дешовые есть, кстати а попробуй сделать правило как и делали но только в дестинейшн поставь свой шлюзовой внешний который 1.2
а вдруг момед автоматом сам всё перенаправляет
поробуй раздобыть где нить обычным момед и с ним всё сделай, благо момеды щас дешовые есть, кстати а попробуй сделать правило как и делали но только в дестинейшн поставь свой шлюзовой внешний который 1.2
а вдруг момед автоматом сам всё перенаправляет
knyshow2
Source Destination Service Action Translate to
Dial-UP Firewall RDP Разрешить 192.168.0.2
PPTP
GRE
Source Destination Service Action Translate to
192.168.0.2 Dial-UP Разрешить NAT (Default)
PPTP
GRE
Насколько я понял Dial-Up это PPPoE интерфэйс? Если так, то предлагаю попробовать вышенаписанные правила. В поле Translate to, в первом правиле ничего кроме внутреннего IP не должно быть. В сервисы нужно добавить протокол маршрутизации GRE. И ещё - включи лог для правлиа "по умолчанию" - самое последнее правило, тогда будеш видеть всё, что блокируется в разделе filter.
Source Destination Service Action Translate to
Dial-UP Firewall RDP Разрешить 192.168.0.2
PPTP
GRE
Source Destination Service Action Translate to
192.168.0.2 Dial-UP Разрешить NAT (Default)
PPTP
GRE
Насколько я понял Dial-Up это PPPoE интерфэйс? Если так, то предлагаю попробовать вышенаписанные правила. В поле Translate to, в первом правиле ничего кроме внутреннего IP не должно быть. В сервисы нужно добавить протокол маршрутизации GRE. И ещё - включи лог для правлиа "по умолчанию" - самое последнее правило, тогда будеш видеть всё, что блокируется в разделе filter.
Kokos06 не хотит
knyshow2
Лог включил на последнем правиле? В filter что пишет при попытках подключиться?
Добавлено:
knyshow2
кстати, протокол инспектор для РРТР выключи
Лог включил на последнем правиле? В filter что пишет при попытках подключиться?
Добавлено:
knyshow2
кстати, протокол инспектор для РРТР выключи
knyshow2
Я верхним топиком как-раз и говорил, что подключаться нужно рутером.
Кстати, посмотри свой первый топ. У тебя АДСЛ транслирует внутренний адрес через NAT мопеда во внешний ХХ.ХХ.ХХ.хх адрес. Настрой в мопеде правильно таблицу маршрутизации. Каллисто небось стоит?;) В инете есть описалово как правильно настроить...
Я верхним топиком как-раз и говорил, что подключаться нужно рутером.
Кстати, посмотри свой первый топ. У тебя АДСЛ транслирует внутренний адрес через NAT мопеда во внешний ХХ.ХХ.ХХ.хх адрес. Настрой в мопеде правильно таблицу маршрутизации. Каллисто небось стоит?;) В инете есть описалово как правильно настроить...
Цитата:
если по 3389 (RDP) - открывается консоль машины с KWR
Я так понимаю, что это при подключении на ХХ.ХХХ.114.146 ?
Значит с модемом ничего делать не нужно, он скорее всего работает в режиме бриджа, в данном случае это оптимальный вариант. Нужно лишь правильно настроить портмаппинг в KWR.
Я сознаю, что мой вопрос больше относится к теме маршрутизации но всетаки хотелось бы услышать ответ:
Есть Локальная Сеть Состоящая из 2 сегментов 192.168.0.X и 192.168.1.X
В сети 192.168.0.X есть интеренет подключен через 192.168.0.10 - стоит Kerio WinRoute Pro 6.0
Стоит задача дать инет только одной машине из сети 192.168.1.X, (причем она больше не будет в остальной сети 192.168.1.X) понятно что я могу поставить 2 сетевую карточку и дать адресс из диапазона первой сети, но хотелось бы использовать встроенный VPN сервер и соттветственно VPN клиента, при этом чтобы машины оставались в разных подсетях и не видели друг друга, по этому вопрос если я подключу машину с интерфейсом 192.168.1.1 в свитч в который подключен 192.168.0.100(мой шлюз)
как мне надо настроить маршрутизацию на 1 и 2 й машинах чтобы я смог использовать VPN сервер (смысл вопроса если я подключу то вообще пакеты с 192.168.1.1 будут попадать на 192.168.0.100 хотелось бы чтобы машины были в разных сетях чтобы не видели ресурсы друга так как фирмы разные)
Есть Локальная Сеть Состоящая из 2 сегментов 192.168.0.X и 192.168.1.X
В сети 192.168.0.X есть интеренет подключен через 192.168.0.10 - стоит Kerio WinRoute Pro 6.0
Стоит задача дать инет только одной машине из сети 192.168.1.X, (причем она больше не будет в остальной сети 192.168.1.X) понятно что я могу поставить 2 сетевую карточку и дать адресс из диапазона первой сети, но хотелось бы использовать встроенный VPN сервер и соттветственно VPN клиента, при этом чтобы машины оставались в разных подсетях и не видели друг друга, по этому вопрос если я подключу машину с интерфейсом 192.168.1.1 в свитч в который подключен 192.168.0.100(мой шлюз)
как мне надо настроить маршрутизацию на 1 и 2 й машинах чтобы я смог использовать VPN сервер (смысл вопроса если я подключу то вообще пакеты с 192.168.1.1 будут попадать на 192.168.0.100 хотелось бы чтобы машины были в разных сетях чтобы не видели ресурсы друга так как фирмы разные)
помогите пожалуйста, с некоторого времени начала создаваться такая картина:
стоит Kerio WinRoute Firewall 6.2.3
на машине на которой WinRoute инет открывается на ура, а вот у пользователей чудит
некоторые страницы открывает очень долго, потом загружает, а некоторые и вовсе "DNS Lookup filed"
пробывала dns forwarding выставлять и в "известный системе" и "конкретные адреса днс"
стоит Kerio WinRoute Firewall 6.2.3
на машине на которой WinRoute инет открывается на ура, а вот у пользователей чудит
некоторые страницы открывает очень долго, потом загружает, а некоторые и вовсе "DNS Lookup filed"
пробывала dns forwarding выставлять и в "известный системе" и "конкретные адреса днс"
ребята помогите пустить BitComet 0.82 через KWF 6.2.3. порт прослушивания 20464 на BitComet-е. Сеть обычная без домена, Comet стоит на клиентской машине, керио настроен на работу без НАТ-а, включен ХТТП-прокси. заранее благодарен.
Azick
Цитата:
не будер работать...
сделай NAT из своей машины в инет ...
(IP машины) - internet - any permit (NAT)
и сделай порт маппинг TCP.UDP 20464 на свою машину
internet - firewall - TCP.UDP 20464 permit NAT MAP (IP машины)
Цитата:
керио настроен на работу без НАТ-а, включен ХТТП-прокси. заранее благодарен.
не будер работать...
сделай NAT из своей машины в инет ...
(IP машины) - internet - any permit (NAT)
и сделай порт маппинг TCP.UDP 20464 на свою машину
internet - firewall - TCP.UDP 20464 permit NAT MAP (IP машины)
Mikes
щл пасибо, но я уже разобрался, мне надо было просто протокол инспектор убрать, но всеравно попробую и с порт маппингом, ато я как последний ламер открыл все порты
но вот еще одна проблемка, mIRC не хочет работать через Винрут, вроду сервис поставил в политику, всеравно не идет коннект. mIRC пишет "Firewall: CLosed connection"
щл пасибо, но я уже разобрался, мне надо было просто протокол инспектор убрать, но всеравно попробую и с порт маппингом, ато я как последний ламер открыл все порты
но вот еще одна проблемка, mIRC не хочет работать через Винрут, вроду сервис поставил в политику, всеравно не идет коннект. mIRC пишет "Firewall: CLosed connection"
Выпускание только аутентифицированных пользователей через NAT. КАК?
KWF 6.2.2b1746, два интерфейса, LAN и Inet.
Задача: созданы пользователи и каждому из них в настройках указан IP для автологина. В Traffic Policy создано правило:
----------
Authenticated Users->Inet->Any->allow->Nat Default interface
----------
настройки:
1) Users->Authentication options->web authentication->[x] Always require...
2) Advanced options->web интерфес разрешен.
итак, пока пользователь не обратится к http (или ftp?) - firewall будет игонрировать любые другие запросы. как же заставить аутентифицировать по любому трафику по IP? ;(
p.s. защита от подмены ip - не интересует.
KWF 6.2.2b1746, два интерфейса, LAN и Inet.
Задача: созданы пользователи и каждому из них в настройках указан IP для автологина. В Traffic Policy создано правило:
----------
Authenticated Users->Inet->Any->allow->Nat Default interface
----------
настройки:
1) Users->Authentication options->web authentication->[x] Always require...
2) Advanced options->web интерфес разрешен.
итак, пока пользователь не обратится к http (или ftp?) - firewall будет игонрировать любые другие запросы.
как же заставить аутентифицировать по любому трафику по IP? ;( p.s. защита от подмены ip - не интересует.
Два компа
10.74.64.28 установлен керио винроат и доступ в интернет по локалке через NAT
10.74.64.11 второй комп, прописаны основной шлюз и днс 10.74.64.28
На 10.74.64.28 все ОК
На 10.74.64.11 не работает ICQ и невозможно заходить на сайты с редиректом (google, gmail)
Где искать косяк?
Traffic Policy вот:
Помогите пожалуйста, сам замучался
10.74.64.28 установлен керио винроат и доступ в интернет по локалке через NAT
10.74.64.11 второй комп, прописаны основной шлюз и днс 10.74.64.28
На 10.74.64.28 все ОК
На 10.74.64.11 не работает ICQ и невозможно заходить на сайты с редиректом (google, gmail)
Где искать косяк?
Traffic Policy вот:
Помогите пожалуйста, сам замучался
ka82
пропиши днс провайдера на втором компе
пропиши днс провайдера на втором компе
Имеем выделенный adsl с выделенным ip. В сети стоит внутренний dns и dhcp. В dhcp прописано не выдавать ip на 172.16.0.1
-он зарезирвирован за машиной с Керио. И в качестве днс указаны 172.16.0.1 и 172.16.0.4 и днс провайдера(3 штуки). Фаирвол,6-ка, поставлен на отдельной машине. Машина с 2003 английским сервером. Сервер контроллером домена не является. На карточке смотрящей в инет(Inet) прописано:
Ip-выделенный ip
Маска - 255.255.255.0
Gate - IP adsl модема
Prefer dns 194.8.160.90
На карточке смотрящей в локалку прописано(Local):
Ip-172.16.0.1
Маска - 255.255.255.224
Prefer dns 194.8.160.90
Secondary dns 172.16.0.4(адрес машины с dns и dhcp)
В керио включены следующие правила
И включен dns форвандинг
С шлюзовой машинки в инет ходится на ура с фаерволом и без
С машинки из локалки инет не идет.
Пинг на 172.16.0.1
- идет и иедт ан выделнный ip
ip adsl модема не пингуется, dns провайдера-не пингуется.
Пробовал на машинках прописать настройки tcpip, указывая в качестве шлюза 172.16.0.1
Трассировку пока не делал. Грешу на днс или правила керио.
В чем ошибка?
-он зарезирвирован за машиной с Керио. И в качестве днс указаны 172.16.0.1 и 172.16.0.4 и днс провайдера(3 штуки). Фаирвол,6-ка, поставлен на отдельной машине. Машина с 2003 английским сервером. Сервер контроллером домена не является. На карточке смотрящей в инет(Inet) прописано:
Ip-выделенный ip
Маска - 255.255.255.0
Gate - IP adsl модема
Prefer dns 194.8.160.90
На карточке смотрящей в локалку прописано(Local):
Ip-172.16.0.1
Маска - 255.255.255.224
Prefer dns 194.8.160.90
Secondary dns 172.16.0.4(адрес машины с dns и dhcp)
В керио включены следующие правила
И включен dns форвандинг
С шлюзовой машинки в инет ходится на ура с фаерволом и без
С машинки из локалки инет не идет.
Пинг на 172.16.0.1
- идет и иедт ан выделнный ip
ip adsl модема не пингуется, dns провайдера-не пингуется.
Пробовал на машинках прописать настройки tcpip, указывая в качестве шлюза 172.16.0.1
Трассировку пока не делал. Грешу на днс или правила керио.
В чем ошибка?
Имеется Kerio 6.22, Skype вроде через него звонит, но очень уж погано, все время слетает либо булькает. Кто поможет с настройкой?
Africa2004
у меня такая же версия керио и скайп прекрасно работает, мож канал перегружен у тебя? правда у меня 10 мегабит и поэтому всё прекрасно
у меня такая же версия керио и скайп прекрасно работает, мож канал перегружен у тебя? правда у меня 10 мегабит и поэтому всё прекрасно
У меня канал 1Mbit но на нем я один, заметил что а дебаге skype пишет local bad remote bad - думаю это порты закрыты - кто подскажет точную конфу для Kerio?
obtim, в правиле NAT поставь трансляцию на интерфейс, к которому подключен модем
SHRIKE74
stepplers
Kokos06
Есть продолжение моих постов в этой теме...
вобщем путем долгого играния со своими машинками.... пришел к тому, что на 192.168.0.1 (которая смотрит наружу) был поставлен 2к3 сервак, на нем поднят RRAS только для ВПН. ВПН на машину идет идеально извне.
Пул внутр. адресов выделен из диапазона 192.168.2.1 - 192.168.2.10 (1-й ип получает сервак, а оставшиеся 9 для клиентов, чего вполне достаточно.)
Теперь така трабла - у мну нехватат ума решить вопрос с маршрутизацией:
подключаюсь по ВПН, получаю ИП 192.168.2.2. С этой машины успешно пинаю всю подсетку 192.168.2.0, но не могу пнуть 192.168.0.0... естессно не могу подключиться по RDP к 192.168.0.2
Помогиииииите плиз.
Цитата:
оно самое. есть опыт секса с ним?
Цитата:
даааа.
Цитата:
Добавлено:
Кстати, я пробовал играться до переустановки с другими мопедами.... один был SPEEDSTREAM 5200 от сименса, второй - не помню какой. Вся малина та же.
Добавлено:
упс, сорь, этот вопрос уже мабуть не сюда...
stepplers
Kokos06
Есть продолжение моих постов в этой теме...
вобщем путем долгого играния со своими машинками.... пришел к тому, что на 192.168.0.1 (которая смотрит наружу) был поставлен 2к3 сервак, на нем поднят RRAS только для ВПН. ВПН на машину идет идеально извне.
Пул внутр. адресов выделен из диапазона 192.168.2.1 - 192.168.2.10 (1-й ип получает сервак, а оставшиеся 9 для клиентов, чего вполне достаточно.)
Теперь така трабла - у мну нехватат ума решить вопрос с маршрутизацией:
подключаюсь по ВПН, получаю ИП 192.168.2.2. С этой машины успешно пинаю всю подсетку 192.168.2.0, но не могу пнуть 192.168.0.0... естессно не могу подключиться по RDP к 192.168.0.2
Помогиииииите плиз.
Цитата:
Каллисто небось стоит?;)
оно самое. есть опыт секса с ним?
Цитата:
Значит с модемом ничего делать не нужно, он скорее всего работает в режиме бриджа, в данном случае это оптимальный вариант.
даааа.
Цитата:
Нужно лишь правильно настроить портмаппинг в KWR.варианты перепробовали - ничего хорошего не получилось. но теперь-то и не актуально - ВПН на хх.ххх.114.146 поднят.
Добавлено:
Кстати, я пробовал играться до переустановки с другими мопедами.... один был SPEEDSTREAM 5200 от сименса, второй - не помню какой. Вся малина та же.
Добавлено:
упс, сорь, этот вопрос уже мабуть не сюда...
Страницы: 1234567891011121314151617181920212223242526272829303132333435363738394041424344
Предыдущая тема: ЦФТ ИБСО (IBSO)
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.