» Настройка Kerio Winroute серии 5.x и 6.х (часть 2)

Стоит Kerio WinRoute Firewall 6.7.1 6399 Windows XP
есть локальная сеть (доверенная раздается по DHCP)
плюс 2 внешних сети
в локальной сети есть несколько игровых серверов (отдельные машины) на них по портам(в зависимости от номера) мапится, все работает нормально.

Понадобилось подключить еще одну машину которая находится во внешней сети 1
там тоже керио стоит,
связал машины по Kerio VPN тунелем (в маршрутах указал какие машины должны видется)
пинги с машин где керио стоит нормально проходят, с локальной сети указал в правилах разрешив доступ в тунель - тоже все нормально.

А вот со внешних сетей проблема, появилась,
как обычно указывать маппинг на адрес не получается, приходится еще и нат включать.
тогда все видится НО сервер видит не адрес машины с которой коннектится а адрес шлюза VPN сервера.

Подскажите как зделать так чтоб ip адреса видно было...

lizun

Цитата:

Или что имелось в виду?

Я имел ввиду настройки KWF -как балансировка.

Signer

Цитата:

А вот со внешних сетей проблема, появилась,
как обычно указывать маппинг на адрес не получается, приходится еще и нат включать.
тогда все видится НО сервер видит не адрес машины с которой коннектится а адрес шлюза VPN сервера.

Такое бывает.
Покажи скрин этого самого правила.

Цитата:

Понадобилось подключить еще одну машину которая находится во внешней сети 1
там тоже керио стоит,
связал машины по Kerio VPN тунелем (в маршрутах указал какие машины должны видется)
пинги с машин где керио стоит нормально проходят, с локальной сети указал в правилах разрешив доступ в тунель - тоже все нормально.

А вот со внешних сетей проблема, появилась,
как обычно указывать маппинг на адрес не получается, приходится еще и нат включать.
тогда все видится НО сервер видит не адрес машины с которой коннектится а адрес шлюза VPN сервера.

тоесть как я понял
есть ваша локальная сеть с выходом в интернет через керио
есть другая локальная сеть (сеть 1) тоже с выходом в интернет через керио
вы сделали между ними туннель и правило которое маппит определенный порт с вашего керио на сервер в сети 1 за чужим керио через vpn туннель
если это так то добиться чтобы работал MAP без NAT практически невозможно потому что у второго керио свой дефолтный маршрут и ответы на пакеты от внешних пользователей пришедшие по туннелю он не отправляет обратно а шлет через свой дефолт.

adjuster
...эээ чтоб быть точнее


192.168.0.0-254 - моя локалка висит на виртуальной сетеовй ESX сервера(ип раздается по DHCP корио на основной машине)
10.99.0.0 -10.111.0.0 - первая внешняя сеть (вней есть машина накоторую я впн кинул) подключена по сетевой 1 к основной машине
10.222.0.0 -10.222.255.255 и 192.168.100.0-192.168.255.255 вторая внешняя сеть под подключена по сетевой 2к основной машине

если сервак включить в диапазоне локали то ип обоих сетей определяются нормально, мапится на ип без проблем в зависимости от порта, если я пытаюсь отправить на другую машину то для доступа нужен нат плюс ип видет толкл шлюза(((

Цитата:

192.168.0.0-254 - моя локалка висит на виртуальной сетеовй ESX сервера(ип раздается по DHCP корио на основной машине)
10.99.0.0 -10.111.0.0 - первая внешняя сеть (вней есть машина накоторую я впн кинул) подключена по сетевой 1 к основной машине
10.222.0.0 -10.222.255.255 и 192.168.100.0-192.168.255.255 вторая внешняя сеть под подключена по сетевой 2к основной машине

короче без картинки не разобраться.

2003 сервер, локалка провайдера 10.х.х.х плюс впн для внешки, Керио 6.5.2, запущен керио впн сервер, правило нат создано, но впн клиент не ходит в инет, до этого нормально ходили через виндовый впн. Подскажите как настроить Керио впн сервер, чтобы клиенты ходили в инет, клиенты поднимают впн по локалке провайдера, пробовал на семерке, маршрут 0.0.0.0 на сервер впн с метрикой 247, прописывао вручную с метрикой 1, все равно запросы идут через локальный шлюз.

zet1
вы хотите раздать интернет, вашим локальным пользователям через Kerio VPN?

нет не локальным, а подключеным к локалке провайдера, юзеры сидят дома, все подключены к одному провайдеру, получают по DHCP адреса вида 10.x.x.x 172.16.x.x доступ во внешку по впн, на 2003 сервере был виндовый впн, в керио правило нат для диал-ин клиентов, хочется обойтись без виндового впн сервера.

Привет! Помогите пробросить порты! Керио не дает пробраться к адресу 80.82.47.129 нужны порты 6000, 6010, 6020 Керио 6.7.1 и виндоуз сервер 2003! Заранее спасибо!

Ребят, ну помогите! Очень нужна эта прога!

Создай правило:
Иcтoчник: <твой IP или сеть>
Haзнaчeниe: 80.82.47.129
Cлyжбa: TCP 6000
TCP 6010
TCP 6020
Дeиствие: Разрешить
Tpaнcляция: NAT

Как правильно организовать выход в интернет, если один интернет-шлюз (adsl-router) и второй (Kerio) находятся в одной локальной сети, и для компьютеров этой сети должен быть виден только второй (т. е. доступ в интернет регулирует Kerio). Я не уверен можно ли ограничить на моем adsl-router’е подключения только с одного адреса, поэтому лучшим решением было бы подключение его прямо ко второму шлюзу. Но как тогда быть с маршрутизацией? Ведь на сервере Kerio получится два интерфейса из одной сети, но через один попадаем собственно в локальную сеть, а через второй только в интернет. Сделал запись в таблице маршрутизации, направляющую трафик к adsl-router’у через соответствующий интерфейс. Но обнаружилось, что некоторые сайты неправильно отображаются (например, каталог на сайте с несколькими страницами 1, 2, 3, … при нажатии на номер страницы ничего не происходит).

Здравствуйте. Помогите с траблой:
Стояла машина с 2-мя сетевыми интерфейсами (один – в локалку смотрит, второй – на провайдера, назовем его ISP1). Раздача инета осуществляется через KWF 6.7.1. Так же на этой же машине стоит поднят почтовый серв на MDaemon 10.0.5. МХ запись почтаря прописана у ISP1. Недавно добавился второй пров (ISP2).
Проблема состоит в том, что, при включенном интерфейсе ISP2, мне не заставить ходить почту через ISP1 (в логе почты вываливается сообщение: Resolving MX records for [mail.ru] (DNS Server: DNS ISP2)...).
Правила для почты такие (правило "4mail"):


Пробовал ставить в правиле "4mail"в назначение «Любой» - эффект нулевой.

отключаю интерфейс второго провайдера - почта уходит нормально (с нужного IP)

VarelkaM
версия KWF какая?

KWF 6.7.1.

Забыл сказать - в интерфейсах поставил распределение нагрузки, ISP1 поставил скорость 100 Мб/с, ISP2 - 0 Мб/с


Все, вопрос снят. "Дело было не в бобине".
как решил: удалил из виндовых настроек интерфейса ISP2 записи DNS серверов и все заработало

Позвольте повторить вопрос: как правильно настроить сетевые интерфейсы сервера где установлен Kerio и сам Kerio, если:
интернет-шлюз (adsl-роутер) находится в той же сети (имеет тот же сетевой адрес), что и компьютеры с которых нужно организовать доступ в интернет через сервер Kerio?

Ochitok

Цитата:

Позвольте повторить вопрос: как правильно настроить сетевые интерфейсы сервера где установлен Kerio и сам Kerio, если:
интернет-шлюз (adsl-роутер) находится в той же сети (имеет тот же сетевой адрес), что и компьютеры с которых нужно организовать доступ в интернет через сервер Kerio?

Сделай адрес модема и одной сетевой карты компа с керио из другой подсети. А юзерам в локалке пропиши шлюзом адрес керио из старой сети. ну, а затем уж рули правилами в керио...

Объясните пожалуйста пару вопросов:

1. Прокси сервер на Керио отключен. Выход в Интернет для локалки работает. Что дает использование Керио как прокси сервера?

2. Включаю непрозрачный прокси. В этом случае на клиентских машинах в настройках браузера должен быть прописан адрес прокси сервера и порт, но у меня клиентские машины выходят в Интернет без указания адреса прокси и номера порта. Это нормально или я что то недонастроил?

Ochitok

Цитата:

Позвольте повторить вопрос: как правильно настроить сетевые интерфейсы сервера где установлен Kerio и сам Kerio, если:
интернет-шлюз (adsl-роутер) находится в той же сети (имеет тот же сетевой адрес), что и компьютеры с которых нужно организовать доступ в интернет через сервер Kerio?

Позвольте ответить второй раз - в таком случае можно использовать только HTTP прокси.

4kusnik

Цитата:

но у меня клиентские машины выходят в Интернет без указания адреса прокси и номера порта.

Это все потому, что в NAT есть правило Internet LAN (NAT), которое разрешает всем из локалки в инет выходить.

Спецы помогите, столкнулся с проблемой регистрации на сайтах когда нажимаешь кнопку "Зарегитрироваться" появляется "Не возможно отобразить страницу", без керио все работает.

AstanarU
скриншот настроек кеша прокси сервера, и версия по какая?

версия 6,7

Добавлено:
Tihon_one
Kerio WRF 6.7. Где найти этот кеш прокси чтоб его зафоткать)))?? Я так понимаю идет потеря коннекта с сервером

Добавлено:
Нашел кеш, сделал дамп, но сайта на котором я регистрируюсь там нет (дамп делал * полный)

AstanarU
Проверяется просто:
Сравниваешь при остановленном и запущенном KWF с машины KWF регистрацию.

Народ. Как у него сейчас обстоят дела с работой SSH через Kerio VPN? Раньше знаю были проблемы из за размера пакетов. Обещали пофиксить.

beladmin
У меня нет SSH сервака, но есть KC - если есть желание проверить, то можно организовать KerioVPN между твоим и моим серваком и проверить данное высказывание.
Пиши в аську 212___65O___358

Ребят, нужна помощь. Кто встречался с такой проблемкой.

керио-vpn в упор стало отказываться подключаться.

Логи с керио.

[11:01:42] GrAtski: [23/Jun/2010 12:28:31] (11005) IPS rules update check failed: Server returned '(250) Invalid product license - IP 87.252.230.56 logged for further investigation.'.

[28/Jun/2010 09:19:58] (1012) Particular network traffic lost or was modified by conflicting software or Kerio Control driver disabled on some interface!

версия керио 7.0.0 RC2 build 630.

что посоветуете? Kerio Web filter отключен.


вопрос уже снят, т.е риторический. После танцев с бубном заработало - но почему и как, не понял) То-ли серверный касп что-то зажевал, то-ли dyndns приглючило. Если можно дайте ответ те, кто знает по какой причине могли возникнуть проблемы.

beladmin
adjuster
у меня есть ssh за серваком, коннектится вроде ровно, какие конкретно проблемы были-то раньше?

GrAtski

Цитата:

Invalid product license

Может стоит обратить на это внимание?

Tihon_one

Цитата:

у меня есть ssh за серваком, коннектится вроде ровно

ну, тогда не стоит даже проверять - раз нет проблем с SSH.

Цитата:

GrAtski

Цитата:
Invalid product license

Может стоит обратить на это внимание?

К сожелению не в этом дело. С лицензией на серверной части всё чики-пуки. Дело скорее всего было в dyndns или ... или.. или вот не знаю. Коннекты я поднял, т.е. керио-впн снова работает только в душе не представляю в чём дело было.
Мне хотя бы симптомы таких вот вещей услышать от тех, кто уже сталкивался.

интернет-банкинг "банка москвы" и керио. Банкинг не работает порты разрешены все! Инета в сетке нет вообще, выйти можно только через прокси. Сталкивался кто с проблемой?