» Настройка Kerio Winroute серии 5.x и 6.х (часть 2)

maskwell

Цитата:

Инета в сетке нет вообще, выйти можно только через прокси. Сталкивался кто с проблемой?

))))
Читаем подпись.

Дествительно впопыхах фигню написал.
Итак "Банк Москвы" Интернет-банкиг работает через web-интерфес на яве. Подключен через Kerio winroute с стандартными настройками. Все порты и сервисы разрешены. После загрузки апплетов и проверки ключей подключения не происходит:




Прошу совет - где копать?

Добавлено:
Кажись я с картинками чет не так сделал



http://img571.imageshack.us/img571/3084/bank2.jpg

Добавлено:
Traffic Policy

maskwell
Повезло - у меня такой же банк

Правило вида:
сурс IP машины с банк-клиентом
дест INET
протокол HTTP/HTTPS/ TCP/UDP=55777
NAT

как настроить NAT, если комп и прокся находятся в различных подсетях.

Имеется Керио 6.7.1-6399

Для нета я использую VPN-L2TP подключение. Дело в том что Керио с этим видом соединения работает как-то не полностью. То есть нельзя управлять дозвоном, дисконнектом, дозвоном по требованию и т.д. Нужно все время подключать вручную через винду. Имеются ли какие способы обхода ?
Может быть Керио имеет собственное средство VPN дозвона, но че то я не нашел.

Извиняюсь заранее за возможно не очень компетентно заданный вопрос

У меня возник наверное самый ламерский вопрос, но прошу не смеяться, все когда то начинали вот и я начинаю... возникла как то у меня идея и сейчас хочу ее воплотить...
есть подключение к инету R1, он связан с VPN маршрутизатором R2, далее идет сеть! R1 = 192.168.0.1/24 соединен через WAN порт с R2 = 192.168.0.2/24, ну и далее настройки сети получаются для машин следующие 192.168.0.х/24 Основной шлюз=192.168.0.2 ДНС=192.168.0.2...
Хочу теперь поставить прокси между хабом и роутерами. Как быть?
Установил Kerio WinRoute 6.7.1, на компе две сетевухи одну сделал 192.168.0.100/24 с основным шлюзом и днс = 192.168.0.2, и теперь застрял, не знаю как настроить вторую сетевуху.
Конечно было бы проще разделить на две подсети и разделять локальную сеть от точка-точка к инету... Но я хочу оставить всю маску подсети прежней /24. то бишь чисто физически кабель воткнут в WiMax антенну, оттуда в дозвонщик роутер, который через WAN соединен с VPN роутером, который передаст эстафету Kerio и дальше распределение на все компы в сети.

p.s прошу не советовать поднять VPN на Kerio, потому что убежденно пользуюсь аппаратным VPN и менять его не буду;)

Подскажите кто знает!
Что нужно открывать для Exchange 2007, чтобы удаленные пользователи могли коннектиться по RPC Outlookами?

HTTPS на сайт с exchange client access.

Цитата:

HTTPS на сайт с exchange client access.

то есть "Интернет" к "фаервол", https, трансляция на 192.168.0.34 (машина с exchange)?

Верно!

Господа, у меня слишком высокая загрузка CPU, что бы это значило?



Если остановить скачивание, загрузка моментально падает.
Скорость скачивания, как видите, не высока, около 2,5 Мб/с.
Используется PPTP. WinRoute 6.6.0. Windows 2003. Железо - 3 МГц Celeron.
Отключение встроенного антивируса (как советовали выше) ничего не дало.

Можно ли как-то уменьшить нагрузку на процессор?

Посмотри количество соединений. Торренты и на 2,5 мб могут 5 тыщ соединений открыть... И загрузить хоть что.

Не торренты; это видно на скриншоте выше. Обычная загрузка с FTP, не более 10 потоков одновременно.

Но даже если принудительно сделать 1 поток, ничего не изменяется:


(eMule не запущен, это кто-то продолжает в Kad стучаться).

* * *

UPD: По сабжу вообще отбой. Я отключил ВинРут, убрал из интерфейсов его драйвера. Нагрузка на процессор при скачивании осталась.
Что же это такое? Сетевухи? Туннель? Материнка?

Когда запускаешь скачивание, видно в таск-менеджере, что загрузку процессора вызывает то приложение, которое качает.
Но! Большая часть загрузки "красная" (работа в ядре ОС). Т.е., на самом деле грузит не приложение, а какая-то часть операционки...

Привет, такая проблема:
Стоит мой сервер с керио одним интерф смотрит в инет другим в локалку, но в интернет он смотрит только региональный *.by для внешнего инета нужно ходить через проксик поставщика инета, поэтому я поднял прокси на керио у себя (вроде как каскадный прокси организовал). Инет есть и работает. Не знаю как прописать правила чтоб ограничивать доступ в инет из локалки для отдельных пользователей. В группах адресов снимаю галку инет у клиента отрубается только региональный, а внешний работает. Только пущу сервер в интернет так у всех сразу инет появляется. Не могу найти стандартные правила для моего случая. Пошлите меня куда следует... (((

Всем привет!
Помогите с такой вот ситуацией:

Что имеем:
- Керио ВинРоут 6.7.1
- поднят прокси через порт 8080
- у всех в браузерах он прописан и заходят на него без аутентификации
- учетные записи в керио есть только у vpn-клиентов
- В правилах сказано что:
1. все в локалке имеют доступ к прокси-серверу по всем портам
2. прокси-сервер имеет доступ в инет по определённым портам

Что нужно:
- ограничить доступ к одному сайту только некоторым хостам в локалке


Я сделал группу URL и применить ее, она не срабатывает. Потом я добавил правило "от хоста" до "сайта" всё закрыть - не работает. Потом сделал от прокси-сервера до сайта всё закрыть - сработало, но как теперь открыть доступ к этому сайту некоторым людям.

Подскажите пожалуйста

Цитата:

но как теперь открыть доступ к этому сайту некоторым людям

Завести для них учетки на проксе, или пустить в обход прокси.

ArgonOL
У нас у всеч в сетевом подключении в шлюзе стоит адрес прокси и очень много умных, которые могут догадаться, хотелось бы закрыть и открыть доступ к сайту варируя адресами пользователей, а как это сделать если приходиться рулить единственным правилом : "от прокси в инет"

Можно схитрить и поднять еще 1 прокси на другом порту, и через керио раздавать к нему доступ с нужных ипишников.

Но глупости это все.

Керио оптимально работает как прозразный прокси с авторизацией пользователей по IP или доменным учеткам.

ArgonOL
А что если у всех в шлюзе вместо прокси указать например роутер 0.1 ?

Имеешь в виду в сетевых настроках компов в поле шлюза указать адрес роутера в интернет, вместо керио? Да, тогда трафик мимо керио пойдет. Тут надо буде в браузере выкл конфиг прокси.

ArgonOL
Я немного запутался. Как же в керио управлять доступом к сайтам по ip-адресам пользователей, если всё зависит от правила "от прокси" в "инет"? Как правильно всё организовать?

Добавлено:
ArgonOL
Да, ты прав, не вариант.
Как же тогда организовать политику трафика?

В основном действуют 2 правила:
1. От прокси в локалку всё открыто, из локалки к прокси всё открыто
2. От прокси в инет открыто по HTTP и HTTPS

делаю "от пользователя в инет закрыть mail.ru" - не работает!
делаю "от проксто в инет закрыть mail.ru" - работает, но закрывает ВСЕМ (( я в отчаинии

А как через NAT лазить к TIME.microsoft.com ???? Я в NAT поставил NTP , а неканает

JohnSilver182
Можно поднять службу синхронизации времени прямо на прокси и пусть все с него обновляються, а прокси из инета

Добавлено:
JohnSilver182
и еще попробуй открывать не NTP, а UDP 123, и добавь адресов для синхронизации

Clear Evil LOL , я просто DSN не прописал внутри сетки .

Ребята, есть сервер с керио 6.7.0 patch 1 built 6228. Работает в режиме распределения нагрузки (АДСЛ + DialUp). Клиенты подключаются через VPN, все вроде хорошо.
Нужно сделать, чтобы программа uTorrent, запущенная на сервере использовала только DialUp. Не соображу какой протокол используется в uTorrent? Каким правилом это можно сделать?

lizun
сам KWF, всегда будет ходить через его default GW.

Tihon_one

Цитата:

сам KWF, всегда будет ходить через его default GW

а его default GW - это default GW операционной системы (У меня Win2k3.)?
И дефолтный шлюз - это модем АДСЛ. сетевые параметры у dialup динамические...
что в этом случае можно сделать?

lizun
переназначить GW метриками, только делать это с остановленной службой KWF, не помню уже, кажется там была какая-то морока, но решабельна точно

Tihon_one

Цитата:

переназначить GW метриками, только делать это с остановленной службой KWF, не помню уже, кажется там была какая-то морока, но решабельна точно

Гмм, забавно. Ночью пробовал менять метрику с авто на 20, бесполезно. Торренты продолжали качаться через сетевой интерфейс (адсл). Керио при смени метрики был остановлен. Сервак сам не перезагружал.
Взял да удалил шлюз нафиг. Все заработало как надо
Сервак, правда, не перезагружал ещё полностью. Ну, посмотрим.
ЗЫЖ
ваще фиг знает, как оно теперь работает. Но керио как-то сам рулит
по ходу дела (судя ipconfig), я теперь просто получаю дефолтный шлюз от диалап.
Наверное, теперь туда все лишнее будет сыпаться тоже, что не хотелось бы... Посмотрим.
Tihon_one, спасибо за идеи.

Многоуважаемые господа!

Подскажите что не так настроено:
У меня в Керио в "Активные хосты" напротив почти всех хостов стоит один и тот же пользователь, есть такие где правильно указан пользователь, но я не могу понять отчего это зависи


Добавлено:
И когда хочу посмотреть статистику через веб-интерфейс, то он требует пароль всё одного и того же пользователя (у меня это Jan) и имя сменить даже не дает.
И когда смотришь статистику по пользователю в консоли, то весь трафик висит на пользователе jan