» Настройка Kerio Winroute серии 5.x и 6.х (часть 2)

Доброго времени суток.
Упал ДНС и прокси. Керио 6.2.1 ХРюшка сп2, сеть одноранговая, инет приходит со статических адресов, ДХЦП раздаёт IP, в фаерволе включен ДНС форвардинг.
сеть: осн. адсл1 - firewall - LAN
рез. адсл2 /
Полиси:
LocalLAN,firewall)-(LAN,firewall) any permit;
NAT: (Users)-(ADSL1, ADSL2,Dial-in) any permit+NAT;
firewall: (firewall)-(ADSL1, ADSL2,Dial-in) any permit;
FTP: (ADSL1, ADSL2,Dial-in)-(firewall) any permit+MAP 192.168.1.3;

при включеном в броузере прокси 3128 и ДНС фаера - ДНС лукап. Пинг не резольвит адреса.
при прописывании у клиента ДНС прова стервера пингуются по имени нормально.
по НАТу ходит. Где ж грабли?

Еще вопрос - нарыл в логе debug записи Service "DNS", "DHCP". "WebAdmin", "HTTPProxy", "WebAdminSSL", "UPnP" привинчені ко всем интерфейсам... и The ISS OrangeWeb filter started!!! Я ж его отключил!!! Вроде всё єто ненормально как по мне... пока ищу виря и чешу репу... что подскажите?

Народ может кто знает какую программу можно использовать с KWF-6.3.0-2683 для ограничения скорости трафика одним пользователям не ограничевая другим?
Проблема такая:
Есть юзера которым необходим интернет в работе, но иногда качают фильмы, проги и т.д., чем мешают другим!
Надоело им банить сайты!

2 lavren:
Поставь им ограничение на квоту, например 1 мег в день, но чтобы трафик не полностью блокировался, а ограничивался bandwidth limiter, а в настройках bandwidth соответственно ставь скорость, какая тебе нужна, там же можно настроить какие сервисы ограничивать, а какие нет.

Народ, есть проблема.
В организации имеется локалка (около 20 машин), на выходе в инет (ADSL) стоит прокси WinRoute 6.
Задача - поставить юзерам ICQ. Доступ к login.icq.com разрешен, короче все вроде по правилам но Аська не работает. QIP пишет что превышен лимит подключений, ICQ 5 вообще не подключается и ничего не пишет.
Нашел в инете что "превышен лимит подключений..." означает блокировку сервером ICQ IP моего сервера. Т.е. много клиентов хотят подключится на ICQ.
Как решить эту проблему? И в решении данной проблемы важен аспект безопасности.
Помогите господа!
Заранее спасибо!

shadow user777
Ты в полисях сервис ICQ в правило для Firewall и Nat добавил? Как они у тебя в Инет ходят: через Nat или непрозрачный прокси?

Ситуевина - имеется Kerio 6.0.9 и почта на MDaemon. В мдемоне почта с доменов типа .tw, .jp и т.п. не принимается. Но.. спамеры народ настойчивый. В итоге в логе винроута наблюдаем переодически всплески до 1-2 коннектов в секунду. При этом винроут тихонько помирает - начинает блокировать вообще все. Вопрос - как бороться?
Насколько я понял, задать правило, чтобы резались пакеты с корневых доменов, нельзя, а подсетями правила набрасывать - больно много получается.. Как выйти из этой ситуевины?

Через NAT. Помогите!

shadow user777
Поставь аутентификацию по IP и добавь в правила сервис ICQ как я сказал выше. С хоста с Керио аська коннектится? Не может быть такого, что ты сидишь за NAT провайдера, у которого на 1 внешнем IP висит неск.сот абонетов? Если не выйдет - картинку правил в студию!

Добрый день, к сожалению вопрос разделения трафика в Winroute освещен слабо.

Имеется задача, с помощью Винроута осуществить следующее:

серверная машина имеет три сетевых подключения - два смотрят на двух разных провайдеров, одно - на локлаьную сеть из 15 машин.

Один провайдер имеет быстрый, но ограниченный канал по трафику, второй провайдер меделнный но безлимитный.

Собственно задача: обеспечить прямой доступ в интернет всем машинам через провайдера 1 и обеспечить выход через proxy.company.net:3128 поднятом с помощью Винроута на серверной машине, который будет отсылать трафик через провайдера 2.

Не могу подобрать нужную комбинацию правила

shadow user777
А ты случайно не через ЮТК в инет выходишь? А то сейчас у многих такая трабла , так что, может дело и не в настройках.

Народ такой вопросик нарисовалса!

В KWF(6,х,х) в bandwidth limiter можно поставить лимит скорости скачивания какой то группе (address grups).
Припустим скорость пров даёт 30 кВ\с, а в bandwidth limiter выставил припустим 5 кВ\с какой то группе.
Вопрос: Вся группа в суме будет получать 5 кВ\с или каждому по 5 кВ\с.

lavren
по идее вся.

доброе утро .
на проксе стоит usergate. надо поставить kerio 6.2.3 .
возникла проблемка ... на клиентских машинах стоят почтовые клиенты и на них настроено (вместо допустим pop3.rambler.ru:110 стоит 192.168.1.1:5010), в usergate есть таблица где прописано если стучаться на 5010 то посылать на pop3.rambler.ru:110. Как подобным образом настроить правило на kerio ?

MMONSTERR
такой способ работы с почтой керио не поддерживает там используется доступ к почтовикам через нат

Помогите настроить Kerio 6.3.1 на 2003 винде !!!
Всё ставил в Kerio как полагается. Traffic polici перерыл весь, как только мог. В итоге некоторые машины получают inet (и то только по http)а другие вообще нет. Пытался раздавать через NAT.
У меня стоит Windows 2003 server sp1 russ Enterprice, Kerio 6.3.1 . Сеть без доменов (просто одна рабочая группа на 30 компов). Инэт идёт через VPN и ISDN modem подключённый к серверу через сетевую карту. IP адрес выделенный, на сети смотрящей в локаль IP 192.168.0.1.

Вин 2003 сервер терминалов + керио 6.3.1, пользователи через удаленый рабочий стол работают с терминалами,
как в керио запретить пользователям терминала использовать интернет? ато получается что они безо всяких ограничений могут использовать подключение к интернету...

Light_AS
запрети выход в инет серверу терминалов по айпишнику иможешь удалить инет эксплорер (они я так понимаю в терминальной сессии в инет ползают?)

Стоит Керио 6.0.10 и 2003 Винда+нод 32 нельзя подключиться по SSl...Что посоветуете, винду переустанавливал и насройки керио на три месяца назад из бекапа вернул. Внешний инет идет через VPN
P.S. Вот нашел, еще необъяснимый для меня случай: с одного адреса агента можно законектиться, а с другого нет. Если подключаться без керио то все работает.
Скрины настроек:

И далее:

Люди, есть хоть, что то за мысли

SHRIKE74

Цитата:

они я так понимаю в терминальной сессии в инет ползают?

да все так.

По ипу запретить нет возможности...потому что компьютеры с которых они заходят на теримнал, сами получают интернет по определным тарифам.
Да и керио установлен на самом сервере-терминалов.

Light_AS

ИМХО керио не различает из терминальной сессии в инет ходят или с какойто другой. На прокси обычно берут отдельный комп!


KENTAVRA

Не мешало бы объяснить некоторые названия и что за долгий список IP адресов???
Посмотри или стоит у тебя OpenSSL.

lavren


Цитата:

Не мешало бы объяснить некоторые названия и что за долгий список IP адресов???

Setka vnesh-внешняя локальная сеть, через которую подключается VPN
VPN-шлюз выхода в интернет
PS2 - это отдельнаяч сеть на мой личный дом
BSVNET (SET) - это внутренняя локальная сеть, отдельна от внешней и от моей домашней
А долгий список - это доступ в интернет для пользователей внутренней локальной сети.

Цитата:

Посмотри или стоит у тебя OpenSSL.

А где это посмотреть??? Да вааще наверно стоит, раз через керио с сервака все ок.

Не подскажите, может ли Kerio, и если не может, то какая программа контролировать подключение по времени? Например: с 2 00 до 3 00 интернет есть, с 3 00 до 4 00 нет.
Лучше с гибкой системой настройки.

Debosheer
может
http policy\advanced\valid at time interval

KENTAVRA


Цитата:

А где это посмотреть???

В унинстале!!! [more=OpenSSL]http://ru.wikipedia.org/wiki/OpenSSL[/more]

Какая из сетей не ходит или все?

PS: Для доступа к Firewall ненужно использовать NAT, и с одной локалки в другую тоже!
Только если ктото из локалки лезит в инет!

lavren
Поставил Win32 OpenSSL v0.9.8e с [more=этого сайта]http://www.slproweb.com/products/Win32OpenSSL.html[/more] - правильно?

Цитата:

Какая из сетей не ходит или все?

Все, кроме самого сервера.

Цитата:

PS: Для доступа к Firewall ненужно использовать NAT, и с одной локалки в другую тоже!
Только если ктото из локалки лезит в инет!

Тогда получается, что нет доступа вообще между локалками!!!

После установки ничего не поменялось

KENTAVRA

Проверь Личный Ящик на этом сайте!!!

Некоторые правила частично повторяются! И хотелось би увидеть все правила, а именно:
VPN->Firewall
Setka vneshn->Firewall

lavren
Заранее спасибо

Цитата:

VPN->Firewall
Setka vneshn->Firewall

А этих правил нет.

Перерыл кажись все, нашел много по не работающему протоколу https (SSL), но так ничего и не помогло.
Кто поможет именно с моим случаем???
З.Ы. Скрины ТП чуть выше в этой теме

Скрин трафик полиси


Ситуация такая на компьютере имеется 2 подключения к инетернету через DSL (dsl_light, dsl_cana), нужно чтобы выбраным пользователям интернет раздавался с нужного DSL подключения...
Настройки что на скрине работают только с одним подключением к инету, когда подключаешься по второму инет отпадает.

подскажите, можно ли
1. отключить проверку пароля при заходе в статистику? пользователи привязаны к ип.
2. когда кончается квота чтобы грузилась страница статистики или вообще другая страница.
3. разрешить заходить на определенный сайт даже если квота кончилась?
спасибо