» Настройка Kerio Winroute серии 5.x и 6.х (часть 2)

Итак, "хозяйке на заметку", может кому ещё поможет.

Пораскинув мозгами по клавиатуре, я понял, в чём отличие прописанных правил через прокси и через NAT.

В правилах для прокси была указанна адресная группа, в которой пользовательские машины были прописаны по IP-адресам.

В правилах для NAT-ов были прописаны по локальным доменным именам.

И хотя дефолтовый DNS для лановского интерфейса смотрит на локальный DNS-сервер, по истечению некоторого времени Kerio переставал резольвить эти имена. Вот такая вот фигня.

Лечение простое - прописал юзеров в hosts, причем к кратком виде (только имя) и в полном (с именем локального домена)

Работает уже сутки, не чихает.

Уважаемые Большие Головы!
Решил потестить сей чудный продукт. У меня до этого стоял SQUID (т.к.больше опыта было по его использованию). Но теперь потребовалось программное обеспечение для организации шлюза. Поставил WinRoute 6.4.0.3176. Отказывается работать.

Имею:
1. WinXP SP2
2. Kaspersky 6 (доверие WR прописано)
3. Два IP: один смотрит в инет, другой во внутреннюю локалку
4. Выделенного сервера для инета нет.

Проблема:
При включенном WinRoute внутри сети пакеты ходят, при обращении в инет брайзер говорит, что узел найден и так висит пока не закроешь. Активности в сети нет. При трейсе показывает целевой IP в инете правильно, но тут же затыкается и висит. Т.е.DNS работает. В чем проблема, где покрутить (правила все прописал, группы, пользователей и т.д. Антивирь отключал (и Каспера, и Макафи), документацию читал). Ткните меня где искать ответ или дайте совет. Спасибо

1. сноси нафиг Каспера - известная проблема войны между продуктами. ну неработают они на одной машине. каспер залезает в папкукерио + пытается обратывать сеть.подключения.
2. показывай trafic policy + interfaces + routing table.
3. порой на форуме посвященному сему продукту www.winroute.ru

2uspn
Спасибо. Попробую покопаться. К сожалению Каспера буду сносить только в самом крайнем случае.

скорее всего этот случай настал.)) На каспере пробуй оставить только модуль файлового сканирования Все остальное отключай. иначе каспер и керио начинают тянуть на себя одеяло (пустить трафик через себя). или -что будет правильней присмотрись к тем антивирусам что дружат с керио. А каспер и керио на одной машине весчи совсем не совместимые (люди до тебя много шишек на этом набили)

KERIO 6.2.0.1323
В логе пакетного фильтра только сообщения PERMIT... не показывает какие пакеты дропаются и режутся... как исправить??

AFedorov
в правиле в колонке log что стоит?

Пробовал и ставить все галочки и убирать тоже...

AFedorov
Взято с redline-software.com
Log matching packets (запись удовлетворяющих пакетов)
Log matching connections (запись удовлетворяющих соединений)
Замечание: Соединения, удовлетворяющие Deny- или Drop-правилам, не могут быть записаны в журнал.

Но если в правила Default rule поставить Log matching packets то в логе filter появляются записи DROP.

Установил версию 6.2.0

Все настроил все работает нормально клиенты пользуются.
А вот на самом серваке без прокси выхода в интернет нету. ввожу данные прокси керио начинает работать. как настроить что бы на самом серваке без прокси на прямую пользоваться интернетом?
пожалуйста помогите разобраться у кого нибудь была такая проблема?

deelsh
А зачем тебе без прокси лазить? Чем он тебе мешает?

Привет народ))). Тема такая (не знаю поднималась или нет, не судите если что) На одной из машин стоит kerio 6.3.1, еоторый настроен маршрутизатором на инет, в локалке на другой машине установлен ключ защиты 1С - HASP. Так вот, с машины на которой керио, 1с-ка не запускается пишет не найден ключ защиты программы. Котя в керио прописано правило local локальная сеть firewallhost any
и firewall локальная сеть any.
В чем может быть беда? может еще какое правило прописать специально для HASP?

[q][/q]
lavren у меня стоит например Webmoney Keeper Classic а он не работает через прокси.
потом мало ли для чего надо будет как то можно убрать блокировку .
когда вырубаю керио все нормально работает

deelsh
Керио ставит низкоуровневой драйвер (посмотри в свойствах сетевухи)! Обойти его будет очень трудно если воще возможно!
Может тебе поможет это!

vektor_mw
И ты туда сходи! Может что найдешь!

Здравствуйте! Есть такое горе - керио (6.2) блокирует доступ к шлюзу со всех компов внутри локалки, т.е. если у меня допустим, локалка 192.168.0.0, керио внутренний 192.168.0.1, внешний 192.168.1.2, а аппаратный рутер связанный с инетом 192.168.1.1, соответственно шлюзом указан 192.168.1.1. Мне нужно внутри локалки поставить еще один прокси на 192.168.0.33 (он будет парент для первого,подробности опускаю - много буков), соответственно нужен доступ к 192.168.1.1 с него. Пытался по разному с правилами и маршрутами - результат пока нулевой. Помогите пожалуйста!

makz
Комп с 192.168.0.33 должен через комп с 192.168.0.1 ходить к компу с 192.168.1.1 или как?

В общем да, но 192.168.1.1 не комп, а ADSL модем в режиме рутера

makz

Скорее всего керия на 192.168.0.1 гробит пакеты с заголовком шлюза - пробовал на керио 192.168.0.33 ставить шлюзом не 192.168.1.1, а 192.168.0.1 ?
И еще, из под подсети за 192.168.0.33 пакеты в основную локалку ходят ?

Sirin25
Так и стоит шлюз 0.1. Ставил второй шлюз 1.1, и второй IP - 1.33 - никак, все рубится. 0.33 воткнут в общий свитч, локалка(192.168.0.0) видна без проблем конечно.

makz
Ты NAT используешь в керио?

lavren
Да.

makz
Правила покажь! Желательно с обоих компов! И внятно разъясни что и где!

Следующая проблема. Стоит winroute 6.3.0. Пользователей 25 человек. Появилась программа, требующая прямого подключения к инету, т.е. в ней вообще нет настроек прокси. Как настроить винруте, что бы с конкретного ip-адреса (10.0.0.176) инет был "прямой"?

Artem59
Что за прога?

Цитата:

инет был "прямой"

Правило создай (если такова нету) по которому с инета в сеть будет прога получать пакеты! А в Traffic Policy\Translation\Destination NAT (Port Mapping)\Translate to: ставишь нужный ip!

Artem59

Цитата:

конкретного ip-адреса

юзера создай и привяжи в последней закладке этот адрес, в трафик полиси в соурс поставь этого пользователя

стоит Керио 6.4
Подскажите как грамотнее настроить следующее:
в организации около 100 человек
нужно создать вид доступа по группам, например группа fun может ходить на удафф, воффку и т.д., кто не в ней - не может; группа banners может видеть баннеры, кто не в ней - не может
в Керио 4.х была такая возможность создавать группы и давать права к определенным ресурсам

Eximus
Наверное тебе поможет Configuration\Content Filtering\HTTP Policy, закладки:URL Rules, URL Groups, Forbidden Words и ISS OrangeWeb Filter!
Кобанчега заведешь и будет счастье!

Вопрос такой... Начинаю проснушивать интеренет - радио по 8000 порту с фаервола, но траффик почему то начинает считатся не у того юзера , который залогинен на фаерволе, а раскидывается между тремя , и отображается у него в connections , как победить это ?

Ребят, плиз выручайте.
Итак что имеем;
Шлюз с KWF 6x, 2 интерфейса 1 - локалка, 2 - внешка (IP статический, белый). В локалке есть некий девайс (не комп), имеющий IP-192.168.0.200 и работаюший по портам UDP 44000 и 44001. В инете есть другой девайс (не комп), имеющий статический, белый IP и работающий тоже по UDP 44000 и 44001. Задача - два девайса должны "общаться" друг с другом. Т.е. для обоих девайсов должны быть настроены правила в фаере. Иными словами, нужно сделать проброс портов в правилах извне на 192.168.0.200 и обратно. Знаю тема избитая, но млин чё-т замучался уже, ни фига не получается. Направьте плз.

daledale

1-е правило
сорс - 192.168.0.200
дестинэйшн - айпи того девайса, который в нэте.
сервис - 44000, 44001
тут пермит
тут NAT

2-е правило
сорс - айпи того девайса, который в нэте
дестинэйшн - 192.168.0.200
сервис - 44000
тут пермит
тут MAP 192.168.0.200:4400

ну 3-е по аналогии со вторым, только порт иной.
Вроде так, если нет, поправьте, давно не настраивал это =).