» Kerio WinRoute Firewall (часть 3)

Вопрос по настройке 3-х интерфейсов. 2 инет(adsl+спутник) и 1 локальная сеть.
Есть потребность входящий трафик пустить по одному интерфейсу исходящий по другому.
Как и что сделать?
Мануалы, факи читал, поиском пользовался(и не только по ру-борде).
Если знающим нетрудно ткнуть ссылкой.
Везде одни только рекомендации, что это обсуждалось в куче мест и весь форум завален - ищи мол, а по поиску одни только такие же вопросы и 0000 конструктивной информации.

Перешли с ЮГа на Керио 6. Как почтового клиента настраивать ? В браузерах прописан IP и порт прокси, а в Зе Бете как делать? Правила трафика дефолтные, адрес прокси в шлюз и в ДНС сервер в настройке сетевого подключения на локальной машине не прописывали.

Подскажите пожалуста как решить данную проблему с Керио Винроут:
В локальной сети 2 компьютера, на сервере есть доступ в инет. При запуске любой игры на сервере (lineage2, cs и др..) в самой игре постоянные задержки на отправку и получение пакетов, при этом интернет канал свободен.. Я решил что это связано с 100% процессора во время игры. А затем понизил приоритет процесса игры в диспетчере задач, и лаги внезапно прекратились.
Неужели при каждом запуске игры мне придется понижать приоритет процесса игры на Below Normal чтобы играть без лагов? Приоритет процесса винроут установлен по умолчанию в High...
При отключенном Керио лагов естественно нет.

goodie
данной "проблеме" в данном топике уж точно не место

Цитата:

данной "проблеме" в данном топике уж точно не место

Ок, в какой теме можно задать вопрос такого плана? Кто то вообще замечал такое с Керио винроут?

aljd
Ну а куда ж ему собснно идти с этой проблемой ))) В "программах" же вроде ветку с керио закрыли давно...
goodie
другое дело, что врядли целесообразно ставить винрут для сети на 2 компа, и тем более запускать на этом сервере сетевые игры... эт прям как ножом по.... для любого уважающего себя админа ))) так что врядли тут кто-то так извращался... Проще помоему врубить стандартный виндовый НАТ и не мучиться.

Scutter
ТОесть имееться ввиду внешняя почта насколько я понял

Создаёться правило в керио
Source (откуда)
можно просто выбрать и вписать (HOST) именно тех пользователей которые будут выходить.
или же просто выбрыть локальный и нтерфейс

Distanation (куда)
FIREWALL

service (какой сервис)
Если на сервере порты SMTP и POP3 не заняты то тогда выбрать их, или же другие 2 неиспользуемых порта

action (действия)
ACCESS (зелёная галочка)

translation (трасляции)
тут нужно выбрать Mapping (НАТ поднимать не нужно)
MAP (КУДА)

пример--------------------

Source (откуда)
Подключение по локальной сети 1

Distanation (куда)
FIREWALL

service (какой сервис)
POP3

action (действия)
ACCESS (зелёная галочка)

translation (трасляции)
MAP pop.mail.ru

------------------------------

настройка любого клиента Бэт тоже самое

адрес сервера (ваш сервер)
Порт (порт указанный в керио)

пример:

server: 192.168.1.1
port: 25

юзер логин и т.д.

СМЫСЛ схемы------------------

(комп юзверя)------>KERIO (сервер) перебрасывает порт (map)------> Майл.ру


вапще есть ещё неколько вариации через шлюз например

Может кто сможет подсказать в чем может быть проблема.
Если настраиваю модем как мост, у меня через NAT работает только http, если же настраиваю как роутер, то работает все что разрешено через правило NAT.
Для winroute есть какая-то разница между тем как настроен модем кроме того через какой интерфейс он в инет смотрит? Я уж не знаю где еще и что ковырять. RRAS у меня не настрооен ICS тоже нет. Везде прописан gateway и днс сервака. Прокси не прописаны. Может надо что-то дополнительно разрешить. Ведь при подключении типа мост павило NAT составляется для PPOE подключения, а реально задействована вторая сетевуха через которую модем подключен к серваку. Просто мне надо дать возможность подключаться из инета к локальному устройству, а при подключении модема как роутера это сделать сложнее.

kvazigorynich
в режиме роутера пробрось порт на роутере нужный и подключайся из инета

crapaud
имел в виду как раз целесообразность установки winroute для такой задачи
из пушки по воробьям...
goodie
на самом деле стоит попробовать решения попроще, чем винрут, как правильно заметил crapaud

Цитата:

на самом деле стоит попробовать решения попроще, чем винрут, как правильно заметил crapaud

Спасибо за совет, однако винроут я ставлю главным образом для того чтобы вести учет трафика по пользователям с возможностью блокирования конкретного пользователя в определенный период времени, также там удобный и понятный файрвол, пробовал TI, UserGate, Wingate, La2Net,NetworkShield но они какието ограниченные в функциях такого плана, возможно там и есть что то похожее с керио..
Буду пробовать другие файерволы, может быть найду подходящий для своих нужд..

А при работе с почтой никакой авторизации не требуется ?
Если нет, то какие варианты могут быть чтобы закрыть весь трафик если лимит подошел ?

Добавлено:
2ArmAngel
А если у одно клиента мыло на mail.ru а другого на яндексе или еще где, то как керио узнает куда перебрасывать порт на маил.ру или на яндекс ?

в этом случае лучше использовать шлюзы. Иначе придёться для каждого Сервиса (яндекс, майл,лист) прописывать порт.
Так как 25 (smtp) или поп 3 занят. то Тогда нужно проиводить мэппинг на незанятые порты

например
service | trans
6025 |map smtp.yandex.ru | port 25

у клиента ставиться

server: 192.168.1.1
port: 6025

Добавлено:
при работе с почтой есть несколько правил работы с КЕРИО

то что было выше это прямой доступ, тоесть

LAN (пользователи локальной сети) ----> FIREWALL (map)-----> mail.ru

всё...

можно в керио создать адресную группу, там указать адреса имеющие доступ к сервису
в последствии добавить её в правила

LOCAL GROUP (192.168.1.2-192.168.1.10) ----> FIREWALL (map)-----> mail.ru

для контроля трафика в Керио используеться база пользователей, локальная или доменная (смотря что у кого есть).
Если домен и Актив Дирэктори нету, то используеться просто локальная база.
(USERS)

там можно добавть пользователя, лимиты, правила. как по шаблону или каждому отдельное!

для правила тогда нужно поставить

autheanticated users (авторизованные пользователи) ----> FIREWALL (map)-----> mail.ru
|_ ставиться в source -> ADD -> USERS - > autheanticated users

теперь пользователям надо авторизироваться для выполнения данного правила.
Авторизация может выполняться черех браузер

server:port
192.168.1.1:4080

надо не забыть включить веб сервер керио (advanced options - WEB interface)

и добавть правило раздрешающее вход локальным пользователям на сервер

source |dest | service |action |trans
LAN FIREWALL kerio WEB ALLOW (ничего)

после захода на сервер введя имя и пароль они будут считаться керио как ПОЛЬЗОВАТЕЛЬ системы и правило указанное выше будет действовать!

Народ такой вопрос, стоит Kerio на сервере, нужно для службы поддержки сделать клиент, Локальный чтобы можно было проверять на что ответили, на что нет по e-mail

Не посоветуете как это реализовать?

seva1
ээээээ
а при чем тут winroute?

kerio wrf 6.4.0.3176 c "родным" движком mcafee
почта на клиентах при включёной проверке pop3 тормозит
вернее виснет намертво после определенного кол-ва писем (в течении одной сессии)

у всех так?

vialexeys
у меня так, и даже хуже глюки бывают... помогает отключение протокол-инспектора на поп3 (или возвращение к 6.3.1) Писал в техподдержку - пока ищут причину...

День добрый!
Столкнулся с проблеммой, решения ребует как говорится вчера, перечитал часть форума пока не нашёл, так что простите если повторюсь.
Имеем:
Windows 2003 server - контроллер домена и DNS
Kerio WinRout Farewall 6.1.1 - раздаёт инет и DHCP

Пользователи импортированы из АД контроллера, авторизация виндовая. Все пользователи локальные админы (специфика такая, но это не важно, даже если дать опытного пользователя, ничего не меняется).
Нужно разграничить доступ, т.е. для части пользователей закрыть выход на часть сайтов (в рабочее время), а для оставшихся оставить полный доступ.
Создаю правило для всех пользователей куда нельзя - работает. Если прописываю конкретных юзеров, то они попадают на те сайты на которые по идее не должны попасть.
Вариант: 1ое правило - всем незьзя на сайт, 2ое правило - а вот этим можно везде, тоже не срабатывает...

Никак не могу понять как мне всё это дело настроить, вопрос поидее плёвый и решается как-то довольно просто. Но видимо я что-то не учёл, какую-то мелочь.

Буду премного благодарен за помощь.
Спасибо!

З.Ы.: если что, можно в аську - 433935

zed3d
У керио действует правило "сверху вниз", т.е. правила запрета должны быть ниже, чем правила разрешения.

Arakcheev

Спасибо, попробую так. А есть ли ещё какие-то нюансы?
Прсто если задать на 4х человек из 9ти что на сайт попасть нельзя, всёравно попадают все.

добрый...
подскажите пожалуйста, разжуйте возможно в сотый раз про авторизацию пользователей в керио 6.4.0.3176...
тему смотрел, нашел сообщение Zedd с примером настроек, но чет толи лыжи не едут, толи я оделся не по сезону...

собственно вопрос заключается в том, какие настройки должны быть выставлены в керио и в политике домена, чтобы пользователи домена под управлением win2003 могли зайдя под своей учетной записью на клиентской машине, открыть браузер и сразу выйти в инет, не вводя никаких логинов, пассвордов...

вобщем имеется домен под управлением win2003 sp2 r2 rus + инет-шлюз с керио 6.4.0.3176 тоже на win2003 sp2 r2 rus...в данный момент пользователи привязаны по айпи клиентской машины, но ето несколько неудобно, в связи с тем, что некоторые переодически пересаживаются за чужие машины...
кому не лень будет, распишите плиз полностью, какие галки выставить в самом керио и политике домена или скрины выложите...

заранее благодарен...

Кто-нибудь юзает одновременно два антивируса, Winrout у меня позволяет включить встроенный McAfee и Visnetic одновременно. Есть ли в этом смысл ?
и как он будет проверять сначала одним потом вторым ?
Заранее благодарен!!!

Dasky
вот я бы тоже хотел бы такую тему узнать. Я тыкал галочки. он зараза ещё не сразу срабатывает. Там есть какая то авторизация по браузеру. и так ставил галки и так... или керио тупит или чёт ещё.
Так что пока на лыжах и едем через авторизацию через пароль.

lazovit
Ну будет, и что тебя смущает? )))
ArmAngel
Dasky
Я бы тоже хотел автоматическую авторизацию доменных пользователей. Но пока это получилось только через NTLM в интернет эксплорере, что несколько не удобно (я люблю оперу).

crapaud
о НТЛМ можно поподробнее?
как там получилось?запускаешь еплохер, вбиваешь ya.ru и что?
он показывает страничку керио, где надо ввести логин и пассворд?я правильно понял?
спасибо...

да ) это так я делал. Выкидыват авторизацию он.
Вопрос другой, что был выше. Было бы очень хорошо если он без выдачи всякой хрени авторизировал по pupkin@pupkin.ru . Неужели нету?!...

Добавлено:
ещё вариант, у меня сделано что в АД просто добавлял в IE домашняя страница внутри сети, а там ссылка на авторизацию интернета.
Это тоже заменяет такой способ вывода страницы.
Ещё АД добавляет её в избранное пользователя.

но вопрос тот же

Еще 1 вариант офлайновой версии книги по KWF 6.x:
http://depositfiles.com/files/2361756

Походу дела вариантов нету... попробую сделать как-нить сам. О результатах отпишусь через пару дней.

Dasky
И он автоматом авторизует пользователя не требуя пароль. Правда это тоже делается как бы через внутренний кериовкий вебсервер, поэтому переход на нужную страницу происходит с некоторыми тормозами, но автоматически, без ввода пароля.
Повторюсь - ограничение - IE или FF (после соответствующей доработки)

Люди спасайте
Сеть в мир к сетевухе подходит из роутера Dlink dl-604 подключение на нём настроено через PPPoE. Вторая сетевуха смотрит в локалку, установил керио 6.1 , мастером создал правила всё вроде должно работать (поставил авторизацию - работает) но уменя пинги в
сеть и мир идут а страницы не открываються. Кто знает чё это может быть? Такое впечатление что dns не хочет работать.