» Kerio WinRoute Firewall (часть 3)

Arakcheev

Цитата:

МИНУС данного способа, что запросы будут уходить только по одному каналу.

Что-то наталкивает меня на мысль, что и проходить тоже на него будут Другими словами активен только один канал.

Arakcheev
да уж, тезка, еще бы скрин с загрузкой интерфейсов в данном случае..

ООО,,нет я не знал про это!
а надо ставить вторую Log matching packets?

timsson
Log matching packets отвечает за лог Filter
connections - за лог Connections
надо или нет - решать тебе

aljd
ок спасибо,,все запахало!!!
THANKS

Этот вопрос где-то обсуждался, но не могу найти...

У меня на машине, которая раздает инет стоит KWF 6.3.0 2683
Все отлично работет, но в 90% случаев VPN соединение с интернетом после загрузки системы само не устанавливается. Если позже его разорвать - тут же устанавливается автоматически (т.к. оно persistent)

Как настроить таким образом, чтобы при перезагрузке системы соединение 100% устанавливалось автоматически? Удаленным доступом иначе невозможно нормально пользоваться.

Спасибо заранее!

Установил керио 6.4.2, а в интерфейсах отсутствует подключение по локальной сети.
В Routing Table ctntde сетевухи тоже нет, что делать

AndV
Неправильная мысль у вас толкается.
Реально работающий вариант. У меня два канала! Именно так и работают.
Вы просто сделайте как я вам написал, а потом напишите мне благодарность.

Добавлено:
5555555
Можно и скрин. Завтра утром сделаю.

Arakcheev
Обязательно попробую, но очень хочется еще скрин Routing Table, а то я на 84 странице просил, Вы показали только Traffic Policy.


Цитата:

Установил керио 6.4.2, а в интерфейсах отсутствует подключение по локальной сети.
В Routing Table ctntde сетевухи тоже нет, что делать

Кабель к сетевой подключен?

IL81

Цитата:

Вот так заработало

Как частный случай будет работать. Но лучше вместо Firewall поставить конкретно внешний IP, потому что Firewall подразумевает любой из имеющихся на нем IP. И если вы в будущем что нибудь добавите, например еще один IP или еще одну сетевуху, то может неожиданно отвалиться.


Добавлено:
Arakcheev
AndV
sadafaga

Цитата:

Задача: разные группы пользователей выпускать по разным каналам

У меня выпускается несколько десятков пользователей по стольки же каналам, но через один внешний интерфейс (и одного прова). Для каждого пользователя у прова заведен виртуальный интерфейс из сетки в 4 IP адреса, например: 86.102.xxx.140/30
В этом случае у прова будет Gate 86.102.xxx.141, а у меня на внешней сетевухе дополнительный IP 86.102.xxx.142/255.255.255.252, у пользователя локальная сеть за NATом (Можно и без NATа, но тогда нужно две четырех адресные сетки на пользователя с статическими маршрутами одной на другую).
Правило, которое это рулит: Sours > Интерфейс к которому подключена сеть пользователя, Dest > Внешний интерфейс, Translation > (NAT 86.102.xxx.142)
Пакеты и уходят и приходят через 86.102.xxx.142
Следующий пользователь юзает сеть 86.102.xxx.144/30 и т.д.
И так для каждого пользователя свои настройки. Трафик считает пров по каждой сетке.
Конечно имеется еще одна сетка 81.x.x.96/30, которая выполняет функции основной, т.е. на внешней сетевухе основной IP 81.x.x.98, Mask 255.255.255.252, Gate 81.x.x.97 он же дефолтовый. На этом канале небольшой паразитный трафик.
Как видите все решаемо, думаю что и на несколько внешних интерфейсов можно написать правила + статические маршруты.

Цитата:

Для каждого пользователя у прова заведен виртуальный интерфейс из сетки в 4 IP адреса, например: 86.102.xxx.140/30

Где бы найти такого провайдера... Хотя после таких манипуляций слабо представляется необходимость керио. Правила и фильтры можно провайдеру тоже скинуть.

Ruza

Цитата:

Где бы найти такого провайдера...

Некоторые идут навстречу VIP клиентам.

Цитата:

Правила и фильтры можно провайдеру тоже скинуть

Можно, только тогда и бабки все тоже он скосит.
Сорри за офф...


Добавлено:
Bastie

Цитата:

KWF, на нем 3 pppoe соединения в интернет

Цитата:

возможна ли такая конфигурация с помощью KWF?

Почитайте мой топик на два топика выше этого и попробуйте так.
1.Все три pppoe подсоедените через хаб к одной сетевухе.
2. В настройках pppoe зайдите в Сеть > протокол TCP/IP и уберите " получить IP адрес автоматически. Пропишите его руками не указывая гейта. (конечно адрес должен быть статическим).
Должно работать, только технология pppoe сама по себе ненадежная, с точки зрения зависаний и отвалов, проверено. Я бы все таки рекомендовал заказать подключения с маршрутизацией сеток.
Если будут вопросы по настройкам сети, то задайте их в соответсвующей ветке форума, а мне в личку ссылку на вопрос.

AndV
Routing table не изменялся.

Arakcheev
А у Вас модемы дорогие? Почему я спрашиваю... Потому что 1 можете выбрасывать!
Вам провайдер дал 2 канала, скажем по мегабиту каждый и 2 IP, например 192.168.1.1 и 192.168.1.2, ограничил трафик по IP адресу, но линия физически держит скажем 10 мегабит. Что получается, Вы транслируете запросы от клиентов у которых прописан Unlim2 (192.168.1.2) на канал Unlim1 (192.168.1.1), к провайдеру попадают запросы от разных IP и он отдает по мегабиту трафика на каждый IP. Такая схема не будет работать при разных провайдерах, и не будет работать когда скорость связи ограничивается пропускной способностью линии. Ради эксперимента отключите 1 модем, и в поле Translation вместо Unlim2 пропишете IP адрес 2 модема, ничего не поменяется

AndV
Я ничего не понял, что вы хотели сказать.
Применительно к своему случаю, я говорю, что провайдер у меня один, поэтому и работает.
На разных действительно не будет работать, но вопрос не стоял, что будет два канала от разных провайдеров!

Цитата:

вопрос не стоял, что будет два канала от разных провайдеров!

в чем и собака порылась, иначе - а зачем оно нужно

Arakcheev
Если к вам затянуто 2 кабеля, включены в 2 модема, которые в свою очередь подключены к 1 серверу, то физически байты ходят туда-сюда только по 1 кабелю и 1 модему, по тому у котрого прописан основной шлюз. Или если прописано 2 шлюза, то по тому который быстрее поднялся. То что у вас в Translation прописано транслировать на 2 модем, это не значит что транслирует именно на модем, оно транслирует на второй IP адрес, который присвоен модему. Я сейчас так подключил (через 1 модем), и скорость у 2 разных юзеров равняется суммарной скорости 2 каналов, проверял и перепроверял, и в зависимости от того какой IP пропишу в Translation такой и мне показывает на сайтах.

Если не понятно, может 5555555 лучше объяснит, он кажись понял

Arakcheev
Понял. Я неправильно интерпретировал вопрос. Мне показалось что вопрос -

Цитата:

Подскажите пожалуйста, сабж может разруливать одновременно 2 интернет канала на 2 кучки компов сети через 1 сервер?

эквивалентен вопросу, который и меня когдато интересовал -

Цитата:

Подскажите пожалуйста, сабж может разруливать одновременно 2 интернет канала ОТ РАЗНЫХ ПРОВАЙДЕРОВ на 2 кучки компов сети через 1 сервер?

Схема работы с несколькими каналами от одного провайдера нужна, наверно, только для утолщения тощих каналов? Иначе я не понимаю смысл такой работы.

sadafaga
В моем случае именно такая задача стояла, но утолщение произойдет только если пров режет скорость по IP, но канал позволяет большее, если канал больше не вытягивает тогда бесполезно.

Хочу сказать спасибо Arakcheev, с его помощью все получилось, причем на 1 модеме

AndV

Цитата:

Если не понятно, может 5555555 лучше объяснит, он кажись понял

Я рад, что мы пришли к согласию и пониманию и мои два тощих канала вам помогли.

Реально с балансировкой нагрузки (N каналов от разных провов) хорошо справляется MikroTik RouterOS. Причём великолепно себя чувствует в виртуалке Ну а рулить доступом можно уже и через Кирю, стоящий на той же машине.

AndV

Цитата:

Я сейчас так подключил (через 1 модем), и скорость у 2 разных юзеров равняется суммарной скорости 2 каналов,

Это зависит от прова. Если он авторизует пользователя по логину или IP адресу, а бандвич лимитер настраивает на пользователя, то так и будет. А вот если он лимитирует бандвич на физическом интерфейсе, то бандвич будет не суммироваться, а делиться на всех. Другими словами - канал не поддерживает больше.


Добавлено:
sadafaga

Цитата:

Схема работы с несколькими каналами от одного провайдера нужна, наверно, только для утолщения тощих каналов? Иначе я не понимаю смысл такой работы.

Не только. Например для того, чтобы раздавать инет клиентам не оформляя лицензии оператора связи (т.е.под крышей провайдера). Но тема не админская... закругляюсь.

Керио не пускает ни одного почтового клиента (аутлук, бат), через браузер все ок.
Ради чистоты эксперимента поставил правило ани --> ани. Результата нет.Помогите советом.
ЗЫ Добавлял разрешение на смтп и поп, не прошло.

Amerique
А у тя случаем не непрозрачный проксик включен? Через NAT обычно все нормально ходит...

Amerique
покажи полностью правила. тогда будет понятно. А то и правда не ясно, есть NAT или нет.

Стоит KWF 6.4.0 3176 пользователи авторизуются автоматически по IP адресу, смотрю Status-Active hosts комп Х (192.168.0.2), а в его соединениях присутствуют не только его но и соединения firewall (192.168.0.1)
Traffic rule : Service : Source : Destination : Source port : Dest port
web : http : 192.168.0.1 : 12.4.33.4 : 1212 : 80
web : http : 192.168.0.2 : 12.42.133.24 : 5212 : 80
web : http : 192.168.0.2 : 12.42.133.24 : 5212 : 80
и в Total Rx Tx к пользователю добаляется трафик Firewall
Это что БАГ или фича такая у KWF
кста до этого стоял 6.3.x такого замечено не было

Добрый день!

Обрашаюсь к вам с надеждой получить решение для моей задачи.

Есть два офиса 192.168.1.* и 192.168.0.*
между ними поставлен VPN тунель иснованный на Kerio,
По IP все компьютеры пингуются как из первой так и из второй сети,
все нужные пакеты пропускаются нормально,
а по имени нет.

Active Directory и DNS сервера как в первой офисе так и во втором
установлены, но позади Kerio.
DNS Forwarding в первом и втором офисах в Kerio конфигурации выключен,

Так вот вопрос:
возможно ли пропинговать компьютеры второй сети из первой по имени,
ну и тоже самое для второй сети.

koltz
Хых. Домены-то небось разные в офисах? Это батенька тебе надо на DNS серверах обоих контор настраивать пересылку друг на друга. Тада они все и увидят... Но это тема не этого топика.

crapaud
Спасибо за совет!
Конечно, домены разные,

Подскажите где найти можно информацию
по пересылке записей из одного DNS на другой.

koltz
Можно на ДНС-серверах каждого офиса сделать по одной зоне-заглушке. На первом - зону-заглушку на второй и на втором - на первый.