» Kerio WinRoute Firewall (часть 3)

Народ! А есть альтернатива кабанчику? Только чтобы с керио дружил!!!

Не получается нормально настроить ДНС. Либо я не догоняю.

Ситуация:
есть Керик с поднятым DNS Forwarder,DHCP
есть две сетевки - LAN,INET
Есть 2 днс от прова - ISPDNS1,ISP DNS2

Вот как ПРАВИЛЬНО везде прописать чтобы в логах нормально все писалось и в Connections?

Mistique
В DHCP у Керио впиши ДНС адрес самого керио.
В ДНС форвардере принудительно впиши ДНС адреса от прова - ISPDNS1,ISP DNS2

Коллеги возможно ли научить контент фильтр понимать русские слова? Понимаю что вряд ли, но вдруг есть какой-нибудь хитрый способ.

Arakcheev
ГМ... все так и сделано. А на клиентах тогда что?... В качестве днс-ИП прокси. И все? больше фишек нет? Не Винс же подымать, да и не на чем..

vimaret
вчера пробовал настроить IBank по тому правилу,которое вы написали...прога не пошла,пришлось вернуть всё как было

Mistique
Так и не надо ВИНС. он вообще не нужен. Твой Керио сам раздаст IP-адреса клиентам и все будешь бегать как часы. Не будешь в DHCP у Керио вписать default gateway, что керио и его раздал клиентам.

Arakcheev

Цитата:

Не будешь в DHCP у Керио вписать default gateway, что керио и его раздал клиентам.

o.O?! чего?...

Добавлено:
До кучи. Как зарезать ВООБЩЕ от инета тех кто не авторизован(не прописан ИП у пользователя, или новая машина без пользователя)? не только вэб, но вообще все.

Проблема. Пару схемок нарисовал для преобразования "федерального трафика" в "трафик локальный", но ни одна из них не работает.



Товарищи с мест сообщают, что КВФ не даёт прописать на своем VPN-интерфейсе шлюз, а следовательно - "никто никуда не идёт".
С другой стороны, мне кажется, что я когда-то нечто похожее делал, и оно работало. Но точно не уверен...

Подскажите пожалуйста, можно ли привести какую-нибудь из этих схем в рабочее состояние?

Господа, как лучше настроить Керио для блокировки порно сайтов...юзера задолбали...

Last_Hero
ISS+ правило HTTP в которое додаю сайты что ISS пропустил + Подаю шефу отчет о самых злостных порно-любителях

Last_Hero
Проще всего - административными методами. ))) Т.е., чтобы юзера знали, что за порнуху они получат по чайнику от начальства.

не получается выйти в клиент банк. надо открыть порт 3333. никак не выходит

Помогите, пожалуйста, разобраться! Установил Winrout, добавил пользователей. Авторизация по IP. У меня 2 сетки Внешняя и Внутрянняя. Запустил визард. Там всё элементарно и просто. Прошёл 8 шагов. Успешно закончил. Само всё настроилось, а в интернет ну вообще никак не хочет пускать! Ничего не понятно. Толи я что просмотрел...

Вот скрин настроек после визарда:




Вот скрин интерфейсов:



Как только выключаю Керио интернет тут же начинает работать. Что где закрыто - понять не могу.

NAT не выставлял, так как у меня 2 сетевых карты соответственно и 2 сетки. Не нужен же он вроде. Все локальные компы хочу пустить через прокси, которая в свою очередь будет ходить в интернет ещё через другую прокси. Вроде это каскадирование называется.

WebFX
интересно как у тебя инет будет раздаваться если у тебя даже правила с натом нет, нат нужен в любом случае, кстати понимаешь смысл технологии нат?

А через прокси он не может раздаваться, если нет НАТ?

Смысл технологии... Ну так... В общих чертах...

Он нужен для организации доступа с машин в локальной сети чере сервер, при доступе он подменяет локальные IP на внешний машины сервера. Получается что вся локалка ходит в интернет с одним IP. Так вроде?

Ну вот я визардом сделал всё с так же, только включил НАТ. Но тут он ничего не даёт. Я когда керио запущен не могу с сервера даже в интернет пробиться! В этом загвоздка.

Переделанный вариант:

WebFX
Учи здесь и здесь!

нат это технология трансляции айпи адресов, грубо говоря винроут содержит таблицу в окоторой указано с какой машины куда идёт запрос и по какому порту, на внешнем интерфейсе подменяет айпишник локальной машины на свой внешний и отправляет запрос, когда приходит ответ он смотрит в таблице с какого айпишника и по какому порту уходил запрос на этот адрес и перенаправляет этот ответ на нужную локальную машину, таким образом все машины думают что они в инете напрямую, это конечно очень грубое описание но смысл понятен.
подумай а самой проксе нужен нат или нет? запросы то на проксю идут с локальных адресов, и проксе тоже нужно знать куда ответы перенаправлять

Добавлено:
для начала тебе нужно добиться чтобы инет был на самом шлюзе

Добавлено:
WebFX
охренительный ты нат поставил, и главное думаешь что работать будет, совет: пройдись визардом ещё раз и укажи что надо

>WebFX
А в правиле для NAT интерфейс укажи внешней сети. В Translation.

Last_Hero

Цитата:

вчера пробовал настроить IBank по тому правилу,которое вы написали...прога не пошла,пришлось вернуть всё как было

Значит ей еще какого-то сервиса в этом правиле не хватает, или еще одно правило нужно добавить. Надо в логах смотреть и к коннекшене, чего ей не хватает. А лепить в одном правиле NAT и MAP это все равно, что выключить файервол. Это дыра, понимаете.

Добавлено:
piroJOKE

Цитата:

Пару схемок нарисовал для преобразования "федерального трафика" в "трафик локальный",

А что значит с "федерального трафика" в "трафик локальный". То бишь хозяин файервола, подключенного к инету платит по тарифам внешнего трафика. А вы имеете возможность подключится к этому файерволу через внутренние сети провайдера и платить как за локальный?
А схемки работать будут и верхняя и нижняя. На первом файерволе обычные правила для выхода из локалки в Инет (На верхней схеме внешним интерфейсом для NAT будет VPN, а на нижней просто внешняя сетевуха по дефолту). А на втором должно быть правило для выпуска его VPN клиента в инет. И все.

vimaret
Идея в том, что у нас трафик "внутри провайдера" очень дешев; а на внешний трафик есть определенные лимиты. Я свой лимит уже исчерпал. Теперь хочу воспользоваться лимитом удаленной точки. Ибо, как в рекламе, "зачем платить больше?".



Если остановиться на схеме с vpn-клиентом (без туннеля файрвол-файрволл), то проблема в том, что вот - я подключился, но и-нетовский трафик по прежнему идет через местный файрвол. Как его запихать в VPN? Правила со стороны сервера я создал, да - впн-клиентам "можно" в и-нет, но что нужно настроить у клиента?

* * *

Если устроить на стороне клиента баловство с route add, что прописывать ему в качестве шлюза? Меня интересует например такой вариант, что бОльшая часть траффика идет "красным" путем, а трафик к некоторым подсетям - "синим".

есть два сервера с server2003r2 sp2 +kerio 6.3.1 соединенные по vpn.
Проблемы 3.
1. На одном из них был поднят AD + dns. Как авторизовать в kerio по учетным записям? (то есть юзер заходит под учеткой в windows, потом в инет и winroute уже его определяет управляет и считает)
2. На обоиих машинах не пишутся логи web, http, connection.
3. На сервере которая пока без AD загрузка процесса winroute - 48-56% -стабильно. Отключаешь лан все спокойно. Включаешь хоть один комп в нет - снова под 50. Настройки на обоих идентичны за исключением dns fowarding (где есть dns он выключен)
Спасибо!

beeth
тут уже одного чуть выше lavren отсылал учить матчасть зайди и посмотри, как правильно настраивать керио в домене... да и вообще там много еще полезного... а авторизация автоматом из домена может проходить тока через IE или FF(c некоторой его дороботкой)... в хелпе все тож неплохо описано

Mistique

Цитата:

Не будешь в DHCP у Керио вписать default gateway, что керио и его раздал клиентам.

Опечатка. Не ЗАБУДЬ в DHCP у Керио вписать default gateway, что керио и его раздал клиентам.

beeth
Как сказал crapaud, отошлю я и тебя к мануалам!

Цитата:

Как авторизовать в kerio по учетным записям?

Учи здесь и здесь!

Цитата:

На обоиих машинах не пишутся логи web, http, connection.

Учи здесь и здесь!

Народ может ещо каво-нибуть куда-нибуть послать?

WebFX
Если интернет работает без керио надо вырубить нат на сетевухе (имется в виду нат самого винды Internet connectio sharing)
Уверен что в этом проблема.

Спасибо giorgit за заботу.
Всё уже! Разобрались. Огромное спасибо SHRIKE74!

vimaret
Огромное спасибо за помощь!
Настроил согласно указаниям вот скрин.
С машины, где установлен кирек и которая является сервером [more=ipconfig]Имя компьютера . . . . . . . . . : alin-lan
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : нет

Local - Ethernet адаптер:

Состояние сети . . . . . . . . . : сеть отключена
Описание . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet
NIC
Физический адрес. . . . . . . . . : 00-1C-25-07-2A-61

Coltel - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : 3Com 3C905TX-based Ethernet адаптер (унив
ерсальный)
Физический адрес. . . . . . . . . : 00-60-08-C4-0C-E8
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 10.2.1.89
Маска подсети . . . . . . . . . . : 255.255.0.0
IP-адрес . . . . . . . . . . . . : 10.2.14.128
Маска подсети . . . . . . . . . . : 255.255.0.0
Основной шлюз . . . . . . . . . . : 10.2.0.1
DNS-серверы . . . . . . . . . . . : 83.167.65.2
83.167.66.166

Boss - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : D-Link DGE-530T Gigabit Ethernet Adapter
Физический адрес. . . . . . . . . : 00-19-5B-6C-8A-A3
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.0.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :[/more] и [more=route print]IPv4 таблица маршрута
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 1c 25 07 2a 61 ...... Realtek RTL8139 Family PCI Fast Ethernet NIC - K
erio WinRoute Firewall
0x3 ...00 60 08 c4 0c e8 ...... 3Com 3C905TX-based Ethernet рфряЄхЁ (єэштхЁёры№э
vщ) - Kerio WinRoute Firewall
0x4 ...00 19 5b 6c 8a a3 ...... D-Link DGE-530T Gigabit Ethernet Adapter - Kerio
WinRoute Firewall
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 10.2.0.1 10.2.14.128 20
10.2.0.0 255.255.0.0 10.2.14.128 10.2.14.128 20
10.2.1.89 255.255.255.255 127.0.0.1 127.0.0.1 20
10.2.14.128 255.255.255.255 127.0.0.1 127.0.0.1 20
10.255.255.255 255.255.255.255 10.2.14.128 10.2.14.128 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.255.0 192.168.0.1 192.168.0.1 10
192.168.0.1 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.0.255 255.255.255.255 192.168.0.1 192.168.0.1 10
224.0.0.0 240.0.0.0 10.2.14.128 10.2.14.128 20
224.0.0.0 240.0.0.0 192.168.0.1 192.168.0.1 10
255.255.255.255 255.255.255.255 10.2.14.128 10.2.14.128 1
255.255.255.255 255.255.255.255 192.168.0.1 2 1
255.255.255.255 255.255.255.255 192.168.0.1 192.168.0.1 1
Основной шлюз: 10.2.0.1
===========================================================================
Постоянные маршруты:
Отсутствует[/more].
Осталась одна маленькая проблема и появилась одна посерьёзней))
1) Компьютеры своей сетки, при подключенном vpn не находят локальные ресурсы провайдера и теряют связь с ip 10.2.1.89.
2) Что-то очень сильно подгружает сервер, в какой-то момент появляется сообщение о нехватке памяти, раньше такого не наблюдалось. Где может быть засада?

Здравствуйте.
Есть локальная сеть организации 192.168.0.x/24
Есть локальная сеть провайдера 10.x.x.x
Есть подключение через PPPOE к Интернет.
[more=ipconfig]
Настройка протокола IP для Windows
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : нет
Интранет - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : D-Link DFE-520TX PCI Fast Ethernet Adapter
Физический адрес. . . . . . . . . : 00-15-E9-3D-01-4F
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 10.41.3.60
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 192.168.10.217
NetBIOS через TCP/IP. . . . . . . : отключен
Localnet - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Intel(R) PRO/100 VE Network Connection
Физический адрес. . . . . . . . . : 00-0E-A6-8C-D0-7E
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.0.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 192.168.0.100
Internet - PPP адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Физический адрес. . . . . . . . . : 00-53-45-00-00-00
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 91.192.169.45
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз . . . . . . . . . . : 91.192.169.45
DNS-серверы . . . . . . . . . . . : 192.168.10.217
NetBIOS через TCP/IP. . . . . . . : отключен
[/more]

Если Kerio остановлен, и подключен Internet, то доступен и интернет и локальные ресурсы провайдерской сети
таблица маршрутизации [more=здесь]
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 15 e9 3d 01 4f ...... D-Link DFE-520TX PCI Fast Ethernet Adapter - Kerio WinRoute Firewall Driver - Lower Layer
0x3 ...00 0e a6 8c d0 7e ...... Intel(R) PRO/100 VE Network Connection - Kerio WinRoute Firewall Driver - Lower Layer
0xc0005 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 91.192.169.45 91.192.169.45     1
10.0.0.0 255.0.0.0 10.41.3.1 10.41.3.60     1
10.41.3.0 255.255.255.0 10.41.3.60 10.41.3.60     20
10.41.3.60 255.255.255.255 127.0.0.1 127.0.0.1     20
10.255.255.255 255.255.255.255 10.41.3.60 10.41.3.60     20
91.192.169.45 255.255.255.255 127.0.0.1 127.0.0.1     50
91.255.255.255 255.255.255.255 91.192.169.45 91.192.169.45     50
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1     1
192.168.0.0 255.255.255.0 192.168.0.1 192.168.0.1     20
192.168.0.1 255.255.255.255 127.0.0.1 127.0.0.1     20
192.168.0.255 255.255.255.255 192.168.0.1 192.168.0.1     20
192.168.10.104 255.255.255.255 91.192.169.45 91.192.169.45     1
224.0.0.0 240.0.0.0 10.41.3.60 10.41.3.60     20
224.0.0.0 240.0.0.0 192.168.0.1 192.168.0.1     20
224.0.0.0 240.0.0.0 91.192.169.45 91.192.169.45     1
255.255.255.255 255.255.255.255 10.41.3.60 10.41.3.60     1
255.255.255.255 255.255.255.255 91.192.169.45 91.192.169.45     1
255.255.255.255 255.255.255.255 192.168.0.1 192.168.0.1     1
Основной шлюз: 91.192.169.45
===========================================================================
Постоянные маршруты:
Отсутствует
[/more]
И трасса до машин в локальной сети првайдера идет согласно таблице маршруов к шлюзу
10.41.3.1
[more=трасса]
Трассировка маршрута к 10.10.12.105 с максимальным числом прыжков 30
1 <1 мс <1 мс <1 мс 10.41.3.1
2 <1 мс <1 мс 1 ms 192.168.10.101
3 3 ms 4 ms <1 мс 10.10.12.105
Трассировка завершена.
[/more]

Если же Kerio включен, то становятся недоступными ресурсы локальной сети, так как все пакеты идут на шлюз к интернету и там разумеется теряются
[more=та же трасса]
Трассировка маршрута к 10.10.12.105 с максимальным числом прыжков 30
1 2 ms 1 ms 1 ms 192.168.10.104
2 * * * Превышен интервал ожидания для запроса.
3 * * * Превышен интервал ожидания для запроса.
4 * * * Превышен интервал ожидания для запроса.
[/more]

Не могу понять в чем тут дело.
В ветке честно искал, но найти ответа на вопрос не смог.

Вот еще трасса [more=ya.ru]
Трассировка маршрута к ya.ru [213.180.204.8]
с максимальным числом прыжков 30:
1 3 ms 2 ms 2 ms 192.168.10.104
2 3 ms 2 ms 2 ms 192.168.10.217
3 164 ms 2 ms 2 ms ip253.168.vpcit.ru [91.192.168.253]
4 516 ms 582 ms 413 ms 82.193.130.65
5 495 ms 401 ms 503 ms demidov-em0.yandex.net [213.180.208.13]
6 * 687 ms * golden-mpls-ekb.yandex.net [213.180.208.14]
7 357 ms 530 ms 468 ms golden-mpls-msk-vlan302.yandex.net [213.180.208.10]
8 970 ms 501 ms 114 ms bubala-vlan119.yandex.net [87.250.233.24]
9 360 ms 517 ms 486 ms ya.ru [213.180.204.8]
Трассировка завершена.
[/more]

А есть (существует ли) русский язык для 6.4.2 как на KMS 6.5.0?