» Kerio WinRoute Firewall (часть 3)

Такая проблема, локалка с диапазоном 192.168.100.* маска 255.255.255.0, подключаются клиенты лерио-ВПН, им присваивается IP в диапазоне 192.168.101.* маска 255.255.255.0
Как позволить VPN-клиентам видеть расшаренные папки?

harit
Если керио на отдельно стояшей машине то *.cfg керио сохрани и переустанови систему конфиги в керио заменить
по мне так быстрее чем последствия вирей разгребать.

Bear39

А где папки расшарены?

fdska
папки расшарены не у ВПН-клиента, а в сетке 192.168.100.*

Bear39
в какой то из тем про керио я писал решение поищи, просто ещё раз писать эту тираду влом, писал кстати недавно совсем


Добавлено:
о, нашёл
сделай правило разрешающее впн клиентам видеть сеть и обратно, но обращаться к машинам в сети сможешь только по айпишникам, если хочешь по именам то поднимаешь в сети винс, на впн адптере машины которой хочешь подключиться к сети в алтернативной конфигурации можешь указать айпишник свободный из подсети куда хочешь коннектится а в свойствах TCP\IP в дополнительных параметрах добавляешь днс контроллера внутри сети если он есть и вписываешь днс суффикс , если контроллера нет тогда указываешь в качестве днс внутренний айпишник шлюза, там ше во вкладке винс указываешь айпишник сервера где поднят винс.
ни в коем случае не меняй основные сетевые параметры в впн адптере, пусть он получает настройки автоматом.
и добавка, совсем забыл, надо включить нетбиос.
кстати вряд ли ты папки и компы увидишь через сетевое окружение, проще зайти на комп по айпишнику или по имени и прицепить расшаренные папки как сетевые диски

Bear39

А почему бы просто не сделать так, что бы у VPN сервера и клиентов, которым он раздает IP, были бы IP 192.168.100.*. Все равно, я так понимаю, количество клиентов ограничено, то есть небольшое. Главное что бы если эти клиенты конектятся из своей сетки которая соответствует 192.168.100.* не перекрывались адреса.

fdska

Цитата:

Но если я ее поставлю, тогда у пользователя при открытии браузера Kerio будет запрашивать логин и пароль, а мне хотся как в ISA, что бы аутентификация происхадила автоматом.

Так не бывает, чтобы ничего не делать и что-то получить.
У тебя сеть с доменом? Если да, то настрой мэпинг пользователей из Active Directory. Тогда сможешь использовать авторизацию по NTLM и никакого запроса на ввод пароля не будет появляться.
Если сеть без домена, то можешь настроить автоматическую регистрацию по IP. Но тогда подсчет трафика, фактически, будет осуществляться в разрезе компов, что не удобно если компы в конторе что называется "коллективного пользования". К тому же такой вариант не сработает в случае использования на компах DHCP....

ne0_2002

Дык в том то весь и баг, что авторизация не проходит. Есть домен, есть DHCP, есть DNS, есть и пользователи и группы с домена, все есть, а авторизации нет-)))). То есть пока не поставить галку "Always require users...." в "Authentication options" и не ввести пользователя домена, подсчет трафика идет "unricognizet usesr", как только авторизируешься, все чики-пуки. Я поэтому понять не могу, я что ли такой рукастый.

Цитата:

Приветсвую...
Имееться 2003 сервак, ОДНА сетевая
Стоит Gene6 FTP Server 3.10.0 ftp работает
Ради защиты извне ставлю winroute 6.4.2 ,
ставлю правила (для проверки работоспособности): 1 отовсду к фаерволу порты все, и 2 от фаервола всюду порты все

ftp ИЗВНЕ непускает, с фаервола пускает,
останавливаю winroute все опять работает


В чем траблы могут то быть???

решение было такое: сменил со стандартного 21 порта на любой другой.... и все зашибись...

fdska
Без авторизации они у тебя так и будут "Unrecognized" (иначе и быть не может). Чтобы исключить ручной ввод пароля (раз уж сеть с доменом) смотри ниже:

Ну и доступ разрешай юзерам домена, а не из локальной базы керио (там с списке пользователей вверху выпадающий список есть).

Добавлено:
fdska Hint: на моей памяти автоматическая авторизация не проходила только с оперой...

народ стоит керио 6.4.0 статистика которая относится к внешней карте (wan) разница со статистикой прова.... кто что может сказать?

Доброго времени суток!
У меня к Вам следующий вопросик, надеюсь чего подскажете.
Мне необходимо в офисе создать резервный канал.
Основной канал у меня ADSL (ADSL маршрутизатор стоит).
Резервный будет Ethernet - тупо витая пара протянутая в офис и статический IP от провайдера.
Естественно для переключения между каналами собираюсь использовать KWF.

Пока у нас только стоит ADSL и прокси мы ны не используем. Пользователи прозрачно выходят в инет через ADSL роутер с помощью NAT. Т.е. в качестве шлюза стоит IP ADSL модема 192.168.0.1 + прописаны два DNS сервера, которые любезно предоставил нам господин провайдер.
1) При появлении прокси на винроуте и доп. резервного канала какие настройки
прописать в качестве DNS у юзеров? Ведь DNS у каждого провайдера разный. Шлюзом то понятно будет является мой прокси.
2) Затем если в качестве DNS прописать IP моего прокси сервера, тогда где хранить DNS'ы одного прова и другого?
3) Что на проксе на внешнем сетевом интерфейсе указать а качестве шлюза? Сейчас по умолчанию там IP ADSL роутера. А ведь в случае использования резервного канала нужно будет указать новый шлюз, или его вообще может не быть.........и не забыть про DNS серверы. Голова кругом, подскажите как бы вы это грамотно организовали.
Спасибо.

У меня примерно похожая ситуация (сеть без домена). Резервного канала нет но сделал бы на твоем месте так.

На модеме ставишь фильтр - не кого в инет не пускать кроме машины на которой керио. Клиенты работают через керио по прокси. таким образом когда понадобиться резервный канал либо в ДНС Форварде в керио поставишь нужный ДНС либо в настройках самой сетевой. А клиентом менять ничего не придется

Цитата:

Клиенты работают через керио по прокси

а если есть софт которому надо напрямую в инет а настроек прокси нету? например клинт- банк какой нибудь, как тогда?

и еще можно ли сделать так.........для локала 1 сетевуха.....для внешки 2 сетевухи(т.е. для двух каналов)

Цитата:

а если есть софт которому надо напрямую в инет а настроек прокси нету?

Ничего не подскажу увы. Видимо надо на керио тогда нат подымать а модем мостом включать перенеся функцию подключения к инету на машину где керио (или просто отключить НАТ на модеме если возможно). Сам такого не практиковал поэтому это только мысли в слух : )

Подскажите позжлста, можна ли используя сабж, ограничивать скорость UP/down для каждого пользователя? Спасибо!

можно , но только этот порог будет один для всех называется закладка bandwidth limit, и не забуть у пользователей поставить галку не блокировать траффик!!

спасибо, но про этот способ я знала, и так не пойдет

установил сабж, очень понравился, все супер, но вот нужно контролировать скорость up/down для каждого пользователя подскажите альтернативу или может какую дополнительную прогу! Заранее спасибо!

RuzzzStudios
в этой теме есть такие

snayper7
Спасибо! Но мне бы что-то что будет работать с Kerio WinRoute Firewall

И еще вопросы:
1) скажите Kerio WinRoute Firewall нормально работатет вместе с cFosSpeed?
2) вкладка bandwidth limit позволяет ограничить скорость из локалки? т.е. с того компа где стоит WinRoute Firewall - ограничение не действует? спасибо!

Frose

Цитата:

и не забуть у пользователей поставить галку не блокировать траффик!!

подскажи, это где такая галка? спасибо!

RuzzzStudios

Цитата:

Спасибо! Но мне бы что-то что будет работать с Kerio WinRoute Firewall

да все может работать...

Цитата:

подскажи, это где такая галка? спасибо!

закладки на users

Скажите еще позлста какие есть конкуренты у сабжа?

RuzzzStudios

Цитата:

Скажите еще позлста какие есть конкуренты у сабжа?

Смотря что понимать под конкурентами. Например ISA или UserGate.

не пойму почему не работает bandwidth limit ? помогите разобратся

устанавливаю ограничение, далее у всех ползователей на вкладке квота выставляю порог в 1мб на скачку, после чего галку ставлю не блокировать трафик а уипользовать ограничение скорости, все равно пользователи при скачивании mp3-шек грузят канал

???

Люди помогите!!! Не пойму, но ограничение скорости на вкладке bandwidth limit у меня просто не работате! Выставил пользователям лимит скачивания 1mb после чего должен действовать этот лимит скорости но он не действует, кто хочет то и грузит канал, подскажите где хоть почитать

DiMidRoLL666
Лучше всего поднять свой кеширующий ДНС. Правда если трафик не лимитирован.
http://ru-board.com/new/article.php?sid=161
Тогда ты точно не зависишь от провайдеров... Но опцию forwarders включать не надо.
P.S. Прекращая возможный флуд на тему BIND+Win ...
1. BIND прекрастно работает под windows особенно на шлюзах (IMHO лучше MS DNS)
2. Настройки практически теже что и в статье только вместо "/" нужно "\" и смотреть за путями и правами на файлы.

RuzzzStudios
В керио с помощью этого лимитера можно сделать 3 группы ползователей с разными ограничениями:
1. Безлимит
2. Лимит выставленный на вкладке "bandwidth limit"
3. Лимит после превышения квоты (юзеру в профиле ставится ставится 1 кб).
Дальше по настройке...
Создаёш группу для которой трафик не лимитруется вообще.
В "bandwidth limit" выставляеш скорость в "КИЛОБАЙТАХ!!!" как для "All large data..." так и для превысивших квоту.
Нажимаеш на кнопку "Advanced" выбираеш сервисы для которых включать шейпер либо включать шейпер для всех сервисов.
На закладке "Constraints" ставиш точку в "Apply to all except..." и гиже выбираеш группу безлимитников.
На закладке "Advanced" ставиш 1/1
По идее должно работать.

скажите переодически в статистике по пользователям вижу вот такую закачку
Передача больших файлов
Файлы: 7 | Переданные данные: 17 690 KB
Активность P2P не обнаружена Показать сведения
Скрыть сведения

ПускДлительностьСведения
09:06Загрузить из fpdownload2.macromedia.com 2 527 KB
swflash.cab10:320:01Загрузить из fpdownload2.macromedia.com 2 526 KB
swflash.cab10:32Загрузить из fpdownload2.macromedia.com 2 525 KB
swflash.cab10:33Загрузить из fpdownload2.macromedia.com 2 528 KB
swflash.cab10:330:01Загрузить из fpdownload2.macromedia.com 2 527 KB
swflash.cab10:330:01Загрузить из fpdownload2.macromedia.com 2 527 KB
swflash.cab10:330:01Загрузить из fpdownload2.macromedia.com 2 526 KB
swflash.cab

помогает отключение на клиенте в управлении надстройками отключение flash, как то можно это побороть в керио, делал в правилах блокировку по ip и по host, какие еще варианты есть???

Вопрос такой:
На Win 2003 Стоит Kerio WF 6.4.2 + Mdaemon 9.5. Можно ли настроить Винрут таким образом,чтобы доступа в инетрнет с сервака вообще не было(+ отрезать доступ по максимому в инет), но чтобы почта работала!Если кто настраивал раньше , плз выложите свой скрин Trafic Policy.

Добрый день всем, надеюсь что хоть тут мне дадут ответ на вопрос.

Суть вопроса такова
Имеем машинку на ней стоит windows server 2003 r2, и керио файервол.
Проблема заключается в том что у пользователей отваливается интернет, ну т.е на серваке есть интернет а на пользователей домена он не распостраняется.
Обычно такая ситуация проявляется с утра пораньше. Приходиться выключать полностью Керио и заново его включать, да и то не всегда помогает.

У Керио лицензия на 20 человек и каждый юзер перед тем как открыть страничку интернета должен авторизоваться, иногда получается так, что очередь забивается и пробиться в Керио не возможно даже если я в Керио нажимаю на юзеров и выбираю пункт логаут. И еще иногда в списке активных хостов бывает один и тотже юзер, хотя на юзерской машине вход был выполнен единожды.

Может кто-то что-нибудь подскажет по этому вопросу?
Есть какие-нибудь идеи по моему вопросу?

ryuzaky
Src-FireWall
Dst-Internet
Service-(вместо ANY) Ping,DNS,POP3,SMTP
Action-Permit

С cервака можно будето только пинговать и почту получать\забирать.