Stres
я разобрался в чём было дело, не работало потому что в сетевых подключениях основным был внешний интерфейс
я разобрался в чём было дело, не работало потому что в сетевых подключениях основным был внешний интерфейс
» Kerio WinRoute Firewall (часть 4)
Ладно, не подсказываете про антивирусы - не надо, сам уже разобрался ) Если знаете, подскажите плз как заблокировать он-лайн мультимедиа? Я читал, про установку типа MIME в *stream* - радио как слушали так и слушают. Дабы вы не подумали, что я неправильно правило прописал, скажу, что если *stream* заменить на *video* и попробовать что то качнуть из видео то правило срабатывает или заменить на *audio* то тоже при закачке аудио правило срабатывает. Хотя не всегда, если жмакать кнопку без прямой ссылки то пропускает и видео и аудио ( Видимо что то тут и со стримом...
PODs
Попробуйте закрыть порт прослушки. Обычно у онлайн-радио они стандартные.
Попробуйте закрыть порт прослушки. Обычно у онлайн-радио они стандартные.
Arakcheev
Смотрел я по активности пользователей - идет подключение через прокси на 80 порт )))) Как тут его закроешь. Пока сделал правила на запрет групп урл *radio*, *stream*, *.m3u*. Но если хорошо покапаться в инете, то все равно можно найти это гребанное радио.....
Смотрел я по активности пользователей - идет подключение через прокси на 80 порт )))) Как тут его закроешь. Пока сделал правила на запрет групп урл *radio*, *stream*, *.m3u*. Но если хорошо покапаться в инете, то все равно можно найти это гребанное радио.....
PODs
Пусти всех через непрозрачный прокси, так безопаснее и надежнее.
Пусти всех через непрозрачный прокси, так безопаснее и надежнее.
qrock
Ну так они у меня через непрозрачный и ходят, я имелл ввиду, что итоговый выход идет на 80 порт по радио
З.Ы. И еще вопросик - консоль администрирования-статус-активные хосты внизу по каждому пользователю отображается информация куда он ходил, на какие веб ресурсы и т.п. Так вот, по некоторым сайтам висит информация двухчасовой давности (я так понял, если эти сайты постоянно обновляются у пользователя), а по некторым через некоторое время пропадает. Как бы так настроить, что бы было видно всю активность пользователей за определенный период времени, допустим за сутки?
Ну так они у меня через непрозрачный и ходят, я имелл ввиду, что итоговый выход идет на 80 порт по радио
З.Ы. И еще вопросик - консоль администрирования-статус-активные хосты внизу по каждому пользователю отображается информация куда он ходил, на какие веб ресурсы и т.п. Так вот, по некоторым сайтам висит информация двухчасовой давности (я так понял, если эти сайты постоянно обновляются у пользователя), а по некторым через некоторое время пропадает. Как бы так настроить, что бы было видно всю активность пользователей за определенный период времени, допустим за сутки?
Я подключен к провайдеру через вай фай канал. Переодически возникают ситуации когда скорость канала падает. Провайдер объясняет это переполнением буфера точек доступа (макс. производительность 2000 пакетов \сек) То, что причиной увеличения числа пакетов могут быть вредоносы и надо с ними бороться, эт понятно. Интересует, как можно в Винроуте ограничить кол-во пакетов, прходящих на внешний интерфейс, чтобы исключиь ситуации с переполнением буфера ТД??
Liderdomofon
Цитата:
всем скорость ограничить
Цитата:
Интересует, как можно в Винроуте ограничить кол-во пакетов, прходящих на внешний интерфейс, чтобы исключиь ситуации с переполнением буфера ТД??
всем скорость ограничить
Всем привет у меня такая проблема. Стоит Kerio 6.5 русский. 3 сетевые карточки одна смотрит в локалку и две подключены к интернету обе выделенки. Но они почему-то вместе не хотят нормально работать, не проходит протокол https. Если по отдельности то всё работает
RuzaК скорости это не имеет прямого отношения. Радиоканал - 54 мб с запасом. скорость подключения к провайдера - 6 мб. Те по скоростям все в порядке. Скорость конечно же зарублена, проблема в том, что хороший троян может просто затопить буфер точки скажем ДНС запросами. Вот я и думаю, как это сделать. Количество подключений к хосту тоже вроде не из этой оперы..
Liderdomofon
Цитата:
Входящая скорость 100 мбит...
Цитата:
Не к хосту, а с одного хоста... Это тоже поможет но о р2р можно забыть...
sanchosskor
Правила https покажи....
Цитата:
К скорости это не имеет прямого отношения. Радиоканал - 54 мб
Входящая скорость 100 мбит...
Цитата:
Количество подключений к хосту тоже вроде не из этой оперы..
Не к хосту, а с одного хоста... Это тоже поможет но о р2р можно забыть...
sanchosskor
Правила https покажи....
Liderdomofon
Начни с анализа пакетов: какой именно протокол порождает избыточное количество пакетов(и какого, кстати, размера пакеты?!)?
уверен в следующем:
0. ТД ОБЯЗАНА уметь пропускать ту полосу, на которую расчитана. иначе это "вот вам провод на 220 вольт, но больше ста давать нельзя..." Бред, одним словом.
1. Проверь размер МТУ на точке. При плохих условиях связи, большом количестве ретрейнов, перегруженной клиентами базовой станции - провайдер поставит маленький МТУ и все будет смотреться вроде бы хорошо.. за исключением описаного тобой.
2. Это вообще оффтоп.
3. Лезь на точку смотри статистику связи, и если ретрейнов больше 5-10% - снижай ей скорость. Именно на ТД надо снижать скорость! Попробуй поставить 24 или даже 12. Это обычно помогает. заодно посмотри размер пакета.
4. Если тебя(читай: твою точку) ддосят - ты НИЧЕГО не решишь винроутом по проблеме скорости. Это только настройки ТД.
ps: Что за точка-то?
Начни с анализа пакетов: какой именно протокол порождает избыточное количество пакетов(и какого, кстати, размера пакеты?!)?
уверен в следующем:
0. ТД ОБЯЗАНА уметь пропускать ту полосу, на которую расчитана. иначе это "вот вам провод на 220 вольт, но больше ста давать нельзя..." Бред, одним словом.
1. Проверь размер МТУ на точке. При плохих условиях связи, большом количестве ретрейнов, перегруженной клиентами базовой станции - провайдер поставит маленький МТУ и все будет смотреться вроде бы хорошо.. за исключением описаного тобой.
2. Это вообще оффтоп.
3. Лезь на точку смотри статистику связи, и если ретрейнов больше 5-10% - снижай ей скорость. Именно на ТД надо снижать скорость! Попробуй поставить 24 или даже 12. Это обычно помогает. заодно посмотри размер пакета.
4. Если тебя(читай: твою точку) ддосят - ты НИЧЕГО не решишь винроутом по проблеме скорости. Это только настройки ТД.
ps: Что за точка-то?
Может кто даст ссылку на руссификатор/кроме kerio.ru/,а то все керио на англицком(но кой они мне).
dvk54
точки БлюБокс... Скорость уже зарубил на 6м мб, хоть понимания вопроса нет, интуитивно понял... Размер пакета и буфера сейчас буду выяснять.. Спасибо огромное за толковое участие в проблеме.
точки БлюБокс... Скорость уже зарубил на 6м мб, хоть понимания вопроса нет, интуитивно понял... Размер пакета и буфера сейчас буду выяснять.. Спасибо огромное за толковое участие в проблеме.
Ребят возник вопрос , сначала захотел посоветоваться прежде чем делать, собственно к делу.
1.Есть два подключения PPPoE, одно безлимитное другое по трафику.
Нужно их прикрутить к Винде что бы работали одновременно, на эту тему нашел raspppoe вроде бы как должно помоч. Ну подключу Я два этих подключения , а керио нормально их разрулит , что бы кто то по одному интервейсу в инет ходил , кто то по другому?? Новерное будет но все же, может кто уже сталкивался с этим???
1.Есть два подключения PPPoE, одно безлимитное другое по трафику.
Нужно их прикрутить к Винде что бы работали одновременно, на эту тему нашел raspppoe вроде бы как должно помоч. Ну подключу Я два этих подключения , а керио нормально их разрулит , что бы кто то по одному интервейсу в инет ходил , кто то по другому?? Новерное будет но все же, может кто уже сталкивался с этим???
alegar
Софтина уже давно на русском, а описание переведено в шапке тож уже как 2 года ))
Frose
Если разрулит (настроишь ??? ) то дальше варианты: либо делишь пользователей на АДРЕСНЫЕ группы и разрешаешь кому что положено ПРАВИЛАМИ, либо ставь еще одну сетевую карту, и делай еще одну подсеть, и уже подсетям разрешай по каким интерфейсам ходить. В любом случае, все интерфесы и подсети должны быть в непересекающихся областях адресов.
Софтина уже давно на русском, а описание переведено в шапке тож уже как 2 года ))
Frose
Если разрулит (настроишь ??? ) то дальше варианты: либо делишь пользователей на АДРЕСНЫЕ группы и разрешаешь кому что положено ПРАВИЛАМИ, либо ставь еще одну сетевую карту, и делай еще одну подсеть, и уже подсетям разрешай по каким интерфейсам ходить. В любом случае, все интерфесы и подсети должны быть в непересекающихся областях адресов.
нет это явно не выход, но тут еще один косяк вообщем инет по PPPoE , по двум договорам от одного провайдера. но на свитче провайдера(упровляемй свитч) нам выделено две дырки при чем мне нужно что бы одно подключение A было через дырку свитча A , а подключение В через дырку В и не как не наоборот, но как так сделать , если PPPoE исчет подключение через широковещательные пакеты, учитывая что у меня будет две линии до провайдера, как мне это разрулить то?? что то Я вообще не доумеваю!!
Поставь 2 машины )) одну на одного провайдера, и раздай инет с нее, вторую с другого ))
Как в итоге сделать авторизацию в Винроут через ВНП ? Желательно, виндозный. Я прочитал все что написано было выше, так ничего конструктивного не нашел. Домен не нужен, нужно чтоб клиент подключался скажем в винду по ВПН и при этом регистрировался в винроуте. Делаю так: поднял ВПН на 2003-м сервере, клиенты коннектяться в выделенную подсеть, адреса статичные. В керио включаю автоматическую регистрацию, указываю адрес этого клиента. Правилами разрешаю интерфейсу Dial-in ходить в шлюз. Инет работает, но клиенты не регистрируется, и квоты не работают. Тогда создаю адресную группу=адреса виндозного ВПН, и в автоматической регистрации, кроме адреса хоста, указываю группу. Работает! Регистрируется клиент, считается трафик, срабатывает квота. далее, делаю несколько юзеров таким образом. Путаются при регистрации: по чужим адресам определяются другие имена. Смотрю, в чем дело: в настройках исчезает галочка, связанная с выбором группы. Как это, не ясно, но она оттуда исчезает. Тогда я бросаю это все, и включаю DHCP для виндозных RAS клиентов. Все хорошо, адреса выдаются, но из диапазона локальной сети. Тогда они не отправляются за инетом.В итоге, к вечеру моск опух, и что делать дальше, не ясно )))) Кто нить знает, как решить эту задачу?
Как в итоге сделать авторизацию в Винроут через ВНП ? Желательно, виндозный. Я прочитал все что написано было выше, так ничего конструктивного не нашел. Домен не нужен, нужно чтоб клиент подключался скажем в винду по ВПН и при этом регистрировался в винроуте. Делаю так: поднял ВПН на 2003-м сервере, клиенты коннектяться в выделенную подсеть, адреса статичные. В керио включаю автоматическую регистрацию, указываю адрес этого клиента. Правилами разрешаю интерфейсу Dial-in ходить в шлюз. Инет работает, но клиенты не регистрируется, и квоты не работают. Тогда создаю адресную группу=адреса виндозного ВПН, и в автоматической регистрации, кроме адреса хоста, указываю группу. Работает! Регистрируется клиент, считается трафик, срабатывает квота. далее, делаю несколько юзеров таким образом. Путаются при регистрации: по чужим адресам определяются другие имена. Смотрю, в чем дело: в настройках исчезает галочка, связанная с выбором группы. Как это, не ясно, но она оттуда исчезает. Тогда я бросаю это все, и включаю DHCP для виндозных RAS клиентов. Все хорошо, адреса выдаются, но из диапазона локальной сети. Тогда они не отправляются за инетом.В итоге, к вечеру моск опух, и что делать дальше, не ясно )))) Кто нить знает, как решить эту задачу?
Всем привет!
После выхода Kerio Winroute Firewall 6.5.0 слышал что можно сделать разделение интернета (не буду утверждать, что и в ранних версиях нельзя было сделать).
А именно: Входящий трафик идет через одного провайдера, исходящий через другого. Кто уже интересовался подобной фишкой, у кого какие соображения?
В наличии: Два провайдера и локальная сеть.
После выхода Kerio Winroute Firewall 6.5.0 слышал что можно сделать разделение интернета (не буду утверждать, что и в ранних версиях нельзя было сделать).
А именно: Входящий трафик идет через одного провайдера, исходящий через другого. Кто уже интересовался подобной фишкой, у кого какие соображения?
В наличии: Два провайдера и локальная сеть.
FameRebel
Цитата:
А мануал почитать слабо? там всё расписано
Цитата:
После выхода Kerio Winroute Firewall 6.5.0 слышал что можно сделать
А мануал почитать слабо? там всё расписано
Всем здравствуйте!
Подскажите, обо что я дурак:
Машина с Керио, два интерфейса, в нате провайдера дырка на нестандартном порту (напр 5432).
На шлюзе (2k srv) был поднят IIS и создано правило: IF inet -> Firewall port 5432 Permit MAP 127.0.0.1 port 80. Веб-сервер был доступен и снаружи и изнутри; Через некоторое время он переехал на один из внутрисетевых серверов, с изменением целевого IP в маппинге на адрес нового сервера. Изнутри сети сайт доступен, а снаружи-нет. В логе фильтров через правило маппинга проходит четыре пакета, откликов нет, никаких пакетов запрещающими правилами не блокируется.
конфиги интерфейсов:
шлюз:
if inet
IP 172.16.7.2
MSK 255.255.255.252
GW 172.16.7.1
if lan
IP 192.168.1.13
MSK 255.255.255.0
GW
серв:
if lan
IP 192.168.1.2
MSK 255.255.255.0
GW 192.168.1.13
p.s.
IIS на шлюзе остановлен.
Подскажите, обо что я дурак:
Машина с Керио, два интерфейса, в нате провайдера дырка на нестандартном порту (напр 5432).
На шлюзе (2k srv) был поднят IIS и создано правило: IF inet -> Firewall port 5432 Permit MAP 127.0.0.1 port 80. Веб-сервер был доступен и снаружи и изнутри; Через некоторое время он переехал на один из внутрисетевых серверов, с изменением целевого IP в маппинге на адрес нового сервера. Изнутри сети сайт доступен, а снаружи-нет
. В логе фильтров через правило маппинга проходит четыре пакета, откликов нет, никаких пакетов запрещающими правилами не блокируется. конфиги интерфейсов:
шлюз:
if inet
IP 172.16.7.2
MSK 255.255.255.252
GW 172.16.7.1
if lan
IP 192.168.1.13
MSK 255.255.255.0
GW
серв:
if lan
IP 192.168.1.2
MSK 255.255.255.0
GW 192.168.1.13
p.s.
IIS на шлюзе остановлен.
apreobr
Правила должно быть 2...
1. Any - FW - 5432 - permit - MAP to IP:80
2. IP - any - any- permit - NAT
И раз пакеты проходят то смотри в логах сервера IIS может настроено на ответ только из локалки...
Правила должно быть 2...
1. Any - FW - 5432 - permit - MAP to IP:80
2. IP - any - any- permit - NAT
И раз пакеты проходят то смотри в логах сервера IIS может настроено на ответ только из локалки...
Ruza
Второе правило есть, но через него бегают только DNS запросы.
Ограничений у IIS6 (2k3) в разделе Безопасность каталога-ограничения IP адресов-пусто
В логах filter при обращении к веб-серверу внутри сети откладываются только:
[08/Jan/2009 12:59:30] PERMIT "mts iis" packet from inet, proto:TCP, len:48, ip/port:79.140.71.94:3425 -> 172.16.7.2:5111, flags: SYN , seq:1854821108 ack:0, win:65535, tcplen:0
[08/Jan/2009 12:59:33] PERMIT "mts iis" packet from inet, proto:TCP, len:48, ip/port:79.140.71.94:3425 -> 172.16.7.2:5111, flags: SYN , seq:1854821108 ack:0, win:65535, tcplen:0
а при работе маппинга на локальный сервер пакеты шли:
[24/Dec/2008 10:44:49] PERMIT "mts iis" packet from inet, proto:TCP, len:48, ip/port:80.240.242.8:47503 -> 172.16.7.2:5111, flags: SYN , seq:2801186491 ack:0, win:64240, tcplen:0
[24/Dec/2008 10:44:49] PERMIT "mts iis" packet to inet, proto:TCP, len:48, ip/port:172.16.7.2:82 -> 80.240.242.8:47503, flags: SYN ACK , seq:2954488090 ack:2801186492, win:17424, tcplen:0
[24/Dec/2008 10:44:49] PERMIT "mts iis" packet from inet, proto:TCP, len:40, ip/port:80.240.242.8:47503 -> 172.16.7.2:5111, flags: ACK , seq:2801186492 ack:2954488091, win:64800, tcplen:0
[24/Dec/2008 10:44:49] PERMIT "mts iis" packet from inet, proto:TCP, len:529, ip/port:80.240.242.8:47503 -> 172.16.7.2:5111, flags: ACK PSH , seq:2801186492 ack:2954488091, win:64800, tcplen:489
[24/Dec/2008 10:44:49] PERMIT "mts iis" packet to inet, proto:TCP, len:1492, ip/port:172.16.7.2:82 -> 80.240.242.8:47503, flags: ACK , seq:2954488091 ack:2801186981, win:16935, tcplen:1452
[24/Dec/2008 10:44:49] PERMIT "mts iis" packet to inet, proto:TCP, len:373, ip/port:172.16.7.2:82 -> 80.240.242.8:47503, flags: ACK PSH , seq:2954489543 ack:2801186981, win:16935, tcplen:333
Такое впечатление, что маппинг наружу просто не работает %((
в логах IIS при запросах снаружи ничего не откладывается...
Вопрос закрыт.
на шлюзе оказался неизвестно когда, кем и за каким запущена служба маршрутизации.
после остановки маппинг заработал как и положено.
Ruza, спасибо!
Второе правило есть, но через него бегают только DNS запросы.
Ограничений у IIS6 (2k3) в разделе Безопасность каталога-ограничения IP адресов-пусто
В логах filter при обращении к веб-серверу внутри сети откладываются только:
[08/Jan/2009 12:59:30] PERMIT "mts iis" packet from inet, proto:TCP, len:48, ip/port:79.140.71.94:3425 -> 172.16.7.2:5111, flags: SYN , seq:1854821108 ack:0, win:65535, tcplen:0
[08/Jan/2009 12:59:33] PERMIT "mts iis" packet from inet, proto:TCP, len:48, ip/port:79.140.71.94:3425 -> 172.16.7.2:5111, flags: SYN , seq:1854821108 ack:0, win:65535, tcplen:0
а при работе маппинга на локальный сервер пакеты шли:
[24/Dec/2008 10:44:49] PERMIT "mts iis" packet from inet, proto:TCP, len:48, ip/port:80.240.242.8:47503 -> 172.16.7.2:5111, flags: SYN , seq:2801186491 ack:0, win:64240, tcplen:0
[24/Dec/2008 10:44:49] PERMIT "mts iis" packet to inet, proto:TCP, len:48, ip/port:172.16.7.2:82 -> 80.240.242.8:47503, flags: SYN ACK , seq:2954488090 ack:2801186492, win:17424, tcplen:0
[24/Dec/2008 10:44:49] PERMIT "mts iis" packet from inet, proto:TCP, len:40, ip/port:80.240.242.8:47503 -> 172.16.7.2:5111, flags: ACK , seq:2801186492 ack:2954488091, win:64800, tcplen:0
[24/Dec/2008 10:44:49] PERMIT "mts iis" packet from inet, proto:TCP, len:529, ip/port:80.240.242.8:47503 -> 172.16.7.2:5111, flags: ACK PSH , seq:2801186492 ack:2954488091, win:64800, tcplen:489
[24/Dec/2008 10:44:49] PERMIT "mts iis" packet to inet, proto:TCP, len:1492, ip/port:172.16.7.2:82 -> 80.240.242.8:47503, flags: ACK , seq:2954488091 ack:2801186981, win:16935, tcplen:1452
[24/Dec/2008 10:44:49] PERMIT "mts iis" packet to inet, proto:TCP, len:373, ip/port:172.16.7.2:82 -> 80.240.242.8:47503, flags: ACK PSH , seq:2954489543 ack:2801186981, win:16935, tcplen:333
Такое впечатление, что маппинг наружу просто не работает %((
в логах IIS при запросах снаружи ничего не откладывается...
Вопрос закрыт.
на шлюзе оказался неизвестно когда, кем и за каким запущена служба маршрутизации.
после остановки маппинг заработал как и положено.
Ruza, спасибо!
Существует ли нормальный шейпер трафика для Kerio WinRoute Firewall 6.5, который позволяет выставить ограничения по скорости отдельно по пользователям/группам?
ITeXPert
Я отдельной проги не встречал... Да и хватало в принципе встроенного - из него 3 группы получается.
Я отдельной проги не встречал... Да и хватало в принципе встроенного - из него 3 группы получается.
ITeXPert
присмотрись к SoftPerfect Bandwidth Manager
использую вместе с винроутом, конфликтов нет...
присмотрись к SoftPerfect Bandwidth Manager
использую вместе с винроутом, конфликтов нет...
А Я все аки нашел выход как разрулить два PPPoE подключения,что бы подключались именно потем кабелям которым хочу и без двух прокси , просто к одному концу подрублю роутер с поддержкой PPPoE , а дальше конец воткну в Kerio и будет счастье Я думаю!!!!
Всем доброго времени суток.
Ситуация следующая: есть подключение к интернету (byfly.by) через ADSL модем Zyxel 645R. Модем в режиме роутера.
После модема стоит сервер в WinXP + KWF 6.4.1
В KWF поднят DHCP, включен NAT и все разрешено. Никаких ограничений и правил практически нет. KWF стоит исключительно для кэширования, DHCP и логов (кто куда когда зачем).
Т.к. основной рабочий сайт был перенесен на внутреннюю площадку провайдера (в перечень бесплатных внутренних ресурсов), сейчас есть необходимость в настройке гостевого доступа для бесплатного трафика с этим сайтом.
Вся загвоздка в том, что провайдер (у нас многие так делают) внутренние ресурсы предоставляет бесплатно только по отдельному логину.
А чтобы пользователи могли пользоваться и тем и другим одновременно, предлагают настроить свои подключения след. образом: http://ftp.byfly.by/byfly/byfly.rar (23 Мб)
Вкратце, чтобы не качать столько: на модеме настраивается только гостевой логин для внутренних ресурсов, а на компе юзера дополнительно настраивается виртуальное PPPoE соединение с логином для всего остального нета.
Потом прописываются некоторые routы http://ftp.byfly.by/byfly/routing/guest_mgts.bat и после соединения внутренний трафик идет через гостевой логин напрямую, а тарифицируемый - через платный логин в PPPoE соединении.
Такой геммор имеет кучу недостатков:
- нельзя работать с нескольких машин (только по бесплатным ресурсам), т.к. PPPoE соединение может быть только одно - для обхода этого как раз и нужен KWF
- нужно каждый раз подключаться (типа "дозваниваться", но это можно обойти при помощи rasdial)
- и пр.
Так вот, меня интересует, можно ли настроить KWF на сервере таким образом, чтобы он работал с этими двумя подключениями? И отсысал запросы пользователей на правильные соединения (бесплатный трафик на интерфейс модема, а платный - на PPPoE соединение). Чтобы на машинах юзерей ничего не нужно было прописывать (там ноутов много, они по разным сетям кочуют..).
Я подозреваю, что данные из файла http://ftp.byfly.by/byfly/routing/guest_mgts.bat нужно будет вносить как раз в настройки KWF, а не в саму винду, вот только куда и как?
И как настроить роутинг на нужное соединение?
Очень нужна ваша помощь.
Ситуация следующая: есть подключение к интернету (byfly.by) через ADSL модем Zyxel 645R. Модем в режиме роутера.
После модема стоит сервер в WinXP + KWF 6.4.1
В KWF поднят DHCP, включен NAT и все разрешено. Никаких ограничений и правил практически нет. KWF стоит исключительно для кэширования, DHCP и логов (кто куда когда зачем).
Т.к. основной рабочий сайт был перенесен на внутреннюю площадку провайдера (в перечень бесплатных внутренних ресурсов), сейчас есть необходимость в настройке гостевого доступа для бесплатного трафика с этим сайтом.
Вся загвоздка в том, что провайдер (у нас многие так делают) внутренние ресурсы предоставляет бесплатно только по отдельному логину.
А чтобы пользователи могли пользоваться и тем и другим одновременно, предлагают настроить свои подключения след. образом: http://ftp.byfly.by/byfly/byfly.rar (23 Мб)
Вкратце, чтобы не качать столько: на модеме настраивается только гостевой логин для внутренних ресурсов, а на компе юзера дополнительно настраивается виртуальное PPPoE соединение с логином для всего остального нета.
Потом прописываются некоторые routы http://ftp.byfly.by/byfly/routing/guest_mgts.bat и после соединения внутренний трафик идет через гостевой логин напрямую, а тарифицируемый - через платный логин в PPPoE соединении.
Такой геммор имеет кучу недостатков:
- нельзя работать с нескольких машин (только по бесплатным ресурсам), т.к. PPPoE соединение может быть только одно - для обхода этого как раз и нужен KWF
- нужно каждый раз подключаться (типа "дозваниваться", но это можно обойти при помощи rasdial)
- и пр.
Так вот, меня интересует, можно ли настроить KWF на сервере таким образом, чтобы он работал с этими двумя подключениями? И отсысал запросы пользователей на правильные соединения (бесплатный трафик на интерфейс модема, а платный - на PPPoE соединение). Чтобы на машинах юзерей ничего не нужно было прописывать (там ноутов много, они по разным сетям кочуют..).
Я подозреваю, что данные из файла http://ftp.byfly.by/byfly/routing/guest_mgts.bat нужно будет вносить как раз в настройки KWF, а не в саму винду, вот только куда и как?
И как настроить роутинг на нужное соединение?
Очень нужна ваша помощь.
Цитата:
можно ли настроить KWF на сервере таким образом, чтобы он работал с этими двумя подключениями? И отсысал запросы пользователей на правильные соединения (бесплатный трафик на интерфейс модема, а платный - на PPPoE соединение). Чтобы на машинах юзерей ничего не нужно было прописывать (там ноутов много, они по разным сетям кочуют..).
Можно
Цитата:
Я подозреваю, что данные из файла http://ftp.byfly.by/byfly/routing/guest_mgts.bat нужно будет вносить как раз в настройки KWF, а не в саму винду, вот только куда и как?
По барабану - можно в систему, а можно и в керио добавить
Цитата:
И как настроить роутинг на нужное соединение?
лучше обновить до 6.5 там реализована работа 2-х каналов...
в более ранних надо будет создавать группу ip из файла и писать правило типа
localnet - group IP - any - permit - NAT to vpn-pppoe
Ruza
Цитата:
т.е. получается, что я могу этот файл прописать в винде сервера, а керио сам будет использовать эти прописанные роуты по нужному каналу (если обновиться на 6.5)?
Тогда получется, что вообще ничего настраивать не нужно...?
Добавлено:
Хм, вот что еще нашел в FAQ на pcsecurity:
Цитата:
Очень похоже на мой случай, и подтверждает ваши предположения по поводу роутов.
Цитата:
По барабану - можно в систему, а можно и в керио добавить
т.е. получается, что я могу этот файл прописать в винде сервера, а керио сам будет использовать эти прописанные роуты по нужному каналу (если обновиться на 6.5)?
Тогда получется, что вообще ничего настраивать не нужно...?
Добавлено:
Хм, вот что еще нашел в FAQ на pcsecurity:
Цитата:
Организация и настройка 2-х сетевых подключений средствами KWF
Цитата:
deniskin
Зачем мне это было надо. На одном АДСЛ(АДСЛ№1) безлимит и как следствие ограничение 128кбит/сек. Т.к. в сети примерно 15 машин и многие играют Линейдж2 и т.т. то канала явно мало, при нагрузке пинг весьма высокий. Подключили 2й АДСЛ(АДСЛ№2) с оплачиваемым трафиком (по жлобски 500р абонентки + 3,5руб мегабайт), но без ограничения скорости. Провайдер не обсчитывает трафик в пределах своей сети, игровые сервера находятся в сети провайдера. Следовательно надо промаршрутизировать на внутренние ИПы провайдера через АДСЛ№2, все остальное через АДСЛ№1. Тем самым игровые сервера на быстрой линии, и играющие не занимают золотой безлимитный 128кбит/сек АДСЛ№1.
Оба АДСЛ подключаем через сетевые карты к Компу-шлюзу. 2 ПППОЕ не удасться запустить одновременно, поэтому на АДСЛ№2 ПППОЕ на самой железке АДСЛ№2. В трафик полиси прописываем 2 правила:
1 sourse "локальная сеть" destination "no limit" any permit NAT ADSL№2
где "no limit" - группа адресов не обсчитываемых по трафику провайдером.
2 sourse "локальная сеть" destination any permit NAT ADSL№1
Именно в таком порядке.
В роутинг табеле добавляем статические роуты (create static route ставим галочку) где нетворк и нет маск - подсеть провайдера не обсчитываемая по трафику. Интерфейс - сетевая карта через которую подключен АДСЛ№2. Гейтэвей-ИП АДСЛ№2 (у меня 192.168.100.1 (учитывая что на АДСЛ№2 ПППОЕ на самой железке)). Такие роуты прописываем для всех подсетей провайдера (у нашего провайдера их 7). Роуты не обязательно писать в КЕРИО, можно и в виндовс через route add... но это для любителей поизвращаться. Вот и все... Скрины роут табеля и трафик полисей прилагаю, где ADSLBUG=АДСЛ№2, inet=АДСЛ№1
TrafficPolicy
Route table
Также смотрите здесь.
Очень похоже на мой случай, и подтверждает ваши предположения по поводу роутов.
Страницы: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768
Предыдущая тема: realtek rtl8169 and vlan
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.