Tihon_one
Цитата:
спасибо, помогло.
Цитата:
на клиентах добавь в зону интранета хост квф
спасибо, помогло.
» Kerio WinRoute Firewall (часть 5)
Есть такая проблема:
-имеется сервер в инете с Kerio 6.6.0.5729, к нему подключаются клиенты с помощью Kerio VPN Client. Связь между клиентами VPN работает отлично, но каким образом разрешить этим клиентам выход через Kerio в инет? или он на это не способен? я просто где-то читал что он для этого не предназначен.
-имеется сервер в инете с Kerio 6.6.0.5729, к нему подключаются клиенты с помощью Kerio VPN Client. Связь между клиентами VPN работает отлично, но каким образом разрешить этим клиентам выход через Kerio в инет? или он на это не способен? я просто где-то читал что он для этого не предназначен.
Sergio BY
Да, шлюз по умолчанию остается прежним, но в качестве решения можно либо открыть прокси наружу либо добавить тот самый маршрут руками.
Да, шлюз по умолчанию остается прежним, но в качестве решения можно либо открыть прокси наружу либо добавить тот самый маршрут руками.
просто все это только и мутится ради VPN, прокси у меня имеется на другой машине, для наших целей - не подходит. А маршрут на машине клиента прописывать я так понял нужно или на сервере тоже? Если на стороне клиента, не подскажете как это можно автоматизировать?
подскажите, что это за ошибка
warning.log
[07/Aug/2009 10:20:32] (1012) Particular network traffic lost or was modified by conflicting software or KWF driver disabled on some interface!
warning.log
[07/Aug/2009 10:20:32] (1012) Particular network traffic lost or was modified by conflicting software or KWF driver disabled on some interface!
t1amat
некорректные (для керио) изменения в настройках сетевых интерфейсов или отключение кериевского драйвера (лов дров) в сетевых настройках
некорректные (для керио) изменения в настройках сетевых интерфейсов или отключение кериевского драйвера (лов дров) в сетевых настройках
NegoroX
настройки интерфейсов вроде нормальные
один наружу смотрит
второй в локалку
у Kerio Virtual Network Adapter в настройках TCP должно стоять получать адрес автоматически? он не пытается с внутрисетевого DHCP его получать? хотя адрес у него не из локалки
настройки интерфейсов вроде нормальные
один наружу смотрит
второй в локалку
у Kerio Virtual Network Adapter в настройках TCP должно стоять получать адрес автоматически? он не пытается с внутрисетевого DHCP его получать? хотя адрес у него не из локалки
t1amat
Скинь скрины настроек сетевых интерфейсов из винды.
Скинь скрины настроек сетевых интерфейсов из винды.
Если я на сетевухе вписываю еще один ip, то kerio (6.5.2) видит это все как один интерфейс. Соответственно рулить ip с разными правилами не удается. Как заставить kerio чтобы он видел дополнительный ip как новый интерфейс. Купить еще сетевуху нет возможности.
Керио непонимает алиасы.
Добавлено:
ставьте вторую сетевушку! и не парьте мозги.
Добавлено:
ставьте вторую сетевушку! и не парьте мозги.
Sergio BY
Цитата:
bat файл
Цитата:
t1amat
В свойствах сетевых подключении убедитесь, что галочки стоят на Kerio Winroute Firewall на обоих интерфейсах.
Mystical
Без сетевухи никак
Цитата:
не подскажете как это можно автоматизировать?
bat файл
Цитата:
route add -p 0.0.0.0 mask 255.255.255.255 192.168.1.1 Metric 1
t1amat
В свойствах сетевых подключении убедитесь, что галочки стоят на Kerio Winroute Firewall на обоих интерфейсах.
Mystical
Без сетевухи никак
Tihon_one
attaattaatta
Блин, ну там сервак фирменый IBM слимовый, 2-х юнитовый от силы. Даже если сетевуха и полезет, то в планах еще несколько ip на него завести. Так точно места не хватит для втыкания. Вообще фишка изначально в том, что это вэб сервер с разными интернет доменами и хочется всем дать разные ip, ну и плюс сервер доступа интернет. В апаче почитал, что все современные системы без проблем справляются с этим. Единственный выход в данном случае это переход на типа FreeBSD?
З.Ы. Если кто думает зачем извращаться с одной машиной, то во-первых 16 ядер ксеон и 16 гигов памяти на серваках, во-вторых питания и места не хватает чтобы их плодить сотнями.
attaattaatta
Блин, ну там сервак фирменый IBM слимовый, 2-х юнитовый от силы. Даже если сетевуха и полезет, то в планах еще несколько ip на него завести. Так точно места не хватит для втыкания. Вообще фишка изначально в том, что это вэб сервер с разными интернет доменами и хочется всем дать разные ip, ну и плюс сервер доступа интернет. В апаче почитал, что все современные системы без проблем справляются с этим. Единственный выход в данном случае это переход на типа FreeBSD?
З.Ы. Если кто думает зачем извращаться с одной машиной, то во-первых 16 ядер ксеон и 16 гигов памяти на серваках, во-вторых питания и места не хватает чтобы их плодить сотнями.
Mystical
Цитата:
Только ifconfig aliases, в любой unix и unix-like среде.
Цитата:
то в планах еще несколько ip на него завести
Только ifconfig aliases, в любой unix и unix-like среде.
Mystical
Цитата:
виртуальные машины не думали на нем поднять?
Цитата:
то во-первых 16 ядер ксеон и 16 гигов памяти
виртуальные машины не думали на нем поднять?
Цитата:
виртуальные машины не думали на нем поднять?
Имхо самое правильное решение!)))))
Mystical
Ну раз такое продвинутое железо, что мешает двух головую сетевуху поставить? кинь партнамбер сервака...
+1 к виртуалкам
Ну раз такое продвинутое железо, что мешает двух головую сетевуху поставить? кинь партнамбер сервака...
+1 к виртуалкам
Господа, помогите советом.
Задавал вопрос в другой ветке - послали сюда
Более 2-х лет назад ставил KWF. После долгих танцев с бубном и шаманства остановился на версии 6.2.2. До сих пор работает как часы. Сейчас возникла необходимость обновить версию, т.к. нужен подсчет трафика и желательно средствами самого керио.
Какую посоветуете версию поставить, не обязательно новую, так как бубен временно потерян (эксперименты с разными версиями мне не простят).
Задавал вопрос в другой ветке - послали сюда
Более 2-х лет назад ставил KWF. После долгих танцев с бубном и шаманства остановился на версии 6.2.2. До сих пор работает как часы. Сейчас возникла необходимость обновить версию, т.к. нужен подсчет трафика и желательно средствами самого керио.
Какую посоветуете версию поставить, не обязательно новую, так как бубен временно потерян (эксперименты с разными версиями мне не простят).
всем добрый день! на сервере стоит керио 6.5 настроено так
dsl- бриджевое соединение с инетом
local - сетевуха которая в хаб идет
users - группа пользователей которым разрешен инет
ip-group - ip компов которые могут залогиниться на файрволе
dsl firewall ftp,http,kerio vpn V
_____________________________________________
users dsl any V
_____________________________________________
ip-group firewall any V
_____________________________________________
local,firewall local any V
_____________________________________________
any any any X
вот есть один юзер в сети который хочет играть в ла2. сейчас он в группе ip-group И в группе users. когда раньше стояла 3прокси то у него все работало. теперь не работает. вроде ничего ей не мешает.
dsl- бриджевое соединение с инетом
local - сетевуха которая в хаб идет
users - группа пользователей которым разрешен инет
ip-group - ip компов которые могут залогиниться на файрволе
dsl firewall ftp,http,kerio vpn V
_____________________________________________
users dsl any V
_____________________________________________
ip-group firewall any V
_____________________________________________
local,firewall local any V
_____________________________________________
any any any X
вот есть один юзер в сети который хочет играть в ла2. сейчас он в группе ip-group И в группе users. когда раньше стояла 3прокси то у него все работало. теперь не работает. вроде ничего ей не мешает.
Привет! Может кто сталкивался?
Версия winroute - 6.6.0, 6.7.0
Провайдер - Корбина, Москва.
Соединение с интернетом устанавливается так:
1. Получаем адрес по DHCP вида 10.*.*.* (это локалка корбины)
2. Устанавливаем соединение по PPTP, получаем внешний адрес.
Локальный интерфейс - 192.168.100.*
Правила - те, что визард прописывает по умолчанию, то есть локалка за натом.
Всё работает замечательно, кроме того, что winroute неверно определяет внешний IP. Он почему-то решает, что корбинская локалка - это и есть инет.
И для служб DynDNS, UPnP итд, даёт адрес локалки корбины 10.*.*.*
С DynDNS проблему я решил, установив официальный обновляльщик с их сайта.
ТЕперь осталась только напрягающая вещь в uTorrent например, в логах UPnP запись:
UPnP: Got external IP: 10.59.*.*
То есть winroute всё же заблуждается по поводу внешнего IP.
Если кто-то сталкивался и решил, либо знает, как можно вылечить, прошу, не держите в себе!
Версия winroute - 6.6.0, 6.7.0
Провайдер - Корбина, Москва.
Соединение с интернетом устанавливается так:
1. Получаем адрес по DHCP вида 10.*.*.* (это локалка корбины)
2. Устанавливаем соединение по PPTP, получаем внешний адрес.
Локальный интерфейс - 192.168.100.*
Правила - те, что визард прописывает по умолчанию, то есть локалка за натом.
Всё работает замечательно, кроме того, что winroute неверно определяет внешний IP. Он почему-то решает, что корбинская локалка - это и есть инет.
И для служб DynDNS, UPnP итд, даёт адрес локалки корбины 10.*.*.*
С DynDNS проблему я решил, установив официальный обновляльщик с их сайта.
ТЕперь осталась только напрягающая вещь в uTorrent например, в логах UPnP запись:
UPnP: Got external IP: 10.59.*.*
То есть winroute всё же заблуждается по поводу внешнего IP.
Если кто-то сталкивался и решил, либо знает, как можно вылечить, прошу, не держите в себе!
HueponiK
В группе "Интернет интерфейсы" оставьте только тот, что PPTP. А сам WAN перенесите в "Другие". Может поможет =)
В группе "Интернет интерфейсы" оставьте только тот, что PPTP. А сам WAN перенесите в "Другие". Может поможет =)
attaattaatta
Спасибо, но это первое, что я попробовал.
Пробовал во все 3 группы - не помогает
Спасибо, но это первое, что я попробовал.
Пробовал во все 3 группы - не помогает
Захотелось попробовать поставить пароль на xp
поставил пароль решил сделать автоматический вход без ввода пароля\
control userpasswords2
потом для пущей уверенности ччто керио зайдет указал пароль в службе.
В результате керио не запускается выдает ошбику 1058.
Указанная служба не может быть запущена, поскольку она отключена или все связанные с ней устройства отключены.
Инфы толком не нашел кроме того что помогает в таких случаях снести ветку реестра в службах - HKLM/System/CurrentControlset/services/winroute снес.
Теперь ошибка 3 мол путь не найден. Вернуть ветку реестра могу но не знаю не вызовет ли она снова ошибку. Запустив сам файлик Winroute.exe все работает.
Есть идеи?
поставил пароль решил сделать автоматический вход без ввода пароля\
control userpasswords2
потом для пущей уверенности ччто керио зайдет указал пароль в службе.
В результате керио не запускается выдает ошбику 1058.
Указанная служба не может быть запущена, поскольку она отключена или все связанные с ней устройства отключены.
Инфы толком не нашел кроме того что помогает в таких случаях снести ветку реестра в службах - HKLM/System/CurrentControlset/services/winroute снес.
Теперь ошибка 3 мол путь не найден. Вернуть ветку реестра могу но не знаю не вызовет ли она снова ошибку. Запустив сам файлик Winroute.exe все работает.
Есть идеи?
z3r
а ведь достаточно было вернуть галку на вкладке службы "Вход в систему" - "С системной учетой записью"
попробуй импортируй рег файл и поправь пути на свои если установлен не по умолчанию и сбрось Security:
Код:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinRoute]
"Type"=dword:00000010
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):22,00,43,00,3a,00,5c,00,50,00,72,00,6f,00,67,00,72,00,61,00,\
6d,00,20,00,46,00,69,00,6c,00,65,00,73,00,5c,00,4b,00,65,00,72,00,69,00,6f,\
00,5c,00,57,00,69,00,6e,00,52,00,6f,00,75,00,74,00,65,00,20,00,46,00,69,00,\
72,00,65,00,77,00,61,00,6c,00,6c,00,5c,00,77,00,69,00,6e,00,72,00,6f,00,75,\
00,74,00,65,00,2e,00,65,00,78,00,65,00,22,00,00,00
"DisplayName"="Kerio WinRoute Firewall"
"DependOnService"=hex(7):4e,00,54,00,4c,00,6d,00,53,00,73,00,70,00,00,00,00,00
"DependOnGroup"=hex(7):00,00
"ObjectName"="LocalSystem"
"FailureActions"=hex:2c,01,00,00,00,00,00,00,00,00,00,00,03,00,00,00,4d,00,41,\
00,01,00,00,00,98,3a,00,00,01,00,00,00,98,3a,00,00,00,00,00,00,98,3a,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinRoute\Enum]
"0"="Root\\LEGACY_WINROUTE\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
а ведь достаточно было вернуть галку на вкладке службы "Вход в систему" - "С системной учетой записью"
попробуй импортируй рег файл и поправь пути на свои если установлен не по умолчанию и сбрось Security:
Код:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinRoute]
"Type"=dword:00000010
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):22,00,43,00,3a,00,5c,00,50,00,72,00,6f,00,67,00,72,00,61,00,\
6d,00,20,00,46,00,69,00,6c,00,65,00,73,00,5c,00,4b,00,65,00,72,00,69,00,6f,\
00,5c,00,57,00,69,00,6e,00,52,00,6f,00,75,00,74,00,65,00,20,00,46,00,69,00,\
72,00,65,00,77,00,61,00,6c,00,6c,00,5c,00,77,00,69,00,6e,00,72,00,6f,00,75,\
00,74,00,65,00,2e,00,65,00,78,00,65,00,22,00,00,00
"DisplayName"="Kerio WinRoute Firewall"
"DependOnService"=hex(7):4e,00,54,00,4c,00,6d,00,53,00,73,00,70,00,00,00,00,00
"DependOnGroup"=hex(7):00,00
"ObjectName"="LocalSystem"
"FailureActions"=hex:2c,01,00,00,00,00,00,00,00,00,00,00,03,00,00,00,4d,00,41,\
00,01,00,00,00,98,3a,00,00,01,00,00,00,98,3a,00,00,00,00,00,00,98,3a,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinRoute\Enum]
"0"="Root\\LEGACY_WINROUTE\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
Мне в Kerio WinRoute Firewall иногда очень не хватает возможности ограничить полосу пропускания (вх/исх) для конкретных пользователей (задать для каждого свои ограничения), а не одно на группу.
Можно это как-то обойти?
Планируется ли подобное у разработчиков Kerio когда-нибудь в скором будущем?
Ребята, подкажите, какой альтративный софт есть, для раздачи инета, чтобы удовлетворял вышеуказанному требованию. Желательно, чтобы ещё число коннектов тоже можно было регулировать.
Может быть даже что-то под Линукс посмотреть?
Можно это как-то обойти?
Планируется ли подобное у разработчиков Kerio когда-нибудь в скором будущем?
Ребята, подкажите, какой альтративный софт есть, для раздачи инета, чтобы удовлетворял вышеуказанному требованию. Желательно, чтобы ещё число коннектов тоже можно было регулировать.
Может быть даже что-то под Линукс посмотреть?
lizun
Вообще планируется. точной даты нет, но задача приоритетная.
Вообще планируется. точной даты нет, но задача приоритетная.
lizun
SQUID все это умеет и под Вынь и под Линь
SQUID все это умеет и под Вынь и под Линь
Объясните плиз, для чего нужно указыватьна "внешнем" интерфейсе первым DNS сервером адрес "внутреннего" (статья про правильную настройку из шапки)?
Wenzel
Не верте в эту чушь!
Не верте в эту чушь!
Камрады, бьюсь над такой проблемой:
есть 2 выхода в интернет. первый - основной, второй - дополнительный, работает в случае сбоя первого. Но на второй есть желание подвесить удаленный доступ к нам (это вроде работает) и почтовый сервер, дабы канал не простаивал просто так. Беда в том, что почтовик принимает почту, как надо, по второму интерфейсу, а вот отправляет по первому! Это нам не нравится, и, мало того, это лишний повод отфутболить наши письма как спам (по PTR записи или из-за несоответствия PTR и MX-записей).
Где копать, что-то не соображу. Версия 6.6.0. Почтовый сервак внутри сети, очевидно, ему нужен NAT. Правило сейчас выглядит так:
Source - LAN (можно указать IP адрес сервака)
Destination - группа "Интернет"
служба - SMTP
трансляция - NAT (по умолчанию)
Пытался вместо группы "Интернет" ставить конкретно второй интерфейс - не работает. NAT делал через второй интерфейс - тоже не работает.
Мне так кажется, надо править маршруты, беда только в том, что, насколько я понимаю, в настройке маршрутов в Kerio указывается только адрес или подсеть назначения, а нам они неизвестны. Источник там не указывается.
есть 2 выхода в интернет. первый - основной, второй - дополнительный, работает в случае сбоя первого. Но на второй есть желание подвесить удаленный доступ к нам (это вроде работает) и почтовый сервер, дабы канал не простаивал просто так. Беда в том, что почтовик принимает почту, как надо, по второму интерфейсу, а вот отправляет по первому! Это нам не нравится, и, мало того, это лишний повод отфутболить наши письма как спам (по PTR записи или из-за несоответствия PTR и MX-записей).
Где копать, что-то не соображу. Версия 6.6.0. Почтовый сервак внутри сети, очевидно, ему нужен NAT. Правило сейчас выглядит так:
Source - LAN (можно указать IP адрес сервака)
Destination - группа "Интернет"
служба - SMTP
трансляция - NAT (по умолчанию)
Пытался вместо группы "Интернет" ставить конкретно второй интерфейс - не работает. NAT делал через второй интерфейс - тоже не работает.
Мне так кажется, надо править маршруты, беда только в том, что, насколько я понимаю, в настройке маршрутов в Kerio указывается только адрес или подсеть назначения, а нам они неизвестны. Источник там не указывается.
--удалено
Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667
Предыдущая тема: CISCO ROUTER Проброс группы портов
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.