» Kerio WinRoute Firewall (часть 5)

dariusii
при включении на NAT журнал пустой

мне кажеться, что проблема в маршрутах...

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 On-link 89.209.81.183 11
10.0.0.0 255.255.255.0 On-link 10.0.0.1 4501
10.0.0.1 255.255.255.255 On-link 10.0.0.1 4501
10.0.0.255 255.255.255.255 On-link 10.0.0.1 4501
89.209.81.183 255.255.255.255 On-link 89.209.81.183 266
127.0.0.0 255.0.0.0 On-link 127.0.0.1 4531
127.0.0.1 255.255.255.255 On-link 127.0.0.1 4531
127.255.255.255 255.255.255.255 On-link 127.0.0.1 4531
192.168.0.0 255.255.255.0 On-link 192.168.0.1 4501
192.168.0.1 255.255.255.255 On-link 192.168.0.1 4501
192.168.0.255 255.255.255.255 On-link 192.168.0.1 4501
224.0.0.0 240.0.0.0 On-link 127.0.0.1 4531
224.0.0.0 240.0.0.0 On-link 192.168.0.1 4506
224.0.0.0 240.0.0.0 On-link 10.0.0.1 4506
224.0.0.0 240.0.0.0 On-link 89.209.81.183 11
255.255.255.255 255.255.255.255 On-link 127.0.0.1 4531
255.255.255.255 255.255.255.255 On-link 192.168.0.1 4501
255.255.255.255 255.255.255.255 On-link 10.0.0.1 4501
255.255.255.255 255.255.255.255 On-link 89.209.81.183 266
===========================================================================

SLDay
пинг с клиентов на внешние адреса (не имена) идет?
в маршрутах? а сам сервер же наверняка в инет ходит.

dariusii
Сервер ходит на все адреса и имена как локалки так и инета, клиенты пингуют как внешний интерфейс (89.209.81.183), так и внутренний (192.168.0.1), но на любые другие внешние IP адреса и имена с клиентов пинг не идет.

И еще, помему в Таблице маршрутизации Winroute высвечивается только два маршрута:
10.0.0.0 255.255.255.0 On-link 10.0.0.1 4501
и
192.168.0.0 255.255.255.0 On-link 192.168.0.1 4501

почему напирмер не светится 0.0.0.0?

Добавлено:
Неужели этот вопрос не решаемый?

SLDay
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 91.123.16.1 91.123.17.не скажу 20
91.123.16.0 255.255.252.0 91.123.17.не скажу 91.123.17.не скажу 20
91.123.17.не скажу 255.255.255.255 127.0.0.1 127.0.0.1 20
91.255.255.255 255.255.255.255 91.123.17.не скажу 91.123.17.не скажу 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.255.0 192.168.0.1 192.168.0.1 10
192.168.0.1 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.0.255 255.255.255.255 192.168.0.1 192.168.0.1 10
192.168.8.0 255.255.255.0 192.168.8.198 192.168.0.1 10
192.168.8.198 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.8.255 255.255.255.255 192.168.8.198 192.168.0.1 10
224.0.0.0 240.0.0.0 91.123.17.не скажу 91.123.17.не скажу 20
224.0.0.0 240.0.0.0 192.168.0.1 192.168.0.1 10
255.255.255.255 255.255.255.255 91.123.17.не скажу 91.123.17.не скажу 1
255.255.255.255 255.255.255.255 192.168.0.1 192.168.0.1 1
Основной шлюз: 91.123.16.1
===========================================================================
сравни.

Здравствуйте, может кто поможет советом!

недавно появилась такая проблемка на инет-сервере который раздает инет юзерам.

На интернет-сервере установлены win2000server + KWF 4.2.3 + wingate 5.2.3. Так вот последнне время пользователи начали жаловаться что инет тормозит и страницы грузятся несколько минут. Поставил на сервер Iris Network Traffic Analyzer и оказалось что активность юзеров минимальна а качает все сам сервер(ну или как вариант трафик идет через него) в анализе протоколов видно что трафик идет через "other"(сотни мегов набегает за день) по остальным протоколам http, ftp, pop3 и тд трафик минимальный.

В первую очередь сервак был проверен на вирусы - все чисто. Пробовал отключал локальную карту актиивность сразу падает значит никакой заразы на серваке нет, как только включаю карту а с ней и юзеров снова такая беда не могу вот только понять как победить эту проблемку! может ли кто-то подключаться к серваку и через него качать?

буду благодарен за любые советы!

somebodyhome
tcpview

niichavo

Цитата:

technotrance
попробуй добавить в "политику HTTP" правило, разрешающее вход на http://your-corp-site любым пользователям без аутентификации с любого IP.

Спасибо!!! Всё получилось

Переезд сети из 50 рабочих станций (сеть 192.168.11.*) + интернет-сервер(WinRoute 4.2.4, MDaemon 7.2.5, выделенный реальный IP) + DC (domain center-office.local), DNS (зона center-office.local), DHCP (область center-office.local)
будет осуществлен в офисное здание,
где уже работают 70 рабочих станций нашей компании (сеть 192.168.5.*) + интернет-сервер(WinRoute 6.*.*, выделенный реальный IP) + DC(domain branch-office.local), DNS (зона branch-office.local), DHCP (область branch-office.local).
Провайдер предоставляет лишь один интернет канал, но с несколькими реальными IP адресами. Физически связать две сети проблем не возникнет. Задача: обеспечить обе подсети интернетом (соответственно с раздельным подсчетом трафика, авторизацией, ограничениями и т.д.), почтой (желательно, чтобы при переписке внутри этих двух подсетей траффик не выходил наружу), предоставить общий доступ для обеих подсетей к документам и базам 1с (работают в терминале). Есть еще несколько удаленных филиалов, которые используют корпоративный mail-сервер. Где лучше расположить почтовый сервер, если я его сейчас сгенерирую на новом отдельном системном блоке перед WR или за ним? Для отсеивания спама Mdaemon'у нужно видеть внешние входящие ip. Не возникнет ли конфликтов между серверами DHCP, расположенными в разных подсетях? Прошу советов по организации схемы работы сети. Заранее спасибо.

Господа! Подскажите!
Стоит Kerio WinRoute Firewall 6.5.2 5172
Две сетвых
1. Локалка
IP-адрес . . . . . . . . . . . . : 192.168.1.5
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
2. Инет
DNS-суффикс этого подключения . . : beeline.ua
IP-адрес . . . . . . . . . . . . : 10.44.52.243
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 10.44.52.1

Инет подключаеться через VPN
DNS-суффикс этого подключения . . : beeline.ua
IP-адрес . . . . . . . . . . . . : 10.44.52.243
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 10.44.52.1

B Kerio всего три правила всем можно идти в инет. Включен DHCP сервер и DNS переадрисация. Юзеры получаю ip 192.168.1.100-192.168.1.200, DNS 192.168.1.5, Geteway 192.168.1.5

До вчерашнего дня все работало. Сейча инет у юзеров по именам не работает, а если вместо имени вписать IP то все работает в нутри сети все работает. Думал вирус какой. Снес все винт форматнул, залил новую систему, поставил тока Kerio и настроил сеть. Где копать уже не знаю...

Доброго времени суток!
Поставил керио 6.6.0. Все настроил. Все работает. Появилась необходимость заблочить доступ к соц сетям. Поискал мануал. Да вроде ничего там сложного и нет. Но не работает. Пользователь нормально определяется, а вот пускает повсюду, что не запрещай.

Перекачал версию 6.5.2. То же самое.

Где я мог совершить ошибку?

Anderson2004

Цитата:

Появилась необходимость заблочить доступ к соц сетям. Поискал мануал. Да вроде ничего там сложного и нет. Но не работает. Пользователь нормально определяется, а вот пускает повсюду, что не запрещай.

Перекачал версию 6.5.2. То же самое.

Где я мог совершить ошибку?

Так и осталось тайной как ты это делал. Создай в "http-политике" правило, запрещающее выход на нужные_тебе_сайты.

dariusii

Цитата:

кстати. вопрос всем. а разве нельзя отобразить удобочитаемые конфиги этой программы. только, скриншоты?

на скриншотах трафик полиси - все очевидно и видно хорошо.
а такие текстовые трафик полиси - только вы сами и будете читать мне влом.

SLDay
в скрине маршрутизации я почему то не вижу ни одного шлюза и вообще марщрута на внешнийц шлюз

в скрине трафик полисей полный бардак
1. правила обрабатываются последовательно с верзу в них
при попадании на правило соттв запросу дальше оно уже не обрабатывается
поэтому правило локалки-и компа фаера - рекомендуют пихать в самый верх
далее - у тебя правила например хттп=фаер из локалки - выше правила локалка-интернет-нат - и на этом уже может быть затык. попробуй его поднять на самый верх и поставить псоле правила локалки-компа.

вот инструкция с картинками - http://kerio-rus.ru/index.php?option=com_content&task=view&id=13&Itemid=36

помогла очень многим. начни с простейших правил.

ну и надеюсь ты знаешь что винда жутко не переносит когда шлюз указан в настройках нескольких сетевух?
кстати в маршрутах я вообще не вижу что бы у тебя был выбран хоть какой то шлюз основным - ты комманжу запускал чтоли при выключенном ппое?

А как быть в случае когда у меня провайдер сначало присваивает сетевой карте шлюз, а потом еще и ВПН соединению по которому раздает интернет?

somebodyhome

Цитата:

может ли кто-то подключаться к серваку и через него качать?

может. это зависит - какие порты у тебя открыты в трафик полиси - если стоит Ани - то все че хочешь полезет через сервак из локалки - те же вирусы или п2п обмен файлами, или например Finam - программа по работе с биржами - прожорлива жуть как - если не настроить пореже обновлять инфу - а в логах ее не будет.

в момент активности можно смотреть утилитой тспвиев как тебе подсказали или в керио - статус - подключения

Добавлено:
demonxp22

Цитата:

у меня следующая проблема...ка ктолько включаю керио, то сразу пропадает инет в браузере...в чем причина?уже все правила подуалял..а инета нет....в аську зашло....

телепаты - тут - http://forum.ru-board.com/topic.cgi?forum=2&topic=2359&start=1100
а нам нужно видеть твои

тут нужен скриншот тарфик полисей и результаты комманд
ipconfig /all
print route
с пояснениями - какой ип и какая сетевуха зачем и на что смотрит



Добавлено:
rbrempel

Цитата:

До вчерашнего дня все работало. Сейча инет у юзеров по именам не работает, а если вместо имени вписать IP то все работает в нутри сети все работает. Думал вирус какой. Снес все винт форматнул, залил новую систему, поставил тока Kerio и настроил сеть. Где копать уже не знаю...

у меня начиная с какой то версии то же были проблемы с автризацией по именам и не только у меня - пришлось перейти на авторизацию по https - так работает без проблем уже пол года.


Цитата:

А как быть в случае когда у меня провайдер сначало присваивает сетевой карте шлюз, а потом еще и ВПН соединению по которому раздает интернет?

ну тут конфликта не возникает - т.к. на сетевухе у тебя ручками только на одной шлюз стоит по умолчанию как основной - а при впн соединении винда коррекно его меняет и все правильно понимает.

а вот если будет на двух сетевухах или более шлюз стоят ручками или получаться с разных сетей - тода будут проблемы с отпаданием маршрутов и зависаниями и прочими радостями. причем не чего не мешает указать шлюз на одной сетевухе а остальные машруты на другие шлюзы прописать ручками через настройку маршрутов.

Всем привет.

С керио работаю не первый день. Настраивать умею.
Купили керио, установили. Запустил мастер и настроил все по дефолту.
Все работает как часы, но почта глючит. У пользователей по 2 почтовых ящика - RU и COM. Почта COM и приходит и уходит отлично. Но RU - уходит отлично, но не приходит. Майкрософт Аутлук2007(и с СП1 и без него) начинает закачку и стоит. Так может долго ничего не делать. Потом выдает ошибку: "Задача 'admin@rusglobal.ru - получение' сообщила об ошибке (0x800CCC0B) : ' Отклик сервера: +OK 2872 bytes will follow'".
Пробовал разные версии керио - не помогло. Настроил Аутлук Експресс - работает. Но мы не можем перейти на него. Хранилища почты от 400Mb до 8Gb.
Звоню в техподдержку - руками разводят и косят в сторону аутглюка. Но проблема от этого не решается.

А иногда такую ошибку -
Задача 'admin@rusglobal.ru - получение' сообщила об ошибке (0x800CCC0F) : 'Соединение с сервером было прервано. Если ошибка повторится, обратитесь к администратору сервера или поставщику услуг Интернета. Отклик сервера: +OK 2872 bytes will follow'

Lexys
попробуй для POP3 убрать инспектора протокола.
ЗЫ. А точно WinRoute виноват?

доброго времени суток всем друзья. столкнулся с такой проблемой при настройке данного софта - не считается трафик по пользователям. теперь подробнее. AD на на -цать машин. контроллер на 1вом сервере, KWRF на отдельной машине (router). router включен в состав домена, учетные записи из домена он ловит, все пользователи домена в KWRF видно нормально. стоят галки в настройках "включить автоматическую аунтефикацию пользователя веб обозревателем ". Врубать непрозрачный прокси не удобно, т.к. придется на каждой машине перенастраивать все аськи-фигаськи на работу с проксей, ставить аунтефикацию тока веб обозревателем - просто смешно потому что осной вной трафик жрется на аськофаилообмен и скайппотреп, делать привязку к ip тоже не вариант, так как пользователи частенько мигрируют (типа-слыш у тя микрофон круче, дай я у тя по скайпу потрещу). вообщем хотельсьбы услышать советы бывалых о том как это лечить, на что обратить внимание и заработаетт ли вообще...или поставить Tmetr и не пресовать себе мосх. спасибо за внимание. собсна в списке активности пользователя нет ни одного аунтефицированного юзера. весь трафик считается как "остальное", активность по пользователям не показывает.
PS: подозреваю что выше данный вопрос поднимался, но просто физически нет времени читать и выискивать.
PPS: маны курил - не вставило..чота там не договаривают полюбому )

Pstudiopuh

Цитата:

не считается трафик по пользователям ...

Цитата:

Врубать непрозрачный прокси не удобно, т.к. придется на каждой машине перенастраивать все аськи-фигаськи на работу с проксей, ставить аунтефикацию тока веб обозревателем - просто смешно потому что осной вной трафик жрется на аськофаилообмен и скайппотреп, делать привязку к ip тоже не вариант, так как пользователи частенько мигрируют (типа-слыш у тя микрофон круче, дай я у тя по скайпу потрещу)

Вот поэтому и не считается. Никакие "аськи-фигаськи" перенастраивать не надо. Настрой правило NAT только для "аутентифицированных пользователей" или выбери любую группу из AD. Тогда пока пользователь не аутентифицируется, у него не будет ничего работать. А как откроет страничку яндекса, например, то заработает и ася и фигася. Т.е. основной недостаток - это предварительное посещение внешней веб-странички. В статистике будет отображаться информация по аське и т.п.

А миграция пользователей для потрепатьсяпоскайпу пресекается административно. Трафик будет расходоваться у того, кто аутентифицировался, т.ч. это уже проблемы того, кто предоставляет другим пользователям свой скайп. Логоф/логон или "запуск как", чтоб считалось как надо.

Pstudiopuh
Тебе нужно в домене сделать при входе зверьков скрипт, который будет запускать IE со страницей, где и будет происходить авторизация, при выходе - наоборот будет разлогинивать. Это будет происходить скрытно для зверьков, так что все работает оч.хорошо.
http://www.winroute.ru/forum/viewtopic.php?t=683 - также здесь про это рассказано.

niichavo

Цитата:

Lexys
попробуй для POP3 убрать инспектора протокола.
ЗЫ. А точно WinRoute виноват?

А что за инспектор протокола?????

Lexys

Цитата:

А что за инспектор протокола?????

Смотри в сервисах или службах (забыл как называется) в винроуте. найди там службу pop3 и убери инспектора

Есть возможность средствами Керио сделать переадресацию на другой прокси в зависимости от ссилки?

Цитата:

А что за инспектор протокола?????

правой кнопкой на политике трафика (на таблице) -> Изменить колонки -> поставь галочку на Инспекторе протокола.
Теперь можешь создать отдельное правило для POP3 и изменять для него параметр PI.

удалено

Люди добрые помогите пожалуйста, в сети с АД стоит керио 6.1.4, начальство озадачило поставить ещё UserGate для билинга инета, пожайлуста дайте ссылку где про такой симбиоз можно почитать в плане установки и настройки, поиском пробовал пользоваться результатов не дало, а все пять разделов сил нет и времени прочитывать.
Заранее благодарен за ссылки и советы

pokerdrav
по моему керио+UserGate=несварение получишь, а не статистику

Подскажите нормальный антивирус для w2k3 чтобы не конфликтовал с керио.

z3r
SAV, SEP. В принципе любой симантек.

z3r
TrendMicro OfficeScan тоже весьма неплох.
Кроме того, KWF сканирует только инет-трафик, так что любой антивирь с ним не должен конфликтовать.

Как найти выход в такой ситуации:

Есть локальная сеть которая имеет выход в инет через сервер с Керио.
Есть удаленный сервер онлаин-игры который работает через no-ip.info. Адрес сервера для примера - aa.no-ip.info
Его ИП периодически меняется, хотя адрес остается одним и тем же - aa.no-ip.info.
Как для юзера прописать правила?
Клиент игры коннектится если вносить в правила Керио ИП сервера игры, и прописать роут на машине юзера для этого ИП.
Но так как ИП меняется встал такой вопрос.
Что делать? Как поступить?
Помогите!