neon
легко сказать
легко сказать
» Kerio Control (ex Kerio WinRoute Firewall)
tysovwik
ты для начало обрисуй как у тебя сеть построена, через что инет раздается, для чего kerio ставили, а то не понятно ничего.
ты для начало обрисуй как у тебя сеть построена, через что инет раздается, для чего kerio ставили, а то не понятно ничего.
rd80
Все вроде элементарно.. 10 компов в сети, на клиентах xp home. Сервак стоит на xp зверь сд. На зверь xp стоит керио 7 версия, без веб фильтра и антивируса. Он служит шлюзом для 10 компов, которые в инет должны выползать.
Керио ставился для того, что ограничить каждому юзеру траф в день, иметь статистику посещаемости сайтов по каждому из компов. + файрволл маршрутизатор..
Вроде все. ну и трабл который заметил, на некоторых компах инет тормозит.. на некоторых все норм.. Не пойму в чем трабла. Можно конечно заменить шлюз с хп на 2003, но точно ли в нем проблема..
p.s. дело явно не в ограничении открытых сессий, т.к. в звере их по умолчанию ни 10, а 1000.
Все вроде элементарно.. 10 компов в сети, на клиентах xp home. Сервак стоит на xp зверь сд. На зверь xp стоит керио 7 версия, без веб фильтра и антивируса. Он служит шлюзом для 10 компов, которые в инет должны выползать.
Керио ставился для того, что ограничить каждому юзеру траф в день, иметь статистику посещаемости сайтов по каждому из компов. + файрволл маршрутизатор..
Вроде все. ну и трабл который заметил, на некоторых компах инет тормозит.. на некоторых все норм.. Не пойму в чем трабла. Можно конечно заменить шлюз с хп на 2003, но точно ли в нем проблема..
p.s. дело явно не в ограничении открытых сессий, т.к. в звере их по умолчанию ни 10, а 1000.
инет через HTTP прокси или через NAT? dns правильно настроен на клиентах и на серваке? выложи ТП и ipconfig /all с клиентов где нет нормально работает и где тормозит и с сервака...
через прокси.
клиенты я не трогал, не было времени, по быстрому ток на сервак керио накатил.
Днс, на сервере провайдерский. На клиентах на некоторых я видел что днс прописан странный..
Вместо привычного днс от провайдера, на клиентах в днс строке стояло: 192.168.0.1 вообщем ссылался на локальный днс.. Только это ж помойму бред, если в локалке днс сервер не поднят ?
Ipconfig ща не смогу дать, я ж не на работе, выходные) Да и там все стандартно.
Ручные настройки, без nat без dhcp. На локалке тип такого
192.168.0.x
255.255.255.0
192.168.0.1
и днс - 192.168.0.1 (разве что его наверное стоит заменить на провайдерский, если на сервере не поднят днс сервер)
?
клиенты я не трогал, не было времени, по быстрому ток на сервак керио накатил.
Днс, на сервере провайдерский. На клиентах на некоторых я видел что днс прописан странный..
Вместо привычного днс от провайдера, на клиентах в днс строке стояло: 192.168.0.1 вообщем ссылался на локальный днс.. Только это ж помойму бред, если в локалке днс сервер не поднят ?
Ipconfig ща не смогу дать, я ж не на работе, выходные) Да и там все стандартно.
Ручные настройки, без nat без dhcp. На локалке тип такого
192.168.0.x
255.255.255.0
192.168.0.1
и днс - 192.168.0.1 (разве что его наверное стоит заменить на провайдерский, если на сервере не поднят днс сервер)
?
как должно быть: допустим 192.168.0.1 - адрес внутр. сетевой KWF, а 192.168.1.1 - сетевая на инет(в ней и прописываешь DNS провайдера). на KWF по умолчанию включён DNS форвардинг. На клиентах в браузерах прописываешь ссылку на свою проксю http 192.168.0.1 порт 3128, а в настройках сетевой в качестве DNS 192.168.0.1(можешь ещё прописать шлюз 192.168.0.1, для HTTP прокси он в принципе не нужен), но...
tysovwik
Мда..
Посмотри есть опция "Количество коонектов до сервера" по умолчанию 600.
Если инет раздаёшь АДСЛ, то лаги будут всегда на некоторых, кому керио канальчик хитро режет =)
В прокси пореж антивирь и фильтр (если есть). И если канал широкий - прокси в топку он не нужен вообще!
И ещё что за машинка, ибо с моих опытов на 10 ПК раздать инет 20 МБ/с, еужно кам минимум:
проц: 2 ГГц х 1, оперы 768 Мб ибо когда дуется кеш оперативки примерно 400 мб сжирает керио.
Я тоже раньше хотел статистику и т.д. но в итоге щас у меня пень 1 133 МГц 64 Мб РАМ на 20+ тачек инет раздаёт (правда безлим, но думаю можно настроить мегабайты в сутки, правда статистику гемор злосный) и я счастлив как девочка. Микротик РОУТЕР ОС + настройка и вуаля. Нужен только системник, без клавы мышки, мона и .т.д.
Мда..
Посмотри есть опция "Количество коонектов до сервера" по умолчанию 600.
Если инет раздаёшь АДСЛ, то лаги будут всегда на некоторых, кому керио канальчик хитро режет =)
В прокси пореж антивирь и фильтр (если есть). И если канал широкий - прокси в топку он не нужен вообще!
И ещё что за машинка, ибо с моих опытов на 10 ПК раздать инет 20 МБ/с, еужно кам минимум:
проц: 2 ГГц х 1, оперы 768 Мб ибо когда дуется кеш оперативки примерно 400 мб сжирает керио.
Я тоже раньше хотел статистику и т.д. но в итоге щас у меня пень 1 133 МГц 64 Мб РАМ на 20+ тачек инет раздаёт (правда безлим, но думаю можно настроить мегабайты в сутки, правда статистику гемор злосный) и я счастлив как девочка. Микротик РОУТЕР ОС + настройка и вуаля. Нужен только системник, без клавы мышки, мона и .т.д.
rd80
Цитата:
Цитата:
Цитата:
Молодой человек, а Вам не кажется, что мозг из-за этого может быть вынесен )))
Причем здесь вообще KWF ???
ipconfig /all с KWF машины.
Цитата:
KWF 6.7.1-6544(192.168.1.251)
Цитата:
Между сетями выделенный канал и SHDSL роутеры на концах(192.168.1.101 и 192.168.9.101)
Цитата:
Есть 2-ая офисная сеть №2 - 192.168.9.0
Молодой человек, а Вам не кажется, что мозг из-за этого может быть вынесен )))
Причем здесь вообще KWF ???
ipconfig /all с KWF машины.
rd80
Цитата:
Тогда покажи строение сети картинкой. Потому как у тебя по указанным данным - имеется 2 канала инет.
Цитата:
http://www.ipicture.ru/uploads/100719/tP7jeL7FzK.jpg
Тогда покажи строение сети картинкой. Потому как у тебя по указанным данным - имеется 2 канала инет.
картинки наглядно, но долго, попробую словами описать структуру
офисная сеть 192.168.1.0, где 192.168.1.33 - сервер AD, 192.168.1.34 - WIN и 1С терминал, 192.168.1.251 керио, 192.168.1.1 ADSL модем(отдельный VPN канал, не через инет) на крупные районные отделения 192.168.3.0-5.0 и 192.168.1.101 SHDSL модем (выделенный канал на товарную базу) там адресация 192.168.9.0.
+ штук 15 мелких районных отделений(связь с офисом через инет, вот им я и хочу поставить kerio vpn клиент, что бы пускать на 192,168,1,34 и сервак на товарной базе 192,168,9,99)
вроде нормально обрисовал
офисная сеть 192.168.1.0, где 192.168.1.33 - сервер AD, 192.168.1.34 - WIN и 1С терминал, 192.168.1.251 керио, 192.168.1.1 ADSL модем(отдельный VPN канал, не через инет) на крупные районные отделения 192.168.3.0-5.0 и 192.168.1.101 SHDSL модем (выделенный канал на товарную базу) там адресация 192.168.9.0.
+ штук 15 мелких районных отделений(связь с офисом через инет, вот им я и хочу поставить kerio vpn клиент, что бы пускать на 192,168,1,34 и сервак на товарной базе 192,168,9,99)
вроде нормально обрисовал
Столкнулся с проблемой при использовании Kerio VPN.
Есть 2 сервера на базе W2k8 R2 с KWF 6.5.2, объединённых site-to-site VPN средствами Kerio.
В настройках туннеля с обоих сторон указаны вручную подсети, правило, регулирующее трафик через туннель выглядит так:
Код: Источник: LAN, Firewall, VPN-туннель
Назначение: LAN, Firewall, VPN-туннель
Служба: Любой
Действие: Разрешить
Трансляция: -
Инспектор протокола: Нет
Есть 2 сервера на базе W2k8 R2 с KWF 6.5.2, объединённых site-to-site VPN средствами Kerio.
В настройках туннеля с обоих сторон указаны вручную подсети, правило, регулирующее трафик через туннель выглядит так:
Код: Источник: LAN, Firewall, VPN-туннель
Назначение: LAN, Firewall, VPN-туннель
Служба: Любой
Действие: Разрешить
Трансляция: -
Инспектор протокола: Нет
Ultranium
скажите, как подключены ваши шлюзы к интернету, нет ли там адсл модемов, и если есть. то какие?
скажите, как подключены ваши шлюзы к интернету, нет ли там адсл модемов, и если есть. то какие?
Tihon_one
Цитата:
ADSL-модемы есть, с обеих сторон это Zyxel P660RT2, настроеные в режиме PPPoE.
Но разве может быть проблема в модемах? Ведь связь прерывается не полностью, а только с одного сервера до удалённой подсети; на хосте в локальной сети, подключенной к сетевому интерфейсу проблемного сервера со связью проблем нет.
Цитата:
Ultranium
скажите, как подключены ваши шлюзы к интернету, нет ли там адсл модемов, и если есть. то какие?
ADSL-модемы есть, с обеих сторон это Zyxel P660RT2, настроеные в режиме PPPoE.
Но разве может быть проблема в модемах? Ведь связь прерывается не полностью, а только с одного сервера до удалённой подсети; на хосте в локальной сети, подключенной к сетевому интерфейсу проблемного сервера со связью проблем нет.
Ultranium
взято с другого форума может поможет, актуально для Zyxel P660RT
симтомы:
Цитата:
решение:
Цитата:
или
Цитата:
взято с другого форума может поможет, актуально для Zyxel P660RT
симтомы:
Цитата:
стоя на коленях вещаю, что в двух местах наблюдаю при рабочем пинге невозможность ходить по РДП через установленный тунель.
решение:
Цитата:
да это MTU тебе крутить надо, точнее - mss. Скорее всего. Поставь в зухеле значение MTU 1400 или 1300 и попробуй
или
Цитата:
изменить параметр MSSAdjustmentValue в конфиг файле, установите его значение в 1300 и работайте нормально.
Ultranium слушайте rd80, решение верное.
добавлю: данная проблема наблюдалась на версиях выше KWF 6.4.2, и со слов керио якобы будет исправлена с выходом 7.0.1
два офиса. и там, и там керио. поднят туннель. машинки пингуются по айпи. как сделать их видимость в сетевом окружении?
спс
спс
harit
копать в этом направлении:
Цитата:
Цитата:
копать в этом направлении:
Цитата:
за отображение ресурсов в сетевом окружении отвечает служба сетевого обозревателя Windows. К КWF эта служба не имеет никакого отношения. Для справки - ключевое слово "Windows Internet Name Server или сокращенно WINS"
Цитата:
Для справки: в сетевом окружении отображаются NETBIOS имена машин. NETBIOS по определению не маршрутизуемый протокол.
у меня нету в сетке сервера WINS, можно ли NETBIOS протащить через туннель?
harit
нет, широковещательные пакеты не маршрутизируются.
нет, широковещательные пакеты не маршрутизируются.
ну тогда вопрос:
1. офис (головной)
тут 2003 сервер, понятно на нем включенный винс
тут керио и vpn-сервер с туннелем
2. офис (филиал)
тут керио и vpn-сервер с туннелем на головной офис
если я всех во втором офисе переведу на WINS на головном офисе, то что они будут делать если упадет туннель?
(т.е. будут ли работать шары и принтера?)
1. офис (головной)
тут 2003 сервер, понятно на нем включенный винс
тут керио и vpn-сервер с туннелем
2. офис (филиал)
тут керио и vpn-сервер с туннелем на головной офис
если я всех во втором офисе переведу на WINS на головном офисе, то что они будут делать если упадет туннель?
(т.е. будут ли работать шары и принтера?)
Цитата:
(т.е. будут ли работать шары и принтера?)
если к шарам и принтерам обращение идёт через ip-к, то всё будет работать
harit
ну и пусть падает тоннель, локальный netbios всегда будет работать.
ну и пусть падает тоннель, локальный netbios всегда будет работать.
вопрос такого плана.
на каждого пользователя заведена квота трафика на download, после достижения которой блокируется доступ в интернет.
как сделать так, чтобы после достижения квоты, доступ в интернет все также блокировался, но работал доступ к почтовым серверам в интернете по pop3 и smtp?
другими словами необходимо сделать нетарифицируемым и неблокируемым по достижении пользователем квоты на трафик доступ по pop3 и smtp на сервера, расположенные в интернете.
на каждого пользователя заведена квота трафика на download, после достижения которой блокируется доступ в интернет.
как сделать так, чтобы после достижения квоты, доступ в интернет все также блокировался, но работал доступ к почтовым серверам в интернете по pop3 и smtp?
другими словами необходимо сделать нетарифицируемым и неблокируемым по достижении пользователем квоты на трафик доступ по pop3 и smtp на сервера, расположенные в интернете.
VasyaChapaev
не получится - читай про красную зону http://avsoft.ru/forum/read.php?FID=21&TID=2800&MID=31132&sphrase_id=28229#message31132
не получится - читай про красную зону http://avsoft.ru/forum/read.php?FID=21&TID=2800&MID=31132&sphrase_id=28229#message31132
никаких вариантов разрешения вопроса нет вообще?
VasyaChapaev
сервера постоянные?
сервера постоянные?
в каком смысле постоянные? стоят себе и стоят. на века =)
в любом случае ip адресов серверов в интернете к которым не должен блокироваться доступ после достижения квоты - всегда можно узнать, и они не будут меняться в обозримом будущем!
в любом случае ip адресов серверов в интернете к которым не должен блокироваться доступ после достижения квоты - всегда можно узнать, и они не будут меняться в обозримом будущем!
VasyaChapaev
Цитата:
Как только пользователь попадает в красную зону - исчерпывает свой трафик, то движок KWF прекращает обрабатывать его запросы вообще. То есть дело до ТП/HTTP в таком случае не доходит.
Можно поступить следующим образом:
- создать группу пользователей, для которых созданы правила исключения.
- после попадания пользователя в красную зону юзер сообщает админу об этом.
- админ переносит пользователя в нужную группу (не забывает увеличить/обнулить квоту).
Цитата:
никаких вариантов разрешения вопроса нет вообще?
Как только пользователь попадает в красную зону - исчерпывает свой трафик, то движок KWF прекращает обрабатывать его запросы вообще. То есть дело до ТП/HTTP в таком случае не доходит.
Можно поступить следующим образом:
- создать группу пользователей, для которых созданы правила исключения.
- после попадания пользователя в красную зону юзер сообщает админу об этом.
- админ переносит пользователя в нужную группу (не забывает увеличить/обнулить квоту).
Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108
Предыдущая тема: Автоматическое удаление папок и файлов старше x дней
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.