» Kerio Control (ex Kerio WinRoute Firewall)

ANTHONYZIMMER

Цитата:

Дубль 2

привяжи пользователя admin к firewall (в настройках пользователя).

vovservis
в нужных правилах NAT в Назначении указывай Интернет группу интерфейсов, а не конкретный интерфейс.

Цитата:

привяжи пользователя admin к firewall (в настройках пользователя).

Такой опции нет!!!

Я не могу понять, неужели я один столкнулся с такой проблемой??? Дайте же дельный совет!!!

adjuster

не работает так... все равно ВСЁ ломиться через INET1 (он же и являеться default gateway в таблице роутов)
получаеться только если роутинги прописать... я думаю что не работает потому что в Windows нельзя несколько шлюзов одновременно...


Добавлено:
ANTHONYZIMMER
создай пользователя и пропиши ему ip адрес хоста - межсетевой экран
или отключи или пусти через NAT в трафик полиси - трафик межсетевого экрана

я немного чайнег в этой системе. можешь детальнее расписать что делать и где делать? плиз

Добавлено:
у меня по дефолту уже есть админ (переименованный только), и у него в настройках на последней вкладке (IP адреса), стоит галочка Межсетевой экран в разделе Допустить пользователя к следующим хостам. Если ты про это говоришь то там галочка стоит, но здесь насколько я понял речь идет о доступе к самой программе (файеруолу), а у меня другая проблема! У меня когда на самом компе где установлен KWF начинаешь заходить в нэт не спрашивает пароль, при том что секьюрити система в настройках включена! Везде спрашивает, на всех компах, а на самом сервере получается нет. Я как-то сначала не обращал внимание, хер забил. А недавно понял на что это влияет - я теряю учет статистики! Причем нормальный такой кусок статиститки! Он просто тупо не ведет статистику инета который происходит на самом нем (сервере), а всю остальную статистику считает.

Как быть еще раз спрашиваю??? (((

ANTHONYZIMMER
если сервер автоматически залогинен под какого то юзера то вся статистика идет на этого юзера
если стоит галочка или вписаны адреса - то пароль может и не спрашивать...

ANTHONYZIMMER

Цитата:

Как быть еще раз спрашиваю??? (((

ты уже по другому спрашиваешь - похоже у тебя ситуация такова - ты хочешь чтобы при выходе с KWF в Инет трафик валился на учетку, под которой пользователь выходит в Инет, а не на учетку, которая привязана к KWF...
Такого не бывает.

vovservis

Цитата:

я думаю что не работает потому что в Windows нельзя несколько шлюзов одновременно...

Винда здесь не причем, так как балансировка настраивается и работает в самом KWF.
показывай ТП - и пометь, по какому правилу должен идти трафик.

Добрый день!
Господа, прошу помощи в таком вопросе.
Имеется Kerio.
Две сетевки: Inet и Local.
На сетевке с инетом прописан реальный ip адрес. Кабель от провайдера заходит в эту сетевку.
Провайдер выделил еще один реальный ip адрес.
Нужно прописать его на компе внутри локальной сети.
Что (и где) нужно прописать в Kerio чтобы из вне (из интернета) было видно этот комп со вторым реальным ip адресом?

Можно сделать это железно: поставить хаб, в него воткнуть провод от провайдера.
Из хаба протянуть провод ко второму компу, прописать ip и будет работать. Но хотелось бы сделать через Kerio.

Посоветуйте пожалуйста.

На днях поставил 6.7.1 patch 2 bild 6544
Постоянно проц загружен на 40-50% - это нормально или где-то собака зарыта?

HP ProLiant DL140 G3
Server 2003, Enterprise Edition Service Pack 2
DualCore Intel Xeon 5130, 2000 MHz
RAM - 2048 Мб (1гиг свободный)
KWF + Kerio Connect + ESET AV 4.0.314

Eset сносил, картина не поменялась.

PAVELMARK
Свойства адаптера(твой Inet) -> Сеть -> Протокол версии 4 -> Свойства -> Общие -> кнопка Дополнительно -> Параметры IP -> IP адреса. Фухх...
Вот тут пишешь ещё один IP провайдера, потом ещё... Сколько надо.
После этого ВСЕ добавленные IP будут доступны в Kerio для работы с ними.

ent
Дык, мне же нужно новый IP присвоить совсем другому ПК, а не тому где стоит Kerio. Другому ПК в локальной сети.

PAVELMARK

Цитата:

Свойства адаптера(твой Inet) -> Сеть -> Протокол версии 4 -> Свойства -> Общие -> кнопка Дополнительно -> Параметры IP -> IP адреса. Фухх...
Вот тут пишешь ещё один IP провайдера, потом ещё... Сколько надо.
После этого ВСЕ добавленные IP будут доступны в Kerio для работы с ними.

После этого настраиваешь Правило:
сурс Inet
дест новый IP
протокол ...
пермит
port-mapping на машину в локалке (локальный IP)

adjuster

мои TP
http://narod.ru/disk/21111585000/policy.jpg.html

два Интернета ADSL и ADSL2MIR
сейчас все ходит через ADSL
а хотелось бы чтобы по обращению к нужному порту ходило по ADSL2MIR

Один канал с инетом

В локалке должно быть 2 web-сервака

Как настроить правило - чтобы при site1.ru - map на сервак1, а при site2.ru - map на сервак2???

ВСЮ ГОЛОВУ СЛОМАЛ... help pls

Цитата:

если сервер автоматически залогинен под какого то юзера то вся статистика идет на этого юзера
если стоит галочка или вписаны адреса - то пароль может и не спрашивать...

короче я не знаю залогинен он или нет... но когда открываю KWF ничего он не спрашивает никакой пароль, скорее всего тогда залогинен наверное! НО! Никакую статистику он не сбрасывает ни на кого... пусто! Еще раз говорю уже был на днях такой прецедент - скачал 5 Гб за пару часов, а учете НОЛЬ!!! В кабинете провайдера вижу их, а у себя в системе не вижу (((


Цитата:

ты уже по другому спрашиваешь - похоже у тебя ситуация такова - ты хочешь чтобы при выходе с KWF в Инет трафик валился на учетку, под которой пользователь выходит в Инет, а не на учетку, которая привязана к KWF...
Такого не бывает.

Да мне все равно на кого это будет писаться, хоть на зайца с америки... Лишь бы он учел этот трафик! Не учитывает!!! (((((

iekarpov

Цитата:

Как настроить правило - чтобы при site1.ru - map на сервак1, а при site2.ru - map на сервак2???

айпи у site1.ru и site21.ru разные? Если да, то не вижу проблем! если одинаковые, то хрен!

Добрый день! Решил обратиться к Вам господа за советом потаму что уже совсем вынесло мозг... сутки бьюсь с проблемой немогу нати решения. Ситуация следующая:

Есть машина с win2003 + KWF 6.5.2. В машине на борту 2 сетевые карты которые смотрят в 2 подсети
- Lan (вида 192.168.0.0/24)
- Wan (вида 10.0.0.0 маска 255.192.0.0) - интерфейс оператора интернет
Так же поднято PPPoE соединение "seti+" для доступа к интернету оператора

Соответственно в сети Lan клиентские машины настрены со шлюзом 192.168.0.2 (машина с win2003 + KWF 6.5.2)
А в сети Wan на необходимых мне машинах настроен прокси сервер в браузерах 10.1.10.103:3128 (всё таже машина с win2003 + KWF 6.5.2).

Далее прилагаю настройки керио:

Интерфейсы

Политики трафика


И вот что в таком случае получается: Машины из сети Wan получают интернет через прокси, но почему то при этом задействуется приавило "firewall traf" (на картинке чуть выше)

что мне кажеться как то странным. При этом если выключить правило "internet users to internet" - у Wan пользователей пропадает интернет через прокси, а если выключить правило "internet users to firewall" то и пинг от них не проходит.

Но это всё пол беды.... собственно основная задача - что бы юзеры получили интернет выполняется!

А вот уже собственно и сама проблема которую хочу решить:

Не получается достучатся из Lan в Wan хотя правило "Lan to Wan" (смотри картинку выше) присутствует. Вот этот момент мне непонятен совсем... на работе сервер с керио и там такое правило запросто пускает юзеров одной сети в другую. Начал грешить на маршрутизацию... но проверив системные маршруты решил что маршрутизация впорядке... Если что могу выложить скрин и таблицы маршрутизации.

Цитата:

И вот что в таком случае получается: Машины из сети Wan получают интернет через прокси, но почему то при этом задействуется приавило "firewall traf" (на картинке чуть выше)
что мне кажеться как то странным.

а что тут странного
прокси это посредник
если в браузере указан прокси то оно тупо отправляет http запросы прямо на него, даже не запрашивая адрес сайта в ДНС - естественно работает правило "локальный трафик"
после этого прокси, который стоит на фаерволе, разрешает имя в IP и отправляет запрос уже от своего имени - и естественно работает правило "трафик фаервола"

vovservis

Цитата:

мои TP
http://narod.ru/disk/21111585000/policy.jpg.html

два Интернета ADSL и ADSL2MIR
сейчас все ходит через ADSL
а хотелось бы чтобы по обращению к нужному порту ходило по ADSL2MIR

Устал повторять, что в правиле нужно в Назначении указать Интернет группу!!!
а в NAT указать необходимый интерфейс.

ANTHONYZIMMER

Цитата:

Да мне все равно на кого это будет писаться, хоть на зайца с америки... Лишь бы он учел этот трафик! Не учитывает!!! (((((

Привяжи пользователя Admin к Firewall!!! и глянь есть ли шлюз на локальном интерфейсе - если есть СНОСИТЬ!!!

SATYR1985

Цитата:

но почему то при этом задействуется приавило "firewall traf"

ничего странного - трафик HTTP прокси идет по правилу для Firewall.


Цитата:

но проверив системные маршруты решил что маршрутизация впорядке...

а у WAN пользователей проверял маршруты в локалку?

adjuster
разобрался - помимо
Цитата:

в правиле нужно в Назначении указать Интернет группу!!!

нужно было еще выбрать Распределение нагрузки на каналы

Спасибо!

Цитата:

Привяжи пользователя Admin к Firewall!!! и глянь есть ли шлюз на локальном интерфейсе - если есть СНОСИТЬ!!!

Короче уже запарился объяснять, гляньте картинку ниже:

По идее админ это DAO если под админом подразумевается самый первый пользователь который был в системе при установке и имеет наиполнейшие права. Я его просто переименовал. А так никакой галочки на нем я не вижу соответственно админ это или нет по другому признаку сказать не могу! Это первое.
Второе, я не знаю что значит привязать к Firewall... если имеется ввиду та галочка что я отметил на рисунке то пользователь DAO привязан к KWF.
И третье, я не понял как проверить шлюз на локальном компе и снести его если он есть???
Если имеется ввиду шлюз выставленный в настройках сети - то там пусто, никаких настроек не проставлялось!

adjuster

Цитата:

Цитата:
а у WAN пользователей проверял маршруты в локалку?
 

Нет...wan пользователям не надо попадать в локальку кроме как через прокси...
Мне нужно lan пустить в Wan

Ребята, я тут воевал некоторое время с балансировкой, в общем, разъясните мне вот эту заметку из документации керио:

Цитата:

Note:
1. Network load balancing is applied only to outbound traffic via the default route. If the
routing table (see chapter 18.1) defines a route to a destination network, traffic to the
network will always be routed through the particular interface.
2. Network load balancing does not apply to the traffic of the firewall itself. This traffic is
processed directly by the operating system and, therefore, the standard routing is applied
here (the default route with the lowest metric value will always be used).

1. Верно ли, что исходящий трафик пойдет только по одному каналу инета?
2. Верно ли, что на компе с керио нельзя будет одновременно использовать два канала? Типа это возможно только на клиентских машинах (имеется в виду оба канала инета одновременно)?

vovservis

Цитата:

нужно было еще выбрать Распределение нагрузки на каналы

Это в мануале написано - и делается по умолчанию при 2 и более внешних интерфейсах.

ANTHONYZIMMER

Цитата:

если имеется ввиду та галочка что я отметил на рисунке то пользователь DAO привязан к KWF.

Да - именно эта галочка.


Цитата:

Если имеется ввиду шлюз выставленный в настройках сети - то там пусто, никаких настроек не проставлялось!

Скрин ipconfig /all с KWF, скрин ТП, скрины статистики - и укажи, что именно не считается.

SATYR1985

Цитата:

Мне нужно lan пустить в Wan

Кроме маршрутов должны быть еще ТП настроены.

adjuster
Я попробовал пойти с начала: сделал с помощью Визарда правила ТП и минимально их видоизменил. Получилось вот что :

При этом по дефолту маршруты из ОСи винрут определил так:


Но всё равно достучатся из lan в Wan никак не получается... ДНСы перенаправляються... но ни один ip сети wan не пингуется даже... Был бы благодарен коментарию к ТП и почему они не срабатывают по задуманной схеме...

SATYR1985
На правиле LAN to WAN необходимо включить NAT на WAN.

Здравствуйте,
Такая ситуация, перестроил сеть и теперь клиенты не видят хост по имени на котором стоит KWF, а по IP адресу видят. Где это исправляется?

Сеть: WiFi точка доступа + Хост + ADSL модем (BRIDGE).
Точка доступа: адрес - 192.168.2.50, на 1-ой сетевухе на хосте 1-й адрес - 192.168.2.52, 2-й адрес - 192.168.1.2 (для DHCP KWF)
Модем: адрес - 192.168.3.1, на 2-ой сетевухе на хосте - 192.168.3.2
DHCP на KWF: сеть - 192.168.1.Х, хост, днс, внс и гейтуэй - 192.168.1.2

Раньше не было столько подсетей т.к. роль модема + точки доступа выполнял один девайс через одну сетевуху и имел одну подсеть 192.168.1.Х

Единственный выход это на всех клиентах прописывать Хост в файле hosts, но это не дело!

Что произошло не так что клиенты перестали видеть Хост по имени? Как исправить? Где рыться?

ANTHONYZIMMER

Цитата:

Единственный выход это на всех клиентах прописывать Хост в файле hosts, но это не дело!

отредактируй файл Hosts на самом KWF - это можно сделать и через настройки DNS в KWF.

adjuster
пробовал - не помогло ((

Поставил последнею версию KWF, на компе стоит ФТП сервер.
Дело в том что при включенном "Инспектор протокола" для любой службы где она применяется, исходящего соединения нету, но входящий работает, например фтп, люди спакойно заходят ко мне на фтп сервер, а вот я к кому то попасть фиг, так же как и другие службы http,pop.... если выключить "Инспектор протокола" то все работает.

В логах вот это вылазит (1012) Particular network traffic lost or was modified by conflicting software or KWF driver disabled on some interface!

У меня два подключения один через tcp/ip другой через pptp(vpn). Вот на vpn нету драйвера KWF. При создании нового он не появляется, и появится ли он? Винда7






---------------------------------------------------------------------------------------------------------------------------------------------------------------------

Разобрался в этой ситуации, стоит у меня KAV которые проверяет все эти протоколы, из за этого и конфликтует Инспектор протокола!
Убил проверку трафика в Касперском и все заработало.

Народ, помогите советом!
Есть KWF 6.7.1 patch 2 build 6544. Есть домен и сервер терминалов. Авторизация в KWF по доменным юзерам. При работе юзеров с локальных компов KWF запрашивает авторизацию и ведет статистику правильно! НО, если юзер заходит на сервер терминалов, то KWF больше не запрашивает авторизации и в статистику пишет, как юзера, который самым первым проходил в терминале авторизацию... Что нужно сделать, чтобы KWF различал юзеров работающих в терминале?