Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Сетевые технологии (http://forum.oszone.net/forumdisplay.php?f=31)
-   -   KERIO WinRoute (http://forum.oszone.net/showthread.php?t=68482)

skulida 14-02-2003 23:40 268786

KERIO WinRoute
 
А вот вопрос:
Имеется 2000 Win котроллер домена на котором крутится WinRouter PRO (KERIO).
И все вроде бы работает , и инет, и почтоа ходит, Но вот проблемма на клиентских машинах все конектится гораздо медленне чем на сервере, а при открытии 2 разных страниц на 2 компах сыпятся ошибки "ошибка ДНС эксплойера...".

Может есть какие тонкости настройки winrouter'а и виндового сервера?
И еще должна ли при этом быть запущена служба маршрутизации и удаленного доступа?
И еще как его заставить обновлять страницы в кэшэ, т.е. что бы при активизации открытия страницы на клиентской машине он не потсовывал неделбной давности (не нарвится нажимать обновить).
Вообщем, как настроить чтобы все работало и по возможности быстро через диал-ап (56кбит)
и если несколь человек что-то открывают чтобы не было этих ошибок
Спасибо
skulida@mail.ru  
 

Animal 18-02-2003 09:30 268787

Служба DNS-сервер работает на сервере?
Возможно какие-то проблемы при совместной работе DNS winrout'овского и window'ого.

Цитата:

И еще должна ли при этом быть запущена служба маршрутизации и удаленного доступа?
Нет.

Цитата:

И еще как его заставить обновлять страницы в кэшэ, т.е. что бы при активизации открытия страницы на клиентской машине он не потсовывал неделбной давности (не нарвится нажимать обновить).
По идее Settings-Proxy Server-Cache - поставить флаг "use server supplied time-to-live" и еще Settings-Proxy Server-Time-To-Live - здесь вроде время жизни для http, ftp, gopher.

Я бы порекомендовал прежде всего winroute ставить на отдельную машину, можно достаточно слабую (Celeron 433 какой-нить). Ее еще параллельно можно как-нить неактивно использовать - например бекапы на нее складывать. Безопасность сети выше будет к тому же.

MaxKelada 18-02-2003 15:57 268788

Надо кэш загасить, от него толку меньше, чем пользы. По умолчанию там, кажется, около 5 мегов, но, если дисковая подсистема слабовата или загружена посторонней работой, тогда всё и будет тормозить, а обновляться нормально не будет.

Кстати, а нах вообще на шлюзе под 2000 стоит прокся? Что, просто системными средствами разрутить не судьба, надо обязательно создавать себе геморрой?

[s]Исправлено: MaxKelada, 15:59 18-02-2003[/s]

Negativ 20-02-2003 14:11 268789

Хочешь разобраться в Winroute вот http://liter.narod.ru/wr/index.html

Shaytan 17-04-2003 14:26 269748

Подскажите, можно ли в WinRoute (4.1.30) сделать "белый список" для сайтов. Т.е. хочу дать доступ только к пару- тройке сайтов, а на все остальные запретить. В настройках нашел только "черный", но не буду же я в него все существующие сайты вносить. :-)

Negativ 17-04-2003 14:32 269749

НЕТ =( нельзя! я бы тоже хотел такое. Но можно разрешить например только на сайты 2-го уровня заходить поставить маску
http://www.*.*

Shaytan 17-04-2003 15:05 269750

А может есть какая альтернативная программа с возможностями WinRout-a, да еще плюс  и поддержка "белых списков"?

Negativ 17-04-2003 15:36 269751

Есть, да она ИМХО только под управлением Webmin работает - Squid - там возможностей вообще тьма.

Shaytan 18-04-2003 09:14 269752

Спасибо, но может у кого еще какие мысли есть?

jussepe 28-04-2003 18:42 269753

хочу Squid включить, но урод коллега поставил NT2000. теперь получает от всех и бегает каждый день, интересно на долго его хватит :biggrin:

NihiL 15-05-2003 20:12 269488

Привет всем! У меня небольшая проблема(WinRoute)! Как бы *все настроил: правила прописал и тд. Но для того, что бы войти в Инет с любого сетевого компа – надо прописать проксик, а без него нет! Посоветуйте, что либо! Может в правилах лохонулся или …? Спасибо!

Negativ 19-05-2003 08:46 269489

Что-то я не понял в чем проблема?

NihiL 20-05-2003 18:36 269490

Проблема в том, что некоторые php-шные скрипты  работают только без прокси! В чем причина я не знаю! Но, без прокси они работают, а с ним нет! НАТ – как бы настроил инет должен быть! Но, нет!!!!!!!!

Animal 21-05-2003 15:31 269491

NihiL
Цитата:

НАТ – как бы настроил инет должен быть!
Так настроил или нет?
Если с раб. станции в сети набрать ping www.yandex.ru - что покажет?

Sera 21-05-2003 15:38 269492

На клиентах основной шлюз - NAT стоит?

Raistlin 21-05-2003 16:53 269493

Посмотри здесь насчёт настройки шлюзов и DNS-серверов.

Nicholas 24-06-2003 21:21 269044

1) Имеются две сетевые розетки с двумя разными (по скорости) каналами Интернет
2) Есть машина Win2000с 4-мя сетевыми картами.
- 2  смотрят в розетки с инетом
#1 Быстрый внешнешний канал
IP: 80.*.*.*
MASK: 255.255.255.0
GW: 80.*.*.*
#2 Медленный внешнешний канал
IP: 194.*.*.*
MASK: 255.255.255.0
GW:194.*.*.*

- 2  каждая в свой свитч:
#3 Внутренняя подсеть для быстрого инета
IP: 192.168.1.1
MASK: 255.255.255.0
GW: (пусто)
#4 Внутренняя подсеть для медленного инета
IP: 192.168.2.1
MASK: 255.255.255.0
GW: (пусто)

Задача: Сделать так, чтобы  всё что прихоило из подсети #3 шло только(!) через #1, а все что из #4 через #2.

Сделал: Поставил Winroute на внешних сетвых поставил трасляцию, для #3 прописал правило трансляции в #1 (из какой подсети в какой адрес).
И тем не менее все настойчиво идет через #1.
Пните, ткните, отправьте книги читать, но посдкажите ПЛЗ!!!
Не хочется два сервера ставить для таких дел..

Vitki 24-06-2003 23:37 269045

Nicholas
"Быстрый внешнешний канал" и "Медленный внешнешний канал" - это прямые кабельные соединения или DSL -овские и тп соединения?
Если прямое кабельное, то создай мосты между нужными потоками. В XP таким образом работает.

Не хочется два сервера - можно просто 2 рутера поставить, и этот сервер убрать.

Nicholas 25-06-2003 19:21 269046

Что значит создать мосты, поясни?
Как организованы оба внешних канала мне неизвестно,  от них у меня есть только адреса, шлюзы, и маска.

Atlantis 26-06-2003 14:46 269047

Что как-то все очень сложно на мой взгляд организовано. А самое непонятное для меня, зачем аж два канала инета?, только для того чтобы был "быстрый" и "медленный" инет?.
Я такую проблему решил путем программного дробления канала, а не как в вашем случае - аппаратно.
Т.е. как это неизвестно как организованно?, инет к вам приходит по витой паре?

Nicholas 26-06-2003 20:13 269048

Приходит витая пара, две розетки просто дали, это учебное заведение. Одна для студенческого класса, другая для группы преподов.

Atlantis 27-06-2003 12:09 269049

Гм, понятно. Похоже винроут неправильно отконфигурирован, честно говоря я с ним ниработал никогда, у меня все шлюзы на линухе организованы.
а нельзя ли просто поставить какой нить прокси, который програмно дробит канал? У меня тоже учебное заведение и скорость тоже ограничиваю но только програмно - линух+Сквид

Nicholas 28-06-2003 12:27 269050

Можно но раз дали аж два канала один просто бросить?? Нее!

Atlantis 30-06-2003 12:54 269051

Яб второй использовал гм... в "корыстных" целях - отдал бы его себе под диалап:biglaugh:

Rever 03-07-2003 16:35 268950

Господа, подскажите кто знает - как правильно настроить фильтрацию пакетов в Winroute. Сеть такая: На комп заходит инет через выделенку, на нем стоит Winroute, настроен NAT, который раздает инет на сетку. Есть честный ип - 217.117.x.x - на интерфейсе, который смотрит в инет. Внутри сети ип-адреса 192.168.203.х , маска 255.255.255.0. На Winroute задействован почтовик, который с почтовика провайдера забирает почту и раздает ее юзерам внутри сети. Нужно настроить фильтрацию так, чтобы почта работала на всех машинах, а инет был только на определенных машинах. Подскажите - по какому протоколу какие пакеты нужно запретить, а какие разрешить. Спасибо.

monkkey 03-07-2003 16:56 268951

В Винруте есть ограничение по пользователям. Создаешь правило запрета по времени или урлам, суешь в него нужных пользователей или их IP, и все. Какой Винрут?

Rever 03-07-2003 17:06 268952

monkkey
Сейчас версию точно не назову - это не здесь.
Как я понимаю, мне нужно запретить, например исходящие пакеты, например по IP - для всех пользователей сети, а для каких-то конкретных ип-адресов машин разрешить. Но так не работает. Ставлю правило: по протоколу IP входящие пакеты с любого адреса на любой адрес запретить. Инет везде пропадает. Далее добавляю правило: по протоколу IP входящие пакеты с любого адреса на адрес 10.0.0.136 разрешить. Жду появления на машине 10.0.0.136 инета - ан нет, инет там не возникает. Что я неправильно делаю? Может нужно это делать по TCP? Тогда какие порты и кому разрешать или запрещать?

monkkey 04-07-2003 11:27 268953

У тебя, видимо, Винрут 4. Там я не помню. Можешь посмотреть
http://winfaq.com.ru/ubb/Forum9/HTML/000028.html
В KWF 5.0.4 создаешь группу адресов и в фильтрах - политике трафика добавляешь правило для групп или пользователей, можно и по времени. Работает. Я у себя так Аську резал.

tester2000 04-07-2003 12:37 268954

Настраивать надо ВХОДЯЩИЕ с локальной сети и не IP, а TCP.
РАЗРЕШАЕШЬ только тех, кому нужно, а затем ЗАПРЕЩАЕШЬ всех.


Rever 04-07-2003 12:54 268955

tester2000
Спасибо, попробую. Хочу уточнить как будет выглядеть правило, например чтобы разрешить инет на машине 192.168.203.5:

вкладка Incoming:

permit: TCP 192.168.203.5 all ports -> Any host all ports
deny:  TCP Any host all ports -> Any host all ports

Я правильно понял?

tester2000 04-07-2003 13:56 268956

Почти. Только не"->любой узел все порты", а "любой узел порт=80".
Ведь мы о доступе к WEB говорим?

TCP 192.168.203.5 all ports -> Any host  port=80
TCP Any host all ports -> Any host port=80

Rever 04-07-2003 14:38 268957

tester2000

А не заблокируется ли доступ всем тогда? Что должно выше стоять - блокировка всех или разблокировка тех, кому нужен доступ?

tester2000 04-07-2003 14:53 268958

Правила Winroute применяются по принципу "первым пришел - первым обслужен". Так что все верно.

Yart 05-07-2003 17:35 268858

После установки WinRoute Pro 4.1 перегрузилса, и ... синий екран смерти.
Как с етим боротса? С какими сервисами он конфликтует?

Dron 07-07-2003 09:22 268859

зайди в безопастном режиме и посмотри события

Rever 08-07-2003 11:54 268959

tester2000

Вот это я запарился! Я уж подумал, что совсем уже ничего не понимаю... Кстати, все это делал я на вкладке исходящих, а не входящих пакетов.
Наконец-то все заработало, но вот в чем прикол получился.
Правила я устанавливал для any interface, сделал все правильно, закрыл для всех, и открыл для себя (ип интерфейса, глядящего в сеть машины с винроутом). Но инета-то нет! в общем долго ломал голову, а потом подумал - ведь у меня еще есть инфтерфейс смотрящий в инет с честным ип-адресом. Открыл доступ с этого ип на 80-й порт - вот тогда все и заработало!

Negativ 16-07-2003 10:54 268860

Версия 4.1 с ним не работает
качни версию 4.2
у меня такая же трабла была. Помогло.

marconi8 17-07-2003 19:50 268764

ребята, я в полной з....
скажу почему, потомучто несовсем понимаю то чего мне надо добиться от Winroute-a

скажем так вот моя ситуация:

1) я работаю в своей подсети
2) в моей подсети 3 компа
3) мой комп лезит через выделенку на дркугой комп, который меня в нет пускает в итоге

4) на моём компе 2 сетевухи
5) я их обзиваю так (master и slave)

master nic - для того чтобы я в нет ползал
slave nic - чтобы usery в моей рабочей групе обращялись между собой в в данной досети


master nic:

ip: 192.168.0.218
mask:255.255.255.128
gateway:192.168.0.254
dns:81.198.72.111

slave nic:
ip: 192.168.1.1
mask:255.255.255.0
gateway: -
dns: -


на каждом клиенте tcp/ip настройки сделаны так
ip: 192.168.1.2.......x
mask:255.255.255.0
gateway: - 192.168.1.1
dns: - 192.168.1.1


теперь я ставлю Kerio 5.0.7 и толком немгу понять что именно мне надо сделать


вот что я успел сдеать:

1) поставил Nontransparent Proxy на 3128
2) поставил Parent proxy тот который я сам использую, тот который в IE прописан у меня на машине,
3) поставил для parent proxy свойство Winroute Proxy

4) также в ParentProxy установил user i password тот который я используюу для входа в нет


ктонибудь может сказать мне как всётаки мне настроить этот WinR

благодарю



Baboon 17-07-2003 20:00 268765

WinRoute - не поддаёться настройке
 
А ты правила доступа на интерфесы прописал?..

marconi8 17-07-2003 20:37 268766

WinRoute - не поддаёться настройке
 
млин, видимо я это не почитал, чтоэто и как это надо настраивать и какую это роль играет в использовании proxy?


это случаем не packet filter

моя лнавная карта конектиться на другой proxy по выделенке ( ето так для инфы)

так что мне там надо сдеалть

благодарю


vasketsov 17-07-2003 21:58 268767

WinRoute - не поддаёться настройке
 
Marco Polo I
А при чем тут Windows NT/2000?

MaxKelada 17-07-2003 22:07 268768

WinRoute - не поддаёться настройке
 
Marco Polo I
А на хрена ты вообще всё это делал? На хрена у тебя прокся-то стоит? Ты ж настройки всё равно все сделал неправильные! Вот ответь мне сначала на эти вопросы, а потом скажи, что именно ты хотел получить - тогда я тебе помогу.

Alex Green 18-07-2003 12:28 268772

Закрыть Relay не могу поскольку сам буду не в состоянии отправить почту.
Правила обработки почты в WinRoute полный долбаизм.

Шо делать а ?

Плюс с одного компа вообще нет доступа в инет через прокси WinRoute хотя порт праписан правильно.

В общем полный 3,14здец.

marconi8 18-07-2003 22:36 268769

WinRoute - не поддаёться настройке
 
ладно ребята , давайте я Вам всем с самого начяла раскажу в чём моя проблема, если кому не трудно то можите на самом деле помоч, если вдруг я где то ошибся то прошу всего лиш поправить меня......

------------------------------------------------
цель:
------------------------------------------------
поключение к интернету через один комп, который поключен к интернету через другой комп.


------------------------------------------------
описание:
------------------------------------------------
1) есть главный router
2) есть первая сеть в которой 10 компов, они все лезут в нет через главный proxy
3) есть вторая подсеть в которой 3 компа
 
  в этой подсети только один имеет права на использование нета, остальные должны к этому компьютеру в этой
  подсети конектиться и юзать интернет. В этой подсети компьютер, который имеет право на использование
  интернета поключен к хабу первой сети, и первая сеть этот компьютер соответсвено рулит
  на главный router
 
  грубо говоря есть один главный proxy, и есть второй proxy сервер , который установлен в данной подсети


4) первая сеть это 192.168.0.x
5) вторая подсеть это 192.168.1.x
6) во второй подсети есть компьютер который лезит в нет, на этом компе две сетевухи
  одна для нета , другая для своей подсети

7) главный компьютер во второй подсети лезит в нет через главную proxy, указывая login и пароль


описание второй подсети
------------------------------------------------
главный комп:
------------------------------------------------

master Nic: (interface, который лезит в нет через другой proxy)

 ip     : 192.168.0.218
 mask   : 255.255.255.128
 gateway: 192.168.0.254

 dns    : 81.198.79.111


slave Nic: (interface, для локальной сети)

 ip     : 192.168.1.1
 mask   : 255.255.255.0
 gateway: -
 
 dns    : 81.198.79.111



------------------------------------------------
настройки WinRoute 4.2.5
------------------------------------------------

1) врубил proxy server
2) врубил ParentProxy, указал адрес реального proxy сервера и порт, в реестре
  указал логин и пароль на Proxy

3) отрубил DCHP (все мои usery это статические IP)

4) отрубил mail
5) поставил DNS forwarder, и указал реальный адрес DNS сервера

6) убрал со всех interface-ов Nat, так как Nat тока для RAS....
  (хотя странно , после инсталяции WinRoute ставит Nat = on на ту сетевуху , которая в нет лезит)
  но всё равно я везде повырубал Nat

7) всё что с RAS связано , всё из interface-ов удалил, оставил тока свои две сетевухи

 
8) в настройки-дополнительно-параметры защиты делаю так:

    8.1) отправлять эхо-ответ
    8.2) игнорировать пакет
    8.3) допускается к преобразованию адресов с любым IP
    8.4) входящие пакеты, не занесённые
    8.5) регистрировать все пакеты
    8.6) входящие UDP пакеты
   



  всё, больше я ничего не далал , так как в хелпе прочитав это, дальше пишеться что теперь долждно всё1 работать







------------------------------------------------
настройки Nic у клиентов
------------------------------------------------

 ip     : 192.168.1.2
 mask   : 255.255.255.0
 gateway: 192.168.1.1
 
 dns    : 81.198.79.111


------------------------------------------------
настройки Browserow у клиентов (ie connections)
------------------------------------------------

1) везде галочки снимаю , ставлю галочку на "использовать Proxy Server"
2) указываю proxy сервер 192.168.1.1 или 192.168.0.218 (разницы нету)
3) указываю порт Proxy сервера = 3128




после этого клиенты получают : DNS server error







 











MaxKelada 19-07-2003 10:14 268770

WinRoute - не поддаёться настройке
 
Не надо у клиентов ничего в настройках сетки писать, кроме (если очень хочется) ИПа и маски сети. а то он долбится не знай куда и ничего оттуда не получает.

MaxKelada 19-07-2003 10:24 268773

Закрой 25 порт. А для отправки почты назначь какой-нибудь нестандартный.

Alex Green 19-07-2003 14:07 268774

Спасибо конечно, но не всё так просто я уже трижды переназначал порт, но эти гады меня снова находили.

MaxKelada 20-07-2003 21:57 268775

А пароль на отправку там можно назначить? Я просто не помню

Alex Green 21-07-2003 13:03 268776

Нет там ни какого пароля, да и зачем он в принципе, если вся почта отправляется автоматически. Есть мысль поставить файрвол но не могу выбрать, ну ребяты какой посоветуете?

ATGuard пойдёет?


Ну а так спасибо за участие в моей не лёегкой доле...

Guest 21-07-2003 18:26 268790

http://forum.oszone.net/postings.cgi...3&postno=4


Ооооо-громное спасибо!!!!!!!!!

Guest 22-07-2003 12:41 268777

Alex Green

А если переназначить порт и разрешить отправку только из локальной сети?

Guest 22-07-2003 13:34 268771

Marco Polo I

Убери у клиентов в сетевых настройках DNS и шлюз...
В WinRout'е на внешнем интерфейсе (тот на котором Инет) включи NAT!!!
Затем в пакетном фильтре прописывай правила (по умолчанию: всё что не разрешено - запрещено)...

Sadok 23-07-2003 11:32 268661

Задача: научить сабжевую связку слать/принимать файлы директом. Если я шлю файл на комп с реальным ip и являюсь инициатором коннекта, то все ОК. Мне с того компа - реквест проходит, но соединение не устанавливается. Кто-нибудь решал такие вопросы? Подскажите где покрутить или чего из доков покурить... Спасибо.

dascon 30-07-2003 15:35 260967

Поставил WinRoute и BSB на WinXP. ICS отключил. Но пользователи все равно из локалки могут лазить в Инет не указывая прокси. Как это запретить? Чтоб в инет лазили только через BSB (который трафик считает и ограничивает). И только BSB мог подключаться к WinRoute.

Guest 30-07-2003 16:37 260968

нужно в firewall от winroute прописать:
подсеть->порт bsb = да
подсеть->куда угодно = нет
именно в таком порядке

dascon 30-07-2003 22:50 260969

огромное спасибо, завтра буду пробовать

Добавлено:

Чет не найду там firewall'a, или че-нить похожего, куда можно было бы прописать эти настройки

dascon 31-07-2003 15:33 260970

насколько я понимаю, нужно использовать фильтрацию пакетов TCP. Что прописывать для входящих и что для исходящих?

monkkey 31-07-2003 16:18 260971

dascon
http://winfaq.com.ru/ubb/Forum9/HTML/000028.html

dascon 31-07-2003 16:27 260972

monkkey
полезная информация...

MaxKelada 31-07-2003 21:50 268662

а как ты вообще представляешь себе пересылку файла без прямого соединения? Крути-не крути, но без реального IP машину в Сети не видно, так что и слать, соответственно, некуда.

Sadok 01-08-2003 10:14 268663

Понятно, что без прямого соединения никак. Но поднят NAT. Грубо говоря, я "имею быть место" в инете с реальным ip. Вот и ищется способ научить эту связку устанавливать p2p-соединение... Пока не найден :)

MikeNT 01-08-2003 13:48 268611

Есть сервер Win2ks. На нем доступ в Интернет и Winroute. Сервер подключен к локальной сети. В локальной сети есть компьютер (Win 2k Professional), на котором есть модем. На компьютере тоже установлен, как и на сервере, WinRoute. Попытался настроить входящее соединение, чтобы можно было через второй компьютер зайти на первый и в Интернет. Не получилось. Соединение происходит нормально, но ping по IP идет только до того, комьютера, к которому подсоединился. А до сервера ping не идет. Причем вроде бы настройки в WinRoute выставлены, чтобы он обращался на вышестоящий прокси (тот, который на сервере)..
Подскажите, пожалуйста, как решить проблему (за исключением варианта, чтобы модем переставить на сервер)...

Guest 06-08-2003 15:46 268612

поставь NAT на той машине которая является главным прокси

MaxKelada 07-08-2003 01:20 268613

На второй машине (не на той, на которй модем) в настройках WinRoute подними Parent Proxy на IP адрес той машины, что с модемом.

SunMaxiM 12-08-2003 12:33 268503

Прошу прощения если не нашел ответа сам, но есть вопрос.
Шлюзовая машина с WinRoute - ром, поднят NAT-ом и Proxy,
+ FTP за шлюзом.
Нужно сделать так, чтоб до FTP можно было достучаться снаружи.
Правил фильтрации пакетов нету.
Файрвола нету.
Стоит переадресация протокола TCP с любых адресов внешнего интерфейса с порта 21 на адрес машины с поднятым FTP на порт 21

Снаружи набираем адрес шлюзовой машины и... ничего не происходит.
Что делать?


[s]Исправлено: SunMaxiM, 10:31 13-08-2003[/s]

SandroK 12-08-2003 22:52 268504

SunMaxiM
Несколько похожих тем (не совсем, но всеже).
Вообще то это вопрос наверное в форум по сетям.

[s]Исправлено: SandroK, 1:25 13-08-2003[/s]

SunMaxiM 13-08-2003 09:27 268505

Не совсем.. или совсем не... :) у меня FTP внутри (за шлюзом)
Нужно снаружи до него достучаться
Кстати до внешних ftp снаружи достучаться - влет!

SandroK 14-08-2003 18:38 268506

SunMaxiM
В одной из тем я писал как и какие порты обычно в деле с ftp, попробуйте с этого начать. Так же посмотрите на сайте производителя вашего ftp, там по идее должны быть рекомендации по настройке за winroute-ом...

Vad5 14-08-2003 18:44 266357

Есть сеть из нескольких компов
для подключения в инет поставил WinRoute 4.2.5
при наборе адреса в браузере любой компьютер автоматически подключается в инет. А как сделать чтобы пользователи могли самостоятельно отключаться а то у них значка подключения не появляется?

shAnsei 14-08-2003 20:41 266358

им не надо отключатся :gigi:  всё зависит только от сервера... коим является комп с винрутом... у тебя есть инет и у них есть у тебя нет и у них нет.... поэтому....

MaxKelada 14-08-2003 21:22 266359

Можно только отключать сетевой интерфейс, но локалку клиенты тогда тоже видеть не будут.

SunMaxiM 15-08-2003 11:07 268507

угу 20 и 21
оба переадресовываются
я читал :)
http://winfaq.com.ru/ubb/Forum3/HTML/005565.html
Тута та же проблема

[s]Исправлено: SunMaxiM, 12:11 15-08-2003[/s]

Vadikan 15-08-2003 11:15 268508

Перенесу в сети, возможно там подскажут

Vad5 15-08-2003 13:05 266360

У нас повременная оплата и не маленькая.
Если например кому-то из пользователей понадобилось на пару минут зайти в инет то потом он чтобы отключиться должен сообщить человеку на сервере чтобы тот отключил инет ну это же геморой. Неужели ничего нельзя придумать?

SunMaxiM 18-08-2003 09:36 268509

Докладываю... будем смеяться вместе...
Снес Winroute Поставил WinGate5. WinGate не пошел совсем... WinXP показал синее окошко и капитулировал.
Ставлю обратно winroute, настраваю... Пробуем стукнуться снаружи - не получается. Сильно расстроился, сам в себе разочаровался, пошел слушать музыку.
В какой-то момент опускаю глаза на иконку Serv-U... :biggrin: а она предательски синеет. Смотрю на юзера - внешний...
Что случилось, почему, как - понятия не имею! Пока всё работает...

[s]Исправлено: SunMaxiM, 10:37 18-08-2003[/s]

Zuka 15-09-2003 12:57 267962

Установлен сабж и поднят NAT. В инете я вычитал такую вещь:
Цитата:

The NAT table is limited in its capacity; therefore this configuration is not suggested for services that may receive more than one hundred simultaneous connections.
Иногда у меня бывает что достигается лимит 100 запросов... В журнале ошибок Winroute выдает, *что
Цитата:

NAT: G:0 - host xxx.xxx.xxx.xxx denied: connection limit reached
Как это можно (и возможно ли вообще) отключать более старые соединения? Как выбраться из этой ситуации с этим ПО?

Добавлено:

Я вот щас в логах заметил, что некоторые запросы остаются активными в течении долгого времени, даже если на компьютерах, откуда был послан запрос, уже давно закончен сеанс работы. Надо как то поставить лимит времени на active request... Но как? Может быть это где-нибудь в реестре меняется? Пожалуйста, помогите советом, как закрывать такие соединения....

Giorgievich 15-09-2003 14:56 267963

Если честно, я не знаю, как закрывать такие соединения. Но вот, что сказано в FAQ на официальном сайте Kerio по поводу ошибки в вашем error log:
Цитата:

My error log reports NAT:GO 'connection limit reached'. What does it mean and can it be fixed?
WinRoute allocates a maximum of 128 simultaneous connections per host on the network. Some applications, typically those using stateless protocols, will require more than the allowed 128 NAT allocations. It is possible to increase this capacity within the registry under HKLM/software/kerio/winroute. The specific value is called 'natconnlimitperhost'. Before modifying this value make sure to stop the winroute engine or the changes will not take affect. Note also that winroute's entire NAT pool has a capacity of 1600 entries. If necessary you may also increase this value up to 20,000 using the value 'NatTableSize'. It is recommended that you marginally increase these values and monitor the error log to determine a sufficient capacity.
Добавлено:

Вернее сказать, я не знаю как закрывать такие соединения с помощью самого winroute... А по другому можно просто перегрузить сам сервис программы...
Может у кого-нибудь будут другие предложения?..

Zuka 15-09-2003 18:02 267964

Вроде я нашел то что искал. в Mics. Options надо изменить значение NAT table default timeout for TCP protocol...
Giorgievich
Спасибо за подсказку...
:oszone:

Zuka 17-09-2003 11:32 267965

Блин...... Ничего не помогает... :(
Все равно остаются эти active connections, чтоб им..............
В таблице NAT никакого упоминания о них нет... А вот если посмотреть Services в debug log, то выкидывает кучу Active Connections к PROXY и Time у них постоянно увеличивается...
Кеш на прокси у меня вроде настроен правильно... Понятия не имею где копать.............. Как отрубать эти зависшие соединения???

:help:

Добавлено:

Цитата:

можно просто перегрузить сам сервис программы
в моем случае это не выход.... :(

Giorgievich 17-09-2003 14:14 267966

Zuka
Попробуйте в Security Options пункт On incoming packet that has no entry in the NAT table переключить на drop packet (silent mode). По идее, по истечении времени указанного в NAT table default timeout for TCP соответствующее соединение будет закрыто...

MaxFactor 17-09-2003 18:40 267967

у меня такое было вчера - оказалось я поймал msblast, при этом накрылись админские права и ваще ничего делать нельзя было ...

Ven 24-11-2003 18:50 266910

После того, как на комп с Remote Admin поставил WinRoute - комне не может никто подключиться клиентом на Remote Andmon. Скажите плиз что и как настроить чтоб небыло такого и пускал как раньше?

Vich 25-11-2003 10:45 266911

может у тя включен IP Filter на внутренную сеть? или я не понял, кто должен подрубаться к тебе и откуда? снаружи?изнутри сети?

monkkey 25-11-2003 12:54 266912

Открыть порт 4899 ( или тот, на котором он сидит )

Ven 26-11-2003 01:07 266913

Цитата:

Открыть порт 4899 ( или тот, на котором он сидит )
Скажи плиз как это сделать? получается, что он по умолчанию закрыт?

Negativ 26-11-2003 13:34 266914

Ven
Вот почитай.
http://liter.narod.ru/wr/index.html

Ven 12-12-2003 21:04 266361

В винроуте и в виндах есть настройка автоматического отключения в случае не использования соединения какой-то период времени. этот период можно задать!

MJR 14-12-2003 19:41 266602

Народ помогите настроить WinRoute!!!

На всех машинах интернет работает.

Не могу настроить WinRoute, чтоб работали Bat и ICQ.

Giorgievich 15-12-2003 11:37 266603

MJR
Какая у вас версия Winroute?

MJR 16-12-2003 15:11 266604

У меня стоит - WinRoute 4.25 RU.

Я знаю, что в WinRoute есть почтовый сервер, но он я так понял, работает только с корпоративными ящиками, созданными этим сервером. А вот как настроить WinRoute 4.25, чтоб у меня работал Bat с ящиком на mail.ru, я не понял.

Giorgievich 16-12-2003 16:18 266605

Цитата:

Цитата WinRoute - плюсы и минусы, настройка
Q: Как зная мыло юзера (с паролем), например, на www.mail.ru как я должен настроить POP3 WinRoute, чтобы юзер забирал почту локально, не выходя в инет. Что нужно для этого настроить?
А: 1. Создаем в winroute юзверя, даем ему имя и пароль для входа.
2. В настройках почтового сервера winroute создаем запись, где естественно указываем remote POP3-сервер, учетную запись и пароль для снятия почты с удаленного ящика, и поместить ее в папочку с именем созданного юзверя.
3. Идем на тачку этого пользователя и в настройках почтовой программы (Outlook, TheBat! и т.д.) создаем новую или изменяем старую учетную запись. А именно:
а) в настройках pop3 и SMTP серверов указываем как адрес данных серверов локальный адрес машины с winroute.
b) имя для входа на сервер = имя пользователя, пароль = его пароль.
с) нажимаем ok и наслаждаемся получением почты и ее отправкой.

Если же вы хотите чтоб пользователь напрямую скачивал из интернета почту, то вам нужно нормально настроить файрвол и выставить разрешения:
для POP3 - TCP destination port 110
для SMTP - TCP destination port 25
А для ICQ надо разрешить порт 5190 для протокола TCP.
И еще: вот вам пара весьма полезных ссылок: WinRoute - плюсы и минусы, настройка, Документация по WinRoute

Full User 22-12-2003 16:38 266362

Хочешь что бы пользователи могли включать и отключать инет?
Скопируй им файлик WrAdmin.exe из папки Винроута и разреши удаленное администрирование в Винроуте.
В настройках RAS поставь подключение вручную.
Тогда юзеры смогут подключаться к Винроуту и в меню Действие, включать дозвон и отключать его.

keeper fly 26-12-2003 13:23 266242

Не могу понять что за ошибка, в окне журнал ошибок с интервалом с 4 сек появляеться строчка
nat: G:0 - host 192.168.8.54 denied: connection limit reached

Что бы это значило и как лечить?

Giorgievich 26-12-2003 14:08 266243

keeper fly
http://forum.oszone.net/topic.cgi?fo...&topic=802

Phantom S 26-12-2003 19:25 266363

Стоит Kerio WinRoute Firewall 5.1.7 я решил посоздавать отчёты *в Proxy Inspector for WinRoute ver2.7f но данные не импортируються... Лог такой...
24.12.2003 16:28:33 Начат импорт лог файлов, режим работы: GUI, база данных: paradox.dll
24.12.2003 16:28:33 Загрузка таблицы протоколов: файл не найден
24.12.2003 16:28:33 Таблица локальных адресов успешно загружена, всего 0 уникальных записей
24.12.2003 16:28:33 Ошибка при получении списка почтовых доменов из реестра компьютера . Не удается найти указанный файл. *Win32 Error code: 2
24.12.2003 16:28:33 В каталоге C:\Program Files\Kerio\WinRoute Firewall\Logs найдено всего 2 лог файлов
24.12.2003 16:28:34 Технология сжатия записей включена, временной интервал 5 минут
24.12.2003 16:28:34 Найден файл: http.log, размер: 200521
24.12.2003 16:28:34 Файл изменился, начинаем импорт с позиции 0
24.12.2003 16:28:34 Невозможно открыть файл C:\Program Files\Kerio\WinRoute Firewall\Logs\http.log
24.12.2003 16:28:34 Найден файл: connection.log, размер: 340
24.12.2003 16:28:34 Файл изменился, начинаем импорт с позиции 0
24.12.2003 16:28:34 Невозможно открыть файл C:\Program Files\Kerio\WinRoute Firewall\Logs\connection.log
24.12.2003 16:28:34 Общий коэффициент сжатия записей 0, Максимальное число записей в кэше 0
24.12.2003 16:28:34 Импорт завершен, затрачено времени 00:00:00

Что это?

keeper fly 30-12-2003 17:47 266244

и вот новаЯ проблема сервис winroute прочто вываливаеться после определеннного времени работы это время сожет быть 30 сек и меньше, но не больше.
Кто то видел что то подобное, и как бороться с этим!
На машине было обнаруженно несколько и вирусов которые сразу ликвидировалить а сам winroute был переставлен заново, и вот что интересно первый раз помогло а потом через дней 6-7 опять таже история и не помогает переустановка winrout-а,
Помогите кто чем может! просто вешаюсь!

Giorgievich 30-12-2003 17:52 266245

keeper fly
У вас какая версия Winroute? 4.2.5?

keeper fly 30-12-2003 17:56 266246

4.2.5

Giorgievich 30-12-2003 17:58 266247

http://winfaq.com.ru/ubb/Forum9/HTML/000028-2.html#64

keeper fly 30-12-2003 18:05 266248

Там нет такого.
так все именно по настойке, а у меня просто фигня какая то!

Giorgievich 30-12-2003 18:11 266249

Цитата:

Цитата keeper fly
Там нет такого.
так все именно по настойке, а у меня просто фигня какая то!

Что значит нет такого? Вы хоть прочитали что там написано? На всякий случай цитату оттуда я запостил тут

keeper fly 30-12-2003 18:25 266250

не помогло! 8(

Giorgievich 30-12-2003 18:37 266251

keeper fly
Если вы хотите использовать именно WinRoute 4.x, то попробуйте поставить более раннюю версию, чем 4.2.5
Ну а если ресурсы компьютера позволяют, то пора бы перейти на WinRoute Firewall 5.x... У вас ведь и так не лицензионная версия..

mihpa 30-12-2003 19:46 266252

У меня на архивном CD так и осталась версия WinRoute 4.2.1, как самая стабильная. Позже по моим рекомендациям люди устанавливали версии 4.2.3 и 4.2.5 - жаловались на разное.
В случае с 4.2.5 приезжал лично - проблемы со связью через RAS под Win98. Поставил под Win2000 и все заработало.
Сейчас использую 5.х.х.

keeper_fly 03-01-2004 15:40 266253

Мне нужен ключ на Kerio WinRoute Firewall 5.1.8 не могу его найти а так поставил и все нормально не вылетает!
8) вот только месяц пипа триал меня ни как не радует!

Giorgievich 03-01-2004 16:21 266254

Цитата:

Цитата keeper_fly
Мне нужен ключ на Kerio WinRoute Firewall 5.1.8 не могу его найти

А использование фильтра в разделе Кряковарез еще никто не отменял...

Bavik 13-01-2004 13:53 265650

Здравствуйте!
Ситуация стандартная-компьютеров много,модем один.Пытаюсь настроить через winroute 4.2.4"непосредственный" выход в инет для нескольких пользователей,т.е. что бы на машинах был доступ и по ftp,и по smpt,и для всего остального.
Мне кажется,что надо каким-то образом запросы в локальную сеть (192.168.)направлять на наш dns-сервер,все остальные-на компьютер с модемом.
Но с реализацией я как-то запутался...
Вроде NAT на модеме включил,пользователей добавил,но доступа нет.
Поиск ничего конкретного не дал.
Как это воплотить,и так ли это вообще делается?

Vich 13-01-2004 13:58 265651

если у тебя адрес динамический провайдер выделяет, то nat тебе не поможет. тут нужен ip-masquerade. nat привязывается к конкретному внешнему сетевому адресу, а маскардинг к сетевому интерфейсу.
что до dns. на локальном днс настрой форвардиг на внешние сервера (получишь кеширующий днс - он будет резолвить адреса в локалке, если адреса не находит лезет в интернет)

Bavik 13-01-2004 14:24 265652

>что до dns. на локальном днс настрой форвардиг на внешние >сервера (получишь кеширующий днс - он будет резолвить >адреса в локалке, если адреса не находит лезет в интернет)
Можно по шагам,не очень понял.

Vich 13-01-2004 14:40 265653

у тебя есть dns на 192.168.*. в свойствах сервера, на вкладке Forwarders поставь галку Enable Forwarders и поставь адреса интренет-dns-серверов. вот и все

Bavik 13-01-2004 15:25 265654

Адреса интернет dns-серверов или адрес машины с модемом?
Хотя я думаю не подойдет,т.к. планируется поставить еще один компьютер с модемом который надо будет настроить так-же,но на других пользователей...

Vich 13-01-2004 15:28 265655

адреса dns серверов. например 212.248.0.1 и *.3 *. на клиентах пропиши в качестве шлюза адрес компа с модемом (на компе с dns сервером тоже)

Bavik 13-01-2004 16:10 265656

Ага,спасибо,попробую.
А как насчет второй машины с модемом?Это уже не прокатит...Без второго dns сервера,а его нету...

Vich 13-01-2004 16:26 265657

а в чем проблема?? видел гдето отдельный dns сервер (как сервис видел и как просто резидент). поставь его на вторую машину с модемом, а пропиши клиентам ее и как шлюз и как dns сервер

Bavik 13-01-2004 17:12 265658

Ну не знаю,а когда она будет выключена что делать?Ставить альтернативный днс?А потом пинговать,что бы узнать работает она или нет...Если работает,то либо перезагружаться,либо руками менять?Это не для юзеров...
Может есть другой путь?

Bavik 14-01-2004 10:37 265659

Хотя это и скриптом можно делать.

Guest 15-01-2004 10:32 265660

Извеняюсь что не в тему но хотелось бы по подробнее о самой Winroute, у меня в сети на данный момент две машинки соедененыне кросовером, одна выступает в роли клиента вторая в роли сервера, на обеих ХР... DNS Server я не поднимал, я сделал соответствующие записи в Hosts о том что есть локальная машинка, и есть еще две, поднял DHCP-server который выдает резервированый IPшник по МАС-адресу, но ни проксю, ни мыль сервер поднять не удалось, если честно то я ни то ни другое конфигурить не умею, я и с ДНС толком не разобрался, что посоветуете? Читал на эти темы много, теорию работы прокси понимаю, что такое POP3/SMTP и прочее тоже понимаю, имею нормальное представление о том как оно работает, но практика бы не помешала, к примеру что такое NAT я не знаю.

Guest 15-01-2004 13:45 265661

Vich:
Спасибо!

Bavik 19-01-2004 14:01 263831

Запрашивает пароль даже если стоит птичка "использовать средства аутентификации NT"...
Почему?..
Читал,что "невозможно запретить доступ куда либо членам группы Admin",а у меня все-равно просит...

Bavik 19-01-2004 16:12 263832

В смысле запрашивает при попытке зайти на любую страницу через прокси,подходит пароль пользователя домена NT,совпадающим с юзером в winroute.Как надо сделать,чтобы определенных пользователей прокси пускал без пароля?

Centaur 20-01-2004 15:46 263833

так вот это и есть,  аутентификация средствами НТ
Создай пользователя без пароля, и вперед

pitty 21-01-2004 16:07 265837

Суть проблемы:  
На предприятии есть:
     1) Интернет сервер с ip(1) ... ... .. ..  
     2) Почтовый сервак (др. машина), на нем Микрософт эксчандж. с   ip(2) ... ... .. ...
     3) есть 3 ip(3) провайдера.

    После переустановки винроутера почта на эксчадже перестала приниматься и отправляться. На сколько я знаю нужно прописать всего лишь 2 правила ( распределения портов). Одно правило я прописал ( Протокол ТСP, ip ожидания = ip(3) порт 25,  ip адресата = ip(2) порт 25  ) и почта теперь принимается, но попрежнему не отправляется. Какое второе правило пожскжите пожалуйста. Перепробовал наверное все, что можно.......

Заранее благодарен.

Negativ 27-01-2004 08:38 265838

тебе еще 110 порт надо открыть.
Но ИМХО 25 порт это SMTP и используется он на отправку почты.
а 110 это POP3 и он соответственно на прием.

esalmin 27-01-2004 10:54 265839

надо поднять нат

Full User 28-01-2004 09:11 265811

Не проблема, конечно, но хотелось бы знать...
Кто может популярно обьяснить, чем отличается "запретить" от "игнорировать" в настройках фильтров? Если можно подробнее, как себя ведет WinRoute в том и другом случае?

Sadok 28-01-2004 10:07 265812

В 1-ом случае будет выдаваться сообщение об ошибке (forbidden, например), а во 2-ом - клиент просто отвалится по таймауту.

DeepProg 29-01-2004 22:46 265662

Давайте-ка воскресим темку еще раз.
Сеть из двух машин сконфигурирована по примеру в help'e winroute.
Доступ в I-net *- Dial-up.
Адреса в сетке статическиие(идут подряд);
DHCP(для LAN), proxy, smtp,pop3 не используется.
В данной конфигурации отключен firewall и отсутствует политика фильтрации пакетов у WinRoute - вобще ничего не устанавливал ксательно безопасности.
Клиенту разрешен контроль Dial/Hang-up и чтение log'ов (ему скопирована программа администрирования WinRoute)
При одинаковой конфигурации
XP(WinRoute)+XP - доступ *к I-net есть.
XP(WinRoute)-ME - * * * * * * * * * * * * *нет.
В последнем случае проведена следующая диагностика:
  1. ping к роутеру *- нормально
  2. ping на назначенный(динамически) провом IP нормально
  3. ping на IP провайдера - соообщение об ошибке "Запрашиваемая(или что-то в этом роде...) сеть недоступна"
Еще одна интересноть - Включеный WinRoute,(LAN unplugged) оказывается имеет свойство не пускать меня к WWW - только что кое-как пробился - вынес процесс из памяти. *
Ну гед я его неправильно настроил, что он так упирается???

Кстати
Что есть NAT?
NAT - это в первую очередь система защиты. Реальный IP заменяется на "левый", и этот "левый" подсосвывается агрессивному внешнему миру, т.е. Internet. При этом у WinRoute существует табличка, в которую он ппишет на что он подменил реальный IP и пользутся ей для перенаправления запросов. В общем это сделано, кажется, для невозможности угона IP и обхода таким образом firewall'a. То есть в winroute она и реализуется именно как IP-masquerading
Я правильно понял?

Vich 30-01-2004 00:39 265663

nat и masquerading - в принципе синонимы.
masquerading - замена адреса на адрес машины, выполняющей маскарад.
nat - network adress translation - *замена адреса на любой указанны. т.о. nat позволяет транслировать адреса не только из сети в inet, но и наоборот (например чтоб сделать доступным веб-сервер находящийся внутри локальной сети).
так что про nat нельзя сказать, что это система защиты - это скорее роутинг хитрый ;)


про WinGate. здесь стоит как раз добавить политику фильтрации: из локальной сети на dialup, те протоколы которые нужны, разрешить и nat на outgoing interface.
отдельным правилом тоже самое только себя и без nat
+ в оба конца себя и локалку

Добавлено:

да, nat в WinGate работает именно как nat. он просто активизируется и выставляет правила именно в мемент дозвона и получения сетевого адреса

DeepProg 30-01-2004 14:39 265664

насчет NAT ясно, только везде, наверное, следовало читать "WinRoute".
WinGate - это же прокси, и, кажется, без NAT. Ну, по крайней мере, при знакомстве с WinGate никаких акцентов на наличие и настройку NAT я там не видел.

У меня тут колебания по поводу настройки сети:
Как правильно настроить DNS для моей локалки(в т.ч. *и *WinRoute DNS), если
она является частью другой локалки(хотя бы по общей настройке), но не подключена к ней постоянно, т.е. адреса DNS-серверов в установках TCP/IP прописаны как для той сети(ей они выделены провайдером Internet). В моей miniLAN(пусть так называется) компы узнают друг друга по именам, но в это время никакого доступа к машинам с IP, прописанными как DNS, они не имеют, в HOSTS машины так же не прописаны. В общем, получается, что miniLAN вообще не использует DNS провайдера большой LAN.
MiniLAN выходит (пока только пытается выйти, для чего, собственно и WinRoute завел) в I-net через другого провайдера(Dial-up), и в настройках TCP/IP для Dial-up подключений установлено автоматическое получение всех адресов.

Похоже, что вырубить его надо, то есть установить автоматическое назначение...


И тут еще одно наблюдение: Когда работает Winroute Engine
и NAT для RAS включен - постоянно DNS error can't find server;
отключаю NAT - работает. - Это касается пока только доступа *непосредственно моей машины - что-то не так с провом?

Добавлено:

О! Все. DNS у себя затер - заработало! Только коннкет при прежнем показателе в 49kbps жуть какой медленный! Что случилось?


[s]Исправлено: DeepProg, 14:47 30-01-2004[/s]

Vich 30-01-2004 16:06 265665

конечно же WinRoute. да, WinGate - проски, но nat всетаки поддерживает
Цитата:

Похоже, что вырубить его надо, то есть установить автоматическое назначение...
можно конечно и так. у WinRoute в св-вах "dns forwarding". можно было указать принудительный форвардинг на днс dialup'а.
про скорость - посмотри по логам куда идут соединения - лишнее перекрой по порту исходящему

DeepProg 30-01-2004 17:24 265666

Допустим у себя на машине я смогу это сделать. Но, только как - ведь все от прова назначается динамически. А что в этом случае нужно прописать в DNS у Client?
Сетка в I-net так и не может выйти(из под XP - тоже). В политиках на NIC - разрешил все.
на RAS *- исходящие = любые
входящие TCP ,UDP 53 *и все больше 1024 - на остальное поставил Drop.

Просмотр Debug log'a показал, что Client потыкается по указанным DNS - пошлют его везде и все - молчок.
Себя что- ли сервером назначать?
Но на что, все-таки принудительный forwading назначать - на имя RAS что ли? *

Насчет тормозов: Почему подобые соединения не тормозят обычный коннект. Сам процесс маршрутизации разве не кушает ресурсы?

[s]Исправлено: DeepProg, 19:10 30-01-2004[/s]

DeepProg 30-01-2004 22:23 265667

А вот еще нюанс:
Я могу ошибаться *в интерпретации, но в About Application... version=1.2.4.14
- это просто старый WinRoute или очень старый WinRoute? Я накнулся на инфу(официальную), сообщающую, что XP не будет поддерживаться вплоть до 5-й версии. Существует способ попытаться подключить неподдреживаемую платформу с помощью ключа реестра, но только спасет ли это положение?

[s]Исправлено: DeepProg, 22:25 30-01-2004[/s]

Vich 31-01-2004 01:47 265668

провайдер выделяет тебе один и тотже днс (свой собственный). и именно его и нужно прописать в форвардинге. на клиентах поставь шлюз - свой ip и в порядке просмотра dns - свой же ip укажи первым.
маршрутиризация немного отжирает. но не от канала.
по поводу версии: если не ошибся - то это совсем древность. у меня щас стоит Kerio WinRoute Firewall 5.1.9. Поройся по Кряковарезу. там есть.

DeepProg 01-02-2004 14:54 265669

Наверное, все-таки, ошибся: winRoute при запуске в своем *Log'e пишет *4.1 и драйвер 3.1 built 17 - это не совсем древность
Хотя народ говорил, что удавалось заставить работать без доп. настроек версию 4.2, думаю, что эта тоже может, если захочет.

Я так и не понял, почему возникает такая ситуация:
на интерфейсе RAS включаешь NAT - не могу выйти в Internet(речь о моей машине, где WinRoute и установлен), не разрывая коннекта, выключаю NAT - Выход есть.

DNS forwarding назначается на Server IP из Dial-up connection Status'a? При просмотре лога я нашел еще один адрес(назовем его R_DNS), на котороый перенапрявляются запросы DNS от меня - пробовал ставить форвардинг на него, потому что это больше всего похоже на правду, хотя бы в сравнении в Server IP.
result=nil

Еще о маршрутах хождения запросов DNS(RAS NAT is OFF) - они идут так(построчно из лога):
LAN client->My static LAN IP
My dynamic Dial-up IP-> My static LAN IP
и так несколько раз - на мой взгляд, к LAN Client ответы просто не приходят, при этом все транзакции по NIC разрешены.
Отсюда эрго: WinRoute DNS forwarding DOES NOT WORK!!!!

Когда я(машина с WinRoute) пытаюсь открыть страницу DNS запрос идет так:
My dynamic Dial-up IP->R_DNS
все - далее идет пересылка TCP пакетов и страница нормально грузится!

Если RAS NAT is ON - у меня ничего не грузится, а у LAN Client'a и подавно - DNS запросы опять идут только ко мне и с Client и с My Dynamic Dial-up IP.
Отсюда эрго: WinRoute DNS forwarding DOES NOT WORK!!!!

Важно: RAS NAT OFF устанавливалось галкой Exclude this computer from NAT!
В обоих вариантах NAT для NIC отключен полностью.
Пробовал прописать R_DNS у себя и у Client *
result=0. *- ответы не достигают Client'a

Неужто все из-за несовместимости платформы и софтины?
Тогда дилемма: upgrade or proxy? defence терять не хотелось бы...

Vich 02-02-2004 12:07 265670

попробуем по порядку :)

версия: действительно не древность. хотя мне не очень приглянулась. не заморачиваясь взял последний - поставил, все работает сразу после установки (модно было и не ковыряться там руками)

о доступе в Internet с локала: в политиках (Traffi Policy) для DialUp создано две политики - NAT (из сети на диалап + NAT on) и Firewall (с локальной машины на диалап + NAT off). именно в таком порядке. в св-вах сети порядок просотра dns не включен. ну и само собой нужные протоколы должны юыть прописаны на выход.

чтоб узнать какой dns назначил сервер в консоли набери для XP ipconfig /all (там строки будут - "DNS Servers") и для ME winipcfg (аналогично). именно эти адреса и нужно ставить в forwarding.
то, что DNS запросы зацикливаюся - это похоже ты сам ссылаешься в dns на себя (св-ва tpc/ip).

а по поводу дилемы... попробуй обновить WinRoute


[s]Исправлено: Vich, 12:08 2-02-2004[/s]

DeepProg 03-02-2004 05:18 265671

DNS
сервер прова: я нашел правильно - это тот самый R_DNS.
На машине-сервере в DNS прописаны только адреса провайдера большой LAN и провайдера моего Dial-up'a(этот идет как preffered).
Цитата:

о доступе в Internet с локала
ты здесь описал настройки у себя, что ли? - тогда:
Traffic policy... Это *пока еще 4.1 - так что есть только
  1. Packet Filter - конфигурация firewall только по пакетам и протоколам,
  2. Anti-spoofing - валидно все,
  3. Port mapping - я не предоставляю никакиж служб, доступных из I-net поэтому ничего не настраивал,
  4. NAT(Advanced NAT) - руками не трогал, поля чистые.
Значит
Цитата:

создано две политики
- это, как я понял, нужно настроить в последнем, попробую( вот так:
  • outGoing NIC - DO nat with Default IP;
  • Any->Any do not NAT
) - ага меня !!пропустил!! при включенном NAT на Dial-up - сетку попробовать смогу позднее, ну а пока:
Цитата:

порядок просотра dns не включен
- то есть поля DNS в настройках LAN на сервере - чистые?
Цитата:

похоже ты сам ссылаешься в dns на себя
мой LAN_IP, как DNS, прописан только у Client, но не у меня.

Vich 03-02-2004 10:10 265672

Цитата:

На машине-сервере в DNS прописаны только адреса провайдера большой LAN и провайдера моего Dial-up'a(этот идет как preffered).
запутался чуток. машина сервер - это твоя машина?
где прописаны эти вты. если в св-вах NIC -> tpc/ip то dns от dialup совершенно лишний там. при дозвоне он выдается dialup интерфейсу.

нет, не у меня так настроено. я делал просто..

DeepProg 04-02-2004 04:27 265673

Цитата:

машина сервер - это твоя машина?
Да, и это всегда так, если не указано иное.
Цитата:

если в св-вах NIC -> tpc/ip
Именно там - так как пров выделяет DNS динамически (хотя всегда один и тот же), руками в свойства TCP/IP Dial-up'a я его не приписывал.
Ты так и не ответил правильно ли я понял смысл фразы
Цитата:

порядок просотра dns не включен
Чистить эти поля смысла нет - я потеряю связь с большой LAN

Цитата:

dns от dialup совершенно лишний там
Но, кажется, это не может быть причиной нефункциональности.

Я так и не проверил работу сети, так что придется подождать.

Но касательно Advanced NAT настройка выполнена верно?(то что пускает меня - хорошо, но это не значит, что будет пускать LAN_Client'a)

DeepProg 04-02-2004 06:45 265674

Vich А как тебе то, что при Dial-up'e для моей машины ipconfig /all: Default gateway: My_Dynamic IP - не это ли есть причина зацикливания запросов DNS, надо попробовать вырубить, ух, скорее бы до сети добраться...

[s]Исправлено: DeepProg, 6:56 4-02-2004[/s]

Guest 23-02-2004 11:33 265271

Всех с праздничком!!
И прошу помочь. Возникла проблемка с winroute. В факе ничего не нашел про это. Значит есть сервер win2000 adv srv eng. На нем стоял winroute. Одна карта смотрела в инет, вторая в локалку. Был поднят НАТ. Все работало на ура! Но недавно сетевой карте, смотрящей в инет сделали uninstall, после повторной установки оной в winroute появился третий сетевой интерфейс с ip 0.0.0.0 Я удалил лишний и все осталось как положено: на инете НАТ, на локалке нет.
Но инет на компах не пашет. Пингуя яндекс, к примеру, пишет: обмен пакетами с www.yandex.ru [213.180.194.129]
превышен интервал ожидания
Сносил винрут, ставил заново, сносил сетевую ставил заново. Не могу понять в чем дело, ничего не помогает:-((
Помогите разобраться!

Vich 23-02-2004 19:43 265272

проверь порядок записей политик трафика.
nat поднимал как, на адрес или интерфейс?

Ivan Brovkin 05-03-2004 11:35 264966

Как это можно сделать(можно ли?) в пятом винрауте?
Если есть ссылка на русскую доку,киньте пожалуйста....

Lamo 05-03-2004 11:51 264967

Что именно ты подразумеваешь под
Цитата:

Прозрачный прокси
Тот что по маку авторизует ?
тады ИМХО никак..
(конечно можно Еврионе сделать чтобы ничего не просил)
только UserGate или ISA

Ivan Brovkin 05-03-2004 12:06 264968

Что бы на клиенте для выхода в интернет достаточно было указать только адрес шлюза по умолчанию,а он (т.е. шлюз) сам бы определял можно ему туда или нет.

Lamo 05-03-2004 13:26 264969

Ivan Brovkin
ИМХО это звучит так:

1)
Цитата:

указать только адрес шлюза
Шлюз и прокси - не одно и тоже

а) для установки шлюза достаточно включить маршрутизацию
между интерфейсами машины (короче простой NAT)-
в этом случае с авторизацией поможет либо ISA
(что имхо лучше т.к. еще и сеть защитит, и SNAT держит)
либо мухлеж с PDC или BDC, что есть не очень...

б) прокся потому и прокся что ее в клиентских бразерах
и прогах прописывать нуно, или использовать прокси-клиент
который сам перехватит все ИНет-запросы и отправит их на проксю

2)
Цитата:

сам бы определял можно ему туда или нет.
Это и есть - МАС_авторизация (по IP и МАСу)
такое держат (за них ручаюсь) ISA (client address sets)
и UserGate (там есть МАС-юзеры)

так что выбирай NAT или Прокся

[s]Исправлено: Lamo, 13:31 5-03-2004[/s]

Ivan Brovkin 05-03-2004 13:54 264970

Lamo,а дай ссылку на isa пожалуйста!
А он большой,долго скачивать?

Lamo 05-03-2004 14:43 264971

Ivan Brovkin
2000-й весит ~11-16-метров,
но это в Кряковарезе
http://forum.oszone.net/topic.cgi?fo...69&start=0
ISA - мощная штука, на нее можно довешивать
различные фильтры, антивири и т.п. от
сторонних производителей, например
SurfControl Web Filter - сразу говорю эта
штука весит ~ 75 метров - она фильтрует сайты, хосты, контент и т.д. и т.п

[s]Исправлено: Lamo, 14:47 5-03-2004[/s]

Ivan Brovkin 05-03-2004 15:14 264972

А я правильно понял,что она авторизирует и по mac и по ip сразу,т.е. адреса должны быть статичными?

Lamo 05-03-2004 16:16 264973

Ivan Brovkin
Цитата:

и по mac и по ip сразу,т.е. адреса должны быть статичными
Для UserGate - Да
Для ISA - не обязательно, но желательно
там в адрес сетах можно задать диапазоны
от ххх.ххх.ххх.ххх до ууу.ууу.ууу.ууу
но статика лучше

набери на яндексе -"Internet Security & Acceleration"
и почитай...
лучше один раз увидеть, чем сто раз услышать

http://isaserver.org/
http://www.lcom.kiev.ua/software/microsoft/isa.htm

Только учти настроить его не так-то просто
(один его мануал на ~800 листов)

[s]Исправлено: Lamo, 16:28 5-03-2004[/s]

Guest 15-03-2004 11:06 262856

как зарезать закачку файлов *типа MP3 *через HTTP, и вообще как можно с помощью Kerio WinRoute управлять траффиком, зарезать файлы.

Guest 15-03-2004 14:36 264379

Приветствую всех.Трабл такой:Стоит сервак на нём WinRoute 4.51!
Через ProxyInspector for WinRoute считается входяший трафик.НО...
Ктота очень много отсылает, толи Вирусы...Правда NAV Corpor. ничего не находит.
Либо Провы решили нажиться т.к. они мне приносят только траф с моего IP в целом.
...Хочу настроить так чтобы и весь исходяший траф считался.Прочитал и Мануал.И FAQ-и всякие.
Неполучается.Если кто поможет или сталкивался с таким траблом ПОМОГИТЕ.

Работаю на АвтоРадио.Грозились найти другого админа если не сделаю.
Пишите плиз на мыло нарушение@правил.ru

[s]Исправлено: Vich, 15:11 15-03-2004[/s]

Vich 15-03-2004 15:02 262857

попробуй в Content Filtering в HTTP Policy добавить политику запрета по URL = *.mp3

Vich 15-03-2004 17:06 264380

WinRoute сам способен считать входящий трафик. пиши все в логи и анализируй. здесь посмотри http://liter.narod.ru/ анализатор. + есть такой The Webanalizer.
можно также использовать Tmeter для замера трафика.

codex 25-03-2004 03:04 264371

На клиентских машинах никак не хотят работь фтп клиенты. На сервере установлен Winroute. Может есть у кого опыт настройки?

Update
Проблема решена, извиняюсь за беспокойство:)

[s]Исправлено: codex, 3:42 25-03-2004[/s]

Vich 25-03-2004 11:02 264372


codex
все тоже самое :)
как решил напиши, если уж создал тему

Paaxaan 25-03-2004 11:51 264381

Да,вот тока как этим WRLA пользоваться? Чет не могу дагнать... Не прояснишь?

codex 25-03-2004 13:03 264373

Я тотал коммандером пользуюсь, там в поле Host, установок прокси, надо ещё порт прописать через ":", я как-то сразу не подумал :) Вообще, там нюансов много - говорят ещё NAT должен быть включён (у меня включён) и пассивное соединение с сервером не все фтп поддерживают (мой поддерживает), так что я легко отделался судя по всему.

SYSAD 25-03-2004 13:40 261307

Прокся периодически отваливается без шума и пыли, просто все работало, и вдруг бах, аська работает, инет отваливается, через 192,168,0,1:3128.  НА ПРЯМУЮ ХОДИТ, решается перезапуском KERIO. Никто не встречался с такой проблемой
Kerio 5.0 билд (8)

Sadok 25-03-2004 14:06 261308

1. Не происходит ли что-то со службой  NTLM Security Support Provider?
2. Кривой кряк.

SYSAD 25-03-2004 15:23 261309

Кривой кряк чего, извините, Kerio  что ли ??

Vich 25-03-2004 16:18 261310

а если клиенты могут ходить напрямую - зачем тогда нужне прокси? может стоит попробовать версию поновей? у меня сейча стоит 5.1.9 (последняя 5.1.10)

SYSAD 26-03-2004 10:08 261311

Прокси нужно, кеширование, и одна упрямая банковская прога хочет только через проксю ходить,
Ежели подсобишь новой версией буду безмерно благодарн :-)

Vich 26-03-2004 10:54 261312

с офф. сайта качай программу и иди сюда - http://forum.oszone.net/topic.cgi?fo...amp;topic=2104
поиском программ занимается Кряковарез

SYSAD 30-03-2004 17:09 261313

поставил новую версию 5.1.10 все вродеработает, но вылезла другая проблема, файлы не качаются, в логах пишет, что антивирус не может проверить файл... и соответственно не дает его докачать

Добавлено:

антивирь встроенный McAfee AV

Vich 30-03-2004 17:38 261314

дык, отключи проверку трафика на лету... себе ставил без антивиря (отдельно его поставил) и без проблем..

SYSAD 31-03-2004 09:28 261315

дык он же не один, хочется что бы весь входящий траффик на лету для всей сети просвечивал...

zenit 31-03-2004 11:52 264154

Всем привет!
На инет шлюзе под управлением ХР стоит Winroute, который периодически обрывает связь (например Аська отключается и др.пр.), что бы могло быть?

Vich 31-03-2004 12:47 264155

а сам шлюз не теряет связь интернетом? time ranges случайно не прописаны?

codex 02-04-2004 22:37 264138

На сервере установлен Винрут, два клиента выходят в и-нет через прокси. Недавно возникла проблема - IE не хочет грузить страницы, а некоторые грузит, но не до конца, тоесть заголоков окна уже поменялся, а тело страницы не грузится. В Мозиле всё нормально работает, но статус бар постоянно показывает Transferring data from... Так же перестал работать ФТП клиент - логинится на сервер нормально, но при скачивании листинга дерикторий глохнет :( В Винруте никакие настройки не изменялись. НАТ включен.

Vich 03-04-2004 02:04 264139

Цитата:

НАТ включен
если он включен, зачем тогда использовать прокси. ведь winroute прокси-сервер только во вторую очередб, а в первую - неплохая роут-машина.
поставь клиентам в качестве шлюза по умолчанию (в настройках tcp/ip) адрес машины с winroute

codex 03-04-2004 03:32 264140

Хм, сетевые технологии не мой профиль и я, видимо, неправильно понимаю что такое НАТ. То, что означает это трансляцию сетевых адресов знаю и раньше думал, что включается этот самый НАТ в самом Винруте (в настройках адаптеров есть похожая опция). Я неправ? Если не прав, то где влючается этот самый НАТ и как в этом случае настраивать сеть.

Заранее благодарен :)

Vich 03-04-2004 19:01 264141

Цитата:

ключается этот самый НАТ в самом Винруте (в настройках адаптеров есть похожая опция).
можно и там. хотя это можно ключить и не использую винроут. а трансляция адресов - это подмена адреса клиента адресом шлюза (если грубо). т.е. какбы прозрачное проксирование. в настойке браузеров не нужно ставить никаких адресов прокси сервера. а нужно:
Цитата:

Цитата Vich
поставь клиентам в качестве шлюза по умолчанию (в настройках tcp/ip) адрес машины с winroute


codex 03-04-2004 19:25 264142

Ставил - нет и-нета в этом случае. А не подскажешь где НАТ включается (не в винруте)?

codex 04-04-2004 01:15 264143

Всё вопрос снят, настроил я Winrout черер NAT - всё работатет отлично, НО всплыла старая проблема, ещё с тех времян, когда я шарил коннект через ICS. Проблема том, что некоторые сайты не грузятся и в основном это сайты в зоне .ru Я так понимаю, что проблема в ДНС, но что делать не знаю. Если настраивать браузер через прокси - всё отлично грузится. Не одно так другое :(
Может я не так что-то в DHCP настроил? WINS и DNS сервера - указан адрес машины с винрутом. Больше я не знаю в какую сторону копать...

SlavikSG 04-04-2004 01:36 264156

Может не в тему:
WinRoute не юзал. Юзал WinGate, UserGate 2.8 - таких проблем не было. Разве что из-за самого инета, но никак не из-за прокси.

Vich 05-04-2004 10:00 264144

Цитата:

WINS и DNS сервера - указан адрес машины с винрутом
а вот это не обязательно..
Цитата:

Я так понимаю, что проблема в ДНС, но что делать не знаю
прежде всего нужно проверить, как резолвятся адреса на самой машине с WinRoute (через nslookup)
Цитата:

что некоторые сайты не грузятся и в основном это сайты в зоне .ru
в политике посмотри - возможно в Content Filtering запрещено ходить по некоторым .ru сайтам..

Guest 08-04-2004 16:54 264046

Вообщем такая фигня ставлю я WinRoute 4.13 на Xp professional Sp_1

И на этом работаспособность теряеться
- коточе говоря не грузиться XP
- кроме  как "Загрузка последней удачной конфигурации"

Giorgievich 08-04-2004 16:56 264047

Guest
А если попробовать использовать WinRoute Firewall 5.x? Или вам обязательно нужна эта старая версия?

Vich 08-04-2004 17:22 264048

Цитата:

не грузиться XP
ошибку какую выдает?

monkkey 08-04-2004 17:42 264023

Поставил WR 5.1.10 на W2003 Server, раньше стоял он же на W2k Server. Правила те же, но Аська не пашет ни под каким соусом, т.е. коннектится, но инфа не проходит, вот кусок лога:

[08/Apr/2004 13:25:28] PERMIT "ICQ" packet from VIAL, proto:TCP, len:48, ip/port:192.168.10.30:1142 -> 205.188.179.233:5190, flags: SYN , seq:17877121 ack:0, win:8192, tcplen:0

Что бы такого сделать?


Greyman 08-04-2004 20:52 264024

monkkey
Не знаю, как восстановить работоспособность со старыми настройками, но если тебе надо просто заставить работать аську, то попробуй поставить в ней тип прокси - HTTPS, а порт сервера аськовского - 443 (вместо 5190).

Raistlin 08-04-2004 21:07 264025

У меня похожие симптомы (есть соединение, нет передачи данных -- весь contact list показывается всегда в офлайне) были, когда я в KPF 4.x перекрыл входящий ICMP-трафик по коду 3.

monkkey 09-04-2004 09:04 264026

Raistlin
Считаешь, что надо открыть входящий ICMP?
Greyman
Пробовал уже Асю пускать  по разным протоколам, в т.ч. и HTTP, нифига не выходит. Ладно, буду пробовать...

Giorgievich 09-04-2004 11:01 264027

Цитата:

Цитата monkkey
Считаешь, что надо открыть входящий ICMP?

Не надо этого делать. Просто в Traffic Policy откройте исходящий TCP порт 5190 (можете там прямо выбрать сервис ICQ).

ferryamnn 09-04-2004 12:33 263734

Такая ситуация:
1. Есть 2000 сервак.
2. Стоит Winroute.
3. Сервак с терминалкой.
4. ISDN дырка в интернет(посекундная тарификация).
5. LAN дырка в интернет(ограничение трафика).
6. MailServer.
Надо чтобы это все работало по такой схеме:
Днем юзверя сидят в инете на LANе(трафик ~350Мб), но если надо что-нибуть закачать жирное, а надо ISDN(трафик 750Мб), то что-бы автоматом происходило переключение. Ещё надо чтобы почта забирилась с ISDN.
Есть у кого-нибудь соображения?
Шефу приспичило работать по такой схеме и надо разгребаться.

Raistlin 09-04-2004 22:03 264028

Цитата:

в Traffic Policy откройте исходящий TCP порт 5190
Так и сделал тогда -- на сайте так советуют. А потом долго удивлялся, что это никто в онлайн не приходит. Нужный ICMP нашёл методом проб и ошибок -- в KPF они почти все по умолчанию закрыты. Я, прямо скажем, в этом вопросе не силён, но ICQ хотелось, так что пришлось порт открыть. Экспериментировать дальше особого желания не было -- все сообщения, которые пытались пробиться ко мне, пока порт был закрыт, пропали :(.
Giorgievich
Не разъяснишь, что конкретно может прийти по этому порту?
monkkey
Ты попробуй ненадолго его открыть. Мне самому интересно, поможет ли.

ferryamnn 13-04-2004 10:39 263735

Народ! Что никто ничего не знает.?

Vich 13-04-2004 11:38 263736

Цитата:

что-бы автоматом происходило переключение
с WinRoute'ом это точно невозможно... также не получится сделать почту через isdn.
попробуй такое сделать на ISA Server'е (вместо WinRoute)..

Queen Black 14-04-2004 10:43 261316

SYSAD, а еще можешь посетить этот ресурс http://www.kerio.nm.ru/

Там найдешь все ответы на вопросы касательно продуктов Kerio ...
Просто не хотел заниматься беспорядочным цитированием

Guest 14-04-2004 11:14 263737

При помощи ISA сможешь почту на ISDN перекинуть. А вот с большим трафиком дела посложнее. Как определить размер закачки? Тяжело с шефом будет.

bananan2004 20-04-2004 10:02 263817

Сабж.
Я знаю,что надо поднимать nat,но как,где и что потом - не знаю.Давайте попробуем пошагово что-нибудь придумать?
Кидайте сcылки на русские rtfm!


Vich 20-04-2004 10:52 263818

в traffic policy есть кнопка wizard. этот помошник настроит все сам, нужно только ответить на его вопросы.
http://www.kerio.nm.ru - почитай тут (вроде и инструкция была)..

bananan2004 20-04-2004 11:04 263819

Vich:
Я так делал,нат разрешил,но шлюзом он не стал(в настройках клиентов PC с wr прописан как основной шлюз).
Т.е. я
1) установил wr
2) прописал в клиентах основной шлюз
Больше ничего не надо?

Vich 20-04-2004 11:19 263820

этого достаточно... соединение с интернетом одно? модемное/выделенка?
Цитата:

но шлюзом он не стал
не работает чтоль?
поподробней опиши конфигурацию сети

bananan2004 20-04-2004 11:43 263821

Соеденение модемное(одно).

Цитата:

не работает чтоль?
Видимо нет...Работает если в качестве dns сервера поставлен PC с wr,но это ведь не то.
Сеть AD,клиенты w200 prof.

Vich 20-04-2004 11:52 263822

попробуй так... в dns forwarder. галка стоит на "enable dns forwarding" и выбрано "forward dns queries to the specified dns server(s)". там должны стоять адреса dns серверов (через ; ) выделяемых провайдером.. (при довоне можно посмотреть через консоль ipconfig /all на модемном интерфейсе)

Hemp 20-04-2004 11:55 263823

FAQ по Kerio WinRoute FireWall, правда недоделанный.

bananan2004 20-04-2004 12:33 263824

Vich:стоит.
Hemp:читаю

Добавлено:

Да,кстати!
Посмотрел через сетевой монитор,так там пакеты на шлюз даже не отправляются-только на мой dns-адрес,а затем широковещательным запросом!
Выходит клиенты дурЯт или так и должно быть?


[s]Исправлено: fzzz, 14:00 20-04-2004[/s]


[s]Исправлено: fzzz, 16:47 20-04-2004[/s]

Hemp 21-04-2004 08:50 263834

Есть локальная сеть из восьми компьютеров (W2k, XP), созданная на основе рабочей группы. На одном компьютере (W2k sp4, P530 Mz, 256 Mb), решил сделать шлюз. В нём две сетевых карточки.
Одна со статическим адресом 192.168.ААА.ААА, смотрит в локальную сеть.
Вторая со статическим адресом 192.168.ВВВ.ВВВ (до меня, он раздавался динамически), смотрит, думаю на маршрутизатор, комутатор или другой компьютер расположеный в этом здании. Через это соединение проложен VPN тунель от провайдера.
В общем получается в контролёре удалённого доступа три сетевых интерфейса.
____________________________________________
Установил программный маршрутизатор Kerio WinRoute v.4.2.5.
Включил ретрансляцию DNS, в "Таблице интерфейсов" -- преобразовыть IP-адрес для *VPN интерфейса (NAT). В "Пакетном фильтре", правил,  практически нет, пока, нет. Включил прокси-сервер. Порт 3128.
Завёл пользователей. *Аутентификацию пользователей средствами Windows не делал. У пользователей имена написаны кириллицей, плюс пароль.
У пользователей, в настройках TCP/IP, в качестве шлюза и DNS-сервера стоит 192.168.ААА.ААА. В IE, в Opere, в настройках прокси сервера, HTTP, HTTPS -- 192.168.ААА.ААА:3128.
_____________________________________________
Теперь проблема.
Пользовательские браузеры (ни IE, ни Opera), не запрашивают, у пользователя аутентификацию (не появляется весёлое окошко с логином и паролем). А, в Интернет пользователи выходят.
В логе записисано:
IP-адрес пользователя; на месте логина -- прочерк; адрес, куда пользователь обращался; код ответа сервера -- 200.
В чём дело?
_____________________________________________
Дополнение.
На одном компьютере переустанавливал W2k, там IE запрашивает аутентификацию. На, остальные компьютеры, ОС, устанавливали до меня.
На работе (основной), пробовал экспериментировать (то же Kerio WinRoute v.4.2.5.), аутентификация проходит на ура.
_____________________________________________
Вопрос.
Где копать?

Vich 21-04-2004 09:59 263835

встречный вопрос:
Цитата:

На одном компьютере переустанавливал W2k, там IE запрашивает аутентификацию.
логин в WinRoute совпадает с логином пользователя? в WinRoute чемнть отличаются настройки этого пользователя от других?

Hemp 21-04-2004 10:39 263836

Vich
1. Логин в WinRoute, не совпадает с логином заведённым на компьютере пользователя.

2. Попробую, сделать правило в "Прокси-сервер --> Доступ", для пользователя Everyone (все):
* -- *для Everyone -- запретить.
* -- *для пользователей *WinRoute -- разрешить.

3. На всех компьютерах, кроме переустановленного, пользователи имеют права администраторов, что, мне не очень нравится, и, с этим в ближайшем будующем планирую бороться (подрабатываю не давно, наскоками, наездами, по вечерам).
На переустановленном пользователь - Продвинутый пользователь.
Скорей всего в этом, и кроется причина. Нашёл в документации по WinRoute:
Цитата:

У каждого запрещенного URL есть ассоциированный с ним список пользователей и групп, имеющих доступ к этому URL. Для получения доступа они должны вводить имя и пароль по подсказке браузера.
Примечание: запрещенные URL'ы всегда открыты для доступа членам группы Администраторов.
Буду пробовать.

bananan2004 22-04-2004 09:19 263825

Цитата:

пакеты на шлюз даже не отправляются-только на мой dns-адрес,
В смысле на мой dns-сервер,он же контроллер домена.

М...А нет еще rtfm?
Где можно посмотреть?

[s]Исправлено: fzzz, 9:24 22-04-2004[/s]

AndrS 23-04-2004 21:25 263150

Доброго всем дня (вечера, ночи)

Скажите пожалуйста, возможно ли такое, что через подключенный через сервак с WinRout(ом) компьютер "пройти" на ftp,  а то почта, аська работает, а при попытке прогуляться на фтпишник пишет "невозможно произвести подключение" :(

Всем удачи!

Delirium 24-04-2004 07:52 263738

ну размер закачки вообще не проблема. достаточно правильно ису настроить или поставить на сервер Outpost firewall, он будет блочить пакеты больше опр. размера

Vitki 24-04-2004 17:04 263151

Почта работает черес порты 25 и 110, аська не помню через какой. FTP работает через порт 21. Вывод: порт заблокирован. Закрыт на проксике или фаетволом. Нужно открыть.

Vich 24-04-2004 18:40 263152

AndrS
включи у клиента пассивный режим ftp

AndrS 25-04-2004 02:05 263153

Спасибо всем!
через какие порты что работает я в курсе, а вот порт 21 спецом открыл, правда в ВинРоуте нет такого FTP поэтому открыл для TCP не знаю правильно это или нет :(

УважаемыйVich
я не обнаружил в ТоталКоммандоре такой опции :(

СПАСИБО ВСЕМ!!!

AndrS 25-04-2004 23:14 263154

Сорри, был не внимателен...
Есть там тема про пассивный режим, только результат не утешительный :(
НЕ ИДЕТ ЗАРАЗА пишет  "Сервер не найден" (обращаюсь к 100% рабочему серваку...

Vich 26-04-2004 09:51 263155

AndrS
в WinRoute'e есть среди Services - порт. так и называется - FTP.
Цитата:

пишет  "Сервер не найден" (обращаюсь к 100% рабочему серваку...
а пинги до него идут?

AndrS 27-04-2004 00:12 263156

Vich
Дело в том, что через броузер есть коннект с серверу.

Скажи пожалуйста, а где именно там такой порт
У меня русская прога и поэтому я не совсем понял где именно это искать.


СПАСИБО!

Vich 27-04-2004 10:59 263157

раздел, где группы адресов и временных диапазонов. там же есть пункт - сервисы. внутри порт 21 (лучше ищи по номеру..)
кстати, дополнительно к WinRoute'у не стоит часом еще один фаервол?

Negativ 27-04-2004 11:44 263158

AndrS
А winroute у тебя как проксик работает или ты через nat юзаешь? У меня лично через проксик не получалось. Пришлось nat поднимать.

AndrS 27-04-2004 22:16 263159

Vich
Ты уж прости мою тупость, но в упор я "сервисы" не нашел там :(
[img]www.andrs.nm.ru/images/winroute.gif[/img]
К ВинРоуту больше фаерволов нет так что...

Negativ
как прокси
а что есть NAT вернее как его настроить и какие плюсы-минусы есть при том и том варианте (кратенько, если не сложно)

Negativ 28-04-2004 09:08 263160

AndrS
Думаю тебе нужно почитать документацию по Winroute. Возьми здесь. Там все подробно описано.

AndrS 01-05-2004 00:38 263161

Negativ
Спасибо!
почитал, но так и не смог решить проблему с FTP :(
А про NAT я просто не понял.
как-то там все завернуто, а вот сути не понял!!!

Vich 05-05-2004 09:42 263162

суть в подмене внутренних адресов локальной сети на внешний(ие) для всех клиентов, но прозрачно для них... т.е. получается прозрачный прокси какбы

DeepProg 15-05-2004 22:24 263055

Работаем с @Klassika.
Настройка собственно соединения хорошо описана у HeliosNet.
У них есть и пример настройки WinRoute 4.x.

Теперь о ситуации:
WinXP. В работе участвуют 3 interface:
  1. BroadbandReceiver(карточка, общающаяся с со спутниковой антенной), который Wizard KWF выбирать почему-то не дает(руками-то я его вставлю)
  2. Dial-up Modem, который сначала коннектится к наземному прову, а затем коннектимся к
  3. серверу VPN провайдера СКД

Мне удалось в KWF5 разрешить подключение к VPN(в лоб: разрешил адреса провайдера) после успешного подключения к наземному dial-up провайдеру.
НО
Трафик блокируется.
Мне известна причина блокировки - срабатывает Anti-Spoofing на интерфейс BroadBand Receiver. *Отключение Anti-Spoofing - *освобождает трафик. Но так я, кажется, теряю всю защиту от этого класса атак.

Вопрос: как настроить возможность прохождения трафика с тарелки ко мне в обход Anti-Spoofing только для данного интерфейса и предотвратить спуффинг со стороны агрессора?

Приятно будет видеть сценарий корректной настройки с иным подходом(можeт быть, грамотный routing), т.е. "как это было" от тех, кто успешно использует СКД в своих LAN.

Для начала можно попробовать "поднять" трафик только для машины с KWF, если это удастся, поговорим и о раздаче Internet в LAN.

AndrS 17-05-2004 00:04 263163

Vich
А на примерах нельзя пояснить что и как!!!!!

Hemp 17-05-2004 09:23 263249

Есть локальная сеть из восьми компьютеров (W2k, XP), созданная на основе рабочей группы. На одном компьютере (W2k sp4, P530 Mz, 256 Mb), решил сделать шлюз. В нём две сетевых карточки.
Одна со статическим адресом 192.168.ААА.ААА, смотрит в локальную сеть, предпочитаемый DNS-сервер 192.168.ААА.ААА (ретранслирую DNS запросы).
Это интерфейс А.

Вторая со статическим адресом 192.168.ВВВ.ВВВ (до меня, он раздавался динамически, но с помощью утилиты ipconfig /all, я понаблюдал, что этот адрес не меняется и задал его статически), смотрит, думаю на маршрутизатор, комутатор или другой компьютер расположеный в этом здании. Короче смотрит в сторону провайдера. Предпочитаемый DNS-сервер, (раздавался динамически, прописал статически) 81.20.ВВВ.ВВВ. IP-адрес шлюза 192.168.ВВВ.ВВ1 .
Это интерфейс В.
<<витая пара к провайдеру (В)>>_192.168.ВВВ.ВВВ_||шлюз||_192.168.ААА.ААА_<<витая пара в локальную сеть (А)>>

Через это соединение (интерфейс В) проложен VPN тунель к провайдеру. IP-адреса задаются динамически, в диапазоне 81.20.ССС.1-254 (IP-адрес и IP-адрес шлюза). В WinRoute создал группу адресов -- "81.20.ССС". IP-адрес DNS-cервера 81.20.ССС.ССС.
Это интерфейс С.

В общем получается в контролёре удалённого доступа три сетевых интерфейса (физических два -- А и В).
____________________________________________
Установил программный маршрутизатор Kerio WinRoute v.4.2.5.
Включил ретрансляцию DNS (ретранслировать 81.20.ССС.ССС), в "Таблице интерфейсов" -- преобразовыть IP-адрес для *VPN интерфейса (NAT). В "Пакетном фильтре", правил, *практически нет, пока, нет. Включил прокси-сервер. Порт 3128.
Завёл пользователей. *Аутентификацию пользователей средствами Windows не делал. У пользователей имена написаны кириллицей, плюс пароль.
У пользователей, в настройках TCP/IP, в качестве шлюза и DNS-сервера стоит 192.168.ААА.ААА. В IE, в Opere, в настройках прокси сервера, HTTP, HTTPS -- 192.168.ААА.ААА:3128.
_____________________________________________
Теперь проблема. За месяц пришёл внушительный счёт, провайдер кричит, что это может быть из-за вирусов. Вирусы, которые были, я удалил (сеть досталась по наследству).
1.Вопрос такой, преобразую адреса, я с VPN соединения, пакеты проходят на интерфейс А. Могут ли пакеты проходить на интерфейс В, т.е. ещё кто-то в сети 192.168.ВВВ.1-254 может ли, "кушать" трафик нахаляву?

2.Если, да, то какие правила необходимо создать в пакетном фильтре для интерфейса В?
Пока стоят такие:
Входящие:
TCP_любой адрес_любой порт-->>>192.168.ВВВ.ВВВ_порт более 1023 *разрешить;
TCP_группа адресов"81.20.ССС"_1723-->>>192.168.ВВВ.ВВВ_порт более 1023 *разрешить;
TCP_любой адрес_любой порт-->>>любой адрес_любой порт *запретить;
UDP_любой адрес_53-->>>любой адрес_53 *разрешить;
UDP_любой адрес_53-->>>любой адрес_более 1023 *разрешить;
UDP_любой адрес_любой порт-->>>любой адрес_любой порт *запретить;
ICMP -- запретить.

1723 -- с этим портом работает протокол PPTP.
Помогите настроить правильно пакетный фильтр.
Читал, что протокол PPTP инкапсулирует пакеты протокола PPP в IP протокол...
Честно говоря не совсем понимаю как работает PPTP протокол, если есть, у кого ссылки по данному протоколу -- поделитесь.




[s]Исправлено: Hemp, 7:20 18-05-2004[/s]

Olezan 17-05-2004 11:29 263164

Привет, незнакомый дружище!
Помоги советом, пожалуйста!
Есть сетка MS из 15 компьютеров, 7 из них имеют доступ в Инет через отдельный узел
(Win98, две сетевухи Compex(на DSL) и D-Link(в локальную сеть), WinRoute 4.2.1 rus, DSL Zyxel645, выделенка 512к). Всё работает, но есть две язвы, которые мешают мне спокойно работать:
1. Не могу ни у кого узнать - как настроить фильтрацию пакетов WinRoute, т.е. у меня на данный момент "правил фильтрации нет".
2. Неправильно считается трафик при закачке по ftp. Например, скачиватся файл 2 мб
при помощи Reget, тот разбивает эти 2 мб на пять частей и КАЖДАЯ часть файла в итоге и меет размер ЦЕЛОГО ФАЙЛА 2МВ. Поэтому трафик растет как на дрожжах.
Посоветуй, что с этим делать?

С уважением, нарушение@правил.ru


[s]Исправлено: Vich, 12:05 17-05-2004[/s]

Lamo 17-05-2004 11:58 263250

Hemp
Вариации на тему
Цитата:

За месяц пришёл внушительный счёт
1) на клиентах отключи "юзать прокси для локали"
для этого LMHOST есть
2) прописать в настройках DNS Rout`а
локальный DNS первым, затем уже прова,
Либо галку на разрешить просматривать LMHOST
и в нем все локали прописать
3) Чистое ИМХО, если нет замороченного клиентского ПО
то лучше установить например USERGATE - там опция имеется
"отрубать VPN если юзеры отвалили с ИНета" и она работает
Конечно нечто подобное есть и в роуте -
"коннект по требованию" - вот только завести мне ее
не удалось.
---------------------------------------------------
Цитата:

Предпочитаемый DNS-сервер, 81.20.ВВВ.ВВВ
проложен VPN тунель к провайдера
DNS -81.20.168.17/19
не угадал ?
уж больно на Интерсвязь похоже

Hemp 17-05-2004 12:26 263251

Lamo

Цитата:

не угадал ?
Угадал.

Цитата:

Конечно нечто подобное есть и в роуте -
"коннект по требованию" - вот только завести мне ее
не удалось.
В WinRoute это работает.
Настройки --> таблица интерфейсов --> выбираешь нужный интерфейс --> Свойства --> Удалённый сервер --> Отбой при простое столько-то минут.

ALL

У кого, ещё есть мысли по этому поводу?


[s]Исправлено: Hemp, 12:50 17-05-2004[/s]

Lamo 17-05-2004 13:07 263252

Hemp
ты не понял моя основная мысля
Цитата:

1) на клиентах отключи "юзать прокси для локали"
для этого LMHOST есть
2) прописать в настройках DNS Rout`а
локальный DNS первым, затем уже прова,
Либо галку на разрешить просматривать LMHOST
и в нем все локали прописать
И сводиться к тому чтобы локальный трафик летел
не через прокси (читай VPN)

Цитата:

За месяц пришёл внушительный счёт,
провайдер кричит, что это может быть из-за вирусов.
Вирусы, которые были, я удалил (сеть досталась по наследству).
Случаем не с тобой там разборы были по поводу ~1000 енотов.

Lamo 17-05-2004 20:16 263165

Olezan
Цитата:

КАЖДАЯ часть файла в итоге и меет размер ЦЕЛОГО ФАЙЛА 2МВ. Поэтому трафик растет как на дрожжах.
Посоветуй, что с этим делать?
Отключить уе№;%№;ный кешконтроль у WinRoute.
ну либо опцию поставить "обрывать при разрыве"
(черт не помню точно или снять "продолжать при разрыве")
вся это фигня в опциях кеша

Чисто ИМХО такого отстойного кешконтроля как у Роута
больше вряд ли найти сможешь, просто убей его на%;:


Добавлено:

AndrS
Цитата:

Сорри, был не внимателен...
Есть там тема про пассивный режим, только результат не утешительный  
НЕ ИДЕТ ЗАРАЗА пишет  "Сервер не найден" (обращаюсь к 100% рабочему серваку...
Если проксик, так Тотал тоже через него гнать надо
как у все доунлоадеры (например Флеш на ура через него летает)

Lamo 17-05-2004 20:28 263253

Цитата:

В WinRoute это работает.
Настройки -->
Тут вот в чем разница:
UserGate сначала тыкается в локаль прова,
если не находит нужный адрес то подымает VPN
Если на VPN-е простой, то она его отключает;
как только запрс пошел опять сначала проверка
локали прова, а уж потом VPN

а вот с WinRout`oм такое не получилось,
опция "RAS по запросу" нихрена не работает -
он не активирует VPN

А если его постоянно держать то если кто-нидь
из локали прова слить что захочет, то все пролетит
через VPN и вот тебе твои 1000 енотов

AndrS 17-05-2004 22:40 263166

Lamo
Спасибо Большое!!!
Не знаю какими правдами, но я заставил все работать именно программой FlashGet !!! (hfymht пользовал Регет, и думал что она самая удобная, но понял что есть еще удобней :)   )


Еще раз СПАСИБО!!!

Добавлено:

Да! А в ТоталКоммандоре, нужно было всего-то добавить в конец адреса прокси, еще и его порт

192.168.1.1:3128   -  ПРИМЕР

(это я понял буквально минуту спустя, обратив внимание на адрес который формируется в FlashGet

Hemp 18-05-2004 08:42 263254

Lamo

Цитата:

Случаем не с тобой там разборы были по поводу ~1000 енотов
Если "еноты" это евро, то, это точно не я. По сравнению с этой суммой, я просто счастливчик. По сравнению с мартом (я, тогда, там ещ не рулил), за апрель вышло почти в шесть раз больше, правда появилось три новых компьютера.

Цитата:

1) на клиентах отключи "юзать прокси для локали"
Ты, имеешь ввиду в IE, в "Свойствах обозревателя" поставить галку "Не использовать прокси-сервер для локальных адресов"? Дак, она, там, так и стоит.

Цитата:

для этого LMHOST есть
Есть такой файлик, для разрешения имён NetBIOS *с IP-адресами.
Как понимаю, сначала, чтоб найти адрес како-нибудь компьютера, будет дан широковещательный запрос (широковещательный запрос через маршрутизатор не пройдёт) по локальной сети (интерфейс А), и если ответ не будет получен из локальной сети, то будет использоваться данные из файла LMHOSTS.
Что мне это даст?
В LMHOSTS'е прописать 192.168.ВВВ.ВВВ и имя шлюза?



[s]Исправлено: Hemp, 9:14 18-05-2004[/s]

Olezan 18-05-2004 09:32 263167

Lamo, спасибо!
Не перевелись ещё на Руси отзывчивые люди !

Срочно всё попробую с кешконтролем.
А вот как насчёт первого вопросика? Кому не слабо ответить?
Цитата:

1. Не могу ни у кого узнать - как настроить фильтрацию пакетов WinRoute, т.е. у меня на данный момент "правил фильтрации нет".
Сейчас моя сетка прикрыта "фиговым листком" - открыто всё и во все стороны. Напомню, у меня WinRoute 4.2.1 rus.

Цитата:

Есть сетка MS из 15 компьютеров, 7 из них имеют доступ в Инет через отдельный узел
(Win98, две сетевухи Compex(на DSL) и D-Link(в локальную сеть), WinRoute 4.2.1 rus, DSL Zyxel645, выделенка 512к). Всё работает, но есть две язвы, которые мешают мне спокойно работать:
1. Не могу ни у кого узнать - как настроить фильтрацию пакетов WinRoute, т.е. у меня на данный момент "правил фильтрации нет".
Если честно, то я первый раз в форуме. Если залечите мои язвы - то окончательно поверю, что человек человеку брат.

С уважением, Олег. г.Воронеж

Lamo 18-05-2004 11:44 263255

Hemp
Прежде давай разберемся, поднят ли НАТ ?

дело такое при активном VPN посмотри
сколь принято/отослано байт
и пингани ближайшую подсеть
например:
ping -l 4096 192.168.194.1

и увидишь что на VPN тоже закапало...
вот отсюда и трафик
Нужно добиться чтобы внутренние ресолвы не лезли
на DNS прова, а ресолвились на твоей стерве

пусть вначале в своем LMHOST лазят
допустим твоя локаль -
PDC=192.168.0.1 (name: Server)
Шлюз=192.168.0.2 (твой проксик name: IRoute)
остальные = 192.168.0.3 - 255 (чисто звери)

тогда LMHOSTS:
Цитата:

192.168.0.1 Server   #PRE
192.168.0.2 IRoute   #PRE
192.168.0.3 User1    #PRE
192.168.0.220 User2    #PRE
192.168.0.230 User3    #PRE
192.168.0.233 User4    #PRE
192.168.0.232 User5    #PRE
192.168.0.50 User6    #PRE
192.168.0.60           User7    #PRE
192.168.0.30           UserN    #PRE
и так на каждой машине


Добавлено:

Вообще, по уму, для пущей экономии и безопасности
прибить NAT и всех гнать через прокси


AndrS 18-05-2004 18:09 263168

Господа!
Я прошу меня простить, но если вам не сложно (раз тут собрались специалисты, просто пользователи и эксперты по вышеупомянутой программе)

Как сделать, чтобы WinRoute ходил за почтой как только к нему по сети (с любого IP) кто-то тыркнулся "с этими делами", а то вышел из положения конечно тем что выставил кучу "расписания обмена почтой" и довольствуюсь этим.
Если не ставить время, то почта просто тыркнеться куда-то и заткнется (со словами что мол нет "тебе" почты) а я знаю на сто процентов что мыло есть.

Не очень просто это удобно, если тебе вот только что выслали почту, и надо ждать до следующей проверки (в моем случае каждый час)

ВСЕМ СПАСИБО ЗА СОДЕЙСТВИЕ!

Lamo 19-05-2004 06:24 263169

Olezan
Цитата:

1. Не могу ни у кого узнать - как настроить фильтрацию
пакетов WinRoute, т.е. у меня на данный момент "правил
фильтрации нет".
Вот с этим помочь не могу т.к. пользуюсь сторонним FW,
ИМХО удобнее.
Но, насколько мне помниться, в мануале об этом что-то есть.

AndrS
Цитата:

Как сделать, чтобы WinRoute ходил за почтой как только к нему по сети (с любого IP) кто-то тыркнулся "с этими делами", а то вышел из положения конечно тем что выставил кучу "расписания обмена почтой" и довольствуюсь этим.
Немного не понял... т.е. ты хочешь чтобы Роут RAS по запросу
активировал, а потом отваливал ? Так ?
Если так, то я пробовал, на Роуте у меня не получилось :(
(тоже самое работало на ура на UserGate, на той же машине)
Если не так, то пиши подробнее.

Guest 19-05-2004 10:02 263170

................
AndrS

Цитата:

Как сделать, чтобы WinRoute ходил за почтой как только к нему по сети (с любого IP) кто-то тыркнулся "с этими делами", а то вышел из положения конечно тем что выставил кучу "расписания обмена почтой" и довольствуюсь этим.


Немного не понял... т.е. ты хочешь чтобы Роут RAS по запросу
активировал, а потом отваливал ? Так ?
Если так, то я пробовал, на Роуте у меня не получилось  
(тоже самое работало на ура на UserGate, на той же машине)
Если не так, то пиши подробнее.
................
В винроуте сие безобразие называется ON Demand.
(Или Соnnect on demand).
По моему прописывается или в RAS или в Интерфейсах.

Lamo 19-05-2004 10:11 263171

Guest
Цитата:

Или Соnnect on demand
В русской версии зовется "по требованию" и находится
в "Интерфейсах" (выбрать свой RAS-интерфейс)
но есть одно НО, не работает эта фигня
Цитата:

Если так, то я пробовал, на Роуте у меня не получилось  
(тоже самое работало на ура на UserGate, на той же машине)

Full User 19-05-2004 12:11 263172

Для Olezan по поводу фильтрации пакетов.
Если из Инета никто не должен ничего в локалке видеть, то:
в закладке Параметры защиты ставишь везде режим соблюдения тишины и допускать к преобразованию адресов только зарегистрированные пакеты. Твой роутер из Инета не будет даже пинговаться.
Далее в настройках фильтров выбираешь интерфейс, который смотрит в Инет, закладка Входящие.
TCP любой узел порт=20 => твой IP все порты - разрешить
TCP любой узел все порты => твой IP все порты только при установке TCP связи - игнорировать
Порт 20 я открыл для FTP, на остальные запросы не реагировать.
Далее интерфейс в локалку, закладка Входящие.
UDP любой узел все порты => любой узел все порты - разрешить
IP (Я любимый) => Любой узел - разрешить (Мне открыть прямой *доступ через NAT, мимо прокси)
IP My Office (группа адресов локалки, допущенных к Инету через прокси) => IP адрес роутера в локалке - разрешить
IP любой узел => любой узел - игнорировать, писать в лог (Остальным балалайка и учет, кто пытался)
Это для начала, а там уже смотри сам.


AndrS 19-05-2004 22:37 263173

Lamo

Я может не совсем ясно изложил свои пожелания, поэтому уточню:

Есть The Bat (я понимаю что я не самый крутой в этом :) *)
Так вот можно ли (и если можно то как) как только я (или сотрудники) нажав кнопку "доставить почту" WinRoute сам шагал на сервер прописаный в нем за почтой и отдавал её уже по локалке тому кто её запросил и кто имеет на то "права".

А то у меня получается так, что я раставил там в расписании получении почты (пришлось каждый час прописать), с возможностью дозвона (если нет связи) и вот каждый час (наверно я не следил) *WinRoute ходит за почтой. Ну по крайней мере я её худо-бедно получаю.
А вот представьте теперь что мне послали письмо, я секунду назад он уже соберал почту ... * и получается что теперь он её заберет только через час, а бывает ведь почта то срочная!


Спасибо что выслушали!

[s]Исправлено: AndrS, 22:39 19-05-2004[/s]

Olezan 20-05-2004 09:16 263174

Спасибо, Full User!

Попробую всё это переварить и попробовать!

Если появятся вопросы - не откажи !

С глубоким почтением, Olezan.

Full User 20-05-2004 09:58 263175

Для AndrS
У меня выделенка, поэтому поставил проверять каждые 5 минут и ладно.
А у тебя похоже дозвон, поэтому каждые 5 минут накладно будет.
Попробуй в настройках почтового сервера поставить галочку "обмен почтой по поступлении нового исходящего на почтовый сервер". Тогда для получения почты нужно будет отправить любое письмо на свой ящик, и забрать почту. Тоже гимор, но по другому кажется не получится.:(

AndrS 20-05-2004 23:50 263176

Full User

Вот и я говорю, что помоему они тут что-то намудрили... :(

А вы не в курсе в 5-ой версии эта "байда" работает?
или тоже все немного через задЭ?

Я поставил каждый час, что тоже не совсем удобно (только потом что долго ждать если месага только прилетела)

Full User 21-05-2004 08:55 263177

С пятым не разбирался.
Попробовал поставить на свой комп поразбираться, он сильно тормознул.
Сразу снес. Поэтому ничего сказать не могу.

DeepProg 25-05-2004 01:55 263056

Что совсем никаких идей?
Настройка IPsec здесь, кажется, не нужна или она и есть спасение?

AlexNor 02-06-2004 14:13 262712

Такая я вот ситуация:
есть комп на котором 2 сетевые:
1-ая (192.168.21.106) смотрит в одну подсеть
2-ая (192.1.1.10) смотрит в другую подсеть

Проблема в том что необходимо как-то общаться с компа из второй подсети (его адрес 192.1.1.15) с компами из первой подсети.
Поставил Winrourte. После этого я с компа с адресом 192.1.1.15 могу достучаться до компов в первой подсети(192.168.21.x) а они до меня нет.
И комп на котором стоит 2 сетевые теперь для компов в первой подсети (192.168.21.x) по имени не виден, только по IP.
Можно ли как-то это исправить?

DeepProg 03-06-2004 20:54 262858

А теперь обратный вопрос и несколько более общий
451 Command Denied by Firewall
это кому-нибудь должно быть знакомо. ошибка выдается при попытке закачать файл. Срабатывает не слишком часто,но все же, ради скачивания каждый раз отрубать KWF не хочется. Запрет стандартный, не пользовательский.

Как разрешить выполнение этой команды (еще мелькали LIST и RSET 100, если это не то же самое). Буду благодарен и за ссылки по этим командам (предполагается, что рекомендованный ресурс вами прочитан и вы считаете его достойным внимания - ну лень рыться в куче инфы ;) )

Gennady82 04-06-2004 15:12 262713

А не проще ли создать сетевой мост?

monkkey 04-06-2004 16:13 262714

А маршрутизацию без винрута нельзя, что ли, настроить? Зачем лишние навороты?

Angina 04-06-2004 21:07 262715

Ни кто не видел хелп на русском для Винроута 5.1 ????
Нужен а то не могу коевчем разобратся

Vich 07-06-2004 10:36 262716

на счет русского не уверен... посмотри на http://kerio.nm.ru/

Guest 07-06-2004 12:09 260973

Народ Хелп у меня винроут глючит он на некоторые сайты не пускает а они мне очень нужны чаво это может быть!!:(

Serhio Archimed 09-06-2004 12:55 262717

Ну по порядку, можно действительно настроить мост, как вариант. Можно создать маршрутизацию с помощью NAT и не обязательно винроутом (смотря какая у тебя ОС стоит). Потом, ты этот комп хочешь использовать как маршрутизатор или рабочую станцию?

Angina 09-06-2004 19:19 262718

Роут настроить можно, но.... если хочешь раздать нет то возникают доп проблемы. Винроутом лучше пользоватся так как у него все в одном, а если NAT строить на основе винды то в нем куча не достатков вплоть до взлома сети, чего не каждый хочет. Так что ждемс ответов тех кто реально в нем разобрался, а также с возможностью с одной сети пользоватся возможностями другой ! :oszone:

Guest 12-06-2004 14:35 262719

:) если это у тебя проксик, тогда вторую подсеть он и будет у тебя видеть, а первую только по айпи. подробности
Контакты в профиле

[s]Исправлено: Vich, 12:16 15-06-2004[/s]

invisible 18-07-2004 13:06 262099

Скачал, зарегил - красота!

Но вот вижу что-то новенькое:
Configuration/Interfaces/VPN Server

Чем этот зверь может пригодится? Как его кто юзает?

Vich 20-07-2004 12:54 262100

они добавили очень приятную вещь... vpn сервер с возможностью работы serv-to-serv (например для связи двух удаленных офисов через интернет) и serv-to-client (ну это понятно)... также сдалали поддержку работы vpn через nat, что не всегда реализовывалось

Lord Tom 28-08-2004 15:38 261317

у мну эта сцыла не работает, а факи хоЦЦа почитать...

Hemp 30-08-2004 08:27 261318

Lord Tom
http://12kms.fatal.ru/_kwf.html

cooperOK 07-09-2004 15:51 261141

Такая сложилась ситуевина: на одной из моих (многих) работ народ попросил подрубить выделенку. У меня немного другой профиль работы но...пришлось врубать и настраивать. по началу в качестве прокси поставил Proxy+, позарился на веб-интерфейс, простоту настройки и т.д., но настройки электронки оказались полной куликовской битвой с компом. Потом решил поставить ВинРут 4,2,2. все работает, инет есть у всех (кстати скорость на порядок выше чем у покси+), далее полез в настройки электронки. вобщем сделал все о чем трындят разработчики. но факт: входящая почта заходит без проблем, а вот исходящая ни фига не хочет! экспериментировал с портами и в правах выписывал, не хочет и все тут! народ! если кто помнит как это все имущество настраивать, скиньте мне! да и еще шарился на многих форумах в поисках ответа, там пишут: вруби,мол,НАТ. а конкретно не говорят что это и как он врубается! народ помогайте в проблеме!

Yustus 10-09-2004 12:12 261142

cooperOK
Подробнейшая инструкция по винруту ТУТ
В ней и про почту, и про НАТ, про все на свете.

Guest 22-09-2004 13:12 260132

Подскажите как настроить доступ к почте, если пользователи используют BAT? Раньше стоял WinGate там все понятно вот тебе SMTP где все настройки очевидны, тут блин вообще непонятно куда прописывать IP & Port. Подскажите как устроить так чтобы только прописанные пользователи ломились в интернет а те что не идентифицированны туда ходу не имели

Yustus 22-09-2004 13:24 260133

через NAT .
там все можно настроить, кому можно, а кому - нет.

Wn1 27-09-2004 10:39 260264

Работаю с Wingate 5.0.10. Почитал про Winroute - похоже, что у него есть ряд приемуществ... Однако ни где не упоминаеться, есть ли у него клиент, подобный Wingate-клиенту? Кто юзал винроут, подскажите!! С вопросами, типа "А зачем клиент? У меня через прокси класно пашет...", пожалуйста не приставайте... Клиент используеться и будет использоваться в моей организации - на то есть ряд причин...

Yustus 27-09-2004 13:30 260265

Причины - в студию!

iMP viSiOn 04-10-2004 13:18 260676

Сколько не смотрел на просторах Инета подробного описания разницы того или иного программного обеспечения по обеспечению доступа в Нет, так и не нашел грамотного описания приемуществ и недостатков.

Вот в чем вопрос, есть пакеты ПО:
1. Lan2net
2. WinRoute Firewall
3. WinGate
4. Стандартный Routing and Remote Access (Windows Server) и т.д.

Вот каким методом будет оптимальна настройка выхода в Инет нескольких сетей через один сервер, насколько будет ПО сказываться на скорости работы в интернете, пинг, проблемы с доступом и т.д. Сложность настройки ... все эти вопросы хотелось бы сложить и получить ответ, что же все таки лучше.

Интересны будут мнения по работе разного ПО в совокупности с утилитами BandwidthController или BSB.

Yustus 04-10-2004 13:52 260677

iMP viSiOn
Боюсь, каждый кулик хвалит свое болото, и будет флейм :)
Если у тебя несколько сетей, AD, и много компов и пользователей, то, видимо, тебе нужно посмотреть в сторону ISA Server'а...


[s]Исправлено: Yustus, 16:09 4-10-2004[/s]

iMP viSiOn 04-10-2004 16:00 260678

ISA тоже как алтернатива, только насколько это все скажется на машине. Одно время смотрел в сторону WinRout'a, однако потом из-за  своей пухлости различными примочками стал вызывать, мягко говоря, отвращение :) Ладно, подождемс, может народ все таки чего-нибудь  хорошее скажет :)

Yustus 04-10-2004 16:08 260679

iMP viSiOn
а что в винроуте не устроило? какую версию смотрел?
я уже давно с винроутами работаю.

iMP viSiOn 05-10-2004 01:06 260680

Последняя Winroute 6.0.1 была ... в то время еще сервак должен был выводить в Нет сеть из 10 машин. Чувствовалось, что Athlon XP, 512 памяти реагировал на запрос каждого пользователя, к тому же пинг увеличивался на 5-10 мс., что меня не очень устраивало ...

Yustus 05-10-2004 09:10 260681

iMP viSiOn
Если был крякнутый винроут (а я в этом почему-то уверен :) ), то ничего удивительного - с крякнутыми часто возникают проблемы, к сожалению...

GratefulDead 06-10-2004 03:13 260682

У меня на оджной сетке стоит WinRoute 4, на других WinProxy,  недавно заменил 1.4 на 1.5.  ВинПрокси попроще - на, как мне кажется и послабее.  Лично мне Winroute больше нравится. За полгоа один глюк был - почему-то пользователи из реестра не загрузились.

Andrewhin 06-10-2004 09:45 260671

Скажите, пожалуйста, что означают галочки "Регистрация пакета" "запись в файл" и "Регистр. в окне" в форме настройки правил фильтрации пакетов? Где можно посмотреть эту регистрацию пакета?

Yustus 06-10-2004 10:06 260672

Это логи.
Либо показывать в окне на экране, либо писать в файл.
Можно делать и то, и другое.

Andrewhin 06-10-2004 10:31 260673

Файл с логами нашел, я так понял, что он ведется в журнале безопасности. Теперь другой вопрос, можно ли ProxyInspector'ом построить отчет о величине трафика, проходящего через этот порт? Если ProxyInspector'ом этого сделать нельзя, то подскажите, как можно. Очень интероесует размер трафика, проходящего через один порт.
P.S. WinRoute 4.2.5

[s]Исправлено: Andrewhin, 10:32 6-10-2004[/s]

Yustus 06-10-2004 10:37 260674

Журнал безопасности - это как раз "вывод на экран". Файл же с логами лежит в папке с Винрутом.
ПроксиИнспектором смотреть отчет можно.

Andrewhin 06-10-2004 10:44 260675

Да, в папке с винрутом есть файл security.log. Но как его в ПроксиИнспектор запихнуть? В его (инспектора) настройках указывается путь до папки с логами, а не до конкретного файла...

Bazalt 12-10-2004 17:04 260194

На новой работе досталась сетка, смотрящая в инет через Kerio WinRoute6. Проблема - не ходит почта. Все остальное пашет "на ура", почта ни в какую.
PS Никаких левых политик не включено, только необходимое.

Yustus 12-10-2004 17:07 260195

FTP работает?
и что такое "все остальное" это интернет и аська?

Bazalt 12-10-2004 17:14 260196

Работают http, ftp, icq. Без проблем.

Или может я не допонимаю принципов работы WinRoute?

Реально ли почтовому клиенту на машине в локалке получить доступ к ящику в инете?

Yustus 12-10-2004 17:17 260197

раз ФТП работает, значит с NAT порядок...
Посмотри, разрешены ли порты 25 и 110 /POP3 и  SMTP/ в правилах NAT

Bazalt 12-10-2004 17:38 260198

Правила NAT - это в Traffic Policy? Стоит Any.
Или нада принудительно вписать SMTP и POP?

Yustus 12-10-2004 17:45 260199

зачем тебе все разрешать? :o
это же ДЫРИЩА сплошная получилась!
прописывай правила!
Для каждого сервиса (http, ftp, icq, pop3, smtp и пр.) отдельное!

Добавлено:

Да, и логи не забывай смотреть :)
помогает.

Bazalt 13-10-2004 11:25 260200

Прописал ОТДЕЛЬНО http, ftp, pop, smtp, icq, telnet, ping.

Почтовый сервак отлично пингуется, но почту не отправляет и не принимает.

Мож керио сечет свою нелегальную регистрацию и халтурит?

Yustus 13-10-2004 11:28 260201

Bazalt
Да, таблетка кривая, скорее всего.
у меня при этом НАТ на WWW не работал...
Вылечил нормальной таблеткой.

Добавлено:

Кстати, а влогах что там по поводу 25 и 110 портов?

Wn1 16-10-2004 13:14 260266

Гм... Попробую объяснить... Инет нынче не дешев, тем более - выделенная линия... , компьютеров - 12, сервак - win2003pro. На каждого юзьверя - учетка, в конце месяца бугалтерия проверяет трафик каждого работника. И все бы было хорошо, если бы каждый пользовался только своим компьютером... но, увы... За день на одном компе могут пользоваться нетом 3-4 человека, сферы деятельности кот-х различаються кардинально, зарплату они получают из расчета от чистой прибыли и затраты на пользование инетом при этом учитываються бугалтерией... Это финансовая сторона...
Теперь практическая... Пользователь пользуеться инетом, закрывает программу и уходит... Садиться новый пользователь, открывает другую программу, вводит свой пароль в Wingate-клиента, врываеться на величественные просторы всемирной сети, юзает всех и вся, закрывает прогу и уходит восвояси, приходит новый, сново окошко клиента, и т. д. ... Так происходит естественный круговорот пользователей в инете :-))) Трабл в том, что пользуються они разными прогами, не только браузерами - в некоторых (напр-р качалка FlashGet) - имя пользователя на доступ к прокси нужно прописывать В НАСТРОЙКАХ и НИКАК НЕЛЬЗЯ ВВОДИТЬ ПРИ КАЖДОМ НОВОМ ПОДКЛЮЧЕНИИ К НЕТУ - ТОЛЬКО ЧЕРЕЗ НАСТРОЙКИ!!! Получаеться, что один, так сказать, ЛАМЕР, пытаясь залесть в нет зовет меня, я ему настраиваю прогу на проксик, прописываю имя пользователя и пароль, он делает свои грязные делишки, закрывает прогу и наивно уходит, приходит новый чел (не менее ЛАМЕР), открывает эту же прогу и ВХОДИТ В НЕТ НЕ ПРОПИСЫВАЯ СВОЙ ЛОГИН И ПАРОЛЬ... А бугалтерия в конце месяца отрываеться на первом челе, ошалевшем от новости, что он, честный труженик, не только ничего не заработал, так еще и должен остался...  и как вы думаете за что? Правильно! За неизмеримо неэкономное пользование ресурсами всемирной паутины. А он может и нет - то юзал раза два в жизни... И вот он после работы за углом дожидаеться сисадмина. И в руках у него не баночка с пивом, а какая-нибудь железная крень, типа монтировки...  Извинениями тут не отделаешься..
P.S. А админ - это я...

Добавлено:

Для этого и нужен клиент...

Wn1 19-10-2004 12:10 260267

Ну вот! Причины есть, а ответа нет... Пользователи (пардон, админы :) ) Winroute вы где?

Yustus 19-10-2004 12:18 260268

Сеть с доменом?

Wn1 19-10-2004 12:41 260269

Нет, без... Да домен, думаю,  и не требуеться...

Yustus 19-10-2004 12:49 260270

Просто последние винроуты могут брать учетные записи пользователей с домена.
Но можно и руками всех внести.

paranoya 19-10-2004 13:07 260271

В винруте отдельно клиент не нужен, в него встроена web индетификация, заводишь пользователей и все, работай.

Добавлено:

Единственный текущий минус, новая, шестая версия винрута, работает только на 2000/XP системах. Для юзания в Win98 нужно искать winroute pro 4.x, есть на русском, как говорят разработчики.

Wn1 19-10-2004 13:22 260272

Так Клиент есть на Winroute, аль нет? Или нужно смену виндавозовского пользователя делать?
Че-то то не хочеться ломать все, и переходить на винроута только, так сказать, "ради експирименту".

Добавлено:

"web индетификация" - это как? Я с такой терминологией не знаком... Можно на примере? Плиз-з-з-з :)

Yustus 19-10-2004 13:31 260273

paranoya
Тут и русский 4,2,5 винроут, и мануалы, и новый винроут, и ссылки...
Wn1
да не нужен клиент. авторизация по имени пользователя и паролю.

Wn1 19-10-2004 18:04 260274

Извените, но я немного не понял... В настройках программ нужно что-то прописывать? Имя прокси-сервера, напр-р. или как?
Yustus "По имени пользователя и паролю" - а где это все прописываеться - в окне, которое всплывает при запуске программы? (если так, то будет ли такая политика работать с любой прогой, а не только с браузерами?), или береться из виндовозавского пользавателя?

paranoya 19-10-2004 20:37 260275

Wn1
Тебе нужно сделать только пару вещей.
1. на каждой клиентской машине в настройках TCP/IP сети прописать DNS и шлюз причем в зависимости от способа выхода в инет, это могут быть СТАТИЧНЫЙ IP машины на которой сидит винрут.

Далее настроить аутентификацию в винруте, завести юзеров, раздать им разрешение что могут делать в инете.

В дальнейшем, юзер залогинился на комп, запустил броузер, ввел свою любимую ссылку. Этот запрос перехватил винрут, выдал окошко в пользовательском браузере на ввод имени юзера и пароля. Юзер ввел свои данные  и работает дальше.

Понятно объяснил?

[s]Исправлено: paranoya, 20:39 19-10-2004[/s]


[s]Исправлено: paranoya, 20:41 19-10-2004[/s]

Wn1 21-10-2004 17:36 260276

paranoya
Ок, понял, спасибо - буду наверно переходить на винроут :-) :up:

Guest 23-10-2004 10:44 260222

Поставил WinRoute. Вроде все работает, но после того как связь обрывается (dial-up) и модем ее восстанавливает (то есть перезванивает) ни к одному сайту или серверу ни одна из программ не может подключится. Ощущение такое что даже по DNS не может резолвить адрес... Что делать ? Help!

Guest 25-10-2004 15:10 260202

А каким клиентом почту тянеш? Если мышкой, то открой 113 порт

paranoya 26-10-2004 21:16 260134

Заводи юзеров в винруте и давай им права.....

sphinx96 25-11-2004 02:19 275178

I-Chat и Winroute
 
Вчера поставил себе винроут дома, а в локалке мы юзаем Internet Chat программу, дык в винроутом не хотит работать, я уже всё пооткрывал, всёрвано не хочит, народ, кто сталкивался, чё делать????

Loki3D 25-11-2004 12:28 275259

посмотри, какие порты пользует ваш Chat и пропиши их. Где это именно в WR делается я не знаю но должно называться типа Link Mapped.
По умолчанию в WR открыты порты 8080\80\25\23\110\ и еще что-то там.. А Chat пользует свой уникальный порт. вот его и надо разрешить.

kaddy 25-11-2004 15:00 275300

если ты описАлся и имел ввиду Intranet Chat, то настрой соединения в программе через выделенный сервер и укажи его ip и порт. по умолчанию там 6666. либо как советовали выше, добавь этот порт в WR.

Vich 02-12-2004 11:07 277229

ichat использует порт 6666 только когда работает через выделенный сервер, когда работает через mail-slots там 138. и работает через udp

Ven 16-02-2005 02:34 298708

VPN Server в Kerio Winroute Firewall 6
 
Кто-то делал это?

IgorK 16-02-2005 02:42 298710

Only FreeBSD + IPSec (isakmpd)

Ven 16-02-2005 15:37 298862

Спасибо, но задачу нужно решить под Windows.

AlexDnepr 21-02-2005 16:22 300468

А стандартными виндовыми средствами вариант не подходит?

IgorK 22-02-2005 08:18 300664

Скорее всего, Kerio блочит ESP трафик... Так, предположение.

Borrman 07-03-2005 11:57 304261

WinRoute 6.0.9: разные провайдеры для разных пользователей
 
Установлен WinRoute v6.0.9 + WinXP 2003 Server SE.

Есть 2 провайдера. К одному подключаюсь через VPN, к другому - статический IP. Сделать примерно следующее: компьютеры во всей ЛВС могут выходить в инет ч/з провайдера № 2, а несколько компьютеров могут вылазить ч/з провайдера № 1.

Пробовал сделать так:

разрешаю всем выход ч/з прова № 2 (все службы).
адресам 192.168.202.30 и 192.168.202.23 ч/з прова № 1.

когда VPN отключено - все работает нормально. Как только подключаюсь к провайдеру № 1 инет пропадает на всех машинах кроме тех, которым разрешен выход через провайдера 1.

Или наоборот - нет возможности выхода ч/з провайдера № 1.

Скорее всего это связано с Default Gateway, как мне кажется.

Как с этим бороться? Объясните пожалуйста.

Спасибо.

Vich 09-03-2005 23:26 305055

Цитата:

Скорее всего это связано с Default Gateway, как мне кажется.
тебе правильно кажется.. не может быть два шлюза по умолчанию (а ведь VPN при активации добавляет свой собственный шлюз)..
нужно делать статическую маршрутизация для соединения с провайдером со статическим адресом

Borrman 10-03-2005 00:21 305073

1.

Цитата:

нужно делать статическую маршрутизация для соединения с провайдером со статическим адресом
Не понял :confused: Какие статические маршруты должны быть прописаны?
У меня ситуация странная получается. Сейчас вообще перестало работать VPN. Соединение есть, а вот трафика по нему не видно :offence: Такие дела.
Если я правильно понимаю, то Винда выбирает Def. GateWay анализируя метрику. Так? Если да - тогда вообще странно -- у VPN метрика 1. Вот такие дела.

Borrman 10-03-2005 01:16 305092

Цитата:

А для ICQ надо разрешить порт 5190 для протокола TCP
WinRoute v6.0.9. Все идет ч/з NAT. Никакой прокси нет.

1. ICQ

В Винруте разрешил пор tcP 5190. поставил логирование.
в логах пишет, что пакет из 192.168.202.xx:XXXX -> <чего_то_там>:5190 - разрешено, НО не соединятся.

2. MRA агент - та же беда - нет соединения. Днем как отрубило - весь день промучился - ничего. Для него какие-то настройки специальные должны быть?

Vich 10-03-2005 01:49 305105

Цитата:

Если я правильно понимаю, то Винда выбирает Def. GateWay анализируя метрику. Так?
вроде того...если это с простыми маршрутами... а не с дефолтными.. посмотри, сколько всего у тебя дефолтных маршрутов..
Цитата:

Какие статические маршруты должны быть прописаны?
маршруты от каждой клиентской машины до сервера провайдера с 2-ого соединения...

RaZZoRRo 10-03-2005 10:12 305174

А пустить асю через HTTP (HTTPS) не пробовали..????

Borrman 10-03-2005 11:53 305198

Цитата:

маршруты от каждой клиентской машины до сервера провайдера с 2-ого соединения...
Если можно - пример.

Внутренние IP - 192.168.202.1 - 254
VPN - 192.168.24.xx (динамически)

Какие можно настроить маршруты?

Borrman 10-03-2005 14:28 305251

RaZZoRRo
Если подсоединение ч/з 80-й порт - не пробовал (мне кажется, что ничего из этого не выйдет).
Если ч/з прокси - пробовал. Та же фигня. :offence:

Borrman 10-03-2005 22:17 305436

МЛИН!!! Поставил ICQ 4.xx Lite - через проксю заработала и миранда тоже. А вот ICQ 2003b - не коннектиться :idontnow:

RaZZoRRo 11-03-2005 11:09 305589

Как показывает практика : все клиенты для подключения к серверам ICQ через прокси "ходят" нормально....
единственный момент , остается выяснить через какой порт проходят HTTP пакеты .... т.е. какой назначили .....
если мне не изменяет память , то Winroute под HTTP трафик по умолчанию резервит 8080 порт ....хотя могу и ошибаться.

Borrman 11-03-2005 14:02 305681

RaZZoRRo
По-умолчанию ставится 3128 - при непрозрачном прокси.

Но проблема с 2003b остается. Я уже втупую разрешил все пакеты на 5190 и - НИЧЕГО!

Yustus 11-03-2005 17:07 305761

Мануал по Winroute 4.2.5 . На русском, с картинками, 280 страниц. (единым документом, заархивировано)

volkin 04-04-2005 12:17 312722

Как подружить Winroute и ISA сервер?
 
Уважаемые!
Подскажите вот в каком вопросе:
имеется сеть на win2000s, интернет раздает ISA-сервер. Локальный ПК имеет доступ в интернет.

На этом Пк установлен модем и установлен winroute 4.25.
Так вот при подключении к данному ПК по модему не могу организовать доступ в И-нет удаленной машине, подключяемой к локальному ПК.

Что и как нужно настроить?

kwagga 13-04-2005 05:30 315185

Цитата:

На этом Пк установлен модем и установлен winroute 4.25.
Так вот при подключении к данному ПК по модему не могу организовать доступ в И-нет удаленной машине, подключяемой к локальному ПК.
В смысле, это ты RAS сервер так организовал?

The End 13-04-2005 18:38 315403

ISA-Server помимо всего прочего ещё и фаервол, проверь настройки фильтров, по дефалту там закрыто всё что только можно закрыть.

Sharkky 14-04-2005 09:38 315538

Как пользователь Active Directory может сделать logout в WinRoute?
 
Какие есть способы для login'a/logout'a в WinRoute? Под login'ом я понимаю
сопоставление пользовотель-хост (которое отображается на вкладке Users/Hosts в консоли winRoute)

Те способы, которые я знаю, не получается использовать.
Эти способы и причины "неудач" таковы:
1. Через Web-интерфейс. Не работает для аккаунтов полученных из Active Directory. При вводе
Имени пользователя/пароля login page говорит: "incorrect password or username".
2. WinRoute'овский proxy, при обращении к нему, предлагает авторизоваться. Однако не понятным
является как, в таком случае, можно сделать logout?
3. Можно поставить галочку, чтобы использовать NTLM для авторизации. Но этот способ не работает
с Opera и, опять же, не понятно как сделать logout.

Таким образом, я не знаю как организовать возможность logout'a для сознательных пользователей,
которые решили, что им хватит Инета, и которые не хотят нести ответсвенность
за возможные скачивания updat'ов и прочей шушеры.
Сделать "Time interval of allowed user inactivity" поменьше это конечно вариант, но
у него есть свои понятные неудобства.

Sharkky 14-04-2005 09:45 315542

Как авторизовать пользователя домена в WinRoute через NTLM при загрузке профиля?
 
Для WinRoute существует возможность авторизовать пользователя через ntlm. Этой возможностью, по
умолчанию, можно воспользоваться только используя в качестве браузера IE. Однако авторизация в
WinRoute нужна не только для того, чтобы лазить по Web, и не все юзают IE.
В моём, конкретном случае, пользователям необходимо авторизоваться, чтобы использовать POP3. и
много народу ходит в Инет черз Оперу.

Поэтому меня мучает желание сделать так, чтобы при загрузке аккаунта исполнялся скрипт, который бы
авторизовал данного пользователь домена, как пользователя WinRoute.

Основной вопрос этого топика, как можно сделать описанное выше???

Который дробиться на более маленкие:
1. Существует ли command line програмулина, которая может сделать то же самое, что делает IE.
2. Если нет, то: Существует ли какая-нибудь библиотека (С++, java, VB... всё равно), которая умеет
делать авторизацию через NTLM?

Может быть я чего-то недопонимаю, и сделать то, что я хочу невозможно, тогда скажить пожалуйста!

Этот вопрост перекликается с другой моей проблемой: как сделать логаут из WinRoute (посмотрите, может сможете помочь :-))
http://forum.oszone.net/showthread.php?t=48018

Буду рад любым комментариям,
Илья.

Napasick 20-04-2005 10:42 317383

Останавливается WinRoute 4.2.5
 
Возник такой вопрос. Настроил Винроут, но через 15 минут работы он останавливается. Подскажите в чем может быть проблема.

Yustus 20-04-2005 12:57 317451

А что пишет в своих логах Винроут?
Что пишет в логах Windows?

Какая система, какая операционка?
Телепаты в отпуске.

RooD 20-04-2005 13:07 317461

Значит не правильно настроил! Иди на www.networkdoc.ru

Napasick 20-04-2005 13:43 317476

Система ХР. Винроут пишет (за перевод не ручаюсь) что клиент неожиданно прервал соединение, причинами может являтся отсутствие активности ТСП или УДП. Литературу также читал, настраивал все как в книжках пишет. Настроил только НАТ и все, больше ничего не трогал. Если после того как отключился включить, то снова работает примерно тоже время

Bugs 20-04-2005 17:18 317528

Napasick
Очень похоже на кривой кряк. Если конечно прога не лицензионная

Sharkky 21-04-2005 08:12 317668

WinRoute считает VPN-траффик пользователю, который работает на "firewall host". Как э
 
Провайдер предоставляет VPN соединение для доступа в Инет. Я настроил WinRoute так, чтобы он работал через этот VPN-интерфейс. Для этого в Traffic Policy необходимо было установить следующее правило:

VPN Connection | firewall host | VPN server ip | tcp 1723 | Permit

В офисе ситуация с компами такова, что пользователям НУЖНО работать на компе, на котором стоит WinRoute. При этом происходит следующая неприятность:

Тот пользователь, который работает на firewall host получает в свой траффик весь vpn-траффик согласно приведённому выше правилу.

У меня опускаются руки... WinRoute мне нравиться, но согласно моим представлениям о нём, эту проблему решить невозможно :-(
Может быть кто-нибудь сможет меня разубедить?!
Я буду бесконечно рад!!! :-)

Илья.

sash minsk 19-05-2005 18:55 325766

маршрутизация в Winroute 4.2.4
 
на компе стоит ХР и Winroute 4.2.4
Через Adsl-модем соединены с провайдером И далее с филиалом.
Хотим по этому же каналу взять Инет, но у провайдера есть куча бесплатных ресурсов и нужно настроить маршруты, чтобы при обращении к ним трафик не учитывался.
Прсто в ХР маршрут прописать легко:
route.exe add -p 81.25.32.6 MASK 255.255.255.255 10.х.х.13 METRIC 1 if 2
где 81.25.32.6 - их бесплатный ресурс
10.х.х.13 -шлюз
if 2 - 10.х.х.9 - моя сет. карта, что смотрит в их сеть
А как это сделать в Winroute 4.2.4?

И как вообще прописывать маршруты в Winroute 4.2.4.
например, есть две сети 192.168.1.0 и 192.168.2.0,
как прописать маршрут , чтобы компы из разных подсетей видели друг друга?

sash minsk 23-05-2005 12:47 326556

Как перенаправлять пакеты в Winroute?
 
Стоит Winroute 4.2.4 на машине с ХР.
У провайдера много бесплатных ресурсов.
Как пакеты, идущие на адрес 81.25.32.6, перенаправить на адрес
81.25.32.14?

Greyman 23-05-2005 14:25 326593

sash minsk
1.
Цитата:

У провайдера много бесплатных ресурсов.
2.
Цитата:

Как пакеты, идущие на адрес 81.25.32.6, перенаправить на адрес
81.25.32.14?
Поподробнее. Какая здесь связь?

sash minsk 24-05-2005 11:38 326868

Установлено VPN соедіненіе с провайдером на IP 81.25.32.67 -для выхода в интернет, по нему считается трафик. Но если идешь на бесплатные ресурсы , например 81.25.32.6, то нужно чтобы трафик не учитывался. Для этого эти пакеты нужно перенаправлять на другой IP - 10.100.111.13-маршрутизатор провайдера.
В XP это можно сделать командой route:
route add -p 81.25.32.6 MASK 255.255.255.255 10.100.111.13 METRIC 1 if 0х3
где 0х3 - моя сетевая 10.100.111.9 -смотрящая в сеть провайдера
а как это сделать в винроуте.

Strannick60 03-08-2005 15:32 345682

WinRoute не пускает в инет
 
стояла система из 4х компов, все win98, на 1й winroute, выделенка, вход по РРРпротоколу . Все работает. Меняю 1ю машину (глючит железо). Настраиваю новую машину аналогично. Внутренняя сеть работает. Инет на главной тоже. При запуске winroute - инет не работает. Замучился искать. Все настройки одинаковые. Может, кто сталкивался?

nikopol 03-08-2005 20:45 345752

Kerio winrout firewall + почта
 
В локальной сети 5 компов и один сервер раздающий.
На всех стоит Win XP HE SP2, на раздающем стоит ISDN модем.
Поставил на раздающий KWF 6.0.9 - есть проблема
с которой не могу справится.

Не работает почта ни входящая ни исходящая, пишет что соединение было прервано сервером, но интернет работает без проблем и аська тоже в сеть заходит.

Подскажите на что обратить внимание???

noble 04-08-2005 12:07 345899

В трафик полисях должно быть правило разрешающее хождение почты по РОР и SMTP протоколам
Поставь Kerio Mail Server для раздачи почты в локальную сеть, KWF раздавать не умеет

noble 04-08-2005 12:12 345901

Цитата:

все win98
переходи на 2000 или ХР
Цитата:

При запуске winroute - инет не работает
Какая верcия Winrouta
а то телепаты в отпуска поуезжали
Цитата:

Все настройки одинаковые
покажи настройки

Strannick60 04-08-2005 14:20 345926

Цитата:

переходи на 2000 или ХР
2000 на эту машину(ProLiant 350) не становится - пробовал кучу версий и вариантов - в начале установки слетает
winroute 4.2.2 - скачал отсюда, раньше был более старый
Цитата:

покажи настройки
так идентичные. Одна сетевая на внутреннюю сетку
192.168.1.1
вторая в инет
winroute автоматом создает все сам, я ставлю NAT на соединение по РРР
Мне кажется что это связано с настройкой winrout'a и со входом винды в сеть при загрузке

RaZZoRRo 04-08-2005 14:29 345931

а через HTTP PROXY не пробовали , "пустить" компьютеры INET ....????

nikopol70 04-08-2005 14:38 345932

правило такое есть.
а почту мне и не надо раздавать, KWF просто не дает вытащить ее из инета!!!

noble 05-08-2005 08:30 346093

а в адвансендах смтп релей прописал?

noble 05-08-2005 08:46 346101

Strannick60
Цитата:

winroute 4.2.2
это очень старая версия. Она у меня тоже гребла
Советую поставить KWF 6.1.X дистрибутив можно взять с www.kerio.com
инструкции по настройке на kerio-rus.narod.ru

Цитата:

2000 на эту машину(ProLiant 350) не становится
Значит у тебя с железом проблемы
2000 тестит все железо при установке

Strannick60 05-08-2005 11:19 346131

Цитата:

Значит у тебя с железом проблемы
не думаю, win2000 server advanced стал без проблем, только я в нем никогда не работал.
это чего-то с первичной настройкой winrout, а чего - не знаю. попробую снести и переставить

Strannick60 05-08-2005 11:21 346132

Цитата:

а через HTTP PROXY не пробовали
конкретнее можно?

noble 05-08-2005 12:16 346142

Цитата:

попробую снести и переставить
Ставь сразу шестую версию она более мощная
и обновляется регулярно
а 4.2.Х уже давно не поддерживается

Strannick60 05-08-2005 15:47 346188

ребята ! проблема не в версии. На другом компе уже год работает, сейчас я через winrout 4 сюда пишу. У меня была похожая ситуация, когда я перешел с dialupa на выделенку и когда на выделенку поставили РРР протокол. Я как-то тогда это решил, но как?? никакой повторяющейся логики не было

nikopol 14-08-2005 16:22 348060

noble

прописан, с проблемой разобраться так и не удается,
народ подскажите че сделать то.

Почтовый сервер POP3 находится в другом городе и SMTP тоже находится в другом городе.
Иногда бывает что кое что проскакивает из почты, но забирать то надо все.

Fighter 15-08-2005 11:16 348180

Kerio WinRoute Firewall 6.0. Руководство Администратора

nikopol 15-08-2005 14:46 348218

Fighter

в данном описании я не нашел решения своей проблемы, кроме того иногда писма все таки проскальзывают, но это бывает один раз из ста.

Fighter 15-08-2005 15:37 348227

правила для SMTP и POP3 есть?
Этап 4

nikopol 15-08-2005 18:17 348258

Fighter

Да эти правила прописаны
Даже если все разрешить то почта не ходит!!

Fighter 16-08-2005 09:14 348380

дак может проблема не в файрволе?
POP3 и SMTP видны? пинг что ли...
при остановленном KWF почта работает?

noble 16-08-2005 09:34 348385

попробуй telnet popcервер 110
если порт не пингуется значит он закрыт или у тебя или у провайдера
если ты уверен что у тебя все открыто связывайся с провом у которого ящик заведен

noble 16-08-2005 10:05 348395

Цитата:

и когда на выделенку поставили РРР протокол
Этот протокол используется для VPN coединений.
Т.е как минимум должны еще быть VPN клиент

iam_alex 16-08-2005 10:32 348403

Winroute - нет доступа по локальной сети
 
Установлен winroute 6.1.1 на winxpprosp2. настройки при установке: откл.VPN; остановлены ICS/ICF, UPNP, SSDPSRV; удаленный доступ - откл.; далее при конфигурировании: выбран ehternet, сетевая, все перечисленные сервисы, включен NAT. В общем все по умолчанию, все остальное - тоже по умолчанию: traffic policy, proxy enable etc.
Проблема маленькая - доступа по локалке НЕТУ! Ну и в инет не выйти никак. Как только stop engine - все ессно в порядке.

Strannick60 16-08-2005 11:48 348416

Стоят : клиент для сетей Microsoft, протоколы - tcp/ip , ppp over ethernet miniport, ppp over ethernet protocol, NDISWAN. И все работает (на старой машине)
На новой я таки winrout включил - оказалось ,надо было прописать логин и пароль (там где ставится NAT , на вкладке удаленный сервер) Хотя на старом я этого не делал.
Но теперь другая проблема - инет на главном работает нормально, а вот на подключенных какими-то скачками с паузами по 30сек-10минут. Причем вебстраничку может и не догрузить.
Теперь у меня вообще пропали любые мысли -чего ж можно сделать и где искать.

DeaDClaW 16-08-2005 13:02 348442

Вам нужен ключ для Winroute.

noble 16-08-2005 14:41 348474

iam_alex
смотри на керио-рус.народ.ру

noble 18-08-2005 11:56 348902

Strannick60
Цитата:

Теперь у меня вообще пропали любые мысли -чего ж можно сделать и где искать.
Скорее всего это уже глюки винрута
Ставь 6ку и не мучайся.

nikopol 20-08-2005 20:59 349533

noble

попробовал телнет, без KWF все пингуется и очень даже быстро.
С ним пингуется с хорошей скоростью только SMTP, а вот POP3 очень долго.
Почта по прежнему так и не ходит,
Заметил еще одну штуку, KWF очень сильно подвешивает ресурсы машины,
Народ помогите кто может, надо довести дело до ума

noble 22-08-2005 15:32 349823

попробуй проабгрейдить KWR до 6.1.1
трфик полиси покажи

Morock 23-08-2005 11:15 350029

nikopol
есть такая фишка в керио
называется "трафик инспектор"
визуально это выглядит так:
во время приема почты устанавливается соединение, но почта вроде не принимается, потом приходит все письмо сразу
при отправке ситуация обратная: письмо улетает вмоменте а потом почтовый клиент долго ждет конца сеанса

решения есть 2

1. не пользоваться МС Оутлуком, который неумеет понимать сообщения гейта о ожидании. (На Бате у меня ни разу не обрывало)
2. отключить трафик инспекторы, но про проверку почты антивирусом на фаерволе можешь тогда забыть.

nikopol 15-09-2005 20:07 355770

Morock

Цитата:

1. не пользоваться МС Оутлуком, который неумеет понимать сообщения гейта о ожидании. (На Бате у меня ни разу не обрывало)
Пользоваться можно только Аутлуком
Отключал проверку почты на вирусы - не помогает.

у кого то есть еще какие то варианты???

Может лучше использовать в таком случае трафик инспектор??

noble 16-09-2005 08:17 355857

трафик полиси покажи

nikopol 18-09-2005 16:27 356340

Вложений: 2
Вот то что у меня стоит, самое стандартное, что сконфигурировал мастер.
Еще прилагаю рисунок своей локальной сети.

nikopol 22-09-2005 20:04 357679

Народ ну кто то что то подскажет по этой проблеме????

noble 26-09-2005 09:28 358635

НУ а где правило разрешающее хождение рор и smtp протоколов?

Dmitry S 27-09-2005 10:12 358922

Дык Morock тебе почти правильно сказал. Только не "трафик инспектор", а "Protocol Inspector"
Зайди в "Services" и отруби его для SMTP (и, возможно, для POP3)

Цитата:

Пользоваться можно только Аутлуком
Отключал проверку почты на вирусы - не помогает.
Проверка на вирусы тут не причем. Можешь включить ее обратно.

Цитата:

НУ а где правило разрешающее хождение рор и smtp протоколов?
Оно внутри правила "NAT"

noble 27-09-2005 11:45 358966

Dmitry S
Цитата:

Оно внутри правила "NAT"
Ты думаешь сделал any и почта у тебя будет работать? Как бы не так. Такие правила в керио не прокатывают.
можеш пример на керио-рус.народ.ру сходить посмотреть.

Dmitry S 29-09-2005 11:02 359917

noble
Цитата:

Ты думаешь сделал any и почта у тебя будет работать? Как бы не так. Такие правила в керио не прокатывают.
можеш пример на керио-рус.народ.ру сходить посмотреть.
Уважаемый! Ты с КВФ когда-нибудь работал? Или только на картинке на керио-рус.народ.ру разглядывал?
А посему - не компастируй мне мозги! Всё будет работать!!!

PS: А на керио-рус.народ.ру настройки приведены только для начального ознакомления с принципом работы КВФ, для начинающих пользователей. А реальные "траффик полиси" нужно делать под свои нужды. Т.е., если нужно ограничить по протокалам/сервисам - ограничиваешь, а если не нужно - делаешь Any.

noble 30-09-2005 13:53 360344

Dmitry S
Цитата:

Уважаемый! Ты с КВФ когда-нибудь работал? Или только на картинке на керио-рус.народ.ру разглядывал?
Я уже больше года с ним работаю
Цитата:

А посему - не компастируй мне мозги!
Не надо хамить. МОзги никто компасировать не собирался
Цитата:

А реальные "траффик полиси" нужно делать под свои нужды.
Согласен
Цитата:

если нужно ограничить по протокалам/сервисам - ограничиваешь
В керио по умолчанию все запрещено, кудаж ещё ограничивать, А правилами в трафик полиси ты разрешаешь хождение по тем или иным протоколам/серверам и лучше их указывать явно, а не any
Цитата:

А на керио-рус.народ.ру настройки приведены только для начального ознакомления с принципом работы КВФ, для начинающих пользователей.
Посмотри на результаты опроса на этом же сайте, скольким начиающим это помогло

Dmitry S 30-09-2005 17:39 360418

noble, прочитай свой предыдущий пост! Ты говоришь, что:
Цитата:

Ты думаешь сделал any и почта у тебя будет работать? Как бы не так. Такие правила в керио не прокатывают.
А я тебе говорю, что:
Цитата:

А посему - не компастируй мне мозги! Всё будет работать!!!
Это не хамство, а утверждение в твоем-же стиле.
Еще раз повторяю - всё будет работать! И не надо утверждать, что: "Такие правила в керио не прокатывают". Всё там прокатывает.

Цитата:

В керио по умолчанию все запрещено, кудаж ещё ограничивать, А правилами в трафик полиси ты разрешаешь хождение по тем или иным протоколам/серверам и лучше их указывать явно, а не any
Повторяю: "реальные "траффик полиси" нужно делать под свои нужды!!!" У меня знакомый использует КВФ на шлюзе между двумя сетями. У него наверху несколько правил для определенных портов только для регистрации коннектов и маппинга. Всё остальное разрешено, т.е. Any. Если бы можно было убить "Default rule", он бы его убил.

Цитата:

Посмотри на результаты опроса на этом же сайте, скольким начиающим это помогло
Не понял, к чему ты это сказал? Этот сайт - отличный ресурс если решил попробовать перейти на КВФ. И нчего плохого я о нем не говорил. Он и мне помогает. Лекарствами. И голос свой я там оставил, что б автору приятно было. К сожалению, когда в далеком 98-ом году я начинал пользоваться WinRoute-ом(тогда он ещё принадлежал Tiny, а не Kerio), этого сайта еще и в планах не было...

Так что, noble, в следующий раз ты хоть проверяй сначала, что в Керио прокатывает, а что не прокатывает. А потом уже пиши в утвердительном тоне в форум.

aks1983 02-12-2005 20:45 379265

Проблемы с WinRoute + BWMeter
 
комп для доступа в и-нет (ADSL) из локальной сети, стоит Win2k, как прокси и NAT - WinRoute Pro 4.2.5

BWMeter 2.3.4 неправильно считает трафик через NAT, точнее стандартным правилом (THIS) -> (ALL except LOCAL) вообще не считает, а правилом (ALL) -> (ALL except LOCAL) считает в два раза больший трафик.
трафик через прокси считается нормально.

как побороть? комп слабый, поэтому супер-мега-комбайны не предлагайте.

Angry Demon 03-12-2005 00:18 379312

aks1983
TMeter
Настроишь, чтоб считал хоть хоть черта в ступе.

aks1983 03-12-2005 02:55 379358

спасибо, но проблема решена!

в списке сетевых интерфейсов их было целых 3 - сетевая карта, ADSL модем, какой-то WAN Adapter
после удаления всех, кроме сетевой карты, все заработало, как ни странно нормально.

настройки трафика через:

NAT: (LOCAL) - > (ALL except THIS)
Proxy: (LOCAL) -> (THIS port 3128)
для юзеров: (comp_name или MAC) -> (ALL except port (порты, которые не нужны, например 137 и 139))
LAN: (THIS) -> (LOCAL except port 3128) - для просмотра локального трафика с сервера
I-net: (THIS) -> (ALL except LOCAL) - для просмотра и-нетовского трафика

все работает на ура!






aks1983 09-12-2005 00:54 381196

PortMapping в WinRoute
 
локалка, ADSL модем, стоит WinRoute 4.2.5 и Win2k, включен NAT

проблема в том, что PortMapping в WinRoute работает только из и-нета в локалку (веб-сервер в локалке), а из локалки в и-нет - не работает.
конкретно - хочу через портмапинг сделать доступ к smtp серверу прова (чтобы юзеры писали просто server, а не smtp.prov.ru)

AHgpeuKa 11-12-2005 12:00 381868

Люди привет!!!помогите настроить Traffic inspector ,мне нужно сделать бесплатный трафик на mIRC но у меня че то не получается если кто знает как сделать пожалуйста ответте или дайте скрин шот как это делается!!!

XXXler 11-12-2005 13:11 381882

aks1983, приведи правило которым хочешь это реализовать.

BigMac 11-12-2005 23:50 381991

AHgpeuKa
Читайте справку к программе!!

aks1983 12-12-2005 22:24 382373

правило такое:

Ven 05-01-2006 01:06 389337

Решил новую тему не создавать...напишу в этой
Есть 3 компьютера. Все 3 работают под Win XP Pro RUS+SP2.
№1:
10.0.1.101/255.255.255.0 - смотрит на провайдера - статический
Гейт: 10.0.1.1

№2:
10.0.2.102/255.255.255.0 - смотрит на провайдера - статический
Гейт: 10.0.2.1
192.168.0.1/255.255.255.0 - смотрит на домашний комп №3 - могу менять что угодно

№3:
192.168.0.2/255.255.255.0 - смотрит на домашний комп №2 - могу менять что угодно
Гейт: 192.168.0.1

1 и 2 связаны между собой сервером провайдера. Естественно, никакие провайдерские настройки менять нельзя.
На 1-ом есть Интернет, доступ к которому осуществляется путем установки VPN соединения с сервером провайдера. VPN получает фейковые (192.168.1.0/255.255.255.0) айпи динамически.

Небходимо сделать доступ к Интернету на компьютерах 2 и 3.
Для этих целей ставлю на 1-ом Winroute Pro 4.2.5 (все что вышло после него мне не нравится), в таблице интерфейсов делаю разрешение на преобразование адресов для VPN'a, который будет подниматься на провайдера. Средстави ОС делаю VPN сервер, к которому будут подключаться 2 и 3. Без этого сервера ничего не получится, так как 1 и 2 лежат в разных подсетях. Если я не прав - поправьте меня.
Итак, сделали NAT, 2-ой ходит через 1-го в Интернет
3-й ходит через 2-го. Для того, чтобы он мог через него ходить, я на 2-ом тоже Winroute поставил и настроил NAT для VPN'a, поднимаемого на 1-й комп.
Схема: http://interguide.com.ua/ven/network2.gif (17 КБ)

Теперь вопрос: Каким интерфейсам и адресам позволено ходить в этот Интернет? Если прописать на 10.0.1.х компьютерах в качестве шлюза 10.0.1.101, то можно-ли будет ходит в Инет через него? Меня не устраивает вариант, при котором все 10.0.1.х смогут юзать инет 1-го компа.
Извините что так много написал...я постарался подробно описать ситуацию.

vippy 14-03-2006 15:07 417702

vpn за kerio
 
Здравствуйте!

Давно тут не был :-)

Ситуация.

Есть центральный офис. На шлюзе стоит kerio winroute.
В сети есть win2k3 на нем поднят vpn.

Есть удаленные офисы в которых пользователи должны подцепиться к серверу и видеть его файлы.

Если попробовать подцепиться из локалки всё проходит успешно. Если пробовать из вне - то соединение рушится на этапе проверки логина и пароля с ошибкой 619.

Я думаю что соединение рубит керио. Кто-нибудь подскажите как его настроить, при это в правилах я прописал
from inet to шлюз PP2P MAP win2k3_server

Bugs 16-03-2006 18:51 418538

vippy
Я всегда для начала пытаюсь настроить простой пинг от узла к узлу, затем постепенно ввожу все нужные ограничения.
Вам так же нужно открыть порты для работы VPN от сервера win2k3 к клиентам. ОТвет как правило происходит на портах выше 1024.

kim-aa 17-03-2006 09:17 418730

В борьбе с VPN или IP-телефонией неплохо показала себя такая тактика:
1) Берете второй Внешний IP и присваиваете его фаерволу.
2) На фаерволе настраиваете не Port Mapping, а IP Mapping, т. е. прямое отображение внешнего IP на внутренний.
(Все горе в том, что весьма небольшое количество фаерволов знают Все протоколы IP стека, и сответственно могут настроить любой потребный Вам Port Mapping.
IP Mapping позволяет обойти такое ограничение фаерволов)
3) Созерцаете на фаерволе реальные соединения образуемые Вашими приложениями и режете все ненужное.

vippy 18-03-2006 12:13 419169

Файер то работает. По карйней мере telnet domen.ru 1723 проходит
Яж говорю - рубится не на этапе связи, а на этапе проверки имени и пароля.

kim-aa 18-03-2006 16:19 419231

Вам про это и говорят, что скорее всего одного правила с PPTP мало, а что именно нужно в полевых условиях проще выяснить IP mapping-ом.
(Напримеркогда я настраивал VPN при помощи IPSec на FreeBSD, я с удивлением выяснил что используются как минимум три протокола: протокол обмена открытыми ключами, протокол шифрации на основе этих самих ключей и собственно протокол инкапсуляции IP over IP)

vippy 20-03-2006 08:04 419604

Ну тогда вопросы:
1. что такое Ip Mapping и как им пользоваться ? ))
2. Второй адрес я взять не могу

Цитата:

протокол обмена открытыми ключами, протокол шифрации на основе этих самих ключей и собственно протокол инкапсуляции IP over IP
Т.е. надо еще и это на файерволле прописать?

Я кстати пробовал написать и такое
from inet to шлюз TCP1723 (Protocol ANY) MAP win2k3_server

kim-aa 20-03-2006 08:28 419606

1) IP Mapping это прямое отображение IP to IP (Я, по крайней мере, пользовал его под таким именем. Ведь сколько фирм столько и "погонял" у технологий.)
Это когда ВСЕ пакеты присылаемые на определенный IP ретранслируются на другой IP.
2)
Цитата:

Т.е. надо еще и это на файерволле прописать?
Аллах его знает. Это я пример с IPSec приводил чтобы показать что Вам нужно достаточно хорошо представлять работу VPN на PPTP для поднятия его ЗА NAT.
3) Я бы рекомендовал включить на фаерволе полные логи и смотреть отвергнутые соединения.
4) Самый простой случай (когда себя не утруждают изучением процесса) это поднятие VPN на шлюзе.
5) Да, кстати, а аутентификация какая используется?
6) Вобще такие вещи лучше предварительно макетировать, т.е. собрать копию вашего фаервола ,внешнего клиента и тренироваться "на собачках"

RaZZoRRo 20-03-2006 19:32 419817

2 vippy

если не изменяет память то при формировани vpn на основе pptp нужны :
порт tcp 1723
порт 47 протокола gre

vippy 21-03-2006 07:11 419943

Цитата:

если не изменяет память то при формировани vpn на основе pptp нужны :
порт tcp 1723
порт 47 протокола gre

[21/Mar/2006 11:15:16] PERMIT "NKnet" packet to inet, proto:TCP, len:40, ip/port:192.168.0.1:1723 -> 81.1.1.94:2404, flags: ACK , seq:667102191 ack:3886907479, win:65187, tcplen:0
[21/Mar/2006 11:15:16] DROP "Default traffic rule" packet from inet, proto:47, len:57, ip:81.1.1.94 -> 192.168.1.2, plen:37


Где 192.168.0.1 - адрес сервера, 192.168.1.2 адрес сетевушки на шлюзе смотрящей в инет

Я никак не мог понять что это за вторая строчка. Пойду разбираться, ибо в Керио про этот протокол нет ни слова.

vippy 21-03-2006 07:25 419948

итак вопрос. как научить старенький керио понимать GRE :-)

vippy 23-03-2006 08:52 420762

Ау )) Как заставить керио разрешить GRE ??

vippy 27-03-2006 07:21 421930

Мне никто помочь не может ?

Rovshan 24-05-2006 08:28 441679

KERIO WinRoute
 
Pojalusya pomogite reshit problemu...Yest lokalka s servakom Win2003 server na nem je stoit Kerio Winroute , kotoriy razdayet internet useram ...Useri spokoyno vxodyat v inet...no outlook u userov ne rabotayet...na userax vstroyenni fayervol otklyuchen...dafault gateway propisan servak...Kerio nastraival po vsyakomu...ne pomogayet...

Negativ 24-05-2006 13:14 441793

Rovshan
что значит настраивал по-всякому?
для работы аутглюка (Outlook) необходимо настроить NAT на Winroute. и соттвественно на клиентских машинах прописать шлюз ip той машины где этот NAT поднят. А так же если pop (imap) и smtp сервера указаны как DNS имена, то необходимо еще указать и DNS.

Rovshan 24-05-2006 15:26 441850

Na winroute NAT nastroyen i dns toje propisan ...i na kliyentax gateway propisal IP servaka (na kotoroy Kerio stoit )

Angry Demon 24-05-2006 15:35 441859

Rovshan
Пользуйся виртуальной клавиатурой и пиши по-русски

Djedai 03-07-2006 11:13 457175

после WINGATE не могу поставить WINROUTE KERIO, после перезагрузки - синий экран!
делаю запускать wingate вручную, ставлю KERIO WINROUTE (разные версии, до последней и ее тоже), KERIO MAIL стоит нормально, после перезагрузки - синий экран.
приходится удалять в безопасном режиме WINROUTE :-(
как бы вы подсказали его установить а XPsp2?
чтобы не сносить хотябы настроки WINGATE и статистику.

Djedai 05-07-2006 14:34 458074

KERIO WinrouteFirewall - статистика!
 
как собирать статистику типа:

Юзверь1:
сайт: _www.porno.ru : всего скачанно: 100Mb
сайт: _www.sex.com: всего скачанно: 80Mb
......

Юзверь2:
......


Djedai 05-07-2006 18:21 458181

может есть альтернативы, связать какуюнибудь прогу с KerioWinrouteFireWall
или вообще использовать что-то другое?!

pos2man 06-07-2006 08:09 458346

Может стоит попробовать WinRouteSpy ?
Но это не сбор, а как-раз анализ логов.

Для сбора есть масса другого софта. По крайней мере Google выдает обширный список.

Djedai 06-07-2006 11:17 458413

спасибо, реальная прога!
кайф. очень благодарен!

Djedai 13-07-2006 14:39 461100

KERIO winroute mailserver
 
хочу переустановить операционку, как можно так ее переустановить, чтобы сохранить настройки KERIO winroute mailserver?!

pos2man 13-07-2006 14:46 461104

У него есть создание резервной копии настроек, а, соответственно, и восстановление из нее.
Рекомендую сначала попробовать восстановить на другой станции - получится - вперед!

noble 07-08-2006 15:38 469180

все настройки храняться в cfg файлах

Skochmar 08-08-2006 13:48 469531

Настройка VPN туннеля между роутерами D-Link DI-804HV через NAT Winroute
 
Вложений: 1
Доброго времени суток. Нужно построить VPN туннель между двумя роутерами D-Link DI-804HV. Но сложность состоит в том, что один из роутеров находится за машиной Win2k3+Kerio. По идее сначала настраивается WAN. На стороне удаленного оффиса ставим внешний IP, а со стороны головного стоит Керио. Как правильно настроить WAN на стороне головного оффиса?
Схема прикреплена, см файл: Морозова.jpq




kim-aa 09-08-2006 08:46 469878

Вариант 1: Изучите по какому протоколу вы собственно собираетесь организовывать VPN (PPTP или IPSec). Изучите настройки Kerio. Очень важна версия Kerio.
поищите поиском по сайту, помню кто-то уже Kerio & PPTP пытался срастить http://forum.oszone.net/thread-68482.html
(Только старый Kerio не умеет работать с GRE по моему)

Вариант 2: получаете 2й внешний IP (Можно и не внешний, лишь бы удаленный офис увидел). Присваиваете его внешнему интерфейсу фаервола ЦО (центрального офиса).
Настраиваете на фаерволе ЦО address (IP) maping, т.е. когда все пакеты приходящие на данный IP (вне зависимости от протокола 4-го уровня) транслируются на внутренний IP.
Других вариантов борьбы с фаерволами которые не умеют работать с необходимым протоколом 4-го уровня, я не знаю

Skochmar 09-08-2006 12:08 469970

kim-aa Спасибо что откликнулись, Я почитал, посмотрел материалы и понял, что скорее всего проще будет VPN настроить на Керио. А один из СОХО роутеров, который предполагался за NAT отложить до лучших времен. В связи с этим существенно упростится схема. Только я плохо понимаю сам процесс, VPN на роутере (с Керио) нужно поднимать как роль, или можно VPN настроить в самом Керио?

kim-aa 09-08-2006 13:22 470015

Skochmar
1) Таки версию Kerio скажите.
2) Наверное проще задействовать VPN средствами Win2003 (тогда переносим Ваш вопрос в ветку NT/2000/2003)
3) Вроде бы в Последних версиях Kerio Есть встроенный VPN сервер (Если Вы выбираете данный путь - вопрошаем в ветке посвященной Kerio)
Я сам, увы, VPN на Kerio и 2003 не реализовывал.

Что касается VPN & Windows, то читайте сдесь http://forum.oszone.net/showthread.p...618#post455618

Skochmar 09-08-2006 15:04 470059

kim-aa
1.Версия Kerio 6.1.3 b789
2.Скорее всего придется настраивать через Керио.
Спасибо за помощь и книгу. Вопрос перезадать в соотв. разделе или она будет перенесена?

noble 10-08-2006 09:06 470296

Skochmar
В керио есть встроенный VPN сервер
для связи необходимо еще скачать VPV клиента с сайта керио.сом в мануале к нему подробно написано как настроить соединение

bool 11-08-2006 10:20 470810

у меня такая вот проблема:
существуют две локальные сети, никак между собой не связанные. В первой сети компьютер А - с установленным серверным ПО и внутренним айпи - 192.168.8.3 , сеть имеет внешний ай пи - ххх.182.166.28, устройство этой сети не известно, что там установлено тоже. Есть вторая сеть (нашей организации) на машине роутере установлен керио вин роут внешний айпи ххх.ххх.122.94, в нашей сети присутствует машина B - с клиентским ПО, когда пингую с нашего компа- прокси ай пи - ххх.182.166.28 - все нормально, перенаправляются пакеты на их комп А, т.е. я получаю ответ уже с 192.168.8.3, НО когда пытаюсь пропинговать с нашего B , их А - превышен интервал ожидания...ответа нет ( Какие нужно правила выставить, чтобы пинг проходил, да и дальнейшая работа этого ПО? Спасибо заранее :)

noble 11-08-2006 13:54 470954

Цитата:

Какие нужно правила выставить, чтобы пинг проходил
правило - фаервол - ани - пинг в самый верх

Skochmar 12-08-2006 13:19 471254

noble Спасибо за помощь, я для себя уже определил как настроить. Про VPN сервер и клиент почитал, пробовал - работает. Но более по душе пришлась настройка VPN с помощью утилиты Hamachi. Ставится на обоих концах, весит мало, настраивается быстро. Всем удачи.

bool 14-08-2006 11:40 471687

система ЕГАИС + керио вин роут
 
кто нибудь работает с системой ЕГАИС через керио? У меня проблема, не могу к серверу подключиться с локальной сети. С машины роутера пингует нормально их сервер, а вот с другой машины из локальной сети нет, НО на все остальные айпи инетовские пинг проходит. Только не нужно советов типа: выстави правило в керио на самый верх - инет-локальная сеть any пинг, чтобы пропинговать, я все это уже перепробЫвал и инструкцию по керио раз 5 перечитал. Нужен совет опытного пользователя системы ЕГАИС или может быть здесь админы этой системы бывают 8)

Greyman 14-08-2006 12:22 471716

Хм-м-м... Конечно самой ЕГАИС, поэтому конкретно сказать не могу, но вдруг тоже сгодиться...
Если у них разрешены коннекты к серваку только с машин определенной сети, в которой находиться и твой роутер, то пинги с локалки вполне могут не проходить. В этом случае можно попробовать задествовать NAT, чтобы пинги с локальной машины рассматривались как запросы от роутера... Правда если у них используется IPSEC, то с NAT будут проблемы, но попробовать можно...

А вообще-то, если ты пользователь ЕГАИС, то можешь написать им в службу поддержки, сами то они должны сто-то сказать...

bool 14-08-2006 13:18 471773

связывался я с их службой технической поддержки, они мне ничего вразумительного не сказали, дали тока два совета:
узнать не закрыт ли порт с которым программа работает у нашего провайдера и "покопаться в настройка керио, т.к. они не работали с этим ПО" 8)
у провайдера порт не закрыт, т.к. с машины напрямую подключенной к интернету я пингую их тачку, а вот с локалки нет, и кстати когда пингую их внешний айпи ответы приходят с их внутреннего : 192.168.8.3 . В керио я пробЫвал даже абсолютно всё разрешить, настраивал NAT на нашу машину-клиент, ничего не проходит. Уже задумываюсь над тем, чтобы сменить керио на что нибудь другое, например WinGate и помучать его.

Angry Demon 14-08-2006 19:37 471982

bool
Гы! И тут эту егодицу склоняют!
Нам сказали ушлёпки из их саппорта, что условие ее работы - наличие прямого IP-адреса.

bool 15-08-2006 09:32 472153

Angry Demon

как решили проблему? подвели к клиенту прямую линию?



Angry Demon 15-08-2006 20:59 472589

bool
Не клиенту - себе! ;)
Провайдер дал прямой IP-арес. Егодица стоит на компе-проксе.

bool 16-08-2006 09:08 472747

Цитата:

Не клиенту - себе!
Провайдер дал прямой IP-арес. Егодица стоит на компе-проксе.
клиетом я назвал этот комп на котором эта егодица стоит) У меня по сложнее :( отдел егодичный :) удален от прокси метров на 200, т.е. есть маршрутизатор в одном здании в котором сетка с прокси , от маршрутизатора через конвертер идет линия оптики к другому зданию к свитчу, вот во втором здании находится комп этот с егаисом :( как туда прямой выход в инет дать , ума не приложу.

Greyman 16-08-2006 11:15 472817

bool
Цитата:

как туда прямой выход в инет дать , ума не приложу.
Что значит как? Поставь на нем WAN-овский интерет адрес, а маршрутизатором обеспечь маршрутизацию. Если у тебя тока один WAN-адрес от провайдера, то придется еще один брать, раз эта "ягодица" такая привередливая (судя по всему, работаент по аналогии с нологовиками с использованием IPSEC, вот с NAT и не работает)...

BlackDragon 17-08-2006 07:19 473253

Ага, работаю с ЕГАИСом через керио. Все нормально работает, даже летает... Правда провозился целый день пока первый комп ввел в инет, зато щас 4 компа через него подключены... и куда я их по своей фирме не переношу, ото всюду они в инэт выходят запросто. иНаличие прямого ИП ей необязательно:) Хотя нам тоже так сказали... И воще у КОМПА МОЖНО ЛЮБОЙ ИП СТАВИТЬ, хотя они ето строго запрещают, а вот имя менять незя.... Скажи какая у тебя версия Керио?

BlackDragon 17-08-2006 07:32 473256

Еще вопрос: У тебя доменная сеть?

bool 17-08-2006 09:23 473310

версия 6.0 , сеть доменная но компыс егаисом в домен не входят, я на них только шлюз прописал.

BlackDragon 17-08-2006 09:50 473325

Ага, такая же трабла была. у меня тоже в домен не входят.... И странно было, инет на них фурычил, а вот ЕГАИС никак не хател. Я взял пользователей в домене создал с такими же именами, внес в керио и вуалля... заработало, причем скрость отличная... а прописал я их в Traffic Policy - свое правило создал: в колонку source пользователей вносишь, Destination: Internet, service: any, Action: галочка, translation: NAT(default outgoing interface)
И еще в Users на етих пользователей указал во вкладке Ipadress ихний айпишник

Angry Demon 17-08-2006 09:56 473329

BlackDragon
А ежели сеть не доменная, и на проксе стоит старый WinProxy? Просто интересно, что этой придурочной системе требуется. Саппорт еёйный кроме невнятного мычания и вякания "Если даже клаву поменяете - работать перестанет!" ничего сказать не может.

BlackDragon 17-08-2006 14:25 473508

Мне тоже хотелось бы узнать что ей требуется по конкретней... Может тему даж про ЕГАИС создать, тока вот в каком разделе? "Неработающее и невероятное":)

Ах да, еще одно: работники атласа устанавливают VipNetFirewall, он по умолчанию стоит на 3-ем режиме, который никакой траффик никуда не пускает, ни внешний, ни внутренний, настрой его на всех компах на 5-ый режим по умолчанию...

rfkkbybr 19-08-2006 22:18 474573

Помогите, такая проблема. Есть маленькая фирма с маленькой сеткой. Поднят контроллер домена с AD на Win2003Server
Крутится Kerio Winroute 6, есть две сетевухи на сервере, одна смотрит в локалку, другая в кабельный инет. Инет раздается,
все машины нормально работают, на Керио обрезан инет для всех. Оставлена только аська и почта, на остальное запрет.
Как сделать чтобы все было как есть, но на сервере под Администратором можно было юзать инет без ограничений
и без перестройки Kerio. Пробовал создавать правило для HTTP для всех запретить, для администратора разрешить,
так вот работает то что выше по списку. Как его настроить, мужики? Можно почтой core@mail.ru
или в аську 322275030.

XXXler 20-08-2006 10:33 474651

Цитата:

Цитата rfkkbybr
Как сделать чтобы все было как есть, но на сервере под Администратором можно было юзать инет без ограничений

Код:

From: Firewall
To: Интерфес_смотрящий_в_инет
Service: HTTP,HTTPS и т.д.
Action: Permit


rfkkbybr 20-08-2006 17:35 474714

Спасибо попробую, но по-моему это стоит.
Но не совсем так, надо чтобы я логинился под администратором на серваке и мне можно было все, инет без ограничений
а остальным юзерам, которые логинятся под именем допустим forall, инет был ограничен, доступна только аська и почта?

юзера тоже работают на серваке, где стоит керио

XXXler 20-08-2006 18:09 474721

rfkkbybr, попробуй:
From: Authorizated Users
To: Интерфес_смотрящий_в_инет
Service: HTTP,HTTPS и т.д.
Action: Permit

и поставь галку "Always require authorization when accesыing Web pages" в Users...\ Authorization....

по идее он будет давать доступ только пользователям ввевшим логин\пароль (правда не знаю что будет с остальными протоколами и не даст ли он доступ для всего компа вцелом, вместо конкретной сессии браузера)

TuTaH 24-08-2006 21:08 476535

потключился к интернету в котором за посещение определеных сайтов и игровых серверов платишь гроши, а за остальные бешенные деньги....
так-вот народ посоветуйте пожалуйста какуюнить прогу для открытия доступа в инет по локальной сети, с ограничением доступа на сайты, желательно где можно прописывать список сайтов, игровых серверов и фтп на которые можно лазить...

pos2man 25-08-2006 09:55 476653

TuTaH, судя по тому, что пишешь в данной теме - знаешь, что тебе нужно :)
Так какой ответ тебе дать?
Да, WinRoute тебе поможет...
Посмотри и UserGate.

выбирать приходится самостоятелно, тут уж дело вкуса и желание "покопаться" определяют...

Butunin Klim 25-08-2006 10:15 476663

TuTaH
ISA
Kerrio
UserGate
OutPost

TuTaH 25-08-2006 14:48 476790

с такими програмами встречаюсь впервые, в usergate как я понял доступ можно открывать тока по URL... а чтоб открыть или закрыть доступ на сервер игры мне надо ее IP... есть ли такая возможность в Kerrio?
обьясните нюбу... если не сложно еще выложите понятную настройку к Kerrio...
заранее спасибо...

pos2man 25-08-2006 15:07 476796

Цитата:

в usergate как я понял доступ можно открывать тока по URL
ну так и пишешь IP в поле URL :) , собственно...
Так же есть возможность переназначения пакетов и т.д. и т.п.
Последнии версии UserGate и WinRoute очень похожи по функциональности.

И еще - по UserGate есть отдельная тема (и не одна)... воспользуйся поиском

bool 01-09-2006 11:11 479429

ЕГАИСу требуется подключение по телнет'у к порту определенному , достаточно было открыть порт и все. А у меня проблема была в том, что их система была настроена на подключение через диал ап - не через сервер, а через машину оператора , поэтому егаис все время пытался подконнектиться к налоговой через диал ап, даже если в настройках выставлено подключение по локалке(при нажатии кнопки "запуск"), или выдавал ошибку - "не удалось подключиться к сете с закрытым сокетом" или что то вроде того.
Вообщем если проблемы с подключение, открывайте порт нужный пробуйте телнетиться с сервера егаис к серверу налоговой, и если не получилось по их инструкциям телефонным - вызывайте смело спецов ЦУКа пусть свою работу выполняют, но сначала покажите им удачное подключение по телнет, а то к нам пришел "спец" начал разрешение на общий доступ давать второму интерфейсу сетевому на сервере , все настройки скинул и жалуется мне что "сеть пропала", и не известно какого *** он вообще это делал и все перелопатил .... вообщем "СПЕЦИАЛИСТ" . И вообще в договоре указано то, что к серверу доступ имеют только ЦУКовские спецы, и админы организаций-клиентов не должны что то там править под админским доступом и вообще лезть туда....

mdma 19-09-2006 12:01 486688

eMule+траффик
 
Стоит WinrouteFirewall+WinrouteSpy...все замечательно работает,кроме одной хрени:трафик файлообменных сетей(eMule) не учитывается. По крайней мере WinrouteSpy его не показывает. Как с этим бороться?

Butunin Klim 19-09-2006 12:11 486693

Насколько мне известно это протокол P2p.
В настройках Winrouter есть где-то пункт этот включить или выключить

mdma 19-09-2006 12:44 486705

да это понятно....проблема в том, что трафик не считается

timon4ik 19-09-2006 13:02 486713

А может не учитываются порты, по которым соединяется eMule ?

mdma 19-09-2006 13:45 486725

может ....а как это исправить?

Butunin Klim 19-09-2006 13:59 486738

mdma
Я же тебе говорю там есть галочка учитывать трафик p2p клиентов

mdma 19-09-2006 14:27 486751

только что еще раз покопался...KWF трафик считает, но Winroutespy этот же трафик не замечает....

apache_xak 27-10-2006 17:35 503483

Помогите организовать маршрутизацию, похожие вопросы уже подымались, но на мой взгляд нерешены.

вопрос

возможно с помощью KWF организовать работу с двумя каналами интернет?

канал №1 xDSL моде на ком порту 128 кб/с АНЛИМ
Канал №2 aDSL модем 512кб/с платный, смотрит в свич

задача

Нужно чтобы пользователи из учётной группы А ходили на канал №1, пользователи из группы Б на Канал №2

Negativ 27-10-2006 18:29 503501

apache_xak
Нужно сделать две машины роутера. В первый воткнуть xDSL во второй aDSL. На клиентах просто тупо прописать нужные гейты (default gateway).
Если у тебя конечно Kerio как NAT работает а не как proxy.
ИМХО на одной машине с Kerio такое не реализовать.

apache_xak 28-10-2006 12:24 503680

Спасиба конечьно за совет, но двух машин просто нету, да и както несруки таким способом решать проблему,

Может можно както протоколы разделить, тойсть к примеру почьта на один канал пошла а веб обозреватель на другой

Djedai 15-11-2006 12:38 512010

подключили друзей к другой сетке через модем телевизионный моторолла, теперь Counter Stirke не играет через файрволл (нат), только напрямую если подключить TVмодем к тому компутеру где Counter Stirke стоит, когда у нас был выделенный айпи то чере керио все работало (VPN-LAN - другой провайдер), я правила заного содавал и все разрешал и даже отдельно разрешал порты для Counter Stirke , но она не играет, даже когда все разрешаю, в чем проблема???
ping и tracert идет, банк клиенты тоже, шеф хочет контру, а она сволочь - не пахает

bool 18-11-2006 23:58 513943

такая схема: в квартиру брошен кабель для подключения к нету через локалку(домовая сеть), на этом компе установлен вин 2003 интерпрайз, в квартире имеется ещё один комп который нужно подключить к инету через этот 2003. Что посоветуете использовать: керио или встроенную функцию маршрутихации и нат винды2003?

sand-storm 23-11-2006 14:33 515956

Кто нибудь объясните.... Почему WinRoute не видит пользователей?
WinRoute стоит на сервере Win2003, который входит в домен, все машины пользователей тоже являются членами домена и сами пользователи входят только под своими учетными записями из Active Directory и пользуются только MS'IE. Но WinRoute упорно показывает только IP-адреса и имена компьютеров, но никак ни имена пользователей которые на этих машинах работают. Поэтому ни статистика не работает, ни ограничения на пользователей/группы пользоватей. Хотя он нормально сделал импорт пользователей из AD. Помогите.

aik18 01-12-2006 08:54 519223

Помогите плиз!!! Для начала конфигура машины : Epox материнка, Raid массив, встроенная сетевая , сетевая D-link , ADSL D-link DSL-504T.
А проблема заключаеться вот в чем : сетевая D-link подключена к ADSL и имеет IP 192.168.1.2 полученный в авто , встроенная сетевая выходит в локалку имеет IP 192.168.0.10 ручная настройка . Вот и добрался до сути самого вопроса выхожу с локального компа аутентификация пользователя проходит успешно а дальше все встает колом , ADSL имеет IP 192.168.1.1 запускаю трассировку маршрута проходит нет проблем вбиваю в WEB браузер IP ADSL нет проблем пинг нет проблем но если вбиваю имя например yandex.ru то все режеться сервер не доступен в чем проблема настройка Kerio на картинке

starav 31-01-2007 11:59 543968

А я вот установил на Win2003Server SP1 Винроут. после установки перезагрузился, потом снова (сам), потом снова (сам)....
В чем пролема, кто уже сталкивался?

kuzya 12-03-2007 14:20 560616

Стоит керио на веб сервере, но настроен не до конца, не считает трафик пользователей. Я хочу поставить usergate, как в керио посмотреть какие порты какомй пользователю открыты, чтобы эти настройки потом сделать в ug. и сначала надо керио полностью удалить или можно вместе с ним ставить юзергейт?

Staub 14-03-2007 15:01 561503

Нужна подсказка, а то уже замучился, стоит kerio winroute 6.2.3 c антивирусником, проблема следующая я с этой же машины где стоит winroute хожу в инет и также пользуюсь прогой dc++ так вот стандартное вроде бы правило firewall trafic - source: firewall, destination: net(интерфейс который смотрит в сеть), protocol: any. Не пропускает закачиваемые файлы, но при этом чат в этой проге работает и закачка с моего компа тоже работает, а я не могу. Попробовал поменять правило и выставил вместо source: net(интерфейс в сети), destination: any, protocol: any, и он начал пускать. Так вот мне не понятно почему он с первым правилом не работает, все остальное под этим правилом работает и http ну и так далее. Ведь source: firewall - означает что источником являются интерфесы которые стоят на этой маштне, тоесть по идеи это тоже самое что и net интерфейс который я потом прописал. Может кто сталкивался подскажите???

pos2man 14-03-2007 15:56 561539

kuzya,
Цитата:

или можно вместе с ним ставить юзергейт?
Можно, но в таком случае, если детально не прописать правила, или не указать прокси на каждой пользовательской станции подсчет трафика может быть не полон.
Насчет настроек подсказать не могу, сейчас не пользуюсь, извините.

Staub 22-03-2007 21:30 565505

Ну что товарищи никто не сталкивался, даже идей никаких нету!!!!
Вы меня прям разочаровываете!

QUADamage 23-03-2007 21:58 565943

Staub
Глянь в Advanced Options - P2P Eliminator может это то, что тебе надо ;)

Odessit 13-04-2007 09:40 573790

помогите с проблемой: есть комп на котором стоит спутниковый инет (СкайДСЛ, соединение с инетмо происходит с помощью программы от скайДСЛ, которая конектится к узлу login.skydsl.de, проходит авторизация и программа даёт инет на локальный комп) (Интерфейс №1 - плата спутника), обратка по АДСЛ (Интерфейс №2: шлюз 192,168,1,1), локалка (интерфейс №2).
В исходном состоянии маршруты в винде таковы:
1. 0,0,0,0 маска 0,0,0,0 шлюз 192,168,1,1 - удалён, нулевого маршрута нет вовсе.
2. добавлен постоянный маршрут на ДНС сервер 195,54,3,2 маска 255,255,255,255 шлюз 192,168,1,1
3. добавлен постоянный маршрут на login.skydsl.de через шлюз 192,168,1,1
Без Керио всё работает - Прога соединяется с login.skydsl.de авторезируется и даёт инет, при том прописывается автоматически нулевой маршрут через шлюз скайДСЛ.

Ставлю Керио, добовляю в нём маршрут на ДНС свой через шлюз 1,1 - пинга ДНС нет. Добовляю правило в котором разрешаю по перекрёсно разрешаю фаер, интерфейс АДСЛ, интерфейс СкайДСЛ, порты все. Все сохраняю - пинга нет. Вчём может быть проблемма?

Odessit 13-04-2007 09:57 573804

не понятно. Перегрузился вроде пинг есть. Но теперь прога скайДСЛ пишет что у меня не получено нечего от спутника... :(
Сравнил таблицу маршрутов винды с таблицей керио, есть различия как раз в спутниковых маршрутах. В Керио не получается дописать маршрут на локалхост. Как заставить керио брать таблицу маршрутов с винды?

Odessit 14-04-2007 21:53 574479

Ура. Разобрался я с керио. Проблемма была в маршрутах. Потом проблемма была в Антиспуфенге (включена была эта галка), а с включённой галкой писало мне програмка скайДСЛя что нет сигнала от спутника. Зачем он вообще надо этот антиспуфинг?
Ещё вопрос: можно ли как-то с командной строки остановить службу керио?

fishka 21-06-2007 13:44 602247

ПОдскажите плиз....локальная сеть и главный комп (типа сервер) ...на главной машине поставила керио, для раздачи иинета....но из него не работает прога для локальной сети Локер, хотя все правила удалила и прописала по новой...открыла порты для локера...все равно не работает..помогите плиз

DestR0yer 04-08-2007 14:18 622892

Есть 2 сети 192.168.0.0 (2 компа) и провайдерская с динамичным ip-шником. В инет выхожу через vpn-подключение. Комп с 2-я сетевухами 192.168.0.1, на нем стоит сабж, на втором компе в подключении шлюзом и ДНСом указан первый комп. В керио настроен NAT. Проблема в том, что со второго компа не получается выходить в инет по именам, тока по ip-шникам. ДНС Форвардинг включен... Подскажите плиз как настроить!!!


Время: 08:17.

Время: 08:17.
© OSzone.net 2001-