Получается эффект диода! С выделенки не должно ничего приходить, а только со СПУТНИКА!? А вообще к чему такой подход? Спутник дешевле выделенки?
А так придется все делать методом боя :) :
поиграться TRAFFIC POLICY - ЧТОбы трафик не приходил с выделенки NAT ЗАКРЫТЬ, для СПУТНИКА ОТКРЫТЬ! Для исходящего тафика - все наоборот!

shuklin, сдается мне, что именно через этот третий интерфейс и надо пускать траффик винроута...
Давай сюда ipconfig /all
С пояснениями где какой интерфейс...

//////////////////////////
C:\Documents and Settings\user>ipconfig/all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : server
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : нет

Подключение по локальной сети 3 - Ethernet адаптер: //DVB карта

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : TechniSat DVB-PC TV Star PCI
Физический адрес. . . . . . . . . : 00-D0-D7-0E-47-01
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.238.238
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :

Подключение по локальной сети 2 - Ethernet адаптер: // выделинка

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethe
rnet NIC
Физический адрес. . . . . . . . . : 00-11-95-5C-77-F9
Dhcp включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 172.20.57.128
Маска подсети . . . . . . . . . . : 255.255.0.0
Основной шлюз . . . . . . . . . . : 172.20.48.1
DHCP-сервер . . . . . . . . . . . : 172.20.0.3
DNS-серверы . . . . . . . . . . . : 172.20.0.3
Аренда получена . . . . . . . . . : 17 октября 2005 г. 18:25:51
Аренда истекает . . . . . . . . . : 26 декабря 2005 г. 5:05:51

Подключение по локальной сети - Ethernet адаптер: //выход в локальную сеть

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8139/810x Family Fast Eth
ernet NIC #2
Физический адрес. . . . . . . . . : 00-11-2F-D0-3F-21
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.0.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :

SpaseGate - PPP адаптер: // VPN соединение с SpaceGate

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Физический адрес. . . . . . . . . : 00-53-45-00-00-00
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.52.79
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз . . . . . . . . . . : 192.168.52.79
DNS-серверы . . . . . . . . . . . : 84.246.64.66
84.246.64.66

Это карта которую создала прога?
Запускай визард, при выборе типа подключения выбирай xDSL/Lan и выбирай этот интерфейс...
Проследи чтобы в Local Traffic была только сетевуха смотрящая в локальную сеть.
Если не заработает - показывай правила.
Кстати, на клиентах шлюз и dns прописан?

Господа, у меня следующея проблема. На всех версия Керио у меня наблюдается падение скорости до 10 мбит при копирование файлов на/с файрвола. Каким образом роутер может резать это все и как это убрать в настройка не нашел. Подскажите где копать.
Заранее благодарен !

NoKawaii, в winroute.cfg ручками меняешь в параметре <variable name="FirewallExclude">0</variable>
0 на 1. Это для сетевой карты, ни в коем случае не делать с интерфейсом инета.

Я так понимаю это отключается Firewall на этом интерфейсе. Т.е. Firewall не вмешивается в работу этого интерфейса.

leshiy_odessa, все верно.
Можно по другому. Поднять правило local traffic в порядке правил на самый верх. Это дает небольшой прирост в производительности и большой прирост в работе обозревателя компьютеров.

ЗЫ. Если фаер на локальной сети отключаешь - этого можно и не делать.

Интересно а эта настройка в админ консоли где то есть или только ручками нужно править.

leshiy_odessa, если бы было можно было из консоли - я бы про это написал.

1. В Traffic Policy создаешь NAT для VNP подключения к спутниковому провайдеру (Сервис PPTP) в обе стороны.
2. Заходишь в Interfaces и делаешь add Dial-Up и выбираешь свое подключение VPN к спутниковому провайдеру. Далее в свойствах интерфейса переключаешь использование с manual на persistent.
3. В Traffic Policy создаешь правило доступа DVB-PC to Local Network и выбераешь все сервисы которые пользуешь.
4. Идешь в Interfaces выбираешь свое VPN подключение и нажимаешь Dial-Up, после этого можешь наслаждаться И-нетом.

Свойсвта VPN соединение таково что когда оно поднято все запросы будут посылатся через него на спутникого провайдера и как следствие весь трафик будет приходить через тарелку. А вот если тебе надо будет получать часть трафика через спутник, а часть по выделенке вот тут тогда будут сложности. Но это уже другой вопрос.

Одностороняя связь по выделенке скорее всего не получится, ведь так протокол TCP/IP устроен, что должен прийти ответ, что все в порядке, а по спутнику будет приходить только заказанная информация!
К спутнику ведь есть документация!? Там скорее всего, все подробно расписано, как инфа ходит, на основании этого и нужно строить политику WINROUTE!

а не подскажете какой лучше всего использовать биллинг с последним винрутом?

budda, точного биллинга с винроутом не получается. Все равно имеются погрешности.
Люди же пользуют Proxy Inspector.

Cartman
Ясн, сам просто пользуюсь kwflog, но погрешности огромные. (

Лично я для биллинга в связке с KWF пробовал использовать UserGate, доступный, но глючный, да и точность страдает.

А я использую Тметр, он считает нормально и записывает в базу показания. Если вэб сайт трудно организовать, то в хмл тоже рубит. В связке с Керио очень хорошо выглядит, этакая домашняя биллинговая система.

Вопрос по керио
дано:
Локальный комп (3 юзверя) + КЕРИО
сетевуха смотрит в в локалку, в ней большое кол-во WEB, FTP ресурсов. Посещение всех ресурсов бесплатны.
по VPN производится коннект с внешним миром.

Вопрос:
Какие правила должны быть, чтобы:
- при наборе локальных ресурсов, не происходил запрос авторизации пользователя?
- и вытекающее отсюда правило: сейчас подсчет трафика происходит на любом ресурсе, хотелось бы только в глобальном.
- авторизация нужна только при коннекте в Глобальный интернет.

--
С уважением,

michaelV, твои web и ftp ресурсы подняты именно на ip адресе локальной сетевухи? Если так - то ничего считаться и требовать авторизации не должно. Правило Local traffic присутствует?
Еще можно вот так.

небольшое уточнение...
У меня одна сетевуха.
локальные ресурсы - это не мои WEB и FTP, а висящие в локальной сети.

michaelV, тогда я ничего не понял. Ты хочешь чтоб из локалки люди смотрели на локальные ресурсы и не считался трафик? Так он и не будет считаться.
Если не то - опиши подробнее структуру сети и что откуда не должно считаться.

уточнение
 

хм...короче, всё строится по принципу: Есть машинка (он же сервак) висящая в домовой сетке (сеть назовем EXTERNAL LAN). В этой сети весит много совершенно бесплатных ресурсов, назовем их FREE RESOURCE.
За этим серваком прячатся еще несколько машин. Они образуют INTERNAL LAN.
Фактически КЕРИО обеспечивает экран на машине смотрящую одним концом в EXTERNAL LAN. А вторым концом во INTERNAL LAN. Естественно на этом псевдо-серваке поднят VPN для выхода в глобал Интернет.

Теперь еще разок задача:
Нужно, что юзвери из INTERNAL LAN коннектились без УЧЕТА траффика в EXTERNAL LAN на FREE RESOURCE. В тоже время при запросе какого-нить www.yandex.ru, происходит вызов VPN, далее вылет в GLOBAL INTERNET и срабатывание квоты на траффик.


Вроде так,

Добавь подсети INTERNAL LAN и EXTERNAL LAN в правило local traffic. Единственное, что если связь между ними идет через vpn - то ничего не получится имхо.

так правило:

Local Traffic
------------
источник: INTERNAL LAN
потребитель: EXTERNAL LAN
порт: Any
*********************

Internal LAN -> VPN
------------
источник: INTERNAL LAN
потребитель: VPN Interface
порт: Any
NAT
*****************************

Для выхода из Firewall в Global Internet:

источник:Firewall
потребитель:VPN- Interface
порты:Any
*************************
А если я хочу, чтобы юзвери авторизировались для выхода в GLOBAL INTERNET, тогда включаю обязательную авторизацию и создаю правило:

Users -> Global Internet
-----------------------
источник: Authentication users
VPN Interface
порт: Any

Пробую лезть из INTERNAL LAN к FREE RESOURCE, тут же требует авторизацию и начинает считать траффик!

В чем может быть проблема?

michaelV, короче смотри. Создаешь группы в Address Groups одна - это твои подсети, которые INTERNAL и EXTERNAL вторая все ip исключая эти группы. В Local traffic добавляешь группу с адресами INTERNAL и EXTERNAL, в firevall, nat и vpn другую.
Других вариантов не вижу.

Внимание. В Kerio WinRoute Firewall версии до 6.1.3 обнаружена уязвимость.
Описание:
1. Уязвимость существует при обработке RTSP потоков от определенных RTSP серверов. Удаленный пользователь может вызвать отказ в обслуживании приложения.

2. Ошибка при обработке данных аутентификации может позволить злоумышленнику удачно авторизоваться в системе, даже если его учетная запись заблокирована.

Источник: _http://www.securitylab.ru/vulnerability/241973.php

Хм... прочитал, так уязвимость касается версии 6.1.3??
потому как далее написано:
"Решение: Установите последнюю версию (6.1.3) с сайта производителя."

Всё же какой выход? Пользоваться предыдущей 6.1.2??

michaelV, видимо не внимательно читал...
В Kerio WinRoute Firewall версии до 6.1.3 обнаружена уязвимость.
Ключевое слово: до.
Вот по этому именно 6.1.3 и рекомендуется устанавливать.

Вопрос по учету трафика:

Есть ли возможность в WinRout не учитывать трафик с определенных адресов?
или это инпосебл :) тоисть если у пользователя выставлено ограничение на кол-во мегабайт в месяц.

Кажется это возможно, если включенная обязательная авторизация. У У меня получилось следующим образом:
В HTTP Policy создал первое правило с ресурсами, на которые нужно ходить без тарификации (указываю Any users=Do not require authetication). Alow access to the Web Site/
Главное поставить его самым верхним!!!
Остальные правила доступа через авторизацию.
Проверяю, действительно, на указаные в первом правиле ресурсы, авторизация не требуется, а значит траффик по юзерам не считается.

--
удачи,

Smail

В advanced options - > quota/statistic - > флажок enable per user statistic и флажок exclude IP address (группа адресов по которой не нужно учитывать трафик)

Лично я пробовал, не помогло. ЛУчше попробовать совместить, с моим предложением. Всё же и неприятно, когда ходишь по "бесплатным ресурсам" и идет запрос авторизации.

to michaelV
Я не совсем корректно задал вопрос я использую NAT, а для обращения к "определенным адресам" используется не браузер. Но всеравно сенкс, мож пригодится в будущем .

to trimel
Вроде как работает :yees: также сенкс

Можно тут поподробнее?
Этот VPN организуется софтом прова, так?
Тогда в керио должны быть правила, позволяющие NAT между интерфейсом выделенки и интерфейсом DVB карты и этим виртуальным интерфейсом, далее уже сам софт прова (это интерфейс VPN) разбирается, как отослать запрос и получить ответ.
Допустим, я хочу часть трафика пускать не через спутник. Например ICQ, игры, так как пинги через спутник значительно больше (кстати так ли это?). Каковы методы решения такой задачи? Может быть организовать еще один сетевой интерфейс (типа замыкания на себя) и маршрутизировать через него?
Интересуют только рабочие примеры решения подобных задач.

Возможно, кто-то сталкивался и знает как побороть эту болячку - Сбой при запуске службы "Kerio WinRoute Firewall" из-за ошибки. Служба не ответила на запрос своевременно. Код ошибки 7000. Перед этим в журнале еще одна запись - Таймаут (30000 мс) ожидания для подключения службы Kerio WinRoute Firewall Код ошибки-7009. Поскажите советом, а то уже надоело его в ручную запускать.

Люди подскажите плиз, есть ли возможность человеку со своей машины посмотреть, сколько он трафика израсходовал? VPN не используется.
У всех прописан ip компа с винроутом в качестве гейта.

Проще всего, как мне кажется, через web-интерфейс. У меня это выглядит примерно так:
_http://kerio.myorg.ru:4080/fw/stat
Включается это дело в Configuration -> Advanced Options -> Web Interface / SSL-VPN

Проверь лицензии. У меня такое было, когда WR был некорректно заломан - периодически валилась служба и приходилось запускать ручками. Тогда я вышел из положения следующим образом - нарыл программку ServiceChecker и она периодически проверяла службу WR и запускала ее, если та завалилась (если нужно - пиши, вышлю). Еще можно в свойствах службы указать, что делать при остановках - у меня везде стоит "Перезапустить".

Candyman
В свойствах службы стоит "перезапустить". Меня интересует какое время там выставить. После запуска вручную можно запустить только минут через 3-5

Candyman
Твой последний пост удален. Предыдущий тоже несколько не соответствует правилам. :mad: Внимательно перечитай шапку топа.
Еще раз увижу малейший намек на варезные дела в этом разделе - приму меры. Намекаю: для обсуждений подобных вопросов есть ПМ и Аська.
Пока замечание.