У меня такой вопрос по Винроуту. Может кто сталкивался с этим. Короче после перезагрузки ADSL модема (модем подключен напрямую к серверу)происходит следующее. Т.к. модем подсоединен напрямую к серверу при перезагрузке модема отключается один из сетевых интерфейсов( пишет, что сетевой кабель не подключен). Уже после перезагрузки, когда модем работает и сетевой интерфейс подключен, винроут работает некоторое
время, а потом отваливается и через некоторое время выходит окно wrdrvapi.lib - GetExtAdapterInfo:Unable to read TCPIP statistics_err.1450. Я понял что это происхотит из-за того что он теряет основной сетевой интерфейс. Но как это побороть??? Выход кончно есть поставить между севером и модемом еще один хаб, но это один из выходов (а может быть и единственный?). Может кто подскажет что можно еще сделать. Перезагрузка сервиса WinRoute не помогает, помогает полная перезагрузка сервера.

Вопросы по Kerio...
 

Есть сеть 5 компов, на сервере модем ADSL.
Через него все выходят, стоит на нём WinXP sp2
Все в инет выходят нормально, кроме защищённых HTTPS сайтов. :(
Но на сервере доступ к ним есть.
Вопрос в том как настроить остальные компы. :confused:

Сломан скорее всего неправильно. Есть у него такой прикол. Попробуй переустановить, используй свежий серийник и отключи автообновление. МакАфи вообще лучше выруби.

Дай текущую настройку керио, разберемся.

Еще раз увижу в этом топе подобные разговоры - будет штраф :mad: Для этих объяснений существует ПМ, Аська и отдельный топ в соответствующем разделе.

Доброго времени суток.
Не знаю в каком топике лучше задать подобный вопрос, а потому сильно не пинайте пожалуйста.
Ситуация - на одном серваке стоят Kerio Winroute v6.1.3.789 и Kerio Mail Server v6.1.1.330. У обоих используется для проверки на вирусы встроенный движок McAfee.
Вопрос - можно ли заставить кого-то одного из них скачивать обновления баз, чтобы при этом второй обновлялся из локальной папки (а то как-то приходится скачивать одно и то же дважды :( ).

А не проще ли отрубить антивирус в почтовике? Почтовый трафик ведь ходит через Winroute - вот пускай он его и проверяет... ;)

А не проще ли отрубить антивирус в почтовике? Почтовый трафик ведь ходит через Winroute - вот пускай он его и проверяет... ;)

Компы в инет ходят через NAT или прокси? Если прокси, для HTTPS он прописан?

Подскажите, кто как боролся с встроенным антивирусом? Не хочет обновляться. Пишет: (8301) Antivirus plug-in error: Cannot get file /nai-antivirus/datfiles/4.x/update2.ini from nai-download.nai.com. Я так понимаю ему нужно другой адрес для обновления указать? Мжет кто знает какой?

Господа. может кто сталкивался:
стоит WR v6.1.3, есть сайт, на который можно зайти только по HTTPS только на определенный порт. открываю этот порт в Trafic Policy в двух местах для NAT и для Firewall (Firewall - для теста). Результат: если в браузере указать доступ в инет через прокси, то доступ к сайту получить нельзя; а если напрямую (прямое соединение), то пожалуйста.
прим. - HTTPS открыты в обоих пунктах (NAT и Firewall) по-умолчанию.
в чем причина? т.к. хотелось бы, чтобы юзера ходили в инет через прокси.

Такой вопрос: почему у меня не ведется статистика для каждого пользователя отдельно, хотя при доступе в инет просит ауетенфицироваться, ведется только статистика для интерфейса в целом.?

6apkac, Advanced Options -> Quota/Statistics -> Галка Enable per user statistic.

ок, а почему после ребута сбрасывается топ 20?

6apkac, что значит сбрасывается? Time Period какой стоит?

если поставить любой хоть день , хоть месяц, при перезагрузке везде 0
и еще вопрос такой как разрешить доступ только через проксю? а прозрачный закрыть?

6apkac, Видимо он не может записать файл статистики. Винроут пишет все файлы (в том числе и конфигурационные) только при остановке сервиса, а во время работы все в памяти хранит. Проверяй права.

На счет того чтоб только через прокси ходили - выруби нат. Если почта и другие сервисы нужны - выкинь из НАТа http и https.

Вопрос - винроут ли надо настраивать?
есть
комп с вин хп, винроут, через одну сетевую карту выход в свою локалку
через вторую сетевуху - выход в домовую сеть провайдера, где через впн-соединение выход в инет

ipconfig типа такого )

Имя компьютера . . . . . . . . . : admin
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : нет

Local - Ethernet адаптер:

Описание . . . . . . . . . . . . : Realtek RTL8139/810X Family PCI Fast
Ethernet NIC #3
Физический адрес. . . . . . . . . : 00-80-48-31-6B-8D
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.50.99
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :

domov - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Marvell Yukon 88E8053 PCI-E Gigabit
Ethernet Controller
Физический адрес. . . . . . . . . : 00-13-D4-99-31-EB
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.0.99
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :

inet - PPP адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Физический адрес. . . . . . . . . : 00-53-45-00-00-00
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 10.0.1.100
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз . . . . . . . . . . : 10.0.1.100
DNS-серверы . . . . . . . . . . . : 195.128.138.1
195.128.138.1
NetBIOS через TCP/IP. . . . . . . : отключен

заходим в инет, включаем винроут - тишина и через мин отваливается инет
по новой не подключается
выключаем винроут, можно руками зайти опять в инет

У меня следующая проблема: winroute на компе с двумя сетевыми интерфейсами (для локали и инета), имена везде статичные, осуществляет dns-forwarding, proxy и nat (почта и аська). При внезапном отключении электроэнергии (выдергивании шнура или прочих радостях) после загрузки работает все, кроме nat'a. При этом сам компьютер видно из обоих интерфейсов. NAT начинает работать только если как в сетевых подключениях сначала отключить, а затем включить локальное подключение. Перезагрузки ни winroute, ни компьютера целиком не помогают. Что это может быть?

я еще не все понял про винрут, подскажите мне что прописал в траффик полици , чтобы :
допустим есть 2 пользователя хочу чтобы один ходил только по http ftp и icq, а у второго был доступ только по imap и pop ?

Два вопроса по сабжу:
1. В логах ошибок Kerio WinRoute Pro 4.2.3 с завидным постоянством выдает сообщения вида:
[25/Jan/2006 12:10:01] mail: G:0 - couldn't start message queue : 458 Administrative prohibition
[25/Jan/2006 12:10:04] mail: G:0 - APOP command failed: -ERR Lies! Try again!
2. На клиентские машины приходит по 5-8 копий одного и того же письма.
Что бы это значило? Лечится ли это и нужно ли это самое лечить?
Заранее благодарен за хэлп.

nicolka, а при чем тут тогда винроут ?
Имхо дело в линии, у тебя DSL-ное подключение? Если да - тестируй линию.

6apkac, для этого надо будет создать несколько правила NAT с разным ip в source.

Pupurup, такая беда со всеми почтовыми клиентами? Что-то мне кажется дело в несоответствии протоклов.

Оба канала 100 мегабитные LAN. Линии работают обе все время (связь с компом с винрутом есть с обоих направлений - если разрешить доступ в винруте, то можно и файлы открывать, и удаленно компом управлять и все что угодно делать), сам винрут DNS направляет, его прокся работает (web-странички выдает без проблем), а вот nat не пускает. По ipconfig все правильно (да и адреса не автоматически выдаются). А NAT начинает работать только после перезапуска локального подключения. При чем здесь качество линии?

Как мне проверить что впн туннель на Керио поднялся и работает.
Пробовал связать 2 офиса, не получилось: туннель с обоих сторон Connected, на обоих концах добавил туннели в правило Local Trafic (сервисы ANY), пинги не ходят шары не видно, сам шлюз с другого конца пинговался, а подсети нет.

Вопрос такой есть 2 компа, у каждого по 2 сетевухи.
Как мне их соединить и какие настройки указать, если я хочу между ними ВПН туннель сделать.

Хочу проверить работает ли туннель вообще, ибо асе старания сделать такое через Инет не увенчались успехом.

Еще на винроуте ставлю NAT, а не прокси - возможно это имеет значение для настройки.

Уменя такой ошибка

[07/Feb/2006 17:58:00] (2001) WebAdmin interface is disabled, unable to redirect to it as required by HTTP rule.

Я же не исполюваю wеб интерфеис???

Правильно, не используешь.
Сообщение гласит "ВебАдмин интерфейс отключён. Не могу переадресовать на ВебАдмин, что требуется согласно ХТТП-правила".
В одном из правил для трафика прописано, что при выполнении определённого условия (скажем, обращении к запрещённому сайту) идёт переадресация на (отключённый) ВА-интерфейс. Так что - вноси изменения в правило либо открывай интерфейс.

Гхм. или я туплю, или одно из двух...
сервак, винроут 6.08, два интерфейса, одни смотрит во внешнюю локалку и через него поднят vpn-сеанс с провом(инет)... второй смотрит во внутреннюю небольшую сеточку.
сделал группу "ban", туда занес несколько диапазонов айпишников... а-ля 192.168.3.ххх; 192.168.4.ххх и т.д. Просто с этих адресов постоянный портскан идет из локалки.
В правилах создал правило - дропать все пакеты с исходящим адресом из группы "ban".
Так вот, в в status - hosts/users висят постоянно 3-4 чужих айпишника... из этой группы. И четыре моих родных юзера, не из этой группы, а из моей внутренней локалки.
Где грабли? и как запретить чужим коннектиться к моему винроуту? В логах видно, что пакеты добросовестно дропаются, но соединение-то есть, хоть ис нулевым трафом.
И еще вопрос - в чем разница между drop и deny? чегото разницы не замечаю.

Дано:

комп WinXP SP2 + KWF 6.1.3
Спутниковый интернет:
исходящий канал - GPRS
Входящее - по VPN (после соединения с GPRS)

Соединение без керио происходит без проблем - сначала коннект к GPRS, затем к VPN прова спутникового инета и все пучком.

Вопрос:

Как раздать спутниковый инет в локалку с помощью KWF и оптимально настроить соединение со спутником (максимально автоматизировать)?

Hi All!
Имеется Winroute 6.xx
На админа забыт пароль, т.к. давно настраивался
Реально как-то его найти/взламать, чтобы можно было без переустановки обойтись?
Спасибо!

В новой версии так и не решили проблему глюков со статистикой! Простой пример: отключаешь пользователя 1, а его IP присваиваешь пользователю 2 - трафик бежит на отключенного 1! Пришлось опять откатится к версии 6.0.11!
Удачи!

вопрос такой, кто и какую прогу использует для подсчета траффика в керио 6.0.11

boss47 , kerio сам считает траффик , загляни в status->statistic .

как c помощью керио можно реализовать DMZ?

Не понял, расшифруй...

я сам только сегодня узнал что такой термин существует.

Демилитаризированная Зона (DMZ).
"Обычно это участок сети, где сосредотачиваются сервера предоставляющие
сервис для внешних и для внутренних пользователей (одновременно).

Создается (обычно) на дополнительном интерфейсе файрвола, политика
безопасности для доступа с наружи к DMZ делается слабее (понятно, раз там
хоть какие-нибудь сервисы предоставлены) чем для доступа снаружи к
внутренней сети (или вообще это запрещается).

Политика безопасности для доступа из DMZ к внутренней сети обычно тоже
жесткая.

Из внутренней сети к DMZ - только доступ необходимый для получения
необходимых сервисов, и возможности настройки.
Идея - нарушение защиты, получение доступа к DMZ затруднено, но даже при
удачном стечении обстоятельств нарушение работы внутренней сети невозможно
(еще более трудная задача).

Таких зон может быть несколько со своими политиками безопастности
относительно друг друга."
netware.nwsoft.ru


вот ссылки по термину:
http://www.webopedia.com/TERM/D/DMZ.html
http://compnetworking.about.com/cs/n.../bldef_dmz.htm


Вобщем смысл такой, что это такая схема при которой хосты находятся за фаерволом но видны из и-нета по своим ip. Меня не то что безопасноть интересует а скорее правила маршрутизации. Я эту же тему поднял в топе по маршрутизации с помощью винды. Но пока токового ответа там не получил. Есть идеи?

knack, примерно понял... Разрулить политику сети естевственно надо не средствами винроута, он тут не поможет. А вот создать какой нибудь сервис на сервере в локалке - так это запросто.
По аналогии с пиринговыми клиентами. Ссылка в шапке.

да но будет всё идти через 1 ip и тяжело настроить мапинг, т.к. сервайсов оочень много. тут и шлюз Ip телефонии, корпоративный портал, мои там всякие админские приложения, ftp сервер, сервер терминалов, прочтовик наконец. Т.е. неудобно это.
Я вообще поставил третию сетевуху на комп с винрутам и подсеть дал для хостов которые должны быть видны из и-нета. они нормально видят, а их из и-нета ессесно нет, т.к. маршрутизацию не настраивал. С чем и придётся повозится ближайшие пару дней.

Может уже обсуждалось, но я не нашел
Всё работает на ура, но:
1. Если в сеть лезешь через вся сеть->сеть микрософт-> и т.д. то педалит жутко (отключаешь файервол - сеть летает). Если набрать просто \\имя компа, то всё ок! Вывод тормозит сетевое окружение, а не сама сеть.

2. Всегда тормозят сетевые принтеры, подключенные к машине на win98 (например "shep") просто от них то есть ответ, то нету. При ожидании ответа от принтера если выполнить \\shep то сразу же ответ от принтера идёт. Отключил лог на правила локалки отклик от принтеров стал значительно быстрее.

WinRoute у меня 6.1.3.789 WinXpSp2
Подключение к инету по протоколу PPPoE через сетевую.
Проблема только с машиной на которой стоит KWF.

В Traffic Policy стоит
от меня на локалку any
от локалки ко мне any

Подскажите как решить?

Правило лакального трафика на самый верх в правилах или в winroute.cfg ищи firewallexclude, ищи сетевую которая в локалку смотрит и там ставь 1 вместо 0.

такая странная пробелема. Керио мапит юзеров из AD если указать контроллер домена. если не указать - не находит.
Далее при первом варианте, всё идёт окей и можно просмотреть всех юзеров из ад, тобишь всё ок. Пытаешься аутентифицирвоаться через вэб интерфейс - керио не принимает никакие аккаунты кроме тех которые в его локальной базе.

В чём может быть загвоздка?

Btw раньше всё работало, перенёс керио на другой сервер. Точнее удалил и поставил на другом заново и вот такая вот фигня.
керио 6.1.4patch2

knack, а ты импорт юзеров то сделал?
Импорт надо делать обязательно, просто там разные виды аутентификации будут. Заведенные в ручную через Локальную базу. Из домена через NT/Kerberos.

У меня 2 траблы.

1. Нужно забанить сайты по словам в тексте страниц. Я создал правило:

URL begins with *
allow access

На вкладке "Content rules" поставил галку "Deny web pages containing forbidden words".

Такая фильтрация предпочтительней, тк бан по словам в адресе в большинстве случаев не эффективен. Но получилось так, что из-за этого правила перестали действовать правила перекрывающие сайты по словам в адресе. Хотелось бы, чтобы фильтрация была двойная: и по словам в тексте сайтов, и по словам в адресе. Кроме того, керио не реагирует на бан русских слов в тексте сайтов. Это нормально?

2. Странно работает аутентификация. Правила доступа в Инет в нашей локальной сети нужно разграничить для разных юзеров. Импортировал AD, поставил всем свои правила. Как я понимаю, при входе в систему юзер автоматом логится в браузере. Но вот какой сюрприз приготовил керио. Я вошёл как привелегерованный юзер. Посидел в Инете. Вышел из учётки. Вошёл в систему как обычный юзер, запустил браузер и ... спокойно пошёл по запрещённым для этой учётки сайтам, cкачивал все файлы. Получается керио не фиксирует выход пользователя из учётки пока он сам не загрузит страницу выхода из системы в браузере. А зачем тогда импортировать AD?

В общем, кто что-то знает по указанным проблемам, отзовитесь!