Честно пользовался поиском по топику !
Слово "беспроводная", "wifi" не нашел, посему вопрос: "Есть 2 сети - обычная и беспроводная". В сервере стоит 2 сетевухи, которые эту сеть "обьединяют". На сервере установлен керио винроуте. Никак не могу уговорить его (керио) показать одну сеть другой и наоборот. Плюс он не пускает компьютер с беспроводного соединения через себя в интернет.....
ЛЮДИ ! Хелп !

Cartman, нет в local traffic не стоят, они и не должны, у меня три сетевухи, одна смотрит в локалку, другая в другую локалку и обе локалки выходят в и-нет через третию сетевуху, соответсвенно трафик должен считаться по третей. А в Interface statistics траф всё равно идёт по всем трём...

knack, а, ну там они по любому будут считаться. Он тебе просто показывает с какой карты сколько накачали.

knack, брат ! ... с тремя сетевухами ! Подскажи с чего начать проверять.

*BIG*
В трафик полиси создай правило: источник-локальный интерфейс, назначение - интерфейс смотрящий в и-нет ,сервис - все какие тебе нужны(обязательно DNS), ставь галку на Action и включай NAT на интерфейс смотрящий в и-нет. Клиенты из локальной сети должны прописать шлюз и днс сервер IP адрес сервака с винроутом.И будет и-нет.

2All
Как я решил проблему с хождением почты через Firewall (версия 6.2.0 b1323):

• 1. В папке Definition -> Services проставил пустые значения поля "Protocol Inspector" для сервисов POP3 и SMTP.
• 2. Создал правило после правила "Local Traffic" (src = "Inet Interface" dst = "Firewall Host" Services = "TCP 25; TCP 110; TCP 143" Permit).

После этого почта с клиентов сети и клиента на компьютере с фаерволом стала летать.

P.S.: Ну и естественно разрешил внутренним пользователям использовать POP3, IMAP и SMTP ( я вообще разрешил им все во время инсталляции). Антивирус, что макак, что виснетик, что симантек - не отключал (токо симантеку запретил лазить в директории с керио и виснетика).

Ниче не понял, этим правилом ты разрешаешь доступ из инета на свою машину с винроутом.

Cartman, хорошо, тогда всё ок. а то боялся что отчёт буду делать за месяц а там всякие внутренние хосты и свё наперекосяк, но получается всё правильно.


*BIG*,
чо проверять-то?

это ... ваще начал вас тут читать и забыл что хотел,
у меня трабл какой-то непонятный.
FTP не идёт из локалки и в локалку (мапинг на внутренний ftp сервер). Инспектор Протокола отключил. В чём ещё может быть трабл?
Кстати.. Ftp сервер принимает подключение, всё ок (если внутри локалки подключаешься тоже всё ок), мапинг работает, но потом cant enstablish data connection ошибка 425. НО это пофиг даже, всё равно FTP не ПАШЕТ!

Есть идеи?

knack, ничего не понял, как то ты сумбурно все описал.
Для начала загляни в Content Filtering -> FTP Policy.

Cartman,
я разобрался, оказывается без испектора протокола FTP вообще не работает, и я отключил Passive Mode чтобы source port был 21, а надо оказывается его включать, клиенты не принимают!

6.2.0 пробовал? ТАм лимитэр есть.

Господа, такой вопрос:
На одном серваке стоят WinRoute и MailServer. Задача - открыть Web-фейс MailServer-а для внешних пользователей. Включаю в нем (MS) соответствующие службы HTTP, SecureHTTP. Открываю в WR соответствующие порты на вход.
Результат - из локалки MS доступен, а из вне - нет :(
По моему опыту затык, где-то в настройках WR...
Не подскажет ли кто какой именно?

Добрый всем. Вопрос на машине х стоит kerio 6.2.0 пока на машине х через веб интерфейс не сделает login любой пользователь на остальных машинах сети инета нет. Авторизация проходит а инет не работает. Если на машине х работает пользователь и допустим он делает logout то у остальных пропадает соединение с инетом. Причем довольно странно. Допустим если я в момент logout пользователя на машине х работал с сайтом _imho.ws, то я буду продолжать с ним работать, а вот остальные сайты будут уже не доступны. Но это не относится к играм Линейка ВОВ и Контра при этом будут работать. Может кто сталкивался с такой проблемой подскажите как решить.

Видимо у тебя поставлены правила на доступ из локалки и закрыт доступ из инета.
Поставь такое правило
Source - Any ,
Dest. - Firewall
Service - твой сервис почты (imap, pop3, smtp, "вебфейс")
Action - permit
Внимательно смотри порядок правил, возможно у тебя выше стоит запрещающее правило.

Теперь вопрос такого плана: какова самая эффективная и при этом максимально ограничивающая настройка для работы со Skype?
У меня стоит так.
Определил сервис Skype: протокол TCP /UDP, source port 2150, dest. port ANY.
Далее правило на NAT этого сервиса для юзеров. Есть ли какие-то предложения/замечания?

mrFlash, очень похоже на трабл с DNS-ом. Раскажи подробно как у тебя все настроено.

Запостил бы картинку не разобрался как.
Значит в правилах ната стоят следующие значения Sousre 7 пользователей Destination внешний источник. В закладке DNS Forwarding перечислені через запятую два DNS сервера.
У клиентов в свойстве сетевухи прописанны адрес ххх Гетевей адрес машины на которой стоит Kerio. DNS пробывал ставить и адрес машины на которой стоит Kerio и пробывал ставить DNS адресса которые предоставляет провайдер.
P.S. В поле Sourse я не добавлял Firewall

Локалка у меня вообще ничем не ограничена. А внешний доступ я открывал копированием, созданного самим WR, правила для доступа к POP3:
Source - Internet
Dest - Firewall
Service - Список портов для доступа
Action - Permit
Вроде все как учили, но не работает :(
причем, если попробовать из вне зайти телнетом, то POP3 соединяется без проблем, а указанные порты не доступны.

Подскажите как можно учитывать трафик через nat??? и выдавать по нему статистику? Nat для конкретного пользователя.

harpman, а в чем проблема? В статистике все есть. Если нужно более подробно - пользуй Proxy Inspector.

harpman
Подробную статистику по пользователям ты ни в каких программах не получишь. Для этого нужно аппаратные средства. Приблизительную статистику ты получишь в WinRoute , см. Statistics. Для этого нужно прописать каждого пользователя в Users. После того как пропишешь будешь иметь приблизительную статистику на каждого пользователя.
Разница с провайдером может колебаться по общей статистике от 15% до 50%

Программа называется Internet Access Monitor v3.1с for WinRoute-
учет и контроль трафика, анализатор лог файлов.

спасибо всем. Просто не понятно статистика в самом winroute показывает вроде как и должно быть, но вот смотришь через proxy inspeсtor. показывает меньне... Непонятно почему. Там и там трафик через прокси... Может у кого было такое. Сейчас попробую Internet Access Monitor.

Было. Потом посмотрел внимательнее - в Proxy Inspector отсутствовала статистика за несколько дней... Почему - хрен его знает, но есть идея что Winroute может создавать не один лог, а несколько типа connection.log, connection.log.2 и т.д. а Proxy Inspector берет данные только из обычного connection.log, второй файл он не видит.

Решил проблему так: в Proxy Inspector в планировщике добавил задание на ежедневный импорт. Теперь все ок (правда данные расходятся с данными провайдера, но это уже другая проблема думаю)

Internet Access Monitor собирает все логи из указанной папки типа connection.log, connection.log.2 и т.д. и если у вас в самом винроуте все как надо установлено , то разница с провом не большая . У меня пров насчитал 3510мб, а отчет по Internet Access Monitor дал 3630мб. Возможно мой пров не считает служебный трафик, потому у меня и больше получилось, но разница не существенная.

P.S. главное не забывать перед составлением отчета импортировать логи. в Internet Access Monitor. Кстати, тамже можно составить подробнейший отчет по каждому пользователю и по сайтам, датам, часам, протоколам и т.д. и т.п. возможностей много

Да, IAM действительно видит все файлы. А умеет он сам ежедневно импортировать логи и отправлять статистику по почте? PI умеет - очень удобно...

В IAM есть встроенный планировщик , который может сам импортировать логи, составлять отчеты(любой как настроишь) и отправлять их по почте или складывать в выбранную папку(это как захочешь). я уже несколько месяцев не залазил в IAM(только если новго пользователя завел) отчеты получаю по почте и ежедневные и месячные.

Что-то не нашёл топика по IAM, поэтому пишу сдесь. Если что, поправьте.

IAM импортирует лог файлы, делаю отчёт по источнику данных, вываливается стандартный отчёт и в нём имена пользователей дублируются вот в таком варианте: например nsvetlova@xxx.xx и просто nsvetlova. Когда смотришь детализацию по этим именам видно, что хосты и даты захода на них одинаковые, однако трафик различается.

В чём может быть трабл? Насколько я понимаю керио два раза фиксирует аутентификацию пользователей, но из-за чего? Как это исправить?

knack
"просто nsvetlova" это отчет по трафику и всех соединений из лога connection. nsvetlova@xxx.xx это из лога вэб соединений для отчета посещаемых страниц.
Если хочешь отчет по трафику, делай отчет по пользователям, выбирай пользователей типа "просто nsvetlova "

такс.... ээээ .... блин .... так как мне сделать нормальный итоговый отчёт где будет трафик распределённый по посещзённым вэб страницам?


И ваще я так пробовал, ни тот ни другой отчёт не сходится с суммарным трафиком по интерфейсу в керио ...

knack
тебе нужен только вэб трафик по страницам? а фтп, почтовый и прочий? в керио показывает общий. Как ты логи в винроуте настроил? какие исключения в статистике винроута? Лучше сравнивать со статистикой провайдера.

Кстати а в Winroute нужно в лог писать "Log matching packets" или "Log matching connections" - то что касается NAT? Или и то и другое :idontnow: ??

Evilleo
пиши и то и другое

kliv1, мне нужен весь трафик, так чтобы по пользователю раскладывались протоколы. Они впрочем раскладываются, но статистика получается не полной. "Log matching packets" и "Log matching connections" стоит во всех правилах. Исключений нет.
Вот приведу пример. Мой аккаунт. Я в прошлом месяце скачал с сайта микрософт service pack 1 для w2k3, весил он 350мб. И вот смотрю я статистику по моё_имя@xxx.xx и там 320мб, смотрю по моё_имя там 370... что-то в этом духе. бред какойто.


Самое то плохое что в конце месяца когда делаешь отчёт, сумма мегабайт не сходится по пользовательской статистике в винроуте, а юзеры то на неё смотрят (т.к. введена система квот для сотрудников). Т.е. получается лажа какая-то.

knack
Как я писал п.№1142, так оно и получается. Перепробовал кучу этих считалок с WinRoute. Ни одна не подошла. Разница с провом ощутимая. Как там они считают, одному богу известно. Единственно могу сказать, что там стоит сертифицированная биллинговая система (железяка), прошитая и запрограммированная в заводских условиях. И ни одна программа так не будет считать, как она.

подскажите как включить всех сразу юзеров в список форивола и запрещенные адреса сайтов?одному ставлю галку в усерс на форевол,а у другого слетает галочка.

Подскажите плз.
Такая вот проблемка возникла.
Есть сервер с Винроутом который делит нет на сеть "а" и сеть "б". Сам сервер является членом рабочей группы "а". Есть почтовые сервера у двух провайдеров соответственно "а" и "б". Юзеры сети "а" настроены полностью имеют выход в нет, и получают и отправляют почту по шлюзу 192.168.0.1 и созданым алисам через SMTP провайдера и POP3 отдаленного почтового сервера. Юзеры сети "б" подключены через шлюз 192.168.0.23, они без проблем юзают нет, отправляют почту через SMTP провайдера, но не могут получить ее через POP3 отдаленного почтового сервера :mad: . В чем может быть фишка? ответ типа что то с сервером POP3 почтового сервера не катит. так как в сети "а" прописав шлюз 192.168.0.1 и пароль к их алису я все получил без проблем.
Заранее благодарен за ответ. Начальство разрывает на части :молись:
Вопрос снялся сам собой, после того как я получил сообщениея сити "б" в сети "а", после этого глюк пропал и сеть "б" начала нормально получать почту.... Странно :idontnow:

Goash, давай скрин правил, route /print
И напиши пингуют ли они "POP3 отдаленного почтового сервера".

В чем отличие Kerio Personal Firewall & Kerio WinRoute Firewall? у меня до сих пор стоит персонал, с винроутом не разобрался что-то (хотя и не копался) есть ли смысл переходить?
ЗЫ домашний комп, сервер, ось вин ХР про СП2 + заплатки

MURaDER, не нужен тебе винроут.
Винроут - это софтверный маршрутеризатор, а тебе маршрутеризировать нечего. Для одной машины это нафик не надо.

Ясно спасибо, и ещё вопрос на сколько я понял Керио Про файр больше уже не выпускают? последняя версия получается 4.2.3

MURaDER, ты имеешь ввиду Winroute Pro? Да его разработка прекращена, последняя версия 4.2.5. Но это не Firewall в обычном его понимании, это тоже софтовый роутер.