Candyman, смотри тут.

KWF 6.2.2 (1746)
Вчера вечером перестал открываться www.yandex.ru
делаю tracert, нормальный пинг доходит только до шлюза (192.168.0.1), далее - сплошные превышения интервалов. Ya.ru, mail.yandex.ru и т.д. пингуются нормально, я на них могу войти.
Просмотрел весь Керио, но вот в чем заковыка, так и не понял. Помогите!

Только что такая же байда случилась с Гуглем (тот, который com)

Taxpolice99, попробуй сбросить кэш DNS в винроуте и в винде.
А вообще есть такая странная проблема. Иногда недостучишься до некоторых серверов по сети. Например с машины с винроутом все идет, а по сети - болт.

DNS сбрасывал. Действительно, эти сайты с сервака открываются, по сетке - нет.

У меня только одно подозрение, винроут посчитал, что с этого адреса была атака и заблокировал IP. Через некоторое время у меня все само заработало. От версии это тоже не зависит. У меня такая фигня с самых первых версий 6-ки была.

А через какое время? Сколько мне юзеров томить?
И можно ли как принудительно это включить?

После установки winrout 614_1086,заблокировались все сетевухи внутрення и внешняя.Настройки переносил старые сохраненные и по новому пробывал настраивать не работает.Останавливаю службу все работает,в инет идет и сеть видна.Раньше стоял 614_1044,во время установки 614_1086,winrout спросил заменить какойто системный файл,незапомнил какой.Вот после это все и началось.Удалял,реестр чистил,пробовал сново ставить 614_1044,все бестолку.Подскажите куда его пиннуть?

Это происходит, если винроут обнаруживает, что закончилась или не верная лицензия. Смотри в логах.

Сохрани все CFG из папки с прогой, ставь новую версия, подпихивай обратно все CFG - все и так должно заработать!

Останавливаю службу,заменяю *.cfg.ТОлку нет,даже дистрибутив который раньше работал полностью заменяю перезагружаюсь такая же байда.Останавливаю службу,все работае инет.

Проверь, выключено ли автообновление самого винрута (Configuration - Advanced Options - Update Checks). Ну, на всякий случай можно выключить правило "Allow automatic updates http://*.kerio.com*" (Configuration - Content Filtering - HTTP policy - URL Rules). У меня машина с винрутом работает по несколько месяцев (от версии до версии) без перезагрузок, подобных проблем никогда не возникало. А на самом деле, используй лицензионную версию и подобных проблем не будет. А для вопросов, связанных с нелицензионным использованием продуктов Kerio есть специальная тема.

У меня такая проблема возникла,
Стоит на серваке винроуте 6.0.11,

Некторые сайты не откриваются, нет никакого фильтра, и нет никакого ограничения. Если был какой-то филтер, или ограничение, я бы увидел это на логах, но нет ничего. Просто кокда открываю сайты показывает что "page can not be dsiplayed". Когда я выкличаю винроут на серваке и пробую эти сайты, сайты нормално открываются! в чем проблема? :idontnow: :idontnow:

Первое, что приходит в голову - это сайты с нестандартными (отличными от 80) портами. Но тут уж всё зависит от того, как у тебя всё настроено в Traffic policy. Огласите, пожалуйста, список правил в Traffic Policy.

Мой Traffic Policy - а где проблема?

[IMG]http://img416.***************img416/6210/trafficua2.th.jpg[/IMG]

lers
Получает 4 штрафных балла за запрос кряков. Пост удален.

Всем!!! Народ, прочитайте внимательно шапку топа! Там все ясно и по русски написано. Если кому-то непонятно, то очень тонко намекаю:
"ВСЕ ВАРЕЗНЫЕ ВОПРОСЫ (КРЯКИ, ОТУЧАЛКИ, ЛЕКАРСТВА, ТАБЛЕТКИ,...) В ДРУГОМ РАЗДЕЛЕ!!!".

TARANTULA
включи логи и посмотри, что пишет в них винроут при попытке отрыть те самые сайты.

TARANTULA, попробуй не через нат, а через прокси открыть эти сайты. Если получится - дело однозначно в нестандартных портах.

Друзья, подскажите инструкцию step by step настройки этого гребаного винрута. 2 компа, на сервере два dialup модема, на клиенте 1 модем. Надо выход через сервер в интернет. В интерфейсах определяется все хорошо dial-in входящее подключение, dial-out исходящее подключение IP. Пинги от клиента проходят до 2х IP сервера и до сервера интернета.

Booble, я из твоего расказа, честно говоря, ничего не понял.
Что значит: "до сервера интернета"? Распиши подробнее структуру, сделай tracert ya.ru и dns-а провайдера...

Black_NAiL

На логах ничего не видно, потому что дает ошибку, что page cannot be displayed.

Cartman

Через прохси проверил тоже не получатся, ты прав, что та на портах
Не могу, открыт https сайты. 433 порт серваке открыто
что я должен делать?

Глюк протокол-инспектора. На каких-то вресиях https через нат практически не работал. Обходилось прописыванием прокси в браузере. Только не забудь прописать его как для http, так и для https.

Cartman

Прокси я давно подписал а все равно не открывается.
На другом офисе стоит этот версии, там без проблем открывается https сайты.

Tracert показал забавную картину, tracert проходит до ya.ru по его IP, но никак по названию, и названий то в отчете нет никаких. Т.Е. клиенту доступ в интернет открыт, но Kerio не может видимо сопоставить IP и буквенный адрес (не знаю как это правильно называется), собственно вот эту проблему надо решить.

А че ее решать? DNS в соединении пропиши и все заработает.

TARANTULA
Я тебе советую по новой все правила создать с помощью мастера...Похоже, что у тебя какого-то правила просто нету ( И кажись нету для Firewall, это видно из твоего скрина). Создай все правила с помощью мастера, а потом впиши уже свои.

Ув. форумчане!
Подскажите, как можно задать лимит месячного траффика, ну скажем с 15 числа по 15 след.месяца с последующим обнулением статистики? (WinRoute6.1.4. patch2)

Была попытка поставить юзеру месячный лимит, создать нужное TimeRanges и правило в TrafficPolicy ValidON этому юзеру по данному временному интервалу. НЕ получилось. :idontnow: мыслю,скорее всего, не так...

Поиск в Сети не увенчался успехом (неужели такую задачу не рашал никто? :confused: )

дайте идейку, пожалуйста! :молись:
Не хотелось-бы же ради этого размениваться на WinGate или ИСу...

ALexSft, месячный лимит задается с первого по последние число месяца. По другому никак.
Есть вариант (через одно место) - перевести дату на сервере на 15 дней вперед/назад.

Ребят, помогите с настройкой Kerio Winroute Firewall 5.1.0
Что имеем:
Комп, на котором стоит Win2k3 Ent, будет использоваться как прокси сервер для выхода юзеров в инет.
В компе стоит две сетевухи, одна смотрит в конторскую локалку, вторая смотрит в сторону провайдера. Инет от провайдера получаем путем подключения к VPN.
Что нужно:
1. Чтоб работал сам инет на конторских машинах
2. Чтоб работала аська
3. Чтоб работал скайп
4. Чтоб работала почта

Хочу сделать так:
Чтоб юзверей было две группы, одна ходит по страничкам инета, через аузентификацию (логин пароль) вторая ходит насквозь (напрямую)
Также чтоб аська, почта и скайп работали насквозь для всех юзверей.

Также есть вопросы:
1. Можно ли в керио делать ограничение по траффику конкретно юзеру или группе?
2. Можно ли вести статистику, кто куда лазил?
3. Можно ли видеть пользователей которые в данный момент подключены к инету?
4. Сильно ли сложно настроить это дело человеку (т.е. мне) не шибко разбирающемуся в данной софтине?
5. Можно ли блокировать определенные интернет ресурсы? сервисы?

Суть в чем, поставил юзергейт 4.0, меня он неудовлетворяет, так как не хочет работать корректно NAT приходится делать все через одно место.
Раньше стоял Red Hat linux в куче со сквидом, но опять же неудовлетворял тем, что статистика у него кривая, умные люди посоветовали юзергейт, когда поставил, еще более умные люди :) посоветовали поставить керио, так как юзергейт говорят "не очень"

Вот и прошу у знающих людей помощи

Это можно сделать только если есть контроллер домена. Т.е. одних пользователей импортируешь из домена для них тип аутентификации NT/Kerberos, других заводишь руками, у них аутентификация из внутренней базы.
Для пользователя да, для группы нет.


Для "кто куда лазил" существует ProxyInspector. Вот только он учитывает только http траффик. Общую статистику можно посмотреть в самом винроуте по юзерам и протоколам, но кто куда лазил нет.
Да. В том числе можно принудительно отлогинить пользователя.
Ничего из ряда вон там нет. Все довольно понятно и легко настраивается. Если что - поможем.
Конечно.

блин, теперь и у меня некоторые сайты перестали открываться.
Елки палки. Стояло, работало год с лишком. Потом сменил провайдера и опа - с самого сервака открываются сайты, а с клиентских тачек - нет. При этом НИЧЕГО не менял я в настройках винроута :(
:idontnow:
где ж еще копнуть...

Такая же фигня и у меня. Уже полгода мучаюсь, нифига справиться не могу.
Имхо это глюк самого винроута касающийся сайтов которые используют shttp. Есть мнение что этот косяк проявляется только на нелицензионных копиях. :) хз. Самое интересное и то что сильнее всего бесит, это то что некоторые машинки ходят по этим сайтам без проблем а некоторые никак.
:idontnow:

Если юзвери "привязаны" к компам, можно сделать автоматический логин по IP-адресу.

Вообщем поставил сие чудо, возникло уйма вопросов!
Инет работает на самом прокси, у юзверей не пашет ни чего :)
Даю описание настроек:
Внешняя сеть - сеть провайдера, через которую нам дают интернет по VPN
Внутренняя сеть - наша конторская сеть
Inet - само подключение к интернету по VPN

Сами правила:
1. ICMP трафик, Источник - Firewall, внутренняя сеть. Получатель - любой. Сервис - Ping. Действие - разрешить.
2. Мое правило для инета, Источник - Firewall, Внутренняя сеть, 198.162.1.1-198.162.1.255 (это айпишники внутренней сети). Получатель - Inet, Внешняя сеть. Сервис - любой, Действие - разрешить.
3. Cobion трафик, Источник - Firewall. Получатель - Любой. Сервис - HTTPS, TCP 6000.

Ну и стандартные правила, которые создает сам Kerio

Вообщем суть в чем вся, как сделать инет пользователям? Сделать аузентификацию пользователя по айпи, чтоб прокся смотрела на айпи и пропускала сразу насквозь, без доп. натроек в прогах? Причем пропускала любой сервис из внутренней сети, а из внешней сети ни кого не пускала.
Помогите с настройками, где чего вводить и как настраивать?

Да и еще, странность заметил, на самой проксе, странички сразу открываются, а на юзверском компе, секунд 15 ждет и потом только открывает, в чем могут быть грабли?

Вот снял скрины, на первом скрине, правила (влезли не все) вверху было правило для ping которое я описал выше, внизу стандартное правило, которое все запрещает. Вот собсно, больше ни где ни чего не трогал.

На юзерах в настройках tcp/ip прописал шлюз и dns?
В остальном у тебя все верно. Заводи юзеров, задавай им специфик ip. И все в общем-то...

Уже несколько недель постоянно, каждые 2-3 секунды валит такая фигня..
Чувствую, что троян некий запущен.. Что мне делать с ним не прилоду ума. Антивирус, антитроян на всех компах..

В логах security следующее:

[02/Nov/2006 09:35:38] HTTP: Non-ASCII bytes detected in HTTP request: client: 10.0.0.46, server: 194.186.121.76
[02/Nov/2006 09:35:41] HTTP: Non-ASCII bytes detected in HTTP request: client: 10.0.0.34, server: 194.186.121.77
[02/Nov/2006 09:35:43] HTTP: Non-ASCII bytes detected in HTTP request: client: 10.0.0.58, server: 194.186.121.76
[02/Nov/2006 09:35:44] HTTP: Non-ASCII bytes detected in HTTP request: client: 10.0.0.46, server: 194.186.121.76

не обязательно вирусня, на скайп например так ругается бывает

Cartman в настройках сети прописан как шлюз и днс - прокся
В инет юзеры бегают через НЕ прозрачный прокси, т.е. в бровзере настройки ставятся под прокси, аська вообще отказывается работать не с настройками, не на прямую, почта тож не пашет никак :(((

я так и не понял, как сделать аузентификацию по айпи? в настройках пользователя нашел только вот это:
Идентификация:
Внутренняя пользовательская база данных
Домен Windows NT
Kerberos 5
Radius Server
Больше ни чего не нашел :(

Значит с nat-ом беда какая-то. Попробуй в правиле nat в последней колонке всесто default outg. int. выбрать свою карту, которая в инет смотрит. И еще, в сетевой, которая в локалку смотрит не прописан ли шлюз? Винроут этого очень не любит.

Cartman в NAT всё так и стоит, в сетевой, которая в локалку смотрит шлюза нет, там вообще кроме айпишника и маски больше ничего нет. а пахать не хочет, только браузеры работают на настроках прокси (198.162.1.254:3128) напрямую никак не хочет ни чо работать :(

я так кстати и ненашел где юзера по айпишнику иденитифицировать :(

GexogeN, посмотрел твои правила и ниче не понял. Че за русский фейс у винроута? Где в правилах колонка translation, лично мне интересно что у тебя там для nat-а прописано...