WinRoute - все вопросы и ответы здесь

В этом топике задаём все вопросы касательно Kerio Winroute а также отвечаем на них, кроме вопросов "где взять программу", "где взять лекарство от жадности для программы", "как сломать" и т.д., для которых создан специальный топик в варезном разделе!

Как настраивать винроут для работы с eMule, DC++ и прочими расказано тут.

Как мне проверить что впн туннель на Керио поднялся и работает.
Пробовал связать 2 офиса, не получилось: туннель с обоих сторон Connected, на обоих концах добавил туннели в правило Local Trafic (сервисы ANY), пинги не ходят шары не видно, сам шлюз с другого конца пинговался, а подсети нет.

Вопрос такой есть 2 компа, у каждого по 2 сетевухи.
Как мне их соединить и какие настройки указать, если я хочу между ними ВПН туннель сделать.

Хочу проверить работает ли туннель вообще, ибо асе старания сделать такое через Инет не увенчались успехом.

Еще на винроуте ставлю NAT, а не прокси - возможно это имеет значение для настройки.

[TARANTULA]

Уменя такой ошибка

[07/Feb/2006 17:58:00] (2001) WebAdmin interface is disabled, unable to redirect to it as required by HTTP rule.

Я же не исполюваю wеб интерфеис???

[Borland]

Цитата:

TARANTULA:
Я же не исполюваю wеб интерфеис???

Правильно, не используешь.
Сообщение гласит "ВебАдмин интерфейс отключён. Не могу переадресовать на ВебАдмин, что требуется согласно ХТТП-правила".
В одном из правил для трафика прописано, что при выполнении определённого условия (скажем, обращении к запрещённому сайту) идёт переадресация на (отключённый) ВА-интерфейс. Так что - вноси изменения в правило либо открывай интерфейс.

[Black_NAiL]

Гхм. или я туплю, или одно из двух...
сервак, винроут 6.08, два интерфейса, одни смотрит во внешнюю локалку и через него поднят vpn-сеанс с провом(инет)... второй смотрит во внутреннюю небольшую сеточку.
сделал группу "ban", туда занес несколько диапазонов айпишников... а-ля 192.168.3.ххх; 192.168.4.ххх и т.д. Просто с этих адресов постоянный портскан идет из локалки.
В правилах создал правило - дропать все пакеты с исходящим адресом из группы "ban".
Так вот, в в status - hosts/users висят постоянно 3-4 чужих айпишника... из этой группы. И четыре моих родных юзера, не из этой группы, а из моей внутренней локалки.
Где грабли? и как запретить чужим коннектиться к моему винроуту? В логах видно, что пакеты добросовестно дропаются, но соединение-то есть, хоть ис нулевым трафом.
И еще вопрос - в чем разница между drop и deny? чегото разницы не замечаю.

[Ascetic]

Дано:

комп WinXP SP2 + KWF 6.1.3
Спутниковый интернет:
исходящий канал - GPRS
Входящее - по VPN (после соединения с GPRS)

Соединение без керио происходит без проблем - сначала коннект к GPRS, затем к VPN прова спутникового инета и все пучком.

Вопрос:

Как раздать спутниковый инет в локалку с помощью KWF и оптимально настроить соединение со спутником (максимально автоматизировать)?

Hi All!
Имеется Winroute 6.xx
На админа забыт пароль, т.к. давно настраивался
Реально как-то его найти/взламать, чтобы можно было без переустановки обойтись?
Спасибо!

[Oaxa]

Цитата:

Сообщение от alexcom

Hi All!
На админа забыт пароль, т.к. давно настраивался
Реально как-то его найти/взламать, чтобы можно было без переустановки обойтись?

Kerio Knowledgebase

[qerst]

В новой версии так и не решили проблему глюков со статистикой! Простой пример: отключаешь пользователя 1, а его IP присваиваешь пользователю 2 - трафик бежит на отключенного 1! Пришлось опять откатится к версии 6.0.11!
Удачи!

вопрос такой, кто и какую прогу использует для подсчета траффика в керио 6.0.11

[trimel]

boss47 , kerio сам считает траффик , загляни в status->statistic .

[knack]

как c помощью керио можно реализовать DMZ?

[Cartman]

Цитата:

knack:
DMZ

Не понял, расшифруй...

[knack]

я сам только сегодня узнал что такой термин существует.

Демилитаризированная Зона (DMZ).
"Обычно это участок сети, где сосредотачиваются сервера предоставляющие
сервис для внешних и для внутренних пользователей (одновременно).

Создается (обычно) на дополнительном интерфейсе файрвола, политика
безопасности для доступа с наружи к DMZ делается слабее (понятно, раз там
хоть какие-нибудь сервисы предоставлены) чем для доступа снаружи к
внутренней сети (или вообще это запрещается).

Политика безопасности для доступа из DMZ к внутренней сети обычно тоже
жесткая.

Из внутренней сети к DMZ - только доступ необходимый для получения
необходимых сервисов, и возможности настройки.
Идея - нарушение защиты, получение доступа к DMZ затруднено, но даже при
удачном стечении обстоятельств нарушение работы внутренней сети невозможно
(еще более трудная задача).

Таких зон может быть несколько со своими политиками безопастности
относительно друг друга."
netware.nwsoft.ru


вот ссылки по термину:
http://www.webopedia.com/TERM/D/DMZ.html
http://compnetworking.about.com/cs/n.../bldef_dmz.htm


Вобщем смысл такой, что это такая схема при которой хосты находятся за фаерволом но видны из и-нета по своим ip. Меня не то что безопасноть интересует а скорее правила маршрутизации. Я эту же тему поднял в топе по маршрутизации с помощью винды. Но пока токового ответа там не получил. Есть идеи?

[Cartman]

knack, примерно понял... Разрулить политику сети естевственно надо не средствами винроута, он тут не поможет. А вот создать какой нибудь сервис на сервере в локалке - так это запросто.
По аналогии с пиринговыми клиентами. Ссылка в шапке.

[knack]

да но будет всё идти через 1 ip и тяжело настроить мапинг, т.к. сервайсов оочень много. тут и шлюз Ip телефонии, корпоративный портал, мои там всякие админские приложения, ftp сервер, сервер терминалов, прочтовик наконец. Т.е. неудобно это.
Я вообще поставил третию сетевуху на комп с винрутам и подсеть дал для хостов которые должны быть видны из и-нета. они нормально видят, а их из и-нета ессесно нет, т.к. маршрутизацию не настраивал. С чем и придётся повозится ближайшие пару дней.

Может уже обсуждалось, но я не нашел
Всё работает на ура, но:
1. Если в сеть лезешь через вся сеть->сеть микрософт-> и т.д. то педалит жутко (отключаешь файервол - сеть летает). Если набрать просто \\имя компа, то всё ок! Вывод тормозит сетевое окружение, а не сама сеть.

2. Всегда тормозят сетевые принтеры, подключенные к машине на win98 (например "shep") просто от них то есть ответ, то нету. При ожидании ответа от принтера если выполнить \\shep то сразу же ответ от принтера идёт. Отключил лог на правила локалки отклик от принтеров стал значительно быстрее.

WinRoute у меня 6.1.3.789 WinXpSp2
Подключение к инету по протоколу PPPoE через сетевую.
Проблема только с машиной на которой стоит KWF.

В Traffic Policy стоит
от меня на локалку any
от локалки ко мне any

Подскажите как решить?

[Cartman]

Правило лакального трафика на самый верх в правилах или в winroute.cfg ищи firewallexclude, ищи сетевую которая в локалку смотрит и там ставь 1 вместо 0.

[knack]

такая странная пробелема. Керио мапит юзеров из AD если указать контроллер домена. если не указать - не находит.
Далее при первом варианте, всё идёт окей и можно просмотреть всех юзеров из ад, тобишь всё ок. Пытаешься аутентифицирвоаться через вэб интерфейс - керио не принимает никакие аккаунты кроме тех которые в его локальной базе.

В чём может быть загвоздка?

Btw раньше всё работало, перенёс керио на другой сервер. Точнее удалил и поставил на другом заново и вот такая вот фигня.
керио 6.1.4patch2

[Cartman]

knack, а ты импорт юзеров то сделал?
Импорт надо делать обязательно, просто там разные виды аутентификации будут. Заведенные в ручную через Локальную базу. Из домена через NT/Kerberos.

У меня 2 траблы.

1. Нужно забанить сайты по словам в тексте страниц. Я создал правило:

URL begins with *
allow access

На вкладке "Content rules" поставил галку "Deny web pages containing forbidden words".

Такая фильтрация предпочтительней, тк бан по словам в адресе в большинстве случаев не эффективен. Но получилось так, что из-за этого правила перестали действовать правила перекрывающие сайты по словам в адресе. Хотелось бы, чтобы фильтрация была двойная: и по словам в тексте сайтов, и по словам в адресе. Кроме того, керио не реагирует на бан русских слов в тексте сайтов. Это нормально?

2. Странно работает аутентификация. Правила доступа в Инет в нашей локальной сети нужно разграничить для разных юзеров. Импортировал AD, поставил всем свои правила. Как я понимаю, при входе в систему юзер автоматом логится в браузере. Но вот какой сюрприз приготовил керио. Я вошёл как привелегерованный юзер. Посидел в Инете. Вышел из учётки. Вошёл в систему как обычный юзер, запустил браузер и ... спокойно пошёл по запрещённым для этой учётки сайтам, cкачивал все файлы. Получается керио не фиксирует выход пользователя из учётки пока он сам не загрузит страницу выхода из системы в браузере. А зачем тогда импортировать AD?

В общем, кто что-то знает по указанным проблемам, отзовитесь!