WinRoute - все вопросы и ответы здесь

В этом топике задаём все вопросы касательно Kerio Winroute а также отвечаем на них, кроме вопросов "где взять программу", "где взять лекарство от жадности для программы", "как сломать" и т.д., для которых создан специальный топик в варезном разделе!

Как настраивать винроут для работы с eMule, DC++ и прочими расказано тут.

[Alex Dark]

еще раз хочу спросить то что спрашивал несколько постов назад, так как различные эксперименты результата не дали. Сделал еще и скрины.
Задача: из локально сети с компа (IP:120) подключиться через шлюз (IP:151) по rAdmin к машине локальной сети (IP:90)
Для чего так сложно? Что бы потом заменить локальное соединение соединением из инета и получить доступ из инета к локальной машине через rAdmin
Экспериментируя создал два правила. По логике они должны выполнять одно и тоже. Однако если подключаться через второе, то сразу вываливается "нельзя подключиться к серверу". При подключении через первое сначала окно "идет подключение" а через 5-10 сек вываливается "нельзя подключиться к серверу"

[Alex Dark]

смотрел в соединениях. Мое соединение отражается.
Проверил простое соединение с IP:120 на IP:151 работает
С IP:151 на IP:90 работает

Может кроме этого правила нужно что то еще. Тогда что?

[lers]

Цитата:

Сообщение от Alex Dark

еще раз хочу спросить то что спрашивал несколько постов назад, так как различные эксперименты результата не дали. Сделал еще и скрины.
Задача: из локально сети с компа (IP:120) подключиться через шлюз (IP:151) по rAdmin к машине локальной сети (IP:90)
Для чего так сложно? Что бы потом заменить локальное соединение соединением из инета и получить доступ из инета к локальной машине через rAdmin
Экспериментируя создал два правила. По логике они должны выполнять одно и тоже. Однако если подключаться через второе, то сразу вываливается "нельзя подключиться к серверу". При подключении через первое сначала окно "идет подключение" а через 5-10 сек вываливается "нельзя подключиться к серверу"

Я по-другому делаю. Попроще. Правило создается простое правило: с локала (или с инета если надо ) на фаир можно через 4899 порт. Ни трансляций, ни портмапов. А для того чтобы попасть на другую машину через шлюз, используется возможность самого радмина (там пимпочка такая есть "коннект через хост") вот в качестве хоста и указываешь ип радмина на шлюзе. И вуаля.

[Black_NAiL]

Alex Dark, чтобы снаружи поапсть радмином на машину в сети, в винроуте создаешь правило - сорс - внешняя сеть, дестинейшн - хост винроута, порт радмина (4899 или какой сделаешь) - и транслировать на айпишник локальной машины.

Собсна, точно также мапируется любой сервис - http, ftp, pop, smtp, etc...

[Alex Dark]

Цитата:

Сообщение от lers

А для того чтобы попасть на другую машину через шлюз, используется возможность самого радмина

Так у меня работает, но для меня это не выход. Я открываю доступ извне для чужой конторы, до их компьютера который стои т у нас.
При подключении он сначала просит мой пароль потом пароль др машины. А свою открывать нет желания

добавлено через 26 минут

Цитата:

Сообщение от Black_NAiL

чтобы снаружи поапсть радмином на машину в сети, в винроуте создаешь правило - сорс - внешняя сеть, дестинейшн - хост винроута, порт радмина (4899 или какой сделаешь) - и транслировать на айпишник локальной машины

Я так и сделал. На картинке http://www.imho.ws/showpost.php?p=13...postcount=1464
Там что то не правильно?
Когда я смотрю по соединению, то вижу Название моего правила, порт 4899/TCP, Source: IP моего компа, Destination IP компа к которому подключаюсь порты источник (каждый раз разные) и назначение 4899

У меня на экране - Соединение. Потом Нельза подсоединиться к серверу

добавлено через 2 минуты
При чем к нужной машине подключиться через рАдмин с моей или со шлюза можно без проблемм

[Black_NAiL]

Alex Dark, неверно.
у тебя сорсом стоит локальная сеть, а должен стоять - интерфейс, с которого сосется интернет.
а также ты чего-то мудришь с портами - попробуй не 4900, а что-нить вроде 5002 везде.
И еще - отруби фаервол на конечной машине

[Alex Dark]

Цитата:

Сообщение от Black_NAiL

у тебя сорсом стоит локальная сеть, а должен стоять - интерфейс, с которого сосется интернет.

это правильно. сначала в локалке отрабатываю. потом заменю

Цитата:

Сообщение от Black_NAiL

И еще - отруби фаервол на конечной машине

это сразу отрубил

Экспериментирую дальше

[baron386]

Народ! подскажите пожалуйста решение:

В Kerio Winroute 6.2.3-2027 в настройках HTTP-chache нет параметра {Max HTTP object size}, а по умолчанию в кэш сохраняются файлы меньше 500кб. На сайте Kerio сказано, что чаще всего используются мелкие файлы, а большие скачиваются только 1 раз, и мол сохранять их не имеет смысла... Но у меня юзеры тянут с интернета много больших файлов, которые обновляются не часто (картинки с картами погоды весят > 2МБ) и если их брать из кэша будет экономиться ОЧЕНЬ много траффика (~80%).
Вносил изменения руками в файл winroute.cfg (там есть этот параметр), но тогда кэш не работает, а winroute ругается на неправильный размер HTTP object size и этот параметр удаляет.
Может кто знает как сохранять в кэш винроута большие файлы? (места на диске не жалко)

[Alex Dark]

Доброго времени суток
Как не странно, но проблему решил отключением перенаправления порта. т.е. оставил только маппинг на др IP. И соответственно настройкой рАдмина на другой порт. Получилось может не так красиво как хотелось.

[Cartman]

Цитата:

Сообщение от baron386

winroute ругается на неправильный размер HTTP object size и этот параметр удаляет.

А что именно ты там пишешь?

[Alex Dark]

Решил немного облагородить свой winrouter
Имею две группы людей. Одним можно ходить в инет другим нельзя. Настроил все работает.
Однако для тех кому нельзя выдается

Цитата:

Запрашиваемая страница не найдена. Обратитесь к администратору межсетевого экрана..

а хотелось бы, что бы выдавал список разрешенных сайтов для просмотра (погода, налогиовая, соцзащита).
Правила доступа не эти сайты сделал. тут все железно работает.

добавлено через 1 минуту
Неужели есть только 3 варианта
1 Тот что есть сейчас
2 пустой экран
3 переадресация на др сайт в инете

[Cartman]

Цитата:

Сообщение от Alex Dark

переадресация на др сайт в инете

Не обязательно же в интернете... Подними апач и переадрисовывай на него, а на нем сделай список доступных сайтов...

[baron386]

Цитата:

Сообщение от Cartman

А что именно ты там пишешь?

в файле winroute.cfg:

<table name="Cache">
................................
<variable name="MaxHttpSize">512</variable>
.................................
</table>

При установке числа больше 512 (например 1024 или 2048 и др.) Винроут орёт в логах, что параметр неверный и http-кэш работать не будет. При этом в конфиг пишет снова 512 кб


<конФИГ!>

добавлено через 18 минут

Цитата:

Сообщение от Alex Dark

Решил немного облагородить свой winrouter
Имею две группы людей. Одним можно ходить в инет другим нельзя. Настроил все работает.
Однако для тех кому нельзя выдается

Цитата:
Запрашиваемая страница не найдена. Обратитесь к администратору межсетевого экрана..

1. Убери нафиг запрет из Traffic policy
2. Создай файл со списком разрешённых сайтов (напр. c:\sites.html)
3. Сделай в HTTP Policy правило, запрещающее выбраным юзерам ходить в инет (в поле URL begins with пиши *). На вкладке Advanced надо задать Redirect to url на свой локальный файл со списком разрешённых сайтов (напр. file://c:\sites.html). Далее в HTTP Policy создай правило, разрешающее выбраным юзерам ходить по адресам из c:\sites.html и помести его на верх. В результате при запросе сайта НЕ из разрешённых сработает запрещающее правило, юзер увидит файл c:\sites.html и при запросе любой ссылки из этого файла сработает разрешающее правило и всё будет ОК.

[Alex Dark]

Цитата:

Сообщение от baron386

На вкладке Advanced надо задать Redirect to url на свой локальный файл со списком разрешённых сайтов (напр. file://c:\sites.html).

это все я уже пробовал. проблема в том что при наборе строки file://c:\sites.html наклонная черточка \ не пишется а если ее не ставить то выходит стандартное сообщение "Невозможно отобразить..."
знать бы где лежит "Обратитесь к администратору" дописал-бы туда для начала

[Cartman]

Alex Dark, Вроде как тут: Kerio\WinRoute Firewall\weblang\ файлы с расширением res.

[Alex Dark]

Cartman да это здесь. Но только в DEF. Но эксперименты результата не дали. При изменении стандартных записей керио подсовывает по английски фразу "чего то там не то..."

[baron386]

Цитата:

Сообщение от Alex Dark

проблема в том что при наборе строки file://c:\sites.html наклонная черточка \ не пишется

сорри, ошибочка вышла. у меня на компе написано так: file://c:/sites.html(file:// ставить обязательно и слэш в пути к файлу такой: / ). Это проверено при работе с компа на котором установлен winroute, возможно по сети придётся расшаривать папку с файлом sites.html и псать что-то вроде file://server/share/sites.html

[Alex Dark]

baron386 респект
заработало. папку расшарить пришлось - факт.

[PulseDiver]

че то странное со статистикой творится.
почему когда в правиле NAT включены сервисы HTTP, POP и тд то пользователи ломятся без всяких настроек прокси в броузерах.
это понятно - для этого НАТ и нужен, но вот не понятно почему не считается статистика по каждому юзеру, а прибавляется только к тому, на ком стоит Firewall.
обязательная авторизация стоит у пользователей, пользователи прописаны. статистика для каждого пользователя тоже стоит галка.
когда ставлю в броузере адрес прокси сервера, то все нормально статистика начинает считаться по пользователям.

это глюк или так и должно быть?
т.е если я хочу считать статистику каждого пользователя, то мне нужно POP, HTTP, HTTPS, ICQ и тд. отключить в правиле NAT тем самым пускать их чз прокси?
KWF 6.3.1.2027

[baron386]

Цитата:

Сообщение от PulseDiver

не понятно почему не считается статистика по каждому юзеру, а прибавляется только к тому, на ком стоит Firewall.

Скорее всего в правиле для NAT прописаны только интерфейсы (а не имена юзеров). Но чтобы подробнее ответить, пожалуйста свои Traffic policy - в студию!

У меня это выглядит так:
0.JPG
и идёт статистика по каждому пользователю.