WinRoute - все вопросы и ответы здесь

В этом топике задаём все вопросы касательно Kerio Winroute а также отвечаем на них, кроме вопросов "где взять программу", "где взять лекарство от жадности для программы", "как сломать" и т.д., для которых создан специальный топик в варезном разделе!

Как настраивать винроут для работы с eMule, DC++ и прочими расказано тут.

[Cartman]

lolkin, включи обязательную аутентификацию.
Галка что-то вроде Always require users to be authenticated...

NoKawaii, не знаю, я на 6.4 пока не собираюсь переходить.

[lolkin]

cartman, было включено и включено сейчас.

без изменений

[Cartman]

lolkin, а сколько всего компов?
У твоего админа случайно не прописан IP? В смысле в настройке юзера последняя закладка, там можно жестко привязать юзера к IP.

[kasper2007]

Всем доброго времени суток!
А подскажите пожалуйста, как должно выглядеть правило, если нужно определенному ИП внутренней сети открыть доступ к определенному ИП снаружи на определенный порт?

Как я понял:
sourse - внутренний ИП, кому нужно
destination - внешний ИП, куда нужно
service - порт, на какой нужно
И включить трансляцию по дефолту

Это так у меня!
Так работает, но очень редко!

Что не так?
Помогите пожалуйста!

[DeeZ]

Почему ProxyInspector считает не правильно трафик от Керио? показывает в 2 раза больше?
провайдер показывает 2'410'212'046


WR Spy показывает 1'610'521'958
Proxy Inspector 4'355'071'637
Internet Access mon 5'153'960'755


WR Spy еще можно понять почему так показывает. не учитывает он ничего кроме http
но вот что показывают остальные? есть подозрения что считают они 2 раза потому что считают файлы еще и из кэша. хотя в IA стоит не читсать кэш

[kasper2007]

Всем доброго времени суток!

Добрые люди, помогите пожалуйста решить такую проблемму:

Сегодня, директор захотел увидеть статистику посещения сайтов пользователями за ноябрь месяц, причем на листе бумаги!
Стоит Kerio WinRoute Firewall 6.2.1 build 1454

Подскажите пожалуйста, какой программой это можно сделать?

[kasper2007]

Насчет Proxy Inspector:

Причин может быть несколько:
провайдер считает трафик на интерфейсе, а WinRoute трафик протоколов HTTP, TCP/UDP, FTP итд., то есть не учитываются длины заголовков пакетов IP/TCP/UDP. Расхождение по этой причине зависит от MTU(Maximum Transfer Unit - для Ethernet размер сетевого кадра) и может достигать 5-10%
WinRoute считает только входящий трафик
ваш провайдер считает 1000 байт в Кб а ProxyInspector по умолчанию 1024 байт в Кб, это можно настраивать - База | Настройки программы | Отчеты | Формат информации о трафике
трафик в обход HTTP прокси и почтового серверов WinRoute

[Black_NAiL]

kasper2007, лог грузишь в эксель и делаешь сводную таблицу.

[kasper2007]

Я знаю, что всех уже достал, но все же!

Вопрос: А как можно ограничить скорость входящего трафика для определенного пользователя?

Заранее благодарен!

добавлено через 1 минуту

Цитата:

Сообщение от Black_NAiL

kasper2007, лог грузишь в эксель и делаешь сводную таблицу.

Спасибо, неплохое решение!
Я уже этот... Прокси Инспектор поставил. Неплохая весчь...

[kasper2007]

Цитата:

Сообщение от kasper2007

А вот возник еще один вопрос:

Почему Вин Роут пускает всех в интернет, даже тех кто не прописан в пользователях и в группе ИП адресов не числиться?

Цитата:

Сообщение от Cartman

kasper2007, Users, Autenrhication options, Always requrie users...

Было это давно, спасибо Картману!
Но вот возник опять вопрос:
У меня создана группа ИП алресов, из которой можно пусктать юзверей, а в логах все под одним юзером идут! Почему?

[DeeZ]

Цитата:

Сообщение от kasper2007

Насчет Proxy Inspector:

Причин может быть несколько:
провайдер считает трафик на интерфейсе, а WinRoute трафик протоколов HTTP, TCP/UDP, FTP итд., то есть не учитываются длины заголовков пакетов IP/TCP/UDP. Расхождение по этой причине зависит от MTU(Maximum Transfer Unit - для Ethernet размер сетевого кадра) и может достигать 5-10%
WinRoute считает только входящий трафик
ваш провайдер считает 1000 байт в Кб а ProxyInspector по умолчанию 1024 байт в Кб, это можно настраивать - База | Настройки программы | Отчеты | Формат информации о трафике
трафик в обход HTTP прокси и почтового серверов WinRoute

В том то и дело что я спросил что они считают. считается только входящий на интерфейсе. весь. статистика выдается в байтах (т.е. 1000 или 1024 не имеет значения.см сообщение. пров показывает 2'410'212'046)

перепробывал кучу всяких прог. как видно из сравнения они выдают кардинально разные цифры. в 2, а то и в 2.5 раза больше чем провайдер.
очень большой трафик идет не по 80, 8080 портам а по придуманым портам (от датчиков навигации). KWF показывает его в разделе "прочий трафик". но считает.
выключил часть логов (были подозрение что он считает по 2 раза, т.к. пакеты удовлетворяют 2 правилам иногда. знаю что пакет обрабатывается до первого вхождения, но... приходится танцевать с бубном. ) посмотрим что будет в это месяце

[Black_NAiL]

Цитата:

Сообщение от kasper2007

У меня создана группа ИП алресов, из которой можно пусктать юзверей, а в логах все под одним юзером идут! Почему?

потому, что нужно включить авторизацию. Хотя бы по IP.

[kasper2007]

Спасибо большое этому форуму за помощь!
Во многих вещах уже начал сам разбираться, благодаря вашей помощи!

А вто есть еще такой вопрос:
Как можно смаскировать ИП адреса внутренней сети?
То есть, есть две сети 192.168.х.1/255 и 192.168.у.1/255
Так вот как сделать, чтобы х - сеть на самом деле быда другой? То есть, как заставить Керио менять это разряд (допустим с 1 на 103) при попытке связи с удаленной сетью! После ВинРоута стоит маршрутизатор, настроенный на х - сеть!

[Cartman]

Цитата:

Сообщение от kasper2007

После ВинРоута стоит маршрутизатор, настроенный на х - сеть!

Маршрутеризатор не должен видеть с какого адреса сделан запрос. Он будет видеть только ip машины с винроутом. Так вот интересно какая конфигурация сети и tcp/ip на этой машине?

[kasper2007]

Конфигурация сети обычная!
Две сетевые карты:
1. 192.168.х1.х2 (образно) - смотрит внутрь
2. Вторая 192.168.у1.у2 (образно) - смотрит на модем (по идее, должна будет смортеть на маршрутизатор)
в качевтсве шлюза указан адрес модема
3. Модем настроен со вчерашнего дня в режиме прозрачного моста.

[DeeZ]

вопрос. у меня 3 сервера. я на 1 настроил (пол часа потратил) запреты на скачивание exe, музыки, видео. позакрывал все IM месенджеры (все через http правила).
как теперь перенести все это велиолепие на другие 2 сервера? тыкать мышкой уже надоело

[Alex Dark]

Цитата:

Сообщение от DeeZ

как теперь перенести все это велиолепие на другие 2 сервера? тыкать мышкой уже надоело

1 - тупое копирование winroute.cfg (возможны очень серьезные последствия)
2 - Копирование нужных тебе разделов из winroute.cfg

winroute.cfg имеет структуру xml
делай с него копию открывай редактором, дальше разберешься надеюсь

Не забудь сделать резервную копию

[Cartman]

Цитата:

Сообщение от kasper2007

Вторая 192.168.у1.у2

Твой маршрутелиратор будет видеть что все запросы идет с этого адреса.

[kasper2007]

Получаеться что да!
Жаль...
А на програмном уровне можно как то сделать маршрутиризацию (не ставя апаратный маршрутизатор, на основе Крио), то есть транслировать адреса из одной сети в другую?
Вариант ипользования ВПН тунеля не подходит, поскольку на другом конце не Керио.

[DeeZ]

как запретить майил агента? он соединяется по 443 (https) порту. закрыть порт нельзя. бухгалтерии нужен. через http правила (запрет на mrim* ) не получается. потому что порт другой.
как то можно это сделать?