WinRoute - все вопросы и ответы здесь

В этом топике задаём все вопросы касательно Kerio Winroute а также отвечаем на них, кроме вопросов "где взять программу", "где взять лекарство от жадности для программы", "как сломать" и т.д., для которых создан специальный топик в варезном разделе!

Как настраивать винроут для работы с eMule, DC++ и прочими расказано тут.

[DeeZ]

сделал. но сам не понял как.
добавл в Use custom fwrd следующее:
*mrim* do not forward
mra.mail.ru do not forward
mrim*.mail.ru do not forward
mrim.mail.ru do not forward

в host добаивл
127.0.0.1 mra.mail.ru

заработало после того как на локлаьных машинах сделал ipconfig /flushdns

и собственно вопрос. а что именно заработало? лишнее удалить чтобы.

[werwulf]

DeeZ, если вы экспериментальным путем настроии правила, то почему не хотите экспериментальным же путем отсечь лишние?
Где у вас DNS то , в этом весь корень зла.
ipconfig /flushdns очистили кэш на локальных машинах, все IP они брали по новому с DNS сервера.
host 127.0.0.1 mra.mail.ru завернули трафик на mra.mail.ru на себя.
Остальное не передаватьь запрос на DNS запросы на указанные адреса, к основному DNS серверу.
Из этих данных я думаю, вы поймете, что вы сделали уже, а если натянете на свою конфигурацию сети то получите истину, я вижу минимум 2 лишних правила максимум 3-4 в зависимости от того, хотели ли вы оставить возможность скачивать агента с мра.меил.ру и вашей конфигурации

[DeeZ]

Цитата:

Сообщение от werwulf

DeeZ, если вы экспериментальным путем настроии правила, то почему не хотите экспериментальным же путем отсечь лишние?

надеелся на опыт тех кто уже закрывал этот IM. да и опытным путем это надо агента запускать. девчонки уже поняли что он не работет и выключили. придти и попросить его снова запустить, чтобы я мог его запретить - глупо). сам сижу через джабер. качать ради этого агента очень не хочется. у меня очень неприятные воспоминание с ним связаны. первые майлагенты были хуже вирусов. они устанавливались при регистрации на почте и их было трудно удалить. они сами себя востанавливали опять. при этом единсвтеной функцией было уведомление о новой почте.
с тех пор ненавижу его. и даже желания нет его устанавливать.
(хотя и подключен транспорт mrim.jabber )

Цитата:

Сообщение от werwulf

Где у вас DNS то , в этом весь корень зла.

DNS у провайдера. у меня лиш форвардер.

Цитата:

Сообщение от werwulf

ipconfig /flushdns очистили кэш на локальных машинах, все IP они брали по новому с DNS сервера.

знаю.

Цитата:

Сообщение от werwulf

host 127.0.0.1 mra.mail.ru завернули трафик на mra.mail.ru на себя.

знаю.

Цитата:

Сообщение от werwulf

Остальное не передаватьь запрос на DNS запросы на указанные адреса, к основному DNS серверу.

знаю

Цитата:

Сообщение от werwulf

Из этих данных я думаю, вы поймете, что вы сделали уже, а если натянете на свою конфигурацию сети то получите истину, я вижу минимум 2 лишних правила максимум 3-4 в зависимости от того, хотели ли вы оставить возможность скачивать агента с мра.меил.ру и вашей конфигурации

и скачивать тоже запретить надо.
просто интересно как он конетится. отправляет запрос на mrim.mail.ru или mra.mail.ru ? от куда он получает на какой из mrimXX.mail.ru серверов цепляться?

[werwulf]

Цитата:

Сообщение от DeeZ

и скачивать тоже запретить надо.
просто интересно как он конетится. отправляет запрос на mrim.mail.ru или mra.mail.ru ? от куда он получает на какой из mrimXX.mail.ru серверов цепляться?

Описание протокола есть здесь http://agent.mail.ru/protocol.html
Судя по нему достаточно не форвардить mrim.mail.ru ну и mra.mail.ru, чтоб не качали

Cartman, люди,а помоги пожалуйста!

Почему машина с керио не пингуеться из внутренней сети?

Настройки сетевых интерфейсов:

Внутренний:
192.168.1.250 - ИП
255.255.255.0 - маска
192.168.1.250 - гетевей
днс не указан

Внешний:
192.168.103.2 - ИП
255.255.255.0 - маска
192.168.103.10 - гетевей (это маршрутизатор CISCO ASA 5505, он обеспечивает связь с главным офисом по защищенному ВПН тунелю, в нем забит наш внешний ИП и он напрямую подключен в АДСЛ модему, настроенному в режиме прозрачного моста)
192.168.1.250 - ДНС1
195.5.45.12 - основной ДНС провайдера

Так вот, сервер из внутренней сети не пингуеться!
На самом сервере в нет вийти без проблем, если отключить Керио!

Подскажите пожалуйста, где ошибка?
Заранее благодарен...
з.ы. адреса образные

[DeeZ]

запусти мастер. настрой по мастеру.
потом подредактируеш под свою сеть.
мастер удалит все существующие правила и создаст новые.

чтобы были пинги нужно правило
local - firewall - ping - allow

на интерфейсе смотрящем в локалку укажи только ip и маску. шлюз не нужен.
а вот на машинах для которых этот комп шлюз - указыйвай его ip и как dns и как шлюз. если конечно днс сервера\форвардер не используется другой (отличный от шлюза)

Ты был прав!
Убрал гетевей с внутреннего интерфейса - заработало!

А помгите еще пожалуйста!

Как должно выглядеть правило для разрешения подключения через удаленный рабочий стол из одной подсети в другую?
Сервер обе подсети видит!

[DeeZ]

firewall-(Local1,Local2) - TCP:3389 (или сервис RDP) - allow

[Cartman]

Цитата:

Сообщение от DeeZ

firewall-(Local1,Local2) - TCP:3389 (или сервис RDP) - allow

Не думаю, что этого будет достаточно. Надо еще в Routing Table будет что-то прописывать. Только не знаю что

[DeeZ]

Цитата:

Сообщение от Cartman

Не думаю, что этого будет достаточно. Надо еще в Routing Table будет что-то прописывать. Только не знаю что

как я понял нужно с "машины с керио" ходить в эти 2 подсети. тогда ничего прописыватьне надо. т.е. шлюз и так смотрит в эти 2 подсети.
если все таки из сети 1 в сеть 2 через шлюз то правило должно выглядеть так:
(как я понимаю мы все еще про тот же сервер говорим. из сообщения от 04.12.2007 14:27)

(Внутренний,Внешний)-(Внутренний,Внешний)- TCP:3389 (или сервис RDP) - allow


а в роутинге прописать:
route add 192.168.103.0 mask 255.255.255.0 192.168.103.10

или 103.2 , проверить экспериментально

Привет! Вопрос легкий. Пытались настроить Керио + utorrent. Один раз получилось вроде,индикатор в клиенте стал зеленым,проверка порта показала,что все открыто. Потом пришлось переустановить Керио и теперь почему то не получается открыть порт опять. Сразу скажу,причина закрытог опорта только в Керио, так как IP белый и без Керио все гуд. Странно вроде и настройки те же. Вот скриншот:

http://i3.tinypic.com/8f451qb.jpg

Может подскажет кто.....Спасибо.

[Cartman]

Alexandra5, клиент торрента на той же машине что и винроут стоит?
Если да - попробуй мапить на 127.0.0.1

Уважаемые, пожалуйста, помогите решить проблему.
Вопрос следующие:
1) Есть 2 тачки. 1-я подключена в локальную сеть и через эту сеть в интернет (соединение через сетевуху, ip - 10.0.2.128) 2 -я в сети с первой по wifi (ip 1-й тачки 192.168.0.1. , 2-й тачки 192.168.0.2). На 2-й тачке стоит сервер Контр Страйк. Задача, чтобы игроки при коннекте указывали ip 1-й тачки в локальной сети (т.е. 10.0.2.128) но при этом соединялись со 2-й тачкой. На 1-й тачке стоит KWF 6.2.3 build 2027. Ставлю переадресацию всех запросов из локальной сети, порт 27015 (порт сервера Контр Стайк) на 192.168.0.2 (ip 2-й тачки) т.е. Source - Локальная сеть (не wifi, а локальная) -> Destination - Firewall - > Service - TCP/UDP 27015 -> Translation - MAP 192.168.0.2
Результат нулевой. Когда кто-то пытается коннектится, то я вижу в Status-Host/Users, что идет коннект от клиента на такой то порт и происходит маппинг, но при этом idle time 6-7 минут и в реале на сервер Контр Страйк никто не коннектится, даже нет никаких признаков, что кто-то пытается зайти.
В чем проблема ?
2) При работе KWF на 1-й тачке и жеоании поиграть на 1-й тачке в контру (сервера в интернете) дико возростает пинг на сервера. Реально выростает минимум на 100 мс, а в среднем пинг поднимается на 200-300 мс со скачками до 2000 мс. Неужели KWF так тормозит весь процесс ?
Естественно при этом в правилах указано, что Firewall имеет полный доступ в инет.

Прошу Вашей помощи. Перечитать всю тему KWF ниасилил. По поиску не нашел решения моей проблемы. Если я плохо искал и кто-то знает где есть ответ, пожалуйста, подскажите. Заранее благодарен.

[Borland]

Cool Cat,
TCP Ports
27030-27039
UDP Ports
1200,27000-27015
(_http://www.gameconfig.co.uk/showdetail.asp?id=11)

TCP Ports
27020-27039
UDP Ports
1200,27000-27015
(_http://portforward.com/cports.htm)

[DeeZ]

есть 3 сервера:

(..52.129)Пров.шлюз1---(..52.130)мой шлюз1(192.168.110.1)---пользователь1
(..52.133)Пров.шлюз2---(..52.134мой шлюз2(192.168.111.1)---пользователь2
(..52.137)пров.шлюз3---(..52.138мой шлюз3(192.168.112.1)---пользователь3

я хочу выкинуть "Мой шлюз 2 и 3" нет смысла держать в сети 3 шлюза.

для этого я присваиваю сетевкуе смотрящей в локалку 3 ip (..110.1; ..111.1; ..112.1). сетевке смотрящей в инет тоже 3 ip (..52.130; ..52.134; ..52.148). прописывают 3 шлюза на этой же сетевке (..52.131; ..52.133; ..52.137).

таким образом всю сеть пеернастраивать не надо. просто выключаем 2 и 3 сервер. а клиенты при обращении к привычным шлюзам будет попадать на мой шлюз1 (т.к. у него 3 ip).
­
теперь вопрос. как всех из локальной подсети ..110.0 отправлять на шлюз провайдера ..52.129, при этом подменять адрес на ..52.130. из ..111.0 на ..52.133 (..52.134), а из ..112.0 на ..52.137 (..52.138) ?

­стоит керио )
­там в роутинге добавил 3 маршрута.

192.168.110.0 mask 255.255.255.0 gate 91.81.52.129 metrik 1
192.168.111.0 mask 255.255.255.0 gate 91.81.52.133 metrik 1
192.168.112.0 mask 255.255.255.0 gate 91.81.52.137 metrik 1

будет работать как я хочу?
стоит удалить маршрут поумолчанию 0.0.0.0 255.255.0.0 ..52.137 ?

т..о.нужно чтобы я своей 1 сетевкой смотрел в 3 подсети у провайдера и лазил по трем шлюзам. а вот какого пользователя на какой шлюз отправлять это надо накстроить.

нужно разделять т.к. это разные юридические лица и счета разные.

у меня еще родилась идея.
кода создаем правило в керио там есть (и ее включаеш) функция NAT.

но так же есть возможность не дефолтового ната а прописать. т.е. чтобы пакеты по этому правилу передавалсиь на интерфейс inet при этом ip будет транслироваться (подменяться) на соответсвуюий ip.

если поставить "транслит то ip" и прописать нужный для данной подсети (..52.130 для ..110.0;..52.134 для ..111.0;..52.138 для ..112.0). пакет пойдет на интерфейс inet и по нату ip транслируется на нужный. остается указать нужный шлюз. как?

PS: вариант с 3 сетевками крайний. хотелось бы прогармно это решить.

[Cartman]

Цитата:

Сообщение от DeeZ

если поставить "транслит то ip" и прописать нужный для данной подсети (..52.130 для ..110.0;..52.134 для ..111.0;..52.138 для ..112.0). пакет пойдет на интерфейс inet и по нату ip транслируется на нужный. остается указать нужный шлюз. как?

Роутинги имхо на фик не нужны. Создай 3 правила nat. Соурс ip 192.168.110.0 dest - куда у тебя там инет подключен, в смысле интерфейс с инетом, в nat укажи не дефолтный гетвей, а ip адрес, в нижней части оставь все как есть, т.е. не транслировать.

[DeeZ]

Цитата:

Сообщение от Cartman

Роутинги имхо на фик не нужны. Создай 3 правила nat. Соурс ip 192.168.110.0 dest - куда у тебя там инет подключен, в смысле интерфейс с инетом, в nat укажи не дефолтный гетвей, а ip адрес, в нижней части оставь все как есть, т.е. не транслировать.

а шлюзы? как он выберет нужный шлюз? ведь не на свой шлюз провайдер меня не пустит.

т.е. на шлюз ..52.129 с ip ..52.138 не зайти. не даст ни байта )

[Cartman]

Цитата:

Сообщение от DeeZ

как он выберет нужный шлюз?

Цитата:

Сообщение от Cartman

укажи не дефолтный гетвей, а ip адрес

Я имел ввиду ip адрес шлюза, на который должен ходить ip указанный в соурсе.

[DeeZ]

Цитата:

Сообщение от Cartman

Я имел ввиду ip адрес шлюза, на который должен ходить ip указанный в соурсе.

вобещм геморой все это. будет время еще поэксперементирую. пока сделал все на 3 сетевках.