WinRoute - все вопросы и ответы здесь

В этом топике задаём все вопросы касательно Kerio Winroute а также отвечаем на них, кроме вопросов "где взять программу", "где взять лекарство от жадности для программы", "как сломать" и т.д., для которых создан специальный топик в варезном разделе!

Как настраивать винроут для работы с eMule, DC++ и прочими расказано тут.

[Cartman]

michaelV, тогда я ничего не понял. Ты хочешь чтоб из локалки люди смотрели на локальные ресурсы и не считался трафик? Так он и не будет считаться.
Если не то - опиши подробнее структуру сети и что откуда не должно считаться.

хм...короче, всё строится по принципу: Есть машинка (он же сервак) висящая в домовой сетке (сеть назовем EXTERNAL LAN). В этой сети весит много совершенно бесплатных ресурсов, назовем их FREE RESOURCE.
За этим серваком прячатся еще несколько машин. Они образуют INTERNAL LAN.
Фактически КЕРИО обеспечивает экран на машине смотрящую одним концом в EXTERNAL LAN. А вторым концом во INTERNAL LAN. Естественно на этом псевдо-серваке поднят VPN для выхода в глобал Интернет.

Теперь еще разок задача:
Нужно, что юзвери из INTERNAL LAN коннектились без УЧЕТА траффика в EXTERNAL LAN на FREE RESOURCE. В тоже время при запросе какого-нить www.yandex.ru, происходит вызов VPN, далее вылет в GLOBAL INTERNET и срабатывание квоты на траффик.


Вроде так,

[Cartman]

Добавь подсети INTERNAL LAN и EXTERNAL LAN в правило local traffic. Единственное, что если связь между ними идет через vpn - то ничего не получится имхо.

так правило:

Local Traffic
------------
источник: INTERNAL LAN
потребитель: EXTERNAL LAN
порт: Any
*********************

Internal LAN -> VPN
------------
источник: INTERNAL LAN
потребитель: VPN Interface
порт: Any
NAT
*****************************

Для выхода из Firewall в Global Internet:

источник:Firewall
потребитель:VPN- Interface
порты:Any
*************************
А если я хочу, чтобы юзвери авторизировались для выхода в GLOBAL INTERNET, тогда включаю обязательную авторизацию и создаю правило:

Users -> Global Internet
-----------------------
источник: Authentication users
VPN Interface
порт: Any

Пробую лезть из INTERNAL LAN к FREE RESOURCE, тут же требует авторизацию и начинает считать траффик!

В чем может быть проблема?

[Cartman]

michaelV, короче смотри. Создаешь группы в Address Groups одна - это твои подсети, которые INTERNAL и EXTERNAL вторая все ip исключая эти группы. В Local traffic добавляешь группу с адресами INTERNAL и EXTERNAL, в firevall, nat и vpn другую.
Других вариантов не вижу.

[Cartman]

Внимание. В Kerio WinRoute Firewall версии до 6.1.3 обнаружена уязвимость.
Описание:
1. Уязвимость существует при обработке RTSP потоков от определенных RTSP серверов. Удаленный пользователь может вызвать отказ в обслуживании приложения.

2. Ошибка при обработке данных аутентификации может позволить злоумышленнику удачно авторизоваться в системе, даже если его учетная запись заблокирована.

Источник: _http://www.securitylab.ru/vulnerability/241973.php

Хм... прочитал, так уязвимость касается версии 6.1.3??
потому как далее написано:
"Решение: Установите последнюю версию (6.1.3) с сайта производителя."

Всё же какой выход? Пользоваться предыдущей 6.1.2??

[Cartman]

michaelV, видимо не внимательно читал...
В Kerio WinRoute Firewall версии до 6.1.3 обнаружена уязвимость.
Ключевое слово: до.
Вот по этому именно 6.1.3 и рекомендуется устанавливать.

[Smail]

Вопрос по учету трафика:

Есть ли возможность в WinRout не учитывать трафик с определенных адресов?
или это инпосебл тоисть если у пользователя выставлено ограничение на кол-во мегабайт в месяц.

Кажется это возможно, если включенная обязательная авторизация. У У меня получилось следующим образом:
В HTTP Policy создал первое правило с ресурсами, на которые нужно ходить без тарификации (указываю Any users=Do not require authetication). Alow access to the Web Site/
Главное поставить его самым верхним!!!
Остальные правила доступа через авторизацию.
Проверяю, действительно, на указаные в первом правиле ресурсы, авторизация не требуется, а значит траффик по юзерам не считается.

--
удачи,

[trimel]

Smail

В advanced options - > quota/statistic - > флажок enable per user statistic и флажок exclude IP address (группа адресов по которой не нужно учитывать трафик)

Цитата:

Сообщение от trimel

Smail

В advanced options - > quota/statistic - > флажок enable per user statistic и флажок exclude IP address (группа адресов по которой не нужно учитывать трафик)

Лично я пробовал, не помогло. ЛУчше попробовать совместить, с моим предложением. Всё же и неприятно, когда ходишь по "бесплатным ресурсам" и идет запрос авторизации.

[Smail]

to michaelV
Я не совсем корректно задал вопрос я использую NAT, а для обращения к "определенным адресам" используется не браузер. Но всеравно сенкс, мож пригодится в будущем .

to trimel
Вроде как работает также сенкс

[shiraza]

Цитата:

Vagabond:
Свойсвта VPN соединение таково что когда оно поднято все запросы будут посылатся через него на спутникого провайдера и как следствие весь трафик будет приходить через тарелку. А вот если тебе надо будет получать часть трафика через спутник, а часть по выделенке вот тут тогда будут сложности. Но это уже другой вопрос.

Можно тут поподробнее?
Этот VPN организуется софтом прова, так?
Тогда в керио должны быть правила, позволяющие NAT между интерфейсом выделенки и интерфейсом DVB карты и этим виртуальным интерфейсом, далее уже сам софт прова (это интерфейс VPN) разбирается, как отослать запрос и получить ответ.
Допустим, я хочу часть трафика пускать не через спутник. Например ICQ, игры, так как пинги через спутник значительно больше (кстати так ли это?). Каковы методы решения такой задачи? Может быть организовать еще один сетевой интерфейс (типа замыкания на себя) и маршрутизировать через него?
Интересуют только рабочие примеры решения подобных задач.

[Semchevsky]

Возможно, кто-то сталкивался и знает как побороть эту болячку - Сбой при запуске службы "Kerio WinRoute Firewall" из-за ошибки. Служба не ответила на запрос своевременно. Код ошибки 7000. Перед этим в журнале еще одна запись - Таймаут (30000 мс) ожидания для подключения службы Kerio WinRoute Firewall Код ошибки-7009. Поскажите советом, а то уже надоело его в ручную запускать.

[mrvain]

Люди подскажите плиз, есть ли возможность человеку со своей машины посмотреть, сколько он трафика израсходовал? VPN не используется.
У всех прописан ip компа с винроутом в качестве гейта.

[Oaxa]

Цитата:

mrvain:
есть ли возможность человеку со своей машины посмотреть, сколько он трафика израсходовал?

Проще всего, как мне кажется, через web-интерфейс. У меня это выглядит примерно так:
_http://kerio.myorg.ru:4080/fw/stat
Включается это дело в Configuration -> Advanced Options -> Web Interface / SSL-VPN

[Candyman]

Цитата:

Semchevsky:
Возможно, кто-то сталкивался и знает как побороть эту болячку - Сбой при запуске службы "Kerio WinRoute Firewall" из-за ошибки. Служба не ответила на запрос своевременно. Код ошибки 7000. Перед этим в журнале еще одна запись - Таймаут (30000 мс) ожидания для подключения службы Kerio WinRoute Firewall Код ошибки-7009. Поскажите советом, а то уже надоело его в ручную запускать.

Проверь лицензии. У меня такое было, когда WR был некорректно заломан - периодически валилась служба и приходилось запускать ручками. Тогда я вышел из положения следующим образом - нарыл программку ServiceChecker и она периодически проверяла службу WR и запускала ее, если та завалилась (если нужно - пиши, вышлю). Еще можно в свойствах службы указать, что делать при остановках - у меня везде стоит "Перезапустить".

[Semchevsky]

Candyman
В свойствах службы стоит "перезапустить". Меня интересует какое время там выставить. После запуска вручную можно запустить только минут через 3-5

[FantomIL]

Candyman
Твой последний пост удален. Предыдущий тоже несколько не соответствует правилам. Внимательно перечитай шапку топа.
Еще раз увижу малейший намек на варезные дела в этом разделе - приму меры. Намекаю: для обсуждений подобных вопросов есть ПМ и Аська.
Пока замечание.