WinRoute - все вопросы и ответы здесь - Сети - Страница 54

18.05.2002, 17:48

В этом топике задаём все вопросы касательно Kerio Winroute а также отвечаем на них, кроме вопросов "где взять программу", "где взять лекарство от жадности для программы", "как сломать" и т.д., для которых создан специальный топик в варезном разделе!

Как настраивать винроут для работы с eMule, DC++ и прочими расказано тут.

07.02.2006, 14:42

Как мне проверить что впн туннель на Керио поднялся и работает.
Пробовал связать 2 офиса, не получилось: туннель с обоих сторон Connected, на обоих концах добавил туннели в правило Local Trafic (сервисы ANY), пинги не ходят шары не видно, сам шлюз с другого конца пинговался, а подсети нет.

Вопрос такой есть 2 компа, у каждого по 2 сетевухи.
Как мне их соединить и какие настройки указать, если я хочу между ними ВПН туннель сделать.

Хочу проверить работает ли туннель вообще, ибо асе старания сделать такое через Инет не увенчались успехом.

Еще на винроуте ставлю NAT, а не прокси - возможно это имеет значение для настройки.

TARANTULA · 07.02.2006, 22:15

Уменя такой ошибка

[07/Feb/2006 17:58:00] (2001) WebAdmin interface is disabled, unable to redirect to it as required by HTTP rule.

Я же не исполюваю wеб интерфеис???

Borland · 09.02.2006, 23:48

Цитата:

TARANTULA:
Я же не исполюваю wеб интерфеис???

Правильно, не используешь.
Сообщение гласит "ВебАдмин интерфейс отключён. Не могу переадресовать на ВебАдмин, что требуется согласно ХТТП-правила".
В одном из правил для трафика прописано, что при выполнении определённого условия (скажем, обращении к запрещённому сайту) идёт переадресация на (отключённый) ВА-интерфейс. Так что - вноси изменения в правило либо открывай интерфейс.

Black_NAiL · 10.02.2006, 01:03

Гхм. или я туплю, или одно из двух...
сервак, винроут 6.08, два интерфейса, одни смотрит во внешнюю локалку и через него поднят vpn-сеанс с провом(инет)... второй смотрит во внутреннюю небольшую сеточку.
сделал группу "ban", туда занес несколько диапазонов айпишников... а-ля 192.168.3.ххх; 192.168.4.ххх и т.д. Просто с этих адресов постоянный портскан идет из локалки.
В правилах создал правило - дропать все пакеты с исходящим адресом из группы "ban".
Так вот, в в status - hosts/users висят постоянно 3-4 чужих айпишника... из этой группы. И четыре моих родных юзера, не из этой группы, а из моей внутренней локалки.
Где грабли? и как запретить чужим коннектиться к моему винроуту? В логах видно, что пакеты добросовестно дропаются, но соединение-то есть, хоть ис нулевым трафом.
И еще вопрос - в чем разница между drop и deny? чегото разницы не замечаю.

Ascetic · 10.02.2006, 19:27

Дано:

комп WinXP SP2 + KWF 6.1.3
Спутниковый интернет:
исходящий канал - GPRS
Входящее - по VPN (после соединения с GPRS)

Соединение без керио происходит без проблем - сначала коннект к GPRS, затем к VPN прова спутникового инета и все пучком.

Вопрос:

Как раздать спутниковый инет в локалку с помощью KWF и оптимально настроить соединение со спутником (максимально автоматизировать)?

14.02.2006, 17:40

Hi All!
Имеется Winroute 6.xx
На админа забыт пароль, т.к. давно настраивался
Реально как-то его найти/взламать, чтобы можно было без переустановки обойтись?
Спасибо!

Oaxa · 15.02.2006, 08:14

Цитата:

Сообщение от alexcom

Hi All!
На админа забыт пароль, т.к. давно настраивался
Реально как-то его найти/взламать, чтобы можно было без переустановки обойтись?

Kerio Knowledgebase

qerst · 15.02.2006, 10:07

В новой версии так и не решили проблему глюков со статистикой! Простой пример: отключаешь пользователя 1, а его IP присваиваешь пользователю 2 - трафик бежит на отключенного 1! Пришлось опять откатится к версии 6.0.11!
Удачи!

15.02.2006, 10:43

вопрос такой, кто и какую прогу использует для подсчета траффика в керио 6.0.11

trimel · 15.02.2006, 11:09

boss47 , kerio сам считает траффик , загляни в status->statistic .

knack · 21.02.2006, 16:44

как c помощью керио можно реализовать DMZ?

Cartman · 21.02.2006, 16:58

Цитата:

knack:
DMZ

Не понял, расшифруй...

knack · 21.02.2006, 17:06

я сам только сегодня узнал что такой термин существует.

Демилитаризированная Зона (DMZ).
"Обычно это участок сети, где сосредотачиваются сервера предоставляющие
сервис для внешних и для внутренних пользователей (одновременно).

Создается (обычно) на дополнительном интерфейсе файрвола, политика
безопасности для доступа с наружи к DMZ делается слабее (понятно, раз там
хоть какие-нибудь сервисы предоставлены) чем для доступа снаружи к
внутренней сети (или вообще это запрещается).

Политика безопасности для доступа из DMZ к внутренней сети обычно тоже
жесткая.

Из внутренней сети к DMZ - только доступ необходимый для получения
необходимых сервисов, и возможности настройки.
Идея - нарушение защиты, получение доступа к DMZ затруднено, но даже при
удачном стечении обстоятельств нарушение работы внутренней сети невозможно
(еще более трудная задача).

Таких зон может быть несколько со своими политиками безопастности
относительно друг друга."
netware.nwsoft.ru

вот ссылки по термину:
http://www.webopedia.com/TERM/D/DMZ.html
http://compnetworking.about.com/cs/n.../bldef_dmz.htm

Вобщем смысл такой, что это такая схема при которой хосты находятся за фаерволом но видны из и-нета по своим ip. Меня не то что безопасноть интересует а скорее правила маршрутизации. Я эту же тему поднял в топе по маршрутизации с помощью винды. Но пока токового ответа там не получил. Есть идеи?

Cartman · 21.02.2006, 17:15

knack, примерно понял... Разрулить политику сети естевственно надо не средствами винроута, он тут не поможет. А вот создать какой нибудь сервис на сервере в локалке - так это запросто.
По аналогии с пиринговыми клиентами. Ссылка в шапке.

knack · 21.02.2006, 17:45

да но будет всё идти через 1 ip и тяжело настроить мапинг, т.к. сервайсов оочень много. тут и шлюз Ip телефонии, корпоративный портал, мои там всякие админские приложения, ftp сервер, сервер терминалов, прочтовик наконец. Т.е. неудобно это.
Я вообще поставил третию сетевуху на комп с винрутам и подсеть дал для хостов которые должны быть видны из и-нета. они нормально видят, а их из и-нета ессесно нет, т.к. маршрутизацию не настраивал. С чем и придётся повозится ближайшие пару дней.

23.02.2006, 11:45

Может уже обсуждалось, но я не нашел
Всё работает на ура, но:
1. Если в сеть лезешь через вся сеть->сеть микрософт-> и т.д. то педалит жутко (отключаешь файервол - сеть летает). Если набрать просто \\имя компа, то всё ок! Вывод тормозит сетевое окружение, а не сама сеть.

2. Всегда тормозят сетевые принтеры, подключенные к машине на win98 (например "shep") просто от них то есть ответ, то нету. При ожидании ответа от принтера если выполнить \\shep то сразу же ответ от принтера идёт. Отключил лог на правила локалки отклик от принтеров стал значительно быстрее.

WinRoute у меня 6.1.3.789 WinXpSp2
Подключение к инету по протоколу PPPoE через сетевую.
Проблема только с машиной на которой стоит KWF.

В Traffic Policy стоит
от меня на локалку any
от локалки ко мне any

Подскажите как решить?

Cartman · 23.02.2006, 14:55

Правило лакального трафика на самый верх в правилах или в winroute.cfg ищи firewallexclude, ищи сетевую которая в локалку смотрит и там ставь 1 вместо 0.

knack · 25.02.2006, 12:50

такая странная пробелема. Керио мапит юзеров из AD если указать контроллер домена. если не указать - не находит.
Далее при первом варианте, всё идёт окей и можно просмотреть всех юзеров из ад, тобишь всё ок. Пытаешься аутентифицирвоаться через вэб интерфейс - керио не принимает никакие аккаунты кроме тех которые в его локальной базе.

В чём может быть загвоздка?

Btw раньше всё работало, перенёс керио на другой сервер. Точнее удалил и поставил на другом заново и вот такая вот фигня.
керио 6.1.4patch2

Cartman · 26.02.2006, 11:31

knack, а ты импорт юзеров то сделал?
Импорт надо делать обязательно, просто там разные виды аутентификации будут. Заведенные в ручную через Локальную базу. Из домена через NT/Kerberos.

26.02.2006, 12:30

У меня 2 траблы.

1. Нужно забанить сайты по словам в тексте страниц. Я создал правило:

URL begins with *
allow access

На вкладке "Content rules" поставил галку "Deny web pages containing forbidden words".

Такая фильтрация предпочтительней, тк бан по словам в адресе в большинстве случаев не эффективен. Но получилось так, что из-за этого правила перестали действовать правила перекрывающие сайты по словам в адресе. Хотелось бы, чтобы фильтрация была двойная: и по словам в тексте сайтов, и по словам в адресе. Кроме того, керио не реагирует на бан русских слов в тексте сайтов. Это нормально?

2. Странно работает аутентификация. Правила доступа в Инет в нашей локальной сети нужно разграничить для разных юзеров. Импортировал AD, поставил всем свои правила. Как я понимаю, при входе в систему юзер автоматом логится в браузере. Но вот какой сюрприз приготовил керио. Я вошёл как привелегерованный юзер. Посидел в Инете. Вышел из учётки. Вошёл в систему как обычный юзер, запустил браузер и ... спокойно пошёл по запрещённым для этой учётки сайтам, cкачивал все файлы. Получается керио не фиксирует выход пользователя из учётки пока он сам не загрузит страницу выхода из системы в браузере. А зачем тогда импортировать AD?

В общем, кто что-то знает по указанным проблемам, отзовитесь!

07.02.2006, 22:15	# 1062
TARANTULA Junior Member Регистрация: 22.02.2005 Адрес: 192.168.0.3 Сообщения: 125	Уменя такой ошибка [07/Feb/2006 17:58:00] (2001) WebAdmin interface is disabled, unable to redirect to it as required by HTTP rule. Я же не исполюваю wеб интерфеис??? __________________ I know nothing except the fact of my ignorance

15.02.2006, 11:09	# 1070
trimel Full Member Регистрация: 30.08.2004 Адрес: Новосибирск Сообщения: 3 146	boss47 , kerio сам считает траффик , загляни в status->statistic . __________________ Если эта надпись уменьшается - ваш монитор уносят.

21.02.2006, 17:15	# 1074
Cartman Migel Mod Volos Регистрация: 09.09.2003 Адрес: МПЛ-в почетной д Сообщения: 7 486	knack, примерно понял... Разрулить политику сети естевственно надо не средствами винроута, он тут не поможет. А вот создать какой нибудь сервис на сервере в локалке - так это запросто. По аналогии с пиринговыми клиентами. Ссылка в шапке. __________________ Все "спасибы" - в приват и в репутацию! не засоряйте форум!!!! © Plague Небьющаяся игрушка - это игрушка, которой ребенок может разбить все свои остальные игрушки. IMHO - отдых в Анапе

23.02.2006, 14:55	# 1077
Cartman Migel Mod Volos Регистрация: 09.09.2003 Адрес: МПЛ-в почетной д Сообщения: 7 486	Правило лакального трафика на самый верх в правилах или в winroute.cfg ищи firewallexclude, ищи сетевую которая в локалку смотрит и там ставь 1 вместо 0. __________________ Все "спасибы" - в приват и в репутацию! не засоряйте форум!!!! © Plague Небьющаяся игрушка - это игрушка, которой ребенок может разбить все свои остальные игрушки. IMHO - отдых в Анапе

25.02.2006, 12:50	# 1078
knack Junior Member Регистрация: 07.02.2005 Сообщения: 101	такая странная пробелема. Керио мапит юзеров из AD если указать контроллер домена. если не указать - не находит. Далее при первом варианте, всё идёт окей и можно просмотреть всех юзеров из ад, тобишь всё ок. Пытаешься аутентифицирвоаться через вэб интерфейс - керио не принимает никакие аккаунты кроме тех которые в его локальной базе. В чём может быть загвоздка? Btw раньше всё работало, перенёс керио на другой сервер. Точнее удалил и поставил на другом заново и вот такая вот фигня. керио 6.1.4patch2 Последний раз редактировалось knack; 25.02.2006 в 12:53.

18.05.2002, 17:48	# 1
666 Guest Сообщения: n/a	WinRoute - все вопросы и ответы здесь В этом топике задаём все вопросы касательно Kerio Winroute а также отвечаем на них, кроме вопросов "где взять программу", "где взять лекарство от жадности для программы", "как сломать" и т.д., для которых создан специальный топик в варезном разделе! Как настраивать винроут для работы с eMule, DC++ и прочими расказано тут. Последний раз редактировалось FantomIL; 30.11.2005 в 15:25.

07.02.2006, 14:42	# 1061
dreel Guest Сообщения: n/a	Как мне проверить что впн туннель на Керио поднялся и работает. Пробовал связать 2 офиса, не получилось: туннель с обоих сторон Connected, на обоих концах добавил туннели в правило Local Trafic (сервисы ANY), пинги не ходят шары не видно, сам шлюз с другого конца пинговался, а подсети нет. Вопрос такой есть 2 компа, у каждого по 2 сетевухи. Как мне их соединить и какие настройки указать, если я хочу между ними ВПН туннель сделать. Хочу проверить работает ли туннель вообще, ибо асе старания сделать такое через Инет не увенчались успехом. Еще на винроуте ставлю NAT, а не прокси - возможно это имеет значение для настройки.

10.02.2006, 01:03	# 1064
Black_NAiL Папараций Регистрация: 25.04.2003 Сообщения: 806	Гхм. или я туплю, или одно из двух... сервак, винроут 6.08, два интерфейса, одни смотрит во внешнюю локалку и через него поднят vpn-сеанс с провом(инет)... второй смотрит во внутреннюю небольшую сеточку. сделал группу "ban", туда занес несколько диапазонов айпишников... а-ля 192.168.3.ххх; 192.168.4.ххх и т.д. Просто с этих адресов постоянный портскан идет из локалки. В правилах создал правило - дропать все пакеты с исходящим адресом из группы "ban". Так вот, в в status - hosts/users висят постоянно 3-4 чужих айпишника... из этой группы. И четыре моих родных юзера, не из этой группы, а из моей внутренней локалки. Где грабли? и как запретить чужим коннектиться к моему винроуту? В логах видно, что пакеты добросовестно дропаются, но соединение-то есть, хоть ис нулевым трафом. И еще вопрос - в чем разница между drop и deny? чегото разницы не замечаю.

10.02.2006, 19:27	# 1065
Ascetic Отшельник Регистрация: 14.01.2005 Адрес: 1637м. Байкал Пол: Male Сообщения: 630	Дано: комп WinXP SP2 + KWF 6.1.3 Спутниковый интернет: исходящий канал - GPRS Входящее - по VPN (после соединения с GPRS) Соединение без керио происходит без проблем - сначала коннект к GPRS, затем к VPN прова спутникового инета и все пучком. Вопрос: Как раздать спутниковый инет в локалку с помощью KWF и оптимально настроить соединение со спутником (максимально автоматизировать)?

14.02.2006, 17:40	# 1066
alexcom Guest Сообщения: n/a	Hi All! Имеется Winroute 6.xx На админа забыт пароль, т.к. давно настраивался Реально как-то его найти/взламать, чтобы можно было без переустановки обойтись? Спасибо!

15.02.2006, 10:07	# 1068
qerst Full Member Регистрация: 28.09.2002 Адрес: Москва Сообщения: 1 419	В новой версии так и не решили проблему глюков со статистикой! Простой пример: отключаешь пользователя 1, а его IP присваиваешь пользователю 2 - трафик бежит на отключенного 1! Пришлось опять откатится к версии 6.0.11! Удачи!

15.02.2006, 10:43	# 1069
boss47 Guest Сообщения: n/a	вопрос такой, кто и какую прогу использует для подсчета траффика в керио 6.0.11

21.02.2006, 16:44	# 1071
knack Junior Member Регистрация: 07.02.2005 Сообщения: 101	как c помощью керио можно реализовать DMZ?

21.02.2006, 17:06	# 1073
knack Junior Member Регистрация: 07.02.2005 Сообщения: 101	я сам только сегодня узнал что такой термин существует. Демилитаризированная Зона (DMZ). "Обычно это участок сети, где сосредотачиваются сервера предоставляющие сервис для внешних и для внутренних пользователей (одновременно). Создается (обычно) на дополнительном интерфейсе файрвола, политика безопасности для доступа с наружи к DMZ делается слабее (понятно, раз там хоть какие-нибудь сервисы предоставлены) чем для доступа снаружи к внутренней сети (или вообще это запрещается). Политика безопасности для доступа из DMZ к внутренней сети обычно тоже жесткая. Из внутренней сети к DMZ - только доступ необходимый для получения необходимых сервисов, и возможности настройки. Идея - нарушение защиты, получение доступа к DMZ затруднено, но даже при удачном стечении обстоятельств нарушение работы внутренней сети невозможно (еще более трудная задача). Таких зон может быть несколько со своими политиками безопастности относительно друг друга." netware.nwsoft.ru вот ссылки по термину: http://www.webopedia.com/TERM/D/DMZ.html http://compnetworking.about.com/cs/n.../bldef_dmz.htm Вобщем смысл такой, что это такая схема при которой хосты находятся за фаерволом но видны из и-нета по своим ip. Меня не то что безопасноть интересует а скорее правила маршрутизации. Я эту же тему поднял в топе по маршрутизации с помощью винды. Но пока токового ответа там не получил. Есть идеи?

21.02.2006, 17:45	# 1075
knack Junior Member Регистрация: 07.02.2005 Сообщения: 101	да но будет всё идти через 1 ip и тяжело настроить мапинг, т.к. сервайсов оочень много. тут и шлюз Ip телефонии, корпоративный портал, мои там всякие админские приложения, ftp сервер, сервер терминалов, прочтовик наконец. Т.е. неудобно это. Я вообще поставил третию сетевуху на комп с винрутам и подсеть дал для хостов которые должны быть видны из и-нета. они нормально видят, а их из и-нета ессесно нет, т.к. маршрутизацию не настраивал. С чем и придётся повозится ближайшие пару дней.

23.02.2006, 11:45	# 1076
Glance Guest Сообщения: n/a	Может уже обсуждалось, но я не нашел Всё работает на ура, но: 1. Если в сеть лезешь через вся сеть->сеть микрософт-> и т.д. то педалит жутко (отключаешь файервол - сеть летает). Если набрать просто \\имя компа, то всё ок! Вывод тормозит сетевое окружение, а не сама сеть. 2. Всегда тормозят сетевые принтеры, подключенные к машине на win98 (например "shep") просто от них то есть ответ, то нету. При ожидании ответа от принтера если выполнить \\shep то сразу же ответ от принтера идёт. Отключил лог на правила локалки отклик от принтеров стал значительно быстрее. WinRoute у меня 6.1.3.789 WinXpSp2 Подключение к инету по протоколу PPPoE через сетевую. Проблема только с машиной на которой стоит KWF. В Traffic Policy стоит от меня на локалку any от локалки ко мне any Подскажите как решить?

26.02.2006, 11:31	# 1079
Cartman Migel Mod Volos Регистрация: 09.09.2003 Адрес: МПЛ-в почетной д Сообщения: 7 486	knack, а ты импорт юзеров то сделал? Импорт надо делать обязательно, просто там разные виды аутентификации будут. Заведенные в ручную через Локальную базу. Из домена через NT/Kerberos. __________________ Все "спасибы" - в приват и в репутацию! не засоряйте форум!!!! © Plague Небьющаяся игрушка - это игрушка, которой ребенок может разбить все свои остальные игрушки. IMHO - отдых в Анапе

26.02.2006, 12:30	# 1080
columra Guest Сообщения: n/a	У меня 2 траблы. 1. Нужно забанить сайты по словам в тексте страниц. Я создал правило: URL begins with * allow access На вкладке "Content rules" поставил галку "Deny web pages containing forbidden words". Такая фильтрация предпочтительней, тк бан по словам в адресе в большинстве случаев не эффективен. Но получилось так, что из-за этого правила перестали действовать правила перекрывающие сайты по словам в адресе. Хотелось бы, чтобы фильтрация была двойная: и по словам в тексте сайтов, и по словам в адресе. Кроме того, керио не реагирует на бан русских слов в тексте сайтов. Это нормально? 2. Странно работает аутентификация. Правила доступа в Инет в нашей локальной сети нужно разграничить для разных юзеров. Импортировал AD, поставил всем свои правила. Как я понимаю, при входе в систему юзер автоматом логится в браузере. Но вот какой сюрприз приготовил керио. Я вошёл как привелегерованный юзер. Посидел в Инете. Вышел из учётки. Вошёл в систему как обычный юзер, запустил браузер и ... спокойно пошёл по запрещённым для этой учётки сайтам, cкачивал все файлы. Получается керио не фиксирует выход пользователя из учётки пока он сам не загрузит страницу выхода из системы в браузере. А зачем тогда импортировать AD? В общем, кто что-то знает по указанным проблемам, отзовитесь!