WinRoute - все вопросы и ответы здесь

В этом топике задаём все вопросы касательно Kerio Winroute а также отвечаем на них, кроме вопросов "где взять программу", "где взять лекарство от жадности для программы", "как сломать" и т.д., для которых создан специальный топик в варезном разделе!

Как настраивать винроут для работы с eMule, DC++ и прочими расказано тут.

[~MAVr~]

Приветсвую всех!
Не могу настроить связку Jabber-сервера и Winroute 4.2.5
Шлюз имеет 2 ИП - Локальный 192.168.1.3 и внешний - 207.46.250.119
так в сети стоит jabber-сервер на машине 192.168.1.5
требуется обеспечить доступ жабер-сервера к другим серверам в инете и наоборот.
Правилами вроде все разрешил... но в логе выдается следующее:

Код:

WinRoute - Протокол безопасности

--------------------------------------------------------------------------------
Inet - 207.46.250.119
LocalJabber - 192.168.1.5 
--------------------------------------------------------------------------------
[28/Sep/2006 12:50:24] Packet filter: ACL 4:7 InterNet: permit packet out id=3010072 : TCP 192.168.1.5:3247 -> 213.180.203.19:5269 
[28/Sep/2006 12:50:24] Packet filter: ACL 3:15 InterNet: permit packet in id=3010073 : TCP 213.180.203.19:5269 -> 207.46.250.119:51907 
[28/Sep/2006 12:50:24] NAT: Detected TCP packet which has no entry in the NAT table. The following line contains suspicious packet dump: 
[28/Sep/2006 12:50:24] NAT: + proto:TCP, len:60, ip+port:213.180.203.19:5269 -> 207.46.250.119:51907, flags: RST , seq:2381199843 ack:0, win:0, tcplen:0 
[28/Sep/2006 12:50:24] Packet filter: ACL 3:15 InterNet: permit packet in id=3010074 : TCP 213.180.203.19:5269 -> 207.46.250.119:51908 
[28/Sep/2006 12:50:24] Packet filter: ACL 3:15 InterNet: permit packet in id=3010076 : TCP 213.180.203.19:5269 -> 207.46.250.119:51908 
[28/Sep/2006 12:50:24] Packet filter: ACL 4:7 InterNet: permit packet out id=3010079 : TCP 192.168.1.5:3247 -> 213.180.203.19:5269 
[28/Sep/2006 12:50:25] Packet filter: ACL 3:15 InterNet: permit packet in id=3010080 : TCP 213.180.203.19:5269 -> 207.46.250.119:51908 
[28/Sep/2006 12:50:44] Packet filter: ACL 4:7 InterNet: permit packet out id=3010281 : TCP 192.168.1.5:3247 -> 213.180.203.19:5269 
[28/Sep/2006 12:50:44] Packet filter: ACL 4:7 InterNet: permit packet out id=3010282 : TCP 192.168.1.5:3247 -> 213.180.203.19:5269 
[28/Sep/2006 12:50:44] Packet filter: ACL 4:7 InterNet: permit packet out id=3010284 : TCP 192.168.1.5:3248 -> 213.180.203.19:5269 
[28/Sep/2006 12:50:44] Packet filter: ACL 3:15 InterNet: permit packet in id=3010285 : TCP 213.180.203.19:5269 -> 207.46.250.119:51908 
[28/Sep/2006 12:50:44] Packet filter: ACL 3:15 InterNet: permit packet in id=3010287 : TCP 213.180.203.19:5269 -> 207.46.250.119:51908 
[28/Sep/2006 12:50:44] Packet filter: ACL 4:7 InterNet: permit packet out id=3010290 : TCP 192.168.1.5:3247 -> 213.180.203.19:5269 
[28/Sep/2006 12:50:44] Packet filter: ACL 3:15 InterNet: permit packet in id=3010291 : TCP 213.180.203.19:5269 -> 207.46.250.119:51908 
[28/Sep/2006 12:50:44] Packet filter: ACL 3:15 InterNet: permit packet in id=3010293 : TCP 213.180.203.19:5269 -> 207.46.250.119:51911 
[28/Sep/2006 12:50:44] Packet filter: ACL 4:7 InterNet: permit packet out id=3010296 : TCP 192.168.1.5:3248 -> 213.180.203.19:5269 
[28/Sep/2006 12:50:44] Packet filter: ACL 4:7 InterNet: permit packet out id=3010298 : TCP 192.168.1.5:3248 -> 213.180.203.19:5269 
[28/Sep/2006 12:50:45] Packet filter: ACL 3:15 InterNet: permit packet in id=3010299 : TCP 213.180.203.19:5269 -> 207.46.250.119:51911 
[28/Sep/2006 12:50:45] Packet filter: ACL 3:15 InterNet: permit packet in id=3010301 : TCP 213.180.203.19:5269 -> 207.46.250.119:51911 
[28/Sep/2006 12:50:45] Packet filter: ACL 4:7 InterNet: permit packet out id=3010304 : TCP 192.168.1.5:3248 -> 213.180.203.19:5269 
[28/Sep/2006 12:50:45] Packet filter: ACL 3:15 InterNet: permit packet in id=3010305 : TCP 213.180.203.19:5269 -> 207.46.250.119:51911 
[28/Sep/2006 12:50:45] Packet filter: ACL 4:7 InterNet: permit packet out id=3010308 : TCP 192.168.1.5:3248 -> 213.180.203.19:5269 
[28/Sep/2006 12:50:45] Packet filter: ACL 4:7 InterNet: permit packet out id=3010311 : TCP 192.168.1.5:3248 -> 213.180.203.19:5269 
[28/Sep/2006 12:50:45] Packet filter: ACL 4:7 InterNet: permit packet out id=3010312 : TCP 192.168.1.5:3248 -> 213.180.203.19:5269 
[28/Sep/2006 12:50:45] Packet filter: ACL 4:7 InterNet: permit packet out id=3010314 : TCP 192.168.1.5:3249 -> 213.180.203.19:5269 
[28/Sep/2006 12:50:45] Packet filter: ACL 3:15 InterNet: permit packet in id=3010315 : TCP 213.180.203.19:5269 -> 207.46.250.119:51911 
[28/Sep/2006 12:50:45] Packet filter: ACL 3:15 InterNet: permit packet in id=3010317 : TCP 213.180.203.19:5269 -> 207.46.250.119:51911 
[28/Sep/2006 12:50:45] Packet filter: ACL 3:15 InterNet: permit packet in id=3010319 : TCP 213.180.203.19:5269 -> 207.46.250.119:51911 
[28/Sep/2006 12:50:45] NAT: Detected TCP packet which has no entry in the NAT table. The following line contains suspicious packet dump: 
[28/Sep/2006 12:50:45] NAT: + proto:TCP, len:60, ip+port:213.180.203.19:5269 -> 207.46.250.119:51911, flags: RST , seq:2405767469 ack:0, win:0, tcplen:0 
[28/Sep/2006 12:50:45] Packet filter: ACL 3:15 InterNet: permit packet in id=3010320 : TCP 213.180.203.19:5269 -> 207.46.250.119:51911 
[28/Sep/2006 12:50:45] NAT: Detected TCP packet which has no entry in the NAT table. The following line contains suspicious packet dump: 
[28/Sep/2006 12:50:45] NAT: + proto:TCP, len:60, ip+port:213.180.203.19:5269 -> 207.46.250.119:51911, flags: RST , seq:2405767469 ack:0, win:0, tcplen:0 
[28/Sep/2006 12:50:45] Packet filter: ACL 3:15 InterNet: permit packet in id=3010321 : TCP 213.180.203.19:5269 -> 207.46.250.119:51912 
[28/Sep/2006 12:50:45] Packet filter: ACL 4:7 InterNet: permit packet out id=3010324 : TCP 192.168.1.5:3249 -> 213.180.203.19:5269 
[28/Sep/2006 12:50:45] Packet filter: ACL 4:7 InterNet: permit packet out id=3010326 : TCP 192.168.1.5:3249 -> 213.180.203.19:5269 
[28/Sep/2006 12:50:48] Packet filter: ACL 4:7 InterNet: permit packet out id=3010398 : TCP 192.168.1.5:3249 -> 213.180.203.19:5269 
[28/Sep/2006 12:50:48] Packet filter: ACL 3:15 InterNet: permit packet in id=3010399 : TCP 213.180.203.19:5269 -> 207.46.250.119:51912 
[28/Sep/2006 12:50:48] Packet filter: ACL 3:15 InterNet: permit packet in id=3010401 : TCP 213.180.203.19:5269 -> 207.46.250.119:51912 
[28/Sep/2006 12:50:48] Packet filter: ACL 4:7 InterNet: permit packet out id=3010404 : TCP 192.168.1.5:3249 -> 213.180.203.19:5269

Кроме правил доступа был настроен порт-маппинг:
входящий Inet:5269 перенаправить на LocalJabber:5269
Подскажите пожалуйста как разрулить данную ситуацию.

[Cartman]

~MAVr~, а почему просто не использовать NAT ?

[~MAVr~]

Что это значит?
У меня включен нат на Интет-интерфейсе
Может быть я что-то не так понял? ...поясните свою мысль, дайте более детальное описание

[Cartman]

~MAVr~, ну а тогда зачем заморачиваться еще с портмаппингом? Прописывай шлюз и юзай джабера. У меня работал без проблем, правда на 5-ом и 6-ом винроуте, без добавления дополнительных правил.

[~MAVr~]

Цитата:

Cartman:
Прописывай шлюз и юзай джабера

Нет, здесь ты не прав... шлюз у меня прописан... причем на всех машинах... но вот KWR считает ходящие через него пакеты ошибочными и режет их... об этом свидетельстуют строки в логе:

Код:

[28/Sep/2006 12:50:24] NAT: Detected TCP packet which has no entry in the NAT table. The following line contains suspicious packet dump: 
[28/Sep/2006 12:50:24] NAT: + proto:TCP, len:60, ip+port:213.180.203.19:5269 -> 207.46.250.119:51907, flags: RST , seq:2381199843 ack:0, win:0, tcplen:0

если нужна более детальная информация о настройке KWR - спрашивайте

Еще раз хочу напомнить что мне нужно разрешить локальному JABBER-СЕРВЕРУ работать с внешними объектами, а не локальному юзеру дать возможность подключиться клиентом к внешнему жаба-серверу

[Cartman]

А, ну тогда в принципе все правильно. Нужен портмаппинг на адрес где у тебя поднят сервер. Только по моему не TCP, а UDP должны быть пакеты. А лучше и то и то.

[~MAVr~]

Цитата:

Сообщение от Cartman

А лучше и то и то.

Нет, там используются только TCP-пакеты... но для чистоты эксперимента открыл и UDP - результат тот же
Нет, тут надо каким-то образом обойти или отключить саму защиту преобразования адресов

[oXyd]

Прошу помощи в правильной настройке WinRoute, а именно routing table, так как самому не осилить.

Имеется сервер Win2k3, раздающий интернет в локальную сеть. Имеет два внешних IP, прописанных в двух разных сетевых карточках, и одну сетевую для локалки.
1. Сетевая карточка Inet, с прописанным внешним IP (80.80.80.80 - вымышленный) и шлюзом (80.80.80.79), используется для доступа локальных пользователей в интернет. Маска - 255.255.255.252
2. Сетевая карточка Mail, с прописанным внешним IP (90.90.90.90) и без шлюза (иначе винда начинает ругаться). Шлюз - 90.90.90.89. Используется для почтового домена. Маска - 255.255.255.252
3. Сетевая карточка LAN - 192.168.2.1, локальная сеть. Маска сети 255.255.255.0

Необходимо настроить routing table в WinRoute (либо в Windows, как лучше?), для того, чтобы заставить работать MAIL. Правила по умолчанию позволяют лишь отправлять почту, но не принимать (теряется из-за отсутствия шлюза насколько понимаю).
LAN должен получать доступ в инет через Inet, но не через Mail. Также, желательно, чтобы LAN отправлял почту непосредственно через MAIL. Но если невозможно - то получал доступ через INET к MAIL.

Моих знаний любителя не хватает. Заранее благодарю.

[KakA]

а можно чёнидь для того чтобы прикрутить nod32 к винроуту ? Я на сайте нода искал по слову kerio нашёл только ссылки для почтового сервера, да и в шапке ничего нету.
Хоть в приват иль на мыло можно ссылку ?

нашёл тут

[Cartman]

KakA, на самом деле инасталятор плагина НОДа для KWF и KMS абсолютно одинаков. Там по моему только пути поменять надо...
А вот ссылки спрашиваем в другом разделе...

[Mozart_mcs]

Отключил учетную запись Admin - теперь не могу зайти чтобы администрировать
Вообще - может и не отключил, точно не помню...
Помню точно, что список пользователей настраивал с Active Directory.
Теперь при вводе имени пользователя и пароля - ругается Authentication Filed.....

[Cartman]

Mozart_mcs, сноси все cfg файлы в папке винроута (только останови его предварительно) и настраивай по новой. Ну или просто переставь. Все мои попытки сменить пасс для пользователя напрямую в users.cfg не увенчались успехом.

[Alexz]

Комрады, может кто-нибудь оказать квалифицированную помощь в настройке Winroute? Задача такова:

1. Есть сервак - win 2003 server
2. Есть сеть 65 человек (одноранговая сеть, без домена, просто рабочая группа)
3. Необходимо настроить ВПН-маршрутизацию, то есть, чтобы модем отдавал траф на сервак, ну а сервак соответственно в сеть. Задолбали последнее время все эти атаки, жизни нет ваще...

Буду рад квалифицированному совету. RTFM - не предлагать, читаю уже.

[Cartman]

Alexz, я не пойму, зачем в этой схеме нужен VPN... Тебе обязательно нужно шифрование трафика?

[Alexz]

Что значит зачем нужен VPN? А каким образом происходит фильтрация VPN-соединения, которое не на серваке устанавливается, а на пользовательской машине?

[FantomIL]

Alexz
Так у тебя пользователи ВПН удаленные или локальные?

[KakA]

а какая разница, настрой впн интерфейс как те надо и повтыкай все 65 компам впн клиент
и все дела
они окажутся все в одной сети

[Black_NAiL]

Alexz
не понял.
тебе надо шоп клиенты через VPN инет выгребали с сервака, или чтобы имеющееся VPN соединение с провом раздавалось через винроут в локалку?
Во втором случае достаточно винроутовского визарда, по-мойму.
А в первом - KakA тебе прально отоветовал.

ААА, кажется доперло.
Ты хочешь, чтобы все пользовательи напрямую с провом коннектились VPN. Так?
Тогда тебе надо поднять nat на серваке, на соединение с момедом.

[OneHero]

Привет народ
Ни кто не пробовал запускать winroute на x64?
У меня win2k3_srv Ent x64... winroute отказывается запускатся в эмуляции *32.
кто-нибудь уже сталкивался с подобной проблемой? неужели до сих пор нет х64 версии?

[Cartman]

OneHero, не будет он на x64 работать. Пока нет версии под это дело.