WinRoute - все вопросы и ответы здесь

В этом топике задаём все вопросы касательно Kerio Winroute а также отвечаем на них, кроме вопросов "где взять программу", "где взять лекарство от жадности для программы", "как сломать" и т.д., для которых создан специальный топик в варезном разделе!

Как настраивать винроут для работы с eMule, DC++ и прочими расказано тут.

[Cartman]

Цитата:

TARANTULA:
что я должен делать?

Глюк протокол-инспектора. На каких-то вресиях https через нат практически не работал. Обходилось прописыванием прокси в браузере. Только не забудь прописать его как для http, так и для https.

[TARANTULA]

Cartman

Прокси я давно подписал а все равно не открывается.
На другом офисе стоит этот версии, там без проблем открывается https сайты.

[Booble]

Tracert показал забавную картину, tracert проходит до ya.ru по его IP, но никак по названию, и названий то в отчете нет никаких. Т.Е. клиенту доступ в интернет открыт, но Kerio не может видимо сопоставить IP и буквенный адрес (не знаю как это правильно называется), собственно вот эту проблему надо решить.

[Cartman]

А че ее решать? DNS в соединении пропиши и все заработает.

[Semchevsky]

TARANTULA
Я тебе советую по новой все правила создать с помощью мастера...Похоже, что у тебя какого-то правила просто нету ( И кажись нету для Firewall, это видно из твоего скрина). Создай все правила с помощью мастера, а потом впиши уже свои.

[ALexSft]

Ув. форумчане!
Подскажите, как можно задать лимит месячного траффика, ну скажем с 15 числа по 15 след.месяца с последующим обнулением статистики? (WinRoute6.1.4. patch2)

Была попытка поставить юзеру месячный лимит, создать нужное TimeRanges и правило в TrafficPolicy ValidON этому юзеру по данному временному интервалу. НЕ получилось. мыслю,скорее всего, не так...

Поиск в Сети не увенчался успехом (неужели такую задачу не рашал никто? )

дайте идейку, пожалуйста!
Не хотелось-бы же ради этого размениваться на WinGate или ИСу...

[Cartman]

ALexSft, месячный лимит задается с первого по последние число месяца. По другому никак.
Есть вариант (через одно место) - перевести дату на сервере на 15 дней вперед/назад.

[GexogeN]

Ребят, помогите с настройкой Kerio Winroute Firewall 5.1.0
Что имеем:
Комп, на котором стоит Win2k3 Ent, будет использоваться как прокси сервер для выхода юзеров в инет.
В компе стоит две сетевухи, одна смотрит в конторскую локалку, вторая смотрит в сторону провайдера. Инет от провайдера получаем путем подключения к VPN.
Что нужно:
1. Чтоб работал сам инет на конторских машинах
2. Чтоб работала аська
3. Чтоб работал скайп
4. Чтоб работала почта

Хочу сделать так:
Чтоб юзверей было две группы, одна ходит по страничкам инета, через аузентификацию (логин пароль) вторая ходит насквозь (напрямую)
Также чтоб аська, почта и скайп работали насквозь для всех юзверей.

Также есть вопросы:
1. Можно ли в керио делать ограничение по траффику конкретно юзеру или группе?
2. Можно ли вести статистику, кто куда лазил?
3. Можно ли видеть пользователей которые в данный момент подключены к инету?
4. Сильно ли сложно настроить это дело человеку (т.е. мне) не шибко разбирающемуся в данной софтине?
5. Можно ли блокировать определенные интернет ресурсы? сервисы?

Суть в чем, поставил юзергейт 4.0, меня он неудовлетворяет, так как не хочет работать корректно NAT приходится делать все через одно место.
Раньше стоял Red Hat linux в куче со сквидом, но опять же неудовлетворял тем, что статистика у него кривая, умные люди посоветовали юзергейт, когда поставил, еще более умные люди посоветовали поставить керио, так как юзергейт говорят "не очень"

Вот и прошу у знающих людей помощи

[Cartman]

Цитата:

GexogeN:
Чтоб юзверей было две группы, одна ходит по страничкам инета, через аузентификацию (логин пароль) вторая ходит насквозь (напрямую)

Это можно сделать только если есть контроллер домена. Т.е. одних пользователей импортируешь из домена для них тип аутентификации NT/Kerberos, других заводишь руками, у них аутентификация из внутренней базы.

Цитата:

GexogeN:
Можно ли в керио делать ограничение по траффику конкретно юзеру или группе?

Для пользователя да, для группы нет.

Цитата:

GexogeN:
Можно ли вести статистику, кто куда лазил?

Для "кто куда лазил" существует ProxyInspector. Вот только он учитывает только http траффик. Общую статистику можно посмотреть в самом винроуте по юзерам и протоколам, но кто куда лазил нет.

Цитата:

GexogeN:
Можно ли видеть пользователей которые в данный момент подключены к инету?

Да. В том числе можно принудительно отлогинить пользователя.

Цитата:

GexogeN:
Сильно ли сложно настроить это дело человеку (т.е. мне) не шибко разбирающемуся в данной софтине?

Ничего из ряда вон там нет. Все довольно понятно и легко настраивается. Если что - поможем.

Цитата:

GexogeN:
Можно ли блокировать определенные интернет ресурсы? сервисы?

Конечно.

[Black_NAiL]

блин, теперь и у меня некоторые сайты перестали открываться.
Елки палки. Стояло, работало год с лишком. Потом сменил провайдера и опа - с самого сервака открываются сайты, а с клиентских тачек - нет. При этом НИЧЕГО не менял я в настройках винроута

где ж еще копнуть...

[I_M_ZOOL]

Такая же фигня и у меня. Уже полгода мучаюсь, нифига справиться не могу.
Имхо это глюк самого винроута касающийся сайтов которые используют shttp. Есть мнение что этот косяк проявляется только на нелицензионных копиях. хз. Самое интересное и то что сильнее всего бесит, это то что некоторые машинки ходят по этим сайтам без проблем а некоторые никак.

[Ascetic]

Цитата:

Cartman:
Это можно сделать только если есть контроллер домена. Т.е. одних пользователей импортируешь из домена для них тип аутентификации NT/Kerberos, других заводишь руками, у них аутентификация из внутренней базы.

Если юзвери "привязаны" к компам, можно сделать автоматический логин по IP-адресу.

[GexogeN]

Вообщем поставил сие чудо, возникло уйма вопросов!
Инет работает на самом прокси, у юзверей не пашет ни чего
Даю описание настроек:
Внешняя сеть - сеть провайдера, через которую нам дают интернет по VPN
Внутренняя сеть - наша конторская сеть
Inet - само подключение к интернету по VPN

Сами правила:
1. ICMP трафик, Источник - Firewall, внутренняя сеть. Получатель - любой. Сервис - Ping. Действие - разрешить.
2. Мое правило для инета, Источник - Firewall, Внутренняя сеть, 198.162.1.1-198.162.1.255 (это айпишники внутренней сети). Получатель - Inet, Внешняя сеть. Сервис - любой, Действие - разрешить.
3. Cobion трафик, Источник - Firewall. Получатель - Любой. Сервис - HTTPS, TCP 6000.

Ну и стандартные правила, которые создает сам Kerio

Вообщем суть в чем вся, как сделать инет пользователям? Сделать аузентификацию пользователя по айпи, чтоб прокся смотрела на айпи и пропускала сразу насквозь, без доп. натроек в прогах? Причем пропускала любой сервис из внутренней сети, а из внешней сети ни кого не пускала.
Помогите с настройками, где чего вводить и как настраивать?

Да и еще, странность заметил, на самой проксе, странички сразу открываются, а на юзверском компе, секунд 15 ждет и потом только открывает, в чем могут быть грабли?

Вот снял скрины, на первом скрине, правила (влезли не все) вверху было правило для ping которое я описал выше, внизу стандартное правило, которое все запрещает. Вот собсно, больше ни где ни чего не трогал.

[Cartman]

Цитата:

GexogeN:
Инет работает на самом прокси, у юзверей не пашет ни чего

На юзерах в настройках tcp/ip прописал шлюз и dns?
В остальном у тебя все верно. Заводи юзеров, задавай им специфик ip. И все в общем-то...

[Mozart_mcs]

Уже несколько недель постоянно, каждые 2-3 секунды валит такая фигня..
Чувствую, что троян некий запущен.. Что мне делать с ним не прилоду ума. Антивирус, антитроян на всех компах..

В логах security следующее:

[02/Nov/2006 09:35:38] HTTP: Non-ASCII bytes detected in HTTP request: client: 10.0.0.46, server: 194.186.121.76
[02/Nov/2006 09:35:41] HTTP: Non-ASCII bytes detected in HTTP request: client: 10.0.0.34, server: 194.186.121.77
[02/Nov/2006 09:35:43] HTTP: Non-ASCII bytes detected in HTTP request: client: 10.0.0.58, server: 194.186.121.76
[02/Nov/2006 09:35:44] HTTP: Non-ASCII bytes detected in HTTP request: client: 10.0.0.46, server: 194.186.121.76

[I_M_ZOOL]

не обязательно вирусня, на скайп например так ругается бывает

[GexogeN]

Cartman в настройках сети прописан как шлюз и днс - прокся
В инет юзеры бегают через НЕ прозрачный прокси, т.е. в бровзере настройки ставятся под прокси, аська вообще отказывается работать не с настройками, не на прямую, почта тож не пашет никак ((

я так и не понял, как сделать аузентификацию по айпи? в настройках пользователя нашел только вот это:
Идентификация:
Внутренняя пользовательская база данных
Домен Windows NT
Kerberos 5
Radius Server
Больше ни чего не нашел

[Cartman]

Цитата:

GexogeN:
аська вообще отказывается работать не с настройками, не на прямую, почта тож не пашет никак

Значит с nat-ом беда какая-то. Попробуй в правиле nat в последней колонке всесто default outg. int. выбрать свою карту, которая в инет смотрит. И еще, в сетевой, которая в локалку смотрит не прописан ли шлюз? Винроут этого очень не любит.

[GexogeN]

Cartman в NAT всё так и стоит, в сетевой, которая в локалку смотрит шлюза нет, там вообще кроме айпишника и маски больше ничего нет. а пахать не хочет, только браузеры работают на настроках прокси (198.162.1.254:3128) напрямую никак не хочет ни чо работать

я так кстати и ненашел где юзера по айпишнику иденитифицировать

[Cartman]

GexogeN, посмотрел твои правила и ниче не понял. Че за русский фейс у винроута? Где в правилах колонка translation, лично мне интересно что у тебя там для nat-а прописано...