WinRoute - все вопросы и ответы здесь

В этом топике задаём все вопросы касательно Kerio Winroute а также отвечаем на них, кроме вопросов "где взять программу", "где взять лекарство от жадности для программы", "как сломать" и т.д., для которых создан специальный топик в варезном разделе!

Как настраивать винроут для работы с eMule, DC++ и прочими расказано тут.

[Cartman]

Цитата:

Сообщение от qerst

а как заставить фильтровать в самом WinRoute определенных людей (IP)?

Смотри на предыдущей странице.

[greenboot]

есть проблема с https и icq
все ок с сервера, но в клиентов не работает, причем icq не работает именно не официальные клиенты ( объясните каким должно бьть правило чтобы работал qip порт там 5190

[GnuS]

Цитата:

Сообщение от greenboot

есть проблема с https и icq
все ок с сервера, но в клиентов не работает, причем icq не работает именно не официальные клиенты ( объясните каким должно бьть правило чтобы работал qip порт там 5190

Может нат неправельно настроен.

А вообще хотелось бы поподробнее, что за сеть, список правил на фаерволе.

[greenboot]

Сеть: 5 машин, адреса: 192.168.0.5-192.168.0.9
сервак: 2 сетевухи (внешняя смотрящая в инет и внутренняя 192.168.0.1)
шлюз и днс на клиентах 192.168.0.1, на серверной сетевухе только адрес и маска.
Суть в том, что нужно держать открытыми 2000 и 3000 порты, дать возможность работать через QIP и https
настроена прокся на: 3128 и если указать ее в настройках браузера и QIP то все работает ок: и qip и https.
Остались вопросы:

0) можно либез прокси сделать при помощи правил (каких?) доступной работу QIP и HTTPS

1) если я хочу сделать клиентам открытые порты 2000 и 3000, то как должно выглядеть правило? (local net) -to- (firewall) or (internet)?
ЗЫ: на файерволе все работает ок

2) если делаю в сервисах any, это подразумевает любой? то есть к примеру подразумевает ли это открытие 2000 и 3000 портов?

3) dial-in, эта фича создается автоматически, но зачем она нужна?

[Cartman]

Цитата:

Сообщение от greenboot

можно либез прокси сделать при помощи правил (каких?) доступной работу QIP и HTTPS

В Traffic Policy в правилах NAT и Firewall Traffic в сервисах должны присутствовать порты 5190 и 443. Для нормальной работы HTTPS в сервисах для этого протокола отключа Protocol Inspector. Хотя иногда у неродных клинетов возникают проблемы при работе через NAT.

Цитата:

Сообщение от greenboot

если я хочу сделать клиентам открытые порты 2000 и 3000, то как должно выглядеть правило? (local net) -to- (firewall) or (internet)?

Добавляй порты в правилах NAT и Firewall Traffic.

Цитата:

Сообщение от greenboot

если делаю в сервисах any, это подразумевает любой? то есть к примеру подразумевает ли это открытие 2000 и 3000 портов?

Да.

Цитата:

Сообщение от greenboot

dial-in, эта фича создается автоматически, но зачем она нужна?

Чтобы пользователи которые конектятся по модему могли входить в сеть и пользоваться интернетом. Зачастую нафик не нужно.

[greenboot]

"В Traffic Policy в правилах NAT и Firewall Traffic в сервисах должны присутствовать порты 5190 и 443. Для нормальной работы HTTPS в сервисах для этого протокола отключа Protocol Inspector."

ок, это означает что должно присутствовать 2 правила в которых разрешить порты:

1) из локальной сети в файервол
2) из файервола в интернет

или нужно правило из локальной сети в интернет? хочу понять суть кто куда стучится. Локалка стучится в файервол и тут отдельное правило, а потом уже файервол сам стучится в нет и там другое правило, так?

[Cartman]

Сделай скрин правил, так проще будет...

[GnuS]

Цитата:

Сообщение от greenboot

ок, это означает что должно присутствовать 2 правила в которых разрешить порты:

1) из локальной сети в файервол
2) из файервола в интернет

или нужно правило из локальной сети в интернет? хочу понять суть кто куда стучится. Локалка стучится в файервол и тут отдельное правило, а потом уже файервол сам стучится в нет и там другое правило, так?

Нужно одно правило:
Комп с керио работает как шлюз он получает пакеты из локальной сети и отправляет их наружу.
Если настроен нат, то происходит следующее: шлюз получает пакет и смотрит от кого он пришел (соответственно в правиле - источник -- лвс), затем он смотрит куда направлен (соответственно в правиле - получатель -- внешний интерфейс) и ко всему этому надо применять NAT, то бишь трансляцию адресов.
Ну примерно так, если не получиться разобраться покажи скриншот, так понятней будет в чем проблема.

[Alex Dark]

Не прошла еще неделя как поставил себе керио. С хелпером в руке и горячим желанием вроде немного стал понимать что и как, однако прошу разъяснений. Хочется удостовериться правильно я понимаю это правило
1 - Называется NAT,
2 - работает для локальных компьютеров
3 - выходящих в интернет
4 - по протоколам (по списку)
5 - Активно
6 - отображать в логе пакеты и соединения (не включено)
7 - работает перенаправление по умолчанию на внешний интерфейс. То есто в инет

[Cartman]

Alex Dark, ну в общем да, все верно. А какие проблемы?

[Alex Dark]

Цитата:

Сообщение от Cartman

А какие проблемы?

Проблемма в том что она английская и новое это поприще для меня

Если я создал правило
Source: Internet
Destination: Firewall
Service: TCP4901
Translation: MAP 192.168.???.???:4899
оно должно открывать доступ из инета при обращении на порт 4901 к компу 192.168.???.???:4899 для rAdmin, или по русски При подключении из инета на порт 4901подключать rAdmin на указанный комп локальной сети

или же
Source: Internet
Destination: Firewall
Service: rAdmin4900 (описано в сервисах протокол TCP Protokol inspector:NONE Source port 4900, Destination Port 4899)
Translation: MAP 192.168.???.???:4899
так же должно открывать доступ из инета при обращении на порт 4900 к компу 192.168.???.???:4899 для rAdmin

Если это все правильно, то почему нет доступа

Не понял в Логах->filter запись

Код:

01/Feb/2007 01:57:36] DROP malformed IP packet from Internet, proto:17, len:328, ip:0.0.0.0 -> 83.143.65.5, plen:308

[Cartman]

Alex Dark, для открытия порта из вне импоьлзуется именно MAP. Сверху должно стоять No Translation, снизу, Translate to.

[Mozart_mcs]

в результате пользования Kerio DHCP, его падения и дальнейшего подключения DHCP на другой машине - в итоге имею, куча IP адресов не такие как раньше, пользователей слишком много, чтобы опять вручную настраивать IP адреса. Как разграничить, чтобы через шлюз все смогли нормально в нет выходить? Как сделать аутентификацию без участия IP адреса?

на скринах
1) Настройки аутентификации юзеров
2) Маппинг
3) Настройки юзера.
Вопрос: как правильно сделать?

[Cartman]

Mozart_mcs, поиск рулит:
http://www.imho.ws/showpost.php?p=13...postcount=1406

[greenboot]

Я еще поизвращался, ввиду всего вышесказанного )



правая часть



может не нужны какие то из правил, я особенно запрещать там ничего не хочу

[GnuS]

Цитата:

Сообщение от greenboot

Я еще поизвращался, ввиду всего вышесказанного )

По идее первые два правила вообще не нужны, потому что 5-м разрешены все соединения.
И с 3-м правилом, что-то непонятно, получается что на шлюзе у тебя Айсикью сервер. Причем если даже так, все равно в правиле Локал траффик все соединения разрешены

[greenboot]

мне необходимо избавиться от необходимости использовать проксю для qip и https и также для 2000 и 3000 портов, ради которых собственно и были написаны 3 верхних правила (возможно криво).
и еще момент, прокся не нужна если отключить слежение?

[Cartman]

Цитата:

Сообщение от greenboot

ради которых собственно и были написаны 3 верхних правила

А ты хочешь сказать, что без них не работает?

Цитата:

Сообщение от greenboot

прокся не нужна если отключить слежение?

Не понял что ты имеешь ввиду... Какое слежение?

[greenboot]

я хочу сказать что их я написал в целях чтобы заработало без прокси сервера, ИМХО они ни на что не влияют

слежение: protocol inspector

[Cartman]

Цитата:

Сообщение от greenboot

слежение: protocol inspector

Он смотрит за протоколом, т.е. за удаленным портом. С прокси это никак не всязано.