WinRoute - все вопросы и ответы здесь

В этом топике задаём все вопросы касательно Kerio Winroute а также отвечаем на них, кроме вопросов "где взять программу", "где взять лекарство от жадности для программы", "как сломать" и т.д., для которых создан специальный топик в варезном разделе!

Как настраивать винроут для работы с eMule, DC++ и прочими расказано тут.

[Borland]

Цитата:

Любопытный:
Обновления антивируса?

Похоже, что так. Во всяком случае, сайт принадлежит Network Associates Inc., производителю антивирусного модуся WR.

[qerst]

Ставил 9 версию, поверх 10 и теперь 11-ую! Все работает, претензий нет! Но понадобилось поменять Traffic Policy и тут начались интересные вещи! Запрещаю NAT для конкретного пользователя (192.168.105.10), а у него все одно - ВЕСЬ ТРАФИК идет (ну АСЯ то включается периодически, то отключается)!
В разделе Source указываю IP пользователя (такая же авторизация). А вот если добавить туда целую группу, то доступ сразу перекрывается! Что за байда! Причем правило запрета ставил выше правила разрешения!

Привет All!
А может ли winroute как то привязываться к пользователям, не только по IP, но и по id сетевой карточки, ну или еще как то? Т.е. задача, позволить каждому компьютеру работать только с одним своим ip, и блокировать трафик, если ip будет изменен на другой.

[qerst]

На какой другой? Если всех прописываешь и выдаешь разрешения! Можно, конечно и схитрить: пока другой комп выключен, поменять на его IP и накачать кучу всего. Не давать пользователям админские права и все - все настройки будут заблокированы! Идентификация по MAC адресу есть у USERGAT-а.

Ok спасибо, Еще пара вопросов в вдогонку…
Что у винрута с отрезанием рекламы? Я правильно понял, он отрезает только по ключевым словам, а по размеру баннеров отрезать не может? И настраивается это только в URL Rules -> remove advertisement and banners?

Можно ли как-нибудь видоизменить web interface, может где шаблоны этих страничек можно изменить, ну или может есть какая-нибудь строка запроса по которой выдается, например, статистика трафика?

Подскажите плиз про Enable cache, в чем разница transparent proxy и proxy server, и вообще чем грозит включение кэша, может глюки какие? его вообще обычно включают?

Вот такая ситуация. Есть локальная сеть.У одного из компов есть выход в другую сеть (Матрикс - кто с Питера наверное знает).Решили порверить работает ли в Керио опция "родительский прокси".Поставили на машину(Х) имеющую доступ в Матрикс прокси(Керио) и на вторую машину(У)- тоже(на ней стоит модем - понадобться далее)Задача компа (Х) с выходов в Матрикс быть родительским прокси.Задача второго компа(У) через себя навправлять запросы на родительский прокси(комп Х),а из него они уже уходить должны в сеть М. Вылезла такая проблемма - когда вписываешь в качестве прокси вторую машину(У) в броузере пишеться вот такая штука

Internet connection line dialing in progress, please wait...
--------------------------------------------------------------------------------This message was created by WinRoute Proxy

И все =( Так все и висит.При этом если порписывать в качестве прокси комп Х то все работает. И когда я сулчанно соеденился с интернетом по модему - вдруг все заработало.Имееться ввиду связка из двух проксей - но как только разорвал модемное соединение - опять все повисло на тойже надписи.
Как с этим справится? И не баг ли это?
P.S: Еще вопрос про NAT - не подскажите ресурсы где подробно рассказано о его настроке в Керио?

[~MAVr~]

Приветствую всех...
на машине с Вин2000Проф стоит прокси-сервер Kerio WinRoute 4.2.5
Однажды машина устала... начала сильно тормозить... потребовала ухода... в рееестре был найден ключ с настройками ВинРоута, этот ключ был успешно экспортирован вместе с большим числом забаненых адресов сайтов... после переустановки системы был заново проинсталирован ВинРоут, после этого импортировали сохраненные настройки в реестр... в итоге все баны в прокси нормально импортировались, а вот пакетный фильтр не отображается в окошке... создается ощущение что часть старых правил действует, а часть - нет... хотелось бы все эти правила визуализировать, чтоб можно было их нормально редактировать, а не сидеть и париться с реестром... обидно то, что не осталось другого(понятного к восприятию) варианта пакетных фильтров
Люди добрые... помогите чем можете... буду рад любому доброму слову... заранее спасибо.

[spetiolizer]

ПОМОГИТЕ!!!
NAT пускает только протоколы, на которые установлен инспектор
На протоколы, на которые НЕТ инспектора (ICQ и т.п.) ГАД НЕ ПУСКАЕТ
Если в правилах с НАТа снять инспектора - не пускает

[Cartman]

Цитата:

spetiolizer:
Если в правилах с НАТа снять инспектора

Тут ты что имел ввиду?
Опиши подробнее, какие протоколы пашут, какие нет? Может у тебя на клиенте элементарно шлюз не прописан ?

[spetiolizer]

Migel M. Volos, в правилах есть колонка Protocol Inspector (по умолчанию скрыта)
У меня работает Прокся без проблем. Но некоторые протоколы (SMTP, POP, ICQ и несколько специальных) я пускаю через НАТ (т.к. в некорорых прогах прокся не настраивается). Правило которое пускает через НАТ пашет только с включенным протокол инспектором и пашут только те протоколы, на которые включен инспектор (SMTP, POP). Но на некоторые протоколы (ICQ) нет протокол инспектора
Прописано у меня всё как надо. У меня готовая конфигурация, которую я ранее неоднократно ставел.

[Cartman]

spetiolizer, чудеса однако... А в правилах default стоит в инспекторе?
Если да - попробуй сделать еще одно правила в соответствии с NAT для протоколов у которых нет инспектора и прописать там none.
Хотя не знаю поможет ли...

Есть вариант снести все, вычистить и поставить по новой?

[Semchevsky]

spetiolizer
Как я понимаю, Protocol Inspector в Trafic Policy для NAT должен стоять default, т.к. у тебя в Service для NAT прописан не один только сервис (напр. НТТР), а несколько.
А отключать Protocol Inspector можно в Definitions-Services ( для каждого в отдельности, у меня например отключен для SMTP) , конечно можно отключить и в Trafic Policy (тогда ты отключишь его для всех сервисов прописанных в правиле для NAT)
В твоем случае, не правильно работает скорее всего сам NAT. Попробуй удалить все свои правила или только правило для NAT и запустить Помощника ( Wizard..) Если и это не поможет, тогда полная чистка и установка с нуля.
Удачи...

[spetiolizer]

Migel M. Volos, Semchevsky, спасибо
Проблему решил
Дело оказалось в сетевухе на локалку. (Локалка и прокся а также протоколы с инспекторами по ней работали).
Заменил. Всё заработало

Привет ALL
На сервере стоит WinRoute 6.0.8, IP адреса раздаются DHCP сервером, причем 192.168.1.2 - 192.168.1.9 зарезервированы по MAC адресу для определенных пользователей.
Хочется настроить NAT таким образом, чтобы все порты были закрыты, и работали настройки для каждого пользователя из списка зарезервированных IP
По идее все должно работать, если удалить NAT (Source= LocalArea, Destination= INET), и вместо этого добавить свой для каждого пользователя NAT User1 (Source= User1, Destination= INET), NAT User2 (Source= User2, Destination= INET) и т.д. но такая штука не работает, вернее работает до первой перезагрузки компьютера пользователя… Т.е. почему то должен быть общий NAT с открытым http, и после этого только можно настраивть конкретных юзеров Сейчас приходится использовать извратную схему… Вначале запрещается выход в инет для всех кроме зарезервированных: NAT Denied (Source= 192.168.10-192.168.1.254, Destination= INET, Service=Any, Action=Deny) после этого разрешается NAT для LocalArea (только http), а уже потом идет настройка конкретных пользователей. И если надо запретить http для конкретного пользователя приходится создавать специально правило с запретом. Короче мега все запутанно, не понятно почему нельзя удалить общий NAT, и оставить только определенные настройки для определенных пользователей?

Зачем так сложно? Создай из нужных адресов группу, и для нее уже и создавай правило.

[Cartman]

samds, че то не очень понял. После перезагрузки ip адрес меняется? Если да - просто задай карте, которая у тебя на сервере несколько ip адресов и для каждого из них пропиши правила. Затем на машинах клиентах пропиши шлюз в соответсвии с его надобностями.
К примеру, задаешь адреса карте 192,168,0,1-192,168,0,10.
Для ip 192,168,0,1 создаешь правило, source ip 192.168.0.1, dest интерфейс интернета, Сервисы all, Трансляция nat,
Для 192,168,0,2 то же самое кроме сервисов. Выставляешь например только pop3 и smtp и прописываешь этот шлюз тем, кому нужна только почта.

Подскажите, в каких файлах сохранена конфигурация?
надо поменять комп, а настраивать WinRoute заново совсем не хочется...

P.S.
Может об этом здесь уже говорилось, но не нашел

Еще вопрос:
В логах, в разделе security вот такую штуку пишет:
Anti-spoofing: Packet from Local , proto:UDP, len:229, ip/port:192.168.166.121:138 -> 192.168.166.255:138, udplen:201

Что это?

[Cartman]

Weld, файлы конфигурации хранятся в файлах *.cfg если ты о 5 или 6-ом винроуте. Лежат в папке программы.
Но после смены машины не факт что все заработает.

[Mr.Crowley]

Ситуация такая:
На работе комп - Windows XP, выход в инет (ADSL-модем), второй модем обычный 56K USB, WinrouteFirewall 6. Через эту машину в инет ходит локальная сеть из n-машин...
Задача: Заюзать инет из дома через комп на работе...
Частично решена следующим образом: На главном компе(на работе) поднял RAS, создал пользователя в windows и winrout'e. Разрешения в файерволе выставлены для всех сервисов. Захожу с домашнего компа на главный без проблем через прокси. Инет работает, только http - а ftp, почта, аська не работают... Что-то никак ума не дам... Может кто поможет?! И еще хотелось бы в локалку попадать через удаленный доступ...

! Кстати, примечательный момент. На рабочий комп дозваниваюсь с домашнего по той-же линии где работает ADSL. Т.е. обычный модем (на работе) подключен к той-же линии (только через свитчер, вместо телефона), что и ADSL-модем. Пробовал по другой линии цепляться - гораздо хуже связь, оно и понятно - под ADSL делают некоммутируемую линию. Так что двух зайцев сразу убил. Одна линия (пара) - два канала связи