Kerio winroute firewall серверное приложение не запущено
Обзор Kerio WinRoute Firewall
Обзор Kerio WinRoute Firewall
Kerio WinRoute Firewall компании Kerio – это интегрированное решение, включающее брандмауэр, VPN-сервер, антивирус, контентный фильтр и обеспечивающее полную безопасность для компаний малого и среднего бизнеса.
Kerio WinRoute Firewall уже с самой первой версии зарекомендовал себя только с самой лучшей стороны, не только с точки зрения удобства и гибкости настроек, но и со стороны качественности противохакерской обороны. Это объясняет тот факт, что многие специалисты по всему миру используют данный продукт на уровне с UNIX системами, которые считаются передовыми в плане защитных свойств и гибкости настройки.
Установка продукта происходит в целом без особых трудностей даже для неподготовленного пользователя, а после необходимо просто запустить сервер Kerio WinRoute Firewall на машине-сервере и консоль управления. В дальнейшем управление продукта можно осуществлять удаленно с машины администратора.
Дизайн программы в целом оставляет только положительные эмоции, так как все пункты меню сделаны в виде графических значков и все цвета скомпонованы мягко, что делает данный продукт привлекательным и удобным. Меню выполнено в виде дерева с четырьмя основными пунктами и достаточным количеством подпунктов. Этот дизайнерский шаг также можно расценить, как учет плюсов других программных продуктов, которые уже завоевали рынок, удовлетворяя потребности своих клиентов в плане удобства конфигурирования.
Основными четырьмя пунктами меню являются: «Configuration», «Users and Groups», «Status», «Logs». «Configuration» представляет собой «кита», который является базой для остальных пунктов - «слонов», содержит в себе настройку интерфейсов, DHCP сервера, DNS-форвардера, настойку политик WEB, FTP и антивируса, сервисов и маршрутизаторов. Пункт «Users and Groups» знаком администраторам систем\сетей, так как без этого невозможно администрировать систему и наделять пользователей теми или иными правами. «Status» отвечает за мониторинг администрируемой системы, здесь можно заметить такие подпункты, как «Users», «Connections», «Statistics». Последним пунктом меню, но считающимся вторым по важности, является вкладка «журналы». Здесь можно увидеть одиннадцать журналов различных служб.
Рассмотрим более подробно первый пункт меню – «Configuration»
Во вкладке «Interfaces» (Интерфейсы) происходит обнаружение интерфейсов, которые будут непосредственно работать шлюзом для приёма\передачи информации.
Вкладка «Traffic Policy» (Политика трафика) задаёт настройку брандмауэра. Таблица состоит из следующих колонок:
В общем, хочется заметить, что данная вкладка является полнофункциональным брандмауэром, пользователю предлагается самому создавать правила, задавать порты и сервисы.
Для первоначальной настройки продукта очень удобно использовать специальный «мастер». Он представляет собой некий список вопросов по конфигурации сети, отвечая на которые администратор дает возможность программе самостоятельно настроить необходимые базовые правила доступа.
* разрешить автоматические обновления
* удалять баннеры
* разрешать обновления Microsoft Windows
* разрешать HTML ActiveX объекты
* разрешать HTML Java скрипты и всплывающие окна
* разрешать HTML Java-аплеты
* Кэш используется для хранения web-страниц, которые уже открывались на данном компьютере, что приводит к уменьшению движения трафика. Объекты хранятся на жёстком диске.
* Создание Proxy-сервера. Proxy-сервер - это система, находящаяся между исполняемыми приложениями и Интернет соединениями, она перехватывает запросы к серверу, рассматривая возможность выполнить их самостоятельно, что увеличивает быстродействие за счёт отсечения повторных запросов одной и той же информации из Интернета. Основным действием в данном пункте считается определение порта, с которым в будущем будет работать пользователь, по умолчанию назначен порт «3128».
* В этом пункте администратор назначает правила запрета слов, которые не должны встречаться и которые будут блокироваться при попытке проникнуть через данный шлюз (к примеру, через web-страницы)
FTP политики по умолчанию позволяют запрещать:
* Сканирование антивирусными пакетами.
* Запретить загрузку
* Запретить закачку музыкальных файлов
* Запретить закачку файлов .avi
В дополнение к параметрам по умолчанию администратору предоставляется возможность самому составить правила запрета\разрешения.
Хочется заметить, что в стандартную поставку (при покупке соответствующей лицензии) входит антивирус McAfee, а остальные пакеты (Symantec, Avast и т.д.) требуют наличия специальных плагинов.
Следующей вкладкой меню «Конфигурация» является вкладка «Definitions» (Определения), все её компоненты непосредственно связаны с меню «Политика трафика» и являются вспомогательными.
- «Services» (Сервисы), необходим для определения сервисов (пример ping, telnet, ssh и другие), которые впоследствии используются для создания правил брандмауэра. Также существует возможность создавать правила вручную с указанием протоколов и портов.
- «Time Ranges» (Временные интервалы), определяет время, в которое то или иное правило должно работать. Администратор может установить время не только на необходимые дни (например, все кроме выходных или праздничных дней), но и непосредственно часы.
- «Address Groups» (Адресные группы), помогает определиться администратору в выделении групп сети (комбинации IP адресов, IP диапазоны и тд).
Вкладка «Dial on-demand» (Набор по требованию) играет роль проводника, то есть, к примеру, если WinRoute связан с Интернетом через модемную связь, то при обращении к Интернету пользователя происходит автоматический набор номера.
Вкладка «Routing Table» (Таблица маршрутизации). Маршрутизация - это одно из самых тонких мест всего пакета, с помощью неё администратор осуществляет прокладку маршрутов для трафика. В настройке нет ничего сложного, так как интерфейс конфигурирования напоминает Windows и Unix, где всего лишь нужно заполнить несколько полей: сеть, маска, шлюз и интерфейс.
«Advanced Options» (Дополнительные настройки) включают в себя семь вкладок:
* Включает в себя опции антиспуфинга (то есть блокирует подмену IP адресации), лимит, количество подключений, настройки UPnP и IPSec.
* Этот пункт считается любопытным со стороны неординарности, так как после активации данного параметра пользователям предоставляется возможность после авторизации на сервере через web-интерфейс прослеживать статистику своих учетных записей, а администраторам предоставляется возможность удалённо администрировать сервер, имея в наличии всего лишь браузер.
- ISS OrangeWeb Filter Settings
Встроенный классификатор контента от компании ISS Orange Filter Service, позволяющий наложить запрет на посещение некоторых видов сайтов (реклама, развлечения, сайты для взрослых) при работе в корпоративных и образовательных сетях.
* Содержит параметры проверки наличия обновлений
* Данная вкладка осуществляет настройку подключения к почтовому серверу для использования пункта «Настройка уведомлений», то есть для того, чтобы в случае опасных ситуаций, возникающих на сервере (например, при обнаружении вирусов) уведомить об этом по электронной почте администратора сети. Здесь же предоставляется возможность выполнить тестирование сервера.
* При обслуживании пользователей, которые осуществляют большое количество манипуляций с трафиком (приём\передача большого потока), мощность сервера с малой пропускной способностью снизится и в связи с этим требуется вести статистику по пользователям. В данном пункте вы также можете назначить квоту на расходование трафика, которую пользователь не сможет превысить.
Следующим пунктом «глобальной» настройки является «Users and Groups» (Пользователи и Группы). Данный пункт должен быть уже хорошо известен администраторам систем и сетей, так как является основой наладки конфиденциальности посредством раздачи ролей (прав).
Сначала администратор заводит вершину пирамиды - «группы», наделяя их соответствующими правами (права администратора или простого пользователя, использование VPN, изменение правил фильтров, выбор подключений и т.д.).
После определения групп администратор должен завести пользовательские учетные записи, которые будут помещены в уже созданные группы. Каждому аккаунту предоставляется возможность установить квоту (совместно с пунктом Quota / Statistics), дополнительные правила работы с гипертекстом (ActiveX, скрипты и аплеты). Также существует возможность автоматически авторизовать пользователя по IP адресу.
Пункт «Status» (Статус) информационный, так как несёт в себе информацию о пользователях:
* Указываются активные соединения пользователей, использующих WinRoute для связи с Интернетом.
* Указываются все соединения сети, которые могут быть обнаружены WinRoute:
- Обращения пользователя в сеть Интернет
- Связи с машиной, на которой находится WinRoute
- Связи от других компьютеров, обеспеченные машиной, на которой находится WinRoute
* Детальная статистика по индивидуальным пользователям. Информация в данной вкладке представляется в виде диаграмм и выводит информацию: «двадцатка самых активных пользователей», «используемые сервисы по отдельным пользователям и общая статистика» и «информация о входящем и исходящем трафике, который проходит через интерфейс».
* VPN - это безопасный канал, который подразумевает шифрование всего трафика от вашего компьютера до VPN сервера. В настоящее время защищённые виртуальные сети приобрели большую популярность. Для защиты конфиденциальных данных, передаваемых между двумя точками, были разработаны туннелирующие протоколы (tunneling protocols). Туннелирующий протокол обеспечивает шифрование данных следующих из точки их отправки в точку назначения, и, кроме того, обеспечивает контроль целостности данных и аутентификацию. Туннелирование - основа VPN. VPN - это безопасная и закрытая передача данных через сети общего доступа. VPN является обособленной виртуальной сетью вашей компании в рамках опорной сети оператора. Таким образом, для включения офиса в единую корпоративную сеть необходимо только создать канал передачи данных между ним и ближайшей точкой присутствия провайдера.
* Пункт, информирующий администратора об опасных ситуациях.
Последним и одним из самых часто используемых пунктов главного меню считается «Logs» (Журналы). Данный пункт информирует администратора обо всех действиях, происходящих на сервере:
Настройка Kerio WinRoute v6.7 для раздачи интернета пользователям в локальной сет и возможности подключения VPN клиентов
По сути, Kerio WinRoute является в первую очередь фаерволом, который может предоставить безопасное соединение рабочим станциям в локальной сети.
У нас стоит задача, предоставить некоторым пользователям локальной сети доступ к интернету, но при этом, не совершая никаких настроек со стороны клиента. Настроить подключение VPN клиентов к нашей локальной сети.
И так, приступим, первым делом нам нужно установить Kerio WinRoute:
Процесс установки весьма прост, и не должен вызвать затруднений, запускаем WinRoute и выбираем язык:
Принимаем лицензионное соглашение:
Выбираем тип установки, я выбрал «Полная», ненужные модули можно будет отключить в панели управления:
Путь установки, если хотите, то можно поменять:
Kerio WinRoute обнаружил службы с которыми могут быть конфликты, и предлагает отключить их, и мы конечно соглашаемся:
Обязательно указываем логин и пароль администратора:
Если мы выполняем установку на своём компьютере (не удалённо), просто продолжаем:
Kerio WinRoute уже готов к работе, но только на 30 дней…, перезагружаем компьютер и останавливаем службу Kerio:
Если вы скачали Kerio WinRoute с нашего сайта и установили x86 версию, то копируем winroute.exe (присутствует в архиве) в каталог с фаерволом, по умолчанию это c:\Program Files\Kerio\WinRoute Firewall\ , с заменой исходного конечно. Теперь копируем license.key в каталог с лицензиями WinRoute, по умолчанию это c:\Program Files\Kerio\WinRoute Firewall\license\. Если вы установили x64 версию, то вам нужно будет пропатчить winroute.exe и сгенерировать license.key самостоятельно (патчи тоже присутствуют).
Запускаем Kerio WinRoute, теперь он работает без ограничений пользователей и времени:
Кликаем 2 раза на иконке Kerio WinRoute в трее и попадаем в окно авторизации, где нам нужно ввести логин и пароль для доступа в панель управления, этот логин и пароль мы указывали во время установки:
После успешной авторизации, мы сразу попадаем в панель управления, откажемся от матера настройки и перейдём в раздел "Интерфейсы". В этом разделе выберем интерфейс для подключения к интернету, нажмём на него 2 раза и укажем соответствующую группу интерфейсов:
Теперь выбираем интерфейс для локальной сети, в моём случае их два, и я для обоих указал группу "Доверенные/локальные интерфейсы":
Сетевые платы, должны быть настроены средствами Windows, для одной локальной сети, я указал IP адрес 192.168.1.1 с маской 255.255.255.0, а для другой 192.168.2.1 с маской 255.255.255.0. Сетевая плата для получения интернета у меня была настроена на DHCP режим, то есть получение настроек автоматом.
Теперь сохраним изменения и перейдём в раздел "Политика трафика" где у нас будет уже 2 правила. Первое правило разрешает WinRoute-у ходить куда угодно на любые порты, а второе правило запрещает любой трафик откуда угодно, куда угодно. Правила трафика применяются сверху вниз, таким образом, если вы создадите какое-то разрешающее правило, и оно будет стоять выше правила, которое блокирует весь трафик, то приоритет вашего правила будет выше, и путь для трафика будет открыт:
Теперь приступим к настройкам и добавим новое правило, которое, в итоге, будет разрешать локальный трафик. Потом нажмём два раза на его названии, и укажем своё название:
Теперь нажмем два раза на поле нового правила в колонке "Источник" и поочерёдно добавим нужные объекты, а именно фаервол, VPN клиенты, VPN туннели и локальные интерфейсы:
Добавляем VPN клиентов
Добавляем VPN тунели
Добавляем локальные интерфейсы
Вот что получилось
Точно таким же образом, добавляем эти же объекты в раздел «Назначение», а в разделе "действие" указываем "разрешить":
Теперь добавляем правило для разрешения доступа локальных пользователей в интернет:
А теперь добавляем правило для разрешения доступа для подключения VPN клиентов, если вам не нужен доступ удалённых VPN клиентов к вашей локальной сети, то можете не создавать данного правила:
А теперь очень важный момент, правило для доступа локальных пользователей в интернет мы создали, но доступа они НЕ получат, так как мы не включили NAT, в разделе "трансляция" этого правила устанавливаем флажок на включении NAT и можем выбрать тип балансировки нагрузки (балансировка нужна лишь при нескольких подключениях к интернету):
Выключим сам прокси:
Выключим ВЕБ фильтр:
Этими действиями мы полностью отключили фильтрацию трафика и оставили пользователей локальной сети без защиты перед загружаемыми ими данными, но нам этого и не нужно, к тому же мы снимаем большую нагрузку с нашего сервера – пусть пользователи сами беспокоятся об установке антивирусов на своём компьютере.
Включаем DHCP сервер для раздачи сетевых параметров для локальных пользователей:
Добавляем диапазон IP адресов для раздачи в нашей сети №1:
Добавляем диапазон IP адресов для раздачи в нашей сети №2 (этот шаг совсем не нужен, если у вас всего один локальный интерфейс):
Получаем вот такую картину:
Настройки DNS нас устраивают:
Выключим Anti-Spoofing:
Если вам нужно подключение VPN клиентов с использованием SSL оставим галочку, и если вы хотите предоставить пользователям доступ к статистике через ВЕБ интерфейс, тоже оставим соответствующие галочки. Если вы собираетесь проводить авторизацию пользователей через ВЕБ аутентификацию, то вам нужно будет оставить включенным ВЕБ интерфейс (ВЕБ авторизацию мы рассмотрим дальше):
Отключаем проверку обновлений (ну ели вы КУПИЛИ Kerio WinRoute, то можете не отключать):
После проведенных настроек, Kerio WinRoute раздаст сетевые настройки по протоколу DHCP всем клиентам подключенным к любому из локальных интерфейсов, и предоставит доступ к интернету.
Клиент подключенный на интерфейс №1:
Клиент подключенный на интерфейс №2:
Устанавливаем нужные вам права (или не устанавливаем)
Прикрепляем к группе:
Теперь, при попытке доступа к ВЕБ странице, пользователя бросит на страницу авторизации, и только после успешной авторизации он сможет получить доступ к ВЕБ страницам:
Пару слов про VPN, к сожалению, Kerio WinRoute не поддерживает такие стандарты как PPTP и L2TP, из-за чего установить VPN соединение стандартными средствами Windows не получится, а для подключения используется специальный клиент kerio-control-vpnclient. Ещё одним недостатком, является то, что при помощи VPN соединения не получится подключить пользователя к интернету, так как WinRoute не прописывает VPN клиенту шлюз, доступ будет только к локальным ресурсам. Поддержка подключения интернета через VPN реализована в версии WinRoute 7.4
По роду своей работы в сфере IT мне достаточно часто приходится сталкиваться с проблемами не всегда стандартными для IT сферы. Так же заметки со ссылками на статьи которые очень часто на практике выручали, держать на своем компе стало не удобно. По этой причине создан этот блог - записная книжка статей и заметок. Авторов статей прошу не обижаться если местами забыл сделать на них обратную ссылку. Пишите в комментариях все обязательно поправлю..
Поиск по моему блогу
Kerio WinRoute Firewall - ПРАВИЛЬНАЯ настройка DNS и сетевых интерфейсов.
В последнее время на форуме часто встречаются вопросы, связанные с неправильной настройкой DNS (почта по IP -адресу работает, а по имени сервера - нет, и т.п.). В общем народ ленится, доки не читает, поэтому решил сделать краткую инструкцию по настройке DNS на компьютере с Kerio Winroute Firewall и клиентских компьютерах.
Рассматриваем три самых распространеных общих случая:
1. Одноранговая сеть, без домена (по определению тов. Naliman-а ;), точнее без DNS-сервера, в качестве шлюза в Интернет используется отдельная машина с установленным Winroute;
2. Сеть с доменом, DNS-сервер находится на DC (контроллере домена), в качестве шлюза в Интернет используется отдельная машина с установленным Winroute;
3. Сеть с доменом, DNS-сервер находится на DC, Winroute также установлен на этот DC.
Третий вариант категорически не рекомендуется по соображениям безопасности и здравого смысла, но к сожалению применяется довольно часто в небольших сетях, где домен уже есть, а денег уже нет :)
Имеется в любом случае компьютер с двумя сетевыми картами (одна внутренняя - смотрит в локальную сеть, другая внешняя - в Интернет соответственно), через который мы и будем выходить в Интернет, и на который естественно :) будет установлен Kerio Winroute Firewall.
Не забывайте, что адреса на этих сетевых картах должны быть из разных подсетей, т.е. например так:
| Цитата: |
| 192.168. 0 .1 192.168. 1 .1 |
почему-то новички очень часто на этом попадаются, если у них например ADSL-модем стоит.
1. Настройка DNS в одноранговой сети.
Настройки внутренней сетевой
| Цитата: |
| 192.168.0.1 - IP-адрес компьютера с Winroute 255.255.255.0 - маска. 192.168.0.1 - в качестве DNS-сервера указываем IP-адрес этой же сетевой |
Шлюз НЕ указываем!
Дальше, берем настройки, данные нам провайдером, допустим такие:
| Цитата: |
| ip 80.237.0.99 - реальный IP mask 255.255.255.240 - маска gate 80.237.0.97 - шлюз dns 80.237.0.97 - DNS провайдера |
Но! Не забиваем их втупую во внешнюю сетевую, а делаем немного по-своему:
| Цитата: |
| ip 80.237.0.99 mask 255.255.255.240 gate 80.237.0.97 dns 192.168.0.1 - в качестве основного DNS-сервера указываем IP-адрес внутренней сетевой ; 80.237.0.97 - в качестве альтернативного DNS-сервера указываем DNS-сервер провайдера |
Жмем Advanced . В закладке DNS убираем галочку на Register this connectionТs addresses in DNS, в закладке WINS убираем Enable LMHOSTS lookup и ставим Disable NetBIOS over TCP/IP. Также, галочек НЕ ДОЛЖНО БЫТЬ на Client for Microsoft Networks, Network Load Balancing, Fail and Printer Sharing Microsoft Networks.
Кстати, удобно переименовать внешний интерфейс, назвать не Local Area Connection (Подключение по локальной сети), а например Internet Interface.
Дальше, заходим в Панель управления, Cетевые подключения, в этом окне (окно проводника) меню Дополнительно -> Дополнительные параметры. Во вкладке "Адаптеры и привязки" передвигаем "Local Area Connection" ("Подключение по локальной сети") на самую верхнюю позицию.
На клиентском компьютере настройки сетевой карты будут примерно такие:
| Цитата: |
| ip 192.168.0.2 mask 255.255.255.0 gate 192.168.0.1 - в качестве шлюза указываем IP-адрес компа с Winroute dns 192.168.0.1 - в качестве основного DNS-сервера указываем IP-адрес компа с Winroute |
В Winroute, Configuration -> DNS Forwarder ставим галку "Enable DNS Forwarding", указываем DNS-серверы провайдера.
2. Сеть с доменом, DNS-сервер находится на DC (контроллере домена), в качестве шлюза в Интернет используется отдельная машина с установленным Winroute;
Настройки не очень отличаются от предыдущего варианта, в принципе все тоже самое, только:
2.1 В зонах прямого просмотра DNS следует убрать зону ".", если она там есть. После этого перезапустить службу "DNS-сервер".
2.2 На контроллере домена в свойствах DNS нужно разрешить пересылку на IP-адрес DNS-сервера провайдера (и не забыть добавить правило в Traffic Policy, разрешающее контроллеру обращаться на DNS-сервер провайдера). Форвардинг в винроуте тогда нужно выключить.
2.3 Настройки внутренней сетевой
| Цитата: |
| 192.168.0.1 - IP-адрес компьютера с Winroute 255.255.255.0 - маска. 192.168.0.100 - в качестве основного DNS-сервера указываем IP-адрес локального DNS-сервера (DC) |
Шлюз НЕ указываем!
Настройки внешней сетевой:
| Цитата: |
| ip 80.237.0.99 mask 255.255.255.240 gate 80.237.0.97 - в качестве шлюза указываем IP-адрес шлюза, данный провайдером dns 192.168.0.100 - в качестве основного DNS-сервера указываем IP-адрес локального DNS-сервера (DC) |
2.4 Настройки клиента:
| Цитата: |
| ip 192.168.0.2 mask 255.255.255.0 gate 192.168.0.1 - в качестве шлюза указываем IP-адрес компа с Winroute dns 192.168.0.100 - в качестве основного DNS-сервера указываем IP-адрес локального DNS-сервера (DC) |
3. Сеть с доменом, DNS-сервер находится на DC, Winroute также установлен на этот DC.
Все настройки идентичны первому случаю, за исключением некоторых очень важных моментов:
3.1 В сети, которая подключена к Интернету через шлюз, являющийся контроллером домена с запущенной службой DNS-сервер, на этом контроллере в конфигурации внутреннего и внешнего интерфейса DNS-сервер должен быть настроен сам на себя.
В зонах прямого просмотра DNS следует убрать зону ".", если она там есть. После этого перезапустить службу "DNS-сервер".
В свойствах DNS-сервера на закладке "Пересылка" (Forwarding) следует разрешить пересылку на DNS-сервер провайдера. Перезапустить службу "DNS-сервер"
3.2 Необходимо создать зону обратного просмотра (у правильных админов она наверняка создана еще при поднятии DNS :) ), так как без нее DNS-сервер не может определить свое имя. В качестве кода сети указываем первые 3 группы цифр своего IP-адреса.
Для проверки заходим в свойства зоны и убеждаемся там в наличии нашего DNS-сервера (или серверов, если их несколько) на закладке "Серверы имен". Если серверов не хватает, добавляем их туда. Желательно делать это с помощью "Обзора". Всё. Осталось разрешить динамическое обновление, чтобы клиентские машины регистрировались в этой зоне, хотя можно обойтись и без этого.
3.3 На контроллере домена в свойствах DNS нужно разрешить пересылку на IP-адрес DNS-сервера провайдера, в данном случае 80.237.0.97;
3.4 DNS Forwarder в Winroute выключаем (убираем галку "Enable DNS Forwarding");
3.5 Настройки внешнего интерфейса на сервере:
| Цитата: |
| ip 80.237.0.99 mask 255.255.255.240 gate 80.237.0.97 dns 192.168.0.1 - в качестве основного DNS-сервера указываем IP-адрес внутренней сетевой ; |
Альтернативный DNS-сервер не указываем! Он у нас имеется в пересылке.
3.6 Настройки клиента:
| Цитата: |
| ip 192.168.0.2 mask 255.255.255.0 gate 192.168.0.1 - в качестве шлюза указываем IP-адрес DC с Winroute dns 192.168.0.1 - в качестве основного DNS-сервера указываем IP-адрес DC с Winroute |
Для проверки на клиенте следует выполнить команды:
Обычно подобные задачи выполняет системный администратор: если в штате сотрудников отсутствует эта должность, то всегда можно воспользоваться услугами it аутсорсинга. Однако можно попытаться и самостоятельно настроить VPN в Kerio, следуя указаниям инструкции.
VPN-сервер используется для связи концов VPN-туннелей и клиентов с помощью Kerio VPN Клиента. Доступ к VPN-серверу можно получить на вкладке Интерфейсы (Interfaces) раздела Настройки/Интерфейсы (Configuration / Interfaces) как к отдельному интерфейсу.
Заходите в эту вкладку и видите среди интерфейсов нужный нам VPN Server. Два раза кликаем на интерфейсе VPN-сервера - открывается диалог, с помощью которого вы можете установить параметры VPN-сервера.
В новом окне нужно активизировать VPN-сервер (Enable VPN server). Также нужно указать IP адрес сети для VPN-клиентов. К примеру, всем локальным пользователям можно назначить адреса типа 192.168.100.xxx, а всем VPN-клиентам 192.168.101.xxx.
При первом запуске после установки WinRoute по умолчанию выбирает свободную подсеть, которую будет использовать VPN. При стандартных условиях менять исходную сеть нет необходимости. Нужно убедиться, что подсеть VPN-клиентов не вступает в конфликт с локальной подсетью!
На вкладке DNS нужно указать DNS серверы, которые будут назначены VPN-клиентам. Это может стать необходимым в доменной сети, где необходимо получения доступа к компьютерам по NS-именам.
«Использовать специальные серверы DNS (Use specific DNS servers)» - с помощью этой опции можно указать первичный и вторичный DNS серверы для VPN-клиентов. Это может пригодиться, если в локальной сети используется не DNS-Forwarder, а другой DNS сервер.
Вкладка Advanced (Дополнительное). Она нужна далеко не всем, но все же рассмотрим ее поподробнее.
Слушать порт (Listen on port) — Порт, на котором VPN-сервер принимает подключения извне (по протоколам TCP, и UDP). По умолчанию установлен порт 4090 (в стандартных условиях что-либо изменять порт нет смысла и необходимости).
Примечания:
Если VPN-сервер уже запущен, в момент смены порта связь со всеми VPN-клиентами автоматически будет разрываться.
(5002) Failed to start service "VPN"
bound to address 192.168.1.1.
Для того, чтобы убедиться, что заданный порт действительно свободен, нужно просмотреть Журнал ошибок и проверить, не появлялись ли подобные записи.
Пользовательские маршруты (Custom Routes)
Здесь вы можете указать другие сети, к которым сможете установить маршруты через VPN туннель. Изначально определены маршруты ко всем без исключения локальным подсетям со стороны VPN-сервера.
Полезный совет: используйте маску 255.255.255.255, чтобы определить маршрут к узлу. Это может вам помочь, к примеру, при добавлении маршрута к узлу в DMZ (демилитаризованная зона) со стороны VPN сервера.
Дальше следует создать правило для VPN-пользователей.
Первое правило пропускает пользователей к VPN-серверу из интернета по протоколу Kerio VPN (порт 4090).
Следующее правило пропускает авторизированных и подключенных VPN-пользователей, в локальную сеть и к серверу. Вместо первого правила можно создать группу IP-адресов и включить в неё все IP-адреса клиентов.
Здесь будут отображаться подключенные пользователи. В настройках пользователей можно указать, будет ли VPN-сервер выдавать клиентам адреса автоматически, а можно за каждым клиентом закрепить определенный IP адрес.
Настраиваем интернет для домашней сети, пишем правила для Kerio WinRoute Firewall 6.5.1
Конфигурация для пользователей провайдера Интерсвязь.
Решил помочь всем пользователям интернет провайдера интерсвязь. Написал статейку как настроить доступ в интернет для всей домашней сети а также как защитить её от внешних угроз.
Будем писать правила для прокси сервера Kerio WinRoute Firewall 6.5.1
Сетевые интерфейсы:
Подключение по локальной сети- это сетевуха смотрящая в сеть ИС
Подключение по локальной сети 2 –это сетевуха смотрящая в домашнюю сеть.
Установили Kerio WinRoute Firewall 6.5.1
Открываем раздел политика трафика и начинаем писать правила.
1) Разрешаем любой трафик между компьютером с kerio и домашней сетью. ( обязательно ставим на первое место правило, как показал опыт, работа в локальной сети становится быстрее)
Источник – Домашняя сеть, Firewall
Назначение – Домашняя сеть, Firewall
Служба – Любой
2) Коннект ко мне из локальной сети ИС:
Источник – Подключение по локальной сети
Назначение –Firewall
Служба – any icmp чтобы меня могли пропинговать.
3) Коннект с Firewall в интернет:
Доступ вашего компьютера к сервисам в интернете.
Источник – Firewall
Назначение – Интернет
Служба – any icmp пропинговать кого либо
4) Коннект с Firewall в локальную сеть ИС:
Доступ вашего компьютера к сервисам сети ИС.
Источник – Firewall
Назначение – локальная сеть ИС
Служба – any icmp пинг
TCP 4661 приконектица к eMule
TCP 4662 закачька с eMule
UDP 4672 отдача с eMule
Настройка для домашней сети
5) Коннект из домашней сети к сервисам в интернете
Источник – Домашняя сеть
Назначение – Интернет
Служба – any icmp пинг
6) Коннект из домашней сети к сервисам локальной сети ИС.
Источник – Домашняя сеть
Назначение – Локальная сеть ИС
Служба – any icmp пинг
TCP 4661 приконектица к eMule
TCP 4662 приём eMule
UDP 4672 отдача eMule
TCP 6667 mirc (на каждом компьютере сервер мирки должен быть разным, один
компьютер через инет второй через сервер ис например).
Проброс портов
7) Проброс портов для eMule
Источник – Локальная сеть ИС, Firewall
Назначение – Локальная сеть ИС, Firewall
Служба – TCP 4663
Если есть ещё компьютеры то делаем вот так
Источник – Локальная сеть ИС, Firewall
Назначение – Локальная сеть ИС, Firewall
Service – TCP 4664
8 ) И последнее правило
Правило блокирующее любое обращение на сервер WinRoute Firewall если оно не разрешено правилами выше (приоритетными).
Ну и вот по правилам всё.
Правила выполняются последовательно с верху вниз, так что порядок размещения правил имеет значение.
НЕ забываем включить DNS Форвардер, раздел переадресация dns поставить галочку
Настройка сетевых карт на компьютерах вашей домашней сети
В свойствах TCP/IP протокола прописываем шлюз и dns, ip адрес вашего компьютера где стоит kerio.
Картинки для визуального представления, не обязательно их повторять в точности )
Читайте также: