Помогите решить проблему с помощью KWF

[Fons]

Проблемма следующего характера:

4 общежития, на входе в каждое общежитие стоит сервер. На каждом из серверов Windows 2003 Server крутится Winrout, и запущен DHCP сервер.

на сервере 2 сетевушки, одна смотрит в сторону локальной сети общежития вторая в сторону других серверов.

как сделать так чтобы пользователи локальной сети видели пользователей сети других общежитий (мост не подойдет, т.к. DHCP начинает пораноить). Есть и еще одна проблемма, интернет в локальную сеть заведен с помощью стороннего провайдера через Ideco Internet Control, в локалке статические IP...

приложил карту сети, чтобы было легче меня понять.

Прошу если кто знает как все это сделать, напишите пожалуйста развернутый ответ как для детей, т.е. куда ткнуть, какую кнопочку нажать, а вообще любая помощь приветствуется. Спасибо.

П.С. рылся в интернете...

кое что нашел на сайте http://kerio-rus.ru/index.php. настройки DNS и как в общем настроить шлюз... пробовал, ничего не получилось..

По этоиу если вам не жалко потратить времени... объяснить мне как в моем случае будет настраиваться Kerio Winroute Firewall 6.5.1. build 5000

Когда я пробовал настроитьу меня не проходил пинг через сервер

Но сервер пингует в оба направления..

Думаю дело в маршрутах.

СХЕМА СЕТИ!

[Yezhishe]

По твоей ссылке ничего, кроме страницы 404, написанной по-пАдонкАФФски - не открывается. Поэтому прочти-ка нормально переведённый мануал администратора KWF...

Полагаю, это будет на данном этапе наилучшим вариантом. Ну а дальше будем поглядеть...

[Artur88]

Yezhishe:

Как я понял - ссылка у него правильная...

вот только после php не должно быть точки в ней.

Сейчас подправлю

[Yezhishe]

To Artur88

Угу... Так и было.

To Fons

На том ресурсе я нашел кое-что, что прямо относится к сабжу... Расписано "от и до"... Мне даже добавить нечего, в общем-то... Естественно, кое-какие изменения в описанном (применительно к твоему конкретному случаю) сделать будет необходимо, но там настолько всё разжёвано...

P.S. Понятно дело, что пока всё будет настраиваться и тестится, у юзеров будут бо-о-ольшие траблы с доступом в Нет, но полагаю, что это проблема решаемая...

Изменено 25 января, 2009 пользователем Yezhishe

[Fons]

Повозился.... кое что получилось... Проблема была в настройке интерфейсов...

Теперь возникла новая проблема. может кто знает, как ее решить!

КОмпы в "локалке" могут юзать и интернет и все остальное... и видят другие локальные компы за пределами сервера (в "магистрали")...

НО, проблема в следующем, компы из "магистрали", не могут пробиться через КВФ, чтобы увидеть компы в "локалке". Пинг не проходит((

Я так думаю это проблема маршрутов?!

ВОт политика!

вот маршруты

я был бы рад так все и оставить, Но господа контерстрайщеки и варкрафтеры будут недовольны)

да и шару иногда открывают, дабы не лазить по п2п!

изначально консультировался этим мануалом! http://kerio-rus.ru/index.php?option=com_c...6&Itemid=70

там же нашел и про интерфейсы

так же меня мучает вопрос интерфейсов. в моем случае, адреса в магистрали я использую 192.168.0.х

может это изначальная ошибка?

[Yezhishe]

Попробуй включить NAT в Правилах (первый скрин)...

[Fons]

Попробуй включить NAT в Правилах (первый скрин)...

стоит NAT Магистраль <->локалка

где поставить в КВФ <-> Магистраль?

когда ставлю NAT в выделенном правиле....

у меня обрывается связь из Магистрали!

[Fons]

при включении NAT на локалке.... из магистрали так же не пингуется!

[Yezhishe]

Ну-у, фиг его знает насчёт пинга, но можно просто открыть порт(ы), которыми пользуются игроки...

[Maikll]

А как они (пинги) пойдут, если kwf не знает, куда отправлять пакеты?

Я так думаю это проблема маршрутов?!

Верно, надо дописать маршруты до каждой подсети на всех шлюзах. Здесь расписано, как использовать таблицу маршрутизации.

p.s. делается насколько я вижу обычная сеть, зачем там вообще дополнительные шлюзы?

[Fons]

p.s. делается насколько я вижу обычная сеть, зачем там вообще дополнительные шлюзы?

В каждом общежитии своя сеть...

И надо ограничить выход некоторым личностям из его общежития, т.е. в другую сеть.

2Maikll

я так думаю, если у меня еще пока не стоят остальные шлюзы.... а стоит только один, в одном общежитии маршрутизация работать будет?

я человек малосмыслящий в маршрутизации...

IP адрес и маска сети назначения.

Интерфейс (Interface)

Выбор интерфейса, через который следует отправить определенный пакет.

Шлюз (Gateway)

IP адерс шлюза (маршрутизатор), который может маршрутизировать до сети назначения. IP адрес шлюза должен быть в той же IP подсети, что и выбраный интерфейс.

Показатель (Metric)

Дистанция до сети назначения. Число означает количество маршрутизаторов, через которые должен пройти пакет, чтобы дойти до сети назначения.

Показатель используется для поиска лучшего маршрута до нужной сети. Чем меньше значение показателя, тем "короче" маршрут.

Примечание: показатель в таблице маршрутизации может отличаться от реальной топологии сети. Его можно изменять согласно приоритетности каждой линии и т.д.

Создать статический маршрут (Create a static route)

Активируйте эту опцию, чтобы сделать данный маршрут статическим. Такой маршрут будет автоматически восстанавливаться WinRoute (см. Выше). Можно добавить короткое описание, содержащее различную информацию (зачем сделан маршрут и т.д.).

Если эта функция неактивна, маршрут будет действовать только до перезапуска операционной системы, или пока не будет удален вручную с Администраторского Терминала или командой "route".

и как он должен выглядеть...??

Через какой из 2 интерфейсов у меня отправляется пакет?) подскажите!

[Fons]

почитал... че то натыкал))) так и не понял как и что... объясните по строчкам, что и куда вбивать)))

получил вот такое

но пинг не проходит

[Loader]

На мой взгляд стоит поднять VPN связывающий все сервера. В итоге получится 5я сетка и можно будет оперировать правилами от каждой сети к этой 5й сети

[Timba]

Извиняюсь за оффтоп, но... так ли уж нужен КВФ как тут сказано? Просто в одной конторе я Smoothwall Expess поставил, один раз настроил и вообще про него забыл..... работает и работает причем на достаточно убогом компе..... это я про шлюзы. Может и не нужен КВФ?

Исходя из мировой практики шлюзы - это больше прерогатива Unix-систем а совсем не Windows, даже аппаратные шлюзы делаются на Линуксе. Впрочем, вам решать, не навязываю своего мнения.

[Fons]

На мой взгляд стоит поднять VPN связывающий все сервера. В итоге получится 5я сетка и можно будет оперировать правилами от каждой сети к этой 5й сети

пока настраиваю один шлюз))) с ним бы совладать!

[Maikll]

FAQ: настройка маршрутизации между подсетями.

Вот тут есть пример как настраивать маршрутизацию.

[Fons]

FAQ: настройка маршрутизации между подсетями.

Вот тут есть пример как настраивать маршрутизацию.

тут написано все доходчиво, спасибо.

возникли еще вопросы..

написано, что, для того чтобы 2 сети видели друг друга через шлюз, необходимо прописывать маршруты на хостах (клиентских компах)..

как это можно автоматизаровать? или всетаки надо всем ручками это прописывать?

и нет такого варианта, чтобы маршруты прописать только на шлюзе.. и обе подсети виделидруг друга...

Я могу показаться глупым,и задаю вопросы глупые, прошу за это прощения. ;)

Но очень нужна помошь, чтобы мне все это разъснили на моем примере!

П.С. как тут давать репы)))))??

[Yezhishe]

Вопросы по форуму

Конкретно - пункт 2.28...

[Maikll]

и нет такого варианта, чтобы маршруты прописать только на шлюзе.. и обе подсети виделидруг друга...

как раз такой вариант и изображен на этой схеме

по ссылке автор видимо немного не то имел в виду, когда писал

Настройка клиентских хостов остается такой же, как и в первом случае.

Применимо к конкретной ситуации на примере 2 подсетей

1-й шлюз с керио 192.168.1.1/24 и 192.168.0.1/24

2-й шлюз с керио 192.168.2.1/24 и 192.168.0.2/24

На клиентах в обоих подсетях в качестве шлюза везде прописаны адреса керио своей подсети т.е. все запросные пакеты попадают на шлюз.

Выполняем на шлюзе 1:

route add 192.168.2.0 mask 255.255.255.0 192.168.0.2

На шлюзе 2:

route add 192.168.1.0 mask 255.255.255.0 192.168.0.1

пробуем пинговать компьютеры одной подсети из другой. Если все нормально, закрепляем маршруты через route -p , в противном случае они не сохранятся при перезагрузке.

Тоже самое можно сделать и средствами керио, хотя и в первом случае новые маршруты появятся в нем среди системных.

Останется проблема с видимостью компов в сетевом окружении , это решается настройкой браузинга через lmhosts, равку реестра или (что более правильно) поднятием сервера wins.

Для остальных подсетей маршруты добавляются аналогично.

Изменено 24 февраля, 2009 пользователем Maikll

[Fons]

спасибо.. тогда настрою второй шлюз и сделаю между ними маршруты...

сделаю отпишусь

[Fons]

Возник еще вопрос...

На шлюзе стоит ESET NOD32 BE...

пробовал сделать как тутнаписано.

скачал плагин, но он не устанавливается.. говоритотсутствует nod32.dll

думаю надо не 3ю версию НОДа или совсем другую.

Если у кого есть, выложите пожалуйста!

[Maikll]

Начиная с 6 версии для керио следует устанавливать отдельный продукт - NOD32 для Kerio WinRoute Firewall Он требует покупки лицензии.

Если у кого есть, выложите пожалуйста!

Прочтите Правила.