Настройка Kerio WinRoute v6.7 для раздачи интернета пользователям в локальной сет и возможности подключения VPN клиентов

Добавлен: 



 

По сути, Kerio WinRoute является в первую очередь фаерволом, который может предоставить безопасное соединение рабочим станциям в локальной сети.

У нас стоит задача, предоставить некоторым пользователям локальной сети доступ к интернету, но при этом, не совершая никаких настроек со стороны клиента. Настроить подключение VPN клиентов к нашей локальной сети.

И так, приступим, первым делом нам нужно установить Kerio WinRoute:

Процесс установки весьма прост, и не должен вызвать затруднений, запускаем WinRoute и выбираем язык:

Kerio WinRoute установка

Продолжаем установку:

Kerio WinRoute установка

Принимаем лицензионное соглашение:

Kerio WinRoute установка лицензия

Выбираем тип установки, я выбрал «Полная», ненужные модули можно будет отключить в панели управления:

Kerio WinRoute тип установки

Путь установки, если хотите, то можно поменять:

Kerio WinRoute путь установки

Kerio WinRoute обнаружил службы с которыми могут быть конфликты, и предлагает отключить их, и мы конечно соглашаемся:

Kerio WinRoute конфликты со службами

Обязательно указываем логин и пароль администратора:

Kerio WinRoute учётная запись администратора

Если мы выполняем установку на своём компьютере (не удалённо), просто продолжаем:

Kerio WinRoute удалённая установка

Устанавливаем:

Kerio WinRoute установка

Спустя минутку:

Kerio WinRoute установлен

Kerio WinRoute уже готов к работе, но только на 30 дней…, перезагружаем компьютер и останавливаем службу Kerio:

останавливаем Kerio WinRoute

Если вы скачали Kerio WinRoute с нашего сайта и установили x86 версию, то копируем winroute.exe (присутствует в архиве) в каталог с фаерволом, по умолчанию это c:\Program Files\Kerio\WinRoute Firewall\ , с заменой исходного конечно. Теперь копируем license.key в каталог с лицензиями WinRoute, по умолчанию это c:\Program Files\Kerio\WinRoute Firewall\license\. Если вы установили x64 версию, то вам нужно будет пропатчить winroute.exe и сгенерировать license.key самостоятельно (патчи тоже присутствуют).

Запускаем Kerio WinRoute, теперь он работает без ограничений пользователей и времени:

запускаем Kerio WinRoute

Кликаем 2 раза на иконке Kerio WinRoute в трее и попадаем в окно авторизации, где нам нужно ввести логин и пароль для доступа в панель управления, этот логин и пароль мы указывали во время установки:

Kerio WinRoute подключение к серверу

После успешной авторизации, мы сразу попадаем в панель управления, откажемся от матера настройки и перейдём в раздел "Интерфейсы". В этом разделе выберем интерфейс для подключения к интернету, нажмём на него 2 раза и укажем соответствующую группу интерфейсов:

настройка интернет интерфейсов Kerio WinRoute

Теперь выбираем интерфейс для локальной сети, в моём случае их два, и я для обоих указал группу "Доверенные/локальные интерфейсы":

настройка локальных интерфейсов

Сетевые платы, должны быть настроены средствами Windows, для одной локальной сети, я указал IP адрес 192.168.1.1 с маской 255.255.255.0, а для другой 192.168.2.1 с маской 255.255.255.0. Сетевая плата для получения интернета у меня была настроена на DHCP режим, то есть получение настроек автоматом.

Теперь сохраним изменения и перейдём в раздел "Политика трафика" где у нас будет уже 2 правила. Первое правило разрешает WinRoute-у ходить куда угодно на любые порты, а второе правило запрещает любой трафик откуда угодно, куда угодно. Правила трафика применяются сверху вниз, таким образом, если вы создадите какое-то разрешающее правило, и оно будет стоять выше правила, которое блокирует весь трафик, то приоритет вашего правила будет выше, и путь для трафика будет открыт:

политика трафика Kerio WinRoute

Теперь приступим к настройкам и добавим новое правило, которое, в итоге, будет разрешать локальный трафик. Потом нажмём два раза на его названии, и укажем своё название:

добавим новое правило в Kerio WinRoute

Теперь нажмем два раза на поле нового правила в колонке "Источник" и поочерёдно добавим нужные объекты, а именно фаервол, VPN клиенты, VPN туннели и локальные интерфейсы:

добавим источники трафика в Kerio WinRoute

Добавляем фаервол

добивим фаервол как источник Kerio WinRoute

Добавляем VPN клиентов

добавим VPN клиентов как источник Kerio WinRoute     добавим vpn тунели как источник Kerio WinRoute

Добавляем VPN тунели

добавляем локальные интерфейсы как источник Kerio WinRoute     

Добавляем локальные интерфейсы

     

 

Весь список

Вот что получилось

Точно таким же образом, добавляем эти же объекты в раздел «Назначение», а в разделе "действие" указываем "разрешить":

Теперь добавляем правило для разрешения доступа локальных пользователей в интернет:

А теперь добавляем правило для разрешения доступа для подключения VPN клиентов, если вам не нужен доступ удалённых VPN клиентов к вашей локальной сети, то можете не создавать данного правила:

А теперь очень важный момент, правило для доступа локальных пользователей в интернет мы создали, но доступа они НЕ получат, так как мы не включили NAT, в разделе "трансляция" этого правила устанавливаем флажок на включении NAT и можем выбрать тип балансировки нагрузки (балансировка нужна лишь при нескольких подключениях к интернету):

     

Сохраним изменения и перейдём в раздел "Фильтр содержимого => Политика HTTP" и выключим кеширование прозрачного HTTP прокси:

Выключим сам прокси:

Выключим ВЕБ фильтр:

Выключим антифирус:

Этими действиями мы полностью отключили фильтрацию трафика и оставили пользователей локальной сети без защиты перед загружаемыми ими данными, но нам этого и не нужно, к тому же мы снимаем большую нагрузку с нашего сервера – пусть пользователи сами беспокоятся об установке антивирусов на своём компьютере.

Включаем DHCP сервер для раздачи сетевых параметров для локальных пользователей:

Добавляем диапазон IP адресов для раздачи в нашей сети №1:

     

Добавляем диапазон IP адресов для раздачи в нашей сети №2 (этот шаг совсем не нужен, если у вас всего один локальный интерфейс):

Получаем вот такую картину:

Настройки DNS нас устраивают:

Выключим Anti-Spoofing:

Если вам нужно подключение VPN клиентов с использованием SSL оставим галочку, и если вы хотите предоставить пользователям доступ к статистике через ВЕБ интерфейс, тоже оставим соответствующие галочки. Если вы собираетесь проводить авторизацию пользователей через ВЕБ аутентификацию,  то вам нужно будет оставить включенным ВЕБ интерфейс (ВЕБ авторизацию мы рассмотрим дальше):

Отключаем проверку обновлений (ну ели вы КУПИЛИ Kerio WinRoute, то можете не отключать):

После проведенных настроек, Kerio WinRoute раздаст сетевые настройки по протоколу DHCP всем клиентам подключенным к любому из локальных интерфейсов, и предоставит доступ к интернету.

 

Клиент подключенный на интерфейс №1:

Клиент подключенный на интерфейс №2:

Но, если мы хотим предоставить доступ к интернету не всем пользователям, нам нужно включить HTTP авторизацию и добавить каждого пользователя. Можно конечно задать фильтр по IP адресам в политиках трафика, но что стоит клиенту сменить свой IP адрес вручную и получить доступ к интернету?

Включаем HTTP авторизацию при доступе в ВЕБ и автоматическую аутентификацию браузерами, выставляем лимит сеанса при бездействии:

Создаём группу:

          

Устанавливаем нужные вам права (или не устанавливаем)

Добавляем пользователей:

Прикрепляем к группе:

Теперь, при попытке доступа к ВЕБ странице, пользователя бросит на страницу авторизации, и только после успешной авторизации он сможет получить доступ к ВЕБ страницам:

          

Пару слов про VPN, к сожалению, Kerio WinRoute не поддерживает такие стандарты как PPTP и L2TP, из-за чего установить VPN соединение стандартными средствами Windows не получится, а для подключения используется специальный клиент kerio-control-vpnclient. Ещё одним недостатком, является то, что при помощи VPN соединения не получится подключить пользователя к интернету, так как WinRoute не прописывает VPN клиенту шлюз, доступ будет только к локальным ресурсам. Поддержка подключения интернета через VPN реализована в версии WinRoute 7.4

Не забываем оставлять комментарии и отзывы, нам важно ваше мнение!

А еcли статья Вам очень понравилась и Вы считаете, что она достойна внимания. Тогда просто поделитесь ею, в социальной сети:


Интересная рекламма:


Возможно вам будет интересно
Скачать бесплатно Kerio Winroute Firewall 6.7.1 build 6399 – комплекс для подключения и защиты локальной сети к сети интернет Настройка FTP сервера, для хранения данных. FTP сервер для Windows Скачать бесплатно Dataram RAMDisk v3.5.130R24 – программа для создания виртуального диска в оперативной памяти (для ОС Windows)

Комментарий добавил: Гость - ReRe
Добавлен: 22 01 2014 15:04:14
Гость - ReRe

Комментарий добавил: Гость - Osi
Добавлен: 23 03 2014 19:57:49
Гость - Osi
Статья супер! А как должно выглядеть правило для Remote Manipulator System, ранее был UserGate5, удалённый стол работал, как только установили Kerio 6, что только не писал, из дома по ID нет подключения. Спасибо за статью и заранее за ответ.

Комментарий добавил: Гость - Osi
Добавлен: 30 03 2014 17:59:19
Гость - Osi
Не дождёшся, кто б помог Пока сам инет не перерыл, логику включил , может кому пригодится:
- убрать галочку http://i024.radikal.ru/1403/05/365a3539bbaf.jpg,
- или убрать в самой группе URL - http://s019.radikal.ru/i631/1403/e9/e573a92ebf81.jpg,
- ну и само правило http://s006.radikal.ru/i213/1403/e5/86c79c6fb803.jpg.
Если сделал что не так, поправьте.

Комментарий добавил: Гость - Osi
Добавлен: 30 03 2014 18:01:27
Гость - Osi
Пока сам инет не перерыл, логику включил, может кому пригодится:
- убрать галочку http://i024.radikal.ru/1403/05/365a3539bbaf.jpg,
- или убрать в самой группе URL - http://s019.radikal.ru/i631/1403/e9/e573a92ebf81.jpg,
- ну и само правило http://s006.radikal.ru/i213/1403/e5/86c79c6fb803.jpg.
Если сделал что не так, поправьте.

Комментарий добавил: Гость - genya
Добавлен: 03 06 2014 14:14:18
Гость - genya
все сделал как у вас написано, но при запуске интернета никакого всплывающего окна авторизации не появилось

Комментарий добавил: Гость - смотри выше
Добавлен: 05 06 2014 19:38:10
Гость - смотри выше
Может Вашу проблему решил ОСИ?

Комментарий добавил: Гость - mertv
Добавлен: 07 07 2014 08:16:05
Гость - mertv
VPN- работает замечательно перед установкой керио поднимаем роль сервера впн настраиваем затем устанавливаем керио при установке в керио отменить установку керио впн затем как керио установлен добавить правило pptp- разрешить достуб из инета и обратно для впнщиков. Политика трафика (источник)любой-(назначение)fierwall-(служба)pptp.

Комментарий добавил: Гость - Илья
Добавлен: 24 07 2014 23:10:17
Гость - Илья
Настроил по инструкции, в сети появился интернет, но на раздающем компьютере он не работает. Есть какие варианты?

Комментарий добавил: Гость - ssaich
Добавлен: 20 08 2014 14:37:42
Гость - ssaich
Если есть на компе другие сетевые экраны то нужно их отключать!

У меня вот вопрос, интернет есть, и керио работает и раздает адреса. но политика запрета к одноклассникам работает только там где установлен керио
то есть с другой машины, я набираю в поиске одноклассники и захожу, что я делаю не так ? ))

Комментарий добавил: Гость - Виктор
Добавлен: 03 10 2014 16:50:21
Гость - Виктор
Помогите чайнику, все сделал по инструкции, но интернета на других машинах нету, просто это не первый способ раздачи инета, у меня стоит домен win 2003, этот способ я хотел применить как 2 основной шлюз, первый уже настроен через isa 2004, может где то в домене я должен дать разрешение, ему. Моя система:
домен: MyDomen DNS 192.168.1.1
основной шлюз: 192.168.1.3 - настроен на другой машине здесь стоит isa
просто все это настраивал приглошенный админ, и где и как мне копать незнаю. помогите!!!!

Комментарий добавил: Гость - Виктор
Добавлен: 01 12 2014 08:08:55
Гость - Виктор
Все спс (( сам разобрался. для Ильи Вы входите на раздающем как пользователь, зайдите как админ, все будет ок

Комментарий добавил: Гость - Велл
Добавлен: 01 12 2014 11:08:02
Гость - Велл
О, спасибо! Помогли! Репостю, репостю и лайкаю)

Комментарий добавил: Гость - Юля
Добавлен: 26 02 2015 09:45:43
Гость - Юля
Программа уже давно установлена,проблема в том что захожу я программу ввожу пароль,а дальше появляется синее окно...что это может быть???

Комментарий добавил: Гость - Tosha
Добавлен: 20 08 2015 17:06:30
Гость - Tosha
скриншоты делаать надо на экран в ширину, что бы не увеличивать. За статью Спасибо.

по поводу vpn и того что доступа к интернету не будет, организовать можно!

интересная статья про совмещение двух сетей, безло пробежал, на выходных буду пробовать.

Красава. Скрины исправь, сделай версию, под печать, что бы не париться.

Комментарий добавил: Гость - Tosha
Добавлен: 20 08 2015 17:12:49
Гость - Tosha
Хороших начинаний в настройке интернета на раздачу! Красавы!

Посоветовать могу, dhcp делаем, не автоматом, контролим каждый ip
все тонкости не буду рассказывать, как на следующий уровень выйду, может поделюсь, хотя наврятле....

Сайт фирмы garantrem.ru

Комментарий добавил: Гость - Vasya
Добавлен: 2016 10 18 06:18:42
Гость - Vasya
Задача: В интернете, клиента (с IP-адресом) А, нужно подключить к серверу С, через еще 1 компьтер (шлюз) Б, потому что сервер С разрешает установку соединения только с IP-адресом клиента Б. Предполагается что Компьютер Б будет получать пакеты от А и перенаправлять их на С, о тсвоего имени, и ответы возвращать клиенту А. Чтоб отличать пакеты с А на Б, предназначенные для клиента С, от остального трафика с А на Б, предполагается пересылать их через порт хххх, который будет заменяться на компьютере Б на порт 80, и обратные пакеты с тоже должны переименовываться с порта 80 на порт хххх. Во время "сессии" А-(Б)-С, никакой другой активности Б <-> С через порт 80 не предполагается.

Вопрос:
- можно ли данную задачу решить с помощью программы керио, и как?
- (переадресацию трафика А с "С" на "Б" можно выполнить с помощью записи в файле h

Комментарий добавил: Гость - smislic
Добавлен: 2016 11 26 09:22:14
Гость - smislic
Огромное спасибо! Помогли!

Комментарий добавил: Гость - Нурислам
Добавлен: 2017 01 29 15:41:11
Гость - Нурислам
А как все таки сделать фильтр по IP адресам,чтобы к инету могли не все подключаться?

Добавление комментария

Имя -

E-mail -





Читать в Яндекс.Ленте

Яндекс.Метрика


Power by xDroid. Copyright © 2009 - 2017 VEB.name
Копирование информации только с обратной ссылкой
Время генерации страницы : 0.0179 сек.