Меню Рубрики

Установка и настройка фаервола kerio winroute

Настройка Kerio WinRoute v6.7 для раздачи интернета пользователям в локальной сет и возможности подключения VPN клиентов

По сути, Kerio WinRoute является в первую очередь фаерволом, который может предоставить безопасное соединение рабочим станциям в локальной сети.

У нас стоит задача, предоставить некоторым пользователям локальной сети доступ к интернету, но при этом, не совершая никаких настроек со стороны клиента. Настроить подключение VPN клиентов к нашей локальной сети.

И так, приступим, первым делом нам нужно установить Kerio WinRoute:

Процесс установки весьма прост, и не должен вызвать затруднений, запускаем WinRoute и выбираем язык:

Принимаем лицензионное соглашение:

Выбираем тип установки, я выбрал «Полная», ненужные модули можно будет отключить в панели управления:

Путь установки, если хотите, то можно поменять:

Kerio WinRoute обнаружил службы с которыми могут быть конфликты, и предлагает отключить их, и мы конечно соглашаемся:

Обязательно указываем логин и пароль администратора:

Если мы выполняем установку на своём компьютере (не удалённо), просто продолжаем:

Kerio WinRoute уже готов к работе, но только на 30 дней…, перезагружаем компьютер и останавливаем службу Kerio:

Если вы скачали Kerio WinRoute с нашего сайта и установили x86 версию, то копируем winroute.exe (присутствует в архиве) в каталог с фаерволом, по умолчанию это c:\Program Files\Kerio\WinRoute Firewall\ , с заменой исходного конечно. Теперь копируем license.key в каталог с лицензиями WinRoute, по умолчанию это c:\Program Files\Kerio\WinRoute Firewall\license\. Если вы установили x64 версию, то вам нужно будет пропатчить winroute.exe и сгенерировать license.key самостоятельно (патчи тоже присутствуют).

Запускаем Kerio WinRoute, теперь он работает без ограничений пользователей и времени:

Кликаем 2 раза на иконке Kerio WinRoute в трее и попадаем в окно авторизации, где нам нужно ввести логин и пароль для доступа в панель управления, этот логин и пароль мы указывали во время установки:

После успешной авторизации, мы сразу попадаем в панель управления, откажемся от матера настройки и перейдём в раздел «Интерфейсы«. В этом разделе выберем интерфейс для подключения к интернету, нажмём на него 2 раза и укажем соответствующую группу интерфейсов:

Теперь выбираем интерфейс для локальной сети, в моём случае их два, и я для обоих указал группу «Доверенные/локальные интерфейсы«:

Сетевые платы, должны быть настроены средствами Windows, для одной локальной сети, я указал IP адрес 192.168.1.1 с маской 255.255.255.0, а для другой 192.168.2.1 с маской 255.255.255.0. Сетевая плата для получения интернета у меня была настроена на DHCP режим, то есть получение настроек автоматом.

Теперь сохраним изменения и перейдём в раздел «Политика трафика» где у нас будет уже 2 правила. Первое правило разрешает WinRoute-у ходить куда угодно на любые порты, а второе правило запрещает любой трафик откуда угодно, куда угодно. Правила трафика применяются сверху вниз, таким образом, если вы создадите какое-то разрешающее правило, и оно будет стоять выше правила, которое блокирует весь трафик, то приоритет вашего правила будет выше, и путь для трафика будет открыт:

Теперь приступим к настройкам и добавим новое правило, которое, в итоге, будет разрешать локальный трафик. Потом нажмём два раза на его названии, и укажем своё название:

Теперь нажмем два раза на поле нового правила в колонке «Источник» и поочерёдно добавим нужные объекты, а именно фаервол, VPN клиенты, VPN туннели и локальные интерфейсы:

Добавляем локальные интерфейсы

Точно таким же образом, добавляем эти же объекты в раздел «Назначение», а в разделе «действие» указываем «разрешить«:

Теперь добавляем правило для разрешения доступа локальных пользователей в интернет:

А теперь добавляем правило для разрешения доступа для подключения VPN клиентов, если вам не нужен доступ удалённых VPN клиентов к вашей локальной сети, то можете не создавать данного правила:

А теперь очень важный момент, правило для доступа локальных пользователей в интернет мы создали, но доступа они НЕ получат, так как мы не включили NAT, в разделе «трансляция» этого правила устанавливаем флажок на включении NAT и можем выбрать тип балансировки нагрузки (балансировка нужна лишь при нескольких подключениях к интернету):

Сохраним изменения и перейдём в раздел «Фильтр содержимого => Политика HTTP» и выключим кеширование прозрачного HTTP прокси:

Этими действиями мы полностью отключили фильтрацию трафика и оставили пользователей локальной сети без защиты перед загружаемыми ими данными, но нам этого и не нужно, к тому же мы снимаем большую нагрузку с нашего сервера – пусть пользователи сами беспокоятся об установке антивирусов на своём компьютере.

Включаем DHCP сервер для раздачи сетевых параметров для локальных пользователей:

Добавляем диапазон IP адресов для раздачи в нашей сети №1:

Добавляем диапазон IP адресов для раздачи в нашей сети №2 (этот шаг совсем не нужен, если у вас всего один локальный интерфейс):

Получаем вот такую картину:

Настройки DNS нас устраивают:

Выключим Anti-Spoofing:

Если вам нужно подключение VPN клиентов с использованием SSL оставим галочку, и если вы хотите предоставить пользователям доступ к статистике через ВЕБ интерфейс, тоже оставим соответствующие галочки. Если вы собираетесь проводить авторизацию пользователей через ВЕБ аутентификацию, то вам нужно будет оставить включенным ВЕБ интерфейс (ВЕБ авторизацию мы рассмотрим дальше):

Отключаем проверку обновлений (ну ели вы КУПИЛИ Kerio WinRoute, то можете не отключать):

После проведенных настроек, Kerio WinRoute раздаст сетевые настройки по протоколу DHCP всем клиентам подключенным к любому из локальных интерфейсов, и предоставит доступ к интернету.

Клиент подключенный на интерфейс №1:

Клиент подключенный на интерфейс №2:

Но, если мы хотим предоставить доступ к интернету не всем пользователям, нам нужно включить HTTP авторизацию и добавить каждого пользователя. Можно конечно задать фильтр по IP адресам в политиках трафика, но что стоит клиенту сменить свой IP адрес вручную и получить доступ к интернету?

Включаем HTTP авторизацию при доступе в ВЕБ и автоматическую аутентификацию браузерами, выставляем лимит сеанса при бездействии:

Устанавливаем нужные вам права (или не устанавливаем)

Теперь, при попытке доступа к ВЕБ странице, пользователя бросит на страницу авторизации, и только после успешной авторизации он сможет получить доступ к ВЕБ страницам:

Пару слов про VPN, к сожалению, Kerio WinRoute не поддерживает такие стандарты как PPTP и L2TP, из-за чего установить VPN соединение стандартными средствами Windows не получится, а для подключения используется специальный клиент kerio-control-vpnclient. Ещё одним недостатком, является то, что при помощи VPN соединения не получится подключить пользователя к интернету, так как WinRoute не прописывает VPN клиенту шлюз, доступ будет только к локальным ресурсам. Поддержка подключения интернета через VPN реализована в версии WinRoute 7.4

Не забываем оставлять комментарии и отзывы, нам важно ваше мнение!

Статья супер! А как должно выглядеть правило для Remote Manipulator System, ранее был UserGate5, удалённый стол работал, как только установили Kerio 6, что только не писал, из дома по ID нет подключения. Спасибо за статью и заранее за ответ.

Комментарий добавил: Гость — Osi Не дождёшся, кто б помог Пока сам инет не перерыл, логику включил , может кому пригодится:
— убрать галочку http://i024.radikal.ru/1403/05/365a3539bbaf.jpg,
— или убрать в самой группе URL — http://s019.radikal.ru/i631/1403/e9/e573a92ebf81.jpg,
— ну и само правило http://s006.radikal.ru/i213/1403/e5/86c79c6fb803.jpg.
Если сделал что не так, поправьте.

Комментарий добавил: Гость — Osi Пока сам инет не перерыл, логику включил, может кому пригодится:
— убрать галочку http://i024.radikal.ru/1403/05/365a3539bbaf.jpg,
— или убрать в самой группе URL — http://s019.radikal.ru/i631/1403/e9/e573a92ebf81.jpg,
— ну и само правило http://s006.radikal.ru/i213/1403/e5/86c79c6fb803.jpg.
Если сделал что не так, поправьте.

Комментарий добавил: Гость — genya все сделал как у вас написано, но при запуске интернета никакого всплывающего окна авторизации не появилось

Комментарий добавил: Гость — смотри выше Может Вашу проблему решил ОСИ?

Комментарий добавил: Гость — mertv VPN- работает замечательно перед установкой керио поднимаем роль сервера впн настраиваем затем устанавливаем керио при установке в керио отменить установку керио впн затем как керио установлен добавить правило pptp- разрешить достуб из инета и обратно для впнщиков. Политика трафика (источник)любой-(назначение)fierwall-(служба)pptp.

Комментарий добавил: Гость — Илья Настроил по инструкции, в сети появился интернет, но на раздающем компьютере он не работает. Есть какие варианты?

Комментарий добавил: Гость — ssaich Если есть на компе другие сетевые экраны то нужно их отключать!

У меня вот вопрос, интернет есть, и керио работает и раздает адреса. но политика запрета к одноклассникам работает только там где установлен керио
то есть с другой машины, я набираю в поиске одноклассники и захожу, что я делаю не так ? ))

Комментарий добавил: Гость — Виктор Помогите чайнику, все сделал по инструкции, но интернета на других машинах нету, просто это не первый способ раздачи инета, у меня стоит домен win 2003, этот способ я хотел применить как 2 основной шлюз, первый уже настроен через isa 2004, может где то в домене я должен дать разрешение, ему. Моя система:
домен: MyDomen DNS 192.168.1.1
основной шлюз: 192.168.1.3 — настроен на другой машине здесь стоит isa
просто все это настраивал приглошенный админ, и где и как мне копать незнаю. помогите.

Комментарий добавил: Гость — Виктор Все спс (( сам разобрался. для Ильи Вы входите на раздающем как пользователь, зайдите как админ, все будет ок

Комментарий добавил: Гость — Велл О, спасибо! Помогли! Репостю, репостю и лайкаю)

Комментарий добавил: Гость — Юля Программа уже давно установлена,проблема в том что захожу я программу ввожу пароль,а дальше появляется синее окно. что это может быть.

Комментарий добавил: Гость — Tosha скриншоты делаать надо на экран в ширину, что бы не увеличивать. За статью Спасибо.

по поводу vpn и того что доступа к интернету не будет, организовать можно!

интересная статья про совмещение двух сетей, безло пробежал, на выходных буду пробовать.

Красава. Скрины исправь, сделай версию, под печать, что бы не париться.

Комментарий добавил: Гость — Tosha Хороших начинаний в настройке интернета на раздачу! Красавы!

Посоветовать могу, dhcp делаем, не автоматом, контролим каждый ip
все тонкости не буду рассказывать, как на следующий уровень выйду, может поделюсь, хотя наврятле.

источник

Знакомство с Kerio Winroute Firewall

Процесс подключения корпоративной информационной системы к Интернету связан с решением двух основных задач. Первая из них — предоставить контролируемый совместный доступ сотрудников к глобальной сети. Вторая же — обеспечить защиту от внешних угроз. Часто их рассматривают и решают отдельно друг от друга с помощью разных инструментов.

Однако такой подход имеет целый ряд недостатков. В частности, повышенные затраты на внедрение и обслуживание такой системы. Гораздо удобнее использовать комплексные продукты, которые, с одной стороны обеспечивают совместную работу в Интернете, а с другой — надежно защищают сеть от всего спектра внешних угроз. В качестве примера можно взять Kerio WinRoute Firewall.

Основы работы Kerio WinRoute Firewall

Kerio WinRoute Firewall представляет собой комплексную систему по организации корпоративного доступа к Интернету. По сути, он является полнофункциональным прокси-сервером, тесно интегрированным с целым рядом инструментов для защиты информационной системы предприятия от внешних угроз.

Kerio WinRoute Firewall инсталлируется на интернет-шлюз или любой другой компьютер, играющий его роль. Сам процесс установки прост и понятен, а с настройкой дела обстоят сложнее. Для ее выполнения необходимо обладать определенными знаниями. Впрочем, в этом нет абсолютно ничего удивительного. Все-таки рассматриваемый продукт является корпоративной системой, рассчитанной на обслуживание ИТ-специалистами. Если рассмотреть процесс настройки с их точки зрения, то его можно назвать удобным. Во-первых, он может осуществляться не только локально, но и удаленно с помощью специального приложения — «Консоли администрирования». Это позволяет сотрудникам ИТ-отдела управлять всеми параметрами и оперативно реагировать на любые инциденты, не вставая со своего рабочего места. Во-вторых, практически вся работа с консолью осуществляется в одном окне, а параметры сервера разбиты на группы, представленные в виде древовидного списка. Такой подход наиболее прост и удобен для пользователя. В-третьих, у Kerio WinRoute Firewall есть руководство администратора, в котором подробно расписаны все аспекты настройки и использования этого продукта.

Организовываем доступ в Интернет

Как мы уже говорили, Kerio WinRoute Firewall — полноценный прокси-сервер, позволяющий организовать многопользовательский доступ к одному или нескольким интернет-каналам. Для этого в нем реализованы такие функции, как DHCP-сервер, технология NAT и переадресация DNS-запросов. Благодаря им можно организовать доступ к Интернету любых сетевых приложений. Отдельно стоит отметить поддержку VoIP-трафика. Все-таки сегодня многие компании используют IP-телефонию, а поэтому этот момент достаточно важен. Настроить прокси-сервер можно вручную или воспользоваться специальным пошаговым мастером.

После настройки основных параметров прокси-сервера необходимо создать базу данных пользователей, которые смогут выходить в Интернет через него. Сделать это можно вручную. Однако гораздо быстрее и удобнее импортировать учетные записи из Active Directory или домена Windows NT. Кстати, в программе существует два варианта аутентификации пользователей. Первый предполагает использование собственной базы данных, а второй — Active Directory. Таким образом, внесение и настройка сотрудников компании максимально облегчена.

Следующий момент, на который стоит обратить внимание — настройка системы ограничения полосы пропускания. Она используется для решения сразудвух задач. Первая — уменьшение нагрузки на интернет-канал за счет контроля и ограничения некритичного трафика, вторая — обеспечение бесперебойной работы важных или чувствительных к сбоям сетевых приложений. В рамках этой системы реализовано сразу несколько инструментов. Во-первых, это искусственное ограничение скорости при загрузке или отдаче большого (порог задается администратором) объема информации. Оно очень тонко настраивается. В частности, можно явно указать протоколы, адреса и службы на которые оно будет или, наоборот, не будет распространяться. В результате можно сделать так, чтобы, например, загружаемые пользователями «тяжелые» файлы не мешали работе IP-телефонии.

Во-вторых, в систему ограничения полосы пропускания входит лимитация дневного, недельного и месячного трафика как отдельных пользователей, так и целых их групп. Причем администратор сам выбирает, какие санкции применить к превысившим любой из порогов сотрудникам. Так, можно полностью заблокировать их доступ или же просто снизить до нужного значения доступную им полосу пропускания.

Помимо этого в рассматриваемом прокси-сервере реализован целый ряд других возможностей: кеширование информации, ведение подробного журнала, оповещение администратора о различных событиях и многое, многое другое.

Настраиваем защиту

Для защиты корпоративной сети от внешних угроз в Kerio WinRoute Firewall реализован целый ряд инструментов. Естественно, все они требуют внимания со стороны администратора. Первый из них — система фильтрации трафика. Она состоит сразу из трех подсистем. Начать нужно с политики HTTP. С ее помощью можно заблокировать доступ к нежелательным сайтам и объектам. Задавать их можно несколькими способами: ручным вводом адресов, указанием «стоп-слов» (слов, наличие которых на сайте приведет к блокировке последнего), а также при помощи Kerio Web Filter. О последнем варианте стоит сказать особо. Дело в том, что он позволяет блокировать сайты по категориям. Например, администратор может запретить доступ ко всем игровым порталам, социальным сетям, спортивным и автомобильным ресурсам и пр. Это позволяет не только существенно уменьшить риск заражения рабочих станций вредоносным ПО (как известно, сайты некоторых категорий часто используются для распространения вирусов и троянских коней), но и повысить производительность труда сотрудников компании. Второй инструмент — политика FTP. С ее помощью можно запретить загружать на FTP-сервера или скачивать с них файлы определенных расширений. Особо стоит отметить, что обе эти политики очень гибки. Администратор может установить свои правила для разных пользователей и групп пользователей, а также различных временных интервалов.

Третий инструмент в системе фильтрации трафика — защита от вредоносного ПО. Здесь нужно отметить один момент. У Kerio WinRoute Firewall существует два варианта поставки: со встроенным сканером McAfee и без него. Кроме того, в программе реализована возможность использования внешнего антивирусного ПО (Dr.Web, Nod32, Avast и пр.). Дополнительные антивирусные модули нужно приобретать отдельно. Таким образом, Kerio WinRoute Firewall, фактически, может работать в четырех режимах: без антивируса, только со встроенной или только с внешней защитой или с двойным сканированием (последовательно встроенным и внешним антивирусом).

Следующий инструмент защиты — файрволл, работающий на уровне приложений. Он позволяет очень гибко настраивать политику обработки входящего и исходящего трафика. В правилах файрволла в качестве источника и приемника можно назначать любые хосты, IP-адреса (в том числе их диапазоны и группы), сети, пользователей, входящих VPN-клиентов.

В дополнительных параметрах «Консоли администрирования» можно найти еще один важный для обеспечения информационной безопасности компании инструмент. Речь идет о фильтре P2P-трафика. Это весьма интересное решение, построенное на основе анализа трафика и могущее обнаруживать даже скрытое использование пиринговых сетей. Это немаловажно. Дело в том, что современные P2P-сети очень часто используются для распространения вредоносного ПО. Кроме того, потенциально они могут стать причиной утечки конфиденциальной информации. Именно поэтому рекомендуется активировать данные фильтр и настроить его параметры: выбрать тип реакции на обнаружение пирингового трафика (заблокировать только P2P или весь трафик указанного хоста). Если же запрещать пиринговые сети не планируется, то можно ограничить доступную им полосу пропускания, причем не только на загрузку, но и на выгрузку информации.

Наконец, последний инструмент, который особо хочется отметить — полноценный VPN-сервер, входящий в состав Kerio WinRoute Firewall. Его можно использовать как для подключения удаленных офисов компании, так и для работы отдельных пользователей. В первом случае необходимо установить в каждом из офисов Kerio WinRoute Firewall и организовать VPN-канал между ними. В результате все локальные сети будут интегрированы друг с другом. Во втором случае необходимо использовать VPN-клиент. Стоит отметить, что у рассматриваемого продукта их три: для Windows, MacOS X и Linux.

Выводы

Рассмотрев все возможности Kerio WinRoute Firewall, можно придти к выводу, что данный продукт действительно является комплексной системой для организации контролируемого подключения корпоративной сети к Интернету и, одновременно, для ее защиты от внешних угроз. Такая интеграция значительно упрощает и удешевляет как организацию интернет-шлюза, так и его обслуживание в процессе эксплуатации. Купить Kerio WinRoute Firewall можно у партнеров сети «1Софт».

источник

Читайте также:  Установка распредвалов mazda 626

Добавить комментарий