Форум Kerio-rus  

Вернуться   Форум Kerio-rus > Продукты > Kerio Control (бывший Winroute Firewall)

Важная информация

Ответ
 
Опции темы
Старый 10.10.2016, 13:21   #1
Scarj
 
Аватар для Scarj
 
Регистрация: 01.03.2015
Сообщений: 8
Поблагодарили 1 раз в 1 сообщении
По умолчанию 2 WAN, 1 Lan. Проблема с маршрутизацией и левый IP.

Ситуация следующая.

Имеется два интернет провайдера (WAN и WAN2) и одна локальная сеть (Lan). (3 сетевые карты).
Необходимо чтобы клиент обращаясь на определенные сайты (диапазон адресов) шел к ним по WAN2 во всех остальных случаях шел по WAN.
Вот схемка для наглядности.


OS: Kerio Control Software Appliance 9.1.3-1408
Режим соединения с интернет: - Несколько каналов связи с Интернетом - резервирование
Основной шлюз: WAN (192.168.1.107)
Дополнительный: WAN 2 (10.85.164.192)

Интерфейсы:

Правила трафика:


Фильтрация содержимого:

Правила маршрутизации:


Трассировка через сервер:


Трассировка на прямую если вставляю в ноут кабель от WAN2:



В таблице маршрутизации еще множество подобных правил, для открытия других сайтов через WAN2.

В принципе система работает. Т.е. сидя на клиентском компе я попадаю на указанные сайты (диапазон сайтов) через WAN2, НО
я попадаю, на нихпод каким то левым IP (178.218.205.1) из-за чего меня не пускает на некоторые сайты, так как мой адрес не совпадает с тем что приходит на сетевую карту (10.34.184.162) под которым я и должен работать.

Когда только настраивал и выбирал режим (Несколько каналов связи с Интернетом – балансировка нагрузки). Керио раскидывал по очереди компы и устройства в доме, одним давал работу из под сети WAN, другим из под сети WAN2.
Если оставить только один канал связи, по одному они прекрасно работают. Оставляю только WAN, все спокойно работаю.
Оставляю только WAN2, всех спокойно пускает на нужные ресурсы (без маршрутизации).

Подытожу. Не могу понять где накосячил.
Почему идет разная трассировка при работе через сервер или когда кабель пихаю напрямую в ноут (без сервера)?
Почему запускает на нужные мне сайты под иным IP?

В провайдер звонил, они говорят, что вы получаете внешний айпи, хотя должны работать под внутренним. (Сослались на VPN и прочую лабуду)

З.Ы. Wan - это обычный глобальный интернет. Wan2 - внутренняя сеть страны + внутренние ресурсы провайдера.

Последний раз редактировалось Scarj; 10.10.2016 в 14:03. Причина: Поправил картинки и текст.
Scarj вне форума   Ответить с цитированием Вверх
Старый 10.10.2016, 13:26   #2
Mr.Torture
Пейсатель професеонал
 
Аватар для Mr.Torture
 
Регистрация: 25.09.2009
Адрес: г. Партизанск
Сообщений: 1,054
Поблагодарили 51 раз(а) в 40 сообщениях
По умолчанию Re: 2 WAN, 1 Lan. Проблема с маршрутизацией и левый IP.

Два правила - первое - локалке - группа нужных сайтов - хттп - разрешить - нат - в настройке ната указываешь первый ван, второе правило - локалка - инет хттп - разрешить - нат - в настройках ната указываешь второй ван.
__________________
Welcome to the Torture chamber...
Mr.Torture вне форума   Ответить с цитированием Вверх
Старый 10.10.2016, 19:05   #3
Scarj
 
Аватар для Scarj
 
Регистрация: 01.03.2015
Сообщений: 8
Поблагодарили 1 раз в 1 сообщении
По умолчанию Re: 2 WAN, 1 Lan. Проблема с маршрутизацией и левый IP.

Цитата:
Сообщение от Mr.Torture Посмотреть сообщение
Два правила - первое - локалке - группа нужных сайтов - хттп - разрешить - нат - в настройке ната указываешь первый ван, второе правило - локалка - инет хттп - разрешить - нат - в настройках ната указываешь второй ван.
Тяжеловато понял. Посмотрите, так должно было получится?


При включении двух только что созданных правил, система сообщает что Internet access (NAT) перекрывает созданные мной правила.


Немного переделал.
Wan 2 назначил первому правилу, так как определенные сайты нужно чтобы через Wan 2 шли
И изменил порядок правил. Системный NAT перемести ниже



Кажись эффекта все равно нет нужного.

Последний раз редактировалось Scarj; 10.10.2016 в 19:12. Причина: Изменил правила.
Scarj вне форума   Ответить с цитированием Вверх
Старый 10.10.2016, 19:28   #4
exchar
Охуительный пейсатель
 
Регистрация: 21.04.2008
Сообщений: 2,654
Поблагодарили 182 раз(а) в 152 сообщениях
По умолчанию Re: 2 WAN, 1 Lan. Проблема с маршрутизацией и левый IP.

Цитата:
Сообщение от Scarj Посмотреть сообщение
И изменил порядок правил. Системный NAT перемести ниже
теперь они в нужном порядке
вопрос скорее зачем отдельно третье сверху правило и не надо ли его отключить, а источники из него перенести во второе

Цитата:
Сообщение от Scarj Посмотреть сообщение
Кажись эффекта все равно нет нужного.
а что, все сайты в 2016 году внезапно стали работать только через http?..
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar на форуме   Ответить с цитированием Вверх
Старый 10.10.2016, 21:02   #5
Scarj
 
Аватар для Scarj
 
Регистрация: 01.03.2015
Сообщений: 8
Поблагодарили 1 раз в 1 сообщении
По умолчанию Re: 2 WAN, 1 Lan. Проблема с маршрутизацией и левый IP.

Цитата
Сообщение от exchar Посмотреть сообщение
теперь они в нужном порядке
вопрос скорее зачем отдельно третье сверху правило и не надо ли его отключить, а источники из него перенести во второе

а что, все сайты в 2016 году внезапно стали работать только через http?..
Исправил. Службам разрешил всем, а NAT что был по умолчанию отключил пока.
Вот что получилось.


Проблему это увы все равно не решило. Сейчас еще эксперементировал с настройками, эффект все тот же.
На внутренние ресурсы провайдера, как и на прочие через WAN2, пускает с иным IP, указанным ранее.

Не пойму почему мой айпи меняется.
Scarj вне форума   Ответить с цитированием Вверх
Старый 10.10.2016, 22:57   #6
exchar
Охуительный пейсатель
 
Регистрация: 21.04.2008
Сообщений: 2,654
Поблагодарили 182 раз(а) в 152 сообщениях
По умолчанию Re: 2 WAN, 1 Lan. Проблема с маршрутизацией и левый IP.

Цитата:
Сообщение от Scarj Посмотреть сообщение
Проблему это увы все равно не решило.
1) как настроено хождение DNS?
2) wan, wan 2 - статика или ppp интерфейс?
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar на форуме   Ответить с цитированием Вверх
Старый 10.10.2016, 23:47   #7
Mr.Torture
Пейсатель професеонал
 
Аватар для Mr.Torture
 
Регистрация: 25.09.2009
Адрес: г. Партизанск
Сообщений: 1,054
Поблагодарили 51 раз(а) в 40 сообщениях
По умолчанию Re: 2 WAN, 1 Lan. Проблема с маршрутизацией и левый IP.

Scarj, тебя не смущает на последнем скрине в отключенном правиле надпись, что оно используется прямо сейчас? Надо разрывать все подключения после изменений правил и добавления новых, чтоб заново устанавливались уже по новым.
__________________
Welcome to the Torture chamber...
Mr.Torture вне форума   Ответить с цитированием Вверх
Старый 11.10.2016, 07:18   #8
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,548
Поблагодарили 21 раз(а) в 15 сообщениях
По умолчанию Re: 2 WAN, 1 Lan. Проблема с маршрутизацией и левый IP.

Scarj, правила и все такое это все песдато конечно, но то что ты хочешь решается при схеме "распределение нагрузки на каналы", а не при схеме "резервирование", которая выбрана у тебя в настройках интерфейсов )))). Если ты заглянешь в маршруты сейчас, то увидишь, что дефолтный маршрут у тебя один.

Mr.Torture, слона то я и не приметил?
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Старый 11.10.2016, 07:29   #9
Mr.Torture
Пейсатель професеонал
 
Аватар для Mr.Torture
 
Регистрация: 25.09.2009
Адрес: г. Партизанск
Сообщений: 1,054
Поблагодарили 51 раз(а) в 40 сообщениях
По умолчанию Re: 2 WAN, 1 Lan. Проблема с маршрутизацией и левый IP.

EnMan, да я первый ответ писал с телефона - не разглядеть на нём было этих скринов ))
__________________
Welcome to the Torture chamber...
Mr.Torture вне форума   Ответить с цитированием Вверх
Старый 11.10.2016, 07:47   #10
Scarj
 
Аватар для Scarj
 
Регистрация: 01.03.2015
Сообщений: 8
Поблагодарили 1 раз в 1 сообщении
По умолчанию Re: 2 WAN, 1 Lan. Проблема с маршрутизацией и левый IP.

Цитата
Сообщение от exchar Посмотреть сообщение
wan, wan 2 - статика или ppp интерфейс?
Обе карты получают автоматически.
WAN - получает от модема по DHCP
WAN2 - получает от провайдера по DHCP


Цитата
Сообщение от exchar Посмотреть сообщение
как настроено хождение DNS?
В самом Kerio дополнительно DNS не настраивал.

Цитата:
Сообщение от Mr.Torture Посмотреть сообщение
Scarj, тебя не смущает на последнем скрине в отключенном правиле надпись, что оно используется прямо сейчас? Надо разрывать все подключения после изменений правил и добавления новых, чтоб заново устанавливались уже по новым.
Скрин на скорую руку делал, потом все переподключил. Стандартное NAT правило уже не функционирует.

Цитата:
Сообщение от EnMan Посмотреть сообщение
Scarj, правила и все такое это все песдато конечно, но то что ты хочешь решается при схеме "распределение нагрузки на каналы", а не при схеме "резервирование", которая выбрана у тебя в настройках интерфейсов )))).
Но при "распределение нагрузки" он раскидывает мне клиентов по очереди, мне это не нужно. Нужно чтобы все работали через WAN, а когда обращаются к определенным ресурсам, которые я загнал в таблицу маршрутизации и в "Группы IP адресов" работал через WAN2.
Если туплю или чего-то не вижу, прошу тыкнуть )

Цитата:
Сообщение от EnMan Посмотреть сообщение
Если ты заглянешь в маршруты сейчас, то увидишь, что дефолтный маршрут у тебя один.
Дефолтный маршрут у меня и в правду один, вы правы, я с самого начала видел, но думал смогу решить с помощью маршрутов.
Scarj вне форума   Ответить с цитированием Вверх
Старый 11.10.2016, 08:09   #11
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,548
Поблагодарили 21 раз(а) в 15 сообщениях
По умолчанию Re: 2 WAN, 1 Lan. Проблема с маршрутизацией и левый IP.

Для того, чтобы Контрол роутил на основании правил нужно переключить схему в распределение нагрузки и настроить NAT через конкретные интерфейсы на всех без исключения правилах NAT. И все будет. На время теста сними галки использовать другой интерфейс, если не доступен указанный. После теста верни его назад.
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Старый 12.10.2016, 06:33   #12
Scarj
 
Аватар для Scarj
 
Регистрация: 01.03.2015
Сообщений: 8
Поблагодарили 1 раз в 1 сообщении
По умолчанию Re: 2 WAN, 1 Lan. Проблема с маршрутизацией и левый IP.

Товарисчи пейсатели, телепаты и професеоналы! Большое спасибо, проблема решена!
Последний штрихом действительно оставалось перевести в режим "распределение нагрузки", (+ отключил на WAN2 использовать для балансировки) хотя ранее его уже применял, но видимо прямоты рук не хватило.
Чуть позже загружу пошаговую инструкцию для будущих балбесов.
(Пока тему не закрывайте, сообщение отредактирую это.)

P.S. Хотя так и не понял, почему оборудование провайдера выдавало мне внешний IP и пускало по другому маршруту)
Scarj вне форума   Ответить с цитированием Вверх
Старый 13.10.2016, 09:25   #13
Scarj
 
Аватар для Scarj
 
Регистрация: 01.03.2015
Сообщений: 8
Поблагодарили 1 раз в 1 сообщении
По умолчанию 2 WAN, 1 Lan. Проблема с маршрутизацией и левый IP.

Пример настройки Kerio Control (9.1.3) имеющего 3 сетевые карты, 2 провайдера и 1 локальная сеть (2 WAN 1LAN).


Задача следующая. Основная нагрузка и работа в сети интернет должна осуществляться через WAN, а при обращении на определенные ресурсы, сервер должен пускать пользователей через WAN2.


Настройка осуществляется на свежую, только что установленную систему. При применении на ранее функционирующую систему, убедитесь в отсутствии конфликтных правил и маршрутов.

Порядок действий:
1. Настройка интернет интерфейсов и локальных интерфейсов через мастер, в частности выбор режима. (Вкладка "Интерфейсы")
2. Создание группы необходимых IP адресов для работы через WAN2 (Вкладка "Группы IP-адресов")
3. Создание таблиц маршрутизации аналогичных группе ранее добавленных IP адресов (Вкладка "Таблица маршрутизации")
4. Создание двух правил трафика, для первого и второго WAN. (Вкладка "Правила трафика")
5. Настройка DHCP, если это необходимо. (Вкладка "Сервер DHCP").
6. Проверка выполнения поставленных перед сервером задач, перезагрузка сервера и повторная проверка.

Поехали
1. Настройка интернет интерфейсов

Комментарий: WAN - глобальный интернет. WAN2 - второстепенная сеть, через которую нужно направлять клиентов при обращении на определенные сайты указанные в таблице маршрутизации и группе IP адресов.



2. Создание группы IP адресов


Комментарий: Создаете группу IP адресов при обращении к которым сервер должен вас пускать в интернет через WAN2.
Создав группу, добавляете в нее необходимое вам количество адресов или сетей.



3. Создание таблиц маршрутизации

Комментарий: В таблице маршрутизации добавьте статические маршруты, которые будут говорить о том, чтобы попасть в указанную сеть (сайты которые в ней находятся) должна идти через определенный шлюз и определенный интерфейс.
В моем случае:
Сеть в которой находятся необходимые мне сайты: 178.218.200.0
Маска указывает диапазон адресов в сети: 255.255.248.0
Шлюз провайдера, через который должно все перенаправляться: 10.34.184.161
Интерфейс через который должно работать: WAN2



4. Создание двух правил трафика

Комментарий: Для создания правил можете клонировать системное правило "Internet access (NAT)" и исправлять его по подобию картинки выше.
One rule - правило в котором мы говорим что все локальные ресурсы при обращении к ранее созданной группе IP адресов "TuronLocal" по любой службе и любой версии IP, разрешаем транслировать через NAT (WAN2).
Two rule - правило в котором мы говорим, что вся остальная работа должна осуществляться через NAT (WAN).



5. Настройка DHCP

Примечание: Тут уже как вашей душе угодно. Хотите в автоматическом режиме пусть сервер выдает адреса, хотите переведите в ручной режим. Я перевел в ручной, так как мне нужно было раздавать определенный диапазон адресов. Хотя это можно было сделать и через "Исключения" но не об этом разговор сейчас.



6. Проверяем работоспособность
Можно пробовать включать клиентские компы и проверять работоспособность схемы. Если все работает, перегружаем сервер и проверяем вновь.
В принципе настройка завершена.

Один вопрос к админам, вчера после перезагрузки на клиентском компе меня снова перестало пускать по тем правилам что установлены в Керио. Помучившись минут 10 он вроде как сам заработал, толком ничего не менял.
Вопрос. Нормально ли то, что в системном маршруте, время от времени самостоятельно меняется шлюз, то от WAN, то от WAN2 ?
И маршрут по умолчанию все равно 1 будет? даже с учетом того что распределение нагрузки стоит?

Последний раз редактировалось Scarj; 13.10.2016 в 10:20.
Scarj вне форума   Ответить с цитированием Вверх
Пользователь сказал cпасибо:
exchar (13.10.2016)
Старый 13.10.2016, 11:33   #14
tihon_one
ExKerio RU staff
 
Регистрация: 14.07.2009
Адрес: Kerio Russia
Сообщений: 893
Поблагодарили 4 раз(а) в 4 сообщениях
По умолчанию Re: 2 WAN, 1 Lan. Проблема с маршрутизацией и левый IP.

я таки дико извиняюсь но так вот вы делать не пробовали?
[Для просмотра данной ссылки нужно зарегистрироваться]
tihon_one вне форума   Ответить с цитированием Вверх
Старый 13.10.2016, 11:55   #15
Scarj
 
Аватар для Scarj
 
Регистрация: 01.03.2015
Сообщений: 8
Поблагодарили 1 раз в 1 сообщении
По умолчанию Re: 2 WAN, 1 Lan. Проблема с маршрутизацией и левый IP.

Цитата
Сообщение от tihon_one Посмотреть сообщение
я таки дико извиняюсь но так вот вы делать не пробовали?
[Для просмотра данной ссылки нужно зарегистрироваться]
Хотите сказать в этом случае таблица маршрутизации ненужна?
И он спокойно будет распределять между сетевыми картами с отключенной балансировкой без изменения IP?
Я просто что-то подобное пробовал уже.
Scarj вне форума   Ответить с цитированием Вверх
Старый 13.10.2016, 14:58   #16
tihon_one
ExKerio RU staff
 
Регистрация: 14.07.2009
Адрес: Kerio Russia
Сообщений: 893
Поблагодарили 4 раз(а) в 4 сообщениях
По умолчанию Re: 2 WAN, 1 Lan. Проблема с маршрутизацией и левый IP.

да, будет, это работает.
tihon_one вне форума   Ответить с цитированием Вверх
Старый 13.10.2016, 16:54   #17
Scarj
 
Аватар для Scarj
 
Регистрация: 01.03.2015
Сообщений: 8
Поблагодарили 1 раз в 1 сообщении
По умолчанию Re: 2 WAN, 1 Lan. Проблема с маршрутизацией и левый IP.

Цитата
Сообщение от tihon_one Посмотреть сообщение
да, будет, это работает.
Сейчас специально попробовал.
Режим - балансировка нагрузки
WAN2 - убрана галка "использовать для балансировки нагрузки"
В правилах трафика стоят два правила "Первое" правило говорит всем локальным адресам что обращаясь к указанному списку IP адресов, по протоколам HTTP. HTTPS и FTP нужно идти через NAT WAN2
"Второе" правило говорит использовать NAT с распределением нагрузки для хоста.
Также специально отключил статические маршруты, так как этого нет в инструкции.

Сделал, работать перестало.
Перезагрузил сервер, заработало!
Правда маршрут трассировки изменился значительно, (увеличился в два раза и маршрут через первый WAN идет) но на конечный результат это не повлияло.
Работает даже без таблицы маршрутизации.

Сижу соображаю.

Сейчас проверял на стрессоустойчивость.
Вытащил кабель, вернул его, сервер перестал пускать к нужным ресурсам через WAN2.
Возобновилась нормальная работа, только после перезагрузки сервера.
Долго необходимо ждать чтобы сервер сам додумался или все же требуется перезагрузить после этого?

Последний раз редактировалось Scarj; 13.10.2016 в 18:08. Причина: Появилось много вопросов)
Scarj вне форума   Ответить с цитированием Вверх
Старый 19.01.2017, 15:18   #18
Dandi91
 
Регистрация: 16.01.2017
Сообщений: 2
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: 2 WAN, 1 Lan. Проблема с маршрутизацией и левый IP.

Огромное спасибо! Просто чудодейственный способ по простоте и работоспособности!
Dandi91 вне форума   Ответить с цитированием Вверх
Старый 27.06.2018, 11:32   #19
cruth
 
Регистрация: 27.06.2018
Сообщений: 1
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: 2 WAN, 1 Lan. Проблема с маршрутизацией и левый IP.

А можно мануал по новому картинки загрузить или отправить сне на почту
cruth вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 13:48. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях