Меню

dhcp сервер настройка kerio

Сайт технической поддержки
для клиентов фиксированной связи

Настройки

Фильтр

Установка и настройка Proxy/DHCP

Установка и настройка Proxy/DHCP сервера на базе Kerio Winroute Firewall

Внимание! Программа Kerio Winroute Firewall не является бесплатной. Абонент самостоятельно должен позаботиться о лицензии.

  1. Данная конфигурация является рекомендуемой для следующих категорий клиентов:
    a) Юридические лица с Интернетом с выделенным Прокси либо для ethernet-клиентов в бизнес-центрах (прокси в данном случае необходимо только и исключительно для контроля использования сотрудниками Интернета);
    b) Также ее можно использовать для юридических лиц с корпоративными сетями на L3:
    — Причем если используется схема с отдельными линками для Корпоративной Сети и Интернета, то смысл использования Прокси аналогичен предыдущему случаю (1-a);
    — Если используется схема с общим линком для Корпоративной Сети и Интернета, то в данном случае наличие маршрутизирующего прокси-сервера является обязательным, при этом обязательным является поднятие PPPoE-соединения с KWF-сервера;
  2. В зависимости от необходимости Kerio Winroute Firewall (в дальнейшем KWF ) может выполнять следующие функции:
    a) Кеширующий прокси-сервер;
    b) Кеширующий прозрачный прокси-сервер (он же NAT );
    — При использовании как прокси-сервера возможно использование разнообразных ограничений по трафику, проверки на спам и вирусы;
    c) Маршрутизатор/файрволл;
    d) DHCP-сервер.
  3. Минимальные требования для компьютера, на котором устаналивается KWF :
    — CPU 1Ghz;
    — 512Mb RAM;
    — ОС: W2K, WXP, W3KS, Vista, W8KS.

  1. Скачиваем и распаковываем на локальный диск последнюю версию KWF (на данный момент 6.5.2.5127);
  2. Запускаем инсталлятор kerio-kwf-whql-6.5.2-5172-win32.exe;
  3. Внимание! Установка модуля Поддержка VPN является обязательной в том случае, если соединение с Интернетом будем подниматься с этого компьютера (на который ставится KWF) с использованием протокола PPTP. Для всех других случаев этот модуль можно не ставить.
  4. Внимание! На компьюетере с KWF не должно стоять/быть запущенным следующее ПО/сервисы:
    — Windows Firewall / Internet Connection Sharing;
    — Routing and Remote Access (RRAS);
    — Любых сетевых файрволов: Microsoft ISA Server, CheckPoint Firewall-1, WinProxy (by Ositis), Sygate Office Network and Sygate Home Network и т.п.;
    — Любых персональных файрволов: Sunbelt Personal Firewall, Zone Alarm, Sygate Personal Firewall, Norton Personal Firewall, Kaspersky Internet Suite, Agnitum Outpost и т.п.;
    — Любого ПО для VPN: CheckPoint, Cisco Systems, Nortel и т.п.
  5. Кроме этого должно быть остановлено/удалено любое ПО/сервисы, использующее следующие порты:
    — 53/UDP — DNS Forwarder
    — 67/UDP — DHCP server
    — 1900/UDP — SSDP Discovery service
    — 2869/TCP — UPnP Host service
    — 44333/TCP+UDP
  6. Желательно, чтобы было остановлено/удалено любое ПО/сервисы, использующее следующие порты (это можно изменить в настройках KWF ):
    — 443/TCP
    — 3128/TCP
    — 4080/TCP
    — 4081/TCP
    — 4090/TCP+UDP
  7. Помимо этого не рекомендуется использовать любые персональные антивирусные программы на компьютере с SWF . Допускается использование серверных версий антивирусов: AVG, Avast! for Kerio, Clam, NOD32, Sophos, Symantec, VisNetic;
  8. Появится сообщение, выбираем Нет и переходим к следующему пункту.

Настройка KWF как кеширующего прокси-сервера/маршрутизатора с NAT

  1. При первом запуске KWF запускается » Мастер настройки «, работа которого показана ниже. В любой момент времени данный мастер можно запустить еще раз путем нажатия кнопки » Мастер » в меню » Политика трафика » консоли администратора.
  2. Данный пункт выбирается только в том случае, если соединение поднимается в самого KWF-сервера. В том случае, если соединение поднимается с модема, необходимо выбирать » Обычная связь с Интернет — постоянный доступ «.
  3. Для следующего пункта в системе уже должно быть создано PPTP либо PPPoE-соединение. Оно выбирается из выпадающего списка, при этом дополнительно вводятся логин и пароль для данного соединения (выдаются провайдером).
  4. В результате базовые правила для трафика приобретут следующий вид.

Тонкая настройка KWF как кеширующего прокси-сервера/маршрутизатора с NAT

  1. Заходим в консоль администратора и начинаем проверку с пункта » Интерфейсы «.
  2. Должны быть определены интерфейсы, используемые для Интернета. В случае поднятия соединения с KWF сервера — это PPPoE/PPTP-соединения, в случае поднятия соединения с отдельного модема на Интернет — сетевая карта KWF сервера включенная напрямую в данные модем.
  3. Для PPPoE/PPTP-соединения заходим в свойства соединения в KWF на вкладку » Параметры дозвона » и делаем настройки как указано на скриншоте.
  4. Переносим клиентские интерфейсы из пункта » Другие интерфейсы » в » Доверенные/локальные интерфейсы «;
  5. Выключаем » VPN-сервер «.

  1. Заходим в » Политика HTPP » и активируем » Deny sites rated in ISS OrangeWeb filter categories «;
  2. В свойствах » Правило URL»/»Общий » для данного правила нажимаем на кнопку » Выбрать рейтинг » и выбираем те категории, которые должны блокироваться;
    В свойствах » Правило URL»/»Дополнит .» для данного правила вводим (если необходимо) временной интервал и снимаем выбор с » Пользователи могут разблокировать это правило «;
  3. Переходим на вкладку » Кэш » и включаем параметры как показано на рисунке, при этом размер кэша выставляем максимально возможным.
  4. Переходим на вкладку » Прокси-сервер » и включаем параметры как показано на рисунке.

Внимание! В случае поднятия соединения с KWF сервером на сетевых интерфейсах не должно быть маршрутов по умолчанию, иначе данный функционал работать не будет.

  1. На вкладке » Ограничение подключений » устанавливаем ограничение в 100 подключений.
  2. На вкладке » Веб-интерфейс/SSL-VPN » выключаем » Включить сервер Kerio Clientless SSL/VPN » и » Включить веб-интерфейс HTTPS (SSL-защищенный)». Обязательно вводим в поле » Имя сервера WinRoute :» ip-адрес либо DNS-имя машины с KWF (рекомендуется вводить DNS-имя, ибо только с ним будет работать прозрачная доменная авторизация пользователей в KWF).
  3. На вкладке » Проверка обновлений » выключаем » Автоматически проверять для новых версий «.
  4. Если требуется рассылка отчетов (обязательным условиям является наличие почтового сервера либо ящика на каком-либо почтовом сервера), то на вкладке » SMTP релей » вводим DNS-имя сервера в поле » Сервер:» , а также логин и пароль учетной записи на данном сервере.
  5. В случае необходимости блокирование P2P-трафика на вкладке » Фильтр P2P » выбираем » Заблокировать трафик и разрешить только не-P2P соединения «.

Авторизация пользователей и учет трафика

  1. Может быть как локальной (все пользователи заводятся в самом KWF), так и с использованием домена NT/AD (требует наличия контроллера домена). Осуществляется на вкладке » Пользователи и группы/Пользователи «.
  2. Авторизация через AD-домен осуществляется как указано на скриншоте на вкладке » Active Directory «.
  3. Для того, чтобы пользователь не вводил при каждой сессии логин с паролем, можно настроить автоматическую авторизацию как указано на рисунке на вкладке » Параметры аутентификации «. Внимание! Работает только в случае наличия домена, при этом все пользователи и сам KWF должны быть присоединены к домену.
  4. Кроме этого на клиентских машинах в случае использования Internet Explorer должны быть сохранены пароли для машины с KWF (обычно это происходит при первом соединении с клиентской машины и авторизации). Проверить это можно через: » Control Panels → User Accounts → Advanced → Password Manager «.
  5. Кроме этого на клиентских машинах в случае использования Mozilla Firefox требуется в строке URL набрать about:config и в параметре network.automatic-ntlm-auth.trusted-uris установить имя сервера KWF.
    Доступ пользователей для просмотра статистики осуществлятся по URL: http://

  1. Осуществляется на вкладке » Сервер DHCP «.
  2. Для каждой точки (подсети клиента), включая ту точку, где находится KWF-сервер, конфигурируется отдельный диапазон следующим образом:
    — В поля » Первые адрес » и » Последний адрес » вносится весь IP-диапазон данной точки.
    — В поле » Шлюз по умолчанию » на точках КС без Интеренета вносится LAN IP-адрес модема, на точке КС с Интернетом — LAN IP-адрес KWF-сервера.
    Все статические адреса (LAN-адреса модемов, KWF-сервера и любых других серверов) вносятся в список исключений как показано на рисунке (для каждой точки в свой диапазон).
  3. В результате чего для 3х точек КС окно с настройками DHCP-сервера приобретает следующий вид.
  4. Теперь настраиваем параметры общие для всех точек в » Параметрах по умолчанию «. Задаем » Сервер DNS «, при этом он равен либо ip-адресу DNS-сервера клиента (в случае его наличия), либо LAN IP-адресу модема c PPPoE, либо IP-адресу DNS-сервера провайдера. В случае использования домена также вводятся IP-адрес сервера WINS и имя домена.

источник

Читайте также:  как сделать сброс настроек fly fs401

Добавить комментарий

Adblock
detector