И так, приступим, первым делом нам нужно
установить Kerio WinRoute:
Процесс установки весьма прост, и не должен вызвать затруднений, запускаем WinRoute и выбираем язык:
Продолжаем установку:
Принимаем лицензионное соглашение:
Выбираем тип установки, я выбрал «
Полная», ненужные модули можно будет отключить в панели управления:
Путь установки, если хотите, то можно поменять:
Kerio WinRoute обнаружил службы с которыми могут быть конфликты, и предлагает отключить их, и мы конечно соглашаемся:
Обязательно указываем логин и пароль администратора:
Если мы выполняем установку на своём компьютере (не удалённо), просто продолжаем:
Устанавливаем:
Спустя минутку:
Kerio WinRoute уже готов к работе, но только на 30 дней…, перезагружаем компьютер и останавливаем службу Kerio:
Копируем
license.key в каталог с лицензиями WinRoute, по умолчанию это
c:\Program Files\Kerio\WinRoute Firewall\license\.
Запускаем Kerio WinRoute, теперь он работает без ограничений пользователей и времени:
Кликаем 2 раза на иконке Kerio WinRoute в трее и попадаем в окно авторизации, где нам нужно ввести логин и пароль для доступа в панель управления, этот логин и пароль мы указывали во время установки:
После успешной авторизации, мы сразу попадаем в панель управления, откажемся от матера настройки и перейдём в раздел "
Интерфейсы". В этом разделе выберем интерфейс для подключения к интернету, нажмём на него 2 раза и укажем соответствующую группу интерфейсов:
Теперь выбираем интерфейс для локальной сети, в моём случае их два, и я для обоих указал группу "
Доверенные/локальные интерфейсы":
Сетевые платы, должны быть
настроены средствами Windows, для одной локальной сети, я указал IP адрес
192.168.1.1 с маской
255.255.255.0, а для другой
192.168.2.1 с маской
255.255.255.0. Сетевая плата для получения интернета у меня была настроена на DHCP режим, то есть получение настроек автоматом.
Теперь сохраним изменения и перейдём в раздел "
Политика трафика" где у нас будет уже 2 правила. Первое правило разрешает WinRoute-у ходить куда угодно на любые порты, а второе правило запрещает любой трафик откуда угодно, куда угодно. Правила трафика применяются сверху вниз, таким образом, если вы создадите какое-то разрешающее правило, и оно будет стоять выше правила, которое блокирует весь трафик, то приоритет вашего правила будет выше, и путь для трафика будет открыт:
Теперь приступим к настройкам и добавим новое правило, которое, в итоге, будет разрешать локальный трафик. Потом нажмём два раза на его названии, и укажем своё название:
Теперь нажмем два раза на поле нового правила в колонке "
Источник" и поочерёдно добавим нужные объекты, а именно фаервол, VPN клиенты, VPN туннели и локальные интерфейсы:
Добавляем фаервол
Добавляем VPN клиентов
Добавляем VPN тунели
Добавляем локальные интерфейсы
Точно таким же образом, добавляем эти же объекты в раздел «Назначение», а в разделе
"действие" указываем "
разрешить":
Теперь добавляем правило для разрешения доступа локальных пользователей в интернет:
А теперь добавляем правило для разрешения доступа для подключения VPN клиентов, если вам не нужен доступ удалённых VPN клиентов к вашей локальной сети, то можете не создавать данного правила:
А теперь очень важный момент, правило для доступа локальных пользователей в интернет мы создали, но доступа они НЕ получат, так как мы не включили NAT, в разделе "трансляция" этого правила устанавливаем флажок на включении NAT и можем выбрать тип балансировки нагрузки (балансировка нужна лишь при нескольких подключениях к интернету):
Сохраним изменения и перейдём в раздел "
Фильтр содержимого =>
Политика HTTP" и выключим кеширование прозрачного HTTP прокси:
Выключим сам прокси:
Выключим ВЕБ фильтр:
Выключим антифирус:
Этими действиями мы полностью отключили фильтрацию трафика и оставили пользователей локальной сети без защиты перед загружаемыми ими данными, но нам этого и не нужно, к тому же мы снимаем большую нагрузку с нашего сервера – пусть пользователи сами беспокоятся об установке антивирусов на своём компьютере.
Включаем DHCP сервер для раздачи сетевых параметров для локальных пользователей:
Добавляем диапазон IP адресов для раздачи в нашей сети №1:
Добавляем диапазон IP адресов для раздачи в нашей сети №2 (этот шаг совсем не нужен, если у вас всего один локальный интерфейс):
Получаем вот такую картину:
Настройки DNS нас устраивают:
Выключим
Anti-Spoofing:
Если вам нужно подключение VPN клиентов с использованием SSL оставим галочку, и если вы хотите предоставить пользователям доступ к статистике через ВЕБ интерфейс, тоже оставим соответствующие галочки. Если вы собираетесь проводить авторизацию пользователей через ВЕБ аутентификацию, то вам нужно будет оставить включенным ВЕБ интерфейс (ВЕБ авторизацию мы рассмотрим дальше):
Отключаем проверку обновлений (ну ели вы КУПИЛИ Kerio WinRoute, то можете не отключать):
После проведенных настроек, Kerio WinRoute раздаст сетевые настройки по протоколу DHCP всем клиентам подключенным к любому из локальных интерфейсов, и предоставит доступ к интернету.
Клиент подключенный на интерфейс:
Но, если мы хотим предоставить доступ к интернету не всем пользователям, нам нужно включить HTTP авторизацию и добавить каждого пользователя. Можно конечно задать фильтр по IP адресам в политиках трафика, но что стоит клиенту сменить свой IP адрес вручную и получить доступ к интернету?
Включаем HTTP авторизацию при доступе в ВЕБ и автоматическую аутентификацию браузерами, выставляем лимит сеанса при бездействии:
Создаём группу:
Устанавливаем нужные вам права (или не устанавливаем)
Добавляем пользователей:
Прикрепляем к группе:
Теперь, при попытке доступа к ВЕБ странице, пользователя бросит на страницу авторизации, и только после успешной авторизации он сможет получить доступ к ВЕБ страницам:
Пару слов про VPN, к сожалению, Kerio WinRoute не поддерживает такие стандарты как PPTP и L2TP, из-за чего установить VPN соединение стандартными средствами Windows не получится, а для подключения используется специальный клиент kerio-control-vpnclient. Ещё одним недостатком, является то, что при помощи VPN соединения не получится подключить пользователя к интернету, так как WinRoute не прописывает VPN клиенту шлюз, доступ будет только к локальным ресурсам. Поддержка подключения интернета через VPN реализована в версии WinRoute 7.4
![[Group 1]-2013-12-07 16.10.29_2013-12-07 16.10.50-3 images](http://da4a.ratuba.ru/wp-content/uploads/2013/12/Group-1-2013-12-07-16.10.29_2013-12-07-16.10.50-3-images.jpg)
![[Group 3]-2013-12-08 12.08.15_2013-12-08 12.08.36-3 images](http://da4a.ratuba.ru/wp-content/uploads/2013/12/Group-3-2013-12-08-12.08.15_2013-12-08-12.08.36-3-images.jpg)
![[Group 1]-2013-12-01 15.02.28_2013-12-01 15.02.36-2 images](http://da4a.ratuba.ru/wp-content/uploads/2013/12/Group-1-2013-12-01-15.02.28_2013-12-01-15.02.36-2-images.jpg)
![[Group 1]-2013-11-27 16.04.25_2013-11-27 16.04.50-4 images](http://da4a.ratuba.ru/wp-content/uploads/2013/12/Group-1-2013-11-27-16.04.25_2013-11-27-16.04.50-4-images.jpg)
![[Group 0]-2013-11-27 16.05.42_2013-11-27 16.06.12-5 images](http://da4a.ratuba.ru/wp-content/uploads/2013/12/Group-0-2013-11-27-16.05.42_2013-11-27-16.06.12-5-images.jpg)
