Главная    Подключение к Интернет    Настройки компьютера    Настройки на компьютере

Установка и настройка Proxy/DHCP

    Установка и настройка Proxy/DHCP сервера на базе Kerio Winroute Firewall

    Внимание! Программа Kerio Winroute Firewall не является бесплатной. Абонент самостоятельно должен позаботиться о лицензии.

    Общие замечания

    1. Данная конфигурация является рекомендуемой для следующих категорий клиентов: 
       a) Юридические лица с Интернетом с выделенным Прокси либо для ethernet-клиентов в бизнес-центрах (прокси в данном случае необходимо только и исключительно для контроля использования сотрудниками Интернета); 
       b) Также ее можно использовать для юридических лиц с корпоративными сетями на L3:
        - Причем если используется схема с отдельными линками для Корпоративной Сети и Интернета, то смысл использования Прокси аналогичен предыдущему случаю (1-a);
        - Если используется схема с общим линком для Корпоративной Сети и Интернета, то в данном случае наличие маршрутизирующего прокси-сервера является обязательным, при этом обязательным является поднятие PPPoE-соединения с KWF-сервера;
    2. В зависимости от необходимости Kerio Winroute Firewall (в дальнейшем KWF) может выполнять следующие функции: 
      a) Кеширующий прокси-сервер;
      b)  Кеширующий прозрачный прокси-сервер (он же NAT); 
        - При использовании как прокси-сервера возможно использование разнообразных ограничений по трафику, проверки на спам и вирусы;
      c) Маршрутизатор/файрволл;
      d) DHCP-сервер.
    3. Минимальные требования для компьютера, на котором устаналивается KWF:
       - CPU 1Ghz;
       - 512Mb RAM;
       - ОС: W2K, WXP, W3KS, Vista, W8KS.


    Инсталляция

    1. Скачиваем и распаковываем на локальный диск последнюю версию KWF (на данный момент 6.5.2.5127);
       
    2. Запускаем инсталлятор kerio-kwf-whql-6.5.2-5172-win32.exe;
       
    3. Внимание! Установка модуля Поддержка VPN является обязательной в том случае, если соединение с Интернетом будем подниматься с этого компьютера (на который ставится KWF) с использованием протокола PPTP. Для всех других случаев этот модуль можно не ставить.
    4. Внимание! На компьюетере с KWF не должно стоять/быть запущенным следующее ПО/сервисы:
       - Windows Firewall / Internet Connection Sharing;
       - Routing and Remote Access (RRAS);
       - Любых сетевых файрволов: Microsoft ISA Server, CheckPoint Firewall-1, WinProxy (by Ositis), Sygate Office Network and Sygate Home Network и т.п.;
       - Любых персональных файрволов: Sunbelt Personal Firewall, Zone Alarm, Sygate Personal Firewall, Norton Personal Firewall, Kaspersky Internet Suite, Agnitum Outpost и т.п.;
       - Любого ПО для VPN: CheckPoint, Cisco Systems, Nortel и т.п.
    5. Кроме этого должно быть остановлено/удалено любое ПО/сервисы, использующее следующие порты:
       - 53/UDP — DNS Forwarder
       - 67/UDP — DHCP server
       - 1900/UDP — SSDP Discovery service
       - 2869/TCP — UPnP Host service
       - 44333/TCP+UDP
    6. Желательно, чтобы было остановлено/удалено любое ПО/сервисы, использующее следующие порты (это можно изменить в настройках KWF):
       - 443/TCP
       - 3128/TCP
       - 4080/TCP
       - 4081/TCP
       - 4090/TCP+UDP
    7. Помимо этого не рекомендуется использовать любые персональные антивирусные программы на компьютере с SWF. Допускается использование серверных версий антивирусов: AVG, Avast! for Kerio, Clam, NOD32, Sophos, Symantec, VisNetic;
    8. Появится сообщение, выбираем Нет и переходим к следующему пункту.

    Настройка KWF как кеширующего прокси-сервера/маршрутизатора с NAT

    1. При первом запуске KWF запускается "Мастер настройки", работа которого показана ниже. В любой момент времени данный мастер можно запустить еще раз путем нажатия кнопки "Мастер" в меню "Политика трафика" консоли администратора.
    2. Данный пункт выбирается только в том случае, если соединение поднимается в самого KWF-сервера. В том случае, если соединение поднимается с модема, необходимо выбирать "Обычная связь с Интернет - постоянный доступ".
    3. Для следующего пункта в системе уже должно быть создано PPTP либо PPPoE-соединение. Оно выбирается из выпадающего списка, при этом дополнительно вводятся логин и пароль для данного соединения (выдаются провайдером).
    4. В результате базовые правила для трафика приобретут следующий вид.


    Тонкая настройка KWF как кеширующего прокси-сервера/маршрутизатора с NAT


    Интерфейсы

    1. Заходим в консоль администратора и начинаем проверку с пункта "Интерфейсы".
       
    2. Должны быть определены интерфейсы, используемые для Интернета. В случае поднятия соединения с KWF сервера - это PPPoE/PPTP-соединения, в случае поднятия соединения с отдельного модема на Интернет - сетевая карта KWF сервера включенная напрямую в данные модем.
    3. Для PPPoE/PPTP-соединения заходим в свойства соединения в KWF на вкладку "Параметры дозвона" и делаем настройки как указано на скриншоте.
    4. Переносим клиентские интерфейсы из пункта "Другие интерфейсы" в "Доверенные/локальные интерфейсы";
    5. Выключаем "VPN-сервер".


     

    Фильтрация содержимого

    1. Заходим в "Политика HTPP" и активируем "Deny sites rated in ISS OrangeWeb filter categories";
    2. В свойствах "Правило URL"/"Общий" для данного правила нажимаем на кнопку "Выбрать рейтинг" и выбираем те категории, которые должны блокироваться;
      В свойствах "Правило URL"/"Дополнит." для данного правила вводим (если необходимо) временной интервал и снимаем выбор с "Пользователи могут разблокировать это правило";
    3. Переходим на вкладку "Кэш" и включаем параметры как показано на рисунке, при этом размер кэша выставляем максимально возможным.
    4. Переходим на вкладку "Прокси-сервер" и включаем параметры как показано на рисунке.
       


    Таблица маршрутизации

    Внимание!
     В случае поднятия соединения с KWF сервером на сетевых интерфейсах не должно быть маршрутов по умолчанию, иначе данный функционал работать не будет.

     

    Дополнительные параметры

    1. На вкладке "Ограничение подключений" устанавливаем ограничение в 100 подключений.
    2. На вкладке "Веб-интерфейс/SSL-VPN" выключаем "Включить сервер Kerio Clientless SSL/VPN" и "Включить веб-интерфейс HTTPS (SSL-защищенный)". Обязательно вводим в поле "Имя сервера WinRoute:" ip-адрес либо DNS-имя машины с KWF (рекомендуется вводить DNS-имя, ибо только с ним будет работать прозрачная доменная авторизация пользователей в KWF).
    3. На вкладке "Проверка обновлений" выключаем "Автоматически проверять для новых версий".
    4. Если требуется рассылка отчетов (обязательным условиям является наличие почтового сервера либо ящика на каком-либо почтовом сервера), то на вкладке "SMTP релей" вводим DNS-имя сервера в поле "Сервер:", а также логин и пароль учетной записи на данном сервере.
    5. В случае необходимости блокирование P2P-трафика на вкладке "Фильтр P2P" выбираем "Заблокировать трафик и разрешить только не-P2P соединения".

     

    Авторизация пользователей и учет трафика

    1. Может быть как локальной (все пользователи заводятся в самом KWF), так и с использованием домена NT/AD (требует наличия контроллера домена). Осуществляется на вкладке "Пользователи и группы/Пользователи".
    2. Авторизация через AD-домен осуществляется как указано на скриншоте на вкладке "Active Directory".
    3. Для того, чтобы пользователь не вводил при каждой сессии логин с паролем, можно настроить автоматическую авторизацию как указано на рисунке на вкладке "Параметры аутентификации". Внимание! Работает только в случае наличия домена, при этом все пользователи и сам KWF должны быть присоединены к домену.
    4. Кроме этого на клиентских машинах в случае использования Internet Explorer должны быть сохранены пароли для машины с KWF (обычно это происходит при первом соединении с клиентской машины и авторизации). Проверить это можно через: "Control Panels → User Accounts → Advanced → Password Manager".
    5. Кроме этого на клиентских машинах в случае использования Mozilla Firefox требуется в строке URL набрать about:config и в параметре network.automatic-ntlm-auth.trusted-uris установить имя сервера KWF.
      Доступ пользователей для просмотра статистики осуществлятся по URL: http://<имя машины с KWF:4080.

     


    Настройка DHCP-сервера

    1. Осуществляется на вкладке "Сервер DHCP".
    2. Для каждой точки (подсети клиента), включая ту точку, где находится KWF-сервер, конфигурируется отдельный диапазон следующим образом:
       - В поля "Первые адрес" и "Последний адрес" вносится весь IP-диапазон данной точки.
       - В поле "Шлюз по умолчанию" на точках КС без Интеренета вносится LAN IP-адрес модема, на точке КС с Интернетом - LAN IP-адрес KWF-сервера.
      Все статические адреса (LAN-адреса модемов, KWF-сервера и любых других серверов) вносятся в список исключений как показано на рисунке (для каждой точки в свой диапазон).
    3. В результате чего для 3х точек КС окно с настройками DHCP-сервера приобретает следующий вид.
    4. Теперь настраиваем параметры общие для всех точек в "Параметрах по умолчанию". Задаем "Сервер DNS", при этом он равен либо ip-адресу DNS-сервера клиента (в случае его наличия), либо LAN IP-адресу модема c PPPoE, либо IP-адресу DNS-сервера провайдера. В случае использования домена также вводятся IP-адрес сервера WINS и имя домена.





Для предотвращения автоматической регистрации, введите символы, которые видите в рамке слева. Латинские буквы и цифры, регистр не имеет значения.


* поля являются обязательными к заполнению
отправить
Закрыть