|
Lan2net NAT Firewall - Вопросы и Ответы
1. Установка
1.01» После установки програмы служба l2nservice не запускается или при подключении панели управления Lan2net NAT Firewall выдается ошибка.
В первую очередь убедитесь, что на вашем компьютере не установлены программы, работающие на уровне драйвера NDIS, такие как: Agnitum Outpost Firewall, Kaspersky Anti-Hacker,Kaspersky AntiVirus 6 , Kerio WinRoute Firewall, Wingate. Перед установкой Lan2net NAT Firewall эти программы необходимо полностью деинсталлировать. Также убедитесь, что у вас установлена 32-х разрядная операционная система Windows 2000\XP\2003. Во-вторых, перезагрузите компьютер, после установки Lan2net NAT Firewall. Если ничего не помогло, попробуйте удалить текущую версию Lan2net NAT Firewall, затем удалить папку Lan2Net (по умолчанию она находится в папке Program Files) и почистить ветки реестра:
HKEY_CURRENT_USER\Software\Lan2net
HKEY_LOCAL_MACHINE\SOFTWARE\LAN2NET
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lan2net
После чего перезагрузите компьютер и установите Lan2net NAT Firewall.
Если все вышесказанное не помогло, попробуйте снова все удалить и почистить реестр, после чего переустановить драйвера на сетевых адаптерах и снова установить Lan2net NAT Firewall.
|
1.02» Мы работали с вашей программой, нас устраивают возможности и качество работы, и мы хотим её приобрести, в данный момент у нас истекло время демонстрационного режима и мы не можем её зарегистрировать.
Это известная проблема, связанная с тем, что в версии 1.95 не учтена возможность завершения демонстрационного срока использования программы. Исправляется данная проблема следующим образом: удаляете текущую версию Lan2Net, затем скачиваете с сайта версию 1.7 , устанавливаете её, вводите ваш регистрационный ключ. Затем вы можете установить версию 1.95.
|
2. Настройки програмы
2.01» Где найти информацию о портах и протоколах для MS Windows?
|
2.02» Любой ресурс доступен с компьютера, на котором установлен Lan2net NAT Firewall, но на клиентских машинах недоступны некоторые ресурсы. В чем дело?
Симптомы: Не устанавливается соединение с некоторыми ресурсами при подключении через PPPoE соединение (DSL модемы, VPN соединения, а также другие способы туннелирования трафика)
Причина: Проблема вызвана несовместимостью сетевых настроек MTU. MTU (Maximum Transmission Unit) - это максимальный размер пакета получаемых/передаваемых данных. В Windows значение MTU по умолчанию - 1500, а протокол PPPoE использует 1492 или 1454.
Способ решения проблемы:
1. Определите IP адрес вашего шлюза (default gateway). Для этого наберите IPCONFIG в командной строке на машине, где установлен Lan2net NAT Firewall.
2. Затем на одной из клиентских машин наберите:
PING -f -l 1500 xxx.xxx.xxx.xxx (где xxx.xxx.xxx.xxx - адрес шлюза, который Вы получили на предыдущем шаге). Вполне вероятно, что вы получите сообщение об ошибке, указывающее, что пакет должен быть фрагментирован. Если это так, то попробуйте:
PING -f -l 1492 xxx.xxx.xxx.xxx. Если и эта команда не работает, то:
PING -f -l 1454 xxx.xxx.xxx.xxx.
Числа в каждом из этих примеров (1500, 1492, 1454) - значения MTU. Продолжайте запускать эту команду, постепенно уменьшая значения MTU до тех пор, пока вместо сообщения об ошибке не появится нормальный ответ со стороны шлюза. Наибольшее значение MTU из сработавших и является тем, которое Вам нужно использовать.
3. Сконфигурируйте все ваши клиентские компьютеры так, чтобы вместо значения MTU по умолчанию, использовать другое значение.
Для Windows 2000 и XP:
- Запустите Редактор реестра (REGEDIT.EXE) на одной из ваших клиентских машин.
- Найдите ключ HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ Tcpip\ Parameters\ Interfaces. Там должно быть несколько вложенный ключей для ключа Interfaces; вероятнее всего, их будет три.
- Посмотрите содержание каждого ключа, и найдите тот, который соответствует вашему сетевому адаптеру. Создайте в нем новый параметр MTU типа DWORD.
- Кликните дважды на новом значении, выберите опцию Decimal, и введите значение MTU, определенное вами.
- Для вступления изменений в силу перезагрузите Windows.
Windows 98 / ME:
- Запустите Registry Editor (REGEDIT.EXE) на одной из ваших клиентских машин.
- Перейдите в раздел HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ Class\ Net\.
- В этой ветви найдите ключ (типа 0005), который содержит TCP/IP, задаваемый значением DriverDesc.
- Создайте параметр MaxMTU типа "Строковой параметр".
- Щелкните дважды на новом значении, выберите опцию Decimal, и введите значение MTU, определенное выше.
- Перезагрузите Windows для того, чтобы изменения вступили в силу.
Повторите описанную выше процедуру для каждой клиентской машины.
Для упрощения задачи можно использовать программы умеющие изменять MTU, например DrTCP MTU Registry Tweak Utility.
|
2.03» Почему после установки программы в "Сетевом Окружении" не отображаются компьютеры?
Скорее всего, у вас отсутствует WINS сервер, который определяет имена сетевых компьютеров и дисков. Это вполне допустимо, но в этом случае для составления списка сетевых ресурсов операционная система Windows использует так называемые, «широковещательные сообщения» (broadcast). В базовой конфигурации, создаваемой "Мастером Настройки", правило «Разрешен локальный трафик» включает себя возможность прохождения широковещательных сообщений.
Если вы удалили это правило, тогда вам нужно добавить специальное правило для разрешения широковещательных сообщений следующим образом:
1. Сначала убедитесь, что доступ к сетевым компьютерам по-прежнему возможен при использовании IP-адреса. Допустим, у вас в локальной сети есть компьютер с именем \\ws0, его IP адрес - 192.168.0.33. Если, набрав \\192.168.0.33 вместо \\ws0, вы получите доступ к ресурсам компьютера, значит все, сказанное ниже, относится к вашему случаю.
2. Для разрешения широковещательных запросов нужно создать следующее правило:
Открыть раздел Правила Firewall
Выбрать интерфейс: Локальная сеть
Нажать Добавить
Название: Широковещательные запросы локальной сети
Протокол: Любой
IP адрес источника: Любой
IP адрес назначения: 192.168.0.255 (для сети 192.168.0.х, для подсети с другим диапазоном IP адресов, первые 3 цифры IP адреса будут другими.)
Действие: Резрешить
После создания правила, убедитесь, что соответствующие широковещательные сообщения разрешены - они будут видны в разделе "Мониторинг".
|
2.04» Как заблокировать пользователю доступ на определенный IP адрес или диапазон адресов?
Для примера рассмотрим блокировку доступа на адрес 64.236.46.80, пользователям, привязанным к группе Разрешено ВСЁ:
Открываем раздел "Группы и правила пользователей" и выбираем группу Разрешено ВСЁ
Жмем Добавить правило
В появившемся диалоге выбираем Другое правило
Открывается диалог. В нем выбираем:
Название Запрет адреса 64.236.46.80
Протокол TCP
IP адрес назначения 64.236.46.80
Действие Запретить
Порт источника и назначения Любой
После нажатия кнопки ОК, правило появится в списке.
Для вступления правила в силу перезапустите службу Lan2net NAT Firewall.
|
2.05» Как не учитывать трафик определенных IP адресов?
Обычно при подсчете трафика нужно не учитывать трафик между компьютерами локальной сети и трафик между сервером и этими компьютерами.
Для этого Мастер Настройки создает специальное Правило Firewall Разрешен локальный трафик, - тогда весь локальный трафик учитывается на это правило, а не на пользователей.
Но существует и другая возможность. Можно прописать локальные адреса в свойствах группы пользователей – тогда локальный трафик вообще не будет считаться. Для этого идем в раздел Группы и правила пользователей, выбираем нужную группу и идем на закладку Локальные адреса. Трафик не будет учитываться в случае, когда IP адреса источника и назначения попадают в один из диапазонов локальных адресов. Обратите внимание: в локальных адресах ОБЯЗАТЕЛЬНО должен присутствовать диапазон адресов вашей локальной сети (помимо диапазона адресов трафик которых не нужно считать) Так, чтобы не считать трафик в диапазоне 212.10.16.20 - 212.10.16.45, нужно добавить в локальные адреса 2 диапазона: 192.168.0.1 - 192.168.0.254 (адреса компьютеров локальной сети) и 212.10.16.20 - 212.10.16.45.
|
2.06» В разделе «Мониторинг» присутствуют соединения правил с именами System 0, System 1, System 2. Что это такое?
Это системные правила:
System 0 - трафик, который не попал ни под одного пользователя или правило. Желательно, чтобы такой ситуации не было, т.к. это реально существующий трафик, который не учитывается ни на пользователей, ни на правила;
System 1 – транзитный трафик между интерфейсами шлюза (внутренним и внешним);
System 2, 4, 6 - правила, отвечающие за работу NAT;
System 68 – правило, разрешающее запросы DHCP.
|
2.07» Как быстро посмотреть статистику за определенный период времени?
Для этого в разделе Пользователи нужно нажать кнопку Показывать статистику за период (последнюю в тулбаре). Затем в появившемся диалоге выбрать диапазон дат, за который нужно посмотреть статистику.
|
2.08» Можно ли использовать прокси-сервера других производителей для блокировки сайтов по URL?
Да, Lan2net NAT Firewall можно использовать совместно с любым прокси-сервером. В версии 1.95 есть свой блокировщик сайтов по URL. Лучше всего использовать прокси, который может работать в transparent режиме, чтобы не прописывать прокси сервер в браузерах на клиентских машинах.
|
2.09» Как выключить Lan2net NAT Firewall не деинсталлируя его?
Можно перевести Lan2net NAT Firewall в так называемый режим настройки. В этом режиме Lan2net NAT Firewall не производит никаких действий с сетевыми пакетами. Это можно сделать, задав в реестре параметр HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\LAN2NET\Parameters\ PassthruMode равным 1. Для активации режима настройки необходимо перезагрузить компьютер.
Чтобы перевести Lan2net NAT Firewall обратно в рабочий режим, надо запустить интерфейс администратора и отключить режим настройки
|
2.10» Все разрешающие правила настроил, как было написано в инструкции, но по-прежнему ничего не работает.
Учтите, что Lan2net NAT Firewall учитывает приоритеты правил. Правило, которое находится выше, имеет больший приоритет. Убедитесь, что перед вашим разрешающим правилом не стоит запрещающее, если стоит, то поменяйте их местами. Желательно все запрещающие правила ставить в самом конце списка.
|
2.11» Наша локальная сеть подключена к сети провайдера, а тот в свою очередь раздает интернет через прокси, которую мы прописываем в браузере (не прозрачный прокси). Как организовать доступ в интернет в подобной ситуации?
Создаете правило на интерфейсе локальная сеть
Название: Proxy
IP источника: 192.168.0.2 – 192.168.0.255 (адреса локальной сети)
IP назначения: 192.168.0.1 (сервер Lan2net NAT Firewall)
Порт источника: любой
Порт назначения: 3128 (порт прокси)
Действие: модифицировать IP 192.168.110.4 (адрес прокси)
|
2.13» Как включить перехват HTTPS трафика в Lan2net Firewall 3.0?
Для перехвата шифрованного HTTPS трафика в Lan2net Firewall 3.0 реализован HTTPS прокси сервер. Чтобы его задействовать нужно настроить перенаправление трафика HTTPS из локальной сети на прокси. HTTPS прокси слушает порт 4054 на всех интерфейсах. Перенаправление не будет работать на самом сервере.
Для перенаправления на HTTPS прокси создаем правло:
Источник: Диапазон IP адресов локальной сети
Назначение: Любой
Протоколы: TCP порт 443
Действие: перенаправить на IP адрес 25.38.56.54, порт 4054, где 25.38.56.54 IP адрес внешнего интерфейса.
|
2.14» Как перехватывать шифрованные сообщения Майл.ру агент в Lan2net Firewall 3.0?
Для перехвата шифрованный сообщений Майл.ру агента в Lan2net Firewall 3.0 реализован специальный прокси сервер. Чтобы его задействовать нужно включить перенаправление трафика. Этот специальный прокси прокси слушает порт 2041 на всех интерфейсах. Перенаправление не будет работать на самом сервере.
Для перенаправления создаем правло:
Источник: Диапазон IP адресов локальной сети
Назначение: Любой
Протоколы: TCP порт 443
Действие: перенаправить на IP адрес 25.38.56.54, порт 2041, где 25.38.56.54 IP адрес внешнего интерфейса.
|
3. Проблемы, ошибки и т.д.
3.01» Почему не работает встроенный Web-сервер?
Прежде всего, проверьте, разрешен ли доступ к порту, который использует Web-сервер, в межсетевом экране, встроенном в Windows XP (если у вас эта ОС).
Другая причина может быть в том, что порт Web-сервера Lan2net NAT Firewall (по умолчанию - 80) уже занят другим Web-сервером. Для изменения порта, зайдите в раздел "Настройки", укажите другой порт и перезапустите l2nservice.
|
3.02» Трафик пожирает 53 порт, то есть DNS, причем на моём компьютере, как отследить от чего это происходит и почему , как избавиться от пожирания трафика DNS?
Вызвано некорректной работой DNS-форвардера в Lan2net NAT Firewall версии до 1.9, если прописано более одного DNS сервера (или одинаковые DNS серверы прописаны для обоих сетевых адаптеров шлюза). Для решения проблемы прописать на клиентах DNS сервер провайдера или установить кэширующий DNS сервер (еще один бесплатный сервер) на компьютере с Lan2net NAT Firewall.
DNS форвардер необходимо отключить.
|
3.03» Висит 80 порт, что делать?
Перезапустить службу Lan2net NAT Firewall вручную
|
3.04» У меня неправильно выводится статистика за месяц и период.
Скорее всего, вы не выключили встроенный в Windows NAT.
Проверить и отключить его можно в настройках сетевого соединения, закладка "Дополнительно", снять галку "Общий доступ к подключению к интернету".
На скриншоте показаны настройки внешнего сетевого адаптера, в зоне обведенной красным никаких галок быть не должно!
|
3.05» У пользователей идет превышение квоты трафика, Lan2net NAT Firewall говорит, что их заблокировал, но интернет у пользователя так и не пропал.
Это связано с неправильной настройкой Windows и Lan2net NAT Firewall. Для начала убедитесь, что отключен Windows NAT. Проверить и отключить его можно в настройках сетевого соединения, закладка "Дополнительно", снять галку "Общий доступ к подключению к интернету".
На скриншоте показаны настройки внешнего сетевого адаптера, в зоне обведенной красным никаких галок быть не должно! Если не помогло, то нужно проверить остальные правила Firewall, видимо там есть разрешающее правило, которое все портит.
|
3.06» При попытке просмотра статистики через Web-интерфейс, сервис попросту выключается, а соответственно, выключается и интернет во всей сети. Помогает только перезапуск сервиса.
Просматривать Web-статистику надо только Internet Explorer’ом, и даже используя его, Lan2net NAT Firewall иногда зависает, просто перезапустите службу.
|
3.07» На сервере интернет работает, а на локальных машинах нет. Пинг от сервера на локальные машины проходит. Что мне сделать для обеспечения интернетом локальной сети?
Добавить пользователей, поставить пользователям клиенты и ввести авторизацию, убедившись, что в группе пользователей есть правила на доступ по HTTP, DNS и другие необходимые протоколы.
|
3.08» Подскажите пожалуйста, когда трафик считается "входящим"? Т.е. на примере такой ситуации: на фаерволе стоит правило - ПОЛНЫЙ запрет к 80-му порту. Однако, один из вредителей будет усердно пытаться присоединится к серверу через 80-ый порт. И соответственно, будет посылать запросы, на которые он не будет получать ответ. Считается ли такой трафик входящим? А самое главное - что провайдеры думают на этот счёт?
Провайдер естественно считает этот трафик, так как он прошел через него на ваш адрес, а принял ваш сервер его или нет, для провайдера разницы нет.
|
|
Сколько нас?
Более 1 000 000 компьютеров по всей России находятся под защитой Lan2net NAT Firewall.
Присоединяйся »
Рекомендации
"Корпорация Microsoft рекомендует своим клиентам обращаться к партнерам со статусом Microsoft Small Business Specialist, которые знают специфику и потребности небольших компьютерных сетей."
|