Lan2net NAT Firewall - Вопросы и Ответы

В первую очередь убедитесь, что на вашем компьютере не установлены программы, работающие на уровне драйвера NDIS, такие как: Agnitum Outpost Firewall, Kaspersky Anti-Hacker,Kaspersky AntiVirus 6 , Kerio WinRoute Firewall, Wingate. Перед установкой Lan2net NAT Firewall эти программы необходимо полностью деинсталлировать. Также убедитесь, что у вас установлена 32-х разрядная операционная система Windows 2000\XP\2003. Во-вторых, перезагрузите компьютер, после установки Lan2net NAT Firewall. Если ничего не помогло, попробуйте удалить текущую версию Lan2net NAT Firewall, затем удалить папку Lan2Net (по умолчанию она находится в папке Program Files) и почистить ветки реестра:

HKEY_CURRENT_USER\Software\Lan2net

HKEY_LOCAL_MACHINE\SOFTWARE\LAN2NET

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lan2net

После чего перезагрузите компьютер и установите Lan2net NAT Firewall.

Если все вышесказанное не помогло, попробуйте снова все удалить и почистить реестр, после чего переустановить драйвера на сетевых адаптерах и снова установить Lan2net NAT Firewall.

Это известная проблема, связанная с тем, что в версии 1.95 не учтена возможность завершения демонстрационного срока использования программы. Исправляется данная проблема следующим образом: удаляете текущую версию Lan2Net, затем скачиваете с сайта версию 1.7 , устанавливаете её, вводите ваш регистрационный ключ. Затем вы можете установить версию 1.95.

Подробная справочная информаций находится на сайте Microsoft по адресу: http://support.microsoft.com/kb/832017/en-us

Симптомы: Не устанавливается соединение с некоторыми ресурсами при подключении через PPPoE соединение (DSL модемы, VPN соединения, а также другие способы туннелирования трафика)

Причина: Проблема вызвана несовместимостью сетевых настроек MTU. MTU (Maximum Transmission Unit) - это максимальный размер пакета получаемых/передаваемых данных. В Windows значение MTU по умолчанию - 1500, а протокол PPPoE использует 1492 или 1454.

Способ решения проблемы:

1. Определите IP адрес вашего шлюза (default gateway). Для этого наберите IPCONFIG в командной строке на машине, где установлен Lan2net NAT Firewall.

2. Затем на одной из клиентских машин наберите:

PING -f -l 1500 xxx.xxx.xxx.xxx (где xxx.xxx.xxx.xxx - адрес шлюза, который Вы получили на предыдущем шаге). Вполне вероятно, что вы получите сообщение об ошибке, указывающее, что пакет должен быть фрагментирован. Если это так, то попробуйте:

PING -f -l 1492 xxx.xxx.xxx.xxx. Если и эта команда не работает, то:

PING -f -l 1454 xxx.xxx.xxx.xxx.

Числа в каждом из этих примеров (1500, 1492, 1454) - значения MTU. Продолжайте запускать эту команду, постепенно уменьшая значения MTU до тех пор, пока вместо сообщения об ошибке не появится нормальный ответ со стороны шлюза. Наибольшее значение MTU из сработавших и является тем, которое Вам нужно использовать.

3. Сконфигурируйте все ваши клиентские компьютеры так, чтобы вместо значения MTU по умолчанию, использовать другое значение.

Для Windows 2000 и XP:

- Запустите Редактор реестра (REGEDIT.EXE) на одной из ваших клиентских машин.

- Найдите ключ HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ Tcpip\ Parameters\ Interfaces. Там должно быть несколько вложенный ключей для ключа Interfaces; вероятнее всего, их будет три.

- Посмотрите содержание каждого ключа, и найдите тот, который соответствует вашему сетевому адаптеру. Создайте в нем новый параметр MTU типа DWORD.

- Кликните дважды на новом значении, выберите опцию Decimal, и введите значение MTU, определенное вами.

- Для вступления изменений в силу перезагрузите Windows.

Windows 98 / ME:

- Запустите Registry Editor (REGEDIT.EXE) на одной из ваших клиентских машин.

- Перейдите в раздел HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ Class\ Net\.

- В этой ветви найдите ключ (типа 0005), который содержит TCP/IP, задаваемый значением DriverDesc.

- Создайте параметр MaxMTU типа "Строковой параметр".

- Щелкните дважды на новом значении, выберите опцию Decimal, и введите значение MTU, определенное выше.

- Перезагрузите Windows для того, чтобы изменения вступили в силу.

Повторите описанную выше процедуру для каждой клиентской машины.

Для упрощения задачи можно использовать программы умеющие изменять MTU, например DrTCP MTU Registry Tweak Utility.

Скорее всего, у вас отсутствует WINS сервер, который определяет имена сетевых компьютеров и дисков. Это вполне допустимо, но в этом случае для составления списка сетевых ресурсов операционная система Windows использует так называемые, «широковещательные сообщения» (broadcast). В базовой конфигурации, создаваемой "Мастером Настройки", правило «Разрешен локальный трафик» включает себя возможность прохождения широковещательных сообщений.

Если вы удалили это правило, тогда вам нужно добавить специальное правило для разрешения широковещательных сообщений следующим образом:

1. Сначала убедитесь, что доступ к сетевым компьютерам по-прежнему возможен при использовании IP-адреса. Допустим, у вас в локальной сети есть компьютер с именем \\ws0, его IP адрес - 192.168.0.33. Если, набрав \\192.168.0.33 вместо \\ws0, вы получите доступ к ресурсам компьютера, значит все, сказанное ниже, относится к вашему случаю.

2. Для разрешения широковещательных запросов нужно создать следующее правило:

Открыть раздел Правила Firewall

Выбрать интерфейс: Локальная сеть

Нажать Добавить

Название: Широковещательные запросы локальной сети

Протокол: Любой

IP адрес источника: Любой

IP адрес назначения: 192.168.0.255 (для сети 192.168.0.х, для подсети с другим диапазоном IP адресов, первые 3 цифры IP адреса будут другими.)

Действие: Резрешить

После создания правила, убедитесь, что соответствующие широковещательные сообщения разрешены - они будут видны в разделе "Мониторинг".

Для примера рассмотрим блокировку доступа на адрес 64.236.46.80, пользователям, привязанным к группе Разрешено ВСЁ:

Открываем раздел "Группы и правила пользователей" и выбираем группу Разрешено ВСЁ

Жмем Добавить правило

В появившемся диалоге выбираем Другое правило

Открывается диалог. В нем выбираем:

Название Запрет адреса 64.236.46.80

Протокол TCP

IP адрес назначения 64.236.46.80

Действие Запретить

Порт источника и назначения Любой

После нажатия кнопки ОК, правило появится в списке.

Для вступления правила в силу перезапустите службу Lan2net NAT Firewall.

Обычно при подсчете трафика нужно не учитывать трафик между компьютерами локальной сети и трафик между сервером и этими компьютерами.

Для этого Мастер Настройки создает специальное Правило Firewall Разрешен локальный трафик, - тогда весь локальный трафик учитывается на это правило, а не на пользователей.

Но существует и другая возможность. Можно прописать локальные адреса в свойствах группы пользователей – тогда локальный трафик вообще не будет считаться. Для этого идем в раздел Группы и правила пользователей, выбираем нужную группу и идем на закладку Локальные адреса. Трафик не будет учитываться в случае, когда IP адреса источника и назначения попадают в один из диапазонов локальных адресов. Обратите внимание: в локальных адресах ОБЯЗАТЕЛЬНО должен присутствовать диапазон адресов вашей локальной сети (помимо диапазона адресов трафик которых не нужно считать) Так, чтобы не считать трафик в диапазоне 212.10.16.20 - 212.10.16.45, нужно добавить в локальные адреса 2 диапазона: 192.168.0.1 - 192.168.0.254 (адреса компьютеров локальной сети) и 212.10.16.20 - 212.10.16.45.

Это системные правила:

System 0 - трафик, который не попал ни под одного пользователя или правило. Желательно, чтобы такой ситуации не было, т.к. это реально существующий трафик, который не учитывается ни на пользователей, ни на правила;

System 1 – транзитный трафик между интерфейсами шлюза (внутренним и внешним);

System 2, 4, 6 - правила, отвечающие за работу NAT;

System 68 – правило, разрешающее запросы DHCP.

Для этого в разделе Пользователи нужно нажать кнопку Показывать статистику за период (последнюю в тулбаре). Затем в появившемся диалоге выбрать диапазон дат, за который нужно посмотреть статистику.

Да, Lan2net NAT Firewall можно использовать совместно с любым прокси-сервером. В версии 1.95 есть свой блокировщик сайтов по URL. Лучше всего использовать прокси, который может работать в transparent режиме, чтобы не прописывать прокси сервер в браузерах на клиентских машинах.

Можно перевести Lan2net NAT Firewall в так называемый режим настройки. В этом режиме Lan2net NAT Firewall не производит никаких действий с сетевыми пакетами. Это можно сделать, задав в реестре параметр HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\LAN2NET\Parameters\ PassthruMode равным 1. Для активации режима настройки необходимо перезагрузить компьютер.

Чтобы перевести Lan2net NAT Firewall обратно в рабочий режим, надо запустить интерфейс администратора и отключить режим настройки

Учтите, что Lan2net NAT Firewall учитывает приоритеты правил. Правило, которое находится выше, имеет больший приоритет. Убедитесь, что перед вашим разрешающим правилом не стоит запрещающее, если стоит, то поменяйте их местами. Желательно все запрещающие правила ставить в самом конце списка.

Создаете правило на интерфейсе локальная сеть

Название: Proxy

IP источника: 192.168.0.2 – 192.168.0.255 (адреса локальной сети)

IP назначения: 192.168.0.1 (сервер Lan2net NAT Firewall)

Порт источника: любой

Порт назначения: 3128 (порт прокси)

Действие: модифицировать IP 192.168.110.4 (адрес прокси)

Для перехвата шифрованного HTTPS трафика в Lan2net Firewall 3.0 реализован HTTPS прокси сервер. Чтобы его задействовать нужно настроить перенаправление трафика HTTPS из локальной сети на прокси. HTTPS прокси слушает порт 4054 на всех интерфейсах. Перенаправление не будет работать на самом сервере.

Для перенаправления на HTTPS прокси создаем правло:
Источник: Диапазон IP адресов локальной сети
Назначение: Любой
Протоколы: TCP порт 443
Действие: перенаправить на IP адрес 25.38.56.54, порт 4054, где 25.38.56.54 IP адрес внешнего интерфейса.

Для перехвата шифрованный сообщений Майл.ру агента в Lan2net Firewall 3.0 реализован специальный прокси сервер. Чтобы его задействовать нужно включить перенаправление трафика. Этот специальный прокси прокси слушает порт 2041 на всех интерфейсах. Перенаправление не будет работать на самом сервере.

Для перенаправления создаем правло:
Источник: Диапазон IP адресов локальной сети
Назначение: Любой
Протоколы: TCP порт 443
Действие: перенаправить на IP адрес 25.38.56.54, порт 2041, где 25.38.56.54 IP адрес внешнего интерфейса.

Прежде всего, проверьте, разрешен ли доступ к порту, который использует Web-сервер, в межсетевом экране, встроенном в Windows XP (если у вас эта ОС).

Другая причина может быть в том, что порт Web-сервера Lan2net NAT Firewall (по умолчанию - 80) уже занят другим Web-сервером. Для изменения порта, зайдите в раздел "Настройки", укажите другой порт и перезапустите l2nservice.

Вызвано некорректной работой DNS-форвардера в Lan2net NAT Firewall версии до 1.9, если прописано более одного DNS сервера (или одинаковые DNS серверы прописаны для обоих сетевых адаптеров шлюза). Для решения проблемы прописать на клиентах DNS сервер провайдера или установить кэширующий DNS сервер (еще один бесплатный сервер) на компьютере с Lan2net NAT Firewall.

DNS форвардер необходимо отключить.

Перезапустить службу Lan2net NAT Firewall вручную

Скорее всего, вы не выключили встроенный в Windows NAT.

Проверить и отключить его можно в настройках сетевого соединения, закладка "Дополнительно", снять галку "Общий доступ к подключению к интернету".

На скриншоте показаны настройки внешнего сетевого адаптера, в зоне обведенной красным никаких галок быть не должно!

Это связано с неправильной настройкой Windows и Lan2net NAT Firewall. Для начала убедитесь, что отключен Windows NAT. Проверить и отключить его можно в настройках сетевого соединения, закладка "Дополнительно", снять галку "Общий доступ к подключению к интернету".

На скриншоте показаны настройки внешнего сетевого адаптера, в зоне обведенной красным никаких галок быть не должно! Если не помогло, то нужно проверить остальные правила Firewall, видимо там есть разрешающее правило, которое все портит.

Просматривать Web-статистику надо только Internet Explorer’ом, и даже используя его, Lan2net NAT Firewall иногда зависает, просто перезапустите службу.

Добавить пользователей, поставить пользователям клиенты и ввести авторизацию, убедившись, что в группе пользователей есть правила на доступ по HTTP, DNS и другие необходимые протоколы.

Провайдер естественно считает этот трафик, так как он прошел через него на ваш адрес, а принял ваш сервер его или нет, для провайдера разницы нет.