Connect. Communicate. Collaborate. Securely.

Home » Kerio User Forums » Kerio Control » Configure Winroute with 3 NICs
  •  
bbris@gip.fr

Messages: 4
Karma: 0
Send a private message to this user
Hello,

I want to configure Kerio with 3 network cards for web filtering and firewall 2 lan area (10.10.1.x and 10.10.2.x):
I have a win2k server with winroute 6.05 installed connected on the 2 LAN area. I install the server as is :
One card is configured as general gateway (not visible directly by the LAN):
IP : 10.10.1.250
Mask 255.255.255.0
Gateway : 10.10.1.254 (the routeur ip address, I can’t change it)

The second (gateway for client of 10.10.1.x):
IP : 10.10.1.4
Mask 255.255.255.0

The third (gateway for client of 10.10.2.x:
IP : 10.10.2.40
Mask : 255.255.255.0


I try to install the firewall with this configuration. The server is working fine but when clients try to go outside they can’t (with a gateway of 10.10.1.4 for client of 10.10.1.x lan and 10.10.2.40 for client of 10.10.2.x). they block on the first interface card of the server (10.10.1.4 or 10.10.2.40) and are not routed to the second nic.
How to configure winroute for connecting clients to internet with those parameter in order to filter their connection?


Thanks,

Bruno Bris
E-Mail : bbris<at>gip.fr
  •  
firewall

Messages: 6
Karma: 0
Send a private message to this user
Hi Bruno,

I have few things for you, i search for longtime with win nt4.0 srv, sometime you need rras(routing and remote access) this thing give a chance to each nics to talk to each others, i have the same probleme with win2k, but not win2003 srv, and the gateways and netmask are very important (i think you have a good setup).

Actually i used ver 5.x (for me it's the more stable, 6.x a lot of bugs Sad ) with 5 nics, one to a dsl connection and 4 differents lans, for more than 1 year, everything is good. I try ver 6.x and it's the same setup.

If you give more information about your primary rules and what is your windows server you have.

Your email are from France, j'image que vous parlez tres bien francais Smile, malheurement mon anglais n'est pas parfait.

Bonne Journee, have a nice day!

[Updated on: Sat, 02 October 2004 01:17]

  •  
bbris@gip.fr

Messages: 4
Karma: 0
Send a private message to this user
thanks for answer.
i go further with my configuration :
router 10.10.1.254(mask 255x3.0)
+
|
|
|
+
10.10.1.250(mask 255x3.0),gw 10.10.1.254
server 10.10.2.40(mask 255x3.0),no gw<------>LAN 10.10.2.X
10.10.1.4(mask 255x3.0),no gw
+
|
|
|
+
LAN 10.10.1.X(mask 255x3.0)
I add two route for local network :
route -p add 10.10.1.0 mask 255.255.255.0 10.10.1.4
route -p add 10.10.2.0 mask 255.255.255.0 10.10.2.40
is it ok ?
what is the good configuration for the 0.0.0.0 route ?
the 2 lan are working fine and the well see the server but they cannot go to 10.10.1.250/254 to internet.
My second problem is to route the incoming traffic from the routeur to the good lan (for ex. when i try to connect to the 10.10.2.x lan from the routeur).
Thanks.

[Updated on: Sat, 02 October 2004 09:21]

  •  
firewall

Messages: 6
Karma: 0
Send a private message to this user
Hi Bruno,

I give the first part of the answer, i give you the explanation in french.

Premierement voici le schema que j'utilise pour faire mon reseau:

http://forums.kerio.com/index.php?t=getfile&id=281

Tu as une section au niveau firewall qui est adequate, pour les ordinateurs il te manque le gateway, donc, avec le dessin tu vas voir le principe de base et tu pourras faire les changements si necessaires, selon ton reseau.

Autre chose c'est quoi la version de windows serveur que tu utilises ???? car avec nt40 et 2000 tu dois obligatoirement (a moins que tu me trouves une autre solution sans route statique) mettre le rras en fonction, pour 2003 j'ai pas mis le rras et ca fonctionne correctement, wow!?

Il faut aussi comprendre que la configuration des regles du firewall sont tres importantes !!! Je ne connais pas tes regles de base et aussi je crois que tu utilises un lien adsl de alcatel (corrige moi si je me trompe), alors la il peut y avoir d'autres problemes, j'ai abandonne le adsl pour un dsl avec modem direct, c'est plus simple et surtout c'est plus stable.

L'information que je te donne est tres rare, j'ai cherche longtemps pour trouve une configuration adequate avec 5 nics, meme Kerio ne fournit pas cette info (et en DMZ il ne sont pas cable de te repondre !), j'ai meme fait la configuration en mode DMZ et sa fonctionne tres bien!!!

Alors pour le reste il faudra que tu me repondes avec precision sur la version de windows et les regles de base.

Tchow et bonne journee, have a nice day

  • Attachment: firewall.jpg
    (Size: 35.15KB, Downloaded 1494 times)
  •  
bbris@gip.fr

Messages: 4
Karma: 0
Send a private message to this user
Merci pour ta réponse.
je te joins un schéma de ma config :

http://forums.kerio.com/index.php?t=getfile&id=282

comme je te le disais j'ai ajouté 2 nouvelles routes pour voir les sous réseau :
route add 10.10.1.0 mask 255.255.255.0 10.10.1.4
route add 10.10.2.0 mask 255.255.255.0 10.10.2.40
les deux réseaux voient bien le serveur mais par contre les postes n'arrivent pas à aller sur le routeur. il doit me manquer une route du serveur vers le routeur.
d'autre part, lorsque je me connecte sur le routeur, je vais bien sur le serveur mais par contre je n'arrive pas à "passer" le serveur pour aller sur les sous-réseaux.
le routeur est un cisco de 9telecom qui sert pour un vpn entre plusieurs sous réseaux et permet d'accéder à internet.

  • Attachment: Chartres.bmp
    (Size: 96.95KB, Downloaded 1513 times)

[Updated on: Mon, 04 October 2004 09:52]

  •  
firewall

Messages: 6
Karma: 0
Send a private message to this user
Salut Bruno,

C'est bien ce que je pensais ! pour reussir a faire fonctionner ca correctement il te faut le rras, alors pour faire le test il faut enlever tes routes predefinies, je te conseil de faire un reboot et par la suite activer ton rras en mode config manuel, fait un autre verification avant d'activer le rras, juste au (cas il y aurait des routes non desirees)

ca veut dire:

administrative tools, rras, manually configured server, and finish, et c'est tout ce que tu as a faire, je te conseil un reboot, meme si tu as un advanced server, ca devrait etre probablement le meme chemin pour la fonction rras.

Apres tout ca le firewall va faire un bon routage et tu n'as rien d'autre a faire Smile (dans certains rares cas il se pourrait que le ip fowarding soit active, ospf, etc, c'est le firewall qui fait la job, pas windows! donc enleve ca!)

Maintenant du cote de kerio il te reste a faire un ajustement pour faire un test valable, il faut te creer des regles de securite suivantes (tu devras probablement enlever toutes les regles que tu as fait, c'est comme ca la vie!):

carte qui va a ton routeur = internet (nom fictif)
carte 10.10.1.x = lan 0 (nom fictif)
carte 10.10.2.x = lan 1 (nom fictif)

1ere config: de ton serveur tu ajoutes une regle qui permet du:

source:firewall destination:any service:any action:permit

source:lan 0 destination:any service:any action:permit translation:internet

source:lan 1 destination:any service:any action:permit translation:internet

ce qui te permet de faire le test suivant: de la console du serveur de faire de l'internet et des 2 autres ordinateurs de faire aussi de l'internet via la carte internet (en mode nat), cool non ?!

2e config:

source:internet et source:lan 0 et source:lan 1 destination:source:internet et source:lan 0 et source:lan 1 service:any action:permit

donc maintenant tu vas pouvoir communiquer avec ton lan (les 2 pc et le srv), c'est pas tres gracieux comme regle mais tu pourras faire un rafinement apres et aussi t'amuser Smile

Comment par faire ca comme test, et tes resultats devraient etre concluants,

Alors, hop..... au travail ........... Smile

Tchow
  •  
bbris@gip.fr

Messages: 4
Karma: 0
Send a private message to this user
Merci de tess précieux conseils Smile
Je ne peux pas tester aujourd'hui mais je te tiens au courant du résultat de la manip.

Merci encore.
  •  
an2ny79

Messages: 109
Karma: 2
Send a private message to this user
have you configured the traffic policy???

INTERFACE:
NIC1 = 10.10.1.4
NIC2 = 10.10.2.40
NIC3 = 10.10.1.250

NAT POLICY:
NAME SOURCE DESTINATION TRANSLATION
NAT1 NIC1 NIC3 NAT (Default Out)
NAT2 NIC2 NIC3 NAT (Default Out)

Hope this would help...

Regards,
Anthony

Previous Topic: winroute service needs restart periodically.
Next Topic: Outbound connections seems like local one
Goto Forum:
  


Disclaimer:
Kerio discussion forums are intended for open communication between forum members and may contain information and material posted by members which may be useful in learning about Kerio products. The discussion forums are not intended to provide technical support for any specific product. Any information implied or expressed in the discussion forums is that of the posting member. Kerio is in no way responsible for the information posted in the forums, or its accuracy. Kerio employees may participate in the discussions, but their postings do not represent an offical position of the company on any issues raised or discussed. Kerio reserves the right to monitor and maintain the forums to promote free and accurate exchange of information.

Current Time: Sun Nov 19 19:11:54 CET 2017

Total time taken to generate the page: 0.00531 seconds
.:: Contact :: Home ::.
Powered by: FUDforum 3.0.4.