В борьбе с VPN или IP-телефонией неплохо показала себя такая тактика:
1) Берете второй Внешний IP и присваиваете его фаерволу.
2) На фаерволе настраиваете не Port Mapping, а IP Mapping, т. е. прямое отображение внешнего IP на внутренний.
(Все горе в том, что весьма небольшое количество фаерволов знают Все протоколы IP стека, и сответственно могут настроить любой потребный Вам Port Mapping.
IP Mapping позволяет обойти такое ограничение фаерволов)
3) Созерцаете на фаерволе реальные соединения образуемые Вашими приложениями и режете все ненужное.

Файер то работает. По карйней мере telnet domen.ru 1723 проходит
Яж говорю - рубится не на этапе связи, а на этапе проверки имени и пароля.

Вам про это и говорят, что скорее всего одного правила с PPTP мало, а что именно нужно в полевых условиях проще выяснить IP mapping-ом.
(Напримеркогда я настраивал VPN при помощи IPSec на FreeBSD, я с удивлением выяснил что используются как минимум три протокола: протокол обмена открытыми ключами, протокол шифрации на основе этих самих ключей и собственно протокол инкапсуляции IP over IP)

Ну тогда вопросы:
1. что такое Ip Mapping и как им пользоваться ? ))
2. Второй адрес я взять не могу

протокол обмена открытыми ключами, протокол шифрации на основе этих самих ключей и собственно протокол инкапсуляции IP over IP

Т.е. надо еще и это на файерволле прописать?

Я кстати пробовал написать и такое
from inet to шлюз TCP1723 (Protocol ANY) MAP win2k3_server

1) IP Mapping это прямое отображение IP to IP (Я, по крайней мере, пользовал его под таким именем. Ведь сколько фирм столько и "погонял" у технологий.)
Это когда ВСЕ пакеты присылаемые на определенный IP ретранслируются на другой IP.
2) Т.е. надо еще и это на файерволле прописать?
Аллах его знает. Это я пример с IPSec приводил чтобы показать что Вам нужно достаточно хорошо представлять работу VPN на PPTP для поднятия его ЗА NAT.
3) Я бы рекомендовал включить на фаерволе полные логи и смотреть отвергнутые соединения.
4) Самый простой случай (когда себя не утруждают изучением процесса) это поднятие VPN на шлюзе.
5) Да, кстати, а аутентификация какая используется?
6) Вобще такие вещи лучше предварительно макетировать, т.е. собрать копию вашего фаервола ,внешнего клиента и тренироваться "на собачках"

2 vippy

если не изменяет память то при формировани vpn на основе pptp нужны :
порт tcp 1723
порт 47 протокола gre

если не изменяет память то при формировани vpn на основе pptp нужны :
порт tcp 1723
порт 47 протокола gre


[21/Mar/2006 11:15:16] PERMIT "NKnet" packet to inet, proto:TCP, len:40, ip/port:192.168.0.1:1723 -> 81.1.1.94:2404, flags: ACK , seq:667102191 ack:3886907479, win:65187, tcplen:0
[21/Mar/2006 11:15:16] DROP "Default traffic rule" packet from inet, proto:47, len:57, ip:81.1.1.94 -> 192.168.1.2, plen:37


Где 192.168.0.1 - адрес сервера, 192.168.1.2 адрес сетевушки на шлюзе смотрящей в инет

Я никак не мог понять что это за вторая строчка. Пойду разбираться, ибо в Керио про этот протокол нет ни слова.

итак вопрос. как научить старенький керио понимать GRE :-)

Ау )) Как заставить керио разрешить GRE ??

Мне никто помочь не может ?

Pojalusya pomogite reshit problemu...Yest lokalka s servakom Win2003 server na nem je stoit Kerio Winroute , kotoriy razdayet internet useram ...Useri spokoyno vxodyat v inet...no outlook u userov ne rabotayet...na userax vstroyenni fayervol otklyuchen...dafault gateway propisan servak...Kerio nastraival po vsyakomu...ne pomogayet...

Rovshan
что значит настраивал по-всякому?
для работы аутглюка (Outlook) необходимо настроить NAT на Winroute. и соттвественно на клиентских машинах прописать шлюз ip той машины где этот NAT поднят. А так же если pop (imap) и smtp сервера указаны как DNS имена, то необходимо еще указать и DNS.

Na winroute NAT nastroyen i dns toje propisan ...i na kliyentax gateway propisal IP servaka (na kotoroy Kerio stoit )

Rovshan
Пользуйся виртуальной клавиатурой и пиши по-русски

после WINGATE не могу поставить WINROUTE KERIO, после перезагрузки - синий экран!
делаю запускать wingate вручную, ставлю KERIO WINROUTE (разные версии, до последней и ее тоже), KERIO MAIL стоит нормально, после перезагрузки - синий экран.
приходится удалять в безопасном режиме WINROUTE :-(
как бы вы подсказали его установить а XPsp2?
чтобы не сносить хотябы настроки WINGATE и статистику.

как собирать статистику типа:

Юзверь1:
сайт: _www.porno.ru : всего скачанно: 100Mb
сайт: _www.sex.com: всего скачанно: 80Mb
......

Юзверь2:
......

может есть альтернативы, связать какуюнибудь прогу с KerioWinrouteFireWall
или вообще использовать что-то другое?!

Может стоит попробовать WinRouteSpy (http://www.wrspy.ru/) ?
Но это не сбор, а как-раз анализ логов.

Для сбора есть масса другого софта. По крайней мере Google выдает обширный список.

спасибо, реальная прога!
кайф. очень благодарен!

хочу переустановить операционку, как можно так ее переустановить, чтобы сохранить настройки KERIO winroute mailserver?!