WinServ2003+KWF+KMS+VPN

[Angel_of_Sorrow]

проблема следующего толка - есть сервер на котором стоит керио вин роут фаервол - раздает трафик на контору (около 90 машин),на той же машине стоит керио мэйл сервер- который гоняет почту.сам сервер имеет выход только в тонет а почта должна ходить еще и во внешку.Для досступа во внеху есть VPN подключение.Каким образом надо задать правила в KWF чтоб VPN трафик разрешал  только почту (которая ходит во внехху), а остальной трафик шел на тонет ?
может кто нить помомжет кто сталкивался

[Nanobot]

сделай тупо: на сервер виртуалку ставь, на нее майл, а на фаерволе  виртуалке огранич. советую wmvare server

[Angel_of_Sorrow]

проблема в том что перестановка почтовика с ноля довольно хлопотное занятие - особенно в рамках конторы ( потому хотелось бы на действующем так сказть

[.05]

проблема следующего толка - есть сервер на котором стоит керио вин роут фаервол - раздает трафик на контору (около 90 машин),на той же машине стоит керио мэйл сервер- который гоняет почту.сам сервер имеет выход только в тонет а почта должна ходить еще и во внешку.Для досступа во внеху есть VPN подключение.Каким образом надо задать правила в KWF чтоб VPN трафик разрешал  только почту (которая ходит во внехху), а остальной трафик шел на тонет ?
может кто нить помомжет кто сталкивался

У Вас 2 сетевых интерфейса в керио, 1ый тонет, второй впн, так?
Делаете:
1. Шлюз по умолчанию: шлюз для впн
2. Загружаете маршруты на томск
3.Делаете рулсы в ТП:
для ната вида: источник-локальная_сеть назначение-тонет_интерфейс сервисы-сервисы_ для_ната использовать_нат-да_по_дефолту
остальное что для ната есть удалить
Для почты источник-файрвол назначение-впн_интерфейс,тонет_интерфейс сервисы-сервисы_ для_почты использовать_нат-нет

На данном этапе Ваш почтовый сервер имеет доступ во внеху, а пользователи только в тонет

А теперь о грустном.
Если у Вас IP на впн - динамический, то Вы получаете отлуп на большинстве почтовых серверов при отправке почты + не имеете возможность получать почту от других почтовых серверов. Или иными словами - весь этот огород попросту не имеет смысла, но есть иные способы решить данную проблему

[Angel_of_Sorrow]

У Вас 2 сетевых интерфейса в керио, 1ый тонет, второй впн, так?
Делаете:
1. Шлюз по умолчанию: шлюз для впн
2. Загружаете маршруты на томск
3.Делаете рулсы в ТП:
для ната вида: источник-локальная_сеть назначение-тонет_интерфейс сервисы-сервисы_ для_ната использовать_нат-да_по_дефолту
остальное что для ната есть удалить
Для почты источник-файрвол назначение-впн_интерфейс,тонет_интерфейс сервисы-сервисы_ для_почты использовать_нат-нет

На данном этапе Ваш почтовый сервер имеет доступ во внеху, а пользователи только в тонет

А теперь о грустном.
Если у Вас IP на впн - динамический, то Вы получаете отлуп на большинстве почтовых серверов при отправке почты + не имеете возможность получать почту от других почтовых серверов. Или иными словами - весь этот огород попросту не имеет смысла, но есть иные способы решить данную проблему

спасибо за понимание сочувствие и рецепт )
а какой рецепт можете предложить в данном случае с учетом того что преыдущий не вполне оправдывает себя ?я не напрашиваюсь но пару наводок может кините а дальше и сам додумаю и доведу если можно

[.05]

спасибо за понимание сочувствие и рецепт )
а какой рецепт можете предложить в данном случае с учетом того что преыдущий не вполне оправдывает себя ?я не напрашиваюсь но пару наводок может кините а дальше и сам додумаю и доведу если можно

Тогда вопросы и пища для размышлений:
Можно ли разрешить внешку на интерфейсе с тонетом? (ограничить пользователей томском можно очень легко потом)
Если да, то IP для интерфейса с тонетом статический? есть ли наго MX  запись?
Каков примерный объем получаемой почты? Насколько успешна борьба со спамом? (эти 2 вопроса решают затратность почты)
Каковы условия предоставления почтового релея провайдером? лежит ли он в томской зоне? (При отправке почты через томский релей, вы сводите к нулю затраты на отправку своей почты и одновременно практически 100% гарантируете ее доставку минуя фильтры получающей стороны)

[Angel_of_Sorrow]

Тогда вопросы и пища для размышлений:
Можно ли разрешить внешку на интерфейсе с тонетом? (ограничить пользователей томском можно очень легко потом)
Если да, то IP для интерфейса с тонетом статический? есть ли наго MX  запись?
Каков примерный объем получаемой почты? Насколько успешна борьба со спамом? (эти 2 вопроса решают затратность почты)
Каковы условия предоставления почтового релея провайдером? лежит ли он в томской зоне? (При отправке почты через томский релей, вы сводите к нулю затраты на отправку своей почты и одновременно практически 100% гарантируете ее доставку минуя фильтры получающей стороны)

внешку есть только по vpn подключению ((
ip адрес томский статик,mx запись наличествует
обьем почты - около 200-250 писем в день с вложениями(в основном документы типа екселя и ворда ),релэй пользую собственный(закрытый,то есть только для своей локали,Dns корректно настроен - потому все вроде ходит- прична использования своего релэя- то что провайдерский падает оч регулярно и почта не ходит   ),спаму нету вообще (что странно),в качестве почтового сервера стоит кстати KMS

[.05]

А как сейчас почта ходит? входящие только с томска принимаются?

[Angel_of_Sorrow]

да к сожалению - причем по этому поводу руководство оч ругаеться (

[.05]

да к сожалению - причем по этому поводу руководство оч ругаеться (

Раз ругается, то нужен статический белый IP. Вариантов много, можно у ISP выкупить, колокейшн (дорого правда), размещение маил сервера на площадке в инете (забирать почту потом через ваш впн тунель) и тд