версия для печати
KERIO WINROUTE FIREWALL 6.0.8
Перевод: Казарян Юрий kazarjan@inbox.ru

P.S. В СКОРОМ ВРЕМЕНИ ДОДЕЛАЮ ПЕРЕВОД ИНСТРУКЦИИ ПО ПРИМЕНЕНИЮ KERIO MAIL SERVER.

ЕСЛИ КОМУ НАДО, ПИШИТЕ

Глава обеспечивает детализированное описание на конфигурацию местной сети и установки WinRoute в штабе компании. То же самое руководство может также сопровождаться для конфигурации сети в удаленных офисах.
2.1 Конфигурации Интерфейса Сети
Интернет - Интерфейсы

Параметры TCP/IP Интернет - Интерфейса должны быть установлены согласно информации, обеспеченной вашим ISP. В случае связи dial-up (то есть аналоговый модем или ISDN), Вы должны создать соответствующую связь dial-up , используя, 'делают новую связь’ волшебником, расположенным в пульте управления сети. Проверите возможность соединения (то есть при использовании команды звона или открывая Вебсайт, используя ваш браузер).
Выбор IP адресов для ЛВС

Следующие варианты могут использоваться, чтобы выбрать IP адреса для вашей ЛВС:
используют общественные IP адреса. ISP назначит необходимый IP диапазон, и установит параметры направления.
используют частные IP адреса и IP NAT перевод. Мы рекомендуем использовать этот выбор, поскольку это предоставляет более легкую администрацию и техническое обслуживание.

Частные адреса представлены специальными IP диапазонами, которые сохранены для местных сетей, которые не принадлежат Интернету. Эти адреса не должны существовать в Интернете (Интернет -маршрутизаторы обычно настраиваются, чтобы пропустить все пакеты, которые включают эти адреса).

Следующие IP диапазоны сохранены для частных сетей:
10.x.x.x, маска сети 255.0.0.0
172.16.x.x, маска сети 255.240.0.0
192.168.x.x, маска сети 255.255.0.0

Глава 2. Конфигурация Штаба
Предупреждение: не используйте другие IP адреса в частных сетях, иначе некоторые Веб - страницы (те сети, которые имеют те же самые IP адреса), могут быть недоступными!

192.168.1.0 адреса (частный IP адрес) с 255.255.255.0 масками сети используются для местной сети в следующем примере.

Интерфейс ЛВС

Следующие параметры будут установлены в Интерфейсе ЛВС:
IP адрес - 192.168.1.1 IP адреса будут использоваться
маска сети - 255.255.255.0
шлюз по умолчанию - никакой шлюз по умолчанию не используются в этом интерфейсе!
DNS сервер - адрес сервера DNS в брандмауэре должен быть идентичным с IP адресом интерфейса, связанного с местной сетью так, чтобы запросы DNS между штабом и сетями были переданы правильно (см. главы 3.1 и 3.2) и также по требованию набирающий от брандмауэра будет работать должным образом. Используйте Привилегированный вход сервера DNS, чтобы определить IP адрес 192.168.1.1.
2.2 Установка WinRoute

Запустите инсталлятор программы WinRoute и выбирайте Типичную установку. Отключите интернет-Связь, или интернет-Брандмауэр Связи (Windows XP) если сервисы обнаружены инсталлятором программы, иначе WinRoute может функционировать неправильно. Определите имя пользователя и пароль, который будет использоваться для учетной записи администратора .

2.3 Основная Конфигурация Политики

После установки программы перезагрузите компьютер.

После перезагрузки, запустите Kerio (Начало / Программы / Kerio). Соединитесь с localhost (местный компьютер) с именем пользователя и паролем, определенным в течение установки. Мастер настройки запуститься автоматически после первого логина. Установите следующие параметры, используя Волшебника:
Интернет -тип связи (Шаг 2) - тип интерфейса, через который брандмауэр связан с Интернетом
Интернет -интерфейс (Шаг 3) - выбирают Интернет -интерфейс или приспосабливают dial-up. Укажите имя пользователя и пароль для доступа по dial-up, если отобранный тип - связь dial-up. Спецификация этих данных логина не требуется, если информация уже сохранена в операционной системе.

Правила, используемые для исходящего траффика (Шаг 4) - эти правила позволяют доступ к Интернет -услугам.
VPN политика Сервера (Шаг 5) - проверка Да, я хочу использовать Kerio VPN, чтобы создать правила, которые позволят взаимосвязь штаба с ветвью офисов , так же как связи отдаленных клиентов (глава 3).
Правила для получения (Шаг 6) - например, SMTP сервер (электроннаяпочты)

Заметка: Здесь Вы можете также определить маршрутизацию для других услуг, к которым относятся услуги, типа сервера FTP. Это будет лучше понято через второй метод – установка специальных правил к главе 2.11.
Разделение Интернет -связи (Шаг 7) - NAT перевод адреса сети нужно позволить, если частные IP адреса будут использоваться в пределах ЛВС

2.4 Конфигурация Сервера DHCP
Примечания c Примерами

Следующие методы могут использоваться, чтобы назначить адреса IP на местных Hosts:
192.168.1.2 статические IP адреса будет назначен на FTP сервер (его IP адрес не должен быть изменен, иначе маршрутизация из Интернета не будет работать).
Статический IP адрес будет назначен на принтер сети сервером DHCP. Сетевые принтеры не могут иметь динамических IP адресов, иначе они будут недоступны от клиентов, если IP изменяется.
Заметка: IP адреса могут быть назначены для принтеров или вручную или сервером DHCP. Если сервер DHCP используется, принтер формируется автоматически, и ее адрес внесен в DHCP. Если формируется вручную, принтер будет независим от наличия сервера DHCP.
Динамические IP адреса будет назначены на местные (локальные) рабочие места (более легкая конфигурация).

область DNS будет использоваться в местной сети.
Заметка: IP адреса 10.1.1.x с маской 255.255.255.0 и filial.company.com область DNS будут использоваться в сети ветви

Конфигурация Сервера DHCP

Пойдите в Конфигурацию / сервера DHCP в Пульте Администрации Kerio. Откройте предел Возможностей, чтобы создать IP возможности для Host, на которых адреса будут назначены динамически (Добавление / выбор Возможностей). Следующие параметры должны быть определены, чтобы определить возможности адреса:
Сначала обращаются - выбирают 192.168.1.10 (адреса от 192.168.1.1 до 192.168.1.9 будут сохранены для серверов и принтеров),
Последний адрес - 192.168.1.254,
маска Сети - 255.255.255.0
Шлюз по умолчанию - IP адрес интерфейса брандмауэра, который связан с местной сетью (192.168.1.1).
Заметка: Шлюз по умолчанию определяет маршрут, через который пакеты от местной сети будут распределены к Интернету. Направление через WinRoute позволит фильтрование трафика, пользовательское установление подлинности, и т.д.
DNS сервер - IP адрес интерфейса брандмауэра, который связан с местной сетью (см. главу 2.5),

Создайте аренду адреса для сети, принтера, используя Добавление / Резервирование ... выбор{опция}. Адрес, который Вы резервируете, не должен обязательно принадлежать возможностям, описанным выше, однако, это должно принадлежать к указанной сети (в этом примере, эти 192.168.1.3 адреса сохранены). Вы должны знать, что аппаратные средства (МАК адрес) адрес принтера делают резервирование.

DHCP Server Configuration

Не делайте резервирование вручную, если Вы не знаете адрес аппаратных средств вашего принтера. Запустите сервер DHCP и подключайте устройство к сети.

IP адрес от прежде определенных возможностей (см. выше) будет назначен на принтер.
Заметка: укажите этот адрес в Арендеадресов и используйте Запас ... кнопка, чтобы открыть диалог, где соответствующий адрес аппаратных средств будет уже определен. Вставьте соответствующий IP адрес (и его описание, желательно), и нажмите на кнопку OK. Перезапустите ваш принтер. Соответствующий IP адрес будет назначен на принтер сервером DHCP после перезапуска.

Примечания:
Не использовать сервер DHCP, если все желательные возможности и резервирование не сделаны или если Вы должны определить адрес (МАК) клиента (см. выше).
Вы можете также использовать другой сервер DHCP, чтобы обнаружить параметры настройки вашего оборудования сети автоматически. Установите внутренний IP компьютера брандмауэра, называют как шлюз по умолчанию и сервер DNS в параметрах для этого диапазона на сервере DHCP.

2.5 Конфигурация DNS перенаправления

Пойдите в to Configuration / DNS Forwarder, чтобы формировать серверы DNS, которым будут отправлены вопросы DNS. Проверьте вопросы DNS указанной альтернативе серверов DNS и определите один или несколько серверов DNS в Интернете. Серверы DNS вашего Интернет - поставщика связи - самые удобные с этой целью (лучшая пригодность). Чтобы получить их IP адреса, свяжитесь с поставщиком.
Предупреждение: Автоматический выбор серверов DNS не может использоваться, начиная с сервера DNS в интерфейсе, связанном с местными использованиями сети тот же самый IP называет как сервер DNS в брандмауэре (см. главу 2.1) - серверы DNS должны всегда определяться в DNS Forwarder, иначе DNS Forwarder не будет функционировать правильно.

Передовые DNS Forwarder:
рекомендуют разрешить the Enable cache ... опция (это ускорит ответы на повторные вопросы DNS).

Для детального описания на этих параметров настройки, обратитесь к главе 3.1 (или к главе 3.2).
И HOST и аренду DHCP нужно позволить (DNS Forwarder использует HOST и/ИЛИ DHCP, чтобы искать названия} и IP адреса местных HOST).

Используйте, имя ... вход, чтобы определить company.com местную область DNS.

DNS Forwarder тогда будет в состоянии правильно ответить на вопросы относительно hostnames в местной сети (например fw) так же как их полных именах DNS (например. fw.company.com).

Использование Edit file... кнопка, чтобы редактировать файл системы HOST. В этом диалоге, определите все IP адреса и hostnames хозяев, на которых IP адреса были назначены вручную (включая брандмауэр).

2.6 Создание Пользовательских Счетов и Групп

Пойдите к Пользователям и Группам / секция Пользователей, чтобы создать пользовательские счета на всех пользователей в пределах местной сети.

Если область Windows NT или Windows 2000 используется в местной области, пользовательские счета могут быть импортированы и/ИЛИ формироваться в этой области. Все пользователи будут иметь идентичное имя пользователя и пароль, чтобы получить доступ ко всем ресурсам сети. Название Windows NT / область Windows 2000 должно быть определено в соответствующем входе в Advanced Options / User Authentication.

2.7 Группы Адреса и Диапазоны Времени

Пойдите к Users and Groups / Groups, чтобы создать пользовательские группы, которые будут использоваться, чтобы управлять пользовательским доступом к Интернету. Откройте Definitions / Address Groups, чтобы создать IP группы, которые будут использоваться, чтобы ограничить доступ, чтобы послать по электронной почте счета (обратитесь к главе 2.11). Эта группа будет состоять из 123.23.32.123 и 50.60.70.80 IP адресов и из всех 195.95.95.128 сетей с 255.255.255.248 масками сети.

Добавление IP адреса:

Добавление сети:

Проистекающая группа адреса:

Пойдите в Definitions / Time Ranges, чтобы создать группу, которая будет ограничена доступом к Интернет - услугам в течение трудовых часов (с понедельника до пятницы от 8 утра к 4:30 после полудня,

Субботы и воскресенья от 8 утра к 12 утра).

Трудовые рабочие дни определения времени (с понедельника до пятницы):

Трудовое определение времени в течение выходных (в субботу и в воскресенье):

Примечания:
Вы можете использовать предопределенные группы дня (Будний день или выходные), чтобы определить Действительное на входе - не нужно помечать каждый день индивидуально.
Записи Имени должны быть идентичными так, чтобы только один диапазон времени был создан.

Это - диапазон времени Рабочей силы результата:

Учетные записи пользователей.

Пойдите к Users and Groups / Users, чтобы создать учетные записи на всех пользователей в пределах местной сети.

Если Windows NT или Windows 2000/2003 (Active Directory) область используется в местной сети, учетные записи могут быть импортированы и/или заверены в этой области. Все пользователи будут иметь идентичное имя пользователя и пароль, чтобы получить доступ ко всем ресурсам сети. Назначьте права доступа для сервера VPN каждому пользователю, который соединится отдаленно с местной сетью (поскольку клиент VPN – см. главу 2.12).

ПОДСКАЗКИ

1. Также возможно импортировать учетные записи от области NT или от Active Directory (то есть загружать пользователей от области и производить пользовательские счета в WinRoute).

Эта операция может экономить ценное время и уменьшает объем настроек, требуемого для администрации.

2. Поскольку Active Directory, автоматический импорт пользовательских счетов доступен. Эта функция требует названия или IP адреса соответствующего сервера области так же как пользовательского установления подлинности через имя пользователя, и пароль (любые пользовательские данные логина, принадлежащие специфической области могут использоваться). Также возможно определить шаблон, который будет использоваться для того, чтобы установить связанные параметры определенного WinRoute (, типа групп, прав, квот, и т.д.) импортированным пользователям. Индивидуальные пользовательские счета будут произведены автоматически на первый успешный логин соответствующего пользователя.
Пользовательские группы

Пойдите к Users and Groups / Groups, чтобы создать группы пользователей, которые будут позже использоваться для обслуживания пользовательского доступа к Интернету. Выберете Пользователи для каждой группы.

2.8 Web Rules Definition
Требования

Доступ к Веб-страницам будет ограничен в соответствии с следующими ограничениями:
фильтрование рекламных объявлений, включенных в Веб-страницы
доступ к страницам с эротическим/сексуальным содержанием запрещен
доступ к Веб-страницам, с предложением о работе запрещен (только пользователям, работающим в Личных Отделах разрешают получить доступ к этим страницам),
пользовательское установление подлинности требуется прежде, чем доступ к Интернету позволяется (этот способ, которым Вы можете контролировать, какие страницы открыты каждым пользователем),
Predefined HTTP Rules

Следующие основные правила HTTP уже настроены, и доступный в URL Rules tab in Configuration / Content Filtering / HTTP Policy:

Позвольте автоматические обновления, Это правило позволяет автоматическим обновлениям WinRoute и Антивирус McAfee от вебсайта Технологий Kerio. Это правило может быть полезным, если правила, отрицающие автоматические обновления определены.

Удалите рекламу и Фильтрование баннеров, рекламных объявлений. Согласно этому правилу понижены пропущены все объекты соответствующие с предопределенной группой URL Объявлений/баннеров.

Пометьте это правило{правление} что бы активизировать.
Заметка: Это могло бы случиться, что страница, которая не представляет никакой рекламы, пропущена. Если так, удалите соответствующий пункт (тот, который вызывает проблему) от группы Объявлений/баннеров, или добавьте исключительное правило для специфических страниц (мы рекомендуем использовать второй метод).

Позвольте Windows MS автоматические обновления, Которые управляет автоматическим обновлениям Windows операционные системы от серверов Microsoft. Это правило может быть полезным, если правила, отрицающие автоматические обновления определены. Используйте Select Rating... кнопку, чтобы выбрать категории, которые будут блокированы сначала. Выберите соответствующие категории в Порнографической секции, чтобы отрицать доступ к страницам с эротическим/сексуальным содержанием.

Примечания:
Основная } лицензия WinRoute не обеспечивает систему Cobion (специальная версия лицензии должна быть куплена). Однако, эта система доступна в версии испытания WinRoute.
Система Cobion, включенная в WinRoute должна общаться с определенными интернет-серверами базы данных. Это означает, что политика траффика должена позволить доступ к обслуживанию{службе} COFS (6000/tcp) от брандмауэра. Правила траффика, созданные Волшебником позволяют весь траффика от брандмауэра до Интернета - не необходимо определить новое правило{правление}.

Вы можете определить многократные правила URL, которые будут использовать Фильтр Cobion, оценивающий технологию. Многократные категории могут использоваться для каждого правила.
Мы рекомендуем Вам позволить " unlock " выбор в правилах, которые используют Cobion

Orange Filter, оценивающий технологию как страница может быть классифицирован неправильно, и полезная информация могла бы быть блокирована при определенных условиях. Все unlock запросы, зарегистрированы в журнале здесь Вы можете контролировать, все unlock запросы.
Заметка: Вы можете вставить информацию, которая будет показана в Advanced tab (Правила URL) или перенаправит пользователей к другой странице, когда попытка для связи запрещенной страницей обнаружена.
Создание Custom URL Rules

Правила, которые будут использоваться для определенных пользователей или пользовательских групп, могут быть добавлены после правила, которое требует установления подлинности для всех пользователей.

Вы можете добавить правило, которое позволит пользователям, принадлежащим Личной группе Отдела получить доступ к страницам, где предлагается работа.

Все правила которые будет запрещать доступ к таким страницам, должно быть добавлено после предыдущего правила.

Примечания:
Рекомендуют позволить не требующие авторизации правило которое отрицает доступ для всех пользователей, иначе незаверенные пользователи, пытающиеся открыть отрицаемую страницу будут перенаправлены к странице логина перед получением страницы опровержения.
В обоих правилах, упомянутых выше только отобрана категория JobSearch.
Пользовательское установление подлинности для того, чтобы получать доступ к Вебсайтам

Последнее дополнительное ограничение - пользовательское установление подлинности, получая доступ к Веб-страницам. Чтобы позволять это установление подлинности, используйте «Всегда требуют, чтобы пользователи были заверены, получая доступ к выбору веб -страниц в Authentication Options.

Конфигурация Кэш HTTP

Кэш ускоряет доступ к неоднократно открытым Веб-страницам, таким образом уменьшая Интернет траффик.

Кэш можно вклюить в Enable cache on transparent proxy

на вариантах “on proxy server options in Configuration / Content Filtering / HTTP Policy. Установите Кэш в желательный размер относительно свободной памяти на диске размера Кэш.

2.9 Конфигурация Политики FTP
Требования

Использование FTP будет ограничено в соответствии с следующими ограничениями:
передача файлов музыки в формате MP3 будет запрещена
передача видео файлов (*.avi) будет запрещена в течение трудового времени
загрузка (хранение файлов в FTP) будет отрицаться - защита важной информации компании

Предопределенные Правила FTP

Пойдите в Configuration / Content Filtering / FTP Policy , чтобы установить ограничения FTP. Следующие правила предопределены и могут использоваться для всех намеченных ограничений.

Запретите upload, это правило запрещает хранить данные в серверах FTP - это правило уже определено, и желательно включить это, если Вы намереваетесь использовать это.

Запретите *.mpg, *.mp3 и *.mpeg файлы, Этот правило запрещает передачу звуковых файлов перечисленных форматов. Это правило уже доступно.

Запретите *.avi файлы, Это правило будет запрещать передачу видео файлов. Позволите это правило, используйте кнопку Edit, чтобы открыть соответствующий диалог и определить диапазон времени.

Предупреждение: правила FTP относится ко всему FTP трафику,

В следующем примере, мы намереваемся позволить местный сервер FTP из Интернета.

Мы должны добавить правило, которое позволило бы, загрузку к этому серверу прежде, чем правило запрещение загружает правило

Примечания:
IP адрес host, где используется служба FTP, должен быть указан.

Тот же самый метод может быть применен, чтобы позволить загрузку к специфическому серверу FTP в Интернете, тогда как загрузка к другим серверам FTP, будет запрещаться.
2.10 Antivirus Scanning Configuration

Любое антивирусное обеспечение, которое Вы намереваетесь использовать, должно быть установлено сначала. Антивируса McAfee встроено в WinRoute, и Вы будете нуждаться в специальной лицензии, чтобы управлять этим. Выберите соответствующее антивирусное обеспечение в Configuration /

Content Filtering / Antivirus и выберите протоколы, которые будут просмотрены. Все executables и Microsoft Office файлы будут просмотрены по умолчанию.

HTTP, просмотр FTP и просмотр Электронной почты позволяют детализированную конфигурацию просмотра индивидуальных протоколов. Обычно, параметры настройки по умолчанию удобны.

2.11 Управление Доступа к Услугам из Интернета

Пойдите в Configuration / Traffic Policy, чтобы добавить правила для услуг, которые будут доступны из Интернета.
доступ к другим услугам почтового сервера - обращается только от определенного IP адресса

Примечания:
Это правило позволяет доступ к IMAP и услугам POP3 и в зашифрованных и в незашифрованных версиях - клиент может выбрать, какое обслуживание они будут использовать.
Основанный на этом примере, служба SMTP была помечена в Configuration / Traffic Policy правилах traffic, (обратитесь к главе 2.3) - соответствующее правило уже существует.
Доступ к службе SMTP не должен быть ограничен определенными адресами IP только, поскольку любому позволяют послать электронную почту местной области.
mapping местного сервера FTP

Заметка: Правила обработаны сверху донизу. Как только правило подобрано, не будет никакой дальнейшей обработки правил фильтра. Поэтому, все правила разрешения должны быть расположены предшествующие к правилам опровержения.
2.12 Защищенный доступ отдаленных клиентов к ЛВС

Разрешите сервер VPN для защищенного доступа отдаленных клиентов (“клиенты VPN”) к ЛВС в Configuration / Interfaces (для деталей, см. главу 3.1). Никакие дополнительные параметры настройки не требуются. Коммуникация клиентов VPN уже позволена по правилу traffic политикt созданная волшебником – обращаются к главе 2.3.

Примечания:
Kerio VPN Клиент должен быть установлен в каждом отдаленном клиенте, чтобы позволить их связь с сервером VPN в WinRoute. Клиенты соединятся с сервером в штабе

2.13 ЛВС Принимают гостей за Конфигурацией

(то есть к 63.55.21.12) и они будут заверены через их имена пользователя и пароли за их счета WinRoute (см. главу 2.6).

Для подробной информации, отнесите к Kerio VPN Клиента - документ Руководства пользователя.
VPN клиенты соединится только с сервером штаба. Никакие параметры настройки{окружение} для клиентов VPN не требуются в ветви{отделении} o ce сервер (ы).
2.13 LAN Hosts Configuration

Параметры TCP/IP для host, которые используются как файл сервер и как сервер FTP, должны формироваться вручную (его IP адрес не должен быть изменен):
IP адрес - мы будем использовать 192.168.1.2 адреса (обратитесь к главе 2.4),
шлюз по умолчанию, сервер DNS - использует IP адрес соответствующего интерфейса брандмауэра (192.168.1.1)

Установите автоматическая конфигурация (использующий DHCP) во всех автоматизированных рабочих местах (это установлено по умолчанию под большинством операционных систем).

Глава 3. Взаимосвязь штаба и удаленных офисов.

Эта глава обеспечивает информацию относительно взаимосвязи сервера штаба и удаленного офиса зашифрованным каналом (“туннель VPN”). Следующий пример описывает только базовую конфигурацию туннеля VPN между двумя сетями. Никакие подсказки, связанные с получением доступа к ограничениям или другим определенным параметрам настройки тут не описаны. Например более сложной конфигурации VPN, отнесите к Kerio WinRoute Firewall - документ Руководства пользователя. Пример разделен на две секции: первый обеспечивает руководящие принципы для конфигурации штаба, и второй описывает параметры настройки удаленного офиса. Считается, что обе сети уже формировались как описано в главе 2, и связь с Интернетом доступна.

Информация, связанная с примером

Для лучшей ссылки, рассмотрите фигуру, обеспечивающую графическое описание связанных сетей, включая их IP адреса.

Штаб использует IP адреса 192.168.1.x с маской сети 255.255.255.0 и с областью DNS company.com. Удаленный офис использует IP адреса 10.1.1.x с маской сети 255.255.255.0 и с подобластью filial.company.com.
3.1 Конфигурация штаба

1. Выбрать VPN сервер в счете Интерфейсов под Конфигурацией / Интерфейсы.

Щелкните два раза мышью или используйте кнопку Edit что бы открыть диалог, где параметры для сервера VPN могут быть установлены. Проверьте Позволение сервера VPN в общих настройках.

Заметка: отобранная свободная подсеть определена автоматически в сети VPN и записях Маски.

Нет никакой причины изменять сеть.

Нажмите Advanced и затем нажмите на Изменение Свидетельства SSL. Используйте кнопку Generate Certificate, чтобы произвести свидетельство SSL о сервере VPN (удостоверение личности сервера).

Заметка: рекомендуют позже заменить это произведенное свидетельство.

2. Создать пассивный конец туннеля VPN (сервер ветви удаленного офиса использует динамический IP адрес).

3. Закончить правило Local Traffic (созданное Network Rules Wizard – см. главу 2.3) с туннелем VPN.

4. В конфигурации DNS Forwarder (см. главу 2.5), позволите перенаправление. Определите правила для области filial.company.com. Определите сервер для перенаправления DNS IP адресом отдаленного интерфейса host брандмауэра (то есть соединяйте связанный с местной сетью в другом конце туннеля).
3.2 Конфигурация удаленного офиса

1. Выбрать сервер VPN в under Configuration / Interfaces. Щелкните два раза мышью или используйте кнопку Edit что бы открыть диалог, где параметры для Сервер VPN могут быть установлены. Проверьте разрешение сервера VPN в General tab.

Заметка: отобранная свободная подсеть определена автоматически в сети VPN и записях Маски. Нет никакой причины изменить сеть.

Нажмите Advanced и затем нажмите на Change SSL Certificate. Используйте кнопку Generate Certificate, чтобы произвести свидетельство SSL о сервере VPN (удостоверение личности сервера).

Заметка: отпечаток произведенного свидетельства - это требуется в течение определения туннеля VPN в штабе.

Заметка: рекомендуют позже заменить это произведенное свидетельство свидетельством..

2. Создать активный конец туннеля VPN (удаленного офиса, сервер использует динамический IP адрес). Отпечаток свидетельства сервера VPN может быть установлен просто нажатием на Detect remote certificate.

3. Закончить правило Local Traffic (созданное Network Rules Wizard – см. главу 2.3) с туннелем VPN.

4. В конфигурации DNS Forwarder (cм к главу 2.5), позволите перенаправление. Определите правила для company.com область. Определите сервер для отправления{ускорения} DNS IP адресом отдаленного интерфейса хозяина брандмауэра (то есть интерфейс, связанный с местной сетью в другом конце туннеля).

3.3 Тест VPN

Конфигурация туннеля VPN была закончена к настоящему времени.

В этом пункте рекомендуют проверить пригодность отдаленных hosts с каждого конца туннеля (от всех местных сетей). Например, ping или tracert операционные команды системы могут использоваться для этого испытания. Рекомендуют проверить пригодность отдаленных host и через IP адреса и имена DNS.

Если отдаленный host проверен через IP адрес, но не отвечает, проверьте конфигурацию traffic правил и узнает, не сталкиваются ли подсети (то есть не используется ли та же самая подсеть в обоих концах туннеля).

Если IP адрес проверен успешно, и об ошибке сообщают (Неизвестный хозяин), когда передача названиz DNS проверено, то проверяйте конфигурацию DNS.
Заметка: клиенты VPN, соединяющиеся с сервером штаба могут получить доступ и к штабу, и к удаленному доступу(доступ не ограничен в соответствии ни с какими ограничениями). Поэтому, рекомендуют проверить связь с обеими сетями также от клиента VPN.