Kerio WinRoute Firewall 6.0
         

Исправление связи


WinRoute для надежности связи имеет функцию "исправления связи" (установление вторичного соединения). Это альтернативное соединение устанавливается автоматически при обнаружении обрыва основного Интернет соединения. Функционирование основного соединения тестируется отправкой выбранным компьютерам Эхо- Запросов ICMP (PING). Если WinRoute обнаруживает, что основное соединение снова восстановилось, альтернативное соединение отключается, и основное автоматически устанавливается.

В качестве альтернативного соединения может использоваться любой сетевой интерфейс или удаленное соединение, существующее в WinRoute (см. главу Interfaces). Нужно определить Правила трафика или блокировку соответствующих коммуникаций через альтернативное соединение. Это значит, что сеть, соединенную с альтернативным интерфейсом, нужно добавить в раздел "Адрес назначения" в правилах для исходящего Интернет трафика через основное соединение.

Более подробная информация о правилах трафика приведена в главе Определение Пользовательских Правил Трафика.

Пример: основное соединение, используемое для исходящего трафика, реализуется через сетевой адаптер (обозначенный в WinRoute как Интернет). Для альтернативного соединения будет использоваться интерфейс удаленного доступа. Мы хотим заблокировать сервис Telnet в направлении от локальной сети в Интернет.

Для выполнения этих требований, нужно установить следующие правила. Для каждого правила указываются два адреса назначения: сеть, связанная с интерфейсом Интернет (главное соединение) и сеть, связанная с интерфейсом удаленного доступа (альтернативное соединение).

  • Запретить Telnet (Forbid Telnet) – связь с Telnet в направлении от локальной сети в Интернет будет запрещена.

  • NAT – передача IP адресов источника будет выполняться для соединений от локальной сети в Интернет (общее Интернет соединение).

  • Трафик брандмауэра (Firewall traffic) – узлу WinRoute будет разрешено соединение с Интернет (использовать NAT нет необходимости, т.к. узел имеет свой собственный IP адрес).




    • Примечание:

  • Правила трафика должны быть установлены к моменту активизации Установок Исправления Соединения (Connection Failover Setup) (см. ниже), иначе соединение не будет корректно работать.


  • Используйте установленные по умолчанию опции для исходящего интерфейса в правилах NAT, чтобы гарантировать, что IP адрес источника в пакетах, идущих из локальной сети в Интернет, всегда указан корректно (т.е. IP адреса главного или альтернативного интерфейса – в зависимости от того, какой из них используется в данный момент).




    • Чтобы указать IP адрес для NAT, нужно определить два независимых правила – одно для главного, и другое для альтернативного соединения.

    Установки Исправления Соединения

    Чтобы определить вторичное соединение, используйте вкладку "Исправление соединения" (Connection failover) в Настройках/Интерфейсах (Configuration / Interfaces).



    Активизировать автоматическое исправление соединения (Enable automatic connection failover)

    Используйте эту опцию, чтобы активизировать/ отключить функцию исправления соединения.

    Текущее соединение (Current connection)

    Эта опция информирует пользователя, какое соединение используется в данный момент:

  • Основное (Primary) – основное соединение (в зеленом поле)


  • Вторичное (Secondary) – альтернативное (вторичное) соединение (в пурпурном поле)


    • Примечание: текущее соединение в любой момент может переключиться. Чтобы видеть текущий статус, щелкните кнопку Обновить (Refresh) (в нижней части вкладки Исправление соединения)

    Пробные узелы (Probe hosts)

    В этом поле нужно указать IP адрес(а) по меньшей мере одного компьютера (или маршрутизатора и т.д.). WinRoute будет тестировать доступность указанного IP адреса (адресов) с регулярными интервалами. Если хоть один из тестируемых девайсов будет доступен, основное соединение будет считаться работающим.

    Примечание:

  • Исправление соединения активизируется, только если указан хоть один пробный узел (WinRoute не может определять обрывы основного соединения, если не указан хоть один пробный узел).




  • Пробные узлы должны быть представлены постоянно работающими компьютерами или сетевыми девайсами (серверы, маршрутизаторы и др.). Рабочие станции, которые работают лишь несколько часов в день, не могут быть пробными узлами).


  • Пробные узлы не должны блокироваться Эхо-запросами ICMP (PING), т.к. такие запросы используются для тестирования доступности этих узлов – иначе узлы всегда будут считаться недоступными.


    • Основное соединение

    Параметры основного Интернет соединения. Соединение должно быть определено следующим образом:

  • сетевой интерфейс со шлюзом по умолчанию


  • удаленный доступ


    • Только интерфейсы и удаленный доступ, определенные на вкладке Интерфейсы, доступны для введения в качестве Интерфейсов (см. главу Интерфейсы).

    Установки по умолчанию (шлюз по умолчанию и соответствующий интерфейс) определяются операционной системой после установки WinRoute, или при первом включении опции «Активизировать автоматическое исправление соединений» (Enable automatic connection failover). Это можно сделать и нажав кнопку Определить (Detect).

    Если в операционной системе не определен никакой шлюз по умолчанию (т.е. когда основное соединение реализуется через удаленный доступ, который в настоящее время отключен), соединение не может быть определено автоматически – основное соединение должно быть определено вручную.

    Альтернативное соединение

    Используйте этот раздел, чтобы установить параметры для альтернативного Интернет соединения, которое будет установлено при обрыве основного соединения. Альтернативное соединение можно определить как сетевой интерфейс со шлюзом по умолчанию или как удаленный доступ (также как и основное соединение).

    Примечание: можно использовать тот же адаптер, который используется для основного соединения, но шлюз по умолчанию должен быть другой. Таким образом можно гарантировать, что при обрыве основного соединения будет использоваться другой маршрутизатор той же сети (подсети).

    Использование удаленного доступа

    При использовании удаленного доступа в качестве основного и/или альтернативного соединения, следует учитывать следующие моменты:



  • Исправление соединений уместно использовать только при его реализации через постоянное соединение (используя сетевой адаптер или постоянный удаленный доступ). Если для основного соединения используется удаленный доступ, устанавливаемый по необходимости (или вручную), после завершения каждого сеанса связи будет автоматически устанавливаться альтернативное соединение.


  • Если удаленный доступ используется для альтернативного соединения, то не важно, постоянный он или нет – WinRoute будет устанавливать и обрывать соединение по необоходимости.

    Однако, использование опции Обрывать при бездействии (Hang-up if idle) может вызвать проблемы – когда альтернативное соединение будет автоматически обрываться, WinRoute не будет устанавливать соединение снова (пока основное соединение не восстановится и снова не оборвется).

    Поэтому мы рекомендуем установить следующие параметры дозвона:

  • для основного соединения – постоянное соединение (persistent connection)


  • для альтернативного соединения – дозвон вручную (manual dialing)


    Содержание раздела