1. Есть сервер на Керио.
2. Есть удаленные машины, подключающиеся ВПН клиентом.
3. Нужно разрешить по интерфейсу интернет подключаться к серверу керио по порту хххх, а остальные заблокировать. Тогда клиент будет ходить в интернет только через интерфейс керио, соответственно будет проходить авторизацию и попадать под учет трафика.

Сделать хотелось бы как можно проще, не нагружать компьютеры тяжелыми программами, типа COMODO.
Виндовсы XP,7. Есть и Home и Pro.

DNS убрать хватить?  или свой указать

Не понимаю - удаленная машина, подключающаяся по ВПН к серверу через интернет, должна ходить в интернет только через керио на это сервере?

(1) А ведь действительно все просто, щас попробую.
(2) Да.

(1) Хрен там, шлюз ведь интернета (иначе как подключишься сначала), от ДНС толку мало.

(4) обычно подключаются по ip

(5) Да, подключаются к керио по IP, но чтобы подключиться нужен шлюз. Ставлю в свойствах подключения к интернету ДНС Керио или вообще убираю, эффекта ноль, он же ломится через интерфейс со шлюзом, т.е. интернет.

Тут нужно как-то организовать перенаправление трафика по всем портам, кроме одного с интерфейса интернет на интерфейс Керио ВПН.

С OpenVPN очень просто делается.
С Керио не знаком, но уверен, что достаточно внимательно почитать документацию.

(8) И как вы перенаправляете трафик с подключения интернет на интерфейс OpenVPN ? Разницы в решении задачи не вижу на первый взгляд.

Читал, много думал, нифига не понял.

(10) Пользователь на удаленном компьютере подключается к интернет, потом подключается VPN клиентом к серверу Керио (порт хххх).
Теперь когда он бегает по страничкам, весь трафик должен идти через интерфейс Керио, а сервер уже его пускает или нет в интернет через свои интерфейсы. Пользователь должен пройти авторизацию, можно назначить лимит, возможность смотреть отчеты посещаемости.

(11)Т.е удаленный пользователь через интернет подключается к VPN серевру на Керио, и у него этот самый сервер становится шлюзом по умолчанию при активном VPN соединении, так?
Т.е трафик этого пользователя в любом случае в интернет попадет только через Керио. По идее достаточно просто настроить авторизацию на керио и все должно работать.
Какой именно Керио, и как он в интернет выпускает натом, маршрутизацией или прокси?

Я просто не пойму при чем тут порты...

(12) Ну как по умолчанию, со своего ящика подключаюсь, а интернет все равно через мой шлюз идет. Керио настроен как прокси, нат включен для порта прокси сервера.
ipconfig (до подключения и после) на машине говорит, что шлюз тот же самый как и был, не керио.
(13) Про порты в силу своих познаний предположил.

(14)Когда подключаешься к VPN ты должен указать в настройках изменится ли шлюз по умолчанию.
В винде есть галка - "использовать шлюз по умолчанию в удаленной сети" если она стоит, то весь трафик в интернет пойдет через интерфейс VPN.
Если подключаешься специализированным клиентом, то ищи эту настройку в клиенте.

Про порты вообще забудь, в данной ситуации они никаким боком.
Твою проблему решает только default gateway.

(15) В клиенте не нашел, на сервере Керио тоже. Может из-за того, что у меня шлюз принудительно прописан на интерфейсе интернет...

(16) Подключение VPN не ставит шлюз, вроде все облазил, на сервере Керио и DHCP тоже просмотрел.

(18)На сервере это смотреть бесполезно.
Это настройки клиентской машины, на сервере нечего искать.
Подробно опиши как подключение к впн настраиваешь, и какая ось, если используется специализированный софтовый клиент, кинь ссылку на него.

Нашел вот старенькую тему http://www.avsoft.ru/newforum/forum21/topic4174/
Но с такими маршрутами вешается напрочь.

(19) http://www.kerio.ru/ru/control/download
закладка VPN (могу аккаунт дать к серверу, если не лень потестить).
Windows 7, ставлю клиента и коннект к серверу.

Причем в статистике смотрю, примерно часов в 18 несколько страниц открывались именно так, через VPN соедиение, видимо получилось каким-то образом. Но х.з., теперь и не вспомнить какие эксперименты были. Помню, что пытал программу PortTunnel, хотя логика с шлюзом по умолчанию железная.

Как бы ни звучало, я бы и материально решение задачи компенсировал, в конце концов мне же платят за это.

+(20) работает ! но без прокси, осталось его завести !

Шлюз в ipconfig пишет тот же, а интернет и tracert идет через керио.

Вобщем работает, трафик идет через керио с помощью (20), правда как это работает х.з.
Всем спасибо.