» Настройка Kerio Winroute серии 5.x и 6.х

Ребята решил проблему с авторизацией через AD!!!
У меня в свойствах пользователя в AD прописано какому пользователю на какой комп разрешён вход!
Так вот надо разрешить всем, кому инет нужен вход на машину на которой установлен winroute !!!
Пишите кому помогло, а кому нет!


И ещё у меня огромная просьба : ---- не работает почта на приём (pop3) версии 6.0.9 !
Это глюк кряка, или я чего-то не догоняю?
При таких же настройках в 5.1.10 всё работает!!!
наверника есть способ перенастроить так, чтоб всё работало!
Помогите советом!
ПОЖАЛУЙСТА!!!

Спасибо заранее!!!

И раскажите пожалуйсто как юзерям конектится к серверу кроме как через прокси?

Настраивай NAT (по умолчанию, там создается такое правило, мол, Source-это локалка, а Destination-это Интернет, и в этом же правиле активирована функция NAT. Всё достаточно просто. А на клиентах устанавливай Direct access. Типа, прямое подключение в интернет. Если это сложно для тебя, тогда просто укажи в качестве шлюза своим клиентам IP той машины, где у тебя установлена и работает рвота.

Есть проблема - немогу настроить так чтоб из инета мой сайт, установленный на серваке, был видет из инета. И чтоб не надо было проходить аутентификацию - т.е. прозрачно.

oleg065
По умолчанию в AD для юзеров разрешены входы на все компы домена. Ты хочешь сказать, что нужно указывать конкретно все машины? Иначе не работает?

Andy_Urb

Цитата:

И чтоб не надо было проходить аутентификацию - т.е. прозрачно.

А для остального инета надо? А почему именно через инет, если не секрет, в целях "экономии" трафика?

Добавлено:
Кстати, разрешение входа всем подряд на шлюз в инет - это не очень дальновидно.

Из моей конторы ходят те кого пускаю. Но на моем серваке поднят портал php-nuke. Так вот в локалке он виден а мне надо чтоб и с наружи он виден был и не требовал для этого аутентификации.

Добрый день! Прошу помощи уважаемого форума в разрешении следующей проблемы.
Имеем машину с Windows 2000 Server c двумя сетевыми интерфейсами... Одна смотрит в инет, вторая внутрь локалки. Имеем также нескольких пользователей, которым организован доступ в инет через установленный на сервере Winroute Firewall 5.1.10 на котором поднят NAT (и как я понял transparent proxy). Non-transparent proxy тоже включен, но по нему организется доступ только по https(в свое время не получилось заставить работать банковскую систему без этого прокси.) На машинах локалки в настройках сети прописан шлюз - IP машины где стоит винрут.
Последние 2 месяца резко возрос трафик при в общем то тех же потребностях. При скачивании тестового файла было выявлено что трафик превысил размер скачанного файла примерно в 2 раза. Если что-то скачивать в обход винрута(то есть качал прямо с сервера где WR стоит) то трафик в норме. В чем может быть проблема?

Andy_Urb
Открой снаружи 80 порт (или где он там у тебя висит). Source - inet ; destination - firewall or map to host witn portal or host with portal; action - permit.

Добавлено:
PlanerDima
Ты не можешь качать в обход винроута - он весь трафик гоняет через себя.

Так перед порталом запрашивается пароль авторизации, обязательный для моей локалки. А мне надо чтоб портал был виден из инета прозрачно - без паролей.

Цитата:

Ты не можешь качать в обход винроута - он весь трафик гоняет через себя

отключал движок винрута - все качалось

Andy_Urb
Какой-такой пароль? Керио спрашивает? Или портал? При правильных настройках керио не может ничего спрашивать приходящих снаружи! Какие правила в локалке для выхода в инет? Порт 80 открыл?

PlanerDima
Уважаемый, настрой все через NAT. Здается проблемы из-за работы двух схем. Все работает прекрасно через NAT, в том числе и банки по https.
В качестве решения номер два - переустанавливать пробовал? Поставить посвежее версию, начиная с 6.

Цитата:

Уважаемый, настрой все через NAT

то есть оставить только встроенный прозрачный прокси? а непрозрачный отключить...попробовать конечно можно... посвежее то оно не хуже будет?

Я же написал что в локалке обязательная авторизация на проксе. Вот он и снаружи тоже запрашивает.

Цитата:

посвежее то оно не хуже будет?

Нет, не хуже. В версии 6.хх появилась возможность контроля трафика по пользователям. Хотя глюки тоже есть. Например, в правиле доступа к инету изменил valid on с always на промежуток_времени -> доступ вообще перестал работать. Пришлось удалить -> заново создать.

Как отучить KWF анализировать почтовый протокол?
На машине с KWF стоит почтовый сервер. При отправке письма, если удаленный сервер отвечает:

Код: 451 4.3.2 Please try again later

Похоже, эту проблему можно решить отключением Protocol Inspector в Traffic Policy. (с Default на None для правила, по которому ходит smtp)

Есть пара вопросов, господа.
1. Как можно настроить bandwidth limit и load balancing для пользователей, что бы один юзер не занимал весь канал?
2. Проблему с приемом почты. сообщения, размером более метра просто не проходят, тогда как маленькие письма забираютс с сервера на ура.
не проходят - имеется в виду что на внешний pop3 сервер они приходят. Но клиент забрать их через Winroute не может.

Мне кажется, что проблему с приемом почты в Winroute Firewall 6.0.9 нужно рассмотреть подробнее. У меня ходит только SMTP - а POP3 ни в какую! Т.е. иногда (изредка вроде его прорывает, но опять же очень маленькие письма приходят.
В общем все работает, кроме POP3. Клиент - The Bat! И сети 6 машин - и на всех невозможно принять почту. Аналогичная хрень у товарища в другой сетке.
Пожалуйста, если кто-нибудь сталкивался с подобным - поясните, как снять почту в обход Winrout'a!?
Спасибо!

mrCrowley
у меня всё нормально забирает, любых размеров. Может проблема в антивируснике? Если он у тебя установлен, попробуй отключить.

Насчет обхода - ничего не получится, рвота перехватывает на себя все коннекты. Единственное, можно сделать port-mapping. Создай правило, Source - твоя локалка, в качестве Destination - укажи нужный тебе pop3-сервер, в Service укажи любой незанятый порт, например 5000, а в Translation скажи делать портмэппинг с 5000 на 110. В почтовом клиенте пропиши в качестве адреса почтового сервера - имя твоего рвотного хоста, а в качестве порта укажи 5000.

mrCrowley
Ты знаешь у меня тоже так было!
Раз поставил-снёс!
Второй-снёс!
Всё по этой причине!
В третий раз поставил!
Крякнул кряком от версии 6.0.6, потом 6.0.9 и всё заработало!
И вот уже вторую неделю всё пашет как часы!
тьфу-тьфу-тьфу +)


НО!!!!!!!!!!!

Проделал тоже в другой организации и ничего не получаеться!
Почта не работает!
Блин!
А очень нужны квоты!


Добавлено:
mrCrowley
Я попробовал сделать по твоему совету и ничего не вышло!

Добавлено:
Accessor
Может по подробней напишешь!

Цитата:

Может по подробней напишешь!

Я-то напишу, только не понял о чём? Про port-mapping, или про то, как у меня почта забирается через рвоту?

Про port-mapping, как мне кажется, я достаточно ясно разъяснил. А что касается работы моей почты через рвоту - это да, так и есть. Нормально пролазят сообщения любых размеров. При этом рвота, как ей и положено, перехватывает все коннекты, которые делает мой почтарь к своему pop3 серверу. Рвотного антивирусника и кабана у меня нет. Я было как-то попробовал антивирь, а потом наткнулся на то, что с ним не работала докачка файлов и отключил его нафиг. Правда, я пользую на kwf-хосте - Drweb SpiderMail, но даже с ним почта ходит нормально. Port-mapping у меня нет, простой NAT. В общем у меня всё путём, чего и вам желаю.

Народ, а есть ли антивирусники для рвоты, которые нормально пропускали-бы докачку ?

еще дока на русском по Winroute:

hттp://www.networkdoc.ru/files/insop/winroute/read.html?winroute608.html

помогите если кто сможет!
Нужно сделать прозрачное проксирование спомощью winroute на базе 2003!
Весь порт 80,21 завернуть на прокси сервер!
ЭТО ВОЗМОЖНО!?

tritius
Так нельзя, возможно лишь по времени, т.е. disconnect timeout. По умолчанию 2 часа.
Зачем нужна аутентификация при каждом запуске IE? Возможно, у тебя в твоих намерениях какая-то идеологическая ошибка ...

Добавлено:
Style Print
Не понятно, что толком надо сделать? Разъясни доходчиво...

идея в том что на компе может сидеть не 1н человек и получится что другой чел начнёт юзать чужой трафик а это не допустимо. По временной логаут тоже не подходит допустим человек читает что-то с сайта то получится что ему придется входить снова и снова !
В конце концов эта проблема не у одного у меня! Значит идеологическая ошибка ... становится менее вероятна

tritius
Разве керио не понимает аутентификацию NT?

tritius
Как вариант можно прописать в IE стартовой страничкой страницу логаута.
Тогда каждый раз при запуске IE пользователь будет отлогиниваться.

Например, у меня работает вот так:
https://my-winroute-server:4081/fw/login/index.htm?ButtonLogout=Logout

Присоединяюсь к вопросуStyle Print. Подобное, вроде, было в CacheXpress. Там эта задача решалась установкой дополнительного драйвера, который и разворачивал http трафик на локальную прокси, но запустить CacheXpress мне так и не удалось, поэтому не понятно можно ли тот же драйвер прикрутить к WR.

tritius
В самом деле, сделай аутентификацию NT и не мучайся. Садится человек за станок- залогинился в операционной системе. Вставая с кресла - разлогинился.
Таким образом, отпадает необходимость аутентифицировать юзера при каждом запуске IE. Это и есть твоя идеологическая ошибка