» Kerio WinRoute Firewall (часть 3)

kevinkf
да, керио умеет при отсутствии инета на основном канале переходить на запасной...
у нас так настроено... выставляется в самом керио самая первая вкладка, сетевые интерфейсы... там есть рядом вкладка - CONNECTION FAILOVER
в ней поставь галку enable automatic connection failover и выставляй какая сетевуха у тебя основная, какая вторичная...
соответственно при потере соединения на основной сетевухе - керио погонит весь трафан через запасную...
не забудь только проверить настройки ДНС форвардинга...
там должны быть прописаны 4 ДНСки... первые 2 - основной сетевухи и 2 запасной...

Добавлено:
кстати об етом написано в мануале на русском, что в шапке лежит...

Добавлено:
а на мой вопрос кто-нить может ответить?
спасибо...

Имеются две сетевухи и каждые настроены на своего провайдера (я клиент двух провайдеров одновременно). У каждого прова имеются ряд белых адресов, которые не тарифицируются. Исходя из этого настроен роутинг с постоянными маршрутами (серые адреса нигде не пересекаются).

В Traffic Policy имеется строка, которая позволяет некоторым хостам провайдера №1, используя мой прокси-сервер на базе kwr, заходить на серые и часть белых адресов (те, которые не тарифицируются) провайдера №2, т. е. я, как бы мост между провайдерами.

В свою очередь имеется провайдер №3, к которому я не подключен, но к которому имею доступ благодаря другому такому же человеку, как я, только у него подключены одновременно провайдеры №2 и №3. Имею доступ через такой же прокси-сервер. Там все точно также, как и у меня, только у меня подключены пров. 1 и 2, а у него 2 и 3.

Как мне направить людей с хостов пров. №1 на локальные адреса пров. №3, используя прокси-сервер того чела? Я так думаю, что HTTP Policy - Proxy Server - Forward to parent proxy server будет распространяться на все без исключения адреса, а мне это не нужно. Мне нужно, чтобы часть адресов могла идти от меня напрямую, а часть - уже через прокси сервер того чела. (он бы потом настроил все точно также, и у нас получился бы двупроходной мост).

Извините, что все так путанно объяснил, был бы благодарен за помощь.

Dasky

Цитата:

да, керио умеет при отсутствии инета на основном канале переходить на запасной...

это то - да.
А вот при восстановлении основного канала - он на него переходит? (раньше не работало, может что-то изменилось на практике?)
В любом случае если стоит задача надежности, а не ценового веса линии, (ИМХО) надо смотреть в сторону кластера...

Цитата:

В любом случае если стоит задача надежности, а не ценового веса линии,

Как раз цена вопроса не мало важно... денег не дают.

Цитата:

цена вопроса не мало важно... денег не дают.

ага, но две линии имеете

Цитата:

на вкладке одноименной в пользователях - требовать ввода пароля, время простоя и т.п.

А как работает время простоя? Ставил на 1 минуту, бесполезно не работает (брандмауэр отключин, или он влияет), может там надо указывать еще где-то какие параметры. А требование пароля происходит только 1 раз, а мне надо чтобы его требовали постоянно.

DRED_Russia
работает время простоя следующим образом: чтобы керио считал, что пора разлогинивать пользователя, необходимо закрыть браузер и чтобы в течение заданного промежутка времени с этого компа не было никаких исходящих соединений в инет (например, от аськи)

5555555

При восстановлении основного канала переход с резервного происходит вообще быстро. Только нужно вписать IP того, кого керио будет пинговать, например шлюз провайдера. При обрыве основного переход на резервный происходит примерно через минуту или чуть больше.

Нужен совет:
Установил KWF...
Настроил:
1. DNS forwarding (прописал ДНС провайдера)
2. DHSP Server включил и добавил Address Scope c 192.168.1.1 по 192.168.1.254, шлюз поставил маршрутизатора интернета, Doman name - прописал IP нашего домена, Domain name server- что нужно прописать???Оставил пока пусто...
3. HTTP Policy включил non-transparent proxy server на порт 3128. А ниже в Set automatic proxy configuration script to: Direct access (может нужно WinRoute proxy server) и галка ниже...
4. Антивирус отключил...
5. В Address Groups->Address Range- From 192.168.1.1 to 192.168.1.254.
6. в Advanced Options:
Enable HTTP Web interface (в вкладке Advanced->SSL Option -> Do not use SSL-secured interface)
Allow access only from there IP address -> там выбрал группу адрессов с 192,168,1.1 по 192,168,1,254

Не могу понять почему у меня не выходит на страницу авторизации: http://192.168.1.4:4080/fw/login

может ещё что посмотреть...
Подскажите а то нужно уже скидывать прокси+ с PDC и менять его на керио... А пока не могу понять где заморочка...Всё вроде по мануалу делал...Может что упустил из выше описанного? И ещё у ково есть рабочая версия керио стучите в личку....

Назревает тут задача создать vpn соединение под winxp, для обслуживания программы по продаже авиа билетов. Встал такой вопрос: Кроме gre и pptp в трафик полиси еще что-нибудь надо настаривать ?

brizer
Ты, видимо, забыл включить галки на вкладке users -> Auth.Options -> группа web auth.

Стоит Керио 6.0.10 и 2003 Винда+нод 32 нельзя подключиться по SSl...Что посоветуете, винду переустанавливал и насройки керио на три месяца назад из бекапа вернул. Внешний инет идет через VPN
P.S. Вот нашел, еще необъяснимый для меня случай: с одного адреса агента можно законектиться, а с другого нет. Если подключаться без керио то все работает.
Скрины настроек:

И далее:

Люди, есть хоть, что то за мысли

Поставил 6.3.1 build 2906. Кабан через некоторое время умер и начал жаловаться на отсутствие лицензии. Можно это как-нибудь побороть?

Вопрос таково характера:
1. Как лучше работать с настроикой и работой KWF с одной сетевухой (она и локалка и инет) или с двумя (одна на локалку, другая на интернет) для раздачи интернета пользователям (150 человек)? И почему что лучше?
2. Сейчас на сервере крутится Прокси+ и BSB и KMS и Терминальный сервер и Домен и FTP и антивирусная база Симантик 9\\\Собираюсь Интернет и почту перенести на отдельную машину...Вопрос? Как только внедрение закончу, будит ли проблема с совместном использовании KMS+KWF...

brizer
1. Удобнее работать с двумя сетевыми интерфейсами. Nat понятно как делать, если необходимо и прочее
2. Проблем быть не должно

Так! А если у меня с сервером установлены соединения с маршрутизаторами в др. городах на порту 1723 VPNтунели+ четыре конторы подключены через Dlink, VPN подключения, все подключаются туда через удаленный рабочий стол и работают там...Что, нужно ставить VPN_Client к KWF? или просто настроить и без него можно?

Добавлено:
Значит установил и попытался настроить на отдельнолй машине...
Задачи:
1. Настроить и проверить доступ в инет для пользователей кто использует интернет. (для этого создал учётку "test").
2. Проверить работу Почты, Аски, и Биржи, удаленного рабочего стола.
3. Проверить настройку на наличие дыр в инет...

Начал исполнять пункт №1... Страница входа открывается! Пользователь заходит и выходит, НО почему-то после выхода сеанса, я открываю главную страницу, затем выход из системы, а он мне пишет что аунтифкация пользователя "test" выполнена успешно через automatic.

Как убрать эту автоматическое подключение (аунтификацию)? Чтоб после аунтификации вышел из сеанса, и не мог войти пока не введёшь имя и пароль!

Добавлено:
Установил вторую сетевуху: так как говорят что с двумя сетевухам удобней и лучше..
Вот настройки:
1. Подключение по локальной сети (втроенная сетеваякарта в мать) для локалки.
ip 192.168.1.65
255.255.255.0
dns 192.168.1.2
2. Подключение по локальной сети2 (дополнительно установил сетевую карту) для интернета.
ip 192.168.1.4
255.255.255.0
gateway 192.168.1.10 - маршрутизатор для доступа к интернет
dns 84.84.84.84 -днс провайдера

В Trafic Policy сделал установку с помощью мастера.

И... Не получается выходить с клиента на страницу авторизации.
На клиенте прописал шлюз 192,168,1,4 - IP компа с установленным сетевой картой...
Может другой IP указать (дополнительную сетевую, которая для локалки 192,168,1,65)?

Человеки!
Есть ли у кого вариант Kerio+DSL+Спутниковый интернет.
Вот у меня есть и не работает - не знаю что проставить в Traffic policy и как Routing Table расписать,
если есть пример в виде скриншота - вообще идеально
Pliz

brizer

Я так понимаю, у тебя внутренний ДНС сервер стоит... зайди на _http://kerio-rus.ru/ почитай там инструкции по установки KWF в домене... ну и еще там много полезного для новичка

Добрый день!
Вот уже второй день балуюсь с Керио на предмет его дальнейшей установки вместо нынешнего ЮзерГейта. Возник вопрос - причем основательный Толи лыжи не едут толи...
Короче дело обстоит так.Завел аккуанты юзеров, они автоматом атентифицируются по ip машины с которой работают. Создал 2-е группы - одну с полным доступом , другую с доступом к сайтам с о словом *google* в url ( еще раз повторю - это тестирование с целью получше разобраться). В группы раскидал юзеров.

Теперь, для того чтобы юзать nat могли только нужные пользователи в Traffic Policy в столбце Source указываю эти две группы.


И вот тут-то и возникает трабл - юзеры не могут зайти в нет - тоесьб даил-ап по их требованию звонить начинает, но ничего больше не происходит - в броузере - "Не удалось отобразить страницу". В Active Hosts тоже никаких упоминаний.
Абсолютно аналогично и в случае указания для правила NAT в качестве Source - Authenticated users.
А вот если втупую прописать в качестве Source пользователя а не группу, то он получает возможность ходить в нэт.

И в Active Hosts естесственно все прекрасно отображается.

Вопрос - почему так?
Верся KWF - 6.3.1 build 2906

ЗЫ Я конечно понимаю, что этот глюк можно обойти , но с самого начала делать всё "через попу" не хочеться...

Vadimich
Це не глюк, це норма.
В ваших правилах не видно каким образом юзеры авторизируются....
Для начала заставьте их посетить страницу http://yourkerio:4080

Vadimich
у пользователей пропиши прокси IPмашины с винроутем порт 3128

Цитата:

Це не глюк, це норма.
В ваших правилах не видно каким образом юзеры авторизируются....
Для начала заставьте их посетить страницу http://yourkerio:4080

Ну я вроде отметил, что авторизация идет ИСКЛЮЧИТЕЛЬНО по IP юзера. Тоесть на последней вкладке настроек пользователя, указано, что если он зашел с такого-то IP, то авторизовать его автоматом. А в чем норма то? В том , что в traffic policy я не могу использовать группы пользователе, а обязан использовать кажлого юзера по отдельности? Страноо... Обычно такие "нормы" в документации отмечают. Я не нашел...


Цитата:

у пользователей пропиши прокси IPмашины с винроутем порт 3128

У меня не включен непрозрачный прокси - ася работа идет ИСКЛЮЧИТЕЛЬНО через NAT.

Еще идеи? А то у меня крыша уже начинает уезжать...

Люди бывалые вопрос вам:
есть машина с IP 217. XXX.XXX.XXX.
есть сетевая которая для работы с внутренней сетью 192.168.0.1
есть DVB карта SkyStar 2 настроена на спутник ip 192.168.238.238
и есть VPN server спутникового провайдера 82.198.6.19

Через Kerio Traffic policy я разрешил все, и при подключении к VPN серверу
инет "умирает", ну я понимаю что в routing table надо разрулить а как не знаю,
шарю по инету но немогу толковую прогу найти на этот счет, тупо нажимать кнопки можно, но хотело бы еще и понимать что делаешь.
Или если возможно ссылку по теме, если найдется кто уже такое сотворил, киньте скриншот с traffic policy и routing table ПОЖАЛУЙСТА

Помогите. Не могу зайти в администраторскую консоль выдает ошибку: Cannot connect to Kerrio WinRoute Firewall at "localhost". Authentication failed. Пароль Admin не знаю т. к. я пришел на работу, а человек который устанавливал Kerrio WinRoute Firewall 6.2 уже увилился и связи с ним уже нет. Как можно сбросить пароль или как то обойти его.

Пробавал вот так не помогает:
перед правкой users.cfg - останови керию (он пересохраняет все .cfg в момент остановки)
строка пустого пароля должна выглядеть так:
...
<variable name="password"></variable>
...

Посмотри файл usersDB.cfg

Там и убери пароль
И будет тебе счастье.
С какойто версии не помню имя файла было изменено.

после обновления с версии 6.3.0 на версию 6.3.1 у VPN клиента перестал пинговаться сервер с RDP в центр. офисе. Все другие сервера и машины пингуються

Vadimich
Однако странно вы из выпускаете, авторизуете по ИП, а правило от имени группы....
Поищите мои сообщения в пределах 3-4 страниц, там я четко указал как можно АВТОМАТИЧЕСКИ авторизовать юзеров и пускать/не пускать их.

Doctor_Livsi


Посмотри файл usersDB.cfg

Там и убери пароль
И будет тебе счастье.
С какойто версии не помню имя файла было изменено.[/q]
[q][/q]

Пробавал не помогает. Не как не могу зайти. А что за ошибка (Cannot connect to Kerrio WinRoute Firewall at "localhost". Authentication failed.) в чем причина?

Arakcheev

Ну вааще-то ничего странного в этом нет. В группах представлены юзвери, которые притянуты к определенным IP адресам в сети. По логике всем входящим в группу разрешен доступ в инет и они должны авторизоваться автоматом. Но в реальности этого не происходит. Что это, фича, или баг, и как это обойти, я бы тоже хотел знать. Пока вроде бы не нужно, но со временем может понадобиться...

Цитата:

Cannot connect to Kerrio WinRoute Firewall at "localhost

похоже он у Вас не запущен (служба остановлена)
консоль запускаете на той же машине, на которой керио стоит?