qwerty197878
Тебе в варезник!!!
Тебе в варезник!!!
» Kerio WinRoute Firewall (часть 3)
voffka1984
Чет не выходит?
Чет не выходит?
Нужон Хелп. Вроде све просмотрел-не нашел.
Тема следующая. Есть Kerio 6.2.4, есть DC, и есть куча юзеров (27 штук). Как добится того, что бы при выходе пользователя в инет, Kerio считал его трафик, о не подставлял етот трафик в unrecognized users.
P.S. я так понимаю, он просто не проходит аутентификацию, потомучто в логах Kerio пишит:
192.168.0.26 - - [06/Jun/2008:14:42:43 +0400] "GET http://forum.ru-board.com/forall/ajax/insert_tags/icons/small.gif HTTP/1.1" 200 72
192.168.0.26 - - [06/Jun/2008:14:42:43 +0400] "GET http://forum.ru-board.com/forall/ajax/insert_tags/icons/fsize.gif HTTP/1.1" 200 89
192.168.0.26 - - [06/Jun/2008:14:42:43 +0400] "GET http://forum.ru-board.com/forall/ajax/insert_tags/icons/bulletedlist.gif HTTP/1.1" 200 83
192.168.0.26 - - [06/Jun/2008:14:42:43 +0400] "GET http://forum.ru-board.com/forall/ajax/insert_tags/icons/image.gif HTTP/1.1" 200 150
хотя, если пользователя исключить из правила разрешающего доступ, то он его не пускает.
Тема следующая. Есть Kerio 6.2.4, есть DC, и есть куча юзеров (27 штук). Как добится того, что бы при выходе пользователя в инет, Kerio считал его трафик, о не подставлял етот трафик в unrecognized users.
P.S. я так понимаю, он просто не проходит аутентификацию, потомучто в логах Kerio пишит:
192.168.0.26 - - [06/Jun/2008:14:42:43 +0400] "GET http://forum.ru-board.com/forall/ajax/insert_tags/icons/small.gif HTTP/1.1" 200 72
192.168.0.26 - - [06/Jun/2008:14:42:43 +0400] "GET http://forum.ru-board.com/forall/ajax/insert_tags/icons/fsize.gif HTTP/1.1" 200 89
192.168.0.26 - - [06/Jun/2008:14:42:43 +0400] "GET http://forum.ru-board.com/forall/ajax/insert_tags/icons/bulletedlist.gif HTTP/1.1" 200 83
192.168.0.26 - - [06/Jun/2008:14:42:43 +0400] "GET http://forum.ru-board.com/forall/ajax/insert_tags/icons/image.gif HTTP/1.1" 200 150
хотя, если пользователя исключить из правила разрешающего доступ, то он его не пускает.
MagistrAnatol
покажи правила
покажи правила
Name Source Destination Service Action
V Internet Web@domen.local Internet Any Permit
V Local to FireWall Local WireWall Any Permit
V FireWall to Local WireWall Local Any Permit
V Internet Web@domen.local Internet Any Permit
V Local to FireWall Local WireWall Any Permit
V FireWall to Local WireWall Local Any Permit
fdska
Несколько вариантов.
1. В разрешающем правиле HTTP-Policy стоит галка "do not require authentification".
2. Пользователи NAT-ятся напрямую минуя прокси.
3. ...
Несколько вариантов.
1. В разрешающем правиле HTTP-Policy стоит галка "do not require authentification".
2. Пользователи NAT-ятся напрямую минуя прокси.
3. ...
1). Простите за тупость, но не догнал где должна стоять галочка
2). Пользователи используют Nat на проксе
Добавлено:
Вот картинки
Правило:
Active Hosts:
2). Пользователи используют Nat на проксе
Добавлено:
Вот картинки
Правило:
Active Hosts:
Господа, я постепенно схожу с ума.
Не могу авторизоваться по АйПи.
У меня машина 192.168.0.44.
Завел пользователя в Керио - Admin-1, на вкладке IP-adresses прописал ему адрес 192.168.0.44.
Насколько я понимаю, теперь весь траффик с моей машины через файрвол должен писаться на имя пользователя Admin-1?
Этого не происходит.
В Active Hosts есть хост 192.168.0.44 с адресом 192.168.0.44, можно посмотреть соединения с моей машины, показывается скорость, открытые сайты. Но статистика не пишется.
Аналогично: есть комп 192.168.66.1, физически воткнут в тот же свитч, карта на файрволе смотрит сразу в 192.168.0.0 и в 192.168.66.0 (2 айпи, 192.168.0.9 и 192.168.66.3 для одного интерфейса). Создан пользователь с именем PROXY-TI, ему приписан айпи 192.168.66.1. Для него ВСЕ СЧИТАЕТСЯ.
Обя айпишника помещены в одну и ту же группу, для которой дан выход по НАТ на внешний PPP интерфейс.
В чем проблема? В том, что они в разных сетях? Но, по-моему, керио должен был бы обсчитывать обе сети, какая разница.. Тем более что он видит, что траффик идет от 192.168.0.44, и есть бзер, которому этот адрес сопоставлен..
Другая проблема: не разрешаются адреса. То есть, несколько адресов преобразовываются из IP в DNS-имя, остальный - нет. Понимаю, что проблема в ДНС. Форвардер отключен, на машине поднят ДНС от виндовс, настроена пересылка на ДНС провайдера. В интернете хожу нормально, все разрешается. Затык только в Керио - он не понимает, что 194.67.57.226- это mail.ru, и пишет в connections, что я сижу на 194.67.57.226.
Третья проблема: файрвол смешивает и путает локальные и внешние соединения. Например, часть соединений из локальной сети во внешний мир (на тот же mail.ru) показывает локальными (в документации указано, что локальные - соединения с файрволом, а в данном случае ни один из его интерфейсов не присутствует ни в source, ни в destination), почти все соединения с файрволом в source считает исходящими, даже те, что в destination имеют совсем даже локальную сеть. Два соединения, обработанные одним и тем же правилом, имеют разную принадлежность - одно локальное, второе внешнее.
Что делать? Может, кто что посоветует?
Не могу авторизоваться по АйПи.
У меня машина 192.168.0.44.
Завел пользователя в Керио - Admin-1, на вкладке IP-adresses прописал ему адрес 192.168.0.44.
Насколько я понимаю, теперь весь траффик с моей машины через файрвол должен писаться на имя пользователя Admin-1?
Этого не происходит.
В Active Hosts есть хост 192.168.0.44 с адресом 192.168.0.44, можно посмотреть соединения с моей машины, показывается скорость, открытые сайты. Но статистика не пишется.
Аналогично: есть комп 192.168.66.1, физически воткнут в тот же свитч, карта на файрволе смотрит сразу в 192.168.0.0 и в 192.168.66.0 (2 айпи, 192.168.0.9 и 192.168.66.3 для одного интерфейса). Создан пользователь с именем PROXY-TI, ему приписан айпи 192.168.66.1. Для него ВСЕ СЧИТАЕТСЯ.
Обя айпишника помещены в одну и ту же группу, для которой дан выход по НАТ на внешний PPP интерфейс.
В чем проблема? В том, что они в разных сетях? Но, по-моему, керио должен был бы обсчитывать обе сети, какая разница.. Тем более что он видит, что траффик идет от 192.168.0.44, и есть бзер, которому этот адрес сопоставлен..
Другая проблема: не разрешаются адреса. То есть, несколько адресов преобразовываются из IP в DNS-имя, остальный - нет. Понимаю, что проблема в ДНС. Форвардер отключен, на машине поднят ДНС от виндовс, настроена пересылка на ДНС провайдера. В интернете хожу нормально, все разрешается. Затык только в Керио - он не понимает, что 194.67.57.226- это mail.ru, и пишет в connections, что я сижу на 194.67.57.226.
Третья проблема: файрвол смешивает и путает локальные и внешние соединения. Например, часть соединений из локальной сети во внешний мир (на тот же mail.ru) показывает локальными (в документации указано, что локальные - соединения с файрволом, а в данном случае ни один из его интерфейсов не присутствует ни в source, ни в destination), почти все соединения с файрволом в source считает исходящими, даже те, что в destination имеют совсем даже локальную сеть. Два соединения, обработанные одним и тем же правилом, имеют разную принадлежность - одно локальное, второе внешнее.
Что делать? Может, кто что посоветует?
fdska
Цитата:
Только стоять она не должна (если нужно чтобы аккаунтинг считал для каждого пользователя отдельно)
Цитата:
1). Простите за тупость, но не догнал где должна стоять галочка
Только стоять она не должна (если нужно чтобы аккаунтинг считал для каждого пользователя отдельно)
кто делал мапинг в керио?! как заставить работать банк клиенты?! какие я только правила не выдумывал и всё в пустую.....
допустим банк клиенту нужно законнектиться на ip xxx по порту yyy
как сделать мапинг?! в банк клиенте я указываю ip керио, беру порт на пример zzz
и делаю мапинг
sourse: lan
destination: firewall
service: tcp zzz
action: parmit
translation: nat map xxx:yyy
что не так? я весь извёлся уже! в частности нужно делать мапинг на 21 ftp port
допустим банк клиенту нужно законнектиться на ip xxx по порту yyy
как сделать мапинг?! в банк клиенте я указываю ip керио, беру порт на пример zzz
и делаю мапинг
sourse: lan
destination: firewall
service: tcp zzz
action: parmit
translation: nat map xxx:yyy
что не так? я весь извёлся уже! в частности нужно делать мапинг на 21 ftp port
SHRIKE74
Цитата:
керио скорей всего нет, т.к. у него свой протокол на порте 4090, а вот если поднять еще и виндовый VPN, то думаю, что к нему можно будет по стандартному PPTP подключиться.
Добавлено:
INNO SANCTUM
Цитата:
Напишите для начала для каждой подсети отдельное правило и отдельную группу адресов (а лучше подсеть), и посмотрите по connections и по logs по своим ли правилам эти подсети ходят. Затем пробуйте менять местами: правила, айпишники, физическое подключение сетей и т.д. У вас какой-то редкостный глюк, виновником может быть все, что угодно вплоть до сетевой карточки.
Цитата:
Посмотрите на ДНС сервере обратную зону, возможно в ней несколько указателей (причем устаревших) на один и тот же IP. нужно почистить вручную. также почистите вручную базу WINS.
Цитата:
Добавлено:
MagistrAnatol
voffka1984
Цитата:
Цитата:
Уважаемый voffka1984 зачем вы сбиваете человека с толку. Вначале разберитесь сами, что такое "map", а затем уже давайте советы. "map" используется для того, чтобы организовать доступ из инета в локальную сеть, а ему нужен лишь выход в инет, причем самый банальный. MagistrAnatol cделайте такое правило:
sourse: lan
destination: (Внешний интерфейс)
service: Http, https, dns
action: permit
translation: nat (default outgoing interface)
Добавлено:
Цитата:
sourse: lan
destination: IP адрес банка
service: Протокол банка (можете временно поставить Any, посмотреть логи, а затем открыть нужный протокол)
action: permit
translation: nat (default outgoing interface)
и будет вам, как говорят, счастье...
Цитата:
кстати любопытно, может кто знает, керио зохавает впн подключение если к нему будет пытаться подключиться машрутизатор линксайс
керио скорей всего нет, т.к. у него свой протокол на порте 4090, а вот если поднять еще и виндовый VPN, то думаю, что к нему можно будет по стандартному PPTP подключиться.
Добавлено:
INNO SANCTUM
Цитата:
Не могу авторизоваться по АйПи.....
.....Обя айпишника помещены в одну и ту же группу, для которой дан выход по НАТ на внешний PPP интерфейс.
Напишите для начала для каждой подсети отдельное правило и отдельную группу адресов (а лучше подсеть), и посмотрите по connections и по logs по своим ли правилам эти подсети ходят. Затем пробуйте менять местами: правила, айпишники, физическое подключение сетей и т.д. У вас какой-то редкостный глюк, виновником может быть все, что угодно вплоть до сетевой карточки.
Цитата:
Другая проблема: не разрешаются адреса.
Посмотрите на ДНС сервере обратную зону, возможно в ней несколько указателей (причем устаревших) на один и тот же IP. нужно почистить вручную. также почистите вручную базу WINS.
Цитата:
Третья проблема: файрвол смешивает и путает локальные и внешние соединения.Устраните сначала предыдущюю.
Добавлено:
MagistrAnatol
voffka1984
Цитата:
Народ,два вопроса - как настроить керио на приемку почты из жмайла(правило https добавлено,но почта не принимается) и почему не открывается версия для печати через керио?
Цитата:
нужно правило что-то вроде:
sourse: lan
destination: firewall
service: tcp 25
action: parmit
translation: nat map xxx.жмайл.ру (посмотри у них смтп нужный тебе)
ну и такое же правило для поп
Уважаемый voffka1984 зачем вы сбиваете человека с толку. Вначале разберитесь сами, что такое "map", а затем уже давайте советы. "map" используется для того, чтобы организовать доступ из инета в локальную сеть, а ему нужен лишь выход в инет, причем самый банальный. MagistrAnatol cделайте такое правило:
sourse: lan
destination: (Внешний интерфейс)
service: Http, https, dns
action: permit
translation: nat (default outgoing interface)
Добавлено:
Цитата:
как заставить работать банк клиенты?!
sourse: lan
destination: IP адрес банка
service: Протокол банка (можете временно поставить Any, посмотреть логи, а затем открыть нужный протокол)
action: permit
translation: nat (default outgoing interface)
и будет вам, как говорят, счастье...
vimaret с толку я никого не сбиваю, для почты у меня всё прекрасно работает как я написал, а вот для банк клиентов нет. но в одном банк клиенте прям в его настройках указывается логин и пароль для коннекта к проксе и всё работает по моему алгоритму, а вот если в проге нет такой функции, то нифига не работает, может проблема в аутентификации???
vimaret а если делать по твоей схеме, что писать в банк клиенте?! ip proxy и порт ?
Добавлено:
vimaret сделал как ты сказал и нифига не работает
(( может правда трабл с аутентификацией? и через банк клиент он не пускает чере проксю?
аутентификация у меня через актив директори. стоит галка enable AD уатентификация...
Добавлено:
инет у меня работает через прокси, я шлюзом IP керио не прописывал, но и пробовал прописать, один фик не работает.
не пойму, может проблема лежит глубже?! какие подводные камни в настройках я мог не учесть?!
Добавлено:
vimaret вот как ты писал для почты:
sourse: lan
destination: (Внешний интерфейс)
service: Http, https, dns
action: permit
translation: nat (default outgoing interface
у меня так нифига не работает, а делая мапинг как я писал-работает. может проблема где-то намного глубже?!
vimaret а если делать по твоей схеме, что писать в банк клиенте?! ip proxy и порт ?
Добавлено:
vimaret сделал как ты сказал и нифига не работает
(( может правда трабл с аутентификацией? и через банк клиент он не пускает чере проксю? аутентификация у меня через актив директори. стоит галка enable AD уатентификация...
Добавлено:
инет у меня работает через прокси, я шлюзом IP керио не прописывал, но и пробовал прописать, один фик не работает.
не пойму, может проблема лежит глубже?! какие подводные камни в настройках я мог не учесть?!
Добавлено:
vimaret вот как ты писал для почты:
sourse: lan
destination: (Внешний интерфейс)
service: Http, https, dns
action: permit
translation: nat (default outgoing interface
у меня так нифига не работает, а делая мапинг как я писал-работает. может проблема где-то намного глубже?!
Цитата:
что писать в банк клиенте?! ip proxy и порт ?
Я через проксю выпускаю только юзать вебстраницы, а все прочее: банк клиенты, обновления, почтовик, мимо прокси, через NAT. поэтому в банк клиенте, просто пишется IP адрес, или доменное имя.
Цитата:
вот как ты писал для почты.......у меня так нифига не работает, а делая мапинг как я писал-работает. может проблема где-то намного глубже?!
Ну давай с этим разберемся, для этого объясните на словах конфигурацию сети (напр. На компе с КВФ стоит почтовик КМС, контроллер домена, DHCP? DNS....., Пользователи выходят из локалки, подключены через свитч к КВФ, банк клиент на одной из рабочих станций..., И тд.) Давайте IP адреса сервера и рабочих станций, делая config /all, ну и конечно ваши правила.
То, как вы используете мапинг, больше похоже на открытие дыр в файерволе напрямую, может поэтому и работает.
ne0_2002
Нет, галки этой у меня нету, и регистрации к сожалению нет-((
Нет, галки этой у меня нету, и регистрации к сожалению нет-((
кто нить может подсказать как по web интерфейсу можно посмотреть статистику за предыдущий месяц для всех пользователей? или для определенных пользователей?
мне сказали что вроде как можно через браузер смотреть статистику по всем пользователям?
мне сказали что вроде как можно через браузер смотреть статистику по всем пользователям?
ev_robert
Вводишь https://<You winrouter>:4081 и выберешь Задаваемый период.
Вводишь https://<You winrouter>:4081 и выберешь Задаваемый период.
на этой странице в графе статистика есть только мой трафик.
ev_robert
Ты под юзером с админскими правами заходишь?
Добавлено:
В правом верхнем углу, возле Выход из системы есть кнопка Статистика.
Ты под юзером с админскими правами заходишь?
Добавлено:
В правом верхнем углу, возле Выход из системы есть кнопка Статистика.
в правом верхнем углу следующее:
Межсетевой экран: proxy
Вход в систему: Admin
Межсетевой экран: proxy
Вход в систему: Admin
ev_robert
версия у тебя какая?
а мож ты влево смотришь...?
версия у тебя какая?
а мож ты влево смотришь...?
Kerio WinRoute Firewall 6.2.3 build 2027 © 1997 - 2006 ,
я захожу с соседнего компа и в браузере набираю https://192.168.0.10:4081
я захожу с соседнего компа и в браузере набираю https://192.168.0.10:4081
Подскажите,
Ситуация такая:
1) сеть. на АД 2003
2) стоит Winroute firewall 6/4/2
3) пользователи импортируются из АД
4) поднят ВПН.
5) проблема в том что если я соединяюсь по ВПН по двум учеткам (одна административная а другая пользовательская), то все замечательно, но другие учетные записи (с зеркальной настройкой пользователей) при соединение выдают ошибку аутентификации. в чем сабака зарыта?
Ситуация такая:
1) сеть. на АД 2003
2) стоит Winroute firewall 6/4/2
3) пользователи импортируются из АД
4) поднят ВПН.
5) проблема в том что если я соединяюсь по ВПН по двум учеткам (одна административная а другая пользовательская), то все замечательно, но другие учетные записи (с зеркальной настройкой пользователей) при соединение выдают ошибку аутентификации. в чем сабака зарыта?
Archusha2
в керио в свойствах юзверей смотри разрешено ли им впн подключение
в керио в свойствах юзверей смотри разрешено ли им впн подключение
vimaret
Цитата:
Я бы не был столь категоричен в таком заявлении... И тем более наезжать на страждущего new'ба. Понятие "МАР" несколько шире Вашего утверждения.
Дабы не разводить флуд подумайте к примеру над таким правилом:
lan - IP - port 80 - permit - nat (IF3) map IP:8080 - bla bla bla
voffka1984
Да что ты в такой МАР вцепился аки утопающий... Не будет он работать с банком - керио попросту не разрулит пакеты и будет их убивать по истечению TTL что пиведёт к дополнительным затратам ресурсов шлюза.
Тебе надо сделать что то подобное:
1.Прописать на ПК с банк-клиентом керио как шлюз по умолчанию
2. Дать возможность безпрепятственного выхода этой машине на ИП банка.
3. Если есть авторизация то пропиши ИП машины в свойствах пользователя, дабы керио пропустил трафик.
4. Создать правило и поставить его повыше типа такого:
ИП банк-клиент - ИП банка - port 80, port 443, port ZZZZ - permit - NAT (default IF) - PI off.
ev_robert
Цитата:
Обнови керио, ибо как глаголет разработчик на _http://www.kerio.eu/kwf_history.html
Цитата:
StaR появился только в версии 6.3.0 и опосля оной только и обновляется...
Цитата:
Вначале разберитесь сами, что такое "map", а затем уже давайте советы. "map" используется для того, чтобы организовать доступ из инета в локальную сеть
Я бы не был столь категоричен в таком заявлении... И тем более наезжать на страждущего new'ба. Понятие "МАР" несколько шире Вашего утверждения.
Дабы не разводить флуд подумайте к примеру над таким правилом:
lan - IP - port 80 - permit - nat (IF3) map IP:8080 - bla bla bla
voffka1984
Да что ты в такой МАР вцепился аки утопающий... Не будет он работать с банком - керио попросту не разрулит пакеты и будет их убивать по истечению TTL что пиведёт к дополнительным затратам ресурсов шлюза.
Тебе надо сделать что то подобное:
1.Прописать на ПК с банк-клиентом керио как шлюз по умолчанию
2. Дать возможность безпрепятственного выхода этой машине на ИП банка.
3. Если есть авторизация то пропиши ИП машины в свойствах пользователя, дабы керио пропустил трафик.
4. Создать правило и поставить его повыше типа такого:
ИП банк-клиент - ИП банка - port 80, port 443, port ZZZZ - permit - NAT (default IF) - PI off.
ev_robert
Цитата:
Kerio WinRoute Firewall 6.2.3 build 2027 © 1997 - 2006 ,
я захожу с соседнего компа и в браузере набираю https://192.168.0.10:4081
Обнови керио, ибо как глаголет разработчик на _http://www.kerio.eu/kwf_history.html
Цитата:
Version 6.3.0 - March 29, 2007
Major new features:
+ Statistics and reporting (StaR)
* Improved overall performance
+ Support for 64 bit systems
+ Support for Windows Vista
* Improved P2P Eliminator
StaR появился только в версии 6.3.0 и опосля оной только и обновляется...
Может кто сталкивался...
Есть шлюз Win2008+Kerio 6.4.2. Винда включена в домен, Керио берет пользователей для аутентификации из АД. IIS не установлен.
У пользователей перед веб-страничкой аутентификации керио, вылетает стандартный виндовский запрос на авторизацию для доступа к шлюзу с керио.
Понимаю, что это где-то в винде надо подкрутить политику безопасности, но уже неделю не могу ничего найти
ЗЫ случилось это после того, как с шлюза снес контролер домена и перенес его на другой сервак.
Есть шлюз Win2008+Kerio 6.4.2. Винда включена в домен, Керио берет пользователей для аутентификации из АД. IIS не установлен.
У пользователей перед веб-страничкой аутентификации керио, вылетает стандартный виндовский запрос на авторизацию для доступа к шлюзу с керио.
Понимаю, что это где-то в винде надо подкрутить политику безопасности, но уже неделю не могу ничего найти
ЗЫ случилось это после того, как с шлюза снес контролер домена и перенес его на другой сервак.
Цитата:
в керио в свойствах юзверей смотри разрешено ли им впн подключение
да галка стоит, но почему то бьет ошибку 161 в аутентификации.
Archusha2
юзвери импортированы из домена? если да то надо ещё в впн клиенте и домен прописывать, или смотри правила
юзвери импортированы из домена? если да то надо ещё в впн клиенте и домен прописывать, или смотри правила
Цитата:
Обнови керио, ибо как глаголет разработчик на _http://www.kerio.eu/kwf_history.html
каким образом обновить керио - удалить существующую и установить новую?
можно ли поставить поверх?
ev_robert
В принципе ставь по верху но на всяк случай сохрани все .cfg файлы из каталога керио
В принципе ставь по верху но на всяк случай сохрани все .cfg файлы из каталога керио
Цитата:
юзвери импортированы из домена? если да то надо ещё в впн клиенте и домен прописывать, или смотри правила
да пользователи импортированы из домена. А что значит прописать их в впн клиенте?
при соединение я естественно вписываю имена и пароли из домена.
Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808182838485868788
Предыдущая тема: Не расшариваются SYSVOL и NETLOGON
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.