» Kerio WinRoute Firewall (часть 4)

Kerio 6.4.2, на нем стандартно прокся на 3128 порту. Вопрос: у всех пользвоателей проставлен прокси, но некоторые страницы например google или укр.нет предлагают сохранить файл (что то типа index.html) и не запускются. Отключаешь пользователю проксю - все нормально бегает. В чем может быть дело?

alex_zelenskiy, а специфики нет ни какой? Тоесть, конкретно с www адресом или не на всех компутерах такое? Какую страницу предлагает сохранить (путь к ней)? html вряд ли на гугле раздается.

kliv1
Поделись плз своим керио и лекарством. Мот у меня кривой?
Можешь на мыло? kompi-by@mail.ru

alex_zelenskiy
в свойствах обозревателя закладка дополнительно поставь галки на использовать НТТР1.1 обе

Добавлено:
vovochka2

Цитата:

Поделись плз своим керио и лекарством. Мот у меня кривой?

шапку почитай и дуй сюда
_ttp://forum.ru-board.com/topic.cgi?forum=35&topic=35888
а почту свою нахрена светишь мало мусора присылают (она твоя почта в твоем профиле есть

Привет всем.
У меня проблемя брать статистику с керио винрута.
Когда захожу в Statistic>internet usage statistic как и надо браузер запускается требует ввести пароль юзера который уполномочен видеть статистику, ввожу язер и потом все... нифига не пашет. минут через 5-10 в браузере выходит уведомление что связь с сервером оборванно.
да забыл указать что локально где стоит керио с того сервака статистика пашет...

И еше однин вопос, у мена в локалке AD, в керио яссно что я включил базу узеров брать с AD. все берет нормально.
По идее к юзерам не должно выскакивать окно аутентификации, юзер если залогинился в винде он и так аутентифицирован...
Поведение керио нормально в этом случае?

о! обнаружилось какое то нововведение в Интерфейсах
теперь там по категориям разнесено - Интернет интерфейсы, доверенные лок интерф, и прочие.

возможно если внести лок сетевуху в доверенные - то тормоза в 1с и прочих лок службах прекратяться!!!

giorgit, без трафик полиси на твой вопрос не ответить.
Hrist, у мну при отключении протокол инспектора заметен значительный прирост в скорости копирования по локалке. Я так понял, что 1С стоит на шлюзе вместе с Керио? оО

sNAlexis
По поводу трафик полиси с локалки на фаервол у меня все разрешено.
если вам надо другие полиси то скажите мне какие именно вам нужны и я вытяну.
просто не знаю откуда вытянуть полиси в текстовом формате.

Домен w2k3.
KWF 6.3.1b2906 под w2k3 на отдельной тачке.
Traffic Policy наилиберальнейшие:

Source Destination Service Action Tr PI
Firewall LAN Any Permit Default
LAN Firewall Any Permit Default
Firewall Inet Any Permit Default
LAN Inet Any Permit NAT Default

Т.е. открыто ВСЁ!
Со шлюза на gmail зайти броузером можно, но с любой станции -нет!
Почему так?(то, что не работают с gmail и почтовые клиенты - отдельный разговор, сначала надо с броузерами разобраться).
А в 6.4.2 есть аналогичная проблема?

forb
Похожая проблема была. Решил так: создал группу адресов локальных, напремер Локалка = 192,168,0,0/255,255,255,0 и добавил её в правило в трафикполиси, там где NAT делается. Присутствие там только локального фейса не помогало, хотя по идее должно было все работать. Причем проблема обнаруживалась не один раз на разных компах куда ставил сабж. Со шлюза все работало, а через NAT из локалки нет! Или работало но не все. Умные люди говорят что проблема с метриками, но разбираться не стал, просто добавил к правилу NAT в Source еще и адреса локальной сети. Попробуй может и у тебя проблема в том же.

giorgit, секунду, а этот же пользователь на другом компутере может просматривать эту статистику? Что происходит при попытке просто залезть в биллинг не с фаервола?

sNAlexis

Цитата:

Hrist, у мну при отключении протокол инспектора заметен значительный прирост в скорости копирования по локалке. Я так понял, что 1С стоит на шлюзе вместе с Керио? оО

скорее шлюз керио стоит там же где и 1с
пи отключен давным давно но при переходе с 6.3 на 6.4 с новыми дровами керио - тормоза жуткие...

мляяяяя

у меня вообще сегодня на 6.5. просле обновления большая часть компов даже на адрес авторизвациии на керио зайти не может... хтпп умер... хттпс работае без проблем... впервые такие траблы после обновления возникают... уже и куки чистил и перезагружался... чего то ка не делал...

sNAlexis
с моего лаптопа я не могу залезть в билинг... у меня админовские права на самом керио...
ранше это делалосьь и после чего то (не знаю после чего) я уже не могу залезть в статистику.

этот ерор генерит сам фаяфокс...
Warning: Error in parsing value for property 'position'. Declaration dropped.
Source File: https://kerio-vake:4081/nonauth/style/mainNonauth.css?v=dc5db99ae0693a83aca3d8370105e548
Line: 96

вот в логах в керио не фига не выходит...
там просто пивется что вот узер этот и этот сконектился с фаиерволом...
вот лог из хететепе керио
192.168.0.14 - tsulagi@wissol.local [11/Sep/2008:13:48:43 +0300] "CONNECT https://kerio-vake:4081/ HTTP/1.0" 200 1099
192.168.0.14 - tsulagi@wissol.local [11/Sep/2008:13:49:02 +0300] "CONNECT https://kerio-vake:4081/ HTTP/1.0" 200 2343

вот каринка, здесь застревает (скриншот сделал)
http://img398.imageshack.us/my.php?image=keriotg1.jpg

мда. снес 6.5
вернул 6.4
все залетало и все авториз. без проблем.
сколько раз держался принцыпа - подождать недели две после выхода новой версии - а уж потом ставить... но так привык что без проблем обновлялось уже как год - не удержался идиот ;(

giorgit, 99% дело в трафик полиси. Сам с таким однажды столкнулся. По дурости правило воткнул кривое и часть юзеров перестала заходить в биллинг. Страница висла, но при этом логин осуществлялся.

sNAlexis
(да страница виснет но логин осуществляется)
конкретно что мне смотреть в траффик полиси?
просто не выехал...
как вы сами искоренили проблему?

sNAlexis проблему решил с помощью совета NegoroX, за что его и благодарю.

sNAlexis
да и еще одно с PDC я могу заходить, не знаю почему но от туда логинится...
короч, писец...

новая инфа, в статистике нашел что фаярволл помнит адрес vpn.wissol.ge

реально этого адреса нету, где то он закеширован.
можно ли убрать адреса с кеша?
по моему в этом и проблема..

что-то я не допонимаю.
стоит KWF, включен прокси сервер, коим все успешно пользуются, вроде как всё работает. но вот поставил я на другой машине squid попробовать. и захотелось мне всех прозрачно завернуть на тот прокси, но что-бы при этом каждая машина ходила сама по себе, а не нат через керио. как это сделать?
если делаю нат с мапингом - то всё работает, но на сквиде весь траф идёт на одну машину (kwf).
как правильно сделать мапинг?
sorce: host_ip
dest: firewall
service: http proxy, any icmp
action: allow
translation: map squid_ip:3128

и не работает. гуру, подскажите

sNAlexis
СПАСИБО ОГРОМНОЕ!
Твой совет был верным...
Глючил рулс полиси...
neable locla traffic у меня стоял после ната.
как только поднял повыше ната все заработало.
Спасибо еще раз.

Цитата:

новая инфа, в статистике нашел что фаярволл помнит адрес vpn.wissol.ge

не понял, где именно он там запомнен? рад, что был полезен.

smiclek так а сквид как в интернет ходит?

sNAlexis, сквид сам по себе в инет смотрит. если это имеет значение. он вообще на другой машине.

вопрос может показаться идиотским, но все же.... вопрос такой, если купить лицензию на 10 пользователей, то в KWF и KMS каким образом происходит ограничение на использование большего количества пользователей чем в купленной лицензии?

Привет! Вопрос про VLAN. Kerio на сетевухах intel сможет работать с ее реализацией VLAN интерфейсов или нет? Смотрел форум, там был похожий вопрос, но ответ про то что можно воткнуть еще одну сетевуху честно сказать являеться решением в лоб. Раньше, пока инфраструктура была примитивна я так все и решал... но сейчас прикупив управляемый комутатор с поддкржкой VLAN решил, что вставлять сетевухи это так сказать довольно примитивное решение проблемы - элементарно разьемов не хватает =))). Есть гипотеза, что даже если Kerio не увидит VLAN интерфейсы создаваемые intel виртуально, он же всеравно будет пехать пакеты в IP подсети которые будут назначены этим интерфейсам. В том смысле, что не его дело VLAN теги пехать в пакеты, а софта intel, но так сказать хочеться удобства реализации. Ели кто занимался такими вопросами, просьба ответить. Ну а если есть предложения по каким то альтернативным решениям, пусть даже отказ от керио и пименение другого ПО, прозба писать и дать ссылки.


Дополнение №1 от 13.10.2008:
Intel-овский VLAN (вернее те интефейсы которые создаються для руления этим самым VLAN) включаються в список интерфейсов KERIO. Отсюда логическое заключение, что все должно работать "красиво" и пониматься программами на УРА!

Две сетевухи на одном компе:
1. LAN
2. INET через ADSL-модем работающего в режиме роутера с DNS, модем D-Link DSL-524T.

При установке Керио 6.2 либо 6.4 Инет вырубаеться наглухо даже управление модемом через веб-интерфейс невозможно. Хотя пинги и трасировка проходят даже с локальных машин. После 2-х дневных танцев с бубном, проблема решена.
Меры для решения проблемы начинались со "Службы и приложения" WinXP так-же ручная маршрутизация с использованием ARP-таблиц и вплоть до копания в ADSL-модеме переключение режимов до "бридж" и пр. в том числе проверка машины на руткиты и вирусы порядка 6 пакетами.

Проблема решилась путем удаления KAV 7, к сожалению. К сожалению потому-что данный антивирус очччень неплох. Попытки подружить Керио и Каспера ни к чему не привели. Скорей всего дело в аппаратной части т.к. машина новая на старой машине таких траблов не наблюдалось.

Lena27041

Цитата:

Проблема решилась путем удаления KAV 7

есть же специальные серверные версии каспера(правда работают только под серверной осью, вроде нормально работают с винроутом , пробовал на керио6.2 и каспер сервер 6, проблем не было

kliv1
Lena27041
можно на рабочую станцию и простой кав поставить, надо только веб и почтовый вырубить

SVR

IMHO, вы совершенно правы в своих рассуждениях, Kerio вероятно будет работать с Штеудовым vlan-ом. Но сам не проверял.

Народ,вопрос может не совсем в тему,но тем не менее
подскажите как настроить коммуникатор для работы с нетом в сетке с керио,в самом
керио надо чет дополнительно прописывать?
Я подключаюсь к локальному компу коммуникатором через юесбишный шнурок,комп авторизируется по айпишнику.

Morgan35

Цитата:

в KWF и KMS каким образом происходит ограничение на использование большего количества пользователей чем в купленной лицензии?

KWF - не подключишься, пока не освободится подключение.
KMS - не создашь почтовый ящик