» Kerio WinRoute Firewall (часть 4)

Такая проблема возникла, была локальная база пользователей Kerio, сейчас включили доменную аутентификацию, все работает, но в отчетах ПроксиИнспектора фигурируют дублированные имена пользователей вида юзер@домен.ххх и просто юзер, в логах connection, керио пишет имя пользователя в виде "юзер", а в логе http в виде "юзер@домен.ххх", отсюда и проблемы с подсчетом трафика. Как привести имена пользователей к общему знаменателю? Заранее спасибо!

DenisStrelok
проблем сразу несколько:
1. один интерфейс, а задача организовать НАТ. Нелегко придёться ))) - вставь вторую карту, и туда воткнёшь базу вай фай
2. виндозный ВПН +Керио - Керио грохает ВПН от винды. Надо настраивать чтобы он его пропускал.
3. КАК ИМЕННО сделать НАТ в описанном случае, что-то не пойму ))). Может, это всё же будет прокся?

niichavo
настроил по твоим правилам, все работает..но возник вопрос
как сделать чтоб у мя дома инет ходил не по впн(не через керио), а по моему соединению с инетом

а по русски?

сделал вторую сетку. но не получается настроить. как настроить такую схему?

Добрый день! Не могу разобраться со следующим. Есть пользователи (не домен), привязка к ip-адресу. Пользователи разбиты на группы. Если включить пользователя в группу и создать политику HTTP для группы, то политика не работает, если же применить ту же политику для этого конкретного пользователя-то все работает. Или бывает наобарот-для группы работает, для пользователя нет. Еще заметил, что для созданных когда то пользователей все работает, для новых-нет. Версия 6.5.1 русская (была обновлена с 6.4.2 англ.)

DenisStrelok
непонял в чем проблема??? что не работает....???

Цитата:

Такая проблема возникла, была локальная база пользователей Kerio, сейчас включили доменную аутентификацию, все работает, но в отчетах ПроксиИнспектора фигурируют дублированные имена пользователей вида юзер@домен.ххх и просто юзер, в логах connection, керио пишет имя пользователя в виде "юзер", а в логе http в виде "юзер@домен.ххх", отсюда и проблемы с подсчетом трафика. Как привести имена пользователей к общему знаменателю? Заранее спасибо!

Какие есть соображения?

сталкивался...
вот вопрос... какой метод аутификации...?

flaitsman
Убери пользователей из внутренней БД и включи/оставь только Active Directory Mapping.

DenisStrelok
Посмотрев рисунок - и не нашёл куда приткнуть керио... Зачем оно тебе? Поставь аппартный маршрутизатор за 50 у.е. и гиммроя не будет.

flaitsman

Цитата:

Какие есть соображения?

Вам шашечки или ехать?
Ну настрой фильтр в инспекторе что юзер=юзер@домен либо чистить лог надо либо не использовать инспектор.
А вообще это вопрос к разработчикам скорее всего.

Приветствую. Установил последний керио врф, задал с помощью мастера стандартные правила, среди которых доступ из локальной сети в интернет для всех.
С клиентских компов трейсы и пинги на внешку ПРОХОДЯТ верно, а вот в браузере ничего не открывается! пробовал на нескольких компах, пинг и ресолвинг имени хоста есть, а по факту ничего не открывается. В чем тут может быть засада?

День добрый. У меня вот такая проблемка:
поставил дома vpn-клиент, подрубаюсь к серваку на работе, но не могу зайти по удалённому рабочему столу ни на одну локальную тачку кроме той, на которой стоит керио.
пингуется только 192.168.1.х (адрес с керио)
вот трафик полисы:

sourse destination service action
внешняя firewall kerio vpn permit
dial-in dial-in any permit
внутренняя внутренняя any permit
firewall all vpn clients any permit
all vpn clients dial-in any permit
all vpn tunnels all vpn tunnels any permit

vpn server включен, рандомом была выдана ему подсеть 10.189.162.0
порт 4090

Labigo4you
Проблема: локальный трафик работает (после запуска мастера) а внешний нет на обеих машинах. При запущенном керио - запускаю соединение с инетом - ошибка 800 "недоступен впн-сервер или неправильно сконфигурирована безопасность"


Ruza
зачем мне дополнительно что-то покупать, когда все есть для работы?

пс: трафик полисы 2мя блоками... первый из первой строчки, а остальные 5 во 2ом.

DenisStrelok
почитай тогда сначала описание программы, а именно раздел где описывается работа с виндозным ВПН-ом. Я тоже думаю, что тебе проще (и дешевле) купить железку. Причём, если ты хочешь вай фай, то и покупай Длинк-беспроводной маршрутизатор с поддержкой ВПН, решишь все проблемы одним девайсом. И настройки проще, и гимора нет, настроил, и забыл - поверь мне )))

Labigo4you
насчет по русски мне?
тогда попробую.
настроил подключение из дома по ВПН на работу. ВПН виндовый. все нормально работает. Но при подключенном впн дома, инет пытается идти через керио на работе. Это в какой стороне копать? мне такое просто не надо.

Alendos
Засада - она везде... Как и разруха по Булгакову.
Проблемы с HTTP политиками либо в правилах нет сервиса НТТР.

DenisStrelok

Цитата:

Ruza
зачем мне дополнительно что-то покупать, когда все есть для работы?

Логично. Но с 90% вероятностью могу сказать что второй ПК - это домашний. Для того что бы пользоваться на нём интернетом придётся первый ПК держать включённым постоянно, что само по себе может стать проблемой.

Kmihail

Цитата:

Это в какой стороне копать? мне такое просто не надо.

Посмотри - при подключении ВПН у тебя меняется шлюз по умолчанию... Копать в стороне настройки клиента ВПН.

спасибо, ребята... вы мне очень сильно помогли... ))

народ, а мне по работе ВПН никто ничего не подскажет?

voffka1984 а чё надо?

Kmihail
в настройка трафик полисити посмотри с машины керио во внешную сеть весь трафик открыт или нет....
ООООО стоп....!!! керио опредляет виндовыый впн как отдельный интерфейс.. добавь его в интерфейсы потом в трафик полисити...

SHRIKE74

У меня вот такая проблемка:
поставил дома vpn-клиент, подрубаюсь к серваку на работе, но не могу зайти по удалённому рабочему столу ни на одну локальную тачку кроме той, на которой стоит керио.
пингуется только 192.168.1.х (адрес с керио)
вот трафик полисы:
_________________________________________________
sourse | destination | service | action |
____________|_______________|__________|__________|
внешняя | firewall | kerio vpn | permit |
____________|_______________|__________|__________|
dial-in | dial-in | any | permit |
внутренняя | внутренняя | any | permit |
firewall | all vpn clients | any | permit |
all vpn clients | dial-in | any | permit |
all vpn tunnels | all vpn tunnels | any | permit |
_________________________________________________|

vpn server включен, рандомом была выдана ему подсеть 10.189.162.0
порт 4090

обновился до 6.5.1.5000, возникла следующая проблема Керио не видит (пишет в Интерфейсах что WAN2 "подключение...") что поднята PPPoE сессия(интерфейс), хотя она поднята о чем свидетельствует значек в трее и запись
WAN2 - PPP адаптер:

DNS-суффикс этого подключения . . :
IP-адрес . . . . . . . . . . . . : 1.3.32.194
Маска подсети . . . . . . . . . . : 255.255.255.255

на старых версиях (6.2.х) все было ОК при использовании Удаленного маршрутазатора PPoE из RRAS, или из Сетевых подключений. Это необходимо для того, что есть возможность одновременно ходить на халяву на внутренние ресурсы провадера и в Инет, путем прописывания маршрутов и правил в Керио типа - подсеть х.х.х.х на интерфейс WAN2 ().ОС- Win2003Server
ЗЫ: кста по этому поводу, еще один баг вылез: если PPPoE поднимать виндой то она как и положено (убрана соответствующая галка в свойствах TCP/IP) не добавляет шлюз по умолчанию в таблицу маршрутов, а если поднять PPPoE Керио, то ему по барабану что прописано в Винде и он прописывает шлюз по умолчанию из этой сессии и все пакеты уходят внутрь провайдера.
Надеюсь что выяснился более менее понятно

drsmoll

попробуй изменить в winroute.cfg

Код: <variable name="AutodetectGateway">1</variable>
<variable name="Gateway">1.3.32.194</variable>

Цитата:

а посты раздваивать не хорошо....

Sorry, не посмотрел на заголовок топика и нажал "отправить"
Спасибо, ща опробуем.....
не помогло - все равно добавляет с метрикой 1 а основной меняет на 2
Было до подключения:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 10.0.0.1 10.0.0.5 1
Стало после:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 1.3.22.173 1.3.22.173 1
0.0.0.0 0.0.0.0 10.0.0.1 10.0.0.5 2
А вот что добавляет Вынь про соединении (правильно)
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрик
0.0.0.0 0.0.0.0 10.0.0.1 10.0.0.5 1
1.0.0.0 255.0.0.0 1.3.32.142 1.3.32.142 1

А что нибудь по поводу "подключение..." известно?, т.к. имя интефейса используется в правилах и в маршрутах?

drsmoll

Цитата:

А что нибудь по поводу "подключение..."

мне кажется что включен режим "Traffic Load Balancing", если так переключи в "Persistent"

он и включен "Связь с интернет - постоянный доступ"

voffka1984

Создай правило

Цитата:

all vpn clients---local---any (ну или порты которые открыть надо)---permit

и мапь это на локальный интерфейс, и тогда твоя тачка, которая впн'ом коннектится к керио, будет видеть локалку. Но только по IP. Чтобы по netbios имени видеть компы, то надо wins поднимать.

Scream_Err : и мапь это на локальный интерфейс
all vpn clients---local---any и мапинг? на какой ip?