» Kerio WinRoute Firewall (часть 5)

Сомниваюсь что он поможет. Где то я слышал что причина в том что сервис kerio должен работать под доменной учеткой и на винде 2003, так тоже делал когда то давно, но статистика и сейчас идет , но через одно место, то есть через одного пользователя у всех, Делаешь логоут для всех и опять идет через одного


Цитата:

Microsoft Windows XP [Версия 5.1.2600]
(С) Корпорация Майкрософт, 1985-2001.

C:\Documents and Settings\root>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : router
Основной DNS-суффикс . . . . . . : electroset.local
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : electroset.local

inet - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast
rnet NIC #3
Физический адрес. . . . . . . . . : 00-C0-DF-10-8D-E8
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 195.28.*.*
Маска подсети . . . . . . . . . . : 255.255.255.248
Основной шлюз . . . . . . . . . . : 195.28.*.*
DNS-серверы . . . . . . . . . . . : 195.28.32.3
195.28.33.1

LAN - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8168C(P)/8111C(P) PCI
igabit Ethernet NIC
Физический адрес. . . . . . . . . : 00-1F-D0-CD-71-71
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.10.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 192.168.10.2
192.168.10.3

Kerio VPN - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Kerio VPN adapter
Физический адрес. . . . . . . . . : 44-45-53-54-7C-C8
Dhcp включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 172.27.73.1
Маска подсети . . . . . . . . . . : 255.255.255.0
IP-адрес . . . . . . . . . . . . : 169.254.23.31
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DHCP-сервер . . . . . . . . . . . : 169.254.23.30
NetBIOS через TCP/IP. . . . . . . : отключен
Аренда получена . . . . . . . . . : 8 октября 2009 г. 13:41:49
Аренда истекает . . . . . . . . . : 8 октября 2009 г. 13:44:49

ultimatums
в ipconfig /all все в порядке. Привязывай пользователей к IP.
Понимаю, что не вариант при домене. Но без авторизации ни как.
Либо включаешь принудительную аутентификацию в браузере и используешь правило:
сурс аут юзер
дест инет.....

Либо присваиваешь пользователям IP, создаешь группу IP и используешь правило:
сурс группа IP
дест Inet ...

Кстати, привяжи пользователя админа к firewall - это сделать нужно обязательно.

Цитата:

Кстати, привяжи пользователя админа к firewall - это сделать нужно обязательно.

Это я сделал с самого начала.

Цитата:

Либо присваиваешь пользователям IP, создаешь группу IP и используешь правило:

+ Щас попробую

2Tihon_one

Цитата:

progmike
слух ну дело-то в имени хоста kwf, этот самый редирект и есть механизм автоматической авторизации NTLM просто проходит он обычно быстро, так что пользователи не замечают этого редиректа. собсна посмотри какое имя хоста квф у тебя отображается на "дополнительные параметры- вкладка web интерфейс" и это самое имя добавь в зону интрасети твоих клиентских IE.

имя сервера прописано в зоне местной интрасети. да если и не прописывать - он сам определяет, что узел местный...
но редиректа все равно нету и, следовательно, авторизация не проходит автоматом.
что бы все-таки авторизоваться - нужно зайти на сервер... а там уже без всяких паролей - срабатывает НТЛМ. Пользователь попадает на страничку своей статистики...




Цитата:

Вот два этих скрина покажи, юзать надо только вкладку Active Directory для организации подключения к домену и NTLM аутентификации.

2adjuster

Цитата:

Я подскажу: начиная с 6.5.х версий (точно с 6.6.х) kerio убрали некоторые страницы из веб интерфейса, поэтому твой скрипт перестал работать.
Необходимо переделать скрипт под обновленную версию (возможно уже есть в инете).

Не... это к делу не относится. При переходе на 6.6.х скрипт я менял. Это относилось только к скрипту логона - что бы автоматически авторизоваться при входе. Это работает и немного не то...

progmike
С первого скрина по авторизации убери нижнуюю галку про windowsNT, и добавь полное доменное имя в зону интрасети клиента. тебе сколько раз повторить? добавишь скрин приложи того что добавил и куда.

Tihon_one

Цитата:

С первого скрина по авторизации убери нижнуюю галку про windowsNT, и добавь полное доменное имя в зону интрасети клиента.

редиректа нет...


Цитата:

тебе сколько раз повторить?

на счет галки с авторизацией ВинНТ ничего не говорил - вот и не трогаю, а про зону интрасети отвечаю:

Цитата:

имя сервера прописано в зоне местной интрасети. да если и не прописывать - он сам определяет, что узел местный...

ЗЫ. не стоит так нервничать...

Для увеличения нажмите



Такой бред пошел, я запутался

Прописываешь всем группу адресссов, потом заметил что я прописываю группу а она слетает.
В правилах тоже все прописано.

progmike
добавь https а не http, при включении обоих интерфейсов, люди авторизуются на https. изменить можно, сначала попробуй, а потом скажу как.

Tihon_one

не. не прошло. редиректа нету.

делал:

изменил порт НТТПС страницы авторизации на 443 (предварительно отключив ССЛ ВПН) - не пошло
вернул порты ХТТП/ХТТПС страницы авторизации на родные (4080/4081) - не пошло

в каждом из вариантов значения узлов в местной интрасети соответственно изменял

Попробуйка снять галочку, "разрешить доступ только со следующих узлов."

Добавлено:
и после этого, верни значения портов в значения по умолчанию, потом отключи https интерфейс, и с добавленным в зону интранета(кстати проверь в настройках безопасности зоны, что там у тебя с авторизацией в зоне) попробуй перейти с неавторизованного зоста в www.ru или ya.ru а то мистика получается, тысячи людей работают всё круто, а у тебя автоматическая ntlm-ка не работает.

Добавлено:
чтобы не флудить пиши в личку, можат консолькой даш в рид-онли подрубиться посмотрю хоть, если не баисси конечно.

Добавлено:
а лучше скинь в личку свой конфиг, я гляну, будет проще понять что не так.

ultimatums
Похоже ты не к IP пользователей привязал, а группе IP.

KWF 6.7.0

-сейчас настроил так: в правиле по умолчанию для NAT, источник, заменил вместо "Доверенный/Локальный" на "группа пользователей", теперь доступ в инет только у пользователей входящих в группу "группа пользователей",
есть сомнения на счет безопасности такой настройки
Как правильно настроить, чтоб всем пользователям доступ в инет был запрещен, а указанной мной группе разрешен?

-в настройках Веб интерфейса не работает функция "Разрешить доступ только со следующих IP-адресов"
когда эта функция выключена все работает, когда включена выдается сообщение "С данного IP-адреса не разрешен доступ к web-интерфейсу (IP адрес)", несмотря на то что IP адрес входит в группу адресов которым разрешен доступ, в чем тут дело?

Здравствуйте.
Подскажите пожалуйста, сможет ли Kerio справится со следующими задачами?
*Ограничение скорости по IP, по портам
*Распределение нагрузки (несколько каналов)
*Назначение приоритетного трафика

Пример:
Локалка на 6 компов, внешний канал гарантированных 100Mb up\down. Активно используется торрент, качалки, сетевые шутеры, skype, icq, http и т.п. Короче нагрузка максимальная. Возможно ли Kerio настроить так, что бы динамически зарезервировать часть канала? То есть, если идет закачка\раздача торрента и поступает http трафик, приоритетным стает http трафик. Если к этому добавляется трафик игрушки, под http резервируется скажем 10-15% канала, трафик игрушки получает максимальный приоритет, а трафик торрента минимальный приоритет. И наконец, если подключаются клиенты по VPN, под них резервируется 50% канала (учитывая то, что по VPN может идти любой трафик, который желательно не ограничивать), а 50% отдается на локалку.
Получается очень продвинутый QoS

Может кто реализовывал данную схему?
Буду очень благодарен за любую инфу. Спасибо

Цитата:

Может кто реализовывал данную схему?

akir610
под кто подразумевается kerio ?
imho нет
я вообще у него не нашел приоритетов, ктоме полосы на всех при окончании лимита.

Dimsoft
под "кто" я подразумеваю "МОЗГ", который смог реализовать схему, описанную в примере. И не обязательно это должно быть на kerio.

Третий день гугл насилую по данному вопросу, результат ноль. Такое ощущение, что под винду вообще нет решения, которое может динамически резервировать часть канала и распределять трафик по приоритетам

akir610
первую часть можно сделать на коммутаторе который понимает qos, а вот VPN тут не понятно, если только у VPN другая подсеть, а коммутотор L3

Dimsoft
В том то и проблема, что решили отказаться от коммутатора и поставить сервер. Так как ни одна модель не справляется с нагрузкой (исключение Cisco, но для домашней сети слишком дорогое удовольствие).

Добавлено:
Чтобы не флудить создал новую тему
http://forum.ru-board.com/topic.cgi?forum=8&topic=34545

ali99
Если ты имеешь ввиду Группа пользователей - это то, что ты создал группу пользователей и впихнул в ТП - то такая схема будет глючить.
Либо всех пользователей прописываешь в ТП, либо ставишь Аутент. пользователи.

akir610
Dimsoft
http://www.avsoft.ru/forum/read.php?FID=21&TID=1876
- это как можно резать скорость на KWF.

http://www.avsoft.ru/forum/read.php?FID=21&TID=1229 - здесь можно найти все, что написано выше в требованиях (от ограничения скорости по интерфейсам и портам, до баланса нагрузки).

Доброго времени суток!

Никто не подскажет, можно ли подружить ESET SMART SECURITY 4.0.467 и Kerio WinRoute 6.6.0?

Ставлю WinRoute, поверх него Смарт Секьюрити, и полностью падает интернет. Только удаляю - интернет появляется.

FilipFry
Здесь посмотри http://kerio-rus.ru/forum/showthread.php?t=4317

Где можно почитать про могучий и универсальный фильтр от социальных сетей? Как настроить чтобы никто кроме самых лютых хакеров не пролез?

Привет!
Вопрос про линуксовую версию.
Никто не озадачивался тем, чтобы в списке интерфесов показывались также и алиасы?

Необходимо как бы "расщепить" сетевушку на две, чтобы одна была локальная, а вторая - другой ip на том же интерфейсе (это получается третий "интерфейс", для failover интернета).

создание стандартными средствами eth1:0 внутри в терминале работает, но вот консоль керио никак его не видит.

Может, кто-то из вас решал такую проблему? Какие конфиги ковырять?

ULer
ху его знает... от анонимайзеров может спасти только кобан. Либо своими силами создавать список запрещенных сайтов.
Либо попробовать поискать бесплатные базы запрещенных сайтов и создавать фильтр по ним.

HueponiK
на сколько я знаю, с алиасами kwf не работает, только физические интерфейсы.

Tihon_one
а multimac ?

попробуй, но результат будет тот же.

Не понимаю как разрешить bittorrent_у качать и отдавать на сервере, где стоит керио. На клиентах - понятно.

грузить шлюз, торентами? на кой фиг?

Спасите кто-нибудь бедного нуба(
Бился два дня над этим керио, допрыгался что даже удалив его ничего не работает

Есть три компа и беспроводной маршрутизатор. (Дома это всё)
Пару лет этот бедный DI-524up раздавал инет от ADSL модема на один комп по проводку и два по вайфаю, но тут я сменил провайдера, и завёл до маршрутизатора локалку, от чего он немедля взбунтовался. Виснет через каждые пол часа, что и не удивительно, учитывая сколько всего в локалке ходит(в том числе видео через эту... ICMP чтоль...)
Так что я решил воткнуть локалку в комп, и через керио отдать инет маршрутизатору для остальных компов.

Задача у меня тривиальная, есть локалка провайдера:
"Интерсвязь"
IP - динамически 10.51.*.*
GT - 10.51.60.1
DNS 78.29.2.21, 78.29.2.22

Интернет поднимается по VPN с логин-паролем к серверу unlim.is74.ru (динамически 78.29.3.*)

Есть вторая сетевуха, на том конце которой висит машрутизатор и ждет инет
"Для инета"
IP 192.168.11.1
GT нет
DNS 192.168.11.1

Вроде все просто, но не заработало. Сначала не подключался VPN - не видел сервера(не мог разрешить имя сервера...), хотя и ДНС и сам сервер пинговался. При этом керио при запуске писал что "хотя настроено подключение по запросу, но определены шлюзы сконфигурированные не на интерфейс предназначенный для дозвона по запросу. Хотя во вкладке интерфейсы видно что шлюз есть только у локалки провайдера... (На второй сетевухе шлюза НЕТ)
ставил и так и так DNS в соединениях, пробовал двигать интерфейсы в "доп.параметрах", прописал в керио маршруты для локалки прова.
В какой-то момент VPN в крио стал зависать, то есть в керио висит подключение, а в винде оно проходит, но инета не даёт.

Бросил, удалил керио... и инет не появился!! Точнее DNS не работает!
Подключение проходит, торрент что-то качает, касперский обновился, а сайты не открываются. route -f, снова подключился - та же картина... Вырубил лишнюю локалку, прописал в оставшейся DNS вручную, и в VPN то же DNS вручную - не заходит и всё тут.
Подключил сеть проводом к ноуту - сеть рабочая, инет даёт.

Кстати, сколько должно быть интефейсов видно по команде route print? У меня там какие-то левые Microsoft есть... может они мешают? Это на WIN7, если что...

Уже не знаю что и делать( Помогите, пожалуйста!

MADem88
у тебя шлюз на вин 7? а она разве поддерживается текущими версиями kwf?