» Настройка Kerio Winroute серии 5.x и 6.х

ГОСПОДА, подскажите, как работать в Winroute с группами и пользователями. А то я не врубаюсь.

Есть сетка о 7 компах 192.168.10.х
Есть сервак с Winroute. Две сетевухи - одна в локалку 192.168.10.1, вторая (192.168.1.1) в сегмент к ADSL модему (192.168.1.2) (255.255.255.252).
Хочу пропускать в и-нет пользователей.
Завожу в Winroute user`ов (Задаю имя юзера, права и IP хоста), засовываю их в группы.
Создаю правило где в источнике указываю группы юзеров в дистенэйшене - интерфейс 192.168.10.1.
Sourse - группа юзерей, Dstination - инрерфейс, смотрящий в и-нет, Srvice - Any, Action - Permit, Log - оба вида, Translation - NAT Translation IP Adresses of outgoinf interface.
Все. По идее - должно работать, но не работает. Если вместо группы или пользователя прописываю IP - всепашет. :о

Жму Apply.

Ни чего не работает. Пигги рубяться уже не доходя до модема.
Вписываю вместо юзерей - IP адреса - все начинает бегать. Убиваю IP, Вставлю юзерей - УРа, все работает, но до рестарта сервиса. После этого все с начала. :о(
Подозреваю, что работпавют не юзеря, а стертые ранее IP адреса.
Прошу совета, как заставить правило работать по заведенным юзерам?

ralphnsk

Вот что я обнаружил. Когда в NAT всех удалишь. Все равно пользователи заходят в инет???? Галки все проверил все правильно. В статистике есть все пользователи которых я завел. И еще когда с других машин смотришь HOST/users то эти пользователи залогинены автоматически. Далее залез я в User Automatic и снял все галки. Это не помогло вс равно файрвол их конектит и логинит. Что делать?

Добавлено
Прежде чем заходить в инет. пользователи должы залогиится зайдя на 192.168.:4080?
Или же при попытке конекта должна вылезти какая то форма с просьбой ввести пароль?

Добавлено
А как сделать автоматический ЛОГАУТ после закрытия браузера пользователем.

routewin

Цитата:

Когда в NAT всех удалишь. Все равно пользователи заходят в инет????

Так ведь не бывает!
Попробуй на все правила включить лог по пакетам, затем сходи в Logs/Filter и посмотри, какое правило пропускает пользователей.

Да, в конце у тебя имеется правило Deny all from all?


Цитата:

И еще когда с других машин смотришь HOST/users то эти пользователи залогинены автоматически.

А пароли у тебя для юзеров присвоены?

Цитата:

А как сделать автоматический ЛОГАУТ после закрытия браузера пользователем.

Штатными средствами точно нельзя. Либо руками отлогиниваться, либо по таймауту.


Цитата:

Или же при попытке конекта должна вылезти какая то форма с просьбой ввести пароль?

У меня авторизация по NTLM (в домене), поэтому никакая форма не вылазит. При наборе адреса странички в браузере пользователь сперва попадает на роутер, где его автоматически авторизует и редиректит куда надо. Если автоматической авторизации нет, то по-моему, ничего выскакивать не будет.

Добавлено
Benedict
А авторизацию у тебя пользователи проходят?

Вопрос! Не работает дозвон по запросу! Вручную дозваниваюсь с рабочей станции через веб интерфейс. С сервака дозон тоже работает. А вот автоматический дозвон не работает. А так все работает. Сервак 2003, винрут 608.

А вот мне интересно, почему никто конфиги к 5 или 6 версии не выкладывает? Хотябы куски с правилами -- их элементарно можно выловить из логов. Я честно скажу: свой конфиг просто стыдно выкладывать, такого я там наворотил, зато две сети работают независимо друг от друга (одна ходит в инет через НАТ, а другая вафли сушит через Прокси) и используют одну выделеную линию интернет.

Ну ладно я (я и WinRoute [4.**] то первый раз увидел пол-года назад), где же конфиги "профи"?

Цитата:

ralphnsk
А авторизацию у тебя пользователи проходят?

Хм? А зачем? Мне представлялось, что если я идентифицирую юзера по IP? то вообщем-то ни каких вопросов не должно быть.
Если заходить на страничку аутентификации, то ни каких проблем.. Но, хотелост бы этого избежать...

Предположим, может так и должно быть, но что тогда ставить в правила? просо пользователей, всех подряди или "только аутентифицированных пользователей"? В чем разница?

HELP!!! Почему то не лезет входящая почта большого объема , где посмотреть? Инет раздается через NAT Winroute 6.0.8

Benedict

Цитата:

если я идентифицирую юзера по IP? то вообщем-то ни каких вопросов не должно быть

Если в свойствах каждого пользователя указывать, с какого именно IP этот пользователь будет автоматически авторизован, то всё должно быть хорошо.


Цитата:

просо пользователей, всех подряди или "только аутентифицированных пользователей

Всех подряд - это вся твоя внутренняя подсетка, в т.ч. и те, кто не авторизовался
Только аут. пользователей - всех пользователей из твоего юзер-листа, которые прошли процедуру авторизации
Некоторых пользователей - избранных авторизованных юзеров.

Проблема решена путем отключения инспектора

Обращение к спецам!!!

У меня установлен Kerio WinRoute 6.0.0
Сервер крутится на WIN2000 с сетевой картой, смотрящей в локалку 192.168.4.1 ... 192.168.4.254
и Радиоантена с картой DLINK AirPlus 520+

Установлены следующие интерфейсы:
Bolnitsa - это локальная сеть с моим провайдером (10.0.1.х маска 255.255.252.0)
Lokala - это локальная сеть в моем доме (192.168.4.ХХХ маска 255.255.255.0)
DialIN - не используется
DialUP - это VPN подключение к провайдеру (10.0.2.х маска 255.255.255.255)
VPNserver - 0 CLIENT CONNECTED (10.253.41.х маска 255.255.255.0)

Требуется настроить таким образом, чтобы юзеры из сети Locala могли пользоваться своей сеткой, по
возможности сетью Bolnitsa без ограничений, и с подсчетом трафика DialUP соединением.

Я. прочитал предыдущие посты и получилось через аутентификацию считать трафик, но самое ужасное что
я ни ХРЕНА не понял как это получилось, а так как я не ничего не понял, то на фиг вся эта затея???

Прошу вас растолковать мне смысл моего Traffic Police.
Заранее благодарен, Александр.
email: phoenix_p@mail.ru


Name | Sourse | Destination | Service | Action
-------------------------------------------------------------------
ICMP traffic | Firewall | Any | Ping | v
-------------------------------------------------------------------
Cobion traffic| Firewall | Any | HTTPS | V
| TCP6000 | V
-------------------------------------------------------------------
NAT | Bolnitsa | Dial-Up | DNS | V
| Dial-in | | FTP |
| Locala | | HTTP |
| | | HTTPS |
| | | IMAP |
| | | POP3 |
| | | SMTP |
| | | Telnet |
-------------------------------------------------------------------
Local Traffic | Bolnitsa | Bolnitsa | Any | V
| Dial-in | Dial-in | |
| Firewall | Firewall | |
| VPN clients | VPN clients | |
| Lokala | Lokala | |
-------------------------------------------------------------------
Firewall traffic| Firewall | Dial-Up | DNS | V
| | | FTP |
| | | HTTP |
| | | HTTPS |
| | | IMAP |
| | | POP3 |
| | | SMTP |
| | | Telnet |
-------------------------------------------------------------------
Ident | Dial-Up | Firewall | Ident | X
-------------------------------------------------------------------
Default rule | Any | Any | Any | X
-------------------------------------------------------------------

Гуру помогите, никак не могу импортировать пользователей из AD. Делаю так: Users and Group -> Users -> ActiveDirectory/NT Domain -> отмечаю галочкой "Enable Active Directory..." Ввожу имя где находится AD: server.firma.local, жму import user now... Там узаываю import from server: адрс машины на которой стоит Winroute: inet.firma.local Ввожу имя админа и пароль WinRoute немного думает и потом говорит No user Import. Что я не правильно делаю?! За ранее биг сенкс!

Demonidi
Это глюки Winroute.

Попробуй не через Active Directory, а из NT домена импортировать. Поставь галку в том месте, где NT Domen Authentication, напиши имя домена (local?).

И ещё. Пользователи (в active directory) должны находиться именно в папке server.firma.local/Users (или в другой корневой папке). У меня те, которые рассованы по подпапкам, импортироваться почему-то не стали.

В принципе, можешь и руками пользователей завести, а в свойствах, где Authentication, укажи NT/Kerberos 5 - должно получиться.

ralphnsk
Спасибо, завтра буду пробывать. Напишу что у меня получится.

На windows 2000 server стоит kerio winroute 6.0.8, который раздает интернет в локалку. проблема в том, что не могу запустить веб-сервер, встроенный в виндовс... может быть есть какие то комментарии по этому поводу.

bakayama

Цитата:

не могу запустить веб-сервер, встроенный в виндовс...

Запустить на той же машине? Если отключить WinRoute, сервер запускается? Как именно ты не можешь запустить? Есть ли с самой машины доступ к самой себе на сервер?

На ННМке сегодня пишут:

Цитата:

Как раз про Kerio WinRoute Firewall нам пишут:
После долгих и безуспешных поисков русского мануала к программе kerio winroute firewall 6.0.8 я сам перевел инструкцию по применению на наш родной язык. Пользуйтесь, господа - скачать архив можно тут

Вопрос: кто-нить скачать успел? Если да то как насчет перевыложить?

SolarW
Ваш файл kwf60-sbs-rus.rar (размер 564 кбайт)
доступен по адресу: webfile.ru/119461 в течение 7 дней до 11:08 17.12.2004.
enjoy!

Товарищи подскажите, как востановить настройки Winrout 4.2.2 если сетевушки поменялись ???

pentium

Цитата:

Товарищи подскажите.....

Зачем же поститься в двух топиках с одним и тем же вопросом, тем более, что здесь 5-я и 6-я версии?

EgNk
TNX

2 ZUMR
Маху дал

Ребята помогите!
Извините, если не по адресу!
Дело в том, что у меня траффик не считает по "ftp"!
Как быть?
Версия 5.10.0!
Считаю "PI for WinRoute 2.7 by Alton"!
Заранее Спасибо!

2 oleg065
Используй Тметер.
И никаких проблем.

Спасибо!
Попробую!

Demonidi



Цитата:

Там узаываю import from server: адрс машины на которой стоит Winroute: inet.firma.local Ввожу имя админа и пароль WinRoute немного думает и потом говорит No user Import. Что я не правильно делаю?! За ранее биг сенкс!

Надо указывать адрес контроллера домена.

Другой вопрос, что у меня почему то KWF 6.0.6 не хочет автоматически авторизовать пользователей из AD, всё настроено по мануалу.

У кого ни будь работает?

Integral

Цитата:

У кого ни будь работает?

У меня работает. Настроил сам и в мануал не смотрел

Расскажи, как именно всё настроено. Что происходит, если с рабочей станции сходить на http://your_winroute_station:4080? (или 4081 по https)

Ставил Kerio WinRoute Firewall 6, но не смог настроить (не бейте ногами просто не хватило времени- порвали юзвери, мол надо в инет.). После анинстала остался закрытым вход по локалке на хост с которого раздается инет (на котором ставился сабж) так же для всей сетки закрыт FTP и для хоста eDonkey (хотя в файрволе Win XP прописаны для его безболезненной работы соответствующие правила). Помогите вернуть все на место. Где он мог напортачить (или я). Пробовал настраивать Kerio и мастером и руцями, но не взошло (опыта мало и знаний).

Поставил WinRoute5 и только прописал всем инет, пока без подсчета и ограничений. Для подсчета и ограничения различных сайтов посоветовали использовать tmeter, настроил там фильтры для подсчета и лога хостов, не показывает соединения, И при этом WR тоже перестал показывать соединения из локалки через него. Удалил tmeter - непомогло
что сделать чтобы WR показывал соединения и как лучше считать и анализаровать, запрещать при превышении трафик?

Цитата:

Ставил Kerio WinRoute Firewall 6, но не смог настроить (не бейте ногами просто не хватило времени- порвали юзвери, мол надо в инет.). После анинстала остался закрытым вход по локалке на хост с которого раздается инет (на котором ставился сабж) так же для всей сетки закрыт FTP и для хоста eDonkey (хотя в файрволе Win XP прописаны для его безболезненной работы соответствующие правила). Помогите вернуть все на место. Где он мог напортачить (или я). Пробовал настраивать Kerio и мастером и руцями, но не взошло (опыта мало и знаний).

Что никто не знает, как безболезненно анисталить сабж?