dymmon, нет, сообщения 2007 в варнингах нету, однако в Алертах написано, что истек срок действия лицензии ( в заставке всё нормально)... Обновления и керио отключены... Где собака порылась? Походу дрова, которые запускаются раньше сетевых явно давят локальную сеть... но почему не инет?
» Настройка Kerio Winroute серии 5.x и 6.х
se111, CuS - Спасибо за помощь. Ситуация начинает разъясняться. 
Вопросов еще уйма, но пока сам пытаюсь разобраться.
Вопросов еще уйма, но пока сам пытаюсь разобраться. хельп, братья!!! Полностью перешел на сабж с Юзергада. Керио настроен так - в АД созданы группы для юзеров, в URL Rules прописаны доступ этих групп с разным временем доступа на любые сайты, последним стоит запрет any user на любые сайты. Авторизация через АД. Трафик полиси настроены и работают еще со времен Юзергада. Проблемы следующие. Временами режет запретом всех, либо выборочно, иногда авторизует от имени другого пользователя (обычно админа домена и естесно рубит трафик, т.к. ему запрещен инет). Дальше - сижу в опере (авторизация с моим именем через домен) запущаю например Reget (с именем другого юзера, локального в керио) начинаются косяки, оперу не пускает - я так понял с одного компа разрешено работать только одному юзеру, ну это ладно (снимаю "запрет всем" в URL, и все работает, но это тоже не дело). Как все-таки правильно сделать доступ в инет только группам из АД, всем другим отрубить? Если в URL Rules ставлю запрет просто any user - не пускает у одних, если ставлю галку do not requre autentification, не пускает других.... Ничего не понимаю (С) Колобки
проще всего в трафик полиси ставить правила типа
user - internet service (permit) NAT
ну и естественно потом запрещать или разрешать пользователям то или иное..
поставить обязательную авторизацию, и тогда не надо последнего правила " any user на любые сайты"
тут всё устроено так
всё что не разрешено является запрещённым
Добавлено:
ты подробнее чего надобно то сделать
user - internet service (permit) NAT
ну и естественно потом запрещать или разрешать пользователям то или иное..
поставить обязательную авторизацию, и тогда не надо последнего правила " any user на любые сайты"
тут всё устроено так
всё что не разрешено является запрещённым
Добавлено:
ты подробнее чего надобно то сделать
NAT нельзя, надо токо почту, http, ftp иногда icq. Авторизация обязательная. Правила трафика типа таких - из локалки разрешен хттп-прокси до фаера, с фаера разрешен хттп на внешний инт-фейс. Правила урлов - группы из АД с разным временем доступа на любые сайты, последним стоит запрет any user на любые сайты (без него любой может зайти в инет). Трафик вроде считается как надо. Задача - сделать доступ по определенным протоколам в инет только определенным группам из АД, всем другим отрубить. Правильно ли понял, что лучше сделать так - "группа АД - фаер - нужный протокол" нужное кол-во раз? И трафик будет считаться без проблем?
Цитата:
Правильно ли понял, что лучше сделать так - "группа АД - фаер - нужный протокол" нужное кол-во раз? И трафик будет считаться без проблем?
да так и есть...
считатся будет правильно.. ведь трафик на пользователей записывается то..
тогда и не надо будет последнего правила кторое всё портит
нифига не работает. вчера настроил, работало, седня с утра всех как отрезало. Поставил "локалка-фаер-хттп" - заработало, ставлю "группы юзеров-фаер-хттп" - не работает...Меня упорно авторизует как локального юзера, которым вчера качал файло, черти что творится
Миранда у части людей людей авторизуется только по имени, у другой части только через NTLM...
Ближе к обеду опять заработало...но у некоторых опять не катит, как будто авторизация не работает или тормозит? На эксперименты времени нет, скоро по шапке начнут давать
плиз! Покажите кто-нить настройки у кого авторизация через АД и не NAT
Миранда у части людей людей авторизуется только по имени, у другой части только через NTLM...
Ближе к обеду опять заработало...но у некоторых опять не катит, как будто авторизация не работает или тормозит? На эксперименты времени нет, скоро по шапке начнут давать
плиз! Покажите кто-нить настройки у кого авторизация через АД и не NAT
столкнулся с проблемой: Есть сетка на 5 компов. Один подключен к инету(через VPN). На нем стоит KWF, правила разрешают любой траффик из внутренней локалки в интернет с использованием NAT'a.
Не могу зайти например, на почту yahoo со всех машин кроме той на которой стоит Керио. При чем страничка с вводом логина/пароля отображается и трасса на pop.mail.yahoo.com ходит. При вводе логина/пароля и нажатия ENTER страничка пытается грузиться минуты 2-3, потом пишет что невозможно отобразить страницу. В логах Керио в фильтрах нифига не пишется относительно этой страницы.
Не могу зайти например, на почту yahoo со всех машин кроме той на которой стоит Керио. При чем страничка с вводом логина/пароля отображается и трасса на pop.mail.yahoo.com ходит. При вводе логина/пароля и нажатия ENTER страничка пытается грузиться минуты 2-3, потом пишет что невозможно отобразить страницу. В логах Керио в фильтрах нифига не пишется относительно этой страницы.
Alex_Dredd
Правила в студию. И настройки прокси. И с чем ещё проблемы - кроме почты yahoo - примерчики. Как ранее писали - телепаты в отпуске
Правила в студию. И настройки прокси. И с чем ещё проблемы - кроме почты yahoo - примерчики. Как ранее писали - телепаты в отпуске
Здравствуйте.
Возник вопрос по поводу НАТа...
Есть сеть, адсл соединение...около 20 пользователей, но в нет разрешено ходить только пятерым. Так вот вопрос - если на коиентских машинах не прописывать шлюз и днс, то они будут ходить только через прокси,а если прописать - то через НАТ?
Что лучше в плане скорости?И будет ли кэшироваться инфа, если ходить через НАТ?
ПС - Заранее благодарен
Возник вопрос по поводу НАТа...
Есть сеть, адсл соединение...около 20 пользователей, но в нет разрешено ходить только пятерым. Так вот вопрос - если на коиентских машинах не прописывать шлюз и днс, то они будут ходить только через прокси,а если прописать - то через НАТ?
Что лучше в плане скорости?И будет ли кэшироваться инфа, если ходить через НАТ?
ПС - Заранее благодарен
inside2000
Цитата:
Да. Но лучше всё-таки правилами отдельными, а то кто-то сообразит и сам пропишет... И желательно аутентификацию по IP.
Цитата:
Я разницы не наблюдал.
Цитата:
Предполагаю, что в зависимости от типа прокси - прозрачный должен IMHO кэшировать, непрозрачный - не обязан для NAT.
Цитата:
если на коиентских машинах не прописывать шлюз и днс, то они будут ходить только через прокси,а если прописать - то через НАТ?
Да. Но лучше всё-таки правилами отдельными, а то кто-то сообразит и сам пропишет... И желательно аутентификацию по IP.
Цитата:
Что лучше в плане скорости?
Я разницы не наблюдал.
Цитата:
будет ли кэшироваться инфа, если ходить через НАТ
Предполагаю, что в зависимости от типа прокси - прозрачный должен IMHO кэшировать, непрозрачный - не обязан для NAT.
inside2000
при нате кэширования не будет. машина без шлюза и днс - это извращенство.
Заводи всех через проксик и не мучайся. Ограничивай доступ к проксику по юзерам. Если кому то нужен нат по каким-то портам, создавай группы пользователей и давай нат только этим юзерам.
Скорость сравнивать я бы сказал странно. На проксике легко видно трафик, можно резать рекламу, можно сканировать трафик на вирусы и проч.
Нат лучше использовать для портов отличных от 80го
при нате кэширования не будет. машина без шлюза и днс - это извращенство.
Заводи всех через проксик и не мучайся. Ограничивай доступ к проксику по юзерам. Если кому то нужен нат по каким-то портам, создавай группы пользователей и давай нат только этим юзерам.
Скорость сравнивать я бы сказал странно. На проксике легко видно трафик, можно резать рекламу, можно сканировать трафик на вирусы и проч.
Нат лучше использовать для портов отличных от 80го
В общем просто прописать на всех клиентских машинах шлюз и днс, и в настройках браузеров написать адрес прокси и порт?
И еще вопрос по правилам - что такое фаерволл в правилах? Это весь комп, на котором стоит ВинРоут?
У меня стоит первое правило - сорс (Пользователи которым запрещен инет, плюс IP Range их же), дестинэйшн (фаерволл, Диалап),протокол - любой, action - deny
А дальше уже идет НАТ для всей сетки, со всеми разрешенніми протоколами...
Правильно ли я сделал?
И еще вопрос по правилам - что такое фаерволл в правилах? Это весь комп, на котором стоит ВинРоут?
У меня стоит первое правило - сорс (Пользователи которым запрещен инет, плюс IP Range их же), дестинэйшн (фаерволл, Диалап),протокол - любой, action - deny
А дальше уже идет НАТ для всей сетки, со всеми разрешенніми протоколами...
Правильно ли я сделал?
Цитата:
Правила в студию. И настройки прокси. И с чем ещё проблемы - кроме почты yahoo - примерчики. Как ранее писали - телепаты в отпуске
Local - Внутренняя локалка
NET - Локалка провайдера
VPN - VPN-соединение с провайдером, через которое и осуществляется доступ к инету
правило 1: Local - VPN - Any - Permit - NAT(VPN)
правило 2: Local - NET - Any - Permit - NAT(NET)
правило 3: Local/Firewall host - Local/firewall host - Any - Permit
правило 4: Firewall host - Any - Any - Permit
Alex_Dredd
Правило 4 - нехорошо - открыто с фаера всё. Лучше открыть то, что надо (см.ниже)
DNS - на локальных машинах указать IP Фаера, 2 - прова.
Я бы делал так: 3 правило вверх.
2: Firewall - IP ISP - DNS, GRE, PPTP - Permit
3:Any-Any-Ping - Permit
4:LAN, Firewall - (NET- сеть и маска) -(Any?) - Permit - NAT(IP из NET)
5:LAN, Firewall - VPN - (Any?) - Permit - NAT VPN
Проверь, что у соединений NET и VPN стоят шлюзы по умолчанию.
KWF ругается, но работает. Прокси включи прозрачную.
Полезно посмотреть при установленном соединении таблицу роутинга.
Обрати внимание на порядок правил!
А сервисы для юзеров потом лучше ограничить необходимыми.
Правило 4 - нехорошо - открыто с фаера всё. Лучше открыть то, что надо (см.ниже)
DNS - на локальных машинах указать IP Фаера, 2 - прова.
Я бы делал так: 3 правило вверх.
2: Firewall - IP ISP - DNS, GRE, PPTP - Permit
3:Any-Any-Ping - Permit
4:LAN, Firewall - (NET- сеть и маска) -(Any?) - Permit - NAT(IP из NET)
5:LAN, Firewall - VPN - (Any?) - Permit - NAT VPN
Проверь, что у соединений NET и VPN стоят шлюзы по умолчанию.
KWF ругается, но работает. Прокси включи прозрачную.
Полезно посмотреть при установленном соединении таблицу роутинга.
Обрати внимание на порядок правил!
А сервисы для юзеров потом лучше ограничить необходимыми.
нужна помощь срочно! см. пред. страницу про группы из АД !!! как же сделать?
И еще, как пустить миранду в жаббер через керио? аська заработала через порт 443, жаббер ни в какую
И еще, как пустить миранду в жаббер через керио? аська заработала через порт 443, жаббер ни в какую
Цитата:
машина без шлюза и днс - это извращенство. Заводи всех через проксик и не мучайся.
то есть ты имеешь в ввиду прописать в настройках браузеров IP прокси и порт,а шлюз и днс на клиентах не выставлять?
И еще, в статистике User\Connections у меня висит NAT траффик, а у всех остальных - Firewall траффик. Почему? Хотя и у меня для некоторых сайтов проскакивает фаерволл траффик...
И расскажите что такое фаерволл в настройках траффик полиси.
Обьясните глупому плз...
CuS
а при чем тут маршрутизация если связь как таковая с серваком почты есть?
а при чем тут маршрутизация если связь как таковая с серваком почты есть?
inside2000
Цитата:
Ну ты же сам выше сообразил - это комп (весь, со всеми интерфейсами) с Керио.
Цитата:
Упаси бог! На всех компах шлюз и DNS - строго обязательно!
Цитата:
Вообще-то лишнее. Всё, что не разрешено - и так запрещено. Проще IMHO разрешить тем, кому надо - если их меньше, чем кому нельзя. Если нельзя напр двоим - то сначала запрет двоим, потом разрешение всем. Если можно пятерым - то прямо правило для пятерых, остальным и так нельзя. И лучше по IP адресам, чем по пользователям. А для остальных - по сети, подключённой к интерфейсу. Так что скорее всего у тебя правильно, хотя может и неоптимально.
Цитата:
Ну да, так они небось через прокси ходят - так и будет писать, Firewall traffic. А ты либо вошёл с компа с Керио - а на нем в браузере не прописал прокси - либо вошёл со своего - тоже без прокси. А когда у тебя пишет Firewall traffic - это возможно из кеша, если прокси прозрачный.
Alex_Dredd
Маршрутизация - по-моему, проверить всё равно полезно, в русле шлюза по умолчанию, чудеса и с прокси могут быть связаны, и с DNS. Ещё раз - посмотри пример правил, которые я привёл. По твоим правилам, с машины с Керио (firewall host) связь с инетом идёт по правилу 4, (Local IMHO не включает сам Firewall host). У пользователей - по правилу 1, если прокси не прописан, и по правилам 3 и 4, если есть прокси. Правило 2 - у меня вообще сомнения, работает ли оно.
В том варианте, который я предложил, связь и с фаера, и с локалки идёт по правилу 5 с трансляцией, если без прокси, и по правилам 1, 5 с трансляцией - если прокси есть. Так что копай тут.
Цитата:
что такое фаерволл в настройках траффик полиси
Ну ты же сам выше сообразил - это комп (весь, со всеми интерфейсами) с Керио.
Цитата:
то есть ты имеешь в ввиду прописать в настройках браузеров IP прокси и порт,а шлюз и днс на клиентах не выставлять?
Упаси бог! На всех компах шлюз и DNS - строго обязательно!
Цитата:
У меня стоит первое правило - сорс (Пользователи которым запрещен инет, плюс IP Range их же), дестинэйшн (фаерволл, Диалап),протокол - любой, action - deny
Вообще-то лишнее. Всё, что не разрешено - и так запрещено. Проще IMHO разрешить тем, кому надо - если их меньше, чем кому нельзя. Если нельзя напр двоим - то сначала запрет двоим, потом разрешение всем. Если можно пятерым - то прямо правило для пятерых, остальным и так нельзя. И лучше по IP адресам, чем по пользователям. А для остальных - по сети, подключённой к интерфейсу. Так что скорее всего у тебя правильно, хотя может и неоптимально.
Цитата:
в статистике User\Connections у меня висит NAT траффик, а у всех остальных - Firewall траффик.
Ну да, так они небось через прокси ходят - так и будет писать, Firewall traffic. А ты либо вошёл с компа с Керио - а на нем в браузере не прописал прокси - либо вошёл со своего - тоже без прокси. А когда у тебя пишет Firewall traffic - это возможно из кеша, если прокси прозрачный.
Alex_Dredd
Маршрутизация - по-моему, проверить всё равно полезно, в русле шлюза по умолчанию, чудеса и с прокси могут быть связаны, и с DNS. Ещё раз - посмотри пример правил, которые я привёл. По твоим правилам, с машины с Керио (firewall host) связь с инетом идёт по правилу 4, (Local IMHO не включает сам Firewall host). У пользователей - по правилу 1, если прокси не прописан, и по правилам 3 и 4, если есть прокси. Правило 2 - у меня вообще сомнения, работает ли оно.
В том варианте, который я предложил, связь и с фаера, и с локалки идёт по правилу 5 с трансляцией, если без прокси, и по правилам 1, 5 с трансляцией - если прокси есть. Так что копай тут.
CuS
Шлюзом на всех машинах внутренней локалки указан Фаерволл(192.168.0.1). На интерфейсах фаерволла(Внутреннем и в локалку провайдера) Шлюзы не указаны. . Роуты на локалку провайдера прописаны ручками(route add 10.0.0.0 mask 255.0.0.0 10.0.2.1 -p if 0x2). на подключении ВПНа шлюз присваивается с помощью DHCP, он же в таблице маршрутизации является шлюзом по умолчанию.
Т.к. трасса на сайты пхнет нормально, то, я думаю, с маршрутизацией все в порядке.
Шлюзом на всех машинах внутренней локалки указан Фаерволл(192.168.0.1). На интерфейсах фаерволла(Внутреннем и в локалку провайдера) Шлюзы не указаны. . Роуты на локалку провайдера прописаны ручками(route add 10.0.0.0 mask 255.0.0.0 10.0.2.1 -p if 0x2). на подключении ВПНа шлюз присваивается с помощью DHCP, он же в таблице маршрутизации является шлюзом по умолчанию.
Т.к. трасса на сайты пхнет нормально, то, я думаю, с маршрутизацией все в порядке.
Керио иногда не может авторизовать пользователя из АД, вручную захожу в веб-интерфейс - пишет типа пользователь еще не зарегестрирован, жму Страница входа в систему - тутже показывает имя юзера и авторизует соотвественно. В чем может быть дело? Стоят галки обязательная аутентификация и автоматическая аутентификация
Alex_Dredd
Цитата:
Похоже да. А правила поменять? Сохрани cfg, не понравится - подменишь. Учти, я тебе правила рисовал с рабочей машины, там проблем типа твоей нет. Так что отсечётся возможная кривизна с правилами. И поясни - что и как у тебя с прокси?
Цитата:
я думаю, с маршрутизацией все в порядке.
Похоже да. А правила поменять? Сохрани cfg, не понравится - подменишь. Учти, я тебе правила рисовал с рабочей машины, там проблем типа твоей нет. Так что отсечётся возможная кривизна с правилами. И поясни - что и как у тебя с прокси?
Цитата:
Вообще-то лишнее. Всё, что не разрешено - и так запрещено. Проще IMHO разрешить тем, кому надо - если их меньше, чем кому нельзя. Если нельзя напр двоим - то сначала запрет двоим, потом разрешение всем. Если можно пятерым - то прямо правило для пятерых, остальным и так нельзя. И лучше по IP адресам, чем по пользователям. А для остальных - по сети, подключённой к интерфейсу. Так что скорее всего у тебя правильно, хотя может и неоптимально.
ок, я вьехал...теперь помоги понять что есть что...
Firewall - уже стало ясно.
Dial UP - это мое соединение к инету
Как правильно написать правило для этих пяти пользователей (что сорс, что будет дестинейшн и тэ дэ)?
ПС - стукни если можешь мне в аську...153580712, плз
inside2000
Аськи нету. Мыло кинь. Или на моё попробуй - cu_s[собака]mail.ru
Правило: сорс- IP-адреса, или можно создать IP Adress группу, назвать наприм inet и добавить туда (в группу) эти 5 адресов. Dest - Dial Up, сервисы- что можно + DNS, Permit, NAT- Default outgouing interface. Это если просто NAT. Если непрозрачн прокси - то этим 5 разрешаешь на dest=firewall нужные сервисы, включая http proxy и DNS, Firewall->DialUp - можешь хоть всё разрешить, NAT=Def Out Int, остальные обламываются. Примерно так.
Аськи нету. Мыло кинь. Или на моё попробуй - cu_s[собака]mail.ru
Правило: сорс- IP-адреса, или можно создать IP Adress группу, назвать наприм inet и добавить туда (в группу) эти 5 адресов. Dest - Dial Up, сервисы- что можно + DNS, Permit, NAT- Default outgouing interface. Это если просто NAT. Если непрозрачн прокси - то этим 5 разрешаешь на dest=firewall нужные сервисы, включая http proxy и DNS, Firewall->DialUp - можешь хоть всё разрешить, NAT=Def Out Int, остальные обламываются. Примерно так.
А есть ли в 6.2.1 возможность резать баннеры по размеру? А то он у меня как то слишком мало их вырезает...А ручками вводить все серверы в лом...
Цитата:
Похоже да. А правила поменять? Сохрани cfg, не понравится - подменишь. Учти, я тебе правила рисовал с рабочей машины, там проблем типа твоей нет. Так что отсечётся возможная кривизна с правилами. И поясни - что и как у тебя с прокси?
с прокси ничего(: оно выключено(: все ходят через NАТ
Alex_Dredd
Ну вот сам смотри, что получается. Маршрутизация у тебя правильная, прокси отключен, DNS работает в совершенстве, а правила ты даже для теста менять не хочешь... Логи не читаешь...
Остаётся только свистеть и скрести мачту - чтобы ветер с нужных серваков подул
Ну вот сам смотри, что получается. Маршрутизация у тебя правильная, прокси отключен, DNS работает в совершенстве, а правила ты даже для теста менять не хочешь... Логи не читаешь...
Остаётся только свистеть и скрести мачту - чтобы ветер с нужных серваков подул
CuS, про логи я говорил еще в самом начале. В логах вообще нифига не пишет по поводу запросов на эти страницы.
Alex_Dredd
Ладно, не обижайся. Включи connections.log, отмакетируй соединение (с компа, где не работает), проверив с него nslookup работу DNS, и почитай web.log, connections и error.log.
Ладно, не обижайся. Включи connections.log, отмакетируй соединение (с компа, где не работает), проверив с него nslookup работу DNS, и почитай web.log, connections и error.log.
Не могу заставить работать инет на компе, где установлен KERIO . В чем могут быть причины? Откуда начать копать? Локалка работает нормально. Показывает трафик. И еще вопрос. Модем ADSL - это выделенный канал или коммутированный ?
Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869
Предыдущая тема: ADSL и switch: два компьютера на один ADSL
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.