» Kerio WinRoute Firewall (часть 2)

koltz
А у клиента конектящегося тоже?
Просто вариантом может быть много, но самое простое, гдето затесялся нат и гре фильтрует

AnLe

Цитата:

Открыть winroute.cfg и поправить "HttpProxyAlwaysAuth" to "1". И рестартнуть винрут.

Рано я радовался. Теперь окно с запросом логина и пароля действительно выскакивает каждый раз при входе в инет в новом окне браузера. Но вот в этом окне можно вводить ЧТО УГОДНО!!! Даже несуществующие логины. В итоге все равно остается авторизованным предыдущий пользователь
У меня WinRoute 6.1.4 patch 1 Может быть это баг этой версии?

AnLe а вот это уже интересно, надо проверить

KiRGELLA
делай запреты по mime содержимому .... запрещай MIME video/* и audio/* и тогда независимо от расширения не будет работать..


Цитата:

Сделал группу в URL groups в которую засунул *.mp*, *.wm* и *.avi. Напиал

*.avi* лучше вот так... если уж по расширениям

Привет, всем!

Раньше все юзвери ходили через прокси, после того как пустил всех юзверей через NAT, Kerio перестал считать статистику (все пользователи аутентифицируются через вэб-интерефейс). Подскажите где подкрутить.

SemV
Скорее всего это из-за того, что керио считает этот траффик локальным. У меня было такое, когда по ошибка в качесмтве шлюза на внутреннем сетевом подключении поставил адрес карточки, которая свотрит в инетрент.

e0ne
Я сетевые настройки не менял

Mikes

Цитата:

делай запреты по mime содержимому .... запрещай MIME video/* и audio/* и тогда независимо от расширения не будет работать..

Так тоже делал. но даже в таком случае видео не блокировалось. описание на 63 странице. какие еще будут советы?

SemV
Напиши что конкретно ты поменял. Также не помешает посмотреть по какому правило керио пропускает пользователей в инет.

Добавлено:
В самом WinRoute очень неудобная статистика: можно смотреть только за текущей месяц, неделю, день. А что делать если мне, к примеру, надо посмотреть статистику пользователей за прошлый месяц?
Собственно говоря, это практически одна вещь, которая меня не устраивает. Ещё слабый биллинг, но это ПО немного для других целей...

Который раз сталкиваюсь с проблемой:
В правилах НАТа использую не интерфейс, а группу. И иногда у некоторых не работает инет, пока в правило не поставишь IP пользователя. Потом вроде работает. В чем проблема? Не может авторизовать пользователя?
вот такие правила:
NAT Общая - LAN - Inet - (DNS, почта, ICQ) - NAT
NAT Допол. - гр.Дополнительная - Inet - (DNS, HTTP, FTP,....) - NAT

нужные юзеры входят в группу дополн., у все юзеры привязаны к IP.

e0ne
Я убрал прокси и в трафик полиси добавил правила для NAT.

Помогите пожалуйста.
Уже не знаю что делать
с января этого месяца начала наблюдаться такая картина:
инет то бегает за милу душу, то на клиентских компах начинаются "DNS Lookup falling" ... причем сайты такие точно есть и после нескольких раз обновления он таки выдает нужную страницу
ни правила ни версию WinRoute (6.2.2 build 1746) почти полгода не меняла, а траблы начались только с этого года ...
пыталась откатывать образ за сентябрь (до января на этих настройках все работало без проблем) та же картина.
думала может железо ... от безысходности переставила на новый комп ... заново и операционку (Win XP) и винроут ... даже винроут ручками переставила а не конфиги подсовывала ... картина та же ...
причем именно то работает (может с неделю без нареканий), то нет ...

Проблема такая.

На мое компе (192.168.5.100) не открывается сайт www.hh.ru. Открывается только часть его шапки и все При этом на самом шлюзе все открывается отлично.
Исходные данные:
1) Шлюз организован на отдельном компе, на котором установлен Kerio WinRoute Firewall v6.2.3.
2) На шлюзе инет уходит по ADSL, приходит по спутнику (skyDSL)
3) Раньше, когда на моем компе был диалап - сайт открывался.
4) Трафик полиси вот такие.
(через шестое правило я и получаю инет)
5) Сеть одноранговая через workgroup.

Есть мысли - подскажите...

GNatali
Lovec
домен есть?

Умные дядьки, помогите!!!
Не было времени прочитать всю ветку, но обязательно сделаю! С Керио сталкнулся впервые… Домен и Керио на разных машинах. Имена пользователей в домене русские. Когда браузер выдает запрос на авторизацию – авторизация не проходит, а проходит только через веб интерфейс. В чем может быть проблема? Можно ли вообще убрать авторизацию через веб интерфейс?
Заранее спасибо!!!

SHRIKE74

Цитата:

домен есть?

нет, на рабочих группах

GNatali
в винроуте в DNS форвардиге что стоит?

Enable DNS forwarding
галка брать знакомые системе и на включить кеш для повторяющихся
пробывала ставить галку вместо автоматического на конкретные - та же фигня ...
причем вот сейчас вроде никто не жалуется ... а вчера на тех же настройках беда была

Извиняюсь за повторение, просто завтра выходные а решить нужно сегодня...
Умные дядьки, помогите!!!
Не было времени прочитать всю ветку, но обязательно сделаю! С Керио сталкнулся впервые… Домен и Керио на разных машинах. Имена пользователей в домене русские. Когда браузер выдает запрос на авторизацию – авторизация не проходит, а проходит только через веб интерфейс. В чем может быть проблема? Можно ли вообще убрать авторизацию через веб интерфейс?
Заранее спасибо!!!

GNatali
в форвардиге пропиши DNS провайдера через точку с запятой, посмотри как будет работать

Добавлено:
II SeT II
чтобы авторизация не шла через веб интерфейс достаточно на всех машинах в браузере в свойствах во вкладке подключение проставить айпишник и порт прокси, проще это сделать через групповые политики на контроллере, кстати пользователи из домена в винроут импортированы или ручками заведены?

Добавлено:
II SeT II
авторизацию через веб можно просто отключить сняв галку в винроуте

II SeT II
Читай топик со стр.42 и ниже. Такая проблема рассматривалась человеком.

Цитата:

superpalych

Конфигурация сети:
Клиенты - WinXP SP2
Домен - Win2K3 SP1
Шлюз - WinXP SP2 + Kerio 6.0.9
Проблема: после перстановки домена юзеры из Active Directiry импортируются, но Kerio не может их идентифицировать через IE6, хотя раньше при тех же настройках нормально идентифицировал.

Ниже он пишет, что разобрался - Керио не понимает русских имен юзверей.

А вообще, чем ждать ответа от "умных дядек" по полдня, иной раз проще потратить 10 минут на поиск и не обязательно читать всю ветку.

SHRIKE74:
айпишник и порт прописаны,
стоит чтобы активдиректори постоянно опрашивалась. В запросе браузера вводишь логин/пароль и он выпадает снова, пока не нажмешь отмену и не авторизуешься через вебинтерфейс

SHRIKE74

Цитата:

GNatali
в форвардиге пропиши DNS провайдера через точку с запятой, посмотри как будет работать

Цитата:

пробывала ставить галку вместо автоматического на конкретные - та же фигня ...

уже пробывала ... тоже самое причем это бывает "иногда" сегодня например с утра все хорошо работало, сейчас вот опять первые жалобы ...
а вчера вообще мучение было ... аська переконекчивалась постоянно ... программы которые постоянно исполюзуют инет тоже вылетали чуть ли не раз в 3-5 минут ...
причем я уже не знала что попробывать и написала сюда ничего не правя на WinRoute ... сегодня с утра работал без нареканий ...

GNatali
Тут в топике пляски вокруг этого днс форвардера не раз расписаны, может плюнуть и постаивив серверную ос поставить нормальный днс сервер виндовый хотяб?

II SeT II
Кириллистические логины - зло
А если там вводить логин ввиде домен\юзер (или юзер@домен) ?

GNatali
а может попробовать сделать побольше колличество соединений на одного пользователя? в винроуте вроде по умолчанию стоит 600 попробуй сделай больше, мож из за этого тупит

Может кто-нить подсказать, почему при таких трафик полиси не открывается на моем компе сайт виндовс апдейт? На самом шлюзе открывается без вопросов.
Даже если добавить еще правило типа
источник - любой
получатель - мой комп
сервис - любой,
то те же яйца.
Разве НАТ не означает, что приложения должны думать, что комп подключен к инету на прямую? Без всяких ограничений?


Добавлено:
Да, расклад такой:
1) Шлюз организован на отдельном компе, на котором установлен Kerio WinRoute Firewall v6.2.3.
2) На шлюзе инет уходит по ADSL, приходит по спутнику (skyDSL)
3) Сеть одноранговая через workgroup.

Подскажите почему нет докачки в Керио? версия Version 6.2.3(build 2027) - Oct 12, 2006 захожу на те ftp которые поддерживают докачку....
и клиент вроде тоже докачку держит...

Lovec
Попробуй зайти на любой сайт с https со своего компа, если не пустит - включи непрозрачный проки и поставь галку Allow tunneled connect to all port. В ИЕ настрой доступ к https через прокси.
Artur2316
Ты на вкладке FTP policy ничего не наотключал?

Lovec

Цитата:

Может кто-нить подсказать, почему при таких трафик полиси не открывается на моем компе сайт виндовс апдейт? На самом шлюзе открывается без вопросов.

Ошибка в выделенном. Давайте сюда HTTP policy

да вроде все по умолчанию в FTP policy

по https не пускает.
прокси в ie настроен через 192,168,1,1:3128
Allow tunneled connect to all port - включил.
не работает.