» Kerio WinRoute Firewall (часть 2)

Andrey Lopatnev
Думаю, это из-за кривого кряка. У меня легальный - все пучком. Иди в варезник, там эту траблу кажись решили.

Большое спасибо всем, кто ответил. Переставил 6.3.0 с новым лекартсвом - пока полет нормальный.

Подскажите пожалуйста, у меня люди раньше (на версии 6.2) через Web видели свою статистику. Сколько израсходовано, сколько осталось.
Теперь, в новой версии (6.3.0) с этим KerioStar'ом -- видят статистику всех(любого) пользователя.
Это не есть гуд... как-то можно настроить таким образом, чтобы было как раньше, просмотр исключительно _своей_ статистики? А то ведь из-за этого, чувствую, придётся откатываться до старой версии.

Alfair а как ты на 6.2 настроил так, чтобы пользователи видели свою статистику? а то вот тоже бьюсь.. 6.3 пока не трогал.

поставил 6.3.0.2683
при установке на вин2003серв - предупредил - что дрова не проверялись и могут быть проблемы
установил дрова на обе сетевухи
потом начались тормоза... так и не понял - совпадение с глюком модема (или у провайдера)
потому как снес (сервак рабочий) и откатился обратно - но тормоза пропали только после резета модема (опять же совпадение или нет - не знаю) седня вечером попробую по второму разу...

как то не красиво - постоянно при установке ругалось по три раза что дрова не тестировались на 2003

Добавлено:
Maddy101
а что http://server2:4080/fw/stat
по этому адресу ни чего нет у вас?
для этого нужно галку оставить - Advanced Options - Web Interface / SSL-VPN - Enable HTTP Web interface

Maddy101 Хм... поставил ты меня в тупик. Вообще, никак не настраивал. Установил KWF, по Web-доступу через 4080 порт появляется страничка, на ней несколько ссылок, ну там типа "выйти", "посмотреть политику безопасности" и, собственно, "статистика". И показывалость в лаконичном виде -- столько-то метров истрачено, столько-то процентов от квоты. И никакх возможностей посмотреть других пользователей. Впрочем, статистики по сайтам и проч. тоже не было...

как сделать, чтоб компы с другой локалки (компы с другого конца туннеля) были видны в сетевом окружении?

to ak545

Спасибо, друг!!! Создал запрещающее правило - для всех, кто в инет не должен влезать - группу запрета - и всё нормально!!! А иначе - не получалось ничего!!!

Hrist нет, тишина.

Alfair я так понимаю, у вас включен WEB-интерфейс для пользователей? а у меня-то нет одним словом, раскопал уже. функций правда многовато.. мне бы пользователям просто показывать трафик и все, а там вот смена пароля пользователя и еще какая-то ерундистика: боюсь, шаловливые ручки начудят чего-нибудь, а мне потом исправляй. нельзя ли одну статистику оставить а все остальное запретить как-нибудь?

Maddy101
Да, именно "Enable HTTP Web interface" -- вот это у меня включено... и раньше всегда было, должны же пользователи свою статистику видеть.
И тут вдруг после обновления вот такая вот ботва... Это меня совсем не устраивает, чтобы все видели всю и свою и чужую статистику... Хочу как раньше!
Как мне дать пользователям на просмотр свою статистику и больше ничего?

Alfair
похоже у твоих пользователей стоит в настройках

Users and Groups - Users - свойства какого нить пользователя - закладка Rights - Additional Rights - User is allowed to view statistics

если галку убрать - то юзер будет видеть только свою статистику

Maddy101
ничего кроме своего пароля он не исправит - если ты ему в настройках не выставил доп правил

а я например наоборот пришел к тому - что бы всем пароль самим забивать - т.е. завожу с паролем типа 1 - отсылаю инструкцию по бехопасности - и там расписано как менять пароль и все - все проблемы с доступом - кражей пароля и отчетом перед начальством за трафик - уже его проблемы... пусть хоть каждый день меняет пароль... а если уж забудет - вернуть ему опять простенький парол не долго...

Hrist


Цитата:

а я например наоборот пришел к тому - что бы всем пароль самим забивать - т.е. завожу с паролем типа 1 - отсылаю инструкцию по бехопасности - и там расписано как менять пароль и все - все проблемы с доступом - кражей пароля и отчетом перед начальством за трафик - уже его проблемы... пусть хоть каждый день меняет пароль... а если уж забудет - вернуть ему опять простенький парол не долго...

хех, это да - но когда пользователей несколько сотен, то такие issues будут происходить с завидной и устрашающей регулярностью... шаловливых ручек много

Есть знатоки? Кто-нибудь ответит? Вопрос на странице 80.

Добавлю, что айпишник в локалке 172.17....
Внешний 85.192.54.247:13989 так пишет осел без керио.

Когда устанавливаю

Source Internet (интерфейс)
Dest Firewall
Service UDP 13989 (как в настройках осла)
edonkey
Translation NAT (Internet)
MAP 172.17...

Инет вообще вырубает.

Prince Corvin

Цитата:

Source Internet (интерфейс)
Dest Firewall
Service UDP 13989 (как в настройках осла)
edonkey
Translation NAT (Internet)
MAP 172.17...

NAT надо делать на сетевой интерфейс локальной сети, а не на инетовский интерфейс

Ребята, в чём может быть проблема: скачал Version 6.3.0(build 2683) - March 29, 2007, у меня на компе стоит 6.2.3 build 2027. Пытаюсь обновиться (Керио, есс-сно, отключил, все процессы в диспетчере поубивал), но выскакивает ошибка: Error 2027. Target paths not created. No paths exists for entry KTDIR_PRODUCT_ZEND_php-4.3x in Directory table. И помогите ещё чайнику: как сохранить бэкап программы. Не хочу потом мучиться снова настраивать на новом компе. Сразу говорю - я не большой спец, занимаюсь сетью по необходимости, ПОТОМУ ЧТО БОЛЬШЕ НЕКОМУ!

althomas
в папке вынроута есть *.cfg файлы, в которых все настройки. основной - winroute.cfg, ползователи - UserDB.cfg

Форумчане, кто-нить смог настроить WinRoute для работы с протоколами H.323? У меня нужно заставить работать через NAT оборудование для видеоконференций фирмы Polycom, работающее по этому протоколу...

SibD
в папке вынроута есть *.cfg файлы, в которых все настройки. основной - winroute.cfg, ползователи - UserDB.cfg

Извиняюсь, их просто нужно сохранить и заменить, когда поставлю новую версию?

Простите, у меня ещё 2 вопроса, которые я не смог сам решить.
Во-первых, KWF 6.3 перестал понимать русские пароли пользователей. То есть файлит аутентификацию даже в ручном режиме, и в логе пишет что был введён неправильный пароль (пользователи берутся из домена, пароли там же)
Во-вторых, не всегда (?) работает автоматическая авторизация пользователей при первом запросе интернета. То есть в Authentification options стоят галочки Enable Active directory и Windows NT authentification, но почему-то не достигают необходимого эффекта. В предыдущей версии проблем не было.
Галочка Enable user authentification automatically performed by Web browsers стоит.

Попытался настроить NAT для работы ФТП(раньше делал фтп через http- прокси , но KERIO это к сожалению не поддерживает). Поставил правила -
Source Admin
Dest Firewall
Service FTP
Translation NAT (Internet)
MAP 192.168... (адрес старшей прокси, которая инет раздает)

так вот ничего не работает, если с сервера выходишь с ТС в режиме фтп через http- прокси через 192.168... , то все Ок, а вот через Kerio не хочет.

Будет ли тарифицироватся трафик который идет через NAT ?

Alex_TAV
для активного режима достаточно 21 порт промапить на машину с фтп а вот для пассивного надо в самом фтп указать внешний айпишник шлюза и диапазон портов типа 41000-41049
и на шлюзе промапить эти порты до машины с фтп

Добавлено:
Alex_TAV
и для того чтобы фтп работал нат не нужен, не понимаю зачем ты нат на фтп делал, странно как-то

althomas

Цитата:

Извиняюсь, их просто нужно сохранить и заменить, когда поставлю новую версию?

Да. Но там не только эти файлы. Подробно было описание в хелпе керио: какие файлы переносить, и какой файл за что отвечает.

SHRIKE74
так я собственно и не хочу делать NAT, но на одном из форуме читал что Kerio не поддерживает работу фтп через http - прокси(хотя опять же странно, все остальные поддерживают). Меня бы вполне устроила работа фтп через http - прокси, это реально?

Alex_TAV
блин, за что мне такое наказание? зачем тебе фтп через хттп? блин всё ведь настолько элементарно, у тебя в сети есть фтп с адресом типа 192.168.х.х на керио делаешь правило
any.....external(типа внешний айпи шлюза)......FTP.....permit........map to 192.168.x.x
в данном варианте будет работать фтп в активном режиме
если нужен доступ в пассивном напишешь обьясню что делать.
те кто в инете сидит за натом смогут к твоему фтп присобачится только в пассивном режиме а те кто напрямую теи в обоих

Добавлено:
Alex_TAV
ктати я тут почитал повнимательней а тебе вообще надо дать доступ к твоему внутреннему фтп из инета или что?

Alex_TAV керио предоставляет http/ftp proxy сервер, через который все замечательно работает (если ты имеешь ввиду возможность клиентов за керио лазить на фтп внешнего ip-диапазона)

Maddy101
"керио предоставляет http/ftp proxy сервер" - можно подробнее? Я вообще-то сильно удивился когда это у Kerio по дефолту не заработало, на UserGate и SquidNT все было без проблем.

Поясню структуру сети -
Локалка(172.16.1.2..100)--Сервер_KerioWF(172.16.1.1)--Внешний_сервер(тот кто инет раздает, у него статич. IP, автоизация по IP Сервера_KerioWF)--Интернет(где-то здесь есть фтп куда нужен доступ)

Нужно с локального компьютера получить доступ на фтп который в интернете, соответственно реализуя это (на UserGate или SquidNT ) я просто в локальной машине заходил на фтп через ТС с указанием использовать http - прокси с поддержкой фтп. Но UserGate жутко глючил, а в SquidNT сложно настривать. Kerio понравился, вот только бы с фтп справится.

Давно использую kerio winroute. Во всех версиях не получается указать в поле Distanation имя хоста типа "www.ru-board.com", приходится писать IP адрес. иначе не работает.
Текущая верися 6.0.11
Подскажите что делать,
заранее спасибо.

Alex_TAV


Цитата:

"керио предоставляет http/ftp proxy сервер" - можно подробнее? Я вообще-то сильно удивился когда это у Kerio по дефолту не заработало, на UserGate и SquidNT все было без проблем.

Ну а в чем проблема-то? Http Policy - Proxy Server. Стоит галка? Порт ничем не прикрывается?


Цитата:

Нужно с локального компьютера получить доступ на фтп который в интернете, соответственно реализуя это (на UserGate или SquidNT ) я просто в локальной машине заходил на фтп через ТС с указанием использовать http - прокси с поддержкой фтп. Но UserGate жутко глючил, а в SquidNT сложно настривать. Kerio понравился, вот только бы с фтп справится.

TC - терминал клиент, как я понимаю? Поднимаешь на Kerio proxy, проверяешь, чтобы порты и т.д. - не блокировались, прописываешь на керио юзера. Если на машине керио будет физический доступ до инета, то он тебе даст залезть на фтп через свой прокси-сервер.

а че у меня удаленные компы пингуются даже если туннель соединяющий их отключен?

Maddy101

Цитата:

Ну а в чем проблема-то? Http Policy - Proxy Server. Стоит галка? Порт ничем не прикрывается?

proxy работает , с клиента через Kerio в инет выходишь без проблем.
Фаервол ничего не блокирует на самом верху правило - разрешиь все порты от всех ко всем(на всякий случай чтоб исключить вероятность блокировки фаерволом).

На машине где стоит Kerio с того же ТС выходится на фтп без проблем, вот надо то же самое на Kerio , не пойму в чем проблема?

althomas

Цитата:

Error 2027. Target paths not created. No paths exists for entry KTDIR_PRODUCT_ZEND_php-4.3x in Directory table

У меня была такая ботва. Проблема лечится установкой на машину Windows Installer v.3.1 (естественно, перед инсталяцией). Скачать можно бесплатно с мелкософта.

Если KWF ставишь поверх старой настроенной версии, то никакие файлы переносить не надо. Он настройки сам сохраняет.

По-поводу бэкапа. Я вобще пользуюсь для этих целей Norton Ghost'ом. Перед обновлением WinRout'a делаю образ системного диска. А то часто то по кривости рук, то из-за кривости кряка обновить с первого раза Winroute не получается (у меня, например, под W2000Serv PS4 нужно обязательно отключать перед обновлением VPN Adaper иначе Winriute виснет при обновлении).