» Настройка Kerio Winroute серии 5.x и 6.х (часть 2)

Цитата:

Ruza
Выход - привязать юзера к ИП

К ИП нельзя с одной машины куча народа в инет выходит.

Пока придумал так . Юзеры к IP не привязанны . В Web выходят через прозрачный прокси с логином/паролем . Аська идет через непрозрачный (т.к. надо указывать прокси/порт) также с логин/паролем . Для почты юзер идет к USerGate-у (2.8), там авторизация по IP . UserGate отправляет дальше , для него создано правило что пропускал без авторизации. Учет трафика для почты будет соответсвенно в UG.

Попробую , посмотрю что получится ...

Кстати , если в аське прокси/порт указать KWF/80 - она сама там сама савторизируется ?

bombording
Лезем в диск:\kerio folder\kerio winroute firewall\email\templates и переводим в файлах *en.tpl

Добавлено:
alexbt

Цитата:

UserGate отправляет дальше , для него создано правило что пропускал без авторизации.

Я тогда них не пойму... Сделай правило на керио с выпуском наружу ПОП и СМТП трафика без авторизации и без прокси.

Добавлено:
alexbt

Цитата:

Кстати , если в аське прокси/порт указать KWF/80 - она сама там сама савторизируется ?

Это вообще не совсем понятный вопрос...

Ruza
Вообще начало моего вопроса на предыдущей старнице:


Цитата:

Есть задача - три группы пользователей :

А - имеют все . Авторизация по IP чтоб не вводить ничего ручками.
Б - имеют только почту и аську через NAT . Авторизация по IP .
В - имеют почту и аську через NAT, авторизация по IP , в вот WEB должны иметь только через логин/пароль ( ибо несколько их на одной машине).

Может кто подскажет по "В" красивое решение , а ?

С вариантом В если авторизацию делать через логин/пароль то как быть с почтой ? Т.е Аутлук ломанется за почтой , Винроут его споросит пароль - что он есму скажет ?


Цитата:

Я тогда них не пойму... Сделай правило на керио с выпуском наружу ПОП и СМТП трафика без авторизации и без прокси.

А как считать кто скока притащил почты ?


Цитата:

Это вообще не совсем понятный вопрос

Попробую по другому :

Если пускать аську через непрозрачный прокси , то в ней надо указать параметры прокси т.е. :
-proxy:3128
-login
-password

- и все работает.

А вот если пускать на прозрачный т.е. когда идет переадресация на страницу авторизации , эта самая страница авторизации схавает логин/пароль который введен в настройке соединения прокси в аськи ? т.е
-proxy:80 ( почему на 80-й порт понятно ? )
-login
-password

Цитата:

Может кто подскажет по "В" красивое решение , а ?

Внутренний почтовик.


Цитата:

А вот если пускать на прозрачный

Прозрачный на то и прозрачный что бы не писать пароли. Т.е. весь нужный трафик разворачивается на определнный порт\порты

Народ, меня не видно что ли? Или просто никто не сталкивался с такой проблемой?

ВЫяснил следующее: если только поставил и настроил керио - всё работает, стоит отключится кому-нибудь из клиентов и подключиться заново - блокируется всё, кроме локальных клиентов....

Ruza

Цитата:

Внутренний почтовик

Согласен ... Тока пока лень ...

Цитата:

Прозрачный на то и прозрачный что бы не писать пароли. Т.е. весь нужный трафик разворачивается на определнный порт\порты

Позрачный на то прозрачный , что-бы каждому юзеру в браузере не прописывать proxy:port . На порт то он завернется , но если стоит обязательная web-авторизация - то будет спрашивать пароли как миленький ... А если ее не ставить - то он не узнает кто к нему пришел и на кого писать трафик ,т.к. авторизация по IP отключена.

alexbt
Я хрен пойму тебе шашечки или ехать?

А причем тут "шашечки" ? Я помоему ясно обрисовал задачу. Мне именно ехать, но ехать так как мне надо , а не так как машина может . Если машина не может - надо ее менять на ту что может . А "шашечками" вроде и не пахло ....

alexbt
всех в домен, авториpизовать через Kerberos.
до сервисов допущать по групповым спискам.

AlOne

Цитата:

всех в домен, авториpизовать через Kerberos.
до сервисов допущать по групповым спискам

Угу , видимо этим все и кончится ...
Пока найду какое-нибудь половинчатое решение , а после Нового Года - буду по одному в домен загонять ...

Кто-нибудь мне ответит, народ, пожалуйста!

Вопрос начинающего мастерам.
Настроил с помощью мастера все политики, в свойствах сетевой на сервере (смотрит в интернет) проставил айпишник, шлюз, ДНС провайдера,в свойствах сетевой на сервере (смотрит в локалку) проставил 192.168.0.1, в свойствах сетевых карт клиентских ПК проставил 192.168.0.2-15 а также отключил прокси в свойствах обозревателя. В администраторе Kerio виден трафик по unrecognised users , но на сервер и на пользователей интернет не приходит.
Бьюсь с этой проблемой уже несколько дней. Прошу Вашей помощи.

Ктонить настраивал интнернет через VPN ?
нужно дать Клиенту интернет трафик с сервера winroute 6.4.1 через VPN
так чтобы клиент пользовался не "своим" интернетом для веб сёрфинга а "серверным"
сделал VPN, прописал правила.... смотрю маршрут, всё ок (шлюз на сервер), НО почемуто по прошествии минуты маршрут меняется на обычный т.е. опять клиент расходует свой интернет, шлюзы остаются прописаны, но "отваливаются"... и инет начинает работать через старый шлюз хотя route print всё ок

ктонить может сталкивался ?

День добрый
Никто не сталкивался с такиим эффектом, что юзеры не могут залогиниться(NT авторизация) для доступа в нет, если у них пароль с русскими буквами?
ps KWF 6

gbcfkf
думаю с этим все сталкивались у кого у юзверей были пароли с русскими боковами, нефиг делать пароли на русском.
поменяй пароли, это единственное решение

SHRIKE74
Благодарю
А то я уж думал, что это какой-то глюк у меня в голове - тут входит, а тут не входит
Поменяем, не вопрос

ps совем забыл, что благодарности надо в личку слать. Пардон

В общем у меня проблема такая. Есть сервак с керио и двумя сетевухами (на инет и в сеть). На машинах клиентах как основой шлюз и DNS-сервер прописан IP сервака. Инет на машинах есть, всё работает отлично. Прикупили wifi-роутер, поставили на него DHCP-сервер. При назначении сетевых настроек в ноутбуках основным шлюзом прописывается IP wifi-роутера. И как следствие на ноутбуках интернета нет, если же прописывать шлюз вручную, то интернет появляется. Вопрос, где и как нужно прописать IP wifi-роутера, чтобы его IP был как основной шлюз и DNS-сервер? Если ответ есть в документации к программе, то ткните носом, я не нашёл...

Oplot365
DHCP поднимай не на роутере а на какой-нить машине, всё будет кучеряво, а на роутере дхцп вообще отключи

Martin
Цитата:

RelativePathRoot не пробовал

Пробовал, не получается. Может я что не так делаю? Что на что надо заменить?

Народ, немогу нормально сделать правила для раздачи инета по группам с АД: вопрос.
Может кто нибуть хороший пример дать?

Помогите.
Не могу справиться с проблемой. Есть офис, инет раздает Winroute 6.1.0. Есть программа, которая работает по Pop3 и Smtp. Из ее настроек: почтовый сервер (post2.formatlink.ru) с которым она обменивается данными, порты 110 и 25, ну и логи с паролем для этого почтового сервера. Раньше все работало через простое модемное соединением на этом компе, но сейчас контора прикрылась. Да и архаизм какой-то.
Надо, чтобы эта программа могла работать через винрут с этим post.formatlink.ru.
Это вообще возможно? Думаю что да, но уже второй день бьюсь и ничего не выходит.

Пытаюсь сделать так:
Вариант 1:
В настройках пользователя, у которого данная прога указал его ip-адрес в сети (192.168.6.133). Создаю правило: Source: этот самый пользователь, Destination: any, Service: any.
Не работает. Чувствую, что надо что-то в Translation еще указать.

Вариант 2:
В настройках этой проги вместо сервера post.formatlink.ru указываю ip-адрес компа с винрутом (192.168.6.124).
Создаю правило как в первом варианте, но в Translation указываю Destination NAT Tranclate to post2.formatlink.ru).
Все равно не работает. Хотя в Connections пытается пробиться на этот post2.formatlink.ru (91.144.167.159).

Помогите советом люди добрые
Можно даже вариант решения проблемы такой, как открытие всем пользователям сети всех ресурсов (без авторизации) Т.к. прога необходима только 1-2 раза в месяц на пару минут.

Artem59
правило следующее
сурс эни
дестинейшн фаервол
сервис POP3
пермит

для SMTP тоже самое
в винроуте в сервисах на этих протоколах отключи протокол инспекторы
если у тебя в правиле с натом в сервисе не эни то добавь туда протоколы POP3 и SMTP

это всё если у тебя почтовый клиент, если сервер то правила будут другими

Все так и сделал. Создал 2 правила. Поставил на самый верх. В правилах с нат добавил pop3 и smtp. Насчет отключения протокол-инспектора. Отключал в Sevices. Там выбирал pop3 и smtp и в их настройках убирал Protocol Inspector (ставил none).
Но не работает
Что еще забыл сделать?

Artem59
у тебя пользователи в сети ходят в инет тупо по нату или через проксю да ещё и с авторизацией?

Ребят, помогите - спасите. Редко пишу тут о просьбе - короче, ближе к делу
Стоит Kerio Winroute Firewall 6.4.0 на шлюзе. Связь с внешним миром через спутник - провайдер Радуга - используем бесплатный ускоритель Sprint, который имеет свой прокси - на 3128 порту. Керио используем как прокси по 8080 порту. Про NAT ничего не скажу -используем и довольны.

Дело вот в чем: при такой закрутке с прокси керио на проксю спринта - Kerio перестает квотировать HTTP - он его не видит.
Он этот трафик считает - ProxyInspector показывает весь трафик (то есть как на самом деле).
При этом Керио считает, что пользователь скачал, скажем - 100МБ (это трафик только NAT) - HTTP он не считает. Таким образом Quota сработает на блокирование пользователя только тогда, когда пользователь скачивает ограниченное кол-во трафика только по NAT. При этом большинство трафика идет через HTTP.

Помогите разрулить Quote.

Через прокси с авторизацией. Почту никто сам не забирает (поэтому и не умею видимо настраивать pop3 и smtp). Стоят только клиенты TheBat у всех. Почту для всех забирает сервер (на котором винрут и крутится).
Сейчас проверил с почтовой программой. Соответственно тоже ничего не работает.
Может сеть надо как-то дополнительно настраивать? Домена нет. Шлюз прописал адрес сервака с винрутом.

Artem59

Бывает такое, что провайдер закрывает доступ по 110 и 25 портам.
Попробуй пробить связь с мейл сервером по TELNET на 110 и 25 порты - если не получается - значит закрыты
Пробовать лучше со шлюза.

Artem59
в сетевухах клиентов пропиши днсы провайдера

Доброго времени суток!

Вопрос: есть сайт, который стоит на локальной машине с ип 192.168.0.Х. Все ползователи ходят в инет по авторизации (заведены в winroute отдельно). Как можно сделать доступ к сайту локально без авторизации для всех без ограничения?

Добавлено:
Уже нашел.
Прошу прощения за беспокойство.

Ребят, почти разобрался я с Kerio Winroute. Осталось чуть-чуть:
Использую non-transparent proxy для HTTP трафика - при таком подключении весь трафик HTTP считается потраченным Firewall’ом. Даже Proxy Inspector не может разрулить в логах - чего там Керио понаписал…
Вопрос: Если я откажусь от non-transparent proxy, и весь трафик буду выводить только через NAT, то будет ли работать также Cache, как он работает при проксе???
Если «да» - то я получаю вот что: 1. использование Cache; 2. Керио начинает правильно считать трафик пользователей; 3.Соответственно, начинает грамотно работать Quota.
Надеюсь, что Cache распространяется не только на проксю non-transparent proxy....