» Настройка Kerio Winroute серии 5.x и 6.х (часть 2)

pilotro, спасибо за ответ.

Стоят следующие птички:
Закладка authentification options:
1) Always require ...
2) Enable user authentification .... web browser.
3) Автоматически логофить юзеров после неактивности.
Закладка AD:
1) Map.. ввёл полное имя домена.
Ниже юзера и пароль.
В advanced - стандартно, юзать первый попавшийся контроллер.
2) Enable Windows NT authentification...
Ввёл короткое имя домена.

Итого: после ввода адреса у юзера страшивается юзер и пароль. Никакие варианты типа user, domain\user, user@domain.ru не прокатывают.
Уточню, что прокся находится вне домена, фаерволов нет, контроллер видится.
В закладке user accounts появляется домен со всеми юзерами.

Vadik_K
А подождал пару минут?

Подожди какая прокся. Если у тебя включен Enable non-transparent proxy server, и юзеры реально через нее сидят, то тебенадо еще с одной птичкой игратся Force non-transparent proxy server authentication.


Цитата:

прокся находится вне домена

ты имеешь ввиду что комп с winrote не введен в домен? Тогда посмотри фаер стандартный на контролере домена и посмотри правила на winroute по поводу связи с контролером. Открой все и везде.

Посмотри может как то вводишь пароль не правильно раскладка caps lock или еще чего.

А что тебе мешает шлюз в домен ввести?

и в адвансед попробуй укажи контролер вручную.

Подождал, даже больше.

"Если у тебя включен Enable non-transparent proxy server"
Да, вкл. Пробовал Force non-transparent proxy server authentication - ничего не меняется.
На контроллер сделал отдельные правила, разрешающие всё.
Контроллер указал вручную.

Шлюз в домен мне мешает ввести безопасность.

Цитата:

Да, вкл. Пробовал

У клиента у тебя стоят настройки прокси в браузере?
Попробуй убрать, сделай NAT, непрозрачный прокси это прошлый век. Я никогда с ним не пробовал, наверное есть свои заморочки.

Цитата:

Шлюз в домен мне мешает ввести безопасность.

Это тебе сверху сказали или сам придумал? Просто странная безопасность. Но не суть. Безопасность безопасностью, но для теста ты же можешь это сделать потом разберешься в глюках и выведешь ее.


Добавлено:
да и логи полистай может где какие ошибки увидишь

Добавлено:
Еще момент поотключай ssl в Web Interface / SSL-VPN может он глючит.


Добавлено:
на всякий пожарный выключи Anti-Spoofing, UPnP settings. Потому как я ваще не знаю как они работают.

Ну.. ты предлагаешь ввести шлюз, открыть всё от него до контроллера.... я бы это назвал странной безопасностью. \

Да, прокси непрозрачный, так надо. Web Interface / SSL-VPN, unpnp, Anti-Spoofing отключены.

[10/Sep/2008 13:48:07] Authentication: HTTP Proxy: Client: 192.168.1.2: Invalid passwd for NT/Kerberos user petrov

Цитата:

Ну.. ты предлагаешь ввести шлюз, открыть всё от него до контроллера.... я бы это назвал странной безопасностью. \

Ты же пароли в открытом виде передаешь на винроут, в этом случае какой смысл с точки зрения безопасности держать ее за доменом, хотя дело твое.

Я к тому что ты введи на время тестов, и отруби прокси на время тестов что бы понять что не работает.

День добрый! Kerio 6.4.2 build 3672. Ситуация следующая. Два интерфейса в инет. Первый MTS – через МТС и его GPRS. Второй UTEL – по проводам через телеком. Необходимо сделать так чтобы трафик по умолчанию шел через MTS, а в случае его недоступности через UTEL. В настройках Connection Failover выбрано Primary – MTS, Secondary – UTEL. Проблема в том, что Kerio направляет траф через интерфейс, который последним поднялся, а на эти правила как бы ложит. Оба иннтерфейса сконфигурированы для Dial Manual. Помогите плыз советом или общий инструктаж по вопросу. Спасибо.

Добрый день всем! у меня вопрос похожий как настроить сервак с 2003 виндой чтобы работал radmin и мог подключиться к нему через терминал, недавно все у нас работало ок но как сменили тариф на безлемит в инет перестало все работать! к интернету подключаемся через PPPoE!

lolpo
провайдер не начал резать порты для радмина и терминалки??? vpn не используется???

Vertuhay
Дело вот в чем, примари должен быть только постоянный конект - то есть GPRS никак не подходит, кстати KWF об этом предупреждает при установке dial-up в примари.

Vertuhay
Напиши батник, который пингует кого нибудь и при отсутствии пинга подымает gprs. При желании можно даже останавливать керио подсовывать другие файлы конфигурации и стартовать обратно.

в чем могет быть проблема?
фтп не работает на машинах в сети, но на серваке все работает, керио показывает коннект, а на машинах выходит ошибка 421 Service not available

правила всякие уже перепробывал в плоть до того что указывал конкретные адреса и сорса и дестенейшна.

Kuss
показывай ТП из KWF и ipconfig /all с клиента.

C:\Documents and Settings\kuss.UPRPROF>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : buk_admin
Основной DNS-суффикс . . . . . . : uprprof.ru
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : uprprof.ru

Подключение по локальной сети - Ethernet адаптер:

Состояние сети . . . . . . . . . : сеть отключена
Описание . . . . . . . . . . . . : Realtek RTL8168/8111 PCI-E Gigabit E
thernet NIC
Физический адрес. . . . . . . . . : 00-1B-FC-6F-F0-3D

Беспроводное сетевое соединение - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Intel(R) PRO/Wireless 3945ABG Networ
k Connection
Физический адрес. . . . . . . . . : 00-19-D2-35-9D-6C
Dhcp включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 192.168.79.91
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.79.2
DHCP-сервер . . . . . . . . . . . : 192.168.79.3
DNS-серверы . . . . . . . . . . . : 192.168.79.3
Аренда получена . . . . . . . . . : 23 сентября 2008 г. 8:56:36
Аренда истекает . . . . . . . . . : 19 января 2038 г. 11:14:07

Kuss
Отключи, а лучше удали IСMP Traffic правило!!!!
Либо удали из этого правила FTP протокол.

УРА помогло.
но я тогда совсем не понимаю действия правил
я вообще думал что я разрешил фтп от всех источников этим правилом...

Kuss
Дело в том, что это правило не использует NAT (его же нет в ICMP правиле - не так ли??), а для локальных компов обязательно нужен NAT.

Запомни самое главное, что приоритет в KWF дается тому правилу, которое находится выше в списке.

да, но я так же пробовал и через прокси...

Kuss
Прокси включен? (имеется ввиду нон-транспарент)

да включен, сейчас работает и через прокси и без.

Совершенно сбит с толку и не пойму в чем дело. В Kerio заведены пользователи, каждому из них жестко присвоены IP. В итоге в Active Host эти пользователи появляются, но статистика и просмотр их действий (посещенные сайты, etc) не работает. Статистика продолжает накручиваться на Firewall, но действия там-же не появляются. Если же зайти на странички из машины, где установлен Kerio, то в поле Firewall начинают появляться записи посещенных страничек. Kerio установлен на виртуальной машине. Для теста создал пользователя test и разрешил доступ от него на any, any и включен NAT. Возможно из-за того что для Kerio этот трафик является локальным, вот он его и не считает. В таком случае как это дело можно поправить? Вот как-то так сумбурно расписал.

mifril
Версия??
Прокси используется??

mifril
Хе хе совсем недавно сам сэтим столкнулся. У тебя в компьютере гда kerio установлен стоит одна сетевуха, в итоге получается что весь трафик приходит только на нее, и уходит с нее (даже если поднят vpn или pppoe). Так что поставь 2-ую сетевуху и все будет работать.

Не считается трафик по пользователям.

Во вкладке «Статистика» у всех пользователей по нулям, весь трафик идет через «неопознанных пользователей». Хотя в логах http, всё показывается по каждому пользователю.

KWF 6.5.0.4794

inew
Аутентификация по IP, или по имени/паролю?

А руководства на русском, которое в шакпе одним файлом есть?

Подскажите!

Почему обращение к web-серверу внутри локалки от RAS клиентов идет через авторизацию на winroute? RAS на серевре с winroute.

Можно отключить?

Спасибо.

iBykovsky
Не понятно, что имеется ввиду под понятием авторизацию??: лицензия выдается для пользователя?? или требует ввести логин/пароль??

Правило для ras в локалку:
сурс RAS
дест firewall
протокол HTTP
port-mapping to IP (машина с веб-сервером) порт 80 (иногда нужно порт указать - может и не потребоваться).

Такое правило используешь??

Цитата:

Не понятно, что имеется ввиду под понятием авторизацию??: лицензия выдается для пользователя?? или требует ввести логин/пароль??

Выдается право на использование квоты и определяется политика применяемая к трафику, естественно после ввода логина и пароля - подходит под "авторизацию"?
Если не то пусть будет "аутентификация".


Цитата:

Правило для ras в локалку:
сурс RAS
дест firewall
протокол HTTP
port-mapping to IP (машина с веб-сервером) порт 80 (иногда нужно порт указать - может и не потребоваться).

Такое правило используешь??

Не помогает.

iBykovsky
1.Такое впечатление, что у тебя аутентификация по логин/паролю, а не по IP.
2.Необходимо создать ответное правило:
сурс IPмашины с веб-сервером
дест Inet
протокол HTTP
NAT

(ответное правило требуется не всегда, то бывает и такое)

pilotro


Цитата:

Хе хе совсем недавно сам сэтим столкнулся. У тебя в компьютере гда kerio установлен стоит одна сетевуха, в итоге получается что весь трафик приходит только на нее, и уходит с нее (даже если поднят vpn или pppoe). Так что поставь 2-ую сетевуху и все будет работать.

Спасибо большое. Все получилось.

Столкнулся с другой проблемой. Захожу в статистику и вижу вот такое: http://img401.imageshack.us/my.php?image=statsfk6.jpg В чем может быть проблема?