» Настройка Kerio Winroute серии 5.x и 6.х (часть 2)

Судя по маленькому бару возле курсора, доступ к данным есть. То что не загрузилось активное содержимое, типа flash или activx. Скзать точно нельзя потому как инфа вся заширована у Керио. Сам бы чего отдал за модуль автоматической (прозрачной) авторизации. Как это Керио сделала фиг его знает. Так что думаю это проблеммы браузера с которого ты смотришь. Попробуй открой страницу с другой машины. Если откроется, то смотри настройки эксплорера на больной машине. Безопасность, доп. модули (типа флеш плеера).
Удачи

Добавлено:
iBykovsky
Думаю тебе необходимо словить свой локальный RAS в отдельное правило. Как и было указанно выше. После того как в Connections свой трафик ты увидишь под своим вновь испеченным правилом, убери Protocol Inspector для этого правила, поствь none. Это даст возможность выделенный трафик пускать мимо ядра Керио, и соответствено потребность в авторизации отпадет, хотя и статистика для него считатся не будет.
Хотя сама проблема мне кажется кроется в определении чем является сетевуха шлюза смотрящая в сеть (если конечно клиента RAS к ней обращаются, могут и к внешней обращатся), интернетом или локалкой. В версии 6.5 (и выше надеюсь) это можно указать руками. В более низких как то сам определяет, посмотри свои сети. В одной ли подсети внутренняя сетевуха и локалка? RAS клиенты получают ip из той же подсети? маршруты нормально указаны? Может в весах где какие путаницы? и т.д.
Чето еще навеяло. А web сервер это шлюз или другая машина? Web сервер тоже посмотри в одной ли локалке или нет. Хотя наверное kerio так и будет делать. Так что только по первому варианту.
Еще вопрос а на кой твои ras клиенты на web локальный через шлюз лезут?. Если они в одной подсети, то шлюз они трогать не должны.

Добавлено:
И вот еще что увидел.
Version 6.5.1 - October 23, 2008
- fixed possible crash in LDAP
- fixed incompatibility with VPN configured in Routing and Remote Access
- fixed possible deadlock in DNS resolver
- fixed compatibility/performance issues in UPnP
- fixed compatibility issues with Microsoft Virtual Machine
- fixed incorrect handling of static routes on interfaces in Internet group

Может как раз для тебя?

кто нибудь знает что за ошибка 10055 ??? выползает когда открываю administration с локальной машины. причем в это время не работает локальная сеть, а в error logs пишет "cannot retrive information on network adapters". с рестртом все проходит ((

arzumanyan
VPN есть?? - посмотри в админке - что за адаптер у тебя не определяется..

adjuster
VPN-na netu
Intel(R) PRO/1000 PL Network Adapter

Что нитак сделал?
Есть куча пользователей и авторизируются с машин на проксю (в браузерах 192.168.0.1:3128)
Но в Статистике неотображаются они, а только клиентские машины и трафик который в реальном времени создают.
А также в логах видно что такойто пользователь запросил такуюто страницу и получил её -в общем всё ок. Но вот в самой статистике их нету ...
-Что интересно статистику начинает собирать если залогинется пользователь по веб интерфейсу на сервак http;//server:4080 и уже от туда пойдёт по своим нуждам -вот тогда, да есть в статистике его накаченный траф. А какже сделать чтоб и просто после прохождения авторизации на проксе, он собирал статистику?

Парни, помогите пож-ста с настройкой kerio winroute firewall 6.4.2 build 3672

Задача такая: пользователи при достижении своего лимита (не важно суточного или месячного, у кого как установлено) должны переставать получать доступ к сервисам и сайтам, кроме определенных (рабочих). Желательно при этом авторизоваться при доступе к www логином и паролем.

Для начала пробовал делать так: в traffic policies прописывал что все пользователи могут иметь доступ ко всем сервисам (через NAT), но по www могут ходить только на рабочие сайты (через NAT!!!). И следующее правило - авторизованные пользователи могут иметь доступ ко всем остальным сайтам через www proxy (непрозрачный прокси). Соответственно поднимал непрозрачный прокси параллельно с натом, у пользователей прописывал использовать прокси...... и ставил галку "не использовать прокси для следующих адресов" и перечислял рабочие адреса. Соответственно при моей задумке все могут работать даже без авторизации, а при попытке пойти на севые сайты обязательная авторизация по логину и паролю должна запросить доступ к www proxy (непрозрачному прокси). Затем при достижении лимита доступ к сайтам, не относящимся к работе должен отрубиться, а все остальное, плюс рабочие сайты должны работать. Однако работает это коряво: при достижении лимита отрубаются намертво все сервисы. В крайнем случае можно зайти на страницу kerio, разлогиниться и после этого вроде рабочие сайты работают. т.е. проблема в том, что введя один раз логин и пароль он его зопоминает надолго, а мне нужно чтобы при каждом доступе к сайту, неотносящемуся к работе запрашивался пароль. Контингент пользователей такой, что специально заставить их ходить на страницу kerio чтобы разлогиниться не катит

Сейчас все работает отлично с авторизацией по ip, однако не могу реализовать все что нужно. Идеально было бы, если бы была возможность при достижении лимита пользователем не только урезать ему скорость и отрубать все, но и перемещать в другую группу, соответственно с другими правами. Было бы очень гибкое решение.....


Пока подумываю поставить сторонний непрозрачный прокси, и отрубать доступ к нерабочим сайтам с его помощью, но обидно используя вроде как мощную гибкую софтину делать это....


И вдогонку: возможно ли сделать так, чтобы на странице статистики пользователей, у них не отображались разрешенные и запрещенные сайты, куда доступ им ограничен?

установил сабжовый девайс, кое-как настроил и раздал инет на остальные компы в локалке. но не работает аська. что нужно сделать?....

gansyk
Создать правило для доступа аськи по порту 5190.

gansyk
инет раздаешь через прокси или через нат?
Если через прокси, тогда в св-вах аськи задай адрес прокси сервера, сайт login.icq.com протокол https, порт 443

Если через нат, тогда, как сказал hanty создай правило
источник lan, назначение inet, порт 5190, permit

Здравствуйте!!!

Подскажите пожалуйста, может я чего не догоняю, а я чего-то не догоняю.
С Kerio в плотную никогда не работал, мучаюсь с версией KerioWinRoute (6.4.2)

Ситуация:

Есть домен LAN, в нем ПК1 (XP2sp) с двумя сетевушками, одна смотрит в локалку (10.72.32.11) с проксей, к другой (10.10.10.1) подключен компутер на который нужно давать интернет (ПК2).
Kerio поставил на ПК1 настраивал через мастер, в мастере указал сетевушку которая смотрит в локалку и получает инет, в настройках HTTP указал адрес прокси и порт локалки. На ПК 2 указал в настройках прокси 10.10.10.1
При попытке открытия странички выдает "Соединение с сервером www.страничка.ru сбой (Сервер не отвечает)"

ПК2 либо win2k3 либо VistaUltimate эффект одинаковый

Кстати через CCProxy все работает

Отключи ISS OreangeWeb Filter. И тестируй на чём-нибудь локальном типа яндекса. Попробуй ещё раз пройтись мастером, посмотри по логам как ПК2 соединяется с прокси.

ипконфиг и таблицу маршрутизации покажите с обоих компов.
и покажите tracert ya.ru со второго компа

С ПК1 (внутри локалки сменился с 10,73,32,11 на 10,73,32,22)


Цитата:

Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x10003 ...00 19 db c7 cf 95 ...... Realtek RTL8168/8111 PCI-E Gigabit Ethernet
NIC - Virtual Machine Network Services Driver
0x30004 ...00 50 04 54 e8 42 ...... 3Com EtherLink 10/100 PCI TX NIC (3C905B-TX)
- Kerio WinRoute Firewall
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 10.73.32.100 10.73.32.22 10
10.0.0.0 255.0.0.0 10.73.32.1 10.73.32.22 1
10.10.10.0 255.255.255.0 10.10.10.1 10.10.10.1 30
10.10.10.1 255.255.255.255 127.0.0.1 127.0.0.1 30
10.73.32.0 255.255.255.0 10.73.32.22 10.73.32.22 10
10.73.32.22 255.255.255.255 127.0.0.1 127.0.0.1 10
10.255.255.255 255.255.255.255 10.10.10.1 10.10.10.1 30
10.255.255.255 255.255.255.255 10.73.32.22 10.73.32.22 10
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
195.80.228.68 255.255.255.255 10.73.32.1 10.73.32.22 1
224.0.0.0 240.0.0.0 10.10.10.1 10.10.10.1 30
224.0.0.0 240.0.0.0 10.73.32.22 10.73.32.22 10
255.255.255.255 255.255.255.255 10.10.10.1 10.10.10.1 1
255.255.255.255 255.255.255.255 10.73.32.22 10.73.32.22 1
Основной шлюз: 10.73.32.100
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
195.80.228.68 255.255.255.255 10.73.32.1 1
10.0.0.0 255.0.0.0 10.73.32.1 1
___________________________________________________________________________
IPCONFIG

Microsoft Windows XP [Версия 5.1.2600]
(С) Корпорация Майкрософт, 1985-2001.

C:\Documents and Settings\user>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : ПК1
Основной DNS-суффикс . . . . . . : lan.local
Тип узла. . . . . . . . . . . . . : гибридный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : lan.local

LAN - Ethernet адаптер:

DNS-суффикс этого подключения . . : lan
Описание . . . . . . . . . . . . : Realtek RTL8168/8111 PCI-E Gigabit E
thernet NIC
Физический адрес. . . . . . . . . : 00-19-DB-C7-CF-95
Dhcp включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 10.73.32.22
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 10.73.32.100
DHCP-сервер . . . . . . . . . . . : 10.73.32.120
DNS-серверы . . . . . . . . . . . : 10.73.32.120

Основной WINS-сервер . . . . . . : 10.73.32.120
Аренда получена . . . . . . . . . : 24 ноября 2008 г. 8:18:58
Аренда истекает . . . . . . . . . : 2 декабря 2008 г. 8:18:58

Gate - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : 3Com EtherLink 10/100 PCI TX NIC (3C
905B-TX)
Физический адрес. . . . . . . . . : 00-50-04-54-E8-42
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 10.10.10.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :

ПК2

Цитата:

IPv4 таблица маршрута
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x10003 ...00 50 22 8f dc 20 ...... Realtek RTL8139 Family PCI Fast Ethernet NIC

0x10004 ...44 33 22 11 e0 00 ...... SiS 900-Based PCI Fast Ethernet Adapter
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
10.10.10.0 255.255.255.0 10.10.10.2 10.10.10.2 20
10.10.10.2 255.255.255.255 127.0.0.1 127.0.0.1 20
10.255.255.255 255.255.255.255 10.10.10.2 10.10.10.2 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.255.0 192.168.0.1 192.168.0.1 20
192.168.0.1 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.0.255 255.255.255.255 192.168.0.1 192.168.0.1 20
224.0.0.0 240.0.0.0 10.10.10.2 10.10.10.2 20
224.0.0.0 240.0.0.0 192.168.0.1 192.168.0.1 20
255.255.255.255 255.255.255.255 10.10.10.2 10.10.10.2 1
255.255.255.255 255.255.255.255 192.168.0.1 192.168.0.1 1
===========================================================================
Постоянные маршруты:
Отсутствует
___________________________________________________________________
Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : lan2server
Основной DNS-суффикс . . . . . . : lan2.local
Тип узла. . . . . . . . . . . . . : гибридный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : lan2.local

Gate - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet
NIC
Физический адрес. . . . . . . . . : 00-50-22-8F-DC-20
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 10.10.10.2
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :

LAN - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : SiS 900-Based PCI Fast Ethernet Adapter
Физический адрес. . . . . . . . . : 44-33-22-11-E0-00
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.0.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 192.168.0.1
217.112.42.15

Добавлено:
В Kerio config пишет:

Цитата:

[24/Nov/2008 09:18:59] Admin - session closed for host 127.0.0.1
[24/Nov/2008 09:19:10] Admin - session opened for host 127.0.0.1
[24/Nov/2008 09:19:32] Admin - session closed for host 127.0.0.1
[24/Nov/2008 09:19:43] Admin - session opened for host 127.0.0.1
[24/Nov/2008 09:21:15] Admin - session closed for host 127.0.0.1
[24/Nov/2008 10:27:13] Admin - session opened for host 127.0.0.1
[24/Nov/2008 10:28:33] Admin - session closed for host 127.0.0.1
[24/Nov/2008 10:28:41] Admin - session opened for host 127.0.0.1

На клиенте в обозревателе, сегодня пишет:

Цитата:

Internet connection line dialing in progress, please wait
______________________________________________________
This message was created by WinRoute Proxy

И через какое-то время:

Цитата:

Невозможно отобразить страницу

S_H_V_E_D
Покажи правила Kerio.

Coscon
Какие именно правила!?

S_H_V_E_D
Как ни странно но все.
Еще просили tracert ya.ru сделать со 2-ой машины?


Добавлено:
еще на 2-ой машине шлюзом поставь первую, на тот случай если прокси не работает

Здравствуйте!

с винроутом, я не очень хорошо дружу, так что хотел бы проконсультироваться.

у нас в сети есть 1 машина подключеная в интернет и которая раздает его в рабочую группу, на ней установлен Kerio WinRoute.

в нем есть правило полного доступа в интернет для SA Notebook, с настройкой NAT и нормально ему его раздает. Понадобилось еще на один комп дать полный инет, добавляю в это правило еще один IP адрес локального компа, которому нужен инет. На компьютере в настройках сетевого подключения помимо статичного адреса прописываю в основной шлюз IP компа с инетом, прописываю IP днсок провайдеровских. Вроде все как на науте, но все равно на ноутбуке инет есть, на компе том нету...

pilotro
Проксик работает как часы. Протрассировать с ПК2 не получается, как и пропинговать. Да и с ПК1, при пинге указывает на то что Превышен интервал, либо пингует но с бОООльшими задержками, это произошло переходе на новый тариф у провайдера, хотя странички грузятся нормально.

Да как же я их выложу то рисунками!?
Да я же говорю, что от дефолта только в HTTpPolicy прописал Proxy и его порт

На счет трасерт и пинга, ставлю CCProxy на ПК1 и все работает.НА ПК2 Грузяться странички, без проблем.

брр ничего не понял.
так если у тебя на ПК2 грузятся странички без проблем и проксик работает как часы, тогда в чем проблема?

что значит протрасировать не получается? ПК1 хотя бы пингуется? ip yandexa резолится?
Можно и рисунками никто не обидится дефолты разные бывают, в зависимости что ты указал в мастере.
и если у тебя все работает с ccproxy то почему его не используешь?

Вопрос по статистике.
Есть возможность просмотреть статистику по топ-10 сайтам и пользователям. Причем считается не по объему трафика, а по абстрактному "числу посещений". Если нужна более подробная информация - приходится просматривать деятельность каждого пользователя буквально по часам.
Можно ли получить сводную статистику по всем пользователям?

Internet Access Monitor
Proxy Inspector
Краткое описание:
Программы для контроля эффективности использования интернет-канала вашей организации.
Позволяет отслеживать кто, когда, куда, откуда и зачем выходил в Интернет.


Это из смежных тем.

ВОпрос такой, есть керио , сеть доменная. возможно ли в керио сделать так:
юзер входит в систему со своим логином и паролем, потом лезет в инет но не вводит данные для доступа в инет, авторизация проходит автоматически с использованием домена то бишь доменная авторизация, при этом в керио ведется статистика именно на этого пользователя, никакие привязки по айпишникам не катят, далее, человек допустим отошёл но комп заблокирован. Тут подходит другой юзверь логинится уже под своей учёткой, сеанс предыдущего юзверя висит параллельно, вот второй полез в инет, так же проходит автоматическая авторизация и ведётся статистика уже на этого юзверя.

вопрос, возможно ли сие реализовать в керио? просьба догадки и домыслы не излагать, нужен ответ от тех кто делал что-то в этом роде.

Цитата:

юзер входит в систему со своим логином и паролем, потом лезет в инет но не вводит данные для доступа в инет, авторизация проходит автоматически с использованием домена то бишь доменная авторизация, при этом в керио ведется статистика именно на этого пользователя, никакие привязки по айпишникам не катят

Можно


Цитата:

далее, человек допустим отошёл но комп заблокирован. Тут подходит другой юзверь логинится уже под своей учёткой, сеанс предыдущего юзверя висит параллельно,

В домене это не возможно (во всяком случае в варианте XP)


Цитата:

вот второй полез в инет, так же проходит автоматическая авторизация и ведётся статистика уже на этого юзверя.

Можно, но есть некоторые нюансы, надо шаманить со скриптами


Добавлено:
В смысле если машину вводишь в домен, то на XP может одновременно залогинится только 1 пользователь (в vista по моему тоже самое)

есть ли возможность в паре с Керио использовать программы типа traffic compressoк, в целях сокращения расходов?
Рекомендации?

Цитата:

вот второй полез в инет, так же проходит автоматическая авторизация и ведётся статистика уже на этого юзверя.

Можно.

Вообще, всё это можно. Есть даже 2 варианта: резрешить всем доменным юзерам (не пробовал) или добавлять их по одному (отлично работает).
Только браузер желательно IE.

Добрый день всем,


Здесь мои актив хостс

http://2.bp.blogspot.com/_H5xdra9SJeM/SWstm-7tpMI/AAAAAAAAAJA/CQjOuKhA6Fs/s1600-h/kerio-active-hosts-strange.jpg

там появилось много IP типа 169.254.*.*
откуда они - не понятно.
может бы вы знаете , что это за зверь и как его залечить.

Активность на этих интерфейсах следующая -
поработает немного и закрывается.

собственно на картинке для одного из них видно,

koltz

Какие интерфейсы подняты на сервере?
Поднят ли VPN?

появилась проблема..

в Активных хостах.. Firewall все время нагоняет трафик.. что-то качает и отправляет в инет.
В настройках доступ в инет могу только автаризованные пользователи... используется авторизация по ip.
Вот мои трафик полис:

[img]http://s52.radikal.ru/i138/0901/f4/8ac10d0557ba.jpg[\img]

Как можно вообще сделать так чтобы Firewall не имел доступа в сеть.


Когда вырубаю Firewall trafic то блокируется весь инет.

koltz

Цитата:

там появилось много IP типа 169.254.*.*

Это ip которые компютеры сами себе ставят если не получают ничего получше (статику или DHCP). Проверь работу своего DHCP, возможно он не очень хорошо и работает.

Цитата:

Активность на этих интерфейсах следующая -
поработает немного и закрывается.

Это мираж Если клиент сам себе придумывает ip то как правило в поле шлюза себе ничего не ставит, а то что их отследил шлюз то скорее всего это широковещательные пакеты. Да потом что бы они что то качали из интернета, то сам шлюз должен быть с ними в одной подсети, а это насколько я понял не так.

Xapkep

Цитата:

в Активных хостах.. Firewall все время нагоняет трафик.. что-то качает и отправляет в инет.

Я так понимаю на компьютере где стоит фаервол одна сетевая карта?
У остальных пользователеесть трафик?
Если не этот глюк то загляни в статистику и посмотри чего он и когда качает?



Цитата:

Как можно вообще сделать так чтобы Firewall не имел доступа в сеть.

Когда ты вырубаешь правило, то он не может подключится к инету. Необходимо дать возможность подключения, надо сделать правило для разрешения только на тот ip к которому подключаешься если твое подключение обычный vpn. Если pppoe то тут сложнее.

http://i022.radikal.ru/0901/e2/aa3b019dec92.jpg

вот веб стата... я непонимаю

да и в состоянии подключения трафик бегает.. чета на глюк непохоже

Добавлено:
сетевухе две одна в сеть смотрит другая в локалку