» Настройка Kerio Winroute серии 5.x и 6.х (часть 2)

Кто подскажет у меня 2 сервера
1- Ad, dns , dhcp
2-mailserver, nat и Kerio Winroute Firewall 5.0

на 2-ом 2 сетевухи INET и LAN
LAN получает почту и инет , проблема вот в чем в день раза по два проподает инет . LAN к томуже можно получать почту и пинговать INET, перегружаеш сервис Winroute Firewall 5.0 и сново все работает

Плиз скажите что не так делаю ((



Настройка протокола IP для Windows



Имя компьютера . . . . . . . . . : agata

Основной DNS-суффикс . . . . . . :

Тип узла. . . . . . . . . . . . . : широковещательный

IP-маршрутизация включена . . . . : да

WINS-прокси включен . . . . . . . : да



inet - Ethernet адаптер:



DNS-суффикс этого подключения . . :

Описание . . . . . . . . . . . . : Realtek RTL8029 PCI Ethernet NIC

Физический адрес. . . . . . . . . :

DHCP включен. . . . . . . . . . . : нет

IP-адрес . . . . . . . . . . . . : 192.168.***.***

Маска подсети . . . . . . . . . . : 255.255.255.0

IP-адрес . . . . . . . . . . . . : 195.184.***.***

Маска подсети . . . . . . . . . . : 255.255.255.252

Основной шлюз . . . . . . . . . . : 195.184.200.**?

DNS-серверы . . . . . . . . . . . : 192.184.192.12

195.184.192.18



lan - Ethernet адаптер:



DNS-суффикс этого подключения . . :

Описание . . . . . . . . . . . . : Intel 8255x-based Ethernet 10/100 PCI адаптер

Физический адрес. . . . . . . . . :

DHCP включен. . . . . . . . . . . : нет

IP-адрес . . . . . . . . . . . . : 192.168.1.1

Маска подсети . . . . . . . . . . : 255.255.255.0

IP-адрес . . . . . . . . . . . . : 192.168.0.2

Маска подсети . . . . . . . . . . : 255.255.255.0

Основной шлюз . . . . . . . . . . :

GendalFBug
В момент подвисона с Firewall машины в инете что-нить пингуется по ДНС имени или по IP?

Цитата:

adjuster

да и по ip и по ДНС имени .но и на сайт с этого компа не зайдеш, но радмин конектится по внешнему ip, да и еще как только останавливаеш службу kerio Winroute инет появляется на сервере и только (

GendalFBug
Раз трафик идет, значит с ТП все в порядке. С таблицей роута тоже все в порядке.
Скорее всего проблема с кешированием. Стоит обратить внимание на логирование в Warning

Цитата:

adjuster

Отключил ДНС фарфординг уже сутки вроде не выбивает ! только мониторы сервисов керю кудото пропали !

Люди добрые, подскажите где изменить пароль администратора для доступа к Админиской консоли . Нигде найти не могу, хотя вопрос то простой. В настройках нет.

protel

lavern , Спасибо большое. Тока что то у меня не активны строки с паролями , то есть изменить ничего нельзя. Из за чего ?

Добавлено:
кажись разобрался. Просто у меня пользователи из домена и видимо у них сохраняются lдоменные настройки для KWF и следовательно пароль изменить нельзя. Для этого нужно что бы пользователь был из local user database

protel
Да если есть совпадение имен это плохо. У меня в КМС трабл с именами.

Помогите плз. разобраться с аутентификацией зверей по логину и паролю.
Имеем 13 юзверей, и они имеют привычку садиться за машины друг руга -Поэтому задача стоит сделать так. чтоб при каждом новом открытии браузера, запрашивался бы пароль.
Ну и естественно чтоб при этом в "Статус/статистика" -можно было бы следить за потреблением ими трафика. -сейчас вешается весь таф. на одного зверя, который залогинится с машины где WinRoute

Пока только до этого смог додуматься ...


HHTP Policy
Включён прозрачный прокси на порту 3128
в правилах URL имеется правила:
1 - все пользователи состоящие в группе "All" пропустить на запрошенную ими страницу (что кстати тоже не совсем правильно в мануале описано что произайдёт автоматический переброс после авторизации, на запрашиваемую зверем страницу -а попадают звери после авторизации на страницу статистики, и только от туда уже идут на требуемый сайт)
2 - любой не авторизованный пользователь отправляется на страницу авторизации http://proxy/nonauth/login.php
3 - прочих дэнить

Параметры аутентификации
Всегда требовать аутент. польз. при доступе к веб-стр.
и вот собственно проблема - тут же поставил "Автоматически завершать сеанс, при не активности пользователя" равная 10мин. Т.к. без этого параметра вообще потом пароль не запрашивает долгое время ... -что чревато если кто то другой сядет и накачает тафика под чужим логином, а так хоть 10 мин. но рвёт связь ...
Хотя это не очень удобно ... -Может есть у кого по этому поводу соображения?

Ребята подскажите плиз призадумался перейти с wingate(из за невозможности прозрачного прокси) на KWF схема сети похожая на Эту

Тоесть 2 сервера
1- Ad, dns , dhcp
2-mailserver, денвер(webserver), BIND, nat и Kerio Winroute Firewall 6.0

на 2-ом 2 сетевухи INET и LAN

так вот хотел спросить как лучше настроить ДНС фарфординг ибо нужна функция
настройки файла HOSTS

Pr0d1

Цитата:

Включён прозрачный прокси на порту 3128

А может всё-таки НЕПРОЗРАЧНЫЙ прокси-сервер?

В разделе Пользователи->Параметры Аутентификации есть такое как "Включить принудительную аутентификацию для непрозрачного прокси сервера". У меня открываешь браузер - просит логин-пароль. Работаешь, закрываешь браузер, уходишь, какой-нить подлец садится за твой комп, открывает брявзер - опять просит логин-пароль. То, что нужно?

kaskad
Да именно то что нужно .... А со статистикой как быть? - Видно ли её в реальном времени в "статут\статистика" ? -У меня видно но только всё на одного юзера вешается весь траф ...

Pr0d1
Вот такие же проблемы.... Пытаюсь разобраться... У меня там ваще весь траф - неопознанный. Можно поставить галочку считать трафик принудительно - тады начинает показывать корректно.

Pr0d1
Промежуток - 10минут - это слишком много, поставь лучше 5 минут (это минимум для машины) - меньше не получится.
При использовании скриптов автоРазлогирования - будет шикарно работать твоя задача.

rosalin
Переход с Вингейта (который тоже имеет NAT - нужно всего лишь почитать руководство, возможно обновить версию) на KWF - создает некоторые проблемы с шарой. Если на этой машине нет файлового сервака (виндовых шар), то проблем не будет.
HOSTs файл использовать на KWF машине не придется:
на LAN сетевой на KWF настраиваем DNS на твой DNS в локалке; на сетевой, смотрящей на провайдера - на DNS провайдера.

На DNS серваке все оставляешь, как есть.
Но может быть понадобится правило:
Выход для DNS машины в инет через NAT:
сурс DNS сервер
дест Inet
протокол DNS
NAT

kaskad
То что трафик падает на неопознанных пользователей, означает то, что есть правило для Firewall машины и не правильно настроена аутентификация (если пользователи ходят через HTTP проксю), либо есть правило NAT для локальных машин - а не пользователей и через это правило локалка выходит в инет.

adjuster

Цитата:

При использовании скриптов автоРазлогирования

Здесь можно по подробнее? -Читал мануал, ничего про скрипт такого рода не слышал, как собственно и про другие. -Если можно -пример такого скрипта, и куда его "подкладывать"?

Pr0d1
http://forum.ru-board.com/topic.cgi?forum=8&topic=18830&start=660#16

Вот здесь почитай.

adjuster
Линк который вы мне дали - на эту же страницу ведёт ...

Добавлено:
Народ пожалуйста, поделитесь скриншотами настроек, у кого есть и работает:
1-Авторизация зверей при каждом открытии браузеров (без привязки к IP машин - именно по пользователям)
2-Статистика собирается на каждого в реальном времени (работают квоты)
з.ы. Забадался я уже ... получается настроить НО при этом работает что то одно из этого ...
Можно на ICQ 1997206 либо в личку ...
-Буду очень благодарен ...

adjuster

Цитата:

2ALL
Необходимо выпустить пользователей через непрозрачный прокси в нет с подсчётом трафика. Сваял правила, расставил галочки. Прикол следующий - не считается трафик по пользователям, вот так, а интернет работает даже если отключить правило Proxy, ссылается на правило Firewall и работает. Вот как настроить, чтобы и с роутера не блочить трафик принудительной авторизацией, и чтобы счётчики считали трафик по пользователям?

Процитировал сам себя из другой ветки, прошу прощения у модеров, но тут уже не я ентот вопрос поднял, но и мне тоже очень важен ответ.


Цитата:

kaskad
То что трафик падает на неопознанных пользователей, означает то, что есть правило для Firewall машины и не правильно настроена аутентификация (если пользователи ходят через HTTP проксю), либо есть правило NAT для локальных машин - а не пользователей и через это правило локалка выходит в инет.

Вот где среди нескольких простых правил выше неправильно? Почему косячит?

Народ кто подскажет как в Winroute 6.4.2 пропустить подключение с инета на внутренний сервак по внешнему IP, какое правило надо создать может кто делал? Подскажите пожалуста только начинаю розбиратся с винроутом, уже перечитал все хелпы а найти немогу?

spiritadmin
Source | Destination | Services | Action | Translation |
Inet Firewall нужный_порт permit Destination NAT (внутренний IP)

Помогите плз разобраться с доступом на внешний FTP через NAT. Юзеры могут попасть на FTP (и то не на все), только если создать правило:

IP компа - Any - Any - Permit

Иначе, повисает на командах (фтп-клиента):

Entering passive mode или LIST

Отдельное правило для фтп создавал, PI и FTP Policy отключал. В логах появляются примерно такие сообщения:

DROP "Default traffic rule" packet from INET, proto:TCP, len:60, ip/port:<ип фтп-сервера>:20 -> <мой реальный ип>:38541, flags: SYN , seq:1642310031 ack:0, win:5840, tcplen:0

DROP "Default traffic rule" packet to INET, proto:TCP, len:48, ip/port:<мой реальный ип>:38537 -> <ип фтп-сервера>:52882, flags: SYN , seq:3117750023 ack:0, win:65535, tcplen:0

PS: Сори, если уже было, я не нашел.

Z3PHYR1
А есть правило где фаер может ходить в инет по FTP без NATа ?
т.е. источник - фаер
назначение - инет интерфейс
служба - FTP


а кто мне поможет по моей проблеме?
с подсчётом трафика по зверям?
Ссылка

Есть, стандартное правило Firewall traffic. На самом фаере, кстати, наблюдается та же проблема.

Z3PHYR1
Дело в том, что некоторые FTP сервера настроены таким образом, что клиент зависает на команде LIST.

Решение вот: При возникновении затруднений при работе по FTP (клиент
зависает на команде LIST) Вам необходимо будет настроить
FTP-клиент на работу в PASSIVE MODE.

Либо на правиле FTP отключить Протокол Инстпектор (не всегда помогает)

Vby
Только в Трансляции нужно указывать не NAT, а Порт меппинг на эту машину!!!

Как я уже писал выше, это не помогло. Как мне кажется, проблема в том, что хост начинает обращаться к FTP не по 21 порту, а по какому-то случайному (см. лог в моем первом посте).

adjuster

Цитата:

Переход с Вингейта (который тоже имеет NAT - нужно всего лишь почитать руководство, возможно обновить версию) на KWF - создает некоторые проблемы с шарой. Если на этой машине нет файлового сервака (виндовых шар), то проблем не будет.
HOSTs файл использовать на KWF машине не придется:
на LAN сетевой на KWF настраиваем DNS на твой DNS в локалке; на сетевой, смотрящей на провайдера - на DNS провайдера.

На DNS серваке все оставляешь, как есть.
Но может быть понадобится правило:
Выход для DNS машины в инет через NAT:
сурс DNS сервер
дест Inet
протокол DNS
NAT

просто стоит задача обеспечить доступ к инету локальной сетке с авторизацией по мак
т.к клинты не имеют постоянных ip да и авторизация по паролю не нужна У клиентов нет настроек на прокси только шлюз Соответственно напрашивваеться доступ через нат

Потребуеться еще фильтрация по хостам и доступ из инета в локалку.....

Можно ли это сделать в KWF
и еще маленький вопрос какая версия постабильнее ибо доступ нужен 24 ч

Ребята вот еще такая проблемпка установлен OpenVPN на том же компе что и KWF 6 не могу настроить правила доступа

пока отключил фаервол для того интерфейса работат
но как настроить правила???

rosalin

Открой в правилах порт 5000 (кажется такой у openvpn по умолчанию) но лучше создать правило на IP адрес с которого будут коннектится через openvpn и там открыть нужные порты.

Привет! Помогите плиз со следующими вопросами. Если плохо рыл, сорри.
версия 6.4.2

1. можно ли сделать, чтобы текущий остаток трафика возможно было смотреть не на странице STAR'a? есть ли утилитки вроде traf insp user agent?

2. Как (можно ли вообще) сделать чтобы лимиты по трафику можно было устанавливать не на пользователя, а на IP-адрес?

3. Как сделать, чтобы при превышении лимита не "резались" отдельные сайты на http (по урл желательно)?

4.(не в тему Как раздать через AD домашнюю страницу на firefox?

заранее thanks!