» Настройка Kerio Winroute серии 5.x и 6.х (часть 2)

ребята всем привет!
не подскажите как можно в керио винроуте ам вот есть правило по жефолту которая прописана имеется в виду правило НАТ мнндао дать выходл в инет только избранным именно по НАТ как мне лучше сдлеать я не хочу пул указывать адресов мне хотелось бы по группам это сделать, при этом список пользователей у меня занесены методом импорта и привязаны к своим айпишникам, но надо мне сделать так чтобы не все подряд заходили а избранные я смотрю что по 3128 он справляется без проблем а вот по НАТ у него это дело храмате или я делаю что-то не так, пожалуйста подскажите как корректно можно выполнить? Заранее спасибо!

Попытайся преобразовать свой поток сознания в понятный вопрос.

ArgonOL
извиняюсь просто торопился поэтому куча ошибок)))))
просто надо дать выход в инет избранным по НАТ как это сделать?

Создать правило, включить для него нат, в качестве источников указать нужных пользователей. Пользователей авторизовать по пароли или по IP.

ArgonOL
а каким образом авторизовать их по ип или паролю сам синтакисис пожалуйста распиши если можно?
заранее спс!!!

В настройках юзверя можно указать IP, с которых он будет считаться авторизованным. Авторизация по пароль происходит через веб-страничку на керио.

Всем доброго времени суток! Подскажите, пожалста, как пробросить через керио VoIP-шлюз Linksys SPA-2102, какие правила создать...

имеем:
собственно керио, инет, локальную сеть, VoIP-шлюз Linksys SPA-2102 - подключенный к локалке



Добавлено:
на Voip статичный IP, на внешней сети тоже статика

всем форумчанам большой привет!
запарился я уже биться с керио, скажите мне болвану как по НАТ сделать чтобы в инет ходили только избранные я знаю что задаю уже не раз этот вопрос, просто если я всех сажа. на непрозрачку все идет по маслу но мне надо чтобы ходили по НАТ в АД ешнике я создал правило ИНЕт ПОЛЬЗОВАТЕЛИ ТУДА ЗАПИХАЛ ТЕХ Кому хочу дать инет потом в Керио во вкладке АД он реплицируется без проблем там же стоит галочка Аутентифицировать пользоавтеле йдля данного домена, вообщем все нормально только вот не срабатывает правило в ТП там где стоит по дефолту правило НАт я убераю источника довеенуую зону ставлю туда группу которую создал в АД моего DC все он встал применяю правило и все у всех инет пропадает такое ощущение что он авторизацию не прошед хотя все по правилом, м.б. мне этих лузеров привязать к их айпишникам м.б. тогда керио будет их понимать или как лучше сделать пожалуйста напишите мне синтаксис а то уже запарился биться не хочу всем давать хочу только тем кто в домене.
Заранее спс большое!!!

P.S. В данный момент у меня правило по дефолту стоят версия керио если нужно v6.6.0 build 5729

redmangb
Цитата:

как пробросить через керио VoIP-шлюз Linksys SPA-2102,

Никак. Просто так VoIP не пробросить. Для этого нужны дополнительные вещи, типа SIP ALG, STUN и прочее.
aljarreau Ставь Squid, и будет тебе щастье, будешь иметь полный контроль за лузерами.

vlary
помоему вы что-то путаете, SIP прекрасно работает через kwf, вот кабешка у кериотов есть, там сказано как контрол настроить для этого:

support.kerio.com/kb/620

да и по поводу настройки разграничения доступа по именам учёток тоже всё работает, вот мне когда тех сап кериотский присылал(в принципе для работы с AD но и без него всё работает исправно) :


Цитата:

для конфигурации автоматической авторизации вам необходимо:

Чтобы хост KWF был участником домена AD от куда будут браться учётные данные пользователей.
Была корректно настроена служба переадресации dns для работы с внутредоменными именами хостов


в консоли администрирования:
пользователи и группы\пользователи\

вкладка параметры аутентификации:
отметить две галки:
-всегда требовать аутентификации пользователей при доступе к веб страницам
-включить автоматическое выполнение аутентификации пользователя веб-обозревателями

вкладка Active Directory
отметить галку:
-использовать базу данных пользователей домена.
укажите учётную запись домена с правами доступа на просмотр директории(можно указать имя и пароль учётной записи администратора домена)

на кнопке "дополнительно" всё оставить по умолчанию.


Если после выполнения данных операций, автоматическая NTLM аутентификация не работает, то пожалуйста обратитесь к статье в нашей базе знаний:
http://support.kerio.com/index.php?_m=knowledgebase&_a=viewarticle&kbarticleid=525&nav=0,43
к разделу "устранение неполадок"

Для корректного разрешения только авторихованного трафика необходимо использовать учётные записи в политиках трафика.
Для этого вам необходимо сделать следующее(прошу учесть что данный пример применим лишь в общем случае):

1. в самом начале списка политик трафика, создайте правило:
источник-доверенные локальные, назначение-интернет, служба-http, действие-разрешить, трансляция-nat

Данное правило даст доступ всем хостам внутри локальной сети доступ к странице авторизации.


2. сразу за ним создайте правило:
источник-авторизованные пользователи, назначение-интернет, служба-список разрешённых служб, действие-разрешить, трансляция-nat.

данное правило даст доступ к сети интернет только авторизованным на шлюзе пользователям.



3. В правилах URL создайте 2 правила в начале списка:
3.1 применить к указанным пользователям(кому разрешён доступ в интернет), для url-*, действие-разрешить

данное правило даст доступ ко всем URL в сети интернет только авторизованным пользователям


3.2 применить ко всем пользователям(галочку не требует авторизации НЕ ставим), для url-*, действие-запретить

данное правило заблокирует не авторизованный доступ к сети интернет.

Всем добре время суток!
У меня очень простой вопрос. Есть сеть - 6 компов. Каждому из них изначально в Kerio 5.1.10 был присвоен IP. Я создаю пользователя. Как теперь мне привязать его к вот тому изначально присвоенному IP? Понимаю, вопрос довольно примитивный, но я перерыл инет на счет мануала - не нашел. Если в 6 версии все понятно, то в 5...
Прошу сделать скидку на то, что до этого не имел дела с Kerio, а сейчас, по долгу службы, пришлось...

У меня вопрос. Короче есть Контролер домена на нем же стоит и керио. Так вот все прекрасно работает пока доступен интернет,Но иногда по вине провайдера интернет пропадает и после этого ложится вся внутренняя локальная сеть. Если керио закрыть то локалка начинает работать.
И опять же повторюсь если нет выхода в интернет то и локалка не работает при запущенном керио, если интернет появляется то все начинает работать как и раньше. Все прекрасно но вот такая небольшая проблема просто меня убивает. Может кто сталкивался с таким,дай те совет как решить данную проблему.

Nerovinger
ну вот зоть убейте, как так может быть. если подключения в локальной сети идёт напрямую минуя шлюз, каким боком в вашей проблеме керио?

Ну вот как ни странно, но все происходит как я описал. Керио вырубаю и локалка работает,щас на вирусню поставил проверять,может че просочилось сквозь нод 32.

Nerovinger
ты сначала разберись, почему пакеты хостов ходят через шлюз а не напрямую, решишь эту задачу, решишь и другую.

Всем привет. Ребята, подскажите, запарился уж. Есть небольшая сеть и шлюз с KWF 6, выход в инет организован через адсл + резервный канал через 3g модем. Проблема в том, что пользователи не могут скачать вложения со своих почтовых онлайн ящиков (маил.ру и тд), при попытке скачать или открыть его, загрузка как-бы зависает до бесконечности.

правила керио:

ozuna
попробуй отключить инспектор на правиле для почтовых протоколов

отключал, не помогло. антивирус, webfilter отключены...
заметил, что когда отключается основной канал (адсл роутер), и происходит переключение на резерв через 3g модем, проблема пропадает...

ozuna
тогда, мурыж провайдера на основном канале. Причём тут керио, если он у тебя всё разрешает по одному из линков, то и по второму будет разрешать, а настройки у тебя общие, так что тут явно шлюз не причём

да нет, с провом все гуд, без прокси все пашет

ozuna
без какого прокси?! причём тут прокси и почтовые протоколы?!

всмысле без керио, просто через адсл модем

ozuna
ну тогда по порядку вкладывайте все данные, ipconfigi route printi и т.п. и т.д.

Пока не актуально, ушел в отпуск. Спасибо.

Доброго времени суток! Небольшая проблема возникла...,есть локальная сеть с доменом и керио. Создал в керио группу, в HTTP политиках создал правило вида:
Source: CreditOtdel
Destenation: mail.ru
Service: any
Action: permit
Потом зделал такое правило:
Source: CreditOtdel
Destenation: Any
Service:Any
Action: deny
Нужно чтобы эта группа могла ходить только на мейл.ру. В результате как продолжали, так и продолжают ходить везде, подскажите плиз как правильно сделать и где моя ошибка? Заранее спасибо =)

FESSSS
а запрещающее правило кто будет делать?

Так есть же запрещающее???? второе которое, или там что то не так?

FESSSS
вот ведь блин вообще затупляю. мозги расплавились уже:

1) проверь что инспектор протоколов у тебя включен на всех правилах трафика
2) проверь что люди эти реально авторизуются учётными записями из вышеуказанной группы

на серваке(win2003) стоит Kerio WinRoute Firewall 6.7
надо поднять в Kerio VPN-сервер. захожу в настройки Kerio - интерфейсы. там пишет VPN-сервер отключено и VPN-драйвер не загружен вследствие ошибки: Внутренняя ошибка.
также не нашёл нигде Kerio VPN adapter
вопрос: как установить Kerio VPN adapter и загрузить потом драйвер?
зашёл в винде в мастер установки нового оборудования и установил Kerio VPN adapter. он появился в диспетчере устройств. перегрузил сервак - этот адаптер исчез из диспетчера и появился в Kerio в интерфейсах с параметром Отключено. VPN-сервер также отключен в следствии всё той же ошибки: "VPN-драйвер не загружен вследствие ошибки: Внутренняя ошибка"
что делать?

AJIb_CAPONE
никогда не устанавливать на один хост KWF и KVC, сносите клиент, выполните переустановку приложения KWF в режиме исправления