» Kerio WinRoute Firewall (часть 3)

danygug

Цитата:

утерян пароль от Kerio WinRoute Firewall ... есть варианты востановить ?

я уж насколько незловредный и отзывчивый человек, но скоро начну тыкать в "сообщить модератору"
1. Поднимался раз ..цать вопрос
2. Есть оффсайт где прекрасно расписано
3. Есть версия для печати и поиск
4. Есть документация
5. Неужели кто-то ответит господину????

Все-таки прошу помощи. Вопрос не каверзный, у каждого вероятно подобное является стандартом де факто, просто я что-то не так сделал. Что?

вся проблема в том что сайт Kerio у меня заблокирован и много чего еще ...

сеть только получил ... разбираюсь ...

спасибо за помощь

Добавлено:
З.Ы. поиск не работает, блокированны куки и тд

danygug
ок, добавил в шапку (поскольку из faq все равно переадресация к разработчикам).
На иноземном, но все вроде доступно...

Добавлено:
уж не ломаете ли Вы чужую сеть?

5555555
нет не ломаю ... детство позади

swarrior2007
Пробовал для KMS! Но только рисунки заменил!
Для KWF они лежат в C:\Program Files\Kerio\WinRoute Firewall\webiface\nonauth\gfx\

Germanus
Буквец много но я осилил! Два раза!!!
В правилах HTTP попробуй поставить do not require authentication
Если используешь Enable non-transparent proxy server authentication то должна стоять птичка в Configuration\Content Filtering\HTTP Policy\Proxy Server\General options\Enable non-transparent proxy server


Цитата:

чтобы юзеры аутентифицировались (на некоторых машинах по нескольку пользователей...

Объясни! Это терминальный сервер или обычная машина? Все под одним юзерем в винде сидят или у каждого свой профиль?

lavren
Спасибо за реакцию.

Цитата:

Это терминальный сервер или обычная машина?

Шлюз в инет.

Цитата:

Все под одним юзерем в винде сидят или у каждого свой профиль?

У каждого свой. У каждой подключающейся машины, то есть. Поскольку по сути, если с одной машины несколько юзеров логинятся по очереди (тоесть в настройках юзера в закладке IP Addresses не стоит галка Specific host IP addresses), то весь трафик считается в статистике как для unrecognized users, хотя, для того чтобы юзер попал в инет ему таки нужно залогиниться. Ни фига не пойму. А если поставить птицу и прописать IP машины с которой входят, то логиниться им не нужно, и следовательно все юзеры как один с этой машины в нет лезут.
Чтобы нагляднее - пример:
KWF на машине с внутренним интерфейсом 192.168.0.1 и внешним 192.168.75.1 подключенным к ADSL момеду.
Одна из юзерских машин 192.168.0.43, например vasya
Вторая из юзерских машин 192.168.0.104, например petya.
На машине vasya один юзер. на petya -3
В Users and Groups\Users соответственно есть профили vasya и petya со своими разрешениями, паролями и именами.
Птица Configuration\Content Filtering\HTTP Policy\Proxy Server\General options\Enable non-transparent proxy server стоит, так как прокси используется и указан в браузерах всех машин. (192.168.0.1:3128)
Настройка аутентификации такая
В настройках юзера vasya так:
А в настройках petya так:
При этом юзер с vasya выходит в инет без авторизации. Просто набирает инет адрес и вперед. Юзеры же с petya при вводе инет адреса получают окно авторизации и входят только после ввода имени-пароля. Но на KWF в статистике vasya считается, то есть работает квота и отображается сколько "насидел". А вот с petya все юзеры в статистике KWF накапливаются в строке . Соответственно квотирование не работает как и правила для них. Их же имена остаются с нулями в статистике.
И где
Цитата:

do not require authentication

? Не нашел что-то?
Опять букафкофф много получилось, но пытался объяснить митуацию полностью.

вышел KWF 6.4.0
_http://eu.download.kerio.com/dwn/kwf/kerio-kwf-6.4.0-3176-win32.exe

Germanus


Цитата:

Не нашел что-то?

Configuration\Content Filtering\HTTP Policy\URL Rules открываешь правила и If user accessing the URL is\do not require authentication

В Configuration\Accounting\Statistics / Quota у тебя нет никаких исключений?
У меня там толька первая птичка стоит (Gather Internet Usage statistics)

Configuration\Advanced Options\Web Interface / SSL-VPN\User Web Interface посмотри:
Enable HTTP Web interface - Птичка стоит!
Enable HTTPS (SSL-secured) Web interface - Птичка стоит!
Allow access only from these IP addresses: - Птичка не стоит!
WinRoute server name: - имя машины с КВФ (чтобы все нормально ходили через браузур!)

В Status\Active Hosts они как показаны когда сидят в инете?

А у меня на последней версии сабжа (6.4.0.3176) интересная трабла выскочила. Клиент в сети с айпишником 192.168.0.104 лезет на яндекс, в свойствах ИЕ с помощью которого он "лезет" прописано что коннект весь через прокси, указан прокси и порт. В настройках этого юзера в керие прописано что автоматически аутентифицировать его с этого айпишника, стоит галка и адрес прописан правильно. НО! У клиента все равно вылетает запрос на авторизацию! %) до перехода на 6.4.0 стоял последний релиз 6.3.1 и такого прикола не наблюдалось. А сейчас вот возникла проблема, что делоать с ней ума не приложу. Все перерыл,везде где надо поставил галки - фигу! не работает Как исправить, чтобы авторизация проходила автоматом?

Ребята - дико извеняюсь за ОФФ топ.
Срочно нужна помощь - помогите пожалуйста,
на поиски времени нет а помощь нужна вот в чем:

Как бы настроить керио - установленном на шлюзовом компе VPN - сервер - таким образом чтоб пользователи в локальной сети могли подключаться к инету только через него. Пользователей в канторе больше чем компов для этого все и делается.
Доступ и тарификация по ip машинкам не годится, почему? К примеру за одной из машинок работают 5 человек в сутки - и скачано гиг - кому предъявить.?

Подскажите какие правила настроить на Фаерволе - и как настроить на удалленых машинках VPN подключение?

Serg0FFan
У одного? А в остальных нормально?
Может удали этого юзеря с КВФ и создай с новым именем!
Попробуй в Users and Groups\Users\Authentication Options поиграть с птичками!

DocBeen

Цитата:

Как бы настроить керио - установленном на шлюзовом компе VPN - сервер - таким образом чтоб...

Объясни поточнее! В КВФ хочеш ВПН настроить или статистику?
Настройка VPN

Цитата:

за одной из машинок работают 5 человек в сутки

Если в одной учетной записи винды то почти никак!!! Если в разных то не делай привязки к IP и раздай юзерям пароли для входа в инет, а при выходе с профиля сделай запуск скрипта.

Народ, если кто сталкивался подскажите. Работал с аутоинтификатором, отключил всех пользователей и меня отвлекли. Как итог закрыл программу с примененными настройками. Теперь при попытке войти пишет что аутоентификатора не найдено. Если кто знает как исправить, без переустановки , напишите будь ласко!!!

er23af

Цитата:

Работал с аутоинтификатором,

В смисле? Обясни!

Цитата:

отключил всех пользователей

Поставил всем Account disabled? Тогда в файле UserDB.cfg измени у нужних пользователей <variable name="AccStatus">0</variable> на <variable name="AccStatus">1</variable>
Останови перед этим КВФ!!! он помнит файл!

Цитата:

В смисле? Обясни!

не правильно выразился, менял пользователей, так будет точнее и настройку аутоентификатора, но там кажется ничего не сохранял. сейчас попробую что ты посоветовал, спасибо

lavren
Спасибо.
Птица
Цитата:

do not require authentication

активна только для any user а не для selected user(s), как у меня в правилах в основном. Попробовать не могу.

Цитата:

В Configuration\Accounting\Statistics / Quota у тебя нет никаких исключений?

Нет, все по умолчанию. Тоже только первая птица стоит.

Цитата:

Configuration\Advanced Options\Web Interface / SSL-VPN\User Web Interface посмотри:

Посмотрел. Все так же, только убрал птицу
Цитата:

Allow access only from these IP addresses:

она у меня на локальных пользователей была поставлена.
Не помогает.

Цитата:

В Status\Active Hosts они как показаны когда сидят в инете?

Вот так:
Ещё раз спасибо за участие.

Germanus

Цитата:

а не для selected user(s)

А почему не поставишь для any user? Создай группу адресов IP в Address Groups к которым должны быть применены правила ХТТП и на первой вкладке каждого нужного правила поставь any user с do not require authentication, а на второй поставь в Valid for IP address group: эту группу! И правило будет резать всех кто ходит с машин в этой групе!

Цитата:

Вот так:

Уточни кто именно!!! Только ivan или Olga, Acer, Gera тоже через Веб-авторизацию в инет ходят?

Добрый день, уважаемые all!
Проблема у меня - как и у многих.
С компьютеров в локалке не могу соединится с адресами https.
C брандмауера интернета - там, естественно , где firewall стоит - все нормально - заходит на https.
Из-за этого и клент-банк из локалки не работает.
Прокси нет у меня, чистый NAT.
Подскажите, пожалуйста, где какое правило мне надо написать/подправить, чтобы я мог по https соединится из локалки?
На другом форуме не помогли мне...
Очень нужно, многие процессы из-за этого стоят.
Были правила такие - смотрите рисунок: http://winroute.ru/forum/files/1_152.jpg
Пробовал переделать на такие - http://winroute.ru/forum/files/kerio_777.jpg
Не помогает. Выручайте....

Причём некоторые https работают. Некоторые нет. Такие как https://www.paypal.com/

Serg1212

Цитата:

Из-за этого и клент-банк из локалки не работает.

У меня отдельные правила и протоколы для него!
В Traffic Policy:
<Машина с БК> -> <IP банка> <СП1>
<IP банка> -> <Машина с БК> <СП2>
В Definitions\Services
<СП2><ТСР><50000> -> <Any>
<СП1><ТСР><Any> -> <50000>
В Traffic Policy отключи Protocol Inspector
Уточни у своего банка IP их сервака и порт через который к ним ходить!

Цитата:

где какое правило мне надо написать/подправить

Я не вижу правила по которому с инету к тебе по https можно пройти!!!
<Инет> -> <Фаервол> <https>

Serg1212
у меня всё работает и никаких правил делать не пришлось, правда, я изначально визардом всё разрешил,
добавь просто тупо в правило с натом которое у тебя настроено было самим винроутом в сервисы https и всё должно заработать, от твоих правил я в шоке.
похоже надо будет как-нить написать статейку описывающую принцип действия винроута и в особенности ната

lavren
В данном случае только ivan через авторизацию ходит. Остальные без, так как нужно предоставлять начальству отчет еженедельно о съеденном трафике, а при авторизации от не считается Но это только сегмент сети, на котором я экспериментирую, когда перенесу на всю, там переписывать правила... Тяжеловато. Кроме того, а что решит эта птица? Мне-то нужно наоборот - чтобы юзеры авторизовались, и при этом для каждого авторизовавшегося юзера правильно считался траффик и срабатывали для него определенные правила.

Добавлено:
SHRIKE74

Цитата:

похоже надо будет как-нить написать статейку описывающую принцип действия винроута и в особенности ната

Ой надо! Низкий тебе был бы поклон!

lavren
вообще чтоб по https тебя пускало достаточно твоего правила локалка в инет (невнимательно глянул первый раз)
некоторые банк клиенты хреново работают через нат, надо узнать какой порт использует банк клиент и пробросить его на машину с банк клиентом в локалке

SHRIKE74

Цитата:

надо узнать какой порт использует банк клиент и пробросить его на машину с банк клиентом в локалке

Тоисть открывать порт? Ну, а я создал сервис который работаэт по протоколу ТСР на 50000 и отключил Protocol Inspector которйй рубит всьо что ему не нравится!
Хочеш сказать что я неправильно поступил??? Бред!!!
Это почти то самое но:
1) Кроме банка никто не ходит через этот порт.
2) Protocol Inspector не рубит ничего
3) Status\Connections я вижу что этот комп к банку лезит, а не в инет (по какому Service ходят)

Цитата:

вообще чтоб по https тебя пускало достаточно твоего правила локалка в инет

но ты постом выше сказал:

Цитата:

я изначально визардом всё разрешил

а визард ставит правило <Инет> -> <Фаервол> <https>
Или я не прав?

Добавлено:
Germanus

Цитата:

Кроме того, а что решит эта птица?

А то что на всех юзеров ХТТП правила действуют независимо от авторизации!

lavren
визард поставил в сервисах эни то бишь все и HTTPS в том числе это раз и по ссылке которая указана с сайтом https у меня прошло всё со свистом
открыть порт и пробросить это разные вещи это два

SHRIKE74
Я же не прото так в спор лезу!

Цитата:

пробросить

Обясни! Если Destination NAT (Port Mapping) то что делать если два компа с банком работают?

Цитата:

и по ссылке которая указана с сайтом https у меня прошло всё со свистом

Тут в смежном топике решали проблему потом перешли в личку, в конце концов после нескольких недель наших опытов он написал или в redline-software, или в другую какуюто службу поддержки и там ему сказали что в обе стороны должно https быть открыто!
Давай прекратим спор! У каждого свои методы и каждый может доводить что он правее, и засорять топик!

lavren

Цитата:

А то что на всех юзеров ХТТП правила действуют независимо от авторизации!

Да, как вариант резалки контента - прокатывает отлично. Но! Мне нужно отчеты по юзверям предоставлять, следовательно в статистике должно значится кто сколько. Вот тут и проблема. В принципе схожа с той, что DocBeen описал, только у меня без VPN.

Здравствуйте, начал недавно юзать керио, поставил крайнюю версию на win2003ENGSP2, все ок, разобрался, начитался, не могу убить одну проблему, через терминал (citrixXP), начались тормоза в опубликованном приложении (1С) правила с локалкой любые ко мне, любые от меня, ТИ отключен, проблема решаема или....

lavren
я собсно не говорил конкретно про твой банк клиент, а сказал что некоторые, читай внимательно, и есть такие которым нужен именно маппинг, всё блин, устал.
работает и радуйся, надоел мне этот базар.

Germanus

Цитата:

В принципе схожа с той, что DocBeen описал

Нет! У тебя покруче проблема! Как видно из рисунка КВФ не закрепляет за каким либо пользователем трафик от компа ivan. Почему, сказать тяжеловато, вроде все настроил, все нужные галочки расставил, а оно не пашет! Идей по ликвидации пока нет. Может какуюто новую версию поставь!

есть керио 6.2.2
все работает, есть-пить не просит.

неожиданно не дал подключиться к одному из сайтов по https
HTTPS://CRM.SURGUTNEFTEGAS.RU:8420
молча.

на все остальные ходит запросто, и сертификаты молча пропускаетж. а тут раз и все.
если керио вырубить, то с сервера зайти на сайт можно.
в логах ничего не нашел