» Kerio WinRoute Firewall (часть 3)

5555555
Мож я чето не понял, ставил данную галочку, всеравно выскакивает окно и просит ввести имя и пароль.
А не зависит ли это от браузера, пользуюсь мозилой, например в вингейте были проблемы с оперой или мозилой, точно не помню но одна нормально авторизировалась, а другая нет.

сервер винрута член домена?
авторизация ntlm или kerberos?
проверка идет средствами AD?

да, данные берутся из ад

Добавлено:
В хелпе на русском, к 6 версии читал что должен быть Ie не ниже 5, у меня xp sp2. в этом же хелпе прочитал и про данную настройку
Цитата:

Enable user authentication automatically

.
Галочку поставил, не помогло, выскакивает окно просит пароль, ввожу все нормально работает, но зачем вводить в traffik inspector, не чего вводить не надо, все происходит автоматически.

Цитата:

должен быть Ie не ниже 5, у меня xp sp2

ну так я вно не ниже

Цитата:

от браузера, пользуюсь мозилой, например

отчасти может, ну так проверь через ишака...

Цитата:

сервер винрута член домена?

точно - член?

Добавлено:

Цитата:

ввожу все нормально работает, но зачем вводить в traffik inspector, не чего вводить не надо, все происходит автоматически.

ничего не понял

Цитата:

точно - член?

Контроллер Ад


Цитата:

ничего не понял

Допустим клиент запускает Ie, в строке адресс пишет: www.google.ru, выскакивает окно просит ввести имя и пароль. А я хочу чтоб как в traffike все происходило автоматически, т.е. зашел юзер Vasy, запустил ie и не че вводить не надо, причем Vasya есть в Ад, и на Kerio данному юзеру разрешено выходить в интернет.

Lykym

Цитата:

А я хочу чтоб как в traffike все происходило автоматически, т.е. зашел юзер Vasy, запустил ie и не че вводить не надо

оно так и работает (по крайней мере у 2-х местах так делал)

Цитата:

Контроллер Ад

тады - ой. вроде все верно, должно работать

Цитата:

В хелпе на русском, к 6 версии читал что должен быть Ie не ниже 5, у меня xp sp2. в этом же хелпе прочитал и про данную настройку

Плохо читал или хелп не тот.

1. Закладка Auth... Options ставиш галку обязательной авторизации и автоматической авторизации
2. Закладка АД - настраиваеш доменный маппинг и разрешаеш NTLM (на закладке User Account должны выбиратся пользоватили АД)
4. В Advanced Options - WebInterfase разрешаеш https, генериш сертификат.
С керио вроде всё...
Теперь сама винда.
Браузер - ТОЛЬКО ИЕ не ниже 5!!!
В настройках браузера в разделе безопасность проставляеш всё на умолчание и добавляеш в группу "Надёжные узлы" имя ПК с керио типа - https://kerio.domain.local.
Далее при вводе адреса сервак выдаст вопрос на сертификат - его надо установить/принять.
После этого автоматическая авторизация должна работать...

вобщем вот вопрос.. проблема с utorrent.. настроил как указано тут - http://www.imho.ws/showpost.php?p=777075&postcount=433

всё в принципе работает, и качает и отдает, но вот пока достучится до трекера каждый торрент проходит много времени.. то есть в tracker status стоит updating... и так подрубается где-то по одному торренту в минуту... учитывая что я раздаю около 60, то это продолжительное время.. до того как поставил этот файр все торренты определялись за минуту максимум...
может кто помочь?

Цитата:

вобщем вот вопрос.. проблема с utorrent.. настроил как указано тут - http://www.imho.ws/showpost.php?p=777075&postcount=433

всё в принципе работает, и качает и отдает, но вот пока достучится до трекера каждый торрент проходит много времени.. то есть в tracker status стоит updating... и так подрубается где-то по одному торренту в минуту... учитывая что я раздаю около 60, то это продолжительное время.. до того как поставил этот файр все торренты определялись за минуту максимум...
может кто помочь?

Входящие соединения торрент видит ? Какой клиент стоит ?

Sirin25
я же написал - utorrent.. это клиент...
соединения видит.. отдает и принимает... всё работает... только вот эта пауза долгая пока достучится до трекера.. очень неудобно выходит...

Извиняюсь, прочитал невнимательно, спать хоцца. Посмотри в логах керии, он ничего там не дропит ? Плюсом нужно глянуть сколько коннекшенов пропускает Керио, возможно несоответствие между настройками керио и уТоррента.

Sirin25
в логах ваще ниче интересного по этому поводу.. попробовал уже создать правило, которое открывает все сервисы и порты для моего компа.. всё равно проблема эта осталась.. по поводу коннекшнов - это где?
если в p2p eliminator, то там у мня стоит do not block any traffic.. так что вряд ли оно..

Добавлено:
еще вопрос.. а можно ваще отрубить как-то файрвол-составляющую и оставить только как прокси и нат сервер его? потому что эта возня с файрволлингом утомляет.. открывать порты под каждую игру, вот еще и проблема с торрентом... думаю так бы она решилась..

Добавлено:
вроде справился.. создал правило в самов верху с тремя значениями any... ) проблемы отпали)

Цитата:

вроде справился.. создал правило в самов верху с тремя значениями any... ) проблемы отпали)

Ты конечно крут, а не боишься что атаки заколебут ? Или у Тебя на провайдерском ДСЛАМе фильтры стоят ?

Xenus

Цитата:

вроде справился.. создал правило в самов верху с тремя значениями any... ) проблемы отпали)

Плакаль
Прочитал чуть не абасцался со смеху....

Нах в таком случае керио - вполне хватило бы и виндовой маршрутизации...

Цитата:

Ты конечно крут, а не боишься что атаки заколебут ? Или у Тебя на провайдерском ДСЛАМе фильтры стоят ?

думаю, что мне хватит НАТа на рутере..


Цитата:

Прочитал чуть не абасцался со смеху....

да мну самому понравилось решение ))


Цитата:

Нах в таком случае керио - вполне хватило бы и виндовой маршрутизации...

виндовая маршрутизация требует, чтоб я проставил себе ИП x.x.x.1, а это у меня не предоставляется возможным.. также она не позволяет раздавать интернет только определнным хостам + нету контроля траффика нормального, не говоря уже об ограничении скоростей...

Xenus

Цитата:

виндовая маршрутизация требует, чтоб я проставил себе ИП x.x.x.1

Это ты ICS имееш в виду? А я RRAS.

Цитата:

также она не позволяет раздавать интернет только определнным хостам + нету контроля траффика нормального, не говоря уже об ограничении скоростей...

Цитата:

оздал правило в самов верху с тремя значениями any...

А в таком случае как ограничивать что либо?

Цитата:

А в таком случае как ограничивать что либо?

А он сам себе квоты выделить и ip-шэйпер на ограничение скорости всадит

З.Ы. А если серъезно: если снятие любых ограничений на нат снизило латентность роутинга - верняк чето дропалось - посмотри внимательно логи !

Ну вы блин даёте (с) :-D
3 "any" наверху... этому на ибаше место

Мнда. Похоже вы тут писатели все. Читать никто даже и не пробовал. Человек, по моему, нормальным русским языком писал:
Цитата:

еще вопрос.. а можно ваще отрубить как-то файрвол-составляющую и оставить только как прокси и нат сервер его?

и сам же(!) нашел ответ на свой вопрос, а вы уж флейма развели - да ты че? да ну на! о па па! А вот когда реально деловой совет дать так пару человек всего отвечают.

Цитата:

Это ты ICS имееш в виду? А я RRAS.

сорри, не в курсе про RRAS.. и что-то гугл ниче толкового по тому как его юзать не выдал..


Цитата:

А в таком случае как ограничивать что либо?

/задумался/ ))


Цитата:

если снятие любых ограничений на нат снизило латентность роутинга - верняк чето дропалось - посмотри внимательно логи !

с логами повожусь всё-таки... а ваще у мня пропал доступ к трекеру.. точнее не тока у мня, а у всех, кто использует того же провайдера.. причем забавно так пропал ) пробую сделать tracert... в итоге примерно на 10-м хопе начинается бред какой-то.. начинает кидать по 3-м сервакам рэндомом... типа циклится.. ваще такого раньше не видел )
http://img225.imageshack.us/img225/484/tracesh3.jpg

Germanus

Цитата:

а можно ваще отрубить как-то файрвол-составляющую и оставить только как прокси и нат сервер его?

и заплатить за это http://softkey.ru/catalog/program_ver.php?ID=43428&CID=0
Это всё-равно что поставить дома вторую тачку с 2003 server'ом и поднять на ней WSUS только для того, чтобы обновлять одну машину. Как минимум нерационально. "Отовсюду" "куда угодно" "через любую дверь" - это не решение. Это {skipped} на {beep}

snayper7
такая настройка и стоит, но письма все равно не отправляются

Germanus
А сам то что написал?
Xenus

Цитата:

сорри, не в курсе про RRAS.. и что-то гугл ниче толкового по тому как его юзать не выдал..

Настройка RRAS

Добавлено:
Xenus

Цитата:

причем забавно так пропал ) пробую сделать tracert... в итоге примерно на 10-м хопе начинается бред какой-то.

Это не бред - это хост не доступен.

Добавлено:
hg04
Правила в студию!!!

Ruza

hg04
И фигли ты хочеш получить из верхнего правила? Ты то сам понял как оно рабоает?
То что там написано получется:
mail.shtorm.com имеет право проходить сам на себя и к авторизированным пользователям по ПОП3 и СМТП. И точно также авторизированные пользователи (авторизированные ли?).... Ладно хрен с ним...
Раскажи ка лучше про авторизацю у себя...
Я так подозреваю что ничего нормального из этого не выйдет т.к. я не встречал программ почтовых клиентов которые могут попутно авторизироватся на шлюзе... Т.е. у тебя пользователи тупо блокируются т.к. авторизоватся не могут. Как вариант могу предложить:
New rule -> Lan -> shtorm -> POP3 SMTP -> Permit ....

Ruza
авторизация проходит поскольку почтовый клиент интегрирован в SeaMonkey(браузер).
а с стандартным(Outlook Express) оно не работает даже с если поставить правило any-any-any-Permit

hg04
Ну тогда давай по настройкам...

Цитата:

any-any-any-Permit

Должно работать...

Выдели SMTP в отдельное правило...

Цитата:

Erazer
Правила (Traffic Policy) покажи!

lavren

Erazer
Авторизация на старых компах через веб или автоматом? А на новых?

Цитата:

Выдели SMTP в отдельное правило...

Ruza
не помогло