» Kerio WinRoute Firewall (часть 3)

Цитата:

На сервере есть дополнительный ВПН (Windows) на другой офис

А на керио поднять тунель не стоит? Он бут по лучше чем виндовза...
Я кодато хотел так сделать но в силу своей лени этого не произошло - сейчас не жалею.

Dima_GEN

Цитата:

И еще энтот керио не дружит с НОДом 3 версии c версией 2.7 ругался, но работал!, как его подружить с ним не отключая IMON?

Обязательным при инсталляции NOD 2.5 и выше для его НОРМАЛЬНОГО функционирования является следующая последовательность действий:
1. После установки-перезагрузки в AMON'е в исключениях прописываешь папочку C:\Program Files\Kerio\WinRoute Firewall
2. IMON стопаешь и выходишь из него.
Смысл в том, что функция IMON перекладывается на подключаемый в KWF плагин НОДа.
Так что ты ничего не теряешь в отношении безопасности.

народ, у кого-нить работает авторизация через НАТ, без захода на страницу с керио, без ввода всяких логинов, пассвордов?чтоб как только юзер залогинился на клиентской машине под своим логином, пассом в домене, ему открылся доступ в инет?
читал тему, шарился на керио-рус.ру, но чет не хочет у мну...
если у кого получилось, выложите плиз скрины со всеми необходимыми настройками...
заранее благодарен...

Dasky
если пользователи пробиты, тогда кажись хоть разок, но надо, потом таймаут снеми и все, не будет мешать

Dasky

Цитата:

как только юзер залогинился на клиентской машине под своим логином, пассом в домене, ему открылся доступ в инет?

для этого нужно иметь АД и юзверя кажись должны быть только в инглише набраны... сам не пробовал... проблем слишком много у людей с этим...
WolfFear

Цитата:

Вот такой вопрос, как прописать в KFW 6.3.0 правило, или что либо другое.
задача просто не считать трафик POP3 и SMTP.

помогает отключить трафик инспектор в трафик полисях (соотв. для этих протоколов лучше сделать отдельное правило) кстати я снял его уже давно - ибо в разных версиях бывают проблемы с получением и отправкой почты именно из на ти...

Спасибо, вроде разобрался)

День добрый
Пытаюсь подключиться с удаленного компьютера через Kerio Administration Cosole: ввожу свой логин, пароль, жму подключиться.... - "Unable to connect to kerio winroute firewall at 'server'. Authentication failed."
Между тем, другой человек с моего же компа прекрасно подключается со своим логином и паролем... Вопрос: получается у меня просто нету прав на администрирование файерволлом?
А я думал, что раз в домене у меня админские права, то и туда подключиться смогу...

gbcfkf

нет, если права на домен админские, то это не значит что и на керио права админские

ёптить.. значит придется клянчить и права на Kerio

Не нужно ни чего клянчить, можно просто взять в руки мануал по керио и посмотреть как привязать его к AD

Подскажите пожалуйста, есть ли в керио возможность закрывать мертвые соединения, через которые не наблюдается активности.

> max855
> добрый день!
> Помогите разобратья с проблеммой.
> Kerio WinRoute 6.3.1 build 2906
> не работает статистика по использованному трафику, почему?
> Win 2k3 standart SP1, автообновление (WSUS).

> lavren
> Цитата:
>почему?
> Потому!
> А детальнее объяснить можеш? Юзеров заводил и т. д.?

Вобщем так:
если убрать галочку (Users->Authentication Options-> Enable non-trasparent proxy server authentication), то все работает кроме такой надобности (при закрытии браузера, выходе из инета, и последующем открытии не сбрасывается подключение, и входи на любой сайт без аунтефикации)

Можно лу это исправить?

Dasky

Цитата:

народ, у кого-нить работает авторизация через НАТ, без захода на страницу с керио, без ввода всяких логинов, пассвордов?чтоб как только юзер залогинился на клиентской машине под своим логином, пассом в домене, ему открылся доступ в инет?

Да все по инструкции - http://www.kerio.com/manual/kwf/en/ch23s03.html
Пользователи импортированы из AD (не все, т.к. много терминальных)
Настройка Аутентификации и web-интерфейса.
HTTPS web-интерфейс не включал, чтобы не было запроса на сертификат.
При подключении юзера идет перенаправление на страницу аутентификации и при прохождении пускает в сеть, практически для пользователя не заметно.
Можно еще повесить скрипт на разлогинивание при выходе пользователя.

max855
Пользователи находятся в локальной базе или в AD?
Какие галочки стоят на вкладке Users and Groups\Users\Authentication Options?
В Configuration\Traffic Policy на чем основаны правила: на акаунтах пользователей или на IP адресах машын? Можеш правила показать!


Цитата:

Можно лу это исправить?

Можно если знать причину! Но тут телепатов нету, так что поподробнее рассказывай!

Добавлено:
max855
Какой браузер? Разные пробовал?

Добрый день ... подскажите пожалуйста ... поставил Kerio WinRoute Firewall v6.3.1.2906 ... в Engine Monitor выбираю start kerio winroute firewall ... появляеться маленькое окошко с сообщением: "Failed to start service Winroute, code 1075 " ... лезу в службы ... пытаюсь запустить в ручную службу керио ... появляеться сообщение об ошибке запуска службы с комментприем: "Ошибка 1075: Дочерняя служба не существует или была отменена для удаления" ... что в этом случае можно сделать что бы запустить ? ... полностью снёс керио и заново постаивл .. не помогло ... заранее спасибо.

Имею фаервол(kerio) и почтовик(kerio) на разных машинах. Возникло желание ограничить скорость для почтовика. Как грамотно это сделать ?

obtim

Цитата:

ограничить скорость для почтовика

вообще грамотно считается управление полосой посредством qos

obtim
В Configuration\Bandwidth Limiter\Large Data Transfers поставь нужную скорость!

В Advanced...\Constraints поставь точку напротив Apply to the selected address group only и укажи группу с твоим мыло сервером.
Или
В Advanced...\Services поставь точку напротив Apply to the selected services only и укажи почтовые сервисы.

Уважаемые форумчане, у меня вот такой вопрос,
можно ли сделать так, что при достижении квоты трафика на 100%
происходил автологов? Залогиненного пользователя на керио?Как это реализовать практичнее?

Есть Kerio 6.4.0.3176. Работает круглосуточно.
Но вот такая ситуация: Утром приходит чел, включает комп, инет не пашет...
В браузере (в основном IE6) идет открытие страницы и ... все... Хоть полчаса жди... Даже страницы ошибки не выходит.
У клиента настроен прокси на керио. В настройках Керио:

В ADVANCED OPTIONS
Web Interface
+Enable HTTP Web interface
-Enable HTTPS... (откл)

В USER GROUPS
Auth. options
+Always require users to be authenticated when accessing web pages
+Enable user authentication automatically performed by Web browsers
+Enable AD...
+Enable WindowsNT...
(Automatic import отключен)
Active Directory
+Map user acounts from AD...
+Enable WindowsNTdomain auth...
Однако, когда принудительно клиент заходит на страницу авторихации (http://server:4080), Керио его авторизует и показывается страницу со статистикой и пр. Но потом всё равно не открывает страницы... Однако после перезагрузки инет пашет.
Если же не заходя на страницу авторизации перезагрузить страницу, инет заработает с вероятностью 50/50.
В чем дело??? Может с контроллером что-то не так?

5555555

Цитата:

вообще грамотно считается управление полосой посредством qos

Если с просоня ничего не путаю, то в Kerio только Bandwidth Limiter, котоырй работает по этому принципу. Ты его имел ввиду или что-то другое?

lavren
На данный момент уже есть ограничение скорости для всех пользователей, кроме указанной группы. Т.е. у меня остается вариант только поставить ограничение для почтовых протоколов. но насколько я понимаю в этом случае будут ограничены так же внешние почтовики(mail.ru), а не только мой сервер?

Цитата:

lavren
Пользователи находятся в локальной базе или в AD?

Пользователи в локальной базе.


Цитата:

lavren
Какие галочки стоят на вкладке Users and Groups\Users\Authentication Options?
В Configuration\Traffic Policy на чем основаны правила: на акаунтах пользователей или на IP адресах машын? Можеш правила показать!

Garant - Локальная сеть
Delta - Интернет



Цитата:

lavren
Какой браузер? Разные пробовал?

[/q]
Использую везде Mozilla Firefox
Пробовал Opera, IE

Если понадобится еще информация, скажу...

max855
Поставь - Enable non-transparent proxy server authentication
Сними - Enable user authentication automatically performed by Web browsers (у тебя авторизация не включена!)
если не помогло попробуй:
В Configuration\Traffic Policy в правиле NAT вместо Garant поставь Authenticated users!

День добрый всем мега-админам

встал такой вопрос.. уже неделю рою мануалы и форме в инете..

имеется компьютер (прокси-сервер, NAT, VPN) в защищенной VRF-сети с выходом в глобальную сеть Интернет. имеется другой компьютер (клиент) находящийся в этой же сети подключеный по ДСЛ со статичным IP. (т.е. шлюз подключения менять нельзя, иначе не будет связи с провайдером)

прямая связь между этими двумя машинами организуется с помощью соединения VPN клиент-сервер.

ЗАДАЧА: как дать возможно VPN-клиент выходить в интернет с помощью NAT?

через прокси все работает, через НАТ не хочет.

в описании Winrouta написано что это не возможно.. но я склоняюсь к варианту что нет ничего невоможного.. как обмануть данную систему?

ivanmara

На всякий случай у кого появляеться сообщение об ошибке "Failed to start service Winroute, code 1075" .... как оказалось служба винроутв зависит от службы : Поставщик поддержки безопасности NT LM (NT LM Security Support Provider) . Как оказалось она у меня куда то пропала ... потому винроут не стартовал. Для добавления этой службы добавляем в рестр следующее и перегружаемся:

=======================================================
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtLmSsp]
"Type"=dword:00000020
"Start"=dword:00000003
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,6c,\
00,73,00,61,00,73,00,73,00,2e,00,65,00,78,00,65,00,00,00
"DisplayName"="Поставщик поддержки безопасности NT LM"
"ObjectName"="LocalSystem"
"Description"="Обеспечивает безопасность программам, использующим удаленные вызовы процедур (RPC) через транспорты, отличные от именованных каналов."

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtLmSsp\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtLmSsp\Enum]
"0"="Root\\LEGACY_NTLMSSP\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
===================================================================

Далее всё должно заработать. Куда эта служба у меня пропала я так и не смог понять. но теперь всё работает.

Спрошу еще раз, а то похоже мой вопрос никто не заметил.

Подскажите пожалуйста, есть ли в керио возможность закрывать мертвые соединения, через которые не наблюдается активности?

LeftUser
users\autentification options\automatic logout
all
подскажите:
где приоритет "www content scanning options"? в http policy или в users?

А можно ли сделать ограничение по скорости для разных юзеров?

Vadimka_DDD
По идее можно сделать 3 группы пользователей:
1. Без ограничений
2. Оганиченная
3. Ограниченная после превышения квоты (этим квоту в 1 мб) и после её превышения они получют скрость которую ты выставиш.

Ruza
На основе этого можно реализовать