» Kerio WinRoute Firewall (часть 3)

Ребят помогите, возникла проблемма стоит версия 6.4.2, пока почти все замечательно, особенно нравится Kerio Star, это конечно не IAM, но тем неменее просто удобно, так вот , заметил что если пользователь не логинется не посредственно через Web interfase , а логинется в окне которое выскакивает в браузере(стоит не прозрачный прокси), то почему то керио стар , в логах ни чего не отображает сначала , а начинает отображать лишь спустя энное время.
Так же логи Kerio Star расходится с логами IAM, и очень круто.
Можно ли настраивать Kerio Star, т.е. указать не 5 пользователей в диаграммах а больше ну и все остальное??

Frose
Этапатамушта, что Керио пытается разрезолвить имя хоста, т.е. определить доменное имя. Пять - потому, что иначе очень долго будет, учитывая таймауты на ДНС серверах. Фсё просто.
Про настройку не скажу.

crapaud
kevinkf
Нат не настроен.
А правило оставил только одно:
Source: any, destination^ any, sevice any(пробовал добавлять pop3,smtp), action permit.
Азачем НАТ настраивать? это ведь трансляция адресов, верно?и почему тогда через браузер лезет, ведь аутлук или любой клиент по сути для облегчения и удобства, вместо ручного пробивания имени и пароля, плюс адресная книга (ну и еще разные ништяки), а все протокол то такой же используют и порты. Прощу прощения, если ерунды наговорил

koltz
crapaud

Цитата:

Спасибо за совет!
Конечно, домены разные,

Подскажите где найти можно информацию
по пересылке записей из одного DNS на другой.

Коллеги, причем тут пересылки и заглушки, а также разные домены. Ведь когда поднимается тунель, в винде появляется дополнительный интерфейс со свом IP, mask, gate, dhcp, dns, wins маршрутами и т.д. Вот эти dns и wins как раз и указывают на соответствующие службы в другой сети. Здесь нужно искать траблу в настройках VPN. koltz для начала сделайте ipconfig /all и поглядите что там насчет dns. Неплохо бы его и здесь выложить.

vimaret

Цитата:

Ведь когда поднимается тунель, в винде появляется дополнительный интерфейс со свом IP, mask, gate, dhcp, dns, wins маршрутами и т.д. Вот эти dns и wins как раз и указывают на соответствующие службы в другой сети.

Гы
Это ТОЛЬКО с влучае схемы VPN client-server!!! И то при условии что в доп.параметрах соединение VPN будет первым!
А если схема сервер - сервер то хоть с бубном танцуй клиент будет обращатся ТОЛЬКО на свой НС.

koltz
Решение приблизительно такое:
1. Домены в доверительные отношения.
2. Создать вторичные ДНС зоны друг друга на обоих НС.
3. Установить wins с обоих сторон.
4. Настроить репликацию wins друг с другом.

Amerique

Цитата:

Азачем НАТ настраивать?

Ну НАДО так!!! Если нет "белых и пушистых" адресов то тогда твой почтовый клиент пытается с "серго IP" получить доступ к почтовому серверу. А "серые" адреса не маршрутизируют провайдеры.

Цитата:

и почему тогда через браузер лезет

А это батенька прокси называется. И происходит тот же НАТ только немного по другому.

подскажите пожалуйста, а можно придумать/реализовать в Kerio кэш только для выбранных сайтов, а для всех остальных чтоб его не было, а то пользователи со своими однокласниками много кушают...
Есть мысля конечно поставить время хранения 0 дней и забить сайты некоторые и им прописать ttl но не уверен что 0 дней нормально работать будет

Ruza

Цитата:

А если схема сервер - сервер то хоть с бубном танцуй клиент будет обращатся ТОЛЬКО на свой НС

Не начем мне сейчас проверить, но вот смотрю в настройки виндового VPN и вижу там такую фичу: Enable broadcast name resolution > Use the following adapter to obtain DHCP, DNS and WINS addresses for dial-up clients.
Это справедливо и для схемы сервер - сервер (т.е. peer- to-peer), так как они являются клиентами друг для друга. При случае проверю, шестое подсказывает, что должно работать, по крайней мере на серверной оси и поднятом RRAS.

сбросил всю статистику через консоль (интерфейсы юзера, логи почистил)
при заходе на веб(4081) вся статистика жива а там нет кнопок управления ею...
как сбросить?
-------------------
после рестарта сбросилась но все равно кое-где остались общие суммы с прежнего месяца

Цитата:

Serg41

в настройках кеша URL specific settings

а вопрос такой, как проверить от куда берется страничка из кеша или реально качается?

раз уж зашла речь про Кэш...
кто-нить еще (кроме меня) использует непрозрачный прокси + кэширование?
нет ли проблем с скриптами на некоторых сайтах?
у меня, например менюшка в левой части экрана на http://www.canon.ru/products/
не работала, пока в настройках кэширования не настроил, чтобы даннный сайт не кэшировался
с 6м Ie периодические глюки возникают - открывается домашняя страница, например примитивный mail.ru - эсплорер вдруг решает что он открывает не веб-страницу, а файл из инета и выдает меню что же делать с файлом: открыть или все-таки сохранить. 7й IE и Mozilla в этом не замечены
использую WinRoute версии 6.3.1

Serg41
Никак... По большому счёту...
Если не лень можеш посмотреть список кеша и найти свою страницу... и посмотреть время обращения. Т.к. кеширует ещё и браузер.

Ребят а как посмотреть полный список сайтов, который кабан банит???
А то что то толку от него вообще не вижу, приходится все в ручную закрывать.
Еще так ни кто про Керио Стар не ответил, можно ли его как то настраивать??

Ruza
спасибо, попробую.

Frose
А оно по идее ничего не банит...

Цитата:

The ISS OrangeWeb Filter module enables WinRoute to rate Web page content. Each page is sorted into predefined categories. Access to the page will be either permitted or denied according to this classification.

ISS OrangeWeb Filter uses a dynamic worldwide database which includes URLs and classification of Web pages. This database is maintained by special servers that perform page ratings. Whenever a user attempts to access a Web page, WinRoute sends a request on the page rating. According to the classification of the page the user will be either allowed or denied to access the page. To speed up URL rating the data that have been once acquired can be stored in the cache and kept for a certain period.

Оно только класифицирует и на его выводах ты можеш забанить вручную.
Хотя я с ним особо не разбирался т.к. считаю безполезной приблудой, и отключаю при установке. ИМХО

Добавлено:
Serg41

Цитата:

реализовать в Kerio кэш только для выбранных сайтов, а для всех остальных чтоб его не было, а то пользователи со своими однокласниками много кушают...

А при чём тут кеш к однокласникам и иже с ними??? Без кеша реальный трафик намного выше будет. По идее кеш безполезен только для динамических страниц типа чата.

Да да да не правильно выразился, Он их не банит а классифицирует, так где же взять , список сайтов которые входят в его классификацию?? Список наверное постоянно пополняется и его можно где нибудь посмотреть онлайн , вопрос где??

Frose
тут поищи

Не снимаю вопрос по Керио Стар!!!!

Цитата:

snayper7

огромное спасибо!! Кое что нашел!!!

Frose
А что с Керио Стар
Если знаеш PHP то править тут:
$\Program Files\Kerio\WinRoute Firewall\webiface

Ruza спасибо конечно!! но одно но не знаю Я PHP, но Я думаю что есть и что нибудь уже готовое придется поискать.
Кстате вот еще вопрос а как в Керио происходит балансировка канала между пользователями?? Я думаю что она есть , где бы про неё почитать???

Frose

Цитата:

Керио происходит балансировка канала между пользователями?

Нету там её... Только FIFO согласно списку правил...

Может где пропустил в описании, но возник вопрос.
Короче у меня локалка небольшая (сейчас домен AD, раньше воркгрупа была) и есть соседняя чужая сеть (ходит в инет через нас) выделенная на сервере в отдельный сегмент адресов (на одной сетевухе два IP).
Раздача инета идет по IP-шникам юзверей. Через Proxy в керио винроут .
Но вот в отчете замечаю что появилась новая запись "не авторизованный пользователь". Пытался выловить наглеца, но не получилось.

Подскажите плиз как заблокировать ВСЕХ, кроме нужных.

И еще. Возможно ли совместить аутентификацию АД в керио и машин не включенных в домен?

Не факт что это неавторизованный пользователь , правила надо смотреть, у меня тоже такая фигня была , она и осталась , но трафик буквально 200 кил за день а сначала были метры, просто правила были неправильные и кое что не показывалось. А Ты кстате через что смотришь через IAM или Kerio Star, у меня KErio Star , показывал неавторизованного пользователя в отчетах, IAM нет.Kerio Star врет гад.

>А при чём тут кеш к однокласникам и иже с ними??? Без кеша реальный трафик >намного выше будет. По идее кеш безполезен только для динамических страниц типа >чата.

Ну есть надежда что он картинки будет кэшировать и тогда уменьшится трафик

все таки есть проблемы с подсчетом трафика
в статистике керио в консоли у юзера Вася трафика 0
прога wrspy показывает трафика на пользователя Вася 100Мб

каг таг?

Здравствуйте!
При смене провайдера возникла одна странная проблема - стали постоянно пропадать пакеты, приходящие из интернета. Установлен Керио файрволл 6.1.2, все настройки остались неизменными (раньше с предыдущим провайдером проблем не было никаких), теперь же пользователь щелкает по ссылке на веб-страничке и, если не повезло, то приходится щелкать по ссылке снова. Причем это не на определенных сайтах, а вообще везде. Пинг не обрывается, новый провайдер говорит, проблема где-то у нас.
Не прошу конкретных советов по данной проблеме (ибо, ясное дело, телепатов тут нет), прошу просто указать направление поисков.

Люди, помогите вот с такой задачей
Есть комп на котором 3 сетевухи
1. смотрит в локалку.
к двум остальным подключены ADSL модемы в активном режиме.
Хотелось бы настроить что-то типа
пользователь идет по хттп идет на один модем
если забирать почту или там на удаленный рабочий стол то по другому модему.

Все мои мучения свелись к тому что могу работать только через один модем.

Проблема - Не обновляется NOD32 через Kerio Winroute 6.3.1.
NOD32 версии 2.7. Инет есть, мыло работает. При попытке обновления НОД сначала начинает скачивать обновления, мегабайта 4 скачает, а потом начинает бегать по серверам циклично, ни с одного ничего не скачивая. На винруте используется штатный McAfee антивир.

Подскажите плз - в чем трабла.

Norlege
Для начала попробуйте вообще без керика, т.е. напрямую к данному прову. Затем с компа где установлен керик, но через правило без проксей, затем через прокси, а уже потом с юзерского компа. И сравните все. Возможно уже на первом шаге будет виден баг.

Doctor_Livsi

Цитата:

Все мои мучения свелись к тому что могу работать только через один модем

Мы тут обсосали подобную тему настолько подробно, что дальше уже некуда. Тему открыл AndV на 84 странице:
http://forum.ru-board.com/topic.cgi?forum=8&topic=22219&start=1660
прочитайте 84,85 и 86 страницы и вы поймете, что так не получится, и как это можно сделать.

Добавлено:
aljd

Цитата:

раз уж зашла речь про Кэш...
кто-нить еще (кроме меня) использует непрозрачный прокси + кэширование?
нет ли проблем с скриптами на некоторых сайтах?

Бывали тормоза (до подвисания) при открытии одного из сайтов по HTTPS. Но скорее всего здесь проблема недоработки сайта, а не в керике. Других багов не наблюдал.

vimaret
Не совсем то что нужно.
Так как у него настроено на расширения канала.
а мне необходимо разрулить по протоколам.
хттп, фтп, торент на один адсл модем
рдп, почта, на другой.
Оба адсл на одного провайдера настроены.
Модемы работают в актив режиме.