» Kerio WinRoute Firewall (часть 3)

Трафик полисиз: http://ifolder.ru/7108409
Proxy server: http://ifolder.ru/7108421
Autentification..: http://ifolder.ru/7108430
Connections: http://ifolder.ru/7108464

Кто подскажет, что за проблема в KVF 6.4.1, в "Самые посещаемые web-узлы" через web-интерфейс в статистике отображаются не все пользователи и не все сайты(только админы)...

Цитата:

Это работает и через нат, и через проксю.

Через проксю это работает само, после повторного открытия браузера всегда повторный запрос. А вот через веб-интерфейс тока по истечению времени простоя пользователя - по параметру на закладке "Autentification" Automatically logout user when they are inactive.
Или я что то путаю?

ArChIvarIuS

Цитата:

Трафик полиси выложи.

сюда в форум, а не на ифолгер

Когда у меня была рабочая группа и стоял Керио с настроенным прокси, у меня после закрытия и открытия браузера не надо было вводить логин/пасс. Вводить логин и пасс надо было либо после окончания времени, в течении которого юзер неактивен, либо после того как он сам разлогинился и хочет повторно войти. Я так понимаю, что после закрытия и открытия браузера у тебя выскакивает виндовый диалог, а не диалог веб-интерфейса. Я думаю, что у тебя неправильные настройки.
Если я тебе правильно понял, то ты хочешь, чтобы на одном компе одновременно велись 3 статистки для 3 разных процессов. Я себе это очень смутно представляю. Хотя возможно я и не прав.

ArChIvarIuS

Цитата:

Однако в статистике по трафику весь трафик сыплется на "unrecognized user".

А в статистике по юзерам разделяется? если да то тогда всё правильно.
Т.к. работает прокси то весь трафик складывается на firewall host и наверное ему не сопоставлен ни однин юзер поэтому оно и пишет "unrecognized user"...


Цитата:

Но в такой конфигурации у меня статистика по объему трафика не работает в разрезе пользователей, при этом статистика по ресурсам и количеству посещений в разрезе юзеров работает отлично.

Поставь учёт пакетов на правиле
auth users - firewall - 3128 - permit - bla bla bla - PI On


Цитата:

Еще, я хочу, чтобы хождение пользователя по инету было под одной учетной записью, обновление ДрВеба под другой, Электронная отчетность по третьей. Причем учет должен вестись одновременно для каждого из процессов, для этого на закладке Autentification options стоит галка "Force non-transparent proxy autentification..."
Эта галка мне необходима, т.к. есть тонкие клиенты, работающие в терминале на одном сервере.
Для этого я в каждой проге настроки прописал для доступа с ее личной учеткой.
Проги авторизуются через непрозрачный прокси-сервер и нормально работают. Но в логи не попадают. В логи попадает правило NAT (по нату для локалки открыто только POP3 и SMTP), либо Firewall Traffic.

Эка мудрено как завернуто....


Цитата:

Трафик полисиз: http://ifolder.ru/7108409
Proxy server: http://ifolder.ru/7108421
Autentification..: http://ifolder.ru/7108430
Connections: http://ifolder.ru/7108464

Угу сам качай с такими проблемами:


spartak1935

Цитата:

водить логин и пасс надо было либо после окончания времени, в течении которого юзер неактивен, либо после того как он сам разлогинился и хочет повторно войти. Я так понимаю, что после закрытия и открытия браузера у тебя выскакивает виндовый диалог, а не диалог веб-интерфейса. Я думаю, что у тебя неправильные настройки.

Как раз настройки правильные для не прозрачного прокси.
Вот сам подумай на счёт "времени не активности":
К примеру время 5 мин.
Юзер выходит из системы второй входит и работает под именем первого т.к. керио ещё не разлогинил пользователя. А про терминальный сервер даже нечего и разговаривать - кто раньше зашёл в инет тот и попал

Есть два модеме, на одном настроен VPN на другом инет ADSL, возможнос помощью WinRoute настроить одновременную работу с VPN и инетом на одном компе.

Alekseius

Цитата:

возможнос помощью WinRoute настроить одновременную работу с VPN и инетом на одном компе.

А как же у керио даже свой клиент есть...

IMHO мне его клиент не нравиться лучше уж OpenVPN.

Alekseius
при наличии 4 сетевых карт можно (если правильно понял вопрос)

SkullBrain


Цитата:

при наличии 4 сетевых карт можно

Если не секрет... На фуя 4 сетевые карты? Мож я чего то не понимаю или не успел прочитать...

2 Ruza
Виноват, на счет картинок прошу прощения:

Трафик полисиз:


Proxy server:


Autentification..:


Connections:






Добавлено:
2 Ruza,
Добавил пользователя сопоставленного с firewall, добавил правило в трафик полисиз
Autentificated users FireWall TCP/3128 Permit

Ruza

Цитата:

Юзер выходит из системы второй входит и работает под именем первого т.к. керио ещё не разлогинил пользователя

У меня стоит скрипт на логофф, который при выходе юзера из системы разлогинивает его на керио. Я считаю, это более правильный вариант, чем при каждом открытие браузера требование ввода логина и пасса.

spartak1935

Цитата:

У меня стоит скрипт на логофф

Не все такие хитрые...

ArChIvarIuS
Вот смотри у тебя есть правила

1. Local Traffic
2. Packet count
Вот посмотри на них внимательно... Они здорово похожи не правда ли?
Как думаешь будут считаться пакеты или нет?

spartak1935
А ты попробуй в терминале так сделать скриптом

Честно пытался открыть версию для печати этой темы, пользоваться поиском и читать постранично, но ответа так и не нашёл.

Winroute (6.4.2-3672-win32) установлен на отдельной машине, принадлежащей домену.

Контроллер домена успешно раздаёт IP-адреса (сроком на неделю), обновляет записи А и PTR в соответствующих зонах DNS, разрешает имена Интернета с помощью форвардеров на серверы провайдера.

Оба сетевых интерфейса на машине с Winroute настроены разрешать имена у контроллера домена и nslookup одинаково хорошо справляется с этой задачей, как для прямых, так и для обратных запросов.

Всё, вроде, хорошо, но есть одно неудобство — инструмент Status\Connections иногда не показывает имён вместо IP-адресов в поле Source. И что ещё интереснее, иногда бывает так, что один и тот же IP-адрес может быть разрешён в одной строчке, и не разрешён в другой.
Помогает перезапуск Winroute, но через какое-то время мистические неопределённости возвращаются.

Подскажите, пожалуйста, как избавиться?

2 Ruza


Цитата:

1. Local Traffic
2. Packet count
Вот посмотри на них внимательно... Они здорово похожи не правда ли?
Как думаешь будут считаться пакеты или нет?

Посмотрел, подумал... понравилось ))
Объясни для идиота, что не так? Я брал эти настройки из шапки.
Разбил исходный "Local Traffic" на отдельные правила , т.е.

1. local - local any permit
2. fw- fw any permit
3. local - fw any permit
4. fw - local any permit
В таком варианте работает.

Конструкция autentificated - fw 3128 - не работает. Имхо, разрешить авторизованным пользователям доступ к проксе, а авторизовал их кто перед этим?

Да, еще, может быть неважно, но: сеть без домена, инет через АДСЛ модем - PPoE на модеме.

ArChIvarIuS

Цитата:

Конструкция autentificated - fw 3128 - не работает.

а что правда не работает???

Цитата:

Разбил исходный "Local Traffic" на отдельные правила , т.е.
1. local - local any permit
2. fw- fw any permit
3. local - fw any permit
4. fw - local any permit
В таком варианте работает.

А зачем? Тыкать долго можно но без чтения мануала не обойтись.
Тут ну очень подробно:
http://kerio-rus.ru/index.php?option=com_content&task=view&id=34&Itemid=44

spartak1935

Цитата:

У меня стоит скрипт на логофф, который при выходе юзера из системы разлогинивает его на керио.

А как насчет, поделиться c форумом скриптом?

NegoroX

Цитата:

а что правда не работает???

Правда.

Цитата:

А зачем? Тыкать долго можно но без чтения мануала не обойтись.

А затем, чтбы каждое хождение было по своему правилу, настраивать потом легче.
Кстати по твоей ссылке как раз так и сделано.
Я эту статью читал.
Проблема в том, что юзер авторизуется через непрозрачный прокси (выскакивает виндовой диалог), а дальше попадает в инет через правило
Autentificated users Inet Http/https Permit Nat(Inet)
(это видно через Connections)

На закладке Active hosts в колонке user только 1 авторизован - firewall.
Статистика по траффику не разбивается по пользователям, а статистика по веб-страницам по юзерам делится нормально.

vimaret
Взято с http://www.winroute.ru/forum/viewtopic.php?t=630&postdays=0&postorder=asc&start=30&sid=e69b92944a67d00cc01d2d74d4782054

Скрипт логоффа на KWF при завершении сеанса
*****************************************

var $serverURL=" DNS_имя_хоста_ KWF:4080/nonauth/login.php?NTLM=0&internal=0";
var oIE = WScript.CreateObject("InternetExplorer.Application");
oIE.Visible = 0;
oIE.navigate($serverURL);
while ((oIE.Busy) || (oIE.ReadyState != 4)) WScript.Sleep(300);
try {
oIE.document.all.tags('form')[1].submit();
oIE.Quit();
} catch (error) {
// Здесь действия если пользователь не залогинился в KWF
oIE.Quit();

Вышеуказанные скрипты работают начиная с версии 6.3.1 по последнюю.

Заколебался извращаццо:
Трафик полисиз на данный момент:


При этих правилах, в Connections вот такая картина:

Залогинен всего 1 юзер - файрвол, к чему бы это? Экран авторизации выскакивает у всех юзеров.

В активных хостах вот что (собственно и не удивляет):


Статистика, естественно показывает активность файрвола и unrecognized юзера:


Вопрос, через где и как идет трафик? почему пададает на unrecognized user?
Памагитяяя люди добры, голова вспухла...

ArChIvarIuS
Фака по авторизации :
http://kerio-rus.ru/forum/showthread.php?t=1602

spartak1935
спасибо за скрипт

2 NegoroX. Спасибо за дельную сцылку

...всем, кто думает, что можно собирать статистику с непрозрачного прокси...


Цитата:

Фака по авторизации :
http://kerio-rus.ru/forum/showthread.php?t=1602

Читаю и плачу. Керио - уроды...

Приветствую!

Перестал собирать статистику Star. Забавно, что керайо новая установка (самый свежак), юзеры подмаплены из Активе Директори. Опыт по настройке KWF у меня внушительный, так что вопрос не связан с собственно настройкой.

После настройки я проверил, что все работает - прописал в качестве прокси KWF на рабочей машине и зашел на какой-то сайт (Firefox). Потом еще на один. Потом увидел, что Керио увидел мой логон (по контроллеру домена), правильно отобразил имя моей тачки и моего экаунта.

Зашел на Star и увидел свои посещенные странички. Никаких проблем. На радостях запендолил проксю еще одной девочке, и с ее тачки опять походил по сайтам, проверил отработку запрета (редирект) одного УРЛа... Все прекрасно - в консоли видно что девочка правильно авторизовалась, видна ее сетевая активность и все прочее. Но Стар.. Стар умер. Вот уже час плясок с бубном не оживляет Стар - он тупо показывает данные, которые были час назад. Это несмотря на то, что логи нормально пишутся, с NTFS-правами все нормуль, и в догах и статистике Керайо (КОНСОЛИ) все прекрасно видно. Но Стар не цепляет инфу.

Подскажите, куда рыть?

Добавлено:
Пока писал мессагу, Стар проснулся и обновил свою базу. Он что, раз в час ее обновляет что ли?

Да совершенно верно если посмотрите в правом верхнем углу , как сейчас помню есть время обновления, сам сначала тоже был в шоке!!

А никто не устанавливал себе 6.5 beta
Поставил чтобы проверить load balancing как работает.
Вот только никак не пойму поддается ли он как то настройке или нет, или примерно пополам раскидывает коннекты.

Срочно нужна помощь!

Ситуация такая. Поменяли провайдера. Витую пару от него сунул в третью сетевушку на серваке, прописал на ней все "реквизиты". В керио убрал старый интерфейс и добавил новый во все записи в траффик полиси. Также вбил в керио новые ДНС. Все заработало, как надо. 2 дня. Потом началась беда. Вчера в 9.10 утра перестали открываться сайты с клиентских машин. Если до этого времени юзер сидит на каком-то сайте, то внутри него он может перемещаться свободно. Пытается открыть како-то другой сайт - "ошибка соединения". Та же беда и с любыми интернет-мессенджерами (открыт до этого времени - работает, после 9.10 пытается войти - не пускает). Стопарю сервис керио, через 5 сек. запускаю вновь - все работает. Минут 15-20. Потом повторяется по новой. Перегружаю сервак. Работа восстанавливается минут на 40. Сношу керио (сохранил только конфигурационные файлы). Устанавливаю вновь, копирую в него старые данные. Работает. Почти сутки. Сегодня ровно в 9.10 начинается опять старая песня. Стопарю-запускаю - работает. Конечно, это не дело, т.к. у нас еще и по VPN люди сидят, а я им постоянно канал отрубаю.

В настройках клиентских машин в качестве ДНС указан адрес машины с керио. Ставлю туда ДНС провайдера (когда связь "умирает") - работает. С машины с самим керио - работает.

Все квоты, ограничения, блокировки в керио убрал. Не помогает. Кто сталкивался? Что посоветуете?

VovikK
Могу предположить что проблема в DNS сервисе kerio. как вариант он просто падает. Еще посмотри, все ли ДНС сервера провайдера работают, возможно что работает один, а когда он не отвечает, керио переключается на второй в списке и начинаются грабли. Также может более новую версию попробывать можно.

VovikK
Я бы еще поискал кореляцию с 9:10 , посмотрел бы в логах, что за юзер в это время появляется и куда лезет.