VovikK
Версию керио укажи. Что керио в логах пишет. Что в журнале виндов?
Версию керио укажи. Что керио в логах пишет. Что в журнале виндов?
» Kerio WinRoute Firewall (часть 3)
Есть керио 6.5 beta который умеет работать с двумя WAN интерфейсами.
Правила, которые разрешают ходить из локальной сети в интернет, используют NAT. Что логично, и в этих правилах я могу указать один из outgoing интерфейсов либо балансировку нагрузки. С этим вопросов нет.
А вот правило которое разрешает ходить с фаэрвола в интернет. NAT то там не нужен, и становится непонятно как сделать чтобы коннекты с фаэрвола ходили именно с нужного интерфейса. Если ставить NAT (как показано на рисунке), то все работает.
Но мне кажется это как то неправильно NAT указывать для соединений с сервера в интернет. Что скажете? Колхоз?
Правила, которые разрешают ходить из локальной сети в интернет, используют NAT. Что логично, и в этих правилах я могу указать один из outgoing интерфейсов либо балансировку нагрузки. С этим вопросов нет.
А вот правило которое разрешает ходить с фаэрвола в интернет. NAT то там не нужен, и становится непонятно как сделать чтобы коннекты с фаэрвола ходили именно с нужного интерфейса. Если ставить NAT (как показано на рисунке), то все работает.
Но мне кажется это как то неправильно NAT указывать для соединений с сервера в интернет. Что скажете? Колхоз?
Керио 6.4.2 3672
ДНС провайдера работают все. В логах и керио и винды все чисто (за исключение редкого сканирования портов)
Сделал сегодня вот что - прописал все настройки на ту сетевуху, что была за старым провайдером, новую отключил. Пока прошло 3,5 часа - все работает. Думаю, не мудрила ли закладка Connection Failover в пункте Interfaces? Хоть там и автоматическое переключение каналов и было выключено - а черт его знает, что могло происходить... Подожду до завтра, о результатах отпишусь.
ДНС провайдера работают все. В логах и керио и винды все чисто (за исключение редкого сканирования портов)
Сделал сегодня вот что - прописал все настройки на ту сетевуху, что была за старым провайдером, новую отключил. Пока прошло 3,5 часа - все работает. Думаю, не мудрила ли закладка Connection Failover в пункте Interfaces? Хоть там и автоматическое переключение каналов и было выключено - а черт его знает, что могло происходить... Подожду до завтра, о результатах отпишусь.
VovikK
На хоботе видел сообщение вроде по твоей теме
Цитата:
Настройки по DHCP получаешь?
На хоботе видел сообщение вроде по твоей теме
Цитата:
DHCP работает исправно, но вот тут происходит интересное.
Если не прописывать вручную DNS сервер провайдера на клиентской машине, то интернет-ресурсы начинают тупить. Потоковые соединения (online радио например) отрубаются каждые пять минут секунд на двадцать. Сайты открываются в такие же промежутки.
Решение этой проблемы прочел в этой теме на первой же странице.
Настройки по DHCP получаешь?
VonSimon
Цитата:
по картинке - естественно неправильно.
Цитата:
Но мне кажется это как то неправильно NAT указывать для соединений с сервера в интернет. Что скажете? Колхоз?
по картинке - естественно неправильно.
VonSimon
Нет, адреса статические.
После того, как поменял интерфейсы до сегодняшнего утра все работает был вылетов. Буду следить.
Нет, адреса статические.
После того, как поменял интерфейсы до сегодняшнего утра все работает был вылетов. Буду следить.
На машине с Керио не применяются групповые политики. В логах следующая ошибка 1053:
Код: Не удалось определить имя пользователя или компьютера. (Указанный домен не существует или к нему невозможно подключиться. ). Обработка групповой политики прекращена.
Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
Код: Не удалось определить имя пользователя или компьютера. (Указанный домен не существует или к нему невозможно подключиться. ). Обработка групповой политики прекращена.
Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
4kusnik
У тебя проблемы в траффик полиси, нужно их смотреть.
У тебя проблемы в траффик полиси, нужно их смотреть.
4kusnik
По идее должно быть правило типа local traffic отключи на нём Protocol Inspector
И покажи свои правила...
По идее должно быть правило типа local traffic отключи на нём Protocol Inspector
И покажи свои правила...
Вобщем добавил два правила в направлении от файерволла до контроллера домена и обратно, разрешающих все.
Теперь netdiag выдает следующее:
Код:
Redir and Browser test . . . . . . : Passed
List of NetBt transports currently bound to the Redir
NetBT_Tcpip_{8A817F58-0F59-4A8C-BFFA-F91928DD84AA}
The redir is bound to 1 NetBt transport.
List of NetBt transports currently bound to the browser
NetBT_Tcpip_{8A817F58-0F59-4A8C-BFFA-F91928DD84AA}
The browser is bound to 1 NetBt transport.
DC discovery test. . . . . . . . . : Passed
DC list test . . . . . . . . . . . : Passed
Trust relationship test. . . . . . : Passed
Secure channel for domain 'DOMEN' is to '\\dc.domen.local'.
Kerberos test. . . . . . . . . . . : Passed
LDAP test. . . . . . . . . . . . . : Passed
Теперь netdiag выдает следующее:
Код:
Redir and Browser test . . . . . . : Passed
List of NetBt transports currently bound to the Redir
NetBT_Tcpip_{8A817F58-0F59-4A8C-BFFA-F91928DD84AA}
The redir is bound to 1 NetBt transport.
List of NetBt transports currently bound to the browser
NetBT_Tcpip_{8A817F58-0F59-4A8C-BFFA-F91928DD84AA}
The browser is bound to 1 NetBt transport.
DC discovery test. . . . . . . . . : Passed
DC list test . . . . . . . . . . . : Passed
Trust relationship test. . . . . . : Passed
Secure channel for domain 'DOMEN' is to '\\dc.domen.local'.
Kerberos test. . . . . . . . . . . : Passed
LDAP test. . . . . . . . . . . . . : Passed
4kusnik
Цитата:
Traffic policy В правилах в столбике Protocol Inspector ставишь none. Если такого столбца нет, его надо добавить через правую кнопку мыши Modify Columns
Цитата:
Ruza где отключается Protocol Inspector?
Traffic policy В правилах в столбике Protocol Inspector ставишь none. Если такого столбца нет, его надо добавить через правую кнопку мыши Modify Columns
есть вопрос, есть ли возможность делать авторизацию в керио для юзеров через авторизацию в виндовом домене?
если да, то это универсально в пределах керио - хттп прокси сервер, нат?
если мне вообще тогда не керио подойдёт, то что?
если да, то это универсально в пределах керио - хттп прокси сервер, нат?
если мне вообще тогда не керио подойдёт, то что?
AndyS1
Цитата:
не понял - переведи
Цитата:
Traffic Inspector или Pfsense
только учти в каждом софте есть свои + и - (немешало б описать что хочешь изобразить)
Цитата:
есть вопрос, есть ли возможность делать авторизацию в керио для юзеров через авторизацию в виндовом домене?
если да, то это универсально в пределах керио - хттп прокси сервер, нат?
не понял - переведи
Цитата:
если мне вообще тогда не керио подойдёт, то что?
Traffic Inspector или Pfsense
только учти в каждом софте есть свои + и - (немешало б описать что хочешь изобразить)
AndyS1
Цитата:
А как же есть такая возможность. Даже не побоюсь этого слова ДВЕ возможности!!! А именно: импорт и маппинг. НО одно условие - ПК с керио должно быть, опять не побоюсь слова, членом домена.
Цитата:
А вот это действительно не совсем понятно... Что есть универсально?
Юзер регистрируется для доступа в службу керио, керио сверяется с DC, а потом твои проблемы пропускать авторизованного/не авторизованного в нат или разворачивать на прокси, либо вообще послать подальше...
Цитата:
возможность делать авторизацию в керио для юзеров через авторизацию в виндовом домене?
А как же есть такая возможность. Даже не побоюсь этого слова ДВЕ возможности!!! А именно: импорт и маппинг. НО одно условие - ПК с керио должно быть, опять не побоюсь слова, членом домена.
Цитата:
универсально в пределах керио - хттп прокси сервер, нат?
А вот это действительно не совсем понятно... Что есть универсально?
Юзер регистрируется для доступа в службу керио, керио сверяется с DC, а потом твои проблемы пропускать авторизованного/не авторизованного в нат или разворачивать на прокси, либо вообще послать подальше...
Цитата:
По идее должно быть правило типа local traffic отключи на нём Protocol Inspector
Отключил. Не помогает.
Вот политики
4kusnik
Мягко говоря неправильные правила смотри примеры тут :
http://kerio-rus.ru/index.php?option=com_content&task=view&id=34&Itemid=44
Мягко говоря неправильные правила смотри примеры тут :
http://kerio-rus.ru/index.php?option=com_content&task=view&id=34&Itemid=44
Идут сообщения Portscan detected, источник - локальная сеть. Какое средство/программу можно использовать, чтоб локализовать программы, сканирующие порты?
anatoly2002
Если не геймеры то можно предположить аська скупе почтовые агенты это в лучшем случае в худшем вирусы у вас в сети - разбираться с каждым компом индивидуально
Если не геймеры то можно предположить аська скупе почтовые агенты это в лучшем случае в худшем вирусы у вас в сети - разбираться с каждым компом индивидуально
NegoroX
Хотелось бы запустить программу, которая такую активность отслеживала бы и записывала приложение, ее вызвавшую. Какими могут быть источники - понятно, а вот кто конкретно...
Хотелось бы запустить программу, которая такую активность отслеживала бы и записывала приложение, ее вызвавшую. Какими могут быть источники - понятно, а вот кто конкретно...
Господа, подскажите, пожалуйста, поддерживает ли KWF приоритезацию трафика? У меня постоянно включён торрент-клиент, и сейчас приходится лезть в него и ограничивать скорость, когда Интернет нужен по другим надобностям с нормальной скоростью. Хочу это дело автоматизировать...
Подскажите пожалуйста, я поставил обязательную авторизацию, пытаюсь зайти на страничку, меня редиректит на страничку авторизации, я логинюсь - все ОК, но потом, если я хочу сменить пользователя мне приходится заходить на "сайт" винроута и нажимать выход. После этого, я сразу пытаюсь зайти на страничку в интернете - и он не открывает ничего! т.е. на авторизацию он не заходит и сайт показывать не хочет - может я что-то не правильно делаю?
Я так понимаю, если специальные пути для "залогивания" и для смены пользователя, но какие ссылки? чтобы например на рабочем столе поставить... или есть какой-то более правильный способ?...
Я так понимаю, если специальные пути для "залогивания" и для смены пользователя, но какие ссылки? чтобы например на рабочем столе поставить... или есть какой-то более правильный способ?...
GCRaistlin
Цитата:
Что-то сделали в новой бете по балансировке. Посмотри - может подойдет тебе.
TankMan
На вход https://dns_шлюза:4081/nonauth/login.php?NTLM=0&internal=0
Ну а разлогиниться можно на Kerio Star https://dns_шлюза:4081/index.php
Хотя, я могу тебе сказать, что на страницу авторизации KWF редиректит по умолчанию, генерируя уникальную ссылку по HTTPS протоколу.
Цитата:
Господа, подскажите, пожалуйста, поддерживает ли KWF приоритезацию трафика?
Что-то сделали в новой бете по балансировке. Посмотри - может подойдет тебе.
TankMan
На вход https://dns_шлюза:4081/nonauth/login.php?NTLM=0&internal=0
Ну а разлогиниться можно на Kerio Star https://dns_шлюза:4081/index.php
Хотя, я могу тебе сказать, что на страницу авторизации KWF редиректит по умолчанию, генерируя уникальную ссылку по HTTPS протоколу.
Цитата:
GCRaistlin
Цитата:
Господа, подскажите, пожалуйста, поддерживает ли KWF приоритезацию трафика?
Что-то сделали в новой бете по балансировке. Посмотри - может подойдет тебе.
Там балансировка нагрузки есть. приоритезацию я не видел. но вроде как можно указывать ширину канала который он будет использовать при балансировке нагрузки.
VonSimon
Я все равно буду финал ждать. Так что посмотрим. Время, как говорится, покажет.
Я все равно буду финал ждать. Так что посмотрим. Время, как говорится, покажет.
VonSimon
А что можете посоветовать для приоритезации? Почитал про cFosSpeed - пишут, что неустойчив.
А что можете посоветовать для приоритезации? Почитал про cFosSpeed - пишут, что неустойчив.
vseti okolo 70 kampiuterav i ktota vruchnuiu meniaet ip znaiu tolko mac adress
kaknibut mojno vkerio zablakiravat mac adress ???
izvinite za latinskie bukve
net ruskava
spasibo zaranie
kaknibut mojno vkerio zablakiravat mac adress ???
izvinite za latinskie bukve
net ruskava
spasibo zaranie
svanidze, насколько известно Керио не работает с мак-адресами. А что с того, что он меняет IP?
svanidze
В Kerio WinRoute Firewall сверка IP происходит по MAC-адресу.
Если использовать DHCP-сервер на керио, то можно контролировать подмену IP.
В Kerio WinRoute Firewall сверка IP происходит по MAC-адресу.
Если использовать DHCP-сервер на керио, то можно контролировать подмену IP.
Yips, видимо у Сванидзе в сети не поднят ДиАшСиПи. И дшсп (контроль) будет работать в том случае, если у клиента стоит получать айпи автоматом. Если проблема в том, что человек ломится в инет незаконно, то это можно решить более комильфово.
StBender
Базара нет. Что он спросил, то я и ответил. Вот и все.
Базара нет. Что он спросил, то я и ответил. Вот и все.
Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808182838485868788
Предыдущая тема: Не расшариваются SYSVOL и NETLOGON
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.