» Kerio WinRoute Firewall (часть 4)

в чем выражается странность? долго думает при получении?

Приветсвую. Есть Winroute 6.4.2 build 3672- помойму последний билд. Инет раздаю через НАТ.
Есть один комп 192.168.50.127 - статический АЙПИ. Сегодня с утра не может попасть в инет. Пакеты уходят, но в ответ нечего. В статистике только исходящий трафик. Входящего к этому компу нет. Пинги проходят только до машины с керио. У остальной сети всё работает, один комп только такой. Отключил в керио трафик инспектор для этого компа, правило с ним в самом верху сделал отдельно.Поставил лог входящих\исходящих пакетов. От него есть всё Permit, назад пакеты не возвращаются.

18/Aug/2008 10:39:28] PERMIT "k3" packet to ADSL_1, proto:ICMP, len:92, ip:192.168.50.127 -> 213.180.204.8, type:8 code:0
[18/Aug/2008 10:39:29] PERMIT "k3" packet from LOCAL_50, proto:TCP, len:48, ip/port:192.168.50.127:1137 -> 216.239.59.103:80, flags: SYN , seq:3158071569 ack:0, win:65535, tcplen:0
[18/Aug/2008 10:39:29] PERMIT "k3" packet to ADSL_1, proto:TCP, len:48, ip/port:192.168.50.127:1137 -> 216.239.59.103:80, flags: SYN , seq:3158071569 ack:0, win:65535, tcplen:0
Загрузился с CD диска, прописал сеть, поставил другой Айпишник, разрешил его на керио - тоже не работает. Я уже не знаю к чему kerio привязывается, кроме сетевой карты. Все пингуется в локалке. А инет нет.
Было ли у кого подобное и как решили?

niichavo
alex_zelenskiy
спасибо за реакцию.
да, KWF стоит на контроллере, и эта же самая машина в скором времени будет и шлюзом (когда вторую сетевую карту воткнём и стену просверлим).
А почему это плохой вариант, чем плох KWF на контроллере домена?
Собственн, эта же машина будет ещё и рабочей станцией тоже.
Сетка 15 компов, и всё что надо - это периодически пополнять "чёрный список" сайтов, и следить какой юзер сколько накачал, с возможностью автоматического отрубания доступа к инету при превышении. AD поднял с тем лишь, чтобы юзеры авторизировались только один раз, при logon`е в Windows.
Как бы вы посоветовали поступить при такой задаче?

Где пишут о том, что в KWF 6.4 нет полной поддержки Windows Server 2008 x64 ?

Добавлено:
Ооо, а может наоборот не я скриншоты выложу, а со мной скриншотами кто-нибудь поделится, как и куда правильно галочки расставить, чтобы заполучить список юзеров из AD в KWF ?

Только проблема, по-моему, всё-таки не в KWF, а в AD.
А у KWF только одна проблема - нигде толком не написано, что требуется от настроек в AD для успешного взаимодействия.

Цитата:

в чем выражается странность? долго думает при получении?

в качестве почтовой проги использую Microsoft Office Outlook 2007...насртоена почта что бы получать с mail.ru и с creativedream.ru ну и локальная почта(почтовик kerio mailserver)....так вот mail.ru письма отправляются и получаюся...с creativedream.ru не отправляет и не получается,причем creativedream.ru является внешней почтой конторы в которой я работаю...внутренняя почта отправляется и отсылается ,но с ошибкой-пытается принять еще какое то сообщение вместе с нормальным,и вылетает с ошибкой

Задача 'local r.ryzarev - получение' сообщила об ошибке (0x800CCC0F) : 'Соединение с сервером было прервано. Если ошибка повторится, обратитесь к администратору сервера или поставщику услуг Интернета.'

Цитата:

извиняюсь за глупый вопрос, но зачем тогда Керио? Открыты все порты, сорцы и дестинейшены. Снесите просто фаервол и получится то же самое.
Если же нужно только считать трафик, то я не стал бы на вашем месте микроскопом гвозди заколачивать.

Ну незнаю, мне виндовый стандартный НАТ очень ненравится, а в Керио он всё же посерьёзнее + я же не говорю что это окончательная конфигурация, а лишь утверждаю что и при таких настройках он работает как-то неправильно. Т.е. вообще хочу просто инет через НАТ давать и что б возможность была немного последить за соседом + канал урезать, если мне чтонить надо будет срочно скачать.

mic59 а если телнетом на creativedream.ru залезть?

есть какие то хитрости дополнительные при настройке Connection failover ?

есть 2 шлюза в однйо сетке.

A: 192.168.1.1 для компов 192.168.1.2-192.168.1.100
B: 192.168.2.1 для компов 192.168.2.2-192.168.2.100
подсеть одна на всех. 255.255.250.0
у каждого свой провайдер
у каждого керио только свои пользователи. т.е. на B нет пользователя 192,168,1,2 например.
но есть шлюз А как пользоваетль. т.е А через B выйти может.

на шлюзе А настроено, что если его провайдерский шлюз недоступен (не пингуется), то использовать в качестве шлюза B.

срабатывание происходит, сам А инет получает но раздать его своим пользователям не может. почему?

Цитата:

mic59 а если телнетом на creativedream.ru залезть?

а по подробне можно....новичек в этом деле

Цитата:

Цитата: Цитата:AD,DNS, Winroute 6.4.2 стоят на одной машине
Ужоснах!

я знаю....но начальству побоку ))))

Цитата:

прчием тут начальство? ты ж админ.

начальство не дает машину,что бы на нее все вынести....


Цитата:

у тебя для АД и для инета общий ДНС получается? =-О

получается так )))


Добавлено:

Цитата:

telnet creativedream.ru 25

с ком строки заходит на некоторое время,а потом выходит автоматом

Koichi

Цитата:

Сетка 15 компов

C такой небольшой сеткой можно было бы и без домена обойтись.

Цитата:

чем плох KWF на контроллере домена?

Ну хотя бы потому, что он в интернет выставляется. Не безопасно. Плюс при при таком размещении может возникнуть бОльшее количество проблем при настройке и домена и керио.

mic, по ходу, у тя у провайдера на том адресе порт закрыт. нужно звонить им и выяснять.

Цитата:

mic, по ходу, у тя у провайдера на том адресе порт закрыт. нужно звонить им и выяснять.

до этого стояла ISA и все ходило нормально....может у мя руки не из того места растут ))
может я что то где то не донастроил?....помогите разобраться

Цитата:

- Сетка 15 компов
- C такой небольшой сеткой можно было бы и без домена обойтись.

Возможно, но тогда юзеров добавлять прийдётся по IP адресам.
Закончится тем, что исчерпав трафик на одном компе, они начнуть скачивать на другом.
Домен поднял только за тем, чтобы учёт вёлся по авторизованным пользователям, а не по IP адресам. Или есть ещё какое-нибудь решение, чтобы пользователям не приходилось вводить логины/пароли больше одного раза за сессию (logon/logoff)?


Цитата:

- чем плох KWF на контроллере домена?
- Ну хотя бы потому, что он в интернет выставляется. Не безопасно. Плюс при при таком размещении может возникнуть бОльшее количество проблем при настройке и домена и керио.

Ну, собственно секрета из своей сетки мы не делаем.
Один сервак и 15 рабочих станций.
Если даже злобные конкуренты уронят наш контроллер домена, большой трагедии из этого не случится. Гораздо большие проблемы вызывает частое отключение инета провайдером, по его внутренним техническим причинам и из-за нашего отрицательного баланса, вызванного неконтролируемым трафиком.

Что-то можно по-подробнее узнать об особенностях настройки KWF 6.4.2 для связи с контроллером домена под Windows Server 2008 x64?

mic59 ещё раз предлагаю связаться с постмастером. Я очень сильно не уверен, что то адрес для забора писем по поп3. Снаружи этот сервер так же не выдаёт приветствия.
[off]не всегда причину нужно искать в себе [/off]

Koichi прошу прощения, что влезаю в разговор, но поднимать домен только для авторизации в Керио - это бессмысленно. Если у Вас купленая лицензия продукта - у них есть замечательный сапорт, который достаточно быстро реагирует на подобные проблемы.
Вообще, есть замечательные инструкции на ресурсах, посвященных Керио, которые по шагам расписывают как правильно настроить авторизацию пользователей и квоты без поднятия доменов. На самом деле, мануал тоже очень помогает.

сам нашел решение

Цитата:

есть какие то хитрости дополнительные при настройке Connection failover ?

нужно на B создать всех пользователей из А.

Цитата:

mic59 ещё раз предлагаю связаться с постмастером. Я очень сильно не уверен, что то адрес для забора писем по поп3. Снаружи этот сервер так же не выдаёт приветствия.

только что удалось связаться с суппортом компании которая предаставляет нас хостинг на почту...Сервисы POP3 и SMTP истользуют стандартные порты 25 и 110...есть какие нить предложения?...заранее благодарен

по телефону проверяли телнетом? все работает? какие адреса?

сервера входящей и исходящей почты совпадают-mail.creativedream.ru

mic59

Код: V:\soft>nslookup -type=MX creativedream.ru
Non-authoritative answer:
creativedream.ru MX preference = 10, mail exchanger = mail2.100mb.net

оказывается навернулся почтовый сервер ))))
вот ведь они даже и не признались о ее наличии пока не наехали на них )))))
спасибо огромное всем за помощь....душевный форум!

Цитата:

только что удалось связаться с суппортом компании которая предаставляет нас хостинг на почту...Сервисы POP3 и SMTP истользуют стандартные порты 25 и 110...есть какие нить предложения?...заранее благодарен

так creativedream.ru твой хостинг?
тоесть ты и есть постпастер этого хоста тогда прчием тут керио?
похоже на хосте пробелмы с почтовиком.

когда перестало работать? у тебя на сервере разрешения есть на запуск скриптов майловых? зади по SSH и проверь все ли запущено не хосте. может что то упало (если тебе дадут это посмотерть разрешения провайдера), проверь разрешения. звони тем у кого хостишся и обьясняй ситуацию....но это уже тема для другого трейда.

[вопрос снят?]


Цитата:

оказывается навернулся почтовый сервер ))))
вот ведь они даже и не признались о ее наличии пока не наехали на них )))))

грозы? ) у меня тоже упало пол сети

Цитата:

так creativedream.ru твой хостинг?

я админю это домен....а место под него и под нашу почту нам предоставляют )))

Koichi

Цитата:

Возможно, но тогда юзеров добавлять прийдётся по IP адресам.
Закончится тем, что исчерпав трафик на одном компе, они начнуть скачивать на другом.
Или есть ещё какое-нибудь решение, чтобы пользователям не приходилось вводить логины/пароли больше одного раза за сессию (logon/logoff)?

каждому пользователю дать логин и пароль (в базе керио хранится это будет все).
пользователь при входе в винду вводит логин и пароль. потом при доступе к интернету его опять попросят логин и пароль (уже от интернета).
ставь таймаут на logoff нужный (например через час отключать, либо 24 чтобы весь день не просил) либо при каждом доступе к странице проси пароль это уже настраивается.
еще при логине в винду стоит сделать отключение предыдущего пользователя керио (чтобы чужой трафик не расходывали).


Цитата:

Домен поднял только за тем, чтобы учёт вёлся по авторизованным пользователям, а не по IP адресам.

авторизация есть и в керио. она может быть либо по логину\паролю либо по IP автоматически (ну kerberos и AD не обсуждаем пока).
не ставь авторизацию по IP и все.


Цитата:

Ну, собственно секрета из своей сетки мы не делаем.
Один сервак и 15 рабочих станций.
Если даже злобные конкуренты уронят наш контроллер домена, большой трагедии из этого не случится.

погугли почему плохо Ad+шлюз держать.


Цитата:

Что-то можно по-подробнее узнать об особенностях настройки KWF 6.4.2 для связи с контроллером домена под Windows Server 2008 x64?

на форуме керио писали что KWF и АД Win2008 (в частности имено авторизация которая тебя интересует) не дружат. и там пришли к решению откатить обрытно до 2003 сервера.

Появилась потребность сделать так, чтобы для использования браузера требовалась авторизация пользователя, а для остальных сервисов - нет. Используется DSL, все данные прописаны напрямую на сетевой (PPPoE не используется).

Dis74

Цитата:

каждому пользователю дать логин и пароль (в базе керио хранится это будет все).
пользователь при входе в винду вводит логин и пароль. потом при доступе к интернету его опять попросят логин и пароль (уже от интернета).
ставь таймаут на logoff нужный (например через час отключать, либо 24 чтобы весь день не просил) либо при каждом доступе к странице проси пароль это уже настраивается.
еще при логине в винду стоит сделать отключение предыдущего пользователя керио (чтобы чужой трафик не расходывали).
авторизация есть и в керио. она может быть либо по логину\паролю либо по IP автоматически (ну kerberos и AD не обсуждаем пока).
не ставь авторизацию по IP и все.

В соседнем офисе так и сделано, стоит KWF под WinXP, на рабочих машинах в браузере прописан как прокси, и при запуске браузера требует логина и пароля пользователя его локальной базы пользователей. В этом действительно нет ничего хитроумного, всё проще пареной репы, но требует двойной авторизации (локальный вход в Windows и KWF прокси).
У нас сейчас вообще рабочая группа с автоматическим входом под админом.
Я полагаю, что это естественное желание, настроить всё грамотно, с необходимостью лишь однократной авторизации (в домене Windows).
По моим наблюдениям, с Windows Server 2008 x64 пока что совместима только ISA 2007 beta. Но к ней не готовы плагины для квот на трафик. Поэтому я тоже решил произвести откат на Windows Server 2003 x64.


Цитата:

на форуме керио писали что KWF и АД Win2008 (в частности имено авторизация которая тебя интересует) не дружат. и там пришли к решению откатить обрытно до 2003 сервера.

Могу предположить, что это и была тема, в которой я общался на kerio-rus.ru » FAQ: Авторизация в KWF, в том числе по Active Directory - вопросы сюда
Или это была какой-то другой форум?


Цитата:

погугли почему плохо Ad+шлюз держать.

Что-то ничего толкового не нашёл. Есть что-то на примете?

Цитата:

Что-то ничего толкового не нашёл. Есть что-то на примете?

Зубанов "Win2kAD для профессионалов".


Цитата:

Могу предположить, что это и была тема, в которой я общался на kerio-rus.ru

да я про нее

подскажите пожалуйста, у меня периодически резко уменьшается скорость открытия страниц.
после перезагрузки службы работает нормально, потом снова резко замедляется скорость?! народ, куда хоть копать-то?

Цитата:

резко замедляется скорость

вроде такое было при "некорректном" отучении проги. Сколько по времени без проблем до этого работало?

неполторы недели не было никаких проблем.
и как исправляется это некорректное отключение проги? я точно не помню перезагружался сервак некорректно или нет..