» Kerio WinRoute Firewall (часть 4)
Приветствую. Нужно лекарство на v 6.4.2. В шапке не нашел может плохо искал?
ASukhanov
Не может, а точно: смежная тема в варезнике
Не может, а точно: смежная тема в варезнике
Tantos
Спасибо.
Спасибо.
подскажите кто знает. установлены квоты ежемесячные, в локальной сети все нормально работает. а у впн клиента не работает, в чем проблема?
jenkamf, значит пользователь, который сидит с впн клиента как то коряво авторизуется.
jenkamf
Цитата:
Скажу честно! В настройках. Которые ты привёл так основательно то просто всё сразу стало понятно.
StBender
Цитата:
Фига се? Коряво это как? Его бы вообще не пустило бы никуда, либо не дошло бы до соединения ВПН.
Цитата:
в чем проблема?
Скажу честно! В настройках. Которые ты привёл так основательно то просто всё сразу стало понятно.
StBender
Цитата:
значит пользователь, который сидит с впн клиента как то коряво авторизуется.
Фига се? Коряво это как? Его бы вообще не пустило бы никуда, либо не дошло бы до соединения ВПН.
Цитата:
Фига се? Коряво это как? Его бы вообще не пустило бы никуда, либо не дошло бы до соединения ВПН.
Коряво - это когда правила в ТП разрешают выход неавторизованным пользователям в нет. Да и потом это всего лишь скупое предположение) поскольку данными нас особо не снабдили)
StBender
Я имел ввиду корявую авторизацию. А то что "коряво" настроено так это понятно.
Я имел ввиду корявую авторизацию. А то что "коряво" настроено так это понятно.
Ruza, ну просто у меня когда я только разбирался с Керио был пример корявой авторизации: окошко авторизации выскакивало, но пользователь в активных не светился, и следовательно квоты на него не работали, а трафик лилися на нераспознанных зверей. Но атворизация тем не менее проходила. А всё это было от кривизны ТП, хттп и вообще настройки Керио.
Ребят у Меня вопрос возник а как сделать что бы логи не в LOGS валились а на другой диск к примеру?
Frose, по умолчанию там такой фичи нет, но посмотри здесь, может натолкнёт на мысль.
Цитата:
в системах есть впн адаптеры, они то всё и получают а тебе советую не задумываться об этом
чувак, ну ты ваще даешь=). Типа - тебя кормят, а ты ешь, и не задумывайся, чем, оно всё равно переварится=). В том то и дело, что мне нужно узнать, чтобы понять, каков принцип и чтобы адреса раздавались согласно тому, как этого хочу я, а не как это делают товарищи впн адаптеры.
Цитата:
но! В настройках. Которые ты привёл так основательно то просто всё сразу стало понятно.
какие именно настройки? настройки VPN в трафик полиси? в какую сторону копать?
Frose
В консоли выбираеш секцию логирования.
Дальше в меню Edit - Log Settings... Можно использовать external syslog.
jenkamf
Ну смотри:
1. По идее квоты раздаються либо в темплейте либо добавлением определённым юзерам... Так ты как раз и посмотри для начала это.
2. Далее после превышения квоты должно что то происходить, либо ничего (в зависимости от настроек). Опять же проверяеш всё что ты предполагаеш изначально при заведении ВПН пользователя.
3. Одно из самых важных. Посмотри правила разрешающие NAT без определения пользователя типа:
net - any - permit - nat
Возможно ВПН подсеть уходит в нат по такому правилу.
4. Самое важное. Возможно нет правила запрещающего прохождение юзера без авторизации
в HTTP Poliсy самое нижнее типа:
any user - do not require auth... - Url "*" - Deny access to the Web...
В консоли выбираеш секцию логирования.
Дальше в меню Edit - Log Settings... Можно использовать external syslog.
jenkamf
Ну смотри:
1. По идее квоты раздаються либо в темплейте либо добавлением определённым юзерам... Так ты как раз и посмотри для начала это.
2. Далее после превышения квоты должно что то происходить, либо ничего (в зависимости от настроек). Опять же проверяеш всё что ты предполагаеш изначально при заведении ВПН пользователя.
3. Одно из самых важных. Посмотри правила разрешающие NAT без определения пользователя типа:
net - any - permit - nat
Возможно ВПН подсеть уходит в нат по такому правилу.
4. Самое важное. Возможно нет правила запрещающего прохождение юзера без авторизации
в HTTP Poliсy самое нижнее типа:
any user - do not require auth... - Url "*" - Deny access to the Web...
Цитата:
Дальше в меню Edit - Log Settings...
Фига, неужто уже можно переназначить папку для сбора логов? Какая версия винрута?
jenkamf, закежь полные ТП и еще НТТР рулсы, может чего тебе накопаем.
StBender
С папкой не пробовал, а вот лог как то отправлял на другой сервер.
С папкой не пробовал, а вот лог как то отправлял на другой сервер.
Ruza, да с сервером понятно, а вот папки там нет. Только если пытаться конфиг файл переделывать, но как показывает опыт народа, нифига из этого путного не выхожит.
Народ, помогите!!!
Сыпется на почтовый ящик администратора почта вот с таким заголовком
"Kerio WinRoute Firewall delivery failure notification"
и вот такого содержания:
"Kerio WinRoute Firewall was unable to deliver message. Remote server's reply:
550 5.7.1 Message rejected as spam by Content Filtering.
Message headers follow: ........"
Как отключить отправку этих писем?
Сыпется на почтовый ящик администратора почта вот с таким заголовком
"Kerio WinRoute Firewall delivery failure notification"
и вот такого содержания:
"Kerio WinRoute Firewall was unable to deliver message. Remote server's reply:
550 5.7.1 Message rejected as spam by Content Filtering.
Message headers follow: ........"
Как отключить отправку этих писем?
kusebo, у тебя в настройках у пользователя на вкладке квота, стоит галка: предупреждать пользователя по е-майлу о закончившемся траффике?
в общем есть правило второе по значению после локального:
source - internet, dest - firewall, service - kerio vpn, action - permit, log - yes, protocol - default...
что-то может поправить надо?
Пользователь авторизуется нормально, пользуется интернетом все работает, но квота как стоит на 0% так и стоит.
source - internet, dest - firewall, service - kerio vpn, action - permit, log - yes, protocol - default...
что-то может поправить надо?
Пользователь авторизуется нормально, пользуется интернетом все работает, но квота как стоит на 0% так и стоит.
А если в источниках указать конкретно ВПН клиентс, а не общий инетный фейс?
Цитата:
А если в источниках указать конкретно ВПН клиентс, а не общий инетный фейс?
никакой реакции
jenkamf, всмысле никакой реакции? Не коннектит, или же не считает?
ЗЫ: у тебя прокся поднята?
ЗЫ: у тебя прокся поднята?
коннектиться, но не считает. прокси нет.
niichavo
Цитата:
Не, с учетками все в порядке. все типа v.pupkin@domen.
Но при попытке авторизации появляется всплывающее окно с запросом имени юзера, а после него уже вылазит страничка авторизации керио.
Пример http://stalker780.narod.ru/auth.jpg
Если же отлючаю в керио "Enable user authentication..." то авторизация через страничку керио проходит нормально, без лишних запросов.
Цитата:
stalker780
Не совсем понятно кто от кого и какой список хочет получить. Может не работать NTLM, если учётки на русском: Василиса@premudra.ya
Не, с учетками все в порядке. все типа v.pupkin@domen.
Но при попытке авторизации появляется всплывающее окно с запросом имени юзера, а после него уже вылазит страничка авторизации керио.
Пример http://stalker780.narod.ru/auth.jpg
Если же отлючаю в керио "Enable user authentication..." то авторизация через страничку керио проходит нормально, без лишних запросов.
Somebody help!
Пользователи из локалки коннектятся к разным внешним серверам по VPN - и к OpenVPN, и к MS. Примерно 2 месяца назад начались проблемы с аутентификацией: коннект устанавливался, а пользователя не принимало. Случайно нашлось решение: 1) устанавливалось соединение через Dial-up или EDGE; 2) разрывалось; 3) пользователь опять втыкался в локалку - и соединение прокатывало нормально. Затем через пару недель все усугубилось: OpenVPN перестал вообще пускать, а при попытке законнектиться на сервер MS-VPN выскакивала ошибка 619 при попытке аутентификации.
Были опробованы все возможные комбинации правил на Керио: и протокол-инспектора, и жесткое указание протоколов/портов, и игры с NAT-ом, и мудохания с MAP-ами. После этого были перепробованы разные антивирус-плагины. Все закончилось переустановкой Керио... которая НИЧЕГО не дала
Все работает, а из локалки невозможно установить VPN-соединение: ОШИБКА 619 при аутентификации.
На каком-то форуме писали, что может быть проблема с MTU, но, блин, раньше ведь все работало! И, что характерно, на сервере, на котором стоит Керио VPN устанавливается без проблем, если клиента воткнуть напрямую в модем - тоже никаких вопросов, а вот через Керио-файервол - нифига. Даже ошибки не пишет.
В текущих соединениях видно следующее:
1) SOURCE:локальный пользователь - DESTINATION:удаленный VPN-сервер (OUTGOING)
2) SOURCE:удаленный VPN-сервер - DESTINATION:firewall (INCOMING)
Может, реально с MTU проблема? В реестре менять?
Пользователи из локалки коннектятся к разным внешним серверам по VPN - и к OpenVPN, и к MS. Примерно 2 месяца назад начались проблемы с аутентификацией: коннект устанавливался, а пользователя не принимало. Случайно нашлось решение: 1) устанавливалось соединение через Dial-up или EDGE; 2) разрывалось; 3) пользователь опять втыкался в локалку - и соединение прокатывало нормально. Затем через пару недель все усугубилось: OpenVPN перестал вообще пускать, а при попытке законнектиться на сервер MS-VPN выскакивала ошибка 619 при попытке аутентификации.
Были опробованы все возможные комбинации правил на Керио: и протокол-инспектора, и жесткое указание протоколов/портов, и игры с NAT-ом, и мудохания с MAP-ами. После этого были перепробованы разные антивирус-плагины. Все закончилось переустановкой Керио... которая НИЧЕГО не дала
Все работает, а из локалки невозможно установить VPN-соединение: ОШИБКА 619 при аутентификации. На каком-то форуме писали, что может быть проблема с MTU, но, блин, раньше ведь все работало! И, что характерно, на сервере, на котором стоит Керио VPN устанавливается без проблем, если клиента воткнуть напрямую в модем - тоже никаких вопросов, а вот через Керио-файервол - нифига. Даже ошибки не пишет.
В текущих соединениях видно следующее:
1) SOURCE:локальный пользователь - DESTINATION:удаленный VPN-сервер (OUTGOING)
2) SOURCE:удаленный VPN-сервер - DESTINATION:firewall (INCOMING)
Может, реально с MTU проблема? В реестре менять?
Цитата:
kusebo, у тебя в настройках у пользователя на вкладке квота, стоит галка: предупреждать пользователя по е-майлу о закончившемся траффике?
Да, а как это связано? Это же не квота...
И откуда Kerio берет адрес, на который надо отправлять. Почему он отправляет именно на этот адрес?
Убрал галку, все равно письма сыпятся.
Цитата:
Да, а как это связано? Это же не квота...
Конечно не квота, квтоа, это ограничение, накладываемое на пользователя, а галка та предупреждает пользователя о том, что у него закончилась или кончается квота. Ты на всех юзерах отрубил эту галку?
Значит проверим еще раз:
1. У всех пользователей отключено уведомление о закончившейся квоте.
2. У пользователей не прописаны какие-либо почтовые ящики
3. В разделе Advanced на вкладке SMTP Relay не прописано никаких серверов.
Ребята извините за глупый вопрос.
Как проверить кто Кабан запущен и функционирует ?
Как проверить кто Кабан запущен и функционирует ?
Страницы: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768
Предыдущая тема: realtek rtl8169 and vlan
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.