» Kerio WinRoute Firewall (часть 4)

Ruza
чем правило

Цитата:

1) правило: [мой IP] | Firewall | any | permit

не понравилось?) я себе как бы полностью доверяю)))

Может кому пригодится
Решилась проблема с "Параметры дозвона" в свойствах VPN
Откатился на 6.5.0-4794-win64 и о чудо всё заработало , т.е.

с 6.5.1 и 6.5.2 так и не получилось

Почему так я не понял...

у меня в 6.5.1 были действительно такие же неактивные вкладки. В 6.5.2 дело выглядит иначе, я уже пытался здесь рассказать, мну облаяли ))) Требуется выбрать тип подключения к интернету- постоянное, переподключение, или по вызову. Соответственно, появляются разные варианты подключений.( что и видно на картинке). И ДЛЯ НЕСКОЛЬКИХ ШЛЮЗОВ В ТОМ ЧИСЛЕ (для чела, который мне написал, что я не понимаю, о чём говорю) - а вот таких вкладок с настройками дозвона, и вдобавок нективных, у меня просто нет в принципе. На 6.5.1 были, на 6.5.2 нет.
Про социальные сети: на одном из серваков у меня работает версия 6.2.1 , и там с самого начала (а это было давно) упоминались Социальные сети, и одноклассники, контакт, и лайфжоурнал зарубаются, кабан работает без проблем. Сейчас, как ни странно, этого нет, в 6.5.2 - только что специально смотрел.
Кто-нибудь знает, почему не работает привязка по ай-пи? Пускает с любого компа, хотя указан конкретный адрес.

Есть такая проблемка, может кто сталкивался:
версия 6.4.1, все работает, но есть одно НО. У пользоватилей стоит квота 1 Мб, а в настройках Bandwidth Limiter-а по превпревишении квоти стоит галочка обрезать скорость до 32 кб/с.
Так вот, когда этой галочки нету, все нормально работает, как только ее ставиш у пользоватилей не загружаются сайти, тоесть те что пороще (напр. Google) нормально отображаются, а напр. Microsoft, Википедия, Mail.ru просто зависают между 3 и 15 процентом загрузки.

serg_lv
Ну так а в чем проблема то? Тяжелые сайты сразу приводят к превышению квоты (посмотрите какой объем грузится с ввв.микрософт.сом). Как следствие все, кто закачал 1Мб (не маловато ли?) и более втискиваются в общий канал 32 Кб/с и скорость резко падает. Или по Вашему керио неправильно Ваши настройки трактует?

Ruza
Обращаюсь лично к тебе,а то остальные чет молчат или не знают.
На данном етапе сам ВПН сервак мне не надо
ВПН модем у меня воткнут в свич с адресом 192.168.107.7
Керио у меня стоит на Вынь 2003+АД адрес локальной сетевухи 192.168.107.10
Что мне надо прописать в правилах(возможно в фейсах) шоб локалные юзверы могли
конектиться у удаленному ВПН серваку вышестоящей канторы,к примеру на айпишник 192.168.111.1
И какие настройки на локальных тачках? - надо будет добавлять ещо один шлюз 192,168,107,7?
Мне желательно шоб локальные юзверы по ВПН проходили через сервак Керио - как ето реализовать?
Да и сейчас у меня есть доступ в нет через другой АДСЛ модем,- вотнкут во вторую сетевуху на сервере
Заранее пасиб

Прошу прощения за м.б. дилетантский вопрос, а как можно безболезненно откатиться на более раннюю версию, кроме как unistall новой версии и установкой старой с возвратом файлов cfg ?
Не пинайте в поиск, я его по форуму не нашёл , в форумах не частый гость...
Блин, керио юзаю давно, а вот с версии 6.5.0 с их балансировкой нагрузки начались проблемы((
Плюс сегодня обнаружил, что в DNS-форвардинге сервера как раньше не пропишешь((
Плиз, хочу обратно...

ошибся топиком

ВОпрос такой, есть керио , сеть доменная. возможно ли в керио сделать так:
юзер входит в систему со своим логином и паролем, потом лезет в инет но не вводит данные для доступа в инет, авторизация проходит автоматически с использованием домена то бишь доменная авторизация, при этом в керио ведется статистика именно на этого пользователя, никакие привязки по айпишникам не катят, далее, человек допустим отошёл но комп заблокирован. Тут подходит другой юзверь логинится уже под своей учёткой, сеанс предыдущего юзверя висит параллельно, вот второй полез в инет, так же проходит автоматическая авторизация и ведётся статистика уже на этого юзверя.

вопрос, возможно ли сие реализовать в керио? просьба догадки и домыслы не излагать, нужен ответ от тех кто делал что-то в этом роде.

подскажите пожалуйста можно ли в керио вести статистику квот по группам, а не по пользователям. с помощью каких-нить дополнительных плагинов?
т.к. в керио статистику загруженного трафика можно посмотреть только по пользователям ((

SHRIKE74
Можно.

Во избежание глюков, желательно чтобы учётки были на аглицком, например, pupkin@pg.ku
галка в Web Auth.. - Always require users to be auth.. when..
галка в Enable user auth.. automatically..
Automatically Logout users when they.. - выставляем скока надобно
Правильно заполняем поля во вкладке Active Directory
в трафик полиси: NAT, source: Authenticated users ...

делал я так на версии 6.5.1 и что то ну нихрена не работало один хрен вываливался на страницу авторизации керио

Кто знает названия переменных которые киря использует в керио стар, интересует e-mail, Описание - эти два пункта.
Т.Е. я хочу на главную страницу при авторзации где сейчас висит только пользователь и межсетевой жкран, добавить эти переменные которые берутся из пользователя, и етм самым хочу прописывать у пользователя к примеру его баланс к примеру в строке Описание а он бы выводился на главной старнице статистики пользователя.

Файл Kerio\WinRoute Firewall\webiface\lib\Dashboard.inc 182-187 строки

'<tr>' .
'<td class="caption"><kerio:text id="lang_user" />:</td>' .
'<td class="value">' .
gc($tc, 600) .
'</td>' .
'</tr>' .

'<td class="caption"> Надпись выводимая на странице когда юзер автторизовался </td>' .

'<td class="value">' .
gc($tc, 600) .
'</td>' . - здесь берется значение переменной. вот здесь я и хочу брать переменные из Описания что создается и меняется у каждого пользователя.

SHRIKE74
Браузеры какие? IE? если огнелис - тада Читать это. Ежели IE 6,7 - всё должно работать. Попробуй поставить последнюю версию. И посмотри, чтобы не было галки в "Force non-transparent proxy server authentication". У меня стоит 6.4.2. На 6.5.2. переходить пока боязно чёто

Цитата:

1. "Просто модемы" - это как, что и зачем?

А логика где? Модем настроен на автоконект. (D-Link DSL-2500U)

Цитата:

user > server > NAT > SWITCH > Modem - Это что за схема ?

Клиен - простой человек
Сервер - Робочая станция
НАТ - это понятно (не буду умничать, росписивая что оно такое!)
СВИЧ - простая коробка, обеденяющая все ПК в сеть
Модем - это D-Link DSL-2500U

ipconfig:



Если кто,что знает, как решить мою проблему, помогите...

Подскажите плз по антивирусам... Ранее у меня стояла авира на сервере совместно с юзергейтом, ловила все. После установки керио перестала проверять проходящий траффик, как я не мучался так их подружить у меня и не удалось (мож кто что подскажет ). Включил я встроенный макафи - это ужас, он и половину не видит того, что должен (базы перед этим обновлял). Думал сначала что он по правилам проверки на вирусы не видит всего положенного, пробовал удалять все правила в керио, что бы он все проверял - та же самая картина, очень много всего пропускает. Что посоветуюте, товарищи??? Как VisNetic себя ведет или какой антивирус поставить на систему, что бы качественно траффик проверял???
Да и еще - вот те правила, которые на проверку траффика в керио, их стоит как то править или тех стандартных по умолчанию достаточно?

SHRIKE74
Тут вроде полностью расписано как и что делать для ntlm
http://support.kerio.com/index.php?_m=knowledgebase&_a=viewarticle&kbarticleid=77

DarkLan

Цитата:

А логика где? Модем настроен на автоконект. (D-Link DSL-2500U)

С Чем???


Цитата:

Клиен - простой человек

Угу. А идентификация по номеру паспорта

Цитата:

Сервер - Робочая станция

Гы

Цитата:

НАТ - это понятно (не буду умничать, росписивая что оно такое!)

Хотелось бы почитать Ваше определение NAT, учитывая что switch это простая коробка...

Цитата:

СВИЧ - простая коробка, обеденяющая все ПК в сеть

Без комментариев...

Цитата:

Модем - это D-Link DSL-2500U

А у меня модем zyxel есть...

А картинку поменьше слабо? Типа такого:

Или просто из dos окна скопировать и вставить религия не позволяет?

P.S. Вот я одного не понимаю - нафига выпытывать инфу что бы помочь??? (больше не буду - какой вопрос такой и ответ будет)

Мне жаль, что так получилось. Неделька была просто ужас…
И как правило, нет времени, что бы поискать что-то по моему вопросу.
Вот и решил обратится к людям, которые знаю как работает Kerio.
Спасибо и на том. Извините.

P.S.

Цитата:

Хотелось бы почитать Ваше определение NAT, учитывая что switch это простая коробка...

NAT - это замена адреса при прохождении пакета в одну сторону и обратной замене адреса в пакете, который пришел.

не все люди - тупые, кто задает вопрос на форуме

niichavo,Ruza
браузеры IE6 и 7 галки той нет, один хрен автоматом не логинится, вываливается на страницу авторизации керио и писец, может дело в сетке? шлюз и контроллеры в подсетке 192.168.1.х
а все рабочие станции в подсети 192.168.3.х
почему так сделано я не добился вразумительного ответа.
уже подумываю об исе.
в керио наверно перепробовал уже все возможные варианты причём с разными настройками браузеров у клиентов.

SHRIKE74
Условия выполнены?
1. Серверу с керио и клиентам должно быть членами домена.
2. Адрес керио должен быть у клиента в списке доверенных сайтов.
3. Первичный ДНС на керио-сервере должен быть PDC.
4. В керио должно быть убранной галке "Non trasparent...."
5. Керио должен быть настроен на Active Directory domains mapping (у мен ятолько так работало)

Цитата:

в трафик полиси: NAT, source: Authenticated users ...

Вот на счёт этого не уверен...
Лучше в http rules разрешить ТОЛЬКО авторизованным.

В Винроуте есть суточные, недельные и месячные квоты. Кто знает, как создать квоту на 1 час?

Ruza да все условия выполнены но ни в какую не хотит, ладно хрен с ним ису поставлю тем более в сети есть девайс с адресом 4.50 и доступ к нему по впн что-то под керио не работает а с виндовым впном работает, странно вообще всё это. хотя с маршрутизацией всё ок

2SHRIKE74
Реализована примерно такая же схема, причем работает уже на трех версиях (6.4.8 ... 6.5.2), единственно что при логоффе юзера отрабатывается скрипт, что бы закончить сеанс с керио и начать вести статистику нового пользователя с этого же IP при его логоне (mb это и не нужно).
Рекомендации те же что дал niichavo на верху страницы, с поправкой 6го пункта вместо "Authenticated users" у меня задан IP-диапазон (!) моей локалки указанный в Address Groups. Только в этом случае Керио у меня стал автоматически авторизовывать по NTLM...

A Kerio умеет разбивать протоколы по разным интерфейсам? А то у меня вот такая проблема... http://forum.ru-board.com/topic.cgi?forum=8&topic=30485#1

Magneta
6.4.* такого не умеет.
6.5.* по идее должен но при условии что ещё и в торрент-клиенте надо будет указать IP

Magneta нужно создать правило, по которому пакеты по этим протоколам( только ТСР) будут мапиться на другой интерфейс. Указывашь NAT для этого правила, выбираешь через какой интерфейс и куда их отправить.

Liderdomofon
судя по всему, никак

подскажиет ламеру пожалуйста, в кейро стоит что можно использовать антивирь мсafee, фаил лицензии я кинул в папку, а сам антивирь в итоге тож надо устанавливать как я понял, а какую версию ставить?
Версия Кейро 6.1.4. patch 1
PS (и вопрос при обновлении на другую версию, настройки сохраняются??)
а то только начал осваивать это дело.

AlexRT

Цитата:

а какую версию ставить?

Там встроенный есть... Ничего не надо устанавливать.

Цитата:

Версия Кейро 6.1.4. patch 1
PS (и вопрос при обновлении на другую версию, настройки сохраняются??)

Да сохраняются. НО воизбежание как говорится лучше cfg файлы сохранять при обновлении.
И ещё при переходе на 6.5.* обновляется низкоуровневый драйвер так что откат может показаться затруднительным.

А мне кто то ответит? Какой антивирь советуете привязать к керио из поддерживаемых? Виснетик помощнее макафи будет? Или лучше уж нод поставить? Да и по правилам проверки подскажите, стоит их править или тех достаточно, что бы проверять опасные запросы?