» Kerio Control (ex Kerio WinRoute Firewall)

ребят чет у меня не работает балансировка нагрузки:
знач так 2 сетевые карты смотрят на роутеры 2 провайдеров.



правила балансировки


указываю пропускную способность инет интерфейсов 1 мбит\1мбит (реально 4\4, не это не суть)
начинаю многопоточную закачку - в итоге трафик идёт по одному интерфейсу ( с наименьшим пингом) никакой балансировки и в помине нет. хотя торрент стал качать и тогда трафик побежал таки по 2 фейсу, но один раз не адидас.
правда переподключение при отказе работает корректно (выдирал кабель 1 прова, траффик корректно бежал через другого провайдера)
что делать, как быть? помогите

diamondxxx

Цитата:

не работает балансировка нагрузки:

Цитата:

начинаю многопоточную закачку - в итоге трафик идёт по одному интерфейсу

Потомушто это балансировка нагрузки а не закачки.

Ребят какой антивирусный плагин можете посоветовать, прикрутил и обновлялся!!! до этого стоял Visnetic. Kerio Connect
* Dropped support for Visnetic antivirus plugin. * после чего посоветовал поставить другой плагин. Какой антивирусный плагин лучше

Цитата:

Потомушто это балансировка нагрузки а не закачки.

объясните пожалуйста чуть развернутей.

В общем ситуация такая:
Стоит керио 7,0,1
Создал пользователей, привезал каждого к определенному ип с автоматической аунтефекацией, Избранных добавил в групу и разрешил этой групе ходить в инет, в целом всё нормальна работает, но почему то некоторых пользователей керио автоматом не авторизовывает, т.е. инета нет хоть открываеш странички, скайп или аську без разницы, но стоит просто пингануть какой либо сайт и всё нармально заработало. В чём может быть трабла подскажите, может кто то сталкивался сей проблемой.

diamondxxx

Цитата:

объясните пожалуйста чуть развернутей.

Балансировка соединений между каналами, если один канал нагружен, то соединения кидаются на второй канал. Если соединение установлено через один канал, то керио его уже никуда не перекинет пока оно не разорвется.
StrangerUz
Скрин правил, пожалуйста.

freewood
вот http://pixs.ru/showimage/111JPG_1299353_2468872.jpg

StrangerUz
не повториться ли ситуация если не пингануть и почту загрузить или ICQ запустить?

Tihon_one
Нет не почта не аська нечего не грузится, так тока на некторых кампах, остальные нармально работают.

Добавлено:
Tihon_one
ICQ не пробовал, а вот почту аутлук не забирает, более того заметил на двух кампах что аутлук отказывается забирать почту через 110 порт, а вот через 995 SSL забирает.
Может стоит обновить версию ?

Добавлено:
И ещё такой вапрос, возможно ли в Керио сделать две аунтификации, ну вот например для одного диапозона ип авторизация будет автоматической по ИП, а вот для другова уже по log&pas

StrangerUz
так ну ты смотри, если такой косяк что не забирает почту по не шифрованному 110, то попробуй отключить инспектор протоколов для протокола pop3 в настройках служб Kerio, скорее всего тут косяк(не твой а шлюза)


Цитата:

И ещё такой вапрос, возможно ли в Керио сделать две аунтификации, ну вот например для одного диапозона ип авторизация будет автоматической по ИП, а вот для другова уже по log&pas

а вот этого не понял, покажи как у тебя сейчас настроена авторизация по ip адресу.

Tihon_one
Создал пользователей, и там же при создании задал ип хосту, В Параметрах Аунтефикации поставил галочку на "Включить автоматическое выполнение аунтефекации пользователя веб обозревателями".
Теперь имеется Вай фай, и нужно сделать так что б после того как ДШТП даст ип хоту (например 192.168.3.100-192.168.3.150) запрашивал логин пароль, это для тех у кого нотбуки.
Кстати проблема с тем что некоторых пользователей не пускал в инет пока не пингаёш, решил тем что дабавил в "правила трафика" ИП адрес хоста, думаю что это скорей всего недоработка разработчиков.
И ещё такой момент, кто нибудь пробрасывал порты радмина на другую машину ?
А то у меня что то не хочет работать.

StrangerUz
касаемо комбинированной авторизации, автоматом она будет лишь у тех, у кого в свойствах учётки прописан ip, у кого не прописан будет запрос логина и пароля. это делается на раз два, на пальцах рисовать не буду, не сложно, тем более, что ничего делать не надо, только поставить отметку "всегда требовать авторизации пользователей при доступе к вебстраницам"

что касаемо
Цитата:

умаю что это скорей всего недоработка разработчиков.

нет, это ваша невнимательность, читайте мануалы: http://manuals.kerio.com/control/adminguide/en/sect-usersinrules.html


Цитата:

И ещё такой момент, кто нибудь пробрасывал порты радмина на другую машину ?

делали и не раз, скрин политик трафика, как вы это делали, а так же ipconfig /all с клиента на которой вы пробрасываете порт.

Всем доброго времени суток!
Столкнулся с такой проблемой. Имеем ДК Win2008R2 SP1 + Kerio 6.7.1 3339/ Kerio 7.1.2 2333 при попытке добавить базу пользователей домена получаю ошибку:
(8503:-11) Active Directory/LDAP error: domain.local: Connect error

Цитата:

нет, это ваша невнимательность, читайте мануалы:

И что же я не внимательно сделал ? Скрин привёл на 77 странице.
Прочёл мануал, у меня стоит тоже самое, тока в место пользователей стоит группа, в которую эти пользователи включены.
И стоит автоматическая аутентификация как я писал выше.

машина на которую надо пробросить радмин. Порт радмина стоит по умолчанию (4899)
DNS-суффикс этого подключения . . :
Физический адрес. . . . . . . . . : 00-30-48-C9-E7-8
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.3.201
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.3.254
DNS-серверы . . . . . . . . . . . : 192.168.3.201
192.168.3.200


Керио
Правила трафика - http://pixs.ru/showimage/111JPG_1299353_2468872.jpg
Служба Radmin - http://pixs.ru/showimage/Sluzhbarad_9540854_2476760.jpg

StrangerUz
читайте вдумчивей, вот для размышлений скрин из мануала



дальше я пояснять не могу, ибо пальцы устали печатать одно и тоже, думаю вы сможете разобраться.

по поводу правил, похоже что всё в порядке, включите лог пакетов на правиле для радмина,и лог дропнутых пакетов в debug логе контрола, повторите попытку подключения и скиньте логи сюда.


так же 192.168.3.254 это локальный ip контрола?

По поводу радмина проблему решил, заработало как то само сабой.

А вот по поводу доступа в интернет, я Вас не понимаю, или вы не понимаете меня, может тогда объясните для чего нужны группы ?
Когда вам нужно дать доступ к папке определённым юзверям вы добавляете каждого отдельно или создаете группу суёте этих пользователей в группу, и даёте лишь один доступ этой группе ?
Можно сделать и так и так, каму как удобней, но разницы по моему не какой нету.

StrangerUz
не тупите, пожалуйста, а читайте главу мануала http://manuals.kerio.com/control/adminguide/en/sect-usersinrules.html вдумчиво и со словарём, если есть проблемы с пониманием.

Tihon_one
Это вы по моему тупите, вы его сами читали те ?
Вот вам первый же абзац из вашего же мануала

Цитата:

В правилах дорожного движения, источника / назначения могут быть указаны также учетные записи пользователей и / или групп пользователей. В политике трафика, каждая учетная запись пользователя [b]представляет IP-адрес хоста,[/b] с которого пользователь подключен. Это означает, что правило применяется к пользователям аутентификацию на брандмауэре только (когда пользователь выходит из системы, правило не действует больше). Эта глава ориентирована на различные вопросы, связанные с использованием учетных записей пользователей в правила дорожного движения, а также советы по их решению.

А теперь посмотрите ещё раз на мой скрин и скажите что там не так, если вы считаете что вы правы.
Вы по моему не вникли в суть проблемы, советую вам внимательней читать прежде чем выводить такие резки выводы!

Цитата:

Это вы по моему тупите, вы его сами читали те ?

Да по мануалу вроде все понятно и действительно

Цитата:

Когда вам нужно дать доступ к папке определённым юзверям вы добавляете каждого отдельно или создаете группу суёте этих пользователей в группу, и даёте лишь один доступ этой группе ?
Можно сделать и так и так, каму как удобней, но разницы по моему не какой нету.

но если бы мануал решал все проблемы и форумов таких бы не было, горькая правда в том что керио обрабатывает правила для групп и для юзеров по разному
если юзер, пока он еще не авторизован открывает в браузере страничку:
- в случае правил с юзерами - фаервол не знает что это за юзер и отправляет его на страницу авторизации и после нее или применяет правило или нет
- в случае правил с группой - если юзер уже авторизован, фаервол проверяет его принадлежность к группе а если еще нет - то этот юзер НИКТО, а НИКТО в эту группу точно не входит и никакой отправки его на страницу авторизации не происходит.
Это плохо и неудобно но деваться некуда (пишите разработчику), поэтому группы есть смысл использовать в двух случаях,
1. если авторизация автоматическая с привязкой по IP
2. если авторизация принудительная, с помощью логон-скрипта.

StrangerUz
уважаемый Valery12 написал то, что уже не один праз обсуждалось тут и на других схожих ресурсах.


и прошу заметить в мануале об этом сказано, вот цитата


Цитата:

However, with such a rule defined, all methods of automatic authentication will be ineffective (i.e. redirecting to the login page, NTLM authentication as well as automatic authentication from defined hosts). Automatic authentication (redirection to the login page) is performed at the very moment of establishing connection to the Internet. However, this NAT rule blocks any connection unless the user is authenticated.

думаю сами сможете перевести, и ведь всего лишь через скрин от вашей циаты и непосредственно перед скрином который я вам приводил ранее.

StrangerUz

Мущщина, не кипятитесь, Вы хотите чтобы Вам помогли, или Вас послали?
Вот, лично я, до сих пор не понял, что у Вас не работает, В ДАННЫЙ МОМЕНТ?

Фраза StrangerUz 12:20 07-07-2011
Цитата:

Кстати проблема с тем что некоторых пользователей не пускал в инет пока не пингаёш, решил тем что дабавил в "правила трафика" ИП адрес хоста, думаю что это скорей всего недоработка разработчиков.

не понятна вообще, "не пингаёш" кого? в какие "правила трафика"? "ип адрес" какого хоста?

Потрудитесь изъясняться более внятно, выделите проблемы, и без гонору, и Вам помогут.

Добавлено:
Valery12


Цитата:

если юзер, пока он еще не авторизован открывает в браузере страничку:
- в случае правил с юзерами - фаервол не знает что это за юзер и отправляет его на страницу авторизации и после нее или применяет правило или нет
- в случае правил с группой - если юзер уже авторизован, фаервол проверяет его принадлежность к группе а если еще нет - то этот юзер НИКТО, а НИКТО в эту группу точно не входит и никакой отправки его на страницу авторизации не происходит.

Извините, вот этого не понял, что значит "обрабатывает по-разному", по моему всё достаточно логично.
Авторизация - отдельно, правила доступа - отдельно.

У нас есть правило x->inet all allow.
Вы хотите сказать, что если х - юзер, и заходит неавторизованый юзер, то его автоматически перешлет на страницу авторизации? Не верю...

Starshark2007
Да я и не кипячусь.

Цитата:

не понятна вообще, "не пингаёш" кого?

Да любой ресурс, хоть мэйл ру.

Цитата:

в какие "правила трафика"?

А что в керио несколько "правил трафика" ?

Цитата:

"ип адрес" какого хоста?

ип адрес хоста у которого не работает инет естественно.

И гонору у меня не какого нету.

Valery12
Спасибо за то что подробно объяснили, но у меня как раз таки 1 случай.
Автоматическая авторизация с привязкой айпи к имени пользователя.

Я понимаю если б вапще не у кого не работало тогда бы я задумался почему, как и где я мог упустить, но работает автоматически почти у всех пользователей которые входят в группу. Трабла тока с четырьмя хостами, поэтому и задался вопросом почему.......????
Но ответа так и не нашол, хотя перековырял уже всё!

Цитата:

по моему всё достаточно логично

а по мне было бы логично, при обработке правила с группой на HTTP или HTTPS, если пользователь еще не залогинился не пропускать это правило а заставить пользователя ввести логин и пароль а потом проверить его принадлежность к группе, но видимо при этом будет нарушен механизм просмотра правил только один раз за один проход.

Цитата:

У нас есть правило x->inet all allow.
Вы хотите сказать, что если х - юзер, и заходит неавторизованый юзер, то его автоматически перешлет на страницу авторизации? Не верю...

только при работе через браузер, если это другой протокол или пусть даже HTTP но в инет выходит например wget то никакой авторизации и соответственно доступа. Такое правило будет причиной большой головной боли.


Добавлено:

Цитата:

Спасибо за то что подробно объяснили, но у меня как раз таки 1 случай.
Автоматическая авторизация с привязкой айпи к имени пользователя

а вот отсюда как раз и
Цитата:

некоторых пользователей не пускал в инет пока не пингаёш

пинг при привязке пользователя к IP приводит к автоматической авторизации и после этого правила работают.

Цитата:

пинг при привязке пользователя к IP приводит к автоматической авторизации и после этого правила работают.

Да....правильно, но почему не авторизовывает их по тому же запросу веб-браузера ?
Ведь голочка "Включить автоматическое выполнение авторизации пользователя Веб обозревателями" стоит. ???
Про это я писал в самом начале, на что мне уважаемый Tihon_one ответил я сам невнимательный и туплю.

Установил Kerio Control 7.1.2 Build 2333 на WinXP. Это единственный DNS в одноранговой сети. Сетевой интерфейс в Интернет подключен к ADSL модему провайдера, который настроен на соединение по PPPoE (т.е. сам устанавливает подключение). Не могу добиться правильной настройки форвардинга ДНС на ДНСы провайдера. Страницы в браузерах не открываются. Я их (ДНСы провайдера) уж прописывал принудительно во внешний интерфейс и в Конфигурация -> ДНС -> Переадресация (по кнопке "Определить"), ничего не спасает. Всё глухо. В Трафик полиси с доверенных локальных открыты все службы в интернет (по умолчанию). В правилах HTTP, тоже пока ничего не ограничивал. Перечитал все старые мануалы и FAQ. Пробовал как написано. Засада какая-то. Перестанавливать тоже пробовал. Ставил даже последнюю версию WF. Одинаково глухо! В сети с DNS AD такой засады не встречал, а тут попался. Спасайте, пожалуйста! Подскажите, плиз, где я накосячил или что ещё почитать.

StrangerUz

Видимо потому, что у Вас в том правиле не указан протокол HTTP - вот и не авторизует. Логично?

Лично для себя я уяснил один тонкий момент, попробую выразиться вразумительно.

Начнем с простого - Для того что бы срабатывали правила с "пользователями" эти самые пользователи должны каким либо образом предварительно авторизоваться.
В случае с авторизацией способом "переадресацией на шлюз" анонимный пользователь должен _предварительно_ попасть под какое-либо разрешительное правило с http, которое его на шлюз и переадресует.

В Вашем случае такого правила нет. Вот нет и авторизации. Всё логично.

По картинке Ваше второе правило разрешает всякую фигню, но не http.
Третье правило действует, только на уже авторизованых юзеров, а он еще НИКТО.


Добавлено:
DmitrySenkov

А на клиентах шлюз как DNS прописали?

Starshark2007


Цитата:

А на клиентах шлюз как DNS прописали?

На клиентах шлюз и DNS - это IP внутреннего интерфейса Kerio. Пробую с самого хоста с Керио, ни одна страница не открывается. Подвинул локальный интерфейс на самый верх в порядке опроса в дополнительных сетевых настройках (как рекомендовали на стр.29). Тоже ничего. Останавливаю сервис Керио - всё замечательно открывается с самого хоста.

DmitrySenkov
А пробывали на интерфейсе, к которому подключён модем в качестве DNS прописывать IP адрес модема? На локальном интерфейсе я так понимаю прописан только IP с маской? Не могли бы выложить скриншот правил kerio?

DmitrySenkov

Кстати да, а зачем же Вы модемом PPOE делаете? Ведь тогда всё намного запутаннее, лишний хоп, лишняя маршрутизация. Надлежащей, видимо, у Вас и нету.
Опять же, особо грамотный юзверь, узнав адрес модема, может и мимо керии в инет пойтить, а Вы даже не узнаете ничего.

Вы сделайте модем бриджом, установите на керио ппое соединение, которое получит внешний адрес и всё будет телемаркет, обещаю
И нагрузку с модема снимете, они не любят когда их нагружают шифрованией - виснут.

Если всё же хотите оставить как есть, тогда кроме правил трафика, давайте таблицу интерфейсов и маршрутизации.

Доброго!
Поставил недавно сабж 7.1,
добавил ВПН сервер + 2 туннеля, собираюсь соединить офисы. соединил.
Такой вопрос - как должно выглядеть правило, разрешающее трафик для подсетей?
в керио почитал ман, но не разобрался немного с ТП.
В мане должно из коробки работать, сети должны видеть друг друга, а у меня только пингуются шлюзы 60.1 и 80.1 - хосты керии через подключенный из дому впн клиент. другие машины из подсетей не пингуются.
http://s1.ipicture.ru/uploads/20110711/lKGQRFkK.jpg
ТП одинаковые сделал на обоих концах.