Импортировал пользователей из AD, сопоставил ip адреса, политики трфика не менял (настроены для интнрфейсов, не для пользователей) - начал считать трафик. Вопрос такой, если я введу машину с керио в домен и настрою мапинг, будут ли автоматически авторизироваться пользователи домена, а все остальные идти без авторизации (напомню, что имя и логи вводить мне не надо ни для кого - необходима прозрачная авторизация)?
» Kerio Control (ex Kerio WinRoute Firewall)
butch9383
И Вам не импорт нужен, а "отобразить пользователей...." (как-то так, там от верси к версии менялось)
Способ авторизации всецело зависит от ваших правил.
Например источник-доверенный...-протокол SMTP,POP3-разрешить---.. и почту получают и отправляют все без авторизации.
а источник-domen users...-протокол http,https-разрешить-...- и серфинг доступен только доменным пользователям (прозрачно) и "чужим" устройствам , если на нем введут правильную пару "доменный пользователь и его пароль" (трафик пойдет считаться на указанного доменного юзера.
И Вам не импорт нужен, а "отобразить пользователей...." (как-то так, там от верси к версии менялось)
Способ авторизации всецело зависит от ваших правил.
Например источник-доверенный...-протокол SMTP,POP3-разрешить---.. и почту получают и отправляют все без авторизации.
а источник-domen users...-протокол http,https-разрешить-...- и серфинг доступен только доменным пользователям (прозрачно) и "чужим" устройствам , если на нем введут правильную пару "доменный пользователь и его пароль" (трафик пойдет считаться на указанного доменного юзера.
wwladimir, я вас понял, спасибо. Но вот вопрос выше - без присваивания учетке ip адреса как сделать? Только прозрачным мапингом в домене либо вводом пароля на странице авторизации?
butch9383
А какие Вы еще знаете способы аутентификации-по голосу ?
Можете выделить участок адресов или целую подсеть откуда можно ходить бесконтрольно.
Встроенный DHCP (если не пользуете доменный) позволит через резервирование получать телефоном всегда один и тот же адрес.
А какие Вы еще знаете способы аутентификации-по голосу ?
Можете выделить участок адресов или целую подсеть откуда можно ходить бесконтрольно.
Встроенный DHCP (если не пользуете доменный) позволит через резервирование получать телефоном всегда один и тот же адрес.
Цитата:
Например источник-доверенный...-протокол SMTP,POP3-разрешить---.. и почту получают и отправляют все без авторизации.
а источник-domen users...-протокол http,https-разрешить-...- и серфинг доступен только доменным пользователям (прозрачно) и "чужим" устройствам , если на нем введут правильную пару "доменный пользователь и его пароль" (трафик пойдет считаться на указанного доменного юзера.
Я это понимаю. Но пока мне надо только, чтобы статистика по доменным пользователям отображалась в статистике керио под их учетками, а все остальные шли как и сейчас идут. Доступ при это должен быть у всех...
Добавил керио в домен. Немного странно себя ведет - по одному юзеру считает, по другому нет. В чем может быть косяк?
В общем, добился нужного поведения. Правда, в домен не хотелось вводить. Но без сопоставления аккаунтов (что требует в свою очередь ввода в домен) пользовательский трафик не разделяет
Добавлено:
PS Такое ощущение, что только одного пользователя и считает...непонятно.
Yaromaxx
Геморный способ, сейчас стоит ISA, там таких выкрутасов не надо делать.
Геморный способ, сейчас стоит ISA, там таких выкрутасов не надо делать.
AkeHayc
У меня кроме керио тоже пара isa2006 в продакшн, но там что бы такую красивую статистику получить надо доп софт купить за хорошие деньги.
Или екселем руками из логов набивать... А что-бы все, что есть, работало еще и ISA клиента на каждую машину поставить.
Керио -продукт очень дружественный к админу (а иса конечно просто в другой весовой категории ).
У меня кроме керио тоже пара isa2006 в продакшн, но там что бы такую красивую статистику получить надо доп софт купить за хорошие деньги.
Или екселем руками из логов набивать... А что-бы все, что есть, работало еще и ISA клиента на каждую машину поставить.
Керио -продукт очень дружественный к админу (а иса конечно просто в другой весовой категории ).
wwladimir
Да у нас всего 10 компов, спрыгну на linux решение.
Проверку по IP поставлю.
Да у нас всего 10 компов, спрыгну на linux решение.
Проверку по IP поставлю.
Просветите со статистикой пользователей. Сразу как добавил керио в домен на одного юзера стало собирать статистику, в описании хоста показало авторизация - автоматическая, т.е. все как надо. По остальным юзерам статистику не показывает. Ребутнул машину с керио - перестало показывать и по тому, что показывало. В общем кто знает объясните, можно ли в керио БЕЗ ПРИНУДИТЕЛЬНОЙ авторизации сделать так, чтобы трафик доменных юзеров делился и отображался в статистике, всех остальных - просто в кучу как и по дефолту? Спасибо.
butch9383
Так я последние 4 наверно поста уже "роман" на эту тему написал, всю инструкцию своими словами изложил. Перечитайте, вдруг чё полезное есть. У меня никто (и никуда кстати, ни в 1с ни в интернет) второй раз пароли не вводит, только лгон в систему. Все считается замечательно.
Задите в "активные хосты", там в столбце пользователя что указано напротив активных машин... Есть доменные юзеры ?
AkeHayc
На 10 машин . Я с PfSense экспериментировал. Очень понравился чертик. Вот его я с доменом скрестить не осилил... А Вам советую, попробуйте. http://forum.ru-board.com/topic.cgi?forum=8&topic=33373#1
Так я последние 4 наверно поста уже "роман" на эту тему написал, всю инструкцию своими словами изложил. Перечитайте, вдруг чё полезное есть. У меня никто (и никуда кстати, ни в 1с ни в интернет) второй раз пароли не вводит, только лгон в систему. Все считается замечательно.
Задите в "активные хосты", там в столбце пользователя что указано напротив активных машин... Есть доменные юзеры ?
AkeHayc
На 10 машин . Я с PfSense экспериментировал. Очень понравился чертик. Вот его я с доменом скрестить не осилил... А Вам советую, попробуйте. http://forum.ru-board.com/topic.cgi?forum=8&topic=33373#1
Цитата:
Задите в "активные хосты", там в столбце пользователя что указано напротив активных машин... Есть доменные юзеры ?
Нет, в том то и дело. Хотя сразу 1 пользователь появился (правда, я этого пользователя до того привязал к айпи - еще до ввода машины с керио в домен, может поэтому он и появился). После ребута машины с керио и этот пропал. Может тут какие-то момента с днс, в факе указано, что на клиенте надо прописывать праймари днс керио, а на керио форвардинг включать. Делал и так - безрезультатно.
Либо нюансы в правилах трафика - но тоже пробовал ставить только авторизованных - перестало пускать всех
В общем, смысл в том, что автоматическая авторизация не работает, только если ручками в браузере. Вопрос почему.butch9383Я же уже писал-обязательно должно стоять "всегда требовать аутентификацию..." Без этого работать не будет.
А дальше выясняйте почему пользователи не получают доступ (а если они вводят доменное имя и пароль - доступ получают ? Или все-таки нет ?).
Если пускает при вводе руками-разбираемся с браузерами и NTLM.
Если все равно нет доступа- с правилами трафика керио.
И проверьте, что в правило для локальной сети сети входит и сам керио, и что это правило вверху.
А лучше покажите Ваши настройки.
А дальше выясняйте почему пользователи не получают доступ (а если они вводят доменное имя и пароль - доступ получают ? Или все-таки нет ?).
Если пускает при вводе руками-разбираемся с браузерами и NTLM.
Если все равно нет доступа- с правилами трафика керио.
И проверьте, что в правило для локальной сети сети входит и сам керио, и что это правило вверху.
А лучше покажите Ваши настройки.
wwladimir
смотрите. На счет всегда требовать аутентификацию. Если так выставить инет отвалится у тех, кто ходит без доменной авторизации (и ручками вводить имя пароль тоже не надо).
Второй момент. Я вот сейчас с доменного клиента запустил IE. Открываю сайт - трафик не считает. Зашел на страницу керио - мне автоматически (без ввода ручками имени и пароля) отобразило статистику по данному пользователю и пошло считать трафик. Как это можно объяснить, и как правильно настроить, чтобы доменных учитывало, а остальных пускало без учета?
Мои настройки по дефолту после мастера: доверенные - интернет интерфейсы-хттп/хттпс и т.д-пускать-нат.
смотрите. На счет всегда требовать аутентификацию. Если так выставить инет отвалится у тех, кто ходит без доменной авторизации (и ручками вводить имя пароль тоже не надо).
Второй момент. Я вот сейчас с доменного клиента запустил IE. Открываю сайт - трафик не считает. Зашел на страницу керио - мне автоматически (без ввода ручками имени и пароля) отобразило статистику по данному пользователю и пошло считать трафик. Как это можно объяснить, и как правильно настроить, чтобы доменных учитывало, а остальных пускало без учета?
Мои настройки по дефолту после мастера: доверенные - интернет интерфейсы-хттп/хттпс и т.д-пускать-нат.
Мне нечего добавить к тому, что я уже сказал, к сожалению...
А на риторические вопросы я отвечать не умею.
P.S. Трафик считается, естественно не "побитно, в режиме реального времени" а после закрытия (окончания) конкретной сессии.
А на риторические вопросы я отвечать не умею.
P.S. Трафик считается, естественно не "побитно, в режиме реального времени" а после закрытия (окончания) конкретной сессии.
братцы, подскажите можно ли в Kerio WinRoute Firewall сделать два интернет подключения.
то есть суть такая, есть сеть 1.0 в ней одни пользователи ходят на сетевой адрес 10.1 для получения инета, а другие на 10.2. Как то попробовал, но возникли проблемы с основнвм шлюзам. как такое сделать??
то есть суть такая, есть сеть 1.0 в ней одни пользователи ходят на сетевой адрес 10.1 для получения инета, а другие на 10.2. Как то попробовал, но возникли проблемы с основнвм шлюзам. как такое сделать??
Добрый день помогите с настройками kerio
http://s1.ipicture.ru/uploads/20120210/3nR2LU1L.jpg
не возможно присоединится к серверу 192.168.0.3 выкидывает с ошибкой через несколько секунд.
Причем в логах [10/Feb/2012 10:08:40] [ID] 114344 [Rule] rdp access [Connection] TCP 89-178-154-218.broadband.corbina.ru:53088 -> srv3.ИмяДомена.local:3389 [Duration] 90 sec [Bytes] 152/0/152 [Packets] 3/0/3
К самому прокси серверу коннектится нормально.
http://s1.ipicture.ru/uploads/20120210/3nR2LU1L.jpg
не возможно присоединится к серверу 192.168.0.3 выкидывает с ошибкой через несколько секунд.
Причем в логах [10/Feb/2012 10:08:40] [ID] 114344 [Rule] rdp access [Connection] TCP 89-178-154-218.broadband.corbina.ru:53088 -> srv3.ИмяДомена.local:3389 [Duration] 90 sec [Bytes] 152/0/152 [Packets] 3/0/3
К самому прокси серверу коннектится нормально.
wwladimir
значит мы о разных вещах говорим. У меня счетчик трафика работает в режиме реального времени.
PS Вопросы не риторические, я просто пытался разобраться в специфике подсчета трафика. В любом случае, спасибо за помощь.
значит мы о разных вещах говорим. У меня счетчик трафика работает в режиме реального времени.
PS Вопросы не риторические, я просто пытался разобраться в специфике подсчета трафика. В любом случае, спасибо за помощь.
butch9383
Цитата:
для этих товарищей ставишь авторизацию по IP адресу, привязав их к одной учётной записи, при помощи группы IP адресов(банальный диапазон укажешь и хватит)
Цитата:
так происходит потому, что ты не требуешь обязательной аутентификации, причём следующее предложение:
Цитата:
указывает на то, что NTLM ты уже таки настроил.
Добавлено:
Colos
включи логирование дропнутых пакетов в debug и посмотри почему дропает, если их контрол вообще дропает а не локальный сервак.
alik_zmey
вот ведь не понял, то ты хочешь сделать дву внещних линка, то два локальных шлюза, чего ты хочешь-то? в контроле много чего можно сделать, точнее задачу обрисуй.
Цитата:
На счет всегда требовать аутентификацию. Если так выставить инет отвалится у тех, кто ходит без доменной авторизации (и ручками вводить имя пароль тоже не надо).
для этих товарищей ставишь авторизацию по IP адресу, привязав их к одной учётной записи, при помощи группы IP адресов(банальный диапазон укажешь и хватит)
Цитата:
Второй момент. Я вот сейчас с доменного клиента запустил IE. Открываю сайт - трафик не считает.
так происходит потому, что ты не требуешь обязательной аутентификации, причём следующее предложение:
Цитата:
зашел на страницу керио - мне автоматически (без ввода ручками имени и пароля) отобразило статистику по данному пользователю и пошло считать трафик.
указывает на то, что NTLM ты уже таки настроил.
Добавлено:
Colos
включи логирование дропнутых пакетов в debug и посмотри почему дропает, если их контрол вообще дропает а не локальный сервак.
alik_zmey
вот ведь не понял, то ты хочешь сделать дву внещних линка, то два локальных шлюза, чего ты хочешь-то? в контроле много чего можно сделать, точнее задачу обрисуй.
Colos
Шлюзом на сервере терминалов керио указан ?
butch9383
Счетчик Вы смотрите на вкладке "активные хосты" ? Справа внизу строка "интервал обновления" (10 сек) и ручная кнопка "обновить" - это реалтаймои Вы называете ????
Или в базе данных Star на вкладке "статистика по пользователям " цифры трафика бегут-бегут ???
Шлюзом на сервере терминалов керио указан ?
butch9383
Счетчик Вы смотрите на вкладке "активные хосты" ? Справа внизу строка "интервал обновления" (10 сек) и ручная кнопка "обновить" - это реалтаймои Вы называете ????
Или в базе данных Star на вкладке "статистика по пользователям " цифры трафика бегут-бегут ???
Tihon_one
По поводу конфига - увы вложение файлов не допускается, а любое форматирование слетает при отправке. Могу кинуть файлы на E-mail
По поводу конфига - увы вложение файлов не допускается, а любое форматирование слетает при отправке. Могу кинуть файлы на E-mail
alexbs
скринами лучше всего
скринами лучше всего
Tihon_one
Pardon, я чего-то не догоняю...
Разве скрины можно включать в сообщение?
Pardon, я чего-то не догоняю...
Разве скрины можно включать в сообщение?
alexbs
не офтопь, ты скрины может выложить куда хочешь, и постить линки,.
не офтопь, ты скрины может выложить куда хочешь, и постить линки,.
Цитата:
для этих товарищей ставишь авторизацию по IP адресу, привязав их к одной учётной записи, при помощи группы IP адресов(банальный диапазон укажешь и хватит)
Можно поподробнее? Имеется ввиду создать любую учетку, например, в локальной базе, привязать к ней диапазон ip и пустить в инет правилом? Тогда будет работать и с принудительной авторизацией? Доменных пускать вторым правилом в трафик полиси?
Цитата:
Счетчик Вы смотрите на вкладке "активные хосты" ? Справа внизу строка "интервал обновления" (10 сек) и ручная кнопка "обновить" - это реалтаймои Вы называете ????
А разве нет? То что в керио стар инфа отображается по завершении сесси я понимаю, вопрос не про стар был. А про то, что если трафик начал считаться то сразу на странице со счетчиками это можно отследить.
butch9383
Цитата:
да именно так, вот только для IP авторизации не рекомендую прописывать правила в источнике где указан пользователь, лучше группы IP указывать.
а для NTLM аутентификации можешь настраивать как тут: http://manuals.kerio.com/control/adminguide/en/sect-usersinrules.html
Цитата:
Можно поподробнее? Имеется ввиду создать любую учетку, например, в локальной базе, привязать к ней диапазон ip и пустить в инет правилом? Тогда будет работать и с принудительной авторизацией? Доменных пускать вторым правилом в трафик полиси?
да именно так, вот только для IP авторизации не рекомендую прописывать правила в источнике где указан пользователь, лучше группы IP указывать.
а для NTLM аутентификации можешь настраивать как тут: http://manuals.kerio.com/control/adminguide/en/sect-usersinrules.html
Tihon_one, спасибо, понял. Но остается такой момент - если пользователь до запуска браузера запустит, например, ICQ - его не пустит. Пока браузер не откроет. Это как нибудь решается?
butch9383
да, решается логон скриптом, который запустит IE после логона в системе и авторизует по NTLM незаметно для пользователя.
да, решается логон скриптом, который запустит IE после логона в системе и авторизует по NTLM незаметно для пользователя.
Tihon_one
У меня просто выше стоит правило "без авторизации" -pop3,smtp,ntp,icq=5190 (источник - доверенные и брандмауэр , назначение - интернет, разрешить). Трафик по ним я не считаю.
Были раньше еще DNS и IRC, RTP-VOIP,UVNC и еще по мелочи..., теперь только от "избранных" адресов оставил.
Посчитал сейчас, 60 строк в трафикполиси.
У меня просто выше стоит правило "без авторизации" -pop3,smtp,ntp,icq=5190 (источник - доверенные и брандмауэр , назначение - интернет, разрешить). Трафик по ним я не считаю.
Были раньше еще DNS и IRC, RTP-VOIP,UVNC и еще по мелочи..., теперь только от "избранных" адресов оставил.
Посчитал сейчас, 60 строк в трафикполиси.
wwladimir
а что делать в таком случае с сервисами вроде skype и live messenger? Как их пустить без авторизации, если они используют http и https для своей работы?
а что делать в таком случае с сервисами вроде skype и live messenger? Как их пустить без авторизации, если они используют http и https для своей работы?
Признаюсь, не знаю.
Но пока ни у одного пользователя домена скайп пароль не просил (хитрож.. все же софтина), все работает.
И продукты Адобе и Гугль за обновлениями тоже ходят молча, авторизуются прозрачно. Вообще, когда керио в домене, прозрачная авторизация работает как-то по другому (может через билеты Керберос), я так глубоко не копал. Ибо проблем не возникало.
Вот с некоторыми клиентами ICQ было, и они бывают и сейчас теряют соединение,
когда керио переключается между провайдерами (но у нас аська- дело личное юзера).
В худшем случае почти у всех таких программ в настройках соединения можно вручную указать параметры прокси и имя доменного пользователя и пароль (вот, с некоторых пор консультант+ на одном из серверов не всегда получал доступ, не смотря на авторизацию по IP, пришлось ему запоминать пароль-логин в настройках).
И правило, выше доменного, можно написать- источник все(или сеть, интерфейс,и т.д.)-назначение группа ip-адресов серверов Skype, разрешить. И народ будет попадать туда просто так, а в остальные места по следующему ниже правилу...
Одним словом-проблемы возникнут, тогда и решайте.
А теоретически спрогнозировать все (есть еще всякие банк-клиены со своими фаерволами и виртуальными сетями и "чудное" поведение SIP, вернее RTP протокола за NAT) заранее наверно не возможно. Иначе бы мы без работы сидели.
Но пока ни у одного пользователя домена скайп пароль не просил (хитрож.. все же софтина), все работает.
И продукты Адобе и Гугль за обновлениями тоже ходят молча, авторизуются прозрачно. Вообще, когда керио в домене, прозрачная авторизация работает как-то по другому (может через билеты Керберос), я так глубоко не копал. Ибо проблем не возникало.
Вот с некоторыми клиентами ICQ было, и они бывают и сейчас теряют соединение,
когда керио переключается между провайдерами (но у нас аська- дело личное юзера).
В худшем случае почти у всех таких программ в настройках соединения можно вручную указать параметры прокси и имя доменного пользователя и пароль (вот, с некоторых пор консультант+ на одном из серверов не всегда получал доступ, не смотря на авторизацию по IP, пришлось ему запоминать пароль-логин в настройках).
И правило, выше доменного, можно написать- источник все(или сеть, интерфейс,и т.д.)-назначение группа ip-адресов серверов Skype, разрешить. И народ будет попадать туда просто так, а в остальные места по следующему ниже правилу...
Одним словом-проблемы возникнут, тогда и решайте.
А теоретически спрогнозировать все (есть еще всякие банк-клиены со своими фаерволами и виртуальными сетями и "чудное" поведение SIP, вернее RTP протокола за NAT) заранее наверно не возможно. Иначе бы мы без работы сидели.
Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108
Предыдущая тема: Автоматическое удаление папок и файлов старше x дней
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.