Dkgnim33
Цена этой байды на открытом коде приравнивается к цене Керио.
Грустный финал красивой сказки open source
Цена этой байды на открытом коде приравнивается к цене Керио.
Грустный финал красивой сказки open source
» Kerio Control (ex Kerio WinRoute Firewall)
Всем привет, собственно есть проблема с организацией сего дела.
Имеется:
Домен на Windows 2003
Имеется KFW 6.5.0 установленный на Windows 2003 STD, находится в домене
Имеются в политике траффика правила:
Разрешение на открытие http страниц
Разрешение на интернет Авторизированным пользователям
В параметрах аутентификации имеются галочки:
Всегда требовать аутентификаии пользователей
Включить автоматическию аутентификацию веб-браузерами
Вкладка Active Directory:
Галочка стоит - Перенести учетные записи из домена: значение - domain.local
Имя пользователя\пароль: верны
Галочка стоит - Включить аутентификацию домена Windows NT для данного домена: значение - file-srv
Учетки с домена импортировались
В свойствах обозревателя выставляю везде автоматический вход под пользователем и паролем
Пытаюсь зайти на сайт, а он мне "Давай логин и пароль". вообще не проходит таким макаром вход. Хотя если ввести логин и пароль в этой странице, то инет появляется.
Куды капать?
Имеется:
Домен на Windows 2003
Имеется KFW 6.5.0 установленный на Windows 2003 STD, находится в домене
Имеются в политике траффика правила:
Разрешение на открытие http страниц
Разрешение на интернет Авторизированным пользователям
В параметрах аутентификации имеются галочки:
Всегда требовать аутентификаии пользователей
Включить автоматическию аутентификацию веб-браузерами
Вкладка Active Directory:
Галочка стоит - Перенести учетные записи из домена: значение - domain.local
Имя пользователя\пароль: верны
Галочка стоит - Включить аутентификацию домена Windows NT для данного домена: значение - file-srv
Учетки с домена импортировались
В свойствах обозревателя выставляю везде автоматический вход под пользователем и паролем
Пытаюсь зайти на сайт, а он мне "Давай логин и пароль". вообще не проходит таким макаром вход. Хотя если ввести логин и пароль в этой странице, то инет появляется.
Куды капать?
LooDev
статья в базе знаний
статья в базе знаний
Парни никто не победил рекапчу на Хабре? Он, скотина, второй зачем то туда обращается, капча меняется, в браузере одна, а в сессии другая. Перекрутили секьюрность админы Хабра?
если подключаюсь по rdp к хосту на котором фаервол и делаю пусть и небольшие изменения в правилах трафика, то сессия отваливается - "Обнаружена ошибка протокола на клиентском компьютере (код 0х1104), сессия будет отключена" и уже подкл никак, тока консольно...
че занах такой?
ниче себе сам не запрещаю...
че занах такой?
ниче себе сам не запрещаю...
Еще раз добрый день !
Удалось подружить Керио 7.4.1 Build 5051 с IIS который на этом же компе поднят, путём патчинга по адресу ===> ukaip86.exe winroute.exe -l license\license.key -p --force-trial-for-plugins-with-license --enable-kerio-to-esoft-redirect --enable-custom-license-server-for-webfilter=http://*****.com/ avirplugins\avir_sophos.dll -Ss localhost -j ukerav.php -q
пунк 3, 7, 10 по инструкции от compupu пропускал за ненадобностью по моей связке -вроде правильно.
http://*****.com/ по этому адресу и лежит getkey.php - только таким путем получилось подружить работу двух нужных штук на одной машине.
в общем всё проходит на ура, веб-фильтр работает, но после того как он активируется, загрузка процесса winroute скачет от 25 до 50% в холостом ходу.
Ломал без своей "связки с IIS" на отдельной машине вообще без сети на локал хост? всё равно грузит.
Ставил на разные системы и конфигурации, всё с нуля и чистые системы, даже на core i 5 загружает на 20%
Замечу, что при том когда пробовал по триальной версии, "всё легально" делать, проц практически спит.
напрвьте пожалуста, куда копать?
Удалось подружить Керио 7.4.1 Build 5051 с IIS который на этом же компе поднят, путём патчинга по адресу ===> ukaip86.exe winroute.exe -l license\license.key -p --force-trial-for-plugins-with-license --enable-kerio-to-esoft-redirect --enable-custom-license-server-for-webfilter=http://*****.com/ avirplugins\avir_sophos.dll -Ss localhost -j ukerav.php -q
пунк 3, 7, 10 по инструкции от compupu пропускал за ненадобностью по моей связке -вроде правильно.
http://*****.com/ по этому адресу и лежит getkey.php - только таким путем получилось подружить работу двух нужных штук на одной машине.
в общем всё проходит на ура, веб-фильтр работает, но после того как он активируется, загрузка процесса winroute скачет от 25 до 50% в холостом ходу.
Ломал без своей "связки с IIS" на отдельной машине вообще без сети на локал хост? всё равно грузит.
Ставил на разные системы и конфигурации, всё с нуля и чистые системы, даже на core i 5 загружает на 20%
Замечу, что при том когда пробовал по триальной версии, "всё легально" делать, проц практически спит.
напрвьте пожалуста, куда копать?
sachaff
шото такое было если не ошибаюсь
связано именно с рдп и дравером видеокарты
правилось через реестр
шото такое было если не ошибаюсь
связано именно с рдп и дравером видеокарты
правилось через реестр
coder666 Ну ты замутил. Скорее всего у него отсутствует правило доступа по РДП(с маппингом в шлюз). Я, начиная с 6-ки, споконой лазил и менял правила без проблем.
Цитата:
coder666 Ну ты замутил. Скорее всего у него отсутствует правило доступа по РДП(с маппингом в шлюз). Я, начиная с 6-ки, споконой лазил и менял правила без проблем.
ели оно отсутствует, как я тогда захожу на шлюз извне на него?
Цитата:
Я, начиная с 6-ки, споконой лазил и менял правила без проблем.
я тоже захожу и меняю - в другом месте правда.
sachaff Похоже вам необходима помощь телепатов. Ну право, как из партизана приходится инфу вытягивать. Кому все это больше надо?
Приветствую. Есть Kerio Control линуксовый. Нормально функционирует. Установил такой же в другом месте. Сверху накатил настройку с первого, заменив настройки Ethernet. Всё замечательно функционирует, запреты и разрешения действуют, однако не вылезает страница блокировки Kerio, просто появляется "невозможно отобразить страницу". Как это можно поправить?
P.S. Если вернуть изначальную конфигурацию (при установке) и что-то запретить, то страница появляется.
Вопрос решен: Необходимо поменять в дополнительных опциях адрес веб-интерфейса, что я, собственно, и забыл сделать. Сообщение оставлю, поскольку на решение потратиил время, может кому пригодится.
P.S. Если вернуть изначальную конфигурацию (при установке) и что-то запретить, то страница появляется.
Вопрос решен: Необходимо поменять в дополнительных опциях адрес веб-интерфейса, что я, собственно, и забыл сделать. Сообщение оставлю, поскольку на решение потратиил время, может кому пригодится.
И все таки к вопросу о торрентах и двух сетевых интерфейсах.
Имеются две сетевые карты, смотрящие в прова. Требуется торрент трафик направить на одну из них(132).
Если пытаюсь направить трафик, согласно второму правилу, где забит диапазон используемых торрклиентом портов, на нужный интерфейс, ничего не работает. При включении верхнего правила(конкретный пользователь на нужный ИП), трафик перенаправляется.
При назначении 132 интерфейса резервным, помидоры те же. Где рыть?
Имеются две сетевые карты, смотрящие в прова. Требуется торрент трафик направить на одну из них(132).
Если пытаюсь направить трафик, согласно второму правилу, где забит диапазон используемых торрклиентом портов, на нужный интерфейс, ничего не работает. При включении верхнего правила(конкретный пользователь на нужный ИП), трафик перенаправляется.
При назначении 132 интерфейса резервным, помидоры те же. Где рыть?
compupu
рыть наверное в настройках служб для второго правила, ты какие там порты указал? Те которые в настройках торент клиентов? Если так, то это входящие порты а не исходящие, с чего вдруг твои клиенты будут именно на эти порты подключаться, когда они их слушать чтобы внешним клиентам доступ к своим данным давать...
рыть наверное в настройках служб для второго правила, ты какие там порты указал? Те которые в настройках торент клиентов? Если так, то это входящие порты а не исходящие, с чего вдруг твои клиенты будут именно на эти порты подключаться, когда они их слушать чтобы внешним клиентам доступ к своим данным давать...
Tihon_one А бес их знает какие указывать. Взял номера портов из списка подозрительных в ограничителе P2P.
А как в версии software applience расшарить папку logs?
compupu
ну это очень примерно, недаром эту службу можно до настраивать, короче не всё так просто с перенаправлением P2P т.к. порты назначения обычно пляшут в большом диапазоне, попробуй вытащить этот диапазон и уже его заправлять в нужный интерфейс тем способом который ты используешь(по факту он правильный)
Suhanovskiy
пошарить в прямом смысле слова никак, но можно вытащить от туда сами логи по SSH, для начала его включив в адмике: состояние\состояние системы\ зажимаем alt или shift и щёлкаем по кнопке "действия", там включить SSH, и используя ssh клиент вытянуть нужные файлы логов с раздела, а забыл- имя доступа root, пароль-пароль админа(созданного при первоначальной настройке приложения)
ну это очень примерно, недаром эту службу можно до настраивать, короче не всё так просто с перенаправлением P2P т.к. порты назначения обычно пляшут в большом диапазоне, попробуй вытащить этот диапазон и уже его заправлять в нужный интерфейс тем способом который ты используешь(по факту он правильный)
Suhanovskiy
пошарить в прямом смысле слова никак, но можно вытащить от туда сами логи по SSH, для начала его включив в адмике: состояние\состояние системы\ зажимаем alt или shift и щёлкаем по кнопке "действия", там включить SSH, и используя ssh клиент вытянуть нужные файлы логов с раздела, а забыл- имя доступа root, пароль-пароль админа(созданного при первоначальной настройке приложения)
compupu
Поставь правило для торрентов как можно ниже и убери вообще службы. Пусть все что не прошло выше на 1-й интерфейс, идет на 2-ой. А все что можно пускать на 1-ый опиши принудительно.
Конкретно P2P сети на то и P2P, что бы быть неуловимыми. Стабильного списка портов у них нет и быть не должно. Запросто может использоваться любой >1000
Поставь правило для торрентов как можно ниже и убери вообще службы. Пусть все что не прошло выше на 1-й интерфейс, идет на 2-ой. А все что можно пускать на 1-ый опиши принудительно.
Конкретно P2P сети на то и P2P, что бы быть неуловимыми. Стабильного списка портов у них нет и быть не должно. Запросто может использоваться любой >1000
да как вариант кстати, если по-фигу, что всё, что не описано, может беспрепятственно следовать на ххх на указанный интерфейс.
Tihon_one
Там ведь есть самба, или не работает. Я пробывал вписать в smb.conf, но не работает. Предполагаю что нужно включить ещё что-то где-то.
А как скопировать по SSH если у меня винда?
P.S.
Уже неактуально.
Там ведь есть самба, или не работает. Я пробывал вписать в smb.conf, но не работает. Предполагаю что нужно включить ещё что-то где-то.
А как скопировать по SSH если у меня винда?
P.S.
Уже неактуально.
Starshark2007
Tihon_one
Цитата:
Хлопотно это. Слишком много разных сервисов прописывать придется.
Я просто думал, что если сабж сам отлично определяет P2P активность(при блочке клиентов), значит где-то отрыть можно сей признак для других нужд.
В Кере ведь можно всключить еще и непрозрачную проксю. Если торрклиент настроить на эту проксю, возможно ли этим воспользоваться. Сам думаю что нет. Но вопрос от безисходности.
Видимо придется закрыть тему.
Tihon_one
Цитата:
как вариант
Хлопотно это. Слишком много разных сервисов прописывать придется.
Я просто думал, что если сабж сам отлично определяет P2P активность(при блочке клиентов), значит где-то отрыть можно сей признак для других нужд.
В Кере ведь можно всключить еще и непрозрачную проксю. Если торрклиент настроить на эту проксю, возможно ли этим воспользоваться. Сам думаю что нет. Но вопрос от безисходности.
Видимо придется закрыть тему.
Suhanovskiy
ну не для етбя так для других, вытянуть данные можно, например, прогой winscp.
ну не для етбя так для других, вытянуть данные можно, например, прогой winscp.
Tihon_one
Спасибо, уже разобрался. Всё оказалось достаточно просто.
Спасибо, уже разобрался. Всё оказалось достаточно просто.
А вот такой вопрос.
Стоит kerio control SWA, пользователи доменные. У пользователей стоит квота по ежедневному трафику. Квота у всех одинаковая. Но иногда нужно кому-то (одному, двум, трём пользователям) среди дня увеличить квоту. Вопрос: как сделать что-бы потом (на следующий день) квота была снова стандартная?
Стоит kerio control SWA, пользователи доменные. У пользователей стоит квота по ежедневному трафику. Квота у всех одинаковая. Но иногда нужно кому-то (одному, двум, трём пользователям) среди дня увеличить квоту. Вопрос: как сделать что-бы потом (на следующий день) квота была снова стандартная?
Suhanovskiy
это никак к сожалению.
это никак к сожалению.
Друзья, подскажите, натыкаюсь 2ой раз.
Установил Керио 7.4.1-5051, пропатчил, создал группы, правила для групп (в интернет, почту и тд) и тд - все работает, все летает. По ходу дела добавлял/удалял группы, пользователей. Прошел ровно месяц(!) и правила (правила трафика) для групп работать перестали (то есть кроме локалки остальное ничто не работает).
Работают только если вместо Группы пользователей создать Группу IP-адресов и указать ее в правиле трафика.
+ если загрузить старую конфигурацию - правила работают до первого изменения/добавления или же до перезагрузки службы.
Переустановил Керио с полным удалением всех файлов, заново все поднял, настроил правила на группы пользователей - фиг с маслом, не работает.
Года 2 назад на Керио 7.0.* тоже такая же байда была.
Сталкивался кто-нибудь?
Установил Керио 7.4.1-5051, пропатчил, создал группы, правила для групп (в интернет, почту и тд) и тд - все работает, все летает. По ходу дела добавлял/удалял группы, пользователей. Прошел ровно месяц(!) и правила (правила трафика) для групп работать перестали (то есть кроме локалки остальное ничто не работает).
Работают только если вместо Группы пользователей создать Группу IP-адресов и указать ее в правиле трафика.
+ если загрузить старую конфигурацию - правила работают до первого изменения/добавления или же до перезагрузки службы.
Переустановил Керио с полным удалением всех файлов, заново все поднял, настроил правила на группы пользователей - фиг с маслом, не работает.
Года 2 назад на Керио 7.0.* тоже такая же байда была.
Сталкивался кто-нибудь?
1. как проходит авторизация пользователей?
2. Привязаны ли к пользователям ай-пи машин?
3. Много ли компов в сети получают адрес динамически и как? Остается ли ай-пи адрес за ними или получают новый?
Добавлено:
4. Если раздача по ДХЦП - какой резерв по времени?
2. Привязаны ли к пользователям ай-пи машин?
3. Много ли компов в сети получают адрес динамически и как? Остается ли ай-пи адрес за ними или получают новый?
Добавлено:
4. Если раздача по ДХЦП - какой резерв по времени?
Цитата:
1. как проходит авторизация пользователей?
2. Привязаны ли к пользователям ай-пи машин?
3. Много ли компов в сети получают адрес динамически и как? Остается ли ай-пи адрес за ними или получают новый?
Добавлено:
4. Если раздача по ДХЦП - какой резерв по времени?
1. Прямой доступ (прозрачный прокси-сервер), то есть браузер сам подхватывает настройки (я не хожу-не прописываю проксю в настройках браузера у пользователей)
2. Да, хостам пользователей заданы IP-адреса
3. Все компьютера получают адреса, зарезервированные в DHCP по MAC-адресу
4. Lease Time - 4 дня, но так как IP зарезервирован, он не высвобождается, а ждет следующей аренды с хоста.
Керио 7.4.1 автоматическое переподключение VPN клиента на резервную линию и обратно:
Есть шлюз на керио, два интернет канала - один основной, другой резервный.
Есть удаленные машины подключающиеся VPN клиентом.
Как, если возможно настроить автоматическое переподключение клиента на резервный канал при отсутствии связи с основным и обратно при поднятии основного ?
Пользователи сидят под обрезанными правами и у них нет доступа отключать/изменять подключение VPN.
Есть шлюз на керио, два интернет канала - один основной, другой резервный.
Есть удаленные машины подключающиеся VPN клиентом.
Как, если возможно настроить автоматическое переподключение клиента на резервный канал при отсутствии связи с основным и обратно при поднятии основного ?
Пользователи сидят под обрезанными правами и у них нет доступа отключать/изменять подключение VPN.
insyo
Мне кажется, что проблема именно в 2+3.
Treast
Не понял при чем здесь собственно сам керио. Если клиенты в него по впн идут из вне, искать клиент, позволяющий менять каналы на лету. Что то пробегажало в мозгу, но не вспомнилось.
Мне кажется, что проблема именно в 2+3.
Treast
Не понял при чем здесь собственно сам керио. Если клиенты в него по впн идут из вне, искать клиент, позволяющий менять каналы на лету. Что то пробегажало в мозгу, но не вспомнилось.
Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117
Предыдущая тема: Права доступа NTFS
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.