WinRoute - все вопросы и ответы здесь

В этом топике задаём все вопросы касательно Kerio Winroute а также отвечаем на них, кроме вопросов "где взять программу", "где взять лекарство от жадности для программы", "как сломать" и т.д., для которых создан специальный топик в варезном разделе!

Как настраивать винроут для работы с eMule, DC++ и прочими расказано тут.

[KakA]

мне тоже интересно стало, приду на работу проверю

[Ascetic]

Цитата:

Cartman:
Ascetic, ты хочешь сказать, что при удалении юзера в AD он у тебя удаляется в винроуте? А если добавляешь - добавляется? Что-то слабо в это верится.

Так и есть.

PS: речь идет о пользователях импортированных из AD ?

[Ascetic]

Итак, добрался я до работы

Настройка интеграции Active Directory и Kerio Winroute Firewall для автоматической аутентификации пользователей через Intenet Explorer

Цель:
Настроить импорт пользователей из Active Directory, сделать прозрачным логин пользователя домена на KWF, а так же пользователей не являющихся членами домена.

Требования:

1. Корректно работающий домен под windows 2000 или windows 2003
2. Active Directory работает в mixed mode
3. Права администратора домена

Заходим во вкладку Users -> Active Directory и ставим галочки на Map User Accounts from the Active Directory Domain to Kerio Winroute Firewall и Enable NT domain authentication for this domain.

В поле Active directory domain name прописываем имя домена с суффиксом, предположим, что domain.local

В поле Domain Access прописываем имя пользователя, имеющего права на работу с Active Directory (в моем случае это администратор домена)

В поле NT domain name authentication for this domain прописываем имя домена без суффикса, т.е. просто domain

При желании можно указать конкретный контроллер домена (кнопка Advanced...)

Скриншот:
http://keep4u.ru/full/061120/0ae913cec8b357672c/jpg

Переходим во вкладку Authentication Options
Ставим все галки которые есть, т.е.:
Always require user to be authenticated when accessing web pages
Enable user authentication automatically performed by web browsers
Automatically logout users when they are inactive (у меня стоит 10 минут)
Enable Active Directory/Kerberos authentication
В полях Active Directory Domain Name и NT domain authentication прописываем имя домена без суффикса, т.е. domain
Во вкладке Configure Automatic Import... никаких галок нет.

Скриншот:
http://keep4u.ru/full/061120/5f01c864fa2ff3a1ef/jpg

Теперь во вкладке User Accounts появились импортированные пользователи с Active Directory, редактировать, менять группы и удалять их непосредственно из KWF нельзя. Можно просто отключить ненужные учетные записи (поставить Account Disabled) и скрыть их (галка Hide disabled user Accounts).
Те, компьютеры, которые не входят в домен domain прописываем в Local User Database (и там уже как кому удобно, у меня стоит аутентификация по IP, т.к. он жестко привязанам к ним по MAC-адресу)

Скриншот:
http://keep4u.ru/full/061120/1f43ecd5558142e729/jpg

Заходим во вкладку Logs -> Debug, ставим в Messages -> Miscellaneous галочку на User Authentication и смотрим как пользователи автоматически аутентифицируются

Скриншот:
http://keep4u.ru/full/061120/40d050b206dcf2c4aa/jpg

Вот что видно в логе, при запуске Internet Explorer пользователем tester в домене domain:

Код:

[20/Nov/2006 10:37:59] {auth} 192.168.1.121 Negotiate & NTLM initiate
[20/Nov/2006 10:37:59] {auth} 192.168.1.121 client wants to use NTLM
[20/Nov/2006 10:37:59] {auth} NTLM authentication started
[20/Nov/2006 10:37:59] {auth} 192.168.1.121 NTLM challenge
[20/Nov/2006 10:37:59] {auth} NTLM successfully authenticated user tester
[20/Nov/2006 10:37:59] {auth} User tester@domain.local authenticated from 192.168.1.121 using NTLM

Для пользователя tester это совершенно прозрачно, никаких паролей для доступа к страницам он не вводит.

Вроде бы все. Отвечу на любые вопросы по этому тексту.

[KakA]

интересно с какой версии это заработало?

[Ascetic]

KakA

У меня стоит 6.2.2 1746

1) Стоит 6.2.3 b2027. Аутентификация из AD автоматом из браузера не проходит , хотя галочки стоят также как и у Ascetic.
Доступ в инет (на непрозрачный прокси) разрешен только юзерам из группы AD Internet Access, но данное правило не работает... Пришлось ваять логин скрипт со скрытым запуском IE и переходом на страницу аутентификации KWF...

2) как убрать отображение работы определенной группы пользователей в HTTP и Web логах? причем не всей работы, а только части (например, при соединении на определенный порт)...

[Oaxa]

Из собственного опыта: Аутентификация из AD не работает с русскими именами пользователей. Обойти можно только редактированием users.cfg. правда в тогда статистике будут крякозяблики для таких пользователей, но этим пришлось пожертвовать.

[Ascetic]

Цитата:

PhoenixUA:
Аутентификация из AD автоматом из браузера не проходит

Что пишется в Debug-логе при попытке авторизации?

Цитата:

PhoenixUA:
как убрать отображение работы определенной группы пользователей в HTTP и Web логах? причем не всей работы, а только части (например, при соединении на определенный порт)...

Никак.

Цитата:

Сообщение от Ascetic

Что пишется в Debug-логе при попытке авторизации?

Ничего не пишется. Пакеты дропаются на Default rule.

Вот правила доступа:
name=(HTTP Proxy Access) src=(user:"ece9fd32-4130-453d-b901-2b4ef493804a") dst=(Firewall) service=("HTTP Proxy" "Ping") snat=(any) dnat=(any) action=(permit), time_range=(always) inspector=(default)

name=(Firewall -> Internet) src=(Firewall) dst=(iface:"Internet") service=("HTTP" "HTTPS" "FTP" "DNS" ) snat=(any) dnat=(any) action=(Permit), time_range=(always) inspector=(default)

ece9fd32-4130-453d-b901-2b4ef493804a - группа AD - Internet Access

[Ascetic]

PhoenixUA

А как пользователи вообще определяются винроутом? По ip?
Дебаг-лог настроен как на скриншоте?
http://keep4u.ru/full/061120/40d050b206dcf2c4aa/jpg
Вообще я плохо понимаю что у тебя работает или не работает. Распиши все подробно, т.е. как заведены пользователи, скрин правил, и что в итоге надо получить. Если что стукни в асю (номер в профиле).

[shiraza]

Цитата:

Ascetic:
Цитата:
PhoenixUA:
как убрать отображение работы определенной группы пользователей в HTTP и Web логах? причем не всей работы, а только части (например, при соединении на определенный порт)...


Никак.

А если задать правило, открывающее доступ на этот ресурс и поместить его _перед_ правилом, открывающим доступ ко всему остальному? При чем использовать открытие именно порта 80, не включая инспектор протокола HTTP ?
Керио его при таком раскладе не цепляет в качестве траффика веба.
У меня так работает.
С другой стороны, у меня не работает такая авторизация прозрачная через АД, как у тебя. Импорт работает, но лишь только импортирует во внутреннюю базу. Опиши подробнее, какая конфа сети, сервак с керио в домене или нет, какой режим домена, какая система на сервере.

[Ascetic]

Цитата:

shiraza:
С другой стороны, у меня не работает такая авторизация прозрачная через АД, как у тебя. Импорт работает, но лишь только импортирует во внутреннюю базу.

Он должен создать базу отдельную от локальной, это скорее не импорт, а "маппинг".

Цитата:

shiraza:
Опиши подробнее, какая конфа сети, сервак с керио в домене или нет, какой режим домена, какая система на сервере.

Небольшая сетка из 30 компов, какая еще конфа может быть?;
комп с керио естественно в домене;
что значит "режим домена" ?
система на сервере - windows 2000 sp4 (на нем же DNS, DHCP)
Active Directory - в смешанном режиме.

Цитата:

shiraza:
А если задать правило, открывающее доступ на этот ресурс и поместить его _перед_ правилом, открывающим доступ ко всему остальному? При чем использовать открытие именно порта 80, не включая инспектор протокола HTTP ?

Как задать конкретный ресурс в правилах? А лучше, покажи скриншот.

[qerst]

Такой вопрос: почему при запросе адреса в Опере, к примеру, внизу горит надпись "подключение к www.power.ru или www.yadro.ru"? Это что, спамят DNS - сервера? Кстати, если в правилах разрешить в NAT PING, то в командной строке IP адреса быстрее откликаются. Как это влияет на безопасность?

[lers]

KWF 6.2.2

С некоторого времени стало невозможным получить доступ к списку пользователей (Users and Groups - Users). При обращении какое-то время (секунд 5-6) думает, потом обламывает, при этом внизу пишет "Timeout" а в логах -
(8503:85) Active Directory/LDAP error: ххххх.хх: Timeout

Список групп выводит, а пользователей - никак.

Где копать?

[Cartman]

Ну очевидно, что не может подключиться к AD. Смотри последнюю закладку, проверяй пользователя и пароль там. Там нужно указать пользователя который является админом домена.

[lers]

Цитата:

Сообщение от Cartman

Ну очевидно, что не может подключиться к AD. Смотри последнюю закладку, проверяй пользователя и пароль там. Там нужно указать пользователя который является админом домена.

На этой вкладке все ОК. Админ, пароль, все перепроверено.... И к тому же группы-то выводит

[Cartman]

Группы берутся из локальной базы, юзеры из локальной и сверяются с AD.

[lers]

Цитата:

Сообщение от Cartman

Группы берутся из локальной базы, юзеры из локальной и сверяются с AD.

Ладно, сформулируем вопрос по-другому.
Список пользователей и раньше грузился "через раз", т.е. периодически сообщение о тайм ауте появлялось, но достаточно было ткнуть пару раз и он таки догружался. Сейчас резко увеличиласьт нагрузка на почтовый сервер (он же прокси) в связи с тем, что существенно увеличилось кол-во пользователей интернета, и теперь список пользователей загружаться перестал совсем.

Как можно увеличить время тайм-аута?

[andrey_sh]

Подскажите пожалуйста решение следующего вопроса. Была офисная сеть из 7 машинок с IP 192.168.1.*. Выходили в И-нет через машину на которой стоял Winroute 6.*.*. Всё работало великолепно. Потом провайдер сделал VPN соединение и теперь у меня не получается настроить выход в интернет через VPN. Мои действия были следующие:

1. Воспользовался Wizard-ом Winrout-а, указав в качестве внешнего интерфейса VPN соединение.
2. Второй сетевой интерфейс как был, так и остался настроенным на внутреннюю сеть.

Я думал визард пропишет все разрешения и маршруты сам, и вроде бы всё на мой взгляд нормально прописано. Но в интернет никто не может выйти кроме иашины на которой Winrout. Сносил пару раз и пытался устанавливать заново Winrout но проблема остаётся. Чувствую, что где то что то делаю не так. Читал хелп по winrout но там рассматриваются более сложные вопросы. Всякие мануалы по настройке ничего конкретного не говорят. Спросил у знакомого сетевика он сказал что один раз у него получилось настроить, а в остальных случаях не смог. Спросил у провайдера, так тот предложил купить маршрутизатор настроить на нём VPN и подключить к нему все машины и всё будет в ажуре. Может кто из знающих людей подскажет как это сделать в Winrout. Желательно прям по пунктам, чтобы знать где ошибаюсь.

Я сразу скажу - я в сетях человек новый. Поэтому сильно не ругайте если, что то не так сформулировал. Заранее благодарен.

[Smoker]

Нужен совет.
Возможно ли в Винроуте 6 сделать следующее:
Стоит Винроут, раздает инет по пользователям с авторизацией по IP адресам без прокси через НАТ.
У всех пользователей есть месячная квота на доунлоад трафик.
Все работает прекрасно.
Так вот вопрос:

Возможно ли сделать так чтоб у пользователей в не зависисмости от квоты ВСЕГДА работала аська?
т.е. даже если квота на даунлоад трафик кончилась, аська продалжала бы работать...
Может как то порт мепинг настроить ? или еще что? не могу придумать...