Здравствуйте.
Позвольте пару ламерских вопросов.
Установил я на компьютер с доступом в интернет Керио 6-ой версии, начал настраивать, кое что заработало а кое что нет.
Вот так например бровзинг интернета вроди как работает (кстати винсити не открывает хотя в хттп полилитах всё разрешено... джава, активХ и т.д. и т.п.), отправка електронной почты тоже работает а вот приложения типа МСН мессенджера и ICQ не работают. Я почитал мануал и в соответствии с ним включил поддержку UPnP ну ничего не измнеилось. Когда запускаю траблшутинг МСН-а он везде ставит галочки кроме ключевых портов...
Уважаемые специалисты подскажите пожалуйста куда дальше? Что делать и как?
Ну и еще кое что:
Есть еще небольшая непонятка с трафик каунтером. Я создал учётную запись, прописал для неё месячную квоту и всё остальное. Я виставил галочку (уже непомню точно где но это сейчай не существенно) чтоб керио при попытке открыть веб-страницу просит логоин (веб-интерфейс атентификации). Когда я ввожу логин и пароль, жму вход в систему то на сервере вижу этого пользователя как залогиненого но тут то начинается самое странное: без разницы сколько я закачиваю информации, траффик каунтер всё равно показывает ноль по пользователю, и только в общем считает. Когда я первий раз залогинился то он еще насчитал мне какихто 240 Килобай и всё.
Кто работает с керио подскажите ато я уверен что это просто настройки у меня кривые а в мануале (может я неправ и не там искал...) конкретных ответов нет.
Заранее благодарен.
Эх...
С большинством разобрался.
1. Трафик керио начал считать правильно после того как я снёс его полностю (кстати это была версия 6.1.4) и поставил свеженькую версию.
2. Для ICQ я прописал в свойствах подключения встроенный прокси сервер керио (IPadress:port).
3. МСН... вот с ним я ковырялся побольше. И странно мне как то. Я нарыл в гугле порты используемые МСН мессенджером и создал правило разрешающее "движение" по этим портам. Этот вариант меня не сильно устраивал поскольку таким образом у меня данные порты были не защищены от всякой гадости, но всё равно МСН не стал работать. Я не хочу сказать что это невозможно... скорее всего это совсем нетрудно настроить МСН для работы с фаерволлом керио, но я плюнул и остановился на использовании стандарного виндовс мессенджера который кстати подключается без проблем.
Для работы ICQ по NAT, а не через прокси было достаточно открыть 5190 и 443 порты ( наравне с HTTP, FTP и т.д., которые прописаны в стандартной конфигурации после установки).
Для проверки что куда ломится можно смотреть вкладку Connections.
Для просмотра что разрешилось, что запретилось есть Logs Filter.
При настройке на первых порах советую вести все логи и внимательно их читать.
Честно, это полезно + поймешь более детально что как бегает.
Далее можешь отключить некоторые по своему усмотрению.
Встроенный антивирус MCAfee не очень эффективен. 100% было проверено на одном из офисов, когда нас месяц валили письмами с вирусами Netsky. Он не справился, я быстро поставил Symantec. Проблем нет.
Так что встроенный антивир советую выключить.
Для закачки/скачки файлов/типов файлов копаешь Ftp Policy. Там должны быть прописаны соответствующие правила + не забываем о Traffic Policy....с этого начинается родина.
Советую чётко прописать Adress Group и в правилах работать с названием группы. И вообще, пользовать группы очень удобно.
А вообще я использую Керио, и как НАТ и как прокси...спрашивай. Постараюсь ответить.
Большое спасибо, если что, буду спрашивать.
Для начала такой вопрос:
Была тема пару месяцев назад вот http://www.wincity.ru/index.php?showtopic=14177
Поскольку сеть пережила переход с прокси на NAT через керио, сейчас мне нужно эту мальенькую "штуку" перенастроить.
Единственная задержка в том что я не знаю как заставить Wget.exe логиниться на сервере, если сначала прохожу аутентификацию через интернет експлорер то всё окей, но если нет, то фаерволл просит пароль и имя пользователя.
Вопрос в том, что можно ли каким то образом логиниться на фаерволл в текстовом режиме?
Хм, вообще по моим понятиям wget приблуда *nix систем + приблуда, которая монополизирует канал при скачке, посему ее использовать для закачки больших объемов данных не рекомендуют.
Аналогом для Винды не пользовался.
Обём информации совсем небольшой (несколько килобайт)... закачивается небольшая страница с курсами валют с сайта нацбанка Украины и выводится на печать. Делать юзера без пароли не хочется ато есть в офисе всякие умники... наверное буду обращаться к хелп енд саппорту керио корп.
Sysop, про лицензию не забывай....хэлп-саппорт Керио ее попросит.
Иди как ты лучше http://forum.ru-board.com/topic.cgi?forum=8&topic=2778&start=0
Спасибо за совет но лицензия есть в наличии а ссылочку гляну.
Если кому то интересно будет на будущее:
Для того чтоб wget авторизировался на сервере через командную строку нужно написать так:
Снова насчёт трафика:
Почему юзеры могут ходить в инет без авторизации? ДА, когда они открывают IE то немогут бровзить интернет пока не авторизируются, но отправлять почту могут. Как это может быть?
Для некоторых юзеров я прописал "specific host IP adress" но есть пользователи которые "мигрируют" от компьютера к копьютеру, поэтому их привязать к IP адресу я немогу. Что я делаю неправильно? Можна ли это вообще излечить? Если да то как?
Кто то еще читает эту тему??
У меня опять небольшая неприятность.
Включен у меня DHCP сервер который роздаёт IP адреса из диапазона 10.11.11.1-10.255.255.254, это была моя ошибка постольку поскольку IP адрес моего хоста (сам себя отрезал от интеа ) был 10.11.11.1. Я устанавливал на новый компьютер виндовс и указал стандартные параметры сети при установке, а за стандартнымы параметрами сетевуха конечно же стояла на DHCP и получила от керио IP 10.11.11.1. После завершения установки я конечно сменил IP нового компа, но на керио сервере создалась резервация для этого IP и сейчас при попытке залогиниться с моего хоста (10.11.11.1) на сервере вижу в DHCP leases возле моего IP статус:DECLINED, жму Release, IP пропадает из списка, жму применить, но при попытке логиниться с клиента всё повторяется и сервер не пускает меня.
Подскажите пожалуйста как дать доступ этому IP снова, не хотелсь бы его менять.
Почту они могут отправлять, потому как у тебя в трафик полиси прописан доступ по протоколам Pop3, Smtp. И никуда ты от этого не денешься.
Вопрос намбер два - зачем тебе DHCP ??? Ты по-моему просто пытаешься изучить все возможности Керио ))).
У тебя такое большое кол-во юзеров ?
Что делаю я - создаю Adress Group "Users" и разрешаю коннект только для этой группы. В конторах, где я использую Керио до 20 компов, так что все адреса прописаны ручками, на диапазон не даю.
ДНСР на Керио не юзаю вообще.
По поводу твоей проблемы с ДНСР - закладку DHCP server/ Advanced options/ Decline options копал ? На какой срок вырубается адрес ?
Я уже вообще отключил DHCP потому что он мне действительно не нужен а как было сказано я изучаю возможности керио (юзеров 14).
Время блокировки IP было по дефолту 1 день, я переключил с "offer declined IP adresses after timeout" на "offer declined IP adresses immediately" но не помогло. Что правда, сейчас уже не появляется среди резевированых IP мой IP когда я удаляю его оттуда и логинюсь после этого, но всё равно, не появляется даже страница аутентификации керио. Раньше я вводил https://routerhostname:port/. Я уже не на работе, но еще появилась мысль написать не "routerhostname" а "IPadress"... завтра попробую. Но даже если заработает, то непонятно, что чем ему ненравится нетбиосовское имя сервера (ДНС в сети нет, но до сегодняшнего дня работало и без него).
Насчёт правила разрешающего коннект только для юзеров определённой группи... как это делается? Подскажете?
Я уже вообще отключил DHCP потому что он мне действительно не нужен а как было сказано я изучаю возможности керио (юзеров 14).
Время блокировки IP было по дефолту 1 день, я переключил с "offer declined IP adresses after timeout" на "offer declined IP adresses immediately" но не помогло. Что правда, сейчас уже не появляется среди резевированых IP мой IP когда я удаляю его оттуда и логинюсь после этого, но всё равно, не появляется даже страница аутентификации керио. Раньше я вводил https://routerhostname:port/. Я уже не на работе, но еще появилась мысль написать не "routerhostname" а "IPadress"... завтра попробую. Но даже если заработает, то непонятно, что чем ему ненравится нетбиосовское имя сервера (ДНС в сети нет, но до сегодняшнего дня работало и без него).
Насчёт правила разрешающего коннект только для юзеров определённой группи... как это делается? Подскажете? (создание и редактирование правил пока неосвоенная мною часть керио). До тех пор ясно что нужно создать группу с юзерами, которых я хочу пускать в инет, но что писать в сорс и дестинейшон правила, эт я не совсем понимаю.
Почему мой пост после правки повторно появился в теме а не просто "поправился"?
Что значет ДНС нет ???!!!.....Что значит "работало и без него" ???"!!!
Что прописано как ДНС сервера на Керио ? Что прописано как ДНС-сервера на клиентах?
Далее....не путай IP adress group с Users. Первое вставляется в правила Traffic policy, второе используется только для аутентификации.
+ проще всего иметь домен, использовать на Керио аутентификацию этого домена и таким образом вести статистику.
"Нет ДНС" я имел введу что нет локального ДНС сервера, на керио прописан ДНС интернет провайдера, а на клиентах IP машины с керио.
Домена пока нету, но уже заказано на фирму Win2k3 server... уж когда буду устанавливать, то наверное прийдётся поднимать АД.
АД советую. Полезная вещь. Там накрутишь свой ДНС и будешь существенно экономить трафик и время резолвинга запросов.
Далее....Керио выполняет роль кэширующего сервера ДНС (эта функция должна быть включена, советую пользваться). То есть запросы, которые ранее посылались не перенаправляются к провайдеру для резолвинга, а просто вытягиваются из записей Керио.
С этим, кстати, нужно аккуратно, иногда кэш нужно обновлять.
Кешировка доменных имён на керио включена, а обновлять это означает очистить (кнопочка "Clear cache" в DNS forwarder-е)?
Да, в Керио нет настроек по устареванию днс-записей, поэтому при появлении глюков при резолвинге нужно очищать.
Powered by Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)