Версия для печати темы

Автор: Sysop Четверг, 02 Ноября 2006, 9:27

Здравствуйте.
Позвольте пару ламерских вопросов.
Установил я на компьютер с доступом в интернет Керио 6-ой версии, начал настраивать, кое что заработало а кое что нет.
Вот так например бровзинг интернета вроди как работает (кстати винсити не открывает хотя в хттп полилитах всё разрешено... джава, активХ и т.д. и т.п.), отправка електронной почты тоже работает а вот приложения типа МСН мессенджера и ICQ не работают. Я почитал мануал и в соответствии с ним включил поддержку UPnP ну ничего не измнеилось. Когда запускаю траблшутинг МСН-а он везде ставит галочки кроме ключевых портов...
Уважаемые специалисты подскажите пожалуйста куда дальше? Что делать и как?
Ну и еще кое что:
Есть еще небольшая непонятка с трафик каунтером. Я создал учётную запись, прописал для неё месячную квоту и всё остальное. Я виставил галочку (уже непомню точно где но это сейчай не существенно) чтоб керио при попытке открыть веб-страницу просит логоин (веб-интерфейс атентификации). Когда я ввожу логин и пароль, жму вход в систему то на сервере вижу этого пользователя как залогиненого но тут то начинается самое странное: без разницы сколько я закачиваю информации, траффик каунтер всё равно показывает ноль по пользователю, и только в общем считает. Когда я первий раз залогинился то он еще насчитал мне какихто 240 Килобай и всё.
Кто работает с керио подскажите ато я уверен что это просто настройки у меня кривые а в мануале (может я неправ и не там искал...) конкретных ответов нет.

Заранее благодарен.

Автор: Барэль Пятница, 03 Ноября 2006, 9:45

Прошу прощения, а порты-то открыты у тебя? Или он бьется в стенку?

Автор: Sysop Пятница, 03 Ноября 2006, 10:13

На фаерволе как я уже говорил включен UPnP а на клиентском компьютере всё открыто специально для этого всего...
я пока ждал ответы, не переставал експериментировать, и мне удалось залогиниться в сетку Skype, и еще я вычислил несколько "недостатков" роутинга:
1. Открываю GOOGLE, он нормально открывается, задаю условия поиска и жму "Поиск", появляются найденые ссылки, но когда пытаюсь открыть любую из этих ссылок, то ни одна из них не откривается и пишет что невозможно отобразить страницу.
2. Второй недостаток в том, что мне не удаётся закачать ни один файл с помощю клиентского компьютера. Так например я пытаюсь скачать обновление на макафи антивирус (ну впрочем со всеми остальными файлами то же самое) , страница с ссылкой на файл открывается, но когда я жму на ссылку закачки файла, то вижу страницу ошибки "невозможно отобразить страницу". Рылся в политиках, отключил даже проверку на вирусы для файлов *.exe ну всё то же.


...ничего непойму, лазил по инету искал всякое про винроут и каким то чудесним образом мне удалось закачать файл с этой ссылки: http://dl.softportal.com/load/winroute_aid.zip
Создаётся впечетление что у керио есть какой нить список довереных сайтов или что то на подобии того. Этот же файл с ссылки предлагаемой как альтернативный ресурс закачки не закачивается.


Вопрос с закачкой решен. Проконсультировался с ISP который посоветовал мне сменить DNS, что я и сделал... это помогло. Но МСН так и не работает.

После смены DNS снова сделал траблшутинг тест и в этот раз уже и возле ключевых портов стояла галочка, правда пока эта галочка появилась прошло долгое время (приблизительно 60-80 секунд)... галочка есть а МСН всё равно не коннектится, ICQ моментально находит канал связи при включении автоматической конфигурации, но тоже не логинится (очень долго питается но в итоге ничего).

Автор: Sysop Вторник, 07 Ноября 2006, 21:21

Эх...

С большинством разобрался.

1. Трафик керио начал считать правильно после того как я снёс его полностю (кстати это была версия 6.1.4) и поставил свеженькую версию.
2. Для ICQ я прописал в свойствах подключения встроенный прокси сервер керио (IPadress:port).
3. МСН... вот с ним я ковырялся побольше. И странно мне как то. Я нарыл в гугле порты используемые МСН мессенджером и создал правило разрешающее "движение" по этим портам. Этот вариант меня не сильно устраивал поскольку таким образом у меня данные порты были не защищены от всякой гадости, но всё равно МСН не стал работать. Я не хочу сказать что это невозможно... скорее всего это совсем нетрудно настроить МСН для работы с фаерволлом керио, но я плюнул и остановился на использовании стандарного виндовс мессенджера который кстати подключается без проблем.

Автор: mpa Вторник, 07 Ноября 2006, 21:55

Для работы ICQ по NAT, а не через прокси было достаточно открыть 5190 и 443 порты ( наравне с HTTP, FTP и т.д., которые прописаны в стандартной конфигурации после установки).

Для проверки что куда ломится можно смотреть вкладку Connections.
Для просмотра что разрешилось, что запретилось есть Logs Filter.
При настройке на первых порах советую вести все логи и внимательно их читать.
Честно, это полезно + поймешь более детально что как бегает.
Далее можешь отключить некоторые по своему усмотрению.

Встроенный антивирус MCAfee не очень эффективен. 100% было проверено на одном из офисов, когда нас месяц валили письмами с вирусами Netsky. Он не справился, я быстро поставил Symantec. Проблем нет.
Так что встроенный антивир советую выключить.

Для закачки/скачки файлов/типов файлов копаешь Ftp Policy. Там должны быть прописаны соответствующие правила + не забываем о Traffic Policy....с этого начинается родина.

Советую чётко прописать Adress Group и в правилах работать с названием группы. И вообще, пользовать группы очень удобно.

А вообще я использую Керио, и как НАТ и как прокси...спрашивай. Постараюсь ответить.

Автор: Sysop Среда, 08 Ноября 2006, 10:25

Большое спасибо, если что, буду спрашивать.

Для начала такой вопрос:

Была тема пару месяцев назад вот http://www.wincity.ru/index.php?showtopic=14177
Поскольку сеть пережила переход с прокси на NAT через керио, сейчас мне нужно эту мальенькую "штуку" перенастроить.
Единственная задержка в том что я не знаю как заставить Wget.exe логиниться на сервере, если сначала прохожу аутентификацию через интернет експлорер то всё окей, но если нет, то фаерволл просит пароль и имя пользователя.
Вопрос в том, что можно ли каким то образом логиниться на фаерволл в текстовом режиме?

Автор: mpa Среда, 08 Ноября 2006, 12:28

Хм, вообще по моим понятиям wget приблуда *nix систем + приблуда, которая монополизирует канал при скачке, посему ее использовать для закачки больших объемов данных не рекомендуют.
Аналогом для Винды не пользовался.

юзер с пустым паролем не канает ?
Честно говоря никогда не маялся дуркой по поводу прописывания логинов при коннекте.

Автор: Sysop Среда, 08 Ноября 2006, 14:08

Обём информации совсем небольшой (несколько килобайт)... закачивается небольшая страница с курсами валют с сайта нацбанка Украины и выводится на печать. Делать юзера без пароли не хочется ато есть в офисе всякие умники... наверное буду обращаться к хелп енд саппорту керио корп.

Автор: mpa Среда, 08 Ноября 2006, 14:44

Sysop, про лицензию не забывай....хэлп-саппорт Керио ее попросит.
Иди как ты лучше http://forum.ru-board.com/topic.cgi?forum=8&topic=2778&start=0

Автор: Sysop Среда, 08 Ноября 2006, 15:07

Спасибо за совет но лицензия есть в наличии а ссылочку гляну.

Автор: Sysop Четверг, 09 Ноября 2006, 11:21

Если кому то интересно будет на будущее:
Для того чтоб wget авторизировался на сервере через командную строку нужно написать так:

- ну и всё остальное что надо.

Автор: Sysop Пятница, 10 Ноября 2006, 14:33

Снова насчёт трафика:

Почему юзеры могут ходить в инет без авторизации? ДА, когда они открывают IE то немогут бровзить интернет пока не авторизируются, но отправлять почту могут. Как это может быть?

Для некоторых юзеров я прописал "specific host IP adress" но есть пользователи которые "мигрируют" от компьютера к копьютеру, поэтому их привязать к IP адресу я немогу. Что я делаю неправильно? Можна ли это вообще излечить? Если да то как?

Автор: Sysop Вторник, 14 Ноября 2006, 10:15

Кто то еще читает эту тему??

У меня опять небольшая неприятность.
Включен у меня DHCP сервер который роздаёт IP адреса из диапазона 10.11.11.1-10.255.255.254, это была моя ошибка постольку поскольку IP адрес моего хоста (сам себя отрезал от интеа ) был 10.11.11.1. Я устанавливал на новый компьютер виндовс и указал стандартные параметры сети при установке, а за стандартнымы параметрами сетевуха конечно же стояла на DHCP и получила от керио IP 10.11.11.1. После завершения установки я конечно сменил IP нового компа, но на керио сервере создалась резервация для этого IP и сейчас при попытке залогиниться с моего хоста (10.11.11.1) на сервере вижу в DHCP leases возле моего IP статус:DECLINED, жму Release, IP пропадает из списка, жму применить, но при попытке логиниться с клиента всё повторяется и сервер не пускает меня.

Подскажите пожалуйста как дать доступ этому IP снова, не хотелсь бы его менять.

Автор: mpa Вторник, 14 Ноября 2006, 14:12

Почту они могут отправлять, потому как у тебя в трафик полиси прописан доступ по протоколам Pop3, Smtp. И никуда ты от этого не денешься.
Вопрос намбер два - зачем тебе DHCP ??? Ты по-моему просто пытаешься изучить все возможности Керио ))).
У тебя такое большое кол-во юзеров ?
Что делаю я - создаю Adress Group "Users" и разрешаю коннект только для этой группы. В конторах, где я использую Керио до 20 компов, так что все адреса прописаны ручками, на диапазон не даю.
ДНСР на Керио не юзаю вообще.

По поводу твоей проблемы с ДНСР - закладку DHCP server/ Advanced options/ Decline options копал ? На какой срок вырубается адрес ?

Автор: Sysop Вторник, 14 Ноября 2006, 17:46

Я уже вообще отключил DHCP потому что он мне действительно не нужен а как было сказано я изучаю возможности керио (юзеров 14).
Время блокировки IP было по дефолту 1 день, я переключил с "offer declined IP adresses after timeout" на "offer declined IP adresses immediately" но не помогло. Что правда, сейчас уже не появляется среди резевированых IP мой IP когда я удаляю его оттуда и логинюсь после этого, но всё равно, не появляется даже страница аутентификации керио. Раньше я вводил https://routerhostname:port/. Я уже не на работе, но еще появилась мысль написать не "routerhostname" а "IPadress"... завтра попробую. Но даже если заработает, то непонятно, что чем ему ненравится нетбиосовское имя сервера (ДНС в сети нет, но до сегодняшнего дня работало и без него).

Насчёт правила разрешающего коннект только для юзеров определённой группи... как это делается? Подскажете?

Автор: Sysop Вторник, 14 Ноября 2006, 17:54

Я уже вообще отключил DHCP потому что он мне действительно не нужен а как было сказано я изучаю возможности керио (юзеров 14).
Время блокировки IP было по дефолту 1 день, я переключил с "offer declined IP adresses after timeout" на "offer declined IP adresses immediately" но не помогло. Что правда, сейчас уже не появляется среди резевированых IP мой IP когда я удаляю его оттуда и логинюсь после этого, но всё равно, не появляется даже страница аутентификации керио. Раньше я вводил https://routerhostname:port/. Я уже не на работе, но еще появилась мысль написать не "routerhostname" а "IPadress"... завтра попробую. Но даже если заработает, то непонятно, что чем ему ненравится нетбиосовское имя сервера (ДНС в сети нет, но до сегодняшнего дня работало и без него).

Насчёт правила разрешающего коннект только для юзеров определённой группи... как это делается? Подскажете? (создание и редактирование правил пока неосвоенная мною часть керио). До тех пор ясно что нужно создать группу с юзерами, которых я хочу пускать в инет, но что писать в сорс и дестинейшон правила, эт я не совсем понимаю.

Почему мой пост после правки повторно появился в теме а не просто "поправился"?

Автор: mpa Вторник, 14 Ноября 2006, 19:13

Что значет ДНС нет ???!!!.....Что значит "работало и без него" ???"!!!
Что прописано как ДНС сервера на Керио ? Что прописано как ДНС-сервера на клиентах?

Далее....не путай IP adress group с Users. Первое вставляется в правила Traffic policy, второе используется только для аутентификации.
+ проще всего иметь домен, использовать на Керио аутентификацию этого домена и таким образом вести статистику.

Автор: Sysop Среда, 15 Ноября 2006, 9:23

"Нет ДНС" я имел введу что нет локального ДНС сервера, на керио прописан ДНС интернет провайдера, а на клиентах IP машины с керио.
Домена пока нету, но уже заказано на фирму Win2k3 server... уж когда буду устанавливать, то наверное прийдётся поднимать АД.

Автор: mpa Среда, 15 Ноября 2006, 12:03

АД советую. Полезная вещь. Там накрутишь свой ДНС и будешь существенно экономить трафик и время резолвинга запросов.


Далее....Керио выполняет роль кэширующего сервера ДНС (эта функция должна быть включена, советую пользваться). То есть запросы, которые ранее посылались не перенаправляются к провайдеру для резолвинга, а просто вытягиваются из записей Керио.
С этим, кстати, нужно аккуратно, иногда кэш нужно обновлять.

Автор: Sysop Среда, 15 Ноября 2006, 12:21

Кешировка доменных имён на керио включена, а обновлять это означает очистить (кнопочка "Clear cache" в DNS forwarder-е)?

Автор: mpa Среда, 15 Ноября 2006, 21:34

Да, в Керио нет настроек по устареванию днс-записей, поэтому при появлении глюков при резолвинге нужно очищать.