Форум Kerio-rus

Вернуться   Форум Kerio-rus > Продукты > Kerio Control (бывший Winroute Firewall)

Важная информация

Ответ
 
Опции темы
Старый 07.05.2019, 07:00   #1
xxx-lu
 
Аватар для xxx-lu
 
Регистрация: 30.09.2010
Сообщений: 6
По умолчанию Web-Сервер и Proxy Kerio Control

Добрый день!
Имеется Kerio Control: 9.3.0. Настроен, работает, DHCP, непрозрачный (192.168.0.102).
Также в локальной сети установлен Web-Сервер (Apache+PHP и т.д.).

Проблема в следующем, при выполнении PHP скрипта $_SERVER['REMOTE_ADDR'] (отображает ip адрес пользователя), выдает у всех пользователей IP прокси. Т.к. Керио настроен непрозрачным, в принципе понятно почему так.
адрес Webки (web.portal.net - 192.168.0.111) прописан в DNS домена (192.168.0.101).
Раньше у юзеров прописывали в настройках браузера проксю и исключения, для локальных адресов - проблем естественно не было. Теперь ушли от этого, все в автомате стоит и начались проблемы с определением IP.

Не понятно мне как настроить, чтобы адрес Web-Сервер был так скажем локальным, без авторизации пользователей, в обход прокси.

Нашел в инете инструкцию, по старому Kerio Winroute, там все настраивается в HTTP Policy: создается группа url, куда прописывается адрес сайта и
Цитата На закладке Proxy Server отключаем непрозрачный (non-transparent) прокси, работающий на 3128 порту (для данной конфигурации):
Вроде как все там понятно, но вот в Kerio Control не могу настроить!
Уверен, что делов на 5 минут и пары строк
Подскажите куда копать, куда прописать

Спасибо!
xxx-lu вне форума   Ответить с цитированием Вверх
Старый 07.05.2019, 09:50   #2
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,706
По умолчанию Re: Web-Сервер и Proxy Kerio Control

Цитата
Сообщение от xxx-lu Посмотреть сообщение
выдает у всех пользователей
пользователей - локальной сети? внешних?
Цитата
Сообщение от xxx-lu Посмотреть сообщение
Т.к. Керио настроен непрозрачным
скрин политик трафика в студию! =)
(со всеми строками и столбцами)
Цитата
Сообщение от xxx-lu Посмотреть сообщение
начались проблемы с определением IP
на 99% в одном и том же правиле мапинга внешнего трафика на веб-сервер кроме MAP стоит еще и галка на NAT. после чего керио радостно натит этот трафик со своего локального ip на сервак в локальной же сети.
Цитата
Сообщение от xxx-lu Посмотреть сообщение
Раньше у юзеров прописывали в настройках браузера проксю и исключения, для локальных адресов - проблем естественно не было. Теперь ушли от этого
и правильно ушли
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 07.05.2019, 10:11   #3
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,595
По умолчанию Re: Web-Сервер и Proxy Kerio Control

Цитата:
Сообщение от exchar Посмотреть сообщение
и правильно ушли
смысл в том что у всех прописан прокси и через прокси ходят даже по внутренним ресурсам
выходом было - вбивать исключения, то есть адреса внутренних сайтов, но от этого "ушли", наткнувшись на корягу, описанную выше

Цитата
Сообщение от xxx-lu Посмотреть сообщение
но вот в Kerio Control не могу настроить!
керио здесь не при чём
единственно чем он может помочь это если вы в нём отключите непрозрачный прокси и всех "погоните" через НАТ


Цитата
Сообщение от xxx-lu Посмотреть сообщение
непрозрачный (192.168.0.102)
а ЗАЧЕМ вам непрозрачный прокси?
причины мотивы ?
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 07.05.2019, 11:28   #4
xxx-lu
 
Аватар для xxx-lu
 
Регистрация: 30.09.2010
Сообщений: 6
По умолчанию Re: Web-Сервер и Proxy Kerio Control

Цитата:
Сообщение от exchar Посмотреть сообщение
пользователей - локальной сети? внешних?
Локальных, доступа из вне нет и не нужно.

Скрин политик трафика
xxx-lu вне форума   Ответить с цитированием Вверх
Старый 07.05.2019, 11:36   #5
xxx-lu
 
Аватар для xxx-lu
 
Регистрация: 30.09.2010
Сообщений: 6
По умолчанию Re: Web-Сервер и Proxy Kerio Control

Цитата:
Сообщение от naliman Посмотреть сообщение
а ЗАЧЕМ вам непрозрачный прокси?
причины мотивы ?
Начальник решил так Пробовали делать прозрачным - все начинало работать, но начинались какие-то проблемы с другими правилами. Что-то переставало работать - не уточнял точно что, но от прозрачного отказались...

Также, если убрать галку "Автоматическое определение параметров" в браузере - начинает верно определять IP локального пользователя. НО... это также не устраивает - так как, лезть в настройки у каждого юзера не будем.

PS: Авторизация пользователей сейчас идет через LDAP, т.е. через AD
xxx-lu вне форума   Ответить с цитированием Вверх
Старый 07.05.2019, 12:02   #6
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,706
По умолчанию Re: Web-Сервер и Proxy Kerio Control

Цитата
Сообщение от xxx-lu Посмотреть сообщение
Скрин политик трафика
судя по положению вертикального скроллбара, это не все правила, но это пока не важно.
Цитата
Сообщение от xxx-lu Посмотреть сообщение
Пробовали делать прозрачным - все начинало работать, но начинались какие-то проблемы с другими правилами. Что-то переставало работать - не уточнял точно что, но от прозрачного отказались...
как работает непрозрачный прокси - вместо одного соединения используется пара разных соединений: от юзера до прокси и от прокси до цели. в последнем случае ip-адрес отправки будет соответствовать керио. типа, всегда будет.
Цитата
Сообщение от xxx-lu Посмотреть сообщение
лезть в настройки у каждого юзера не будем.
да вы и так уже залезли (ручками или в gpo), прописав юзерам непрозрачный прокси.
тем же способом можете прописать им в браузере исключения прокси для ip-адресов локальной сети.
однако, я бы порекомендовал перейти на прозрачный прокси и пофиксить косяки с правилами.
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 07.05.2019, 13:14   #7
Mr.Torture
Пейсатель професеонал
 
Аватар для Mr.Torture
 
Регистрация: 25.09.2009
Адрес: г. Партизанск
Сообщений: 1,139
По умолчанию Re: Web-Сервер и Proxy Kerio Control

А почему бы вебсервер через обратный проксинне выпустить?
__________________
Welcome to the Torture chamber...
Mr.Torture вне форума   Ответить с цитированием Вверх
Старый 07.05.2019, 19:41   #8
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,595
По умолчанию Re: Web-Сервер и Proxy Kerio Control

Цитата
Сообщение от xxx-lu Посмотреть сообщение
Начальник решил так
ахуенно, у вас начальник решает как работать ИТ



Цитата
Сообщение от xxx-lu Посмотреть сообщение
Пробовали делать прозрачным - все начинало работать, но начинались какие-то проблемы с другими правилами. Что-то переставало работать - не уточнял точно что, но от прозрачного отказались...
вместо того что б разобраться почему перестали работать некоторые правила вы выбрали через жопу
ну и ебитесь теперь


начальнегу привет

__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 08.05.2019, 04:20   #9
xxx-lu
 
Аватар для xxx-lu
 
Регистрация: 30.09.2010
Сообщений: 6
По умолчанию Re: Web-Сервер и Proxy Kerio Control

Цитата:
Сообщение от exchar Посмотреть сообщение
судя по положению вертикального скроллбара, это не все правила, но это пока не важно.
Остальные там роли не играют, некоторые отключены, некоторые просто пробросы до серверов других предприятий
Цитата:
Сообщение от exchar Посмотреть сообщение
однако, я бы порекомендовал перейти на прозрачный прокси и пофиксить косяки с правилами.
Ну если выход только такой, то будем разговаривать с начальством А под косяками в правилах, вы что имеете ввиду? в каких ошибки?

PS: Просто повторюсь, что Kerio Winroute в разделе HTTP Policy есть вкладка Proxy Server, в который можно было отключить непрозрачный прокси для определенной конфигурации. Где бы такую тут найти.
xxx-lu вне форума   Ответить с цитированием Вверх
Старый 08.05.2019, 04:30   #10
xxx-lu
 
Аватар для xxx-lu
 
Регистрация: 30.09.2010
Сообщений: 6
По умолчанию Re: Web-Сервер и Proxy Kerio Control

Цитата:
Сообщение от exchar Посмотреть сообщение
судя по положению вертикального скроллбара, это не все правила, но это пока не важно.
Остальные там роли не играют, некоторые отключены, некоторые просто пробросы до серверов других предприятий
Цитата:
Сообщение от exchar Посмотреть сообщение
однако, я бы порекомендовал перейти на прозрачный прокси и пофиксить косяки с правилами.
Ну если выход только такой, то будем разговаривать с начальством А под косяками в правилах, вы что имеете ввиду? в каких ошибки?
PS: Просто повторюсь, что Kerio Winroute в разделе HTTP Policy есть вкладка Proxy Server, в который можно было отключить непрозрачный прокси для определенной конфигурации. Где бы такую тут найти.

Цитата:
Сообщение от Mr.Torture Посмотреть сообщение
А почему бы вебсервер через обратный проксинне выпустить?
Можно поподробнее, каким образом?


Цитата:
Сообщение от naliman Посмотреть сообщение
ахуенно, у вас начальник решает как работать ИТ
Начальник - Ведущий системный инженер группы ИТ и он курирует Kerio, поэтому я особо туда не лезу и не вникаю. Но вот возникла проблема и пришлось копаться.А внедрение вэбки моя задумка и ломать систему ради этого не собираются
Цитата:
Сообщение от naliman Посмотреть сообщение
начальнегу привет
Передам
xxx-lu вне форума   Ответить с цитированием Вверх
Старый 08.05.2019, 10:02   #11
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,595
По умолчанию Re: Web-Сервер и Proxy Kerio Control

Цитата
Сообщение от xxx-lu Посмотреть сообщение
Начальник - Ведущий системный инженер группы ИТ и он курирует Kerio
и он не смог разобраться с тем почему же не работают некоторые правила если всех пускать по НАТ


Цитата
Сообщение от xxx-lu Посмотреть сообщение
А внедрение вэбки моя задумка и ломать систему ради этого не собираются
систему ломать не надо, её надо отстроить так, что б без костылей

но это начальнег пусть решает, он ведь ведущий
главное что б ведущий не завёл не туда

Цитата
Сообщение от xxx-lu Посмотреть сообщение
Передам
ага


PS
по большому счёту сервер с керио ничем не отличается от коробочки роутера

так вот если предположить что вместо керио стоит та коробочка, в которой нет непрозрачного прокси, или представить что керио сервер сломался и временно та коробочка установлена что б хотя бы как то работало, то ваша сеть неработает
стараниями ведущего
подумайте над этим
я бы попытался убедить сделать по-людски
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 08.05.2019, 10:05   #12
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,595
По умолчанию Re: Web-Сервер и Proxy Kerio Control

Цитата
Сообщение от xxx-lu Посмотреть сообщение
Ну если выход только такой, то будем разговаривать с начальством А под косяками в правилах, вы что имеете ввиду? в каких ошибки?
да да, я про разговаривать
а косяки в правилах сами себя проявят

нужно помнить единственное: правило обрабатываются сверху вниз
если для какого-то пакета\вида трафика сработало какое-либо правило, то этот пакет\трафик последующими правилами уже не обрабатывается
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 08.05.2019, 10:45   #13
xxx-lu
 
Аватар для xxx-lu
 
Регистрация: 30.09.2010
Сообщений: 6
По умолчанию Re: Web-Сервер и Proxy Kerio Control

Цитата:
Сообщение от naliman Посмотреть сообщение
да да, я про разговаривать
а косяки в правилах сами себя проявят

нужно помнить единственное: правило обрабатываются сверху вниз
если для какого-то пакета\вида трафика сработало какое-либо правило, то этот пакет\трафик последующими правилами уже не обрабатывается
Ну это я знаю и понимаю
Спасибо, за помощь, пошел наседать на начальника
xxx-lu вне форума   Ответить с цитированием Вверх
Старый 08.05.2019, 12:02   #14
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,595
По умолчанию Re: Web-Сервер и Proxy Kerio Control

Цитата
Сообщение от xxx-lu Посмотреть сообщение
Спасибо, за помощь, пошел наседать на начальника
погоди пока
лучше после праздников
человек расслаблен будет, будет хотеть опомелиться
и его будет немного проще "продавить"


а у тебя будет время найти веские аргументы для донесения
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 08.05.2019, 19:24   #15
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,706
По умолчанию Re: Web-Сервер и Proxy Kerio Control

Цитата:
Сообщение от naliman Посмотреть сообщение
а у тебя будет время найти веские аргументы для донесения
ну да, если трафик юзеров направить к цели через некоторую точку, то он OMFG, внезапно таки через нее направится... внезапно для начальства, однако.
какие еще аргументы искать тут?
Цитата:
Сообщение от naliman Посмотреть сообщение
человек расслаблен будет, будет хотеть опохмелиться
и его будет немного проще "продавить"
ога, есть такой эффект
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 04:40. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2019, vBulletin Solutions Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях