Форум Kerio-rus

Вернуться   Форум Kerio-rus > Продукты > BETA секция > Kerio Winroute Firewall

Важная информация

Ответ
 
Опции темы
Старый 06.08.2008, 06:59   #101
Leshiy
Пейсатель професеонал
 
Аватар для Leshiy
 
Регистрация: 21.12.2007
Сообщений: 1,121
По умолчанию

Цитата:
Сообщение от Engine Посмотреть сообщение
Скажите, аутентификация IP адрес + пользователь, т.е. разрешать юзеру ходить (и пускать его вообще) только с указанного хоста спасет гиганта мысли и отца русской демократии?
Нет, не спасёт. Ибо отец русской демократии и в совокупности родной сын лейтенанта Шмидта видит в этом решении очередную отмазку.

Нужно так - Васисуалий Лоханкин залогинился, всё, пока Васисуалий не вышел из системы никто под его логином\паролем войти не может.

Хотя откуда уши подобных отмазок растут я догадываюсь, связано это с криво сделанным "выбросом" юзера из системы при некорректном разрыве соединения, когда юзер уже компьютер свой выключил, а в кире в актив хостс он может висеть часами. Особливо это касается ВПН-юзеров. Хотя в бете вроде порешали сие.

И вдогонку к желаемому тодо листу:
Когда ВПН-клиент разрывает соединение и тут-же переподключается, то винроут выдаёт клиенту новый ип-адрес, при этом в свойствах юзера, использующего этот ВПН-клиент чётко прописано, что при ВПН-соединении выдавать _определённый_ адрес и никакой другой.
Leshiy вне форума   Ответить с цитированием Вверх
Старый 06.08.2008, 09:30   #102
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,588
По умолчанию

Цитата:
Сообщение от Engine Посмотреть сообщение
Answer 1: Why this is requested? We have IP based authentication. If you will use DHCP reservations and if you will assign IP address according to MAC address you can authenticate users according to their MAC address. It is easy to spoof both IP address as well as the MAC address.
Перевожу...
Сосите, парни. Сасангу, ага...
Цитата:
Сообщение от Engine Посмотреть сообщение
Terminal users authentication, problem with statistics etc. The users claim that the authentication of terminal users poses some problems. Especially it concerns gathering statistics of their activities. BTW you have probably heard about this workaround whenever the user statistics are incorrectly gathered in KWF?([Для просмотра данной ссылки нужно зарегистрироваться] eid=408&nav=0,2). This script helps us a lot b`cause the customers usually encounter this problem. Do you know when it will be solved?

Answer 2: You need to enable non-transparent proxy and force terminal users to use non-transparent proxy where you can authenticate each session instead of IP address. So this is usually configuration problem.
Перевожу... Мы в курсе. Идите лесом. Поднимайте непрозрачную проксю. Ищите сторонние анализаторы трафика. Типа мы не знали...

Каментов? Их есть у меня - О***ЕТЬ, простите мой английский. Я даже в замешательстве. Эти ответы можно расценить как издевательство. Я серьезно.

Добавлено через 3 минуты
Пусть, *** с ними, скажут по английски
1. ПЛАНИРУЕТСЯ ЛИ АВТОРИЗАЦИЯ ПО МАК (ДА/НЕТ)
2. АВТОРИЗАЦИЯ ТЕРМИНАЛЬНЫХ КЛИЕНТОВ БЕЗ ИСПОЛЬЗОВАНИЯ НЕПРОЗРАЧНОГО ПРОКСИ (ДА/НЕТ)
3. ПЛАНИРУЕТСЯ ЛИ ЧТО_ЛИБО ДАБЫ УВЕЛИЧИТЬ СКОРОСТЬ (ДА/НЕТ)
4. Японский городовой... Вот такую Простейшую хрень, как УВЕДОМЛЕНИЕ ПОЛЬЗОВАТЕЛЯ РЕДИРЕКТОМ НА N-ую страницу веб-морды ПРИ ПРИВЫШЕНИИ КВОТЫ - ЭТО ХОТЬ МОГУТ РЕАЛИЗОВАТЬ? (ДА/НЕТ)

Добавлено через 5 минут
Общий смысл диалога сводится к одному предложению.

Да, вы там капризничаете, пацаны... У нас и так все заебца работает.
__________________
керио

Последний раз редактировалось EnMan; 06.08.2008 в 09:36. Причина: Добавлено сообщение
EnMan вне форума   Ответить с цитированием Вверх
Старый 06.08.2008, 15:07   #103
Engine
Kerio RU Staff
 
Аватар для Engine
 
Регистрация: 04.06.2008
Сообщений: 160
По умолчанию

Я не собираюсь "отмазываться" за разработчиков. Просто представил, что они ответят, задай я сразу вопросы. Как правильно было подмечено на форуме, в частности Семен Семенычем, что они по большому счету в курсе пунктов списка TODO. И на многое у них есть готовый ответ, я бы лично не стал их рассматривать как отмазки. У вас есть право своего мнения, вы его логично доводите. Привожу вас всех к мысле прямого общения с лидерами проектов KWF и KMS. Уверен, вам будет интересно. На данный момент на вопросы отвечает человек, не отвечающий за глобальную разработку. Он тоже приводит свое мнение. И так мы сможем "перекидываться мячиком" очень долго, пока вам или им это не надоест, и все забьют на попытки дальнейших контактов. Есть возможность более кардинального влияния на продукты, к которым вы, в большинстве своем, хорошо относитесь, и который помог вам не раз во время вашей работы. Вот вам, информация к размышлению.

Ну, довольно воды и лирики. Есть пара вопросов:

HOG, про безинтерфейсный vpn клиент я понял, по поводу запуска как службы - чем не устраивает тебя автозапуск клиента и автоматическая установка соединения? Потому как они точно у меня это спросят


Enman, однозначно экспрессией ничего не добьемся. У вас точно есть конструктивные предложения. Уже высказанное записал.

Ant, от вас была история про SMTP+PI с подробным описанием.

Leshiy, понял вашу мысль - от вас была тема про ручную маршрутизацию для клиентов.
Одно уточнение:

Цитата
Сообщение от Leshiy Посмотреть сообщение
И вдогонку к желаемому тодо листу:
Когда ВПН-клиент разрывает соединение и тут-же переподключается, то винроут выдаёт клиенту новый ип-адрес, при этом в свойствах юзера, использующего этот ВПН-клиент чётко прописано, что при ВПН-соединении выдавать _определённый_ адрес и никакой другой.
Можно сказать ему assign static ip address to vpn client для конкретного юзера. Он же умеет это уже делать или я не уловил вашей мысли. Поясните плз.
Engine вне форума   Ответить с цитированием Вверх
Старый 06.08.2008, 15:20   #104
Leshiy
Пейсатель професеонал
 
Аватар для Leshiy
 
Регистрация: 21.12.2007
Сообщений: 1,121
По умолчанию

Вот именно! Вот и м е н н о! Делаем ассайгн, подключаемся, получаем зарезервированный ИП, отключаемся тут же вновь подключаемся и, о боги!, видим что ИП выдан другой.
Эта бага уже пережила годы.
Leshiy вне форума   Ответить с цитированием Вверх
Старый 06.08.2008, 21:23   #105
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,588
По умолчанию

Цитата:
Сообщение от Engine Посмотреть сообщение
HOG, про безинтерфейсный vpn клиент я понял, по поводу запуска как службы - чем не устраивает тебя автозапуск клиента и автоматическая установка соединения? Потому как они точно у меня это спросят
Простите, но если разработчики не видят разницы, то это, пардоньте, алис.
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Старый 07.08.2008, 00:27   #106
Engine
Kerio RU Staff
 
Аватар для Engine
 
Регистрация: 04.06.2008
Сообщений: 160
По умолчанию

Enman, было бы интересно, если бы вы разницу озвучили...если не лень.
Engine вне форума   Ответить с цитированием Вверх
Старый 07.08.2008, 13:16   #107
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,588
По умолчанию

Engine, если не ошибаюс, то таким образом, например, можно войти в удаленный домен. Т.е. стартовав службой тунель будет установлен до входа в систему.

У меня лично таких задач нет, но на винрут.ру точно проскакивало не раз.
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Старый 07.08.2008, 13:41   #108
С.С. Горбунков
Clairvoyant
 
Аватар для С.С. Горбунков
 
Регистрация: 19.07.2006
Адрес: Пенза-Москва
Сообщений: 6,919
По умолчанию

Engine,
и все-таки служба - это служба, простой пользователь ее не в силах стопорнуть или там снять задачу. и запускается при старте компа от имени SYSTEM либо админского аккаунта.. но никак не юзерского.
__________________

керио
С.С. Горбунков вне форума   Ответить с цитированием Вверх
Старый 07.08.2008, 13:52   #109
Engine
Kerio RU Staff
 
Аватар для Engine
 
Регистрация: 04.06.2008
Сообщений: 160
По умолчанию

Enman, уловил мысль.
Мне говорили, что такое предложение, как запуск клиента в качестве службы уже обсуждалось. Но пока преобладает мнение, что это небезопасно. Более развернутый ответ почему "это опасно" я вам дам позже.

По поводу входа в удаленный домен: могу сказать на примере нашего представительства - у нас соединение с головным офисом Server-to-Server. И вся авторизация как раз и работает через VPN. Правда в домен машины у нас не заведены. Главный одмин не доверяет подобную аутентификацию через VPN.

И, согласитесь, если юзверь сидит с правами юзверя - то стопорнуть что либо будет ему довольно проблематично.

Сюда кстати можно и добавить предложени от HOG`a о возможности отключения гуя для VPN клиента...дабы защититься от шаловливых ручонок особо грамотных пользователей. +1
Engine вне форума   Ответить с цитированием Вверх
Старый 07.08.2008, 16:16   #110
HOG
Одменестрадор
 
Аватар для HOG
 
Регистрация: 08.03.2006
Адрес: Из лесу, вестимо...
Сообщений: 5,821
По умолчанию

Цитата:
Сообщение от Engine Посмотреть сообщение
HOG, про безинтерфейсный vpn клиент я понял, по поводу запуска как службы - чем не устраивает тебя автозапуск клиента и автоматическая установка соединения? Потому как они точно у меня это спросят
Тем, что соединение с ВПН сервером должно быть установлено ДО загруза GUI винды точно так-же как с обычной сетевой картой по загрузке драйвера ВПН сетевухи, с указанными в INI файле параметрами, настроенными при установке клиента админом. И чтоб юзер работающий за машиной вообще не знал о том, что он по ВПН сидит в инете через мой КВФ + ползователь тогда будет ДОМЕННЫМ, с соответственными выводами.

P/S/ Сначала написал, потом прочитал поледующие посты. Дим, не знаю почему вас одмин не пускает машины в домен, но мне это НУЖНО. Это хоть ИСУ ставь или "кошки" на все точки... Вы же не боитесь создавать Clientless SSL-VPN соединения?? Вот ну ЧТО случится если кто-то перехватит и пусть теоретически "вскроет" ВПН трафф от клиента ко мне?? Машина то в домене сидит по SAM записи, а она тоже "закрытая" ходит... Сколько людей столько мнений... Ты спрашиваешь что нужно НАМ - мы отвечаем что нам НУЖНО. Это надеюсь аксиома?? Вот не хочу я парится в ДХЦП привязывая МАС к ИП номерам, мне проще (именно проще, а значит НУЖНО) сделать так, чтоб этим всем занималась защита периметра, и в случае подмены одного из компонентов блокировала все три составляющих (ИП, МАС и логин) и сообщала мне об этом. То-же самое касается и удаленного ДОМЕННОГО компа, чтоб удаленный юзер один раз набирал пассворд-логин и видел шары и сервисы без последующих запросов логин-пассворд, и я видел его сервисы и шары точно так-же, и его комп мог обратиться к АД для авторизации меня и остальных. Вот я тебе ответил, что мне нужно. Заметь, ТЫ спросил, а я ОТВЕТИЛ, и даже объяснил ЗАЧЕМ МНЕ ЭТО.
__________________
[Для просмотра данной ссылки нужно зарегистрироваться]

керио
HOG вне форума   Ответить с цитированием Вверх
Старый 07.08.2008, 17:44   #111
Donkey
Ослег
 
Аватар для Donkey
 
Регистрация: 24.03.2006
Адрес: Россия. Ярославль
Сообщений: 5,191
По умолчанию

HOG, ну вот и славненько - мир, дружба, жвачка. Теперь осталось только донести сею мысль до разработчиков
Donkey вне форума   Ответить с цитированием Вверх
Старый 07.08.2008, 18:10   #112
Engine
Kerio RU Staff
 
Аватар для Engine
 
Регистрация: 04.06.2008
Сообщений: 160
Радость

HOG, я тебя понял (ты разжевал и в уши мне положил ). Мне остается лишь перевести на нерусский и послать его товарищам.
Donkey,
ну дык! Мы ж ради этого и стараемся, чтоб указать им на возможные пути усовершенствования и баголечения.
Engine вне форума   Ответить с цитированием Вверх
Старый 08.08.2008, 00:09   #113
kuvl-vrn
KCSP Администратор
 
Аватар для kuvl-vrn
 
Регистрация: 17.11.2007
Адрес: Voronezh 36RUS
Сообщений: 1,563
Хорошо Kerio

Еще нужно добавить :
1.Экспорт и импорт параметров настройки
__________________
_____________
керио
kuvl-vrn вне форума   Ответить с цитированием Вверх
Старый 08.08.2008, 01:52   #114
Donkey
Ослег
 
Аватар для Donkey
 
Регистрация: 24.03.2006
Адрес: Россия. Ярославль
Сообщений: 5,191
По умолчанию

kuvl-vrn, вот из всего списка пожеланий только эту фишку и сделают потому что проще всего ггг )))) "ЧО? Дуршлаг тебе с дырками подавай? Руки есть сам просверлишь..." )))
Donkey вне форума   Ответить с цитированием Вверх
Старый 08.08.2008, 10:19   #115
С.С. Горбунков
Clairvoyant
 
Аватар для С.С. Горбунков
 
Регистрация: 19.07.2006
Адрес: Пенза-Москва
Сообщений: 6,919
По умолчанию

чего проще сделать одну большую кнопочку "сделать всё песдато и без базараф!"
__________________

керио
С.С. Горбунков вне форума   Ответить с цитированием Вверх
Старый 08.08.2008, 13:23   #116
Engine
Kerio RU Staff
 
Аватар для Engine
 
Регистрация: 04.06.2008
Сообщений: 160
По умолчанию

Семен Семеныч! БРАВО!!!! :pank: Еще наверно нужны две кнопки - вкл и выкл., так..для проформы
Engine вне форума   Ответить с цитированием Вверх
Старый 09.08.2008, 18:25   #117
HOG
Одменестрадор
 
Аватар для HOG
 
Регистрация: 08.03.2006
Адрес: Из лесу, вестимо...
Сообщений: 5,821
По умолчанию

Мужики, давайте подвяжем флудить, и будем базарить по делу...
__________________
[Для просмотра данной ссылки нужно зарегистрироваться]

керио
HOG вне форума   Ответить с цитированием Вверх
Старый 10.08.2008, 00:33   #118
Donkey
Ослег
 
Аватар для Donkey
 
Регистрация: 24.03.2006
Адрес: Россия. Ярославль
Сообщений: 5,191
По умолчанию

HOG, дык по делу говорим, пока результатов не видно
Donkey вне форума   Ответить с цитированием Вверх
Старый 11.08.2008, 12:09   #119
HOG
Одменестрадор
 
Аватар для HOG
 
Регистрация: 08.03.2006
Адрес: Из лесу, вестимо...
Сообщений: 5,821
По умолчанию

Цитата:
Сообщение от kuvl-vrn Посмотреть сообщение
Еще нужно добавить :
1.Экспорт и импорт параметров настройки
Это достигаеццо копированием cfg файла.
__________________
[Для просмотра данной ссылки нужно зарегистрироваться]

керио
HOG вне форума   Ответить с цитированием Вверх
Старый 11.08.2008, 13:25   #120
kuvl-vrn
KCSP Администратор
 
Аватар для kuvl-vrn
 
Регистрация: 17.11.2007
Адрес: Voronezh 36RUS
Сообщений: 1,563
Хорошо Kerio

Цитата:
Сообщение от HOG Посмотреть сообщение
Это достигаеццо копированием cfg файла.
Согласен, но нужно сделать "много шагов", а если бы внедрить такую возможность то к примеру нажал на кнопку Сохранить настройки, и автоматом к примеру на рабочем столе создана папка Kerio #версия# и в ней находяться копии всех нужных cfg файлов....Я считаю так удобнее...НО решать конечно им
__________________
_____________
керио
kuvl-vrn вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 04:19. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2019, vBulletin Solutions Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях