четверг, 19 февраля 2009
23:38

все записи пользователя в сообществе GreegAV
Самое худшее уже случилось, остались последствия
[-]

Дано:
Windows 2003 server SP2
AD, DNS, DHCP (не знаю что еще дописать), работающие второй год.
Поставили Kerio Winroute Firewall 6.5.2 build 5172. Пользователи в Керио берутся из АД.
Ситуация:
Вопросы:
1) Кто такой see-rfc1918 и как его определить?
2) Хоть и видны в активных хостах товарищи имя.praktika.lo, но в статистике имеем чудесную картину:
Как лечить?

Если по первому вопросу гугл выдал аж одну ссылку на форум винроута с аналогичным вопросом, то куда копать во втором случае - идей нет.

@темы: Сети и серверы

URL
Комментарии
19.02.2009 в 23:46

Enkryptor
see-rfc1918

скорее всего, это отсылка "смотри RFC номер 1918"
URL
19.02.2009 в 23:48

Enkryptor
интернет раздаётся посредством NAT, а не прокси? тогда как сервер может определить, какой именно пользователь сидит за компом, с которого пришли пакеты в интернет? чтобы происходила авторизация, нужна какая-то клиентская часть, как это происходит например у ISA
URL
19.02.2009 в 23:59

GreegAV
Самое худшее уже случилось, остались последствия
"смотри RFC номер 1918"
Там я узнал (О, новость) что адреса 192,168,0,ххх это адреса в локальных сетях! Правда что мне с этим знанием в данном случае делать - без малейшего.

какой именно пользователь сидит за компом, с которого пришли пакеты в интернет?
Ну как-то же он половину народа определяет! Правда нигде не учитывает. Или это говорит нам что у них в браузерах стоит галочка "автоматическая настройка прокси", а у прочих - нет?
URL
20.02.2009 в 11:41

Enkryptor
как-то же он половину народа определяет!

где он определяет доменные логины, покажи? пока я вижу только активные хосты, а не активных пользователей




у них в браузерах стоит галочка "автоматическая настройка прокси"

ответь пожалуйста на мой наводящий вопрос - интернет раздаётся посредством NAT, а не прокси?
URL
20.02.2009 в 23:02

GreegAV
Самое худшее уже случилось, остались последствия
Да, инет раздается натом.

где он определяет доменные логины
Допустим что в данном случае доменные логы совпадают с названиями компов. Больше интересен момент разделения в списке "итого"
Вопрос остается актуальным - из 7 компов 4 определяются нормально, остальные три - see-rfc1918. Как увидеть кто(что) скрывается за see-rfc1918 в каждом случае?
URL
21.02.2009 в 12:16

Enkryptor
Давай решать вопросы последовательно. Сначала поставим некий вердикт с подсчётом статистики по логинам, а потом уже займёмся хостами "see-rfc1918".

Итак, во-первых, если инет раздаётся натом, тогда зачем ты упомянул параметр "автоматическая настройка прокси"? Во-вторых, при чём тут то, совпадают ли логины с именами компов или нет? Для винрута это не имеет значения, такой специальный случай его создатели не предусматривали. Я тебе говорю, что статистика по логинам у тебя не считается в принципе, нигде, именно потому что пользователь не авторизуется при пользовании интернетом; механизм NAT в принципе не предусматривает авторизации. Стало быть, у тебя есть как минимум три варианта решения:
1. раздавать инет через прокси с авторизацией
2. поставить клиентскую часть, которая будет авторизироваться при пользовании NATом
3. считать статистику не по пользователям, а по хостам
URL
21.02.2009 в 14:06

GreegAV
Самое худшее уже случилось, остались последствия
Третий вариант наиболее интересен ибо народ меняют, а компы нет :)
Упомянул варианты я в качестве предположения о причинах нормального отображения некоторых хостов.
URL
21.02.2009 в 15:27

Enkryptor
а так ли принципиально использовать именно винрут?
URL
21.02.2009 в 17:28

GreegAV
Самое худшее уже случилось, остались последствия
Наверное не принципиально.
Просто мне кажется что он "легче" чем ИСА.
URL
21.02.2009 в 18:31

Enkryptor
а я говорил, что надо ставить ису? в данном случае будет достаточно RRAS для раздачи интернета + TrafficInspector для учёта
URL
22.02.2009 в 12:47

Enkryptor
Ну не молчи. Задавай вопросы, отвечай на вопросы. Тебе же нужно проблему решать в первую очередь, не мне, так не жди от меня инициативы.
URL
22.02.2009 в 14:02

GreegAV
Самое худшее уже случилось, остались последствия
Молчу ибо выходной и нечего работой страдать (хотя не всегда получается)
Идея про Траффик инспектор как-то не вызывает восторга.
Наверное таки пропишу вручную пользователей, привяжу к ИПшникам, разобью по группам - и надеюсь на этом вопрос будет решен.
Ежели после всей процедуры еще увижу see-rfc1918, то буду думать и гадать, а если таки разрулится - то супер.
URL
22.02.2009 в 14:05

Enkryptor
ну не знаю, я сам винрут не использовал, но от других людей ничего кроме жалоб относительно его не слышал
URL
22.02.2009 в 14:31

GreegAV
Самое худшее уже случилось, остались последствия
8 контор на 6.3 версии стоят и не пыхтят :)
А тут затеяли учет трафика под кризис - так поставили 6.5 версию. И не заладилось :(
URL
22.02.2009 в 17:07

Enkryptor
8 контор на 6.3 версии стоят и не пыхтят

ну, а можешь написать, какие возможности винрута там используются, которые не умеет тот же RRAS например?
URL
22.02.2009 в 17:26

GreegAV
Самое худшее уже случилось, остались последствия
В виду того что никогда не пользовался ничем кроме керио на минимальном уровне, то не могу. Траффик инспектор один раз сносил только :)
URL
22.02.2009 в 20:21

Enkryptor
тогда почему идея про Траффик инспектор как-то не вызывает восторга?
просто потому, что придётся изучать что-то новое (а именно нативный RRAS в виндовс) ?
URL
22.02.2009 в 22:34

GreegAV
Самое худшее уже случилось, остались последствия
Скорее не потому что изучать новое, а потому что изучать, на что необходимо доп.время которого катастрофически нет :(
URL
27.02.2009 в 13:49

Enkryptor
То есть ты уже решил проблему? Как именно?

(спрашиваю, потому что при наличии спешки за пять дней можно было реализовать любое из предложенных решений)
URL
27.02.2009 в 21:25

GreegAV
Самое худшее уже случилось, остались последствия
А никак по итогу :(
Прописал всех пользователей, поигрался с отображением результатов в Internet Access Monitor, все красиво сутки работало, правда не мог найти откуда берутся "незарегистрированные пользователи" если Инет раздается только "аутентифицированным пользователям"... А вчера сдох сам сервак. Так что восстановится, пропишется все заново и по итогу будем смотреть. До "сдоха" было все ОК. За наводки сенкс.
URL
13.02.2010 в 00:45

GreegAV
Самое худшее уже случилось, остались последствия
Правильный ответ: Не поленится и вписать всех пользователей с указанием их айпишников. По идее если прикрутить авторизацию каким-то умным вариантом (типа через AD), то тоже должно работать, но не проверялось.
URL