Connect. Communicate. Collaborate. Securely.

Home » Kerio User Forums » Kerio Control » Traffic Rules for several groups of users (Организация HotSpot с системой билинга)
  •  
Aaz

Messages: 6
Karma: -6
Send a private message to this user
Приветствую!
Возникла необходимость нарисовать хотспот. Ориентировочное число абонентов - 1000-1500, единовременно подключаться будет примерно 300-500 клиентов
Подключаться будут как корпоративные устройства, так и личные. Пока работаю в направлении личных устройств. Создавать базу макадресов смысла не вижу, т.к. особо инициативные умеющие менять мак на своем лаптопе/планшете/коммуникаторе найдутся завсегда везде, поэтому - только веб-аутентификация. Далее. Канал в инет надо будет делить по-братски (поровну никак нельзя), поскольку канал не резиновый (участок находится в тнудре, на Чукотке, инет берем со спутника), а клиенты часто бывают и вип-образца - в общем только по-братски.
Что реализовано. На виртуалке заведены изолированный DC (куда данные о пользователях будут перелетать из 1С), керио - для собственно аутентификации, прозрачное проксирование, разделения пользователей на приориетет по трафику в соответствии с группой пользователя, маршрутизация и т.д. И поставил pfsens - в него будет приходить условно 3 трубы из керио (типа группы - голд, сильвер и бронз), а уж пфсенс внутри каждой трубы в соответствии с правилами - будет делить канал либо поровну по максималке между всеми участниками группы (бронз), либо отжимать канал от соседних групп и выделять с ограничением по минималке для кадого клиента из группы голд.
До маршрутизатора нарисованы соответствующие виланы.
То есть. В керио все пользователи попадают на локальный интерфейс 192.168.160.15
выходной из керио - 192.168.80.15/24 (входящий на пфсенсе 192.168.80.16). Так же на керио на внешнем интерфейсе добавлены адреса 192.168.80.21 (gold), 192.168.80.22 (silver), 192.168.80.23 (bronze)
Далее, после аутентификации, керио должен направлять трафик от юзера наружу от соответствующего адреса (по группе). В теории.
На практике - если я создаю сквозное правило, которое разрешает всё и всем + трансляция наружу, то запрос на аутентификацию пользователя выскакивает. Только я начинаю разделять правилами пользователей на группы - не фунциклирует, первое сквозное правило же всем всё разрешает. Если я в этом сквозном правиле трафика отключаю нат (ну, чтоб пользователь пришел, получил запрос на аутентификацию и отправился дальше в соответствии со своей группой), то всё - запрос на аутентификацию не проходит
Собственно какой помощи прошу - подскажите, пожалуйста, как организовать правила трафика, чтоб процесс шел в следующем порядке:
1. пользователь запускает браузер, запускает любой сайт - и получает запрос на веб-аутентификацию
2. После получения логина/пароля от пользователя - керио направляет сессию пользователя в соответствующую его группе трубу и нат с соответствующего группе адреса на пфсенс
Пфсенс пока на этом этапе - промежуточное звено, никаких настроек, просто маршрутизирует трафик с 192.168.80.16 на внешний интерфейс и обратно
  •  
Aaz

Messages: 6
Karma: -6
Send a private message to this user
Я так понимаю, раз мне даже тут не ответили, то отсюда можно сделать 2 вывода:
1. Керио так не умеет (тогда встает вопрос о соотношении его функционал/цена)
2. Керио таки так умеет, просто никто (даже на официальном форуме Керио) не знает как это сделать
?
  •  
spooler

Messages: 10
Karma: -7
Send a private message to this user
Aaz
Ну вы бы хоть показали какие правила создаете в каком порядке и т.п.
По идее трансляция по определенном юзеру должна работать.
  •  
Aaz

Messages: 6
Karma: -6
Send a private message to this user
Собственно - в том и вопрос, опишите/покажите, пожалуйста, правило (набор правил), которое даст при обращении юзера на любой адрес (а поскольку сервер керио для пользователя является шлюзом - априори все пакеты из локальной сети прилетят на соответствующий интерфейс сервера керио).. ммм. вот, в этом случае оно сразу же даст юзеру запрос на веб-авторизацию.
Как я организовал - скриншот не дам, всё на работе.
Попробую описать
Если правило сквозное, то есть любой интерфейс сурс и дистанейшн, любой порт - никаких ограничений - и всё это натируется наружу - без проблем, авторизация запрашивается.
Отключаю нат - всё, авторизации нет
Но. Дальше идут правила:
сурс - авторризованные пользователи группы голд, назначение - интерфейс на инет, порты-службы - без ограничений, нат - через IP для группы голд.
Но поскольку первое правило - разрешающее на всё (если включен нат) - то второе само стобой - не отрабатывается.
Отключаю первое правило - запрос на авторизацию не прилетает, ибо на втором - сурс стоит авторизованный пользователь, ессно оно и не проходит - пользователь то еще не авторизован. Замкнутый круг какой то.
Как сделать так, чтоб пошла авторизация - но без доступа наружу, только был доступ к керио? а потом уже - в зависимости от группы - наружу по соответствующей трубе
  •  
spooler

Messages: 10
Karma: -7
Send a private message to this user
Ну так разрешите входящее подключение для неаутентифицировенного юзера на керио
Source: Внутренний сетевой интерфейс, destanation: Брандмауер.
Это даст возможность керио запросить логин пароль, а так получается, что все пакеты отбрасываются.
http://i5.imageban.ru/out/2012/12/17/5639c5277b9fb3fa367b7c7b19b60157.png
Никакого NATа в данном правиле не нужно.

[Updated on: Mon, 17 December 2012 11:49]

  •  
Aaz

Messages: 6
Karma: -6
Send a private message to this user
вот именно в таком случае - никаких запросов на аутентификацию и не прилетает Sad
Уточняю - керио работает в режиме прозрачного прокси, у клиента браузер никакой настройке не подвержен. Да, если поставлю в браузере настройку на прокси и порт - без проблем, запрос на аутентификацию прилетает.
  •  
spooler

Messages: 10
Karma: -7
Send a private message to this user
Aaz
Если включен режим прозрачного прокси, то запроса на аутентификацию быть не должно совсем хоть как изголяйся.

Все должно работать верно при таком конфиге:
1) Принудительная аутентификация
2) Правильный порядок правил. Все правила с NAT должно быть выше показанного мной правила локального трафика.

В таком случае любой чих клиента в сторону интернета будет сначала вызывать перенаправление на страницу логина, а затем уже клиент будет ходить в инет по вашим правилам для юзеров.

  •  
Aaz

Messages: 6
Karma: -6
Send a private message to this user
Итак. Интерфейсы у меня организованы так
LocalEth - локалка
OutEth - интерфейс наружу
Gold, Platinum - интерфейсы наружу для соответствующих групп
./fa/2872/0/

  • Attachment: 02.jpg
    (Size: 126.34KB, Downloaded 1915 times)
  •  
Aaz

Messages: 6
Karma: -6
Send a private message to this user
Правила организовал вот так
Если включить AllRight - то запрос на аутентификацию прилетает, но тогда правила на разделение аутентифицированных пользователей не отрабатываются - понятное дело
А в таком вот виде - ничего не происходит
./fa/2873/0/

  • Attachment: 01.jpg
    (Size: 88.82KB, Downloaded 2071 times)
  •  
spooler

Messages: 10
Karma: -7
Send a private message to this user
Aaz
В "Домены и аутентификация пользователей" галки на принудительный запрос стоят?
Также в правила с натом в назначение добавьте внешний интерфейс, а не "любой".

[Updated on: Tue, 18 December 2012 11:44]

  •  
enman

Messages: 17
Karma: -2
Send a private message to this user
spooler wrote on Mon, 17 December 2012 12:21
Aaz
Если включен режим прозрачного прокси, то запроса на аутентификацию быть не должно совсем хоть как изголяйся.

Все должно работать верно при таком конфиге:
1) Принудительная аутентификация
2) Правильный порядок правил. Все правила с NAT должно быть выше показанного мной правила локального трафика.

В таком случае любой чих клиента в сторону интернета будет сначала вызывать перенаправление на страницу логина, а затем уже клиент будет ходить в инет по вашим правилам для юзеров.

Абсолютно верно. Раньше можно было в таком правиле (которое должно быть ниже правила для группы) даже не включать трансляции. Группа пользователя для Керио - это группа людей уже авторизованных на фаерволе. До авторизации он членства в группе не поймет.

[Updated on: Mon, 24 December 2012 04:55]

Previous Topic: How to reset admin password
Next Topic: [SOLVED] Very Slow HTTPS browsing
Goto Forum:
  


Disclaimer:
Kerio discussion forums are intended for open communication between forum members and may contain information and material posted by members which may be useful in learning about Kerio products. The discussion forums are not intended to provide technical support for any specific product. Any information implied or expressed in the discussion forums is that of the posting member. Kerio is in no way responsible for the information posted in the forums, or its accuracy. Kerio employees may participate in the discussions, but their postings do not represent an offical position of the company on any issues raised or discussed. Kerio reserves the right to monitor and maintain the forums to promote free and accurate exchange of information.

Current Time: Fri Sep 22 10:18:18 CEST 2017

Total time taken to generate the page: 0.00514 seconds
.:: Contact :: Home ::.
Powered by: FUDforum 3.0.4.