Архив

Публикации с меткой ‘Маршрутизация’

Через тернии к звездам…

Победил автоматическую NTLM-авторизацию пользователей на Kerio Winroute Firewall 6.6.0. Если вкратце, то:

Конфигурация -> Фильтрация содержимого -> Правила URL. Создаем правило:

ad-auth-rule

Конфигурация -> Дополнительные параметры -> Веб-интерфейс / SSL-VPN:

kwf-web-act

Пользователи и группы — > Пользователи ->  Параметры аутентификации:

kwf-auth-conf

Пользователи и группы -> Пользователи -> Active Directory:

kwf-ad-conf

На что следует обратить внимание:

1. Необходимо выключить веб-интерфейс HTTPS. Не будет смущать пользователя дебильными вопросами про неподписанный сертификат.

2. В параметре «Имя домена Windows NT» обязательно писать краткое имя домена. Напишете FQDN — авторизации не будет.

3. В параметре «Имя домена Active Directory» обязательно писать полное имя домена. То есть в данном случае именно FQDN.

4. Пользователь, ограниченный правами на чтение базы AD, подцепить учетные записи из AD не сможет. Необходимо указывать учетные данные доменного администратора.

5. NTLM-авторизация работает нестабильно. Когда-то удачно, когда-то нет. Четкой закономерности не уловил. Однако авторизоваться всегда можно и вручную, обратившись по адресу http://kwf-server:4080. В моем случае это http://gate.roadcenter.local:4080. Естественно, учетные данные вводить не потребуется, нужно только обратиться на сервер KWF. Для доменных пользователей можно установить эту страницу в качестве стартовой, либо инициировать ее запуск через скрытое окно IE logon-скриптом.

Default , , ,

Удаленное управление серверами, находящимися за маршрутизатором

17 апреля 2009

В повседневной работе сталкиваюсь с необходимостью выполнять некоторые операции на серверах, находящихся в удаленных офисах. Иногда задача усложняется еще и тем, что сервер смотрит в интернет не напрямую, а через NAT. На выручку приходит порт-форвардинг на маршрутизаторе.

К примеру, нам нужно получить доступ к Windows-серверу, имеющему внутренний IP-адрес 192.168.0.10, спрятанный за маршрутизатором с IP 89.94.250.116. Порт ожидания для RDP — TCP 3389, для SSH — 22. Создаем на маршрутизаторе правило, где source — WAN (интерфейс, смотрящий в интернет), destination — Firewall (маршрутизатор), Service/Port (сервис/порт) — произвольно выбранный порт, желательно из диапазона 20.000-50.000 (на самом деле можно использовать абсолютно произвольный порт, но т.к. правило, возможно, будет работать не один год, необходимо использовать порт, не привязанный к широко распространенным сервисам и службам), скажем, 22.000, действие — Permit (разрешить), translation — MAP 192.168.0.10 PORT 3389.

Если перевести данное правило на человеческий язык, то мы получим следующее: при обращении к маршрутизатору с произвольного внешнего хоста на порт 22.000 транслировать данное обращение к внутреннему хосту с IP-адресом 192.168.0.10 на порт 3389.

Подобные правила можно создавать на практически любых программных маршрутизаторах, вроде Kerio Winroute Firewall, MS ISA, UserGate, а также на абсолютном большинстве аппаратных маршрутизаторов.

Default ,