Max

Установка прокси-сервера UserGate

Процедура установки UserGate сводится к запуску инсталляционного файла и к выбору опций «Мастера установки». При первой установке UserGate достаточно оставить опции установки по умолчанию. В процессе установки инсталлятор отобразит диалог выбора «нетарифицируемых» сетевых интерфейсов. В диалоге будут перечислены все активные сетевые интерфейсы компьютера, на который устанавливается UserGate, с возможностью выбора любого из них. При обычном типе доступа в Интернет (выделенная линия, модемное подключение), в качестве «нетарифицируемых» (или локальных сетевых интерфейсов) нужно указать интерфейсы, соответствующие локальной сети. Если подключение к сети Интернет выполняется через VPN (OpenVPN) соединение, как при спутниковом доступе, то в качестве «нетарифицируемых» интерфейсов требуется указать все сетевые интерфейсы сервера, кроме VPN-соединения. Выбор интерфейсов важен, поскольку он определяет правильность подсчета трафика в целом.
Как правило, в небольших сетях, компьютер, исполняющий роль Интернет шлюза или прокси-сервера, одновременно является и рабочей станцией. С этой машины также выходят в сеть Интернет, или наоборот подключаются к ней извне, например к FTP-серверу и т.д. Кроме того, на Интернет - шлюзе может быть установлена антивирусная программа, периодически обновляющая базы через Интернет. В этом случае для полного подсчета трафика UserGate должен учитывать не только трафик пользователей, но и вести подсчет трафика самого сервера (Интернет - шлюза). Выбор «нетарифицируемых» интерфейсов необходим для правильного учета трафика сервера. После установки UserGate требуется перезагрузка компьютера.

Настройка администратора Usergate

Модуль администрирования предназначен для управления сервером UserGate. Для использования UserGate Administrator необходимо предварительно запустить сервер UserGate, выбрав пункт Start UserGate Server в контекстном меню UserGate агента (иконка в системном трее). Запуск UserGate Administrator также выполняется через меню UserGate агента, либо через пункт «Пуск > Программы», если модуль администрирования установлен на другую машину. Для работы с настройками необходимо подключить модуль администрирования к серверу.
При первом запуске, UserGate Administrator открывается на странице «Соединения», в которой отображается единственное соединение с сервером localhost для пользователя Administrator. Пароль на подключение не задан. Подключиться к серверу можно, через двойной клик на строке «localhost Administrator» или через кнопку «Подключиться» на панели управления. В модуле администрирования UserGate можно создать несколько подключений с различными параметрами. В настройках соединения указываются следующие параметры:
■ Название сервера - это семантическое название подключения, например «Usergate в филиале» или «UserGate в головном офисе»
■ Имя пользователя – логии ндля подключения к серверу
■ Адрес сервера - доменное имя или IP адрес сервера UserGate
■ Порт-TCP-порт для подключения администратора к серверу (по умолчанию используется порт 2345)
■ Лароль - пароль для подключения
■ Спрашивать пароль при подключении - позволяет отображать диалог ввода логин/пароль при подключении к серверу
■ Автоматически подключаться к этому серверу - модуль администрирова­ния будет подключаться к указанному серверу автоматически при запуске
Как расшифровываются сообщения монитора подключений? Что означают сообщения сессия -1, соединений -1?
На странице «Мониторинг» администратора UserGate указывается количество активных в данный момент пользователей (количество сессий) и число активных соединений. Сообщение «сессия - 1, соединений - 1» может означать, что в данный момент к серверу UserGate подключен один пользователь администратор UserGate. Сессия администратора не влияет на ограничение количества сессий, «зашитое» в регистрационном ключе UserGate.
Как производится удаленное управление и администрирование системы?
Модуль администрирования UserGate может быть использован для удаленного управления сервером. Для этого, в настройках соединения, параметр «Адрес сервера», требуется указать доменное имя или IP-адрес удаленной машины, на которой запущен сервер UserGate. Предварительно следует проверить, что порт 2345 TCP удаленной машины не блокируется каким-либо файерволом.

__________________
Не задавай вопросов, если не знаешь, что делать с ответом.

Max

Работа с пользователями

Как добавлять пользователей?
Для предоставления доступа в сеть Интернет, в UserGate необходимо создать пользователей. Для удобства администрирования, пользователей можно объединять в группы. По умолчанию в UserGate присутствует единственная группа defaultс одноименным пользователем. Диалог создания пользователя вызывается через пункт «Добавить нового пользователя» или через соответствующий пункт панели управления. Обязательными параметрами пользователя являются: Имя, Типавторизациии дополнительные параметры для авторизации (IP-адрес, логин, парольи т.п.). По умолчанию, все пользователи принадлежат группе default. Если требуется сделать логическое деление пользователей, то предварительно нужно создать соответствующие группы. Пользователем наследуются все права группы, к которой он принадлежит. Кроме тарифа, который можно переопределить.
Каким образом можно добавить пользователей, не прописывая каждого вручную, а из ActiveDirectory при установке программы на сервер?
Модуль администрирования UserGate позволяет импортировать пользователей из Active Directory. Для этого в разделе «Пользователи и группы -Пользователи» следует выбрать пункт «Импортировать пользователя» всплывающего меню. Для выбора пользователей будет отображен стандартный диалог Windows. При импорте пользователей импортируются следующие параметры: имя пользователя, логин в домен, имя домена и адрес электронной почты. В качестве типа авторизации автоматически указывается Active Directory. Тип авторизации можно впоследствии изменить на любой другой.
Как удалять пользователей?
Удаление пользователей выполняется через соответствующий пункт всплывающего меню в разделе «Пользователи и группы». Удаление возможно, если пользователь в данный момент не активен, т.е. не работает в сети Интернет через UserGate.
Как происходит авторизация пользователя без модуля UGCIientи с клиентским модулем?
Авторизация в UserGate может проходить автоматически, без запуска дополнительных программ, или через специальную программу посредник «клиент авторизации» UserGate (UserGate Authorization Client, файл ugclient.exe). UserGate Authorization Client используется только для следующих типов авторизации:
■ Active Directory (включая упрощенный вариант AD авторизации)
■ Windows Login
■ Name & Password
«Клиент авторизации» представляет собой обычное сетевое приложение, работающее на уровне Winsock, которое подключается к серверу UserGate на определенный UDP порт (по умолчанию порт 5456) и передает параметры авторизации пользователя: тип авторизации, логин, пароль и т.п. В настройках клиента авторизации указывается IP-адрес сервера UserGate, метод авторизации и параметры для авторизации в соответствии с тем, что указано в настройках пользователя в UserGate. «Клиент авторизации» рекомендуется использовать в крупных сетях с централизованным управлением.
Что означают обозначения IP+MAC(абонемент) и «ADупрощенная» для типа авторизации пользователя?
Авторизация через IP+MAC (абонемент) - это тип авторизации через комбинацию IP и MAC адресов, когда в момент создания пользователя администратору еще не известен ни If? ни MAC адрес пользовательского компьютера. Однако в дальнейшем предполагается, что пользователь всегда будет работать с одной и той же машины. Поьзователь с таким типом авторизации должен зайти на страницу http://usergate/register.html в браузере и указать логин и пароль, выданный ему администратором UserGate. В момент проверки логина и пароля сервер UserGate определяет IP и MAC адрес пользовательского компьютера и в дальнейшем выполняет авторизацию по комбинации IP + MAC адреса.
При работе в сети с доменом Active Directory, в качестве типа авторизации пользователей можно выбрать вариант Active Directory или «AD упрощенная». В первом варианте «клиент авторизации» передает серверу UserGate параметры учетной записи пользователя (логин, пароль и имя домена) и сервер UserGate проверяет их правильность, подключаясь к контроллеру домена. При авторизации через «AD упрощенная» сервер UserGate сравнивает логин и имя домена, полученные от клиента авторизации, с тем, что указано в настройках пользователя. Обращение к контроллеру домена не выполняется.
Как осуществлять операции с группами пользователей?
Для удобства администрирования, пользователей UserGate можно объединять в группы. К группам можно применять правила NAT, тарифы и различные ограничения (правила управления трафиком). Пользователем наследуются все права группы, к которой он принадлежит, кроме тарифа, который можно переопределить в настройках пользователя.
Управление трафиком. В правом верхнем углу- «выберите период», период чего?
Раздел «Управление трафиков» администратора UserGate предназначен для отображения трафика каждого пользователя или группы, времени проведенного в сети Интернет и состояния счета. Показания соответствуют указанному периоду, в качестве которого, по умолчанию, выбран текущий день («Сегодня»).
Управление трафиком. Как пополнить счет, как добавить ресурсы?
Для пополнения выберите раздел «Управление трафиком». Счет пользователя можно пополнить, либо добавив средства к счету, либо записав на счет. При пополнении счета, если используется не нулевой тариф, средства автоматически пересчитывают в Мб.
какие параметры браузера необходимо установить принастройке ПИ пользователей, чтобы доступ проходил через прокси-сервер?
Для настройки браузера на работу через прокси-сервер достаточно указать адрес и порт прокси в соответствующем пункте настроек. В Internet Explorer настройки прокси указываются через меню «Сервис > Свойства обозревателя > Подключение > Настройка LAN». При работе через НТТР-прокси в свойствах TCP/IP сетевого подключения клиента указывать шлюз и DNS необязательно, поскольку разрешение имен выполняет сам HTTP прокси.

Сервисы

Можно ли установить кэширование на отдельный компьютер и как это сделать ?
Основным преимуществом использования прокси-сервера является кэширование сетевых ресурсов. Кэширование снижает нагрузку на Интернет соединение, экономит средства на Интернет. К настраиваемым параметрам кэша относятся: место хранения (по умолчанию кэш расположен в директории Cache, каталога UserGate); размер КЭШ памяти (по умолчанию - 100 Мб) и время жизни кэшированного документа. В качестве места хранения кэш можно указать и сетевую папку, с правами на чтение/запись удаление.
Как пользоватьсяа втодозвоном?
Если подключение к сети Интернет выполняется через Dial-up или VPN соединение, сервер UserGate может автоматически подключаться к провайдеру при наличии клиентских запросов. Соответствующие настройки расположены в пункте «Сервисы > Автодозвон». В настройках соединения указывается его название, логин и пароль. Можно подключать Dial-up автоматически, при запуске сервера UserGate, такой режим включатся опцией «Подключаться при запуске». Если UserGate установлен в качестве сервиса, то при создании Dial-up (VPN) требуется сделать его доступным для всех пользователей.
Что такое каскадные прокси?
Сервер UserGate может работать с Интернет через вышестоящий прокси, например прокси-сервер Интернет-провайдера. В этом случае сервисы прокси в UserGate нужно включить каскадом на вышестоящий прокси сервер. Вышестоящий прокси сервер, как правило, называют «родительским» или «каскадным» прокси.

__________________
Не задавай вопросов, если не знаешь, что делать с ответом.

Max

Сетевые правила

Как настроить NAT?
Технология NAT (Network Address Translation) основана на подмене IP-адресов получателей или отправителей в заголовке IP-пакета и предназначена для работы пользователей в сети Интернет через один внешний IP-адрес. В этом случае NAT позволяет скрывать структуру внутренней сети от наблюдателя из сети Интернет.
Для настройки NAT, в UserGate следует запустить соответствующий мастер на странице «Сетевые правила» в администраторе UserGate. В качестве «IP-приемника» указывается внутренний сетевой адаптер сервера (сетевая карта для локальной сети), а в качестве «IP-отправителя» нужно указать внешний сетевой интерфейс или название Интернет-подключения, если доступ в Интернет осуществляется через Dial-Up (VPN) соединение. Правила NAT необходимо применить пользователям или группе пользователей.
Каким образом происходит назначение портов?
Назначение портов (Port mapping) - это переадресация данных, посылаемых на определенный порт одного компьютера на какой-то порт другого компьютера. Таким образом, «назначение портов» позволяет привязать выбранный порт одного из локальных сетевых интерфейсов сервера с UserGate к определенному порту удалённого хоста.

Антивирус

Работает ли антивирус на всех компьютерах?
В прокси сервер UserGate встроены два антивирусных модуля: антивирус Касперского и антивирус Panda. Антивирусы предназначены для проверки трафика через прокси, и не проверяют файловую систему сервера. Оба антивируса поставляются без антивирусных баз. Поэтому, перед включением антивируса, нужно запустить обновление антивирусных баз и дождаться его завершения. Прогресс закачки антивирусных баз отображается индикатором в строке состояния UserGate Administrator.
Встроенные в UserGate антивирусы (Kaspersky Panda) лицензируются отдельно. Так, для антивируса Касперского необходим специальный ключ (файл с расширением *.кеу), расположенный в директории Usergate4\kav. В состав дистрибутива UserGate всегда входит триальный ключ на антивирус Касперского, на срок 30 дней. Лицензия для антивируса Panda, по соглашению с Panda Security, «зашивается» в регистрационный ключ на сам сервер UserGate.
Можно лио тключить антивирус?
Встроенные антивирусные модули по умолчанию выключены. Если проверять прокси-трафик на вирусы не требуется, встроенные антивирусные модули можно не использовать.

Работа с правилами управления трафиком

Как определяются правила для пользователя или группы пользователя? Каким образом их записать?
В основе политики управления пользовательским трафиком в прокси-сервере UserGate лежит механизм правил. С помощью правил, администратор сервера UserGate может ограничивать доступ пользователей локальной сети в сеть Интернет, закрывать доступ к определенным веб-ресурсам, устанавливать график работы пользователей, осуществлять динамическое переключение тарифов и вести подсчет трафика.
Каким образом разрешить доступ пользователей или групп отдельным сайтам, и запретить по всем остальным?
Допустим, что необходимо предоставить доступ к некоторым сайтам, например, www.mail.ru, www. yandex.ru, www.rambler.ru и запретить доступ ко всем остальным сайтам. Для решения поставленной задачи создадим правило со следующими параметрами: Объект - действие: Соединение - Закрыть. На странице «Фильтры», в поле «список URL», нужно добавить: *mail.ru*, *yandex.ru*, *rambler.ru* в качестве исключения. Строка * - «запретить» установит запрет на доступ к остальным сайтам. Полученное правило нужно применить пользователям или группам.
Как установить запрет на соединение при превышении размера скачиваемого файла?
Для этого нужно создать правило с типом логики «ИЛИ».
Правила - Фильтры, как добавить информацию (IP-пользователей, список URLадресов) в таблицу?
Список IP-адресов или URL может быть импортирован из текстового файла. Для импорта нужно нажать на кнопку над полем «Список URL» или на аналогичную кнопку над полем «СписокIР».
По какой причине возможен случай, когда компьютер, или пользователь, которому установлен запрет на соединение с сетью продолжает выходить в Интернет в обход сервера?
Стоит перепроверить условия, указанные в правиле управления трафиком. Вполне возможно, что данные условия просто никогда не реализуются. Правила со сложными условиями рекомендуется разбивать на несколько простых правил.

__________________
Не задавай вопросов, если не знаешь, что делать с ответом.

Max

Работа с правилами управления трафиком

Что такое файервол? Как создать правила для файервола?
Файервол позволяет обеспечить дополнительную защиту Интернет-шлюза за счет блокирования трафика через определенные порты и различные протоколы (TCP. UDP любой IP-протокол). Файервол UserGate обрабатывает пакеты, не прошедшие обработку на уровне правил NAT Если пакет был обработан драйвером NAT, он не обрабатывается файерволом UserGate.
Как управлять файерволом?
По умолчанию файервол UserGate содержит два правила: правило #NONUSER# для запрета любого трафика, который не разрешен явно, и DNS - для разрешения отправки DNS запросов сервером UserGate. По умолчанию для правила #NONUSER# выбрано действие «Пропустить», т.е. правило ничего не фильтрует. Если выбрать действие «Блокировать», то для пользователей локальной сети будет доступен трафик через NAT UserGate, трафик через прокси и через назначения портов. В таком режиме UserGate пропускает трафик пользователей в Интернет, а сам сервер из сети Интернет будет не доступен. Более того, в Интернет нельзя выйти даже с самого сервера, возможна только отправка DNS-запросов.
как публиковать ресурсы? Какие ресурсы можно публиковать?
Публикация сетевого ресурса означает предоставление доступа из сети Интернет к определенному ресурсу компании, например, к FTPWeb, VPN или Mail -серверу. Для открытия доступа к ресурсу локальной сети нужно нажать кнопку «Добавить» в Панели Управления или через пункт «Добавить ресурс» всплывающего меню. В появившемся диалоговом окне необходимо указать:
■ Название- имя сетевого ресурса.
■ IPприёмника- IP-адрес сетевого интерфейса, смотрящего в сеть Интернет.
■ IPотлрзвителя-1Р-адресинтерфейса,смотрящего в локальную сеть.
■ IPполучателя - IP-адрес ресурса в локальной сети, к которому открывается доступ.
■ Портполучателя- назначенный порт для данного сервиса.
- Одинаковые порты - можно установить данный параметр, если номер порта сервиса на компьютере назначения совпадает с номером порта, на который принимаются соединения из сети Интернет
■ Порт- номер порта, на который принимаются соединения извне.
■ Протокол-тип используемого протокола (TCP/UDP).
■ Пользователь - пользователь, на имя которого будет записываться соответствующий трафик.
Созданные правила публикации автоматически открывают порты в файерволе UserGate.

Работа с тарифами

Что означает встроенная "биллинговая система", заложенная в программе?
Прокси сервер UserGate обладает встроенной биллинговой системой, позволяющей осуществлять подсчет средств, затраченных на Интернет. В основе биллинговой системы лежит тариф. На странице отображаются тарифные планы, используемые прокси-сервером UserGate. В таблице представлена стоимость входящего, исходящего и временного трафика. Администратор UserGate может создавать новые тарифы, редактировать или удалять существующие тарифы.
Как устанавливаются тарифы для группы и для пользователя?
Для того чтобы пользовательские соединения тарифицировались в соответствии с созданным тарифом его необходимо присвоить в качестве тарифа по умолчанию для пользователя или группы.
По умолчанию пользовательские соединения тарифицируются в соответствии с тарифным планом группы «Тариф группы», в которую входит пользователь. Тем не менее, в профиле пользователя можно установить любой тариф из ранее созданных тарифов.

Приложение

После установки программы не очень понятен процесс регистрации, на какую ссылку нажать и куда вводить код?
Установите дистрибутив, запустите сервер UserGate и подключитесь к нему с помощью UserGate Administrator. На странице «О программе» нажмите ссылку «Зарегистрировать», введите свои регистрационные ключи.

__________________
Не задавай вопросов, если не знаешь, что делать с ответом.

OlgaMil

Максим, Вы не могли бы подсказать - при продлении модуля Касперского нам прислали код, начинающийся на USP5-xxxx и т.д. Изо всех руководств понятно только, как заменить ключевой файл, что делать с данным кодом продавец не может ответить.

hyperion

Помогите. Стоит запрет на открытие всех сайтов (кроме нужных). Как организовать так, чтоб отображались yandex карты у пользователей UserGate (доступ к самому яндех запрещен)

addic

Добрый день! Подскажите пожалуйста ,как надо написать правило, чтоб ПК из сети мог обратиться к FTP ресурсу на yandex.ru ? (в Базе Знаний UserGate 6.3 ответа не нашёл)