В целом тупо даже не может с  AD его подружить, и самое главное не понятно как диагностировать, что ему не нравится

С такой политикой никакой бэкдор не страшен)

Всем добрый вечер. Подскажите, пожалуйста, как вы даете доступ в интернет для локальных сетей через координатор? Само собой, пишите какие-то правила фильтрации и делаете НАТ. Мне интересен НАТ. Вы делаете первую группу из приватных адресов, вторую группу из диапазона 0.0.0.0-255.255.255.255, а потом третью группу из второй, но с исключением первой? А потом делаете НАТ правило с нужными локальными источниками до адресов третьей группы с подменой отправителя адресом внешнего интерфейса координатора?

Интрига, обычно они отвечают в течении часа-двух. Номер запроса уж точно прислали бы. А проблема с паролями их просто бы потрясла. Может не туда написали?

Или политики на ad, или прав у учетки не хватает. Смотрите логи на ad, что ему не нравится в запросе xfw.

а в баш на xfw упасть можно

?

Главное потом подняться :) сразу ломать и скрипты курочить? Просто по умолчанию нужный лог надо отдельно включить. Под рукой сейчас нет xfw, что-то типа uc или us в дебаг перевести и появятся события, связанные с авторизацией, хотя на самом ad все проще и понятнее

да, сразу в кишках копаться. как еще узнать продукт максимально «глубоко»?

Вы когда машину покупаете, то не заводя двигатель сразу разбираете головку блока, вдруг там масла нет? Или сначала чуть поездите, обкатаете, может инструкцию какую прочтете. Человек только продукт увидел, а Вы его сразу в голый шелл

надо же все проверить! особенно масло.

Это какая-то региональная романтика или из 90х)

Для масла есть щуп. Это средство диагностики. Но разбор головки надежнее!

Куда смотреть в AD? В журналы контроллера? А какого? Как узнать на какой из них попадает xfw?

На какой Вы его настроили? Он только с одним умеет работать

А у вас их несколько?

Ээ, с одним? А если он того, в ребут ушел?

Три

Настроили на общий адрес, как обычно

Что значит общий? По dn?