» Kerio Control (ex Kerio WinRoute Firewall)

testerkk
Потому что вторая антена находит за километр ,если что то пойдёт ни так я на ту антену вторую не поподу она под ведомством сотого оператора.

вам конечно виднее, но ip самой антенны никак не должен влиять на ее связь с другой антенной.

Здравствуйте! Получил новую проблему. В логах пишет периодически:
DNS response timeout, Kerio Control Web Filter categorization disabled
С последующим отваливанием феб фильтра, соответственно. Сеть одноранговая. Kerio 9. Настраивал так: http://kerio-rus.ru/instruktsii-kwf/pravilnye-nastrojki-dns.html

Добавлено:
В статье также рекомендуют "В Winroute, Configuration -> DNS Forwarder ставим галку "Enable DNS Forwarding", указываем DNS-серверы провайдера." Так как у меня версия 9 applianse, требует указать ip адрес из обратного dns просмотра. Что имеется в виду?

Присматриваемся к продукту в плане приобретения.
Планируется выводить в интернет до 300 пользователей. Какие требования по железу?
P.S. линуксоиды говорят, что какое бы ни было оно мощное, все равно тормоза будут. Это так?

nag
Приятель рассказывал, что на древнем двухядерном серваке выше 10 мегабит не было на 150 человек, хотя интернет 20 мегабит от ростелекома. У них там куча vpn ещё к тому же. Подробностей не знаю. И про задачи не спрашивал.
ИМХО, лучше пробовать самому на своем железе, если есть конечно.

Добрый день!
Kerio Control 8.6.2 build 3847, appliance.

Подскажите, кто как решал вопрос с блокировкой стран по IP?
Надоел спам, попытки скана с диапазонов адресов Китая, Вьетнама, Индии и т.п.
Нашел списки адресов, но вручную вносить через web-интерфейс нереально ( 10000+ записей).

Sakh_online
проверь, что раздача через vpn соединение НЕ включена в параметрах VPN сервера Kerio Control

Привет всем. Кто-нибудь может помочь в таком вопросе - есть ли штатные средства для блокировки Nat за Nat внутри сети, т.е. пользователь поставил у себя роутер и раздает интернет своим устройствам.

seryzhov
если блокировать нужно роутер, то как раз по его айпишнику.
если тем кто берёт инет от роутера, то самим роутером можно малость блокировать.
по айпи, по урл, по мак-адресу. если конечно модель роутера поддерживает тот или иной способ блокировки

Кто нибудь может сталкивался с мистической проблемой:
Клиент иногда теряет связь с керио. (не пингуется даже)
С керио клиент пингуется.
Клиент нормально лазит по сетке.
Все идеально работает со стандартным маршрутизатором от Windows server 2008.
В сети DHCP резервирование на КД.
Уже очень многое перепробовали, даже керио обновили до последней версии с нуля.
Касперский стоит, проверяли. Он ничего не блочит, полностью отрубали его во время возникновения проблемы.
В итоге помогает только ipconfig /renew на клиенте, либо arp -d *
Что посоветуете?

Всем привет, у меня стоит Kerio Control 7.3.2 build 4445.
Есть вопрос по настройке DNS'ов, так как спустя год перестали они нормально работать.
В керио у меня включена служба переадресации DNS, а в виндовом DNS-сервере (находится на другом компьютере) настроил сервер переадресации на керио. На клиентских машин прописал DNS-сервер виндовый. Всё работало хорошо, но спустя некоторое время мне браузеры начали выдавать ошибку, типа не могут найти днс... если перезагрузить сервер, на котором установлен DNS-сервер виндовый, тогда всё начинает дальше работать. Пока решаю данную проблему перезапуском сервера... Может подскажете какие ещё могут быть решения данной проблемы, может как-то по-другому настроить все переадресации?.. Хотел настроить без использования керио службы переадресации DNS, но мой DNS-сервер у меня не получается пропихнуть за керио, даже если написать правило чтобы полностью всё пускал и туда и сюда...

Drakula13
может тогда от виндового ДНС отказаться?
у меня вот прекрасно без него работает.

neyasyt9
у меня AD настроено...
сейчас дописал в сервера переадресации не только IP-адрес керио, но ещё IP-адрес DNS'а гугла... посмотрю что из этого получится... что странное он (IP-адрес DNS'а гугла) определился, так как раньше я пробовал его писать без кериовского, так как не хотел DNS от керио пользовать

Drakula13
Можно обойтись внешнеими ДНС-серверами, прописав их у каждого клиента на компе в настройках сетевого адаптера.

HankHank
пробовал так делать, тогда возникали проблемы с доступом некоторых источников внутри сети. А когда пытался их пинговать -- определялся какой-то внешний адрес, но никак не внутренний и нужный.

Drakula13
отключи кериовский ДНС. зачем 2 ДНС сервера?

neyasyt9
если его отключаю, перестает работать интернет

Drakula13
тогда у пользователей пропиши только айпи ДНС сервера где керио стоит

neyasyt9
и как тогда по Вашему будет работать AD???



Цитата:

сейчас дописал в сервера переадресации не только IP-адрес керио, но ещё IP-адрес DNS'а гугла

это не помогло

Drakula13
Ваша изначальная проблема это плохая работа днс винды, для ад жизненно необходима стабильная работа днс. Ищите причину в аудите на том сервере. Иметь один контроллер плохо, и всегда можно поднять еще один включая днс, так миграции версий ад и осуществляются. По итогу - поднимите еще один контроллер домена, проверьте что днс на нем не глючит и поставьте переадресацию на керио, пропишите его у клиентов. Затем еще один по такой же схеме и больной можно упразднить если не охото лечить.

Drakula13

Если домен то на всех клиентах домена прописывается только ВАШ днс, а в настройках вашего днс, в разделе переадресация, пишется днс керио, провайдера, любой публичный. Будут вопросы пишите в пм

Здравствуйте. Есть ли возможность вставки таблицы соответствия mac и ip адресов, из файла, либо редактирование уже имеющегося в kerio(не через вебинтерфейс керио)?

Всем привет. Помогите победить не зарегистрированный трафик, в идеале хотелось бы чтобы такого трафика не было или посоветуйте чего чтобы его запретить.





P.S. Заметил что иногда Kerio не идентифицирует известных ему пользователей. Ну к примеру керио с одной системы мой трафик считает, а когда я захожу с другой уже нет, но иной раз все таки работает как надо, меня определяет на двух машинах.

redelparolo
У вас правилом "Доступ к Интернету (NAT)" разрешено всё всем для всех служб (протоколов).
Вот это правило в идеале надо расщепить на столько правил, сколько у вас реальных служб используется: DNS, HTTP, HTTPS, SMTP, IMAP, POP3, ICQ и т.п.
Формально это сделать трудно.
Но админ обычно в курсе, какой трафик в конторе разрешён, что можно, а что запрещено.
Используемые службы можно выловить в журнале connection.log и http.log.

Я же говорил что последний VPN клиент начиная с 9.0.2 и заканчивая текущим 9.0.3 ГЛЮЧНЫЙ!!! Подключаюсь из Windows 10 x64 LTSB к удалённому серверу Kerio Control 9.0.3 по VPN клиенту и у себя на локальном компе с Win10 делаю команду nslookup.exe ruero.com
и вижу странности!

т.е. по който фиг идёт обращение к DNS серверу домена который расположен в локалке куда подключился по VPN %)
Ну и соотвессно ооооочень медленно открываются страницы. Удаляю, ставлю VPN клиент версии 9.0.1 patch2, подключаюсь и вижу что всё красиво! Т.е. запрос пошел на DNS локального железного роутера раздающего интернет.

Косяк однако Не знаю что там исправили для Win10 но как то сильно исправили
P.S. сорри за дубль в варезнике

HankHank
Это я пока без разделения сделал, тестирую. В общем то осталось разобраться только с незарегистрированными пользователями. Я так понимаю это косяк с DNS, и видимо у меня, просто хотел спросить как у всех все в порядке в керио 9.0.2, есть проблема с незарегистрированными пользователями.

Народ подскажите пожалуйста, как реализовать переход на страницу авторизации для пользователей которые еще не авторизованы, но при этом первый сайт на который они входят работает по HTTPS? Если идут не по защищенному протоколу,то все ок, но шифрованный траф керио пропускает без авторизации. Создал 2 правила, первое блокирует HTTPS для lan, второе пропускает для авторизованных пользователей. Но вот как сделать редирект на логон страницу для таких никак не могу сообразить.

Подскажите, KWF может сделать следующее:
в системе 5 dial-up модемов, и через каждый из них нужно пустить в интернет свою программу.
Возможно есть решение полегче, чем сабж.
Спасибо.

С недавних пор KWF начал блокировать сайт www.dropbox.com

Если отключить систему предотвращения вторжений, сайт работает.

Как заставить работать www.dropbox.com?

webfilter
Увидеть каким именно правилом блокирует этот сайт система обнаружения вторжений и имея номер правила внести его в исключения в настройках этой системы

Добавлено:
VitusSumy

начет керио не уверен, но вот isa server может каждой программе выделить свой канал в инет