» Kerio Control (ex Kerio WinRoute Firewall)

уважаемые ткните пожалуйста в нужное место!
имею винду серв 2012. на нём hyper-v.
до сих пор ещё на виндовом керио. две сетевухи настроены, т.е. одна в инет смотрит, другая в локалку. в гипервизоре создаю виртуальные коммутаторы, так как в мане по миграции с виндового керио на аплянс.
создал значит коммутаторы, смотрю, всё верно в настройках физических сетевух(только галка на гипервизоре)
на виртуальных интерфейсах айпишники, маска, шлюз, днс - мои. всё верно. адрес локальной сетевухи - 192.168.1.1
в псевдо-графическом интерфейсе настраиваем сетевуху локальную, т.е присваиваем ей адрес 192.168.1.1
но этот адрес не пингуется из локалки и расшаренные ресурсы естественно тоже не видно. и в вебконсоль тоже не зайти.
подскажите что не так делаю?

neyasyt9, не знаю как виндовский кирио работает но предполагаю что так же как и ЮГ он ставит драйвер в сетевой интерфейс отсюда и проблемы они по идее не проверяются на совместимость с другим ПО и мешаю друг другу.
так что если ты хочешь потренироваться с установкой попробуй сначала на какой-нибудь другой железяке.

Цитата:

на виртуальных интерфейсах айпишники, маска, шлюз, днс - мои

какие таки твои ?

Rinat2015
те с которыми сейчас работает сеть.

Чёт не пойму, создал группу, внес в неё пользователей по MAC'у, кому интернет без ограничений.
Ввел в DHCP все ПК по MAC'ам, правила не трогал, все подключаются получают ИП согласно резервированию, но VIP пользователи весят в статусе "ВСЕ" - и инета нет не у кого.

Подскажите ребят, что не так, везде в мануалах написано что изночально инет должен быть у всех

neyasyt9, не я имел ввиду покажите схему сети хотя бы того куска который связан с сервером.
И еще надо убедиться что не ошибся с выбором сетевух из
Цитата:

в псевдо-графическом интерфейсе

Rinat2015
немного не понял какой именно кусок.
но настройки сетевых карт "классические", одно смотрит в инет с белым IP, другая в локалку. локалка имеет адрес 192.168.1.1, маска 255.255.255.0
в настройках виртуальных коммутаторов указал статические MAC адреса и по ним вижу какой карте в псевдо-графическом интерфейсе указывать нужный IP.

BeliyIV
Группу без ограничений надо прописать в политике трафика! Чтобы ограничений то не было.
И поставить ее впереди основного правила интернета.
Если я тебя правильно понял.

Добрый день, есть проблема: Видео в веб интерфейсе камеры Hikvision находящейся по адресу 192.168.1.14, не показывается на клиенте 192.168.0.11 сидящем за прокси. Прокси настроено прозрачно, получаем интернет в 1 подсети, раздаем в 0-ую.
Сам web интерфейс камеры с настройками открывается, где нашёл: порт HTTP 80, порт RTSP 554, порт HTTPS 443, порт SDK 8000. Telnet с клиента до камеры на эти порты ходит. Правила трафика дефолтные как были после установки, попробовал добавить в источник, ip адрес камеры 192.168.1.14, не помогло.

Поставил WireShark узнал что на клиенте без прокси активно идёт трафик с tcp 1544, как его правильно прописать в правиле?

MacRenat
Отключите инспектор протокола для правил трансляции с/на камеру

attaattaatta
сделал вот так

всё равно серый экран

MacRenat
Интерфес за которым клиент, добавлен в доверенные ? Если отключить это правило, телнет пройдет ?

attaattaatta

Цитата:

Интерфес за которым клиент, добавлен в доверенные

да


Цитата:

Если отключить это правило, телнет пройдет ?

телнет ходил и до правила, прокси прозрачный.

Цитата:

телнет ходил и до правила, прокси прозрачный.  

Ну так значит правило то бесполезное. Поставьте его на самый верх, а лучше сделайте так, чтобы на нужный тип трафика было ОДНО правило.

attaattaatta
Правило полезное если виной всему инспектор протоколов, сейчас он для этого правила отключен. При перемещении нового правила на самый верх, перестает открываться web интерфейс камеры и ходить пинги на неё.

MacRenat
Ну в принципе понятно, у вас с трансляцией работает, без нее нет. Шлюз небось прописан на обоих интерфейсах ? Выкатите таблицу маршрутизации с керио.

attaattaatta
Шлюз прописан только на интернет интерфейсе, а для клиентов DHCP доверенного локального соединения, шлюзом является он сам 192.168.0.1

Создайте отдельные правила для адресов, не включая зоны. Должно быть два правила, одно разрешает что-то конкретное от ip клиента в одной сети до ip сервера (камеры) в другой, второе разрешает что-то конкретное (тоже что и в п.1) от ip сервера(камеры) до ip клиента. Не надо использовать трансляцию источника или назначения в этих правилах.
При указании используйте порт назначения в качестве необходимого, а порт источника должен быть любой (any). Если камера отвечает на icmp, то разрешите пока только этот тип трафика.

attaattaatta
Знать бы что конкретное надо разрешить... А как не использовать трансляцию, что нужно убрать? Порты я могу указывать только в столбце "Службы" Вот с этими правилами пинги на камеру тоже не идут потому что я пока не понимаю механизм работы.

MacRenat
У вас всего то на камере и клиенте шлюзами должны быть прописаны IP адреса керио в соответствующей сети. Для 192.168.1.14 пропишите в качестве шлюза 192.168.1.83 а для 192.168.0.118 шлюз будет 192.168.0.1

attaattaatta
Большое спасибо, заработало!

Помогите с таким вопросом, стоит керио 7.4.2 build 5136 (последний который аботает на вин), нужно блокировать видео с ютуба, контакта и т.п., создал правила на блокировку mime типа video/* и *stream*, указал для каких пользователей применять но... толку 0, не помогает, пробовал тип *video*, тоже никакой реакции. Подскажите как решить проблему?

borisdenis, у меня просто youtube.com в фильтре содержимого режет все ютубовское видео
п.с. я с вин версией не работал





У меня такой вопрос. Кто нибудь из присутствующих создавал VPN типа сеть-сеть, а не то что предлагает кирио сеть-комп, не устанавливая при этом на филиале (удаленной стороне) кирио ? Есть идеи как проще реализовать ?

Подскажите, как ещё блокировать p2p трафик кроме как через фильтрацию содержимого? В версии 9.1.0 это правило становится неактивным, из-за новой фишки Application awareness, требует веб-фильтр(

Подскажите вот уже второй раз пользователь запустил шифровальщик. Пришло как обычно с письмом. Подскажите кто как обезопасил себя от этого ?

mrkop
тут разговор с самим пользователем необходимо ещё провести))
наверняка архив открыл

mrkop, какой шифровальщик ?
У меня 1 попался который нод32 пропустил .js (или нечто подобное) вин-скрипт по сути ненужная вещь для обычного пользователя, а проги его норм и так запустят, так вот можно запуск этого типа файлов назначить на блокнот или еще что-нибудь безобидное, в котором код пользователь криворукий только увидит, а систему испортить не сможет.

Rinat2015
шифровальщик как я понимаю у буха все документы зашифровал)) и просит потом бабло чтоб дешифровать

neyasyt9,
[more=Этот текст скрыт так как к керио не имеет отношения]
это понятно, но письмо ты то мог глянуть и какой в нем файл (расширение файла) пришел во вложении и если js то можно моим методом защититься.
Только это делать нужно вручную на каждом компе или можно чуть автоматизировать настроив на одном компе вручную и вытащив соответствующую ветку реестра можно просто запускать ее на каждом компе.


П.С. Главная проблема этих js это то что это просто текстовый код и соответственно легко модифицируемый даже автоматически поэтому сильно на антивирусы

[/more]

mrkop
Заблокируйте на почтовом сервере или клиенте получение *.js *.vbs *.exe *.pif и прочего шлака. Кому надо пусть ставят пароль на архив и кидают этот пароль в тексте письма.

walcot
Вы вроде в варезнике, в чем проблема запустить вэб фильтр ?

Rinat2015
Сеть сеть или керио или ipsec, можно еще руками с помощью ppp соединить, но нахрена оно надо на ровном месте не ясно.

Цитата:

но нахрена оно надо на ровном месте не ясно

Ваши предложения тогда как быть с филиалом в 4 компа ? На каждый кирио впн ставить ? Отдельную машину с керио только для 4 компов ? Единственный норм вариан вижу создать полноценную впн сеть т.е чтоб можно было правила трафика с основного кирио маршрутизировать через впн только кирио это не умеет. Вот и срашиваю можно это как-то обойти.


Цитата:

или керио или ipsec

насчет этого не понял разве ipsec в кирио создает впн типа сеть-сеть ?