Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Kerio Control (ex Kerio WinRoute Firewall)

Автор: attaattaatta
Дата сообщения: 04.07.2016 21:28

Цитата:
Ваши предложения тогда как быть с филиалом в 4 компа ?

А в чем трудность ? У меня есть такие филиалы, там и сип и впн и прочие ништяки. Так что это ваши внутренние предубеждения как мне кажется


Цитата:
насчет этого не понял разве ipsec в кирио создает впн типа сеть-сеть ?

Да
Автор: trigger
Дата сообщения: 05.07.2016 12:01
подскажите как можно заворачивать трафик с компов пользователей в Керио если сам Керио не является шлюзом по умолчанию. Т.е. некоторые проги (например клиент-банки) не имеют настройки прокси сервера, отправляют трафик на шлюз по умолчанию и соответственно ничего не работает. В ISA Server есть клиент, который перехватывает трафик и направляет на ISA Server. Есть ли подобный клиент для Керио или подскажите как можно реализовать.
Автор: attaattaatta
Дата сообщения: 05.07.2016 16:11
trigger
Да, такой клиент есть, называется route.exe

Пример - route add -p 195.206.55.30 255.255.255.255 192.168.1.1

Где 192.168.1.1 хост с керио
Автор: trigger
Дата сообщения: 06.07.2016 10:48
спасибо за совет, но route не подойдет, т.к. слишком много народу и слишком много такого рода роутов надо писать. Все же нужна софтина на подобии ISA client, чтобы перехватывал трафил и пихал в прокси.
Автор: attaattaatta
Дата сообщения: 06.07.2016 13:15
trigger
http://www.proxycap.com/
Автор: messiahxvx
Дата сообщения: 06.07.2016 14:12
серьезная проблема - сегодня керио в один прекрасный момент перестал пускать пользователей на сайты, просто "сервер не найден". причем админка по ip работает как надо. керио стоит на виртуальной машине и раньше такие проблемы решались просто перезапуском вм. сейчас ничего не помогает. помогите пожалуйста, в какую сторону копать?
Автор: neyasyt9
Дата сообщения: 06.07.2016 14:14
проверь DNS. если используешь провайдерский DNS, попробуй гугловский
Автор: messiahxvx
Дата сообщения: 06.07.2016 15:25
попробовал с гугловским DNS, все равно то же самое
Автор: attaattaatta
Дата сообщения: 06.07.2016 15:29
messiahxvx
А логи будут ?
Автор: messiahxvx
Дата сообщения: 06.07.2016 15:34
attaattaatta

вот, это за сегодня, в это время все и перестало работать.

[06/Jul/2016 05:05:38] IPS rules update check failed: Server returned '(249) Product Software Maintenance expired. Please contact sales@kerio.com'.
[06/Jul/2016 09:02:25] IPS rules update check failed: Couldn't resolve host name.
[06/Jul/2016 10:32:03] IPS rules update check failed: Couldn't resolve host name.
[06/Jul/2016 11:22:58] (11) Failed to send DNS query to server 194.158.204.238
[06/Jul/2016 11:23:01] Last message repeated 129 times
[06/Jul/2016 11:23:01] (11) Failed to send DNS query to server 194.158.204.238
[06/Jul/2016 11:23:02] Last message repeated 3 times
[06/Jul/2016 12:12:34] IPS rules update check failed: Couldn't resolve host name.
Автор: attaattaatta
Дата сообщения: 06.07.2016 16:03
messiahxvx
Ну а с гугловскими днс есть такие же логи ?
Автор: messiahxvx
Дата сообщения: 06.07.2016 16:07
attaattaatta

нет, нет таких логов. но и страницы не открываются.
я прописывал как в самом керио, так и в настройках подключения, без толку.
Автор: attaattaatta
Дата сообщения: 06.07.2016 16:17
messiahxvx
Ну тут только вы либо вы сами или ваш провайдер заблокировали dns трафик на 53 порт до 8.8.8.8 и 8.8.4.4
Третьего не дано.
Автор: Maza777
Дата сообщения: 08.07.2016 15:44
стоит сейчас Kerio WinRoute Firewall 6.7.1, есть желание обновится на версию новее, но чтобы работал Kerio Web Filter.
Из проблем что я не могу решить сейчас. это непонятная ситуация с DNS, на сервере так же установлен еще KMS. А проблема следующая, у клиентов перестает работать интернет и почта, выдает ошибка интернета и почты, пингуется все нормально, происходит выборочно у клиентов в разное время, закономерности никакой, flushdns у клиента и на сервере ничего неисправляют, только отправлять клиента на перезагрузку. В день иногда доходит до нескольких раз, надоело это.

Прям последней версии может и не надо, но такая версия чтобы обкатанная была с лекарством уже. Может поделитесь ссылкой на торрент или файлообменник.

и еще вопрос, для работы VPN прийдется у удаленных сотрудников обновлять Kerio VPN Client тоже ?
правила все и конфиги совместимы ?
Автор: moomy
Дата сообщения: 12.07.2016 06:12
Не подскажите формат дампа, который Control делает в окне Debug. Или утилиту для его анализа.
Автор: RaiH
Дата сообщения: 12.07.2016 10:33
Добрый, может кто подскажет или сталкивался, запустил вчера в продакш 9й контрол (последний из варезника), виртуалка на HyperV, настроек никаких дополнительных не делал, только сконфигурировал интерфейсы (внутр и внешн). Сеть из 20ти компьютеров с доменом. Выход в интернет через Adsl. Так проблема в том, что рандомно у юзверей пропадает инет, точнее даже так, то есть пинг, то его нет. Не пингуется как 8.8.8.8, так и сам контрол. Может проявится на любой клиентской машине.
Автор: neyasyt9
Дата сообщения: 12.07.2016 11:21
RaiH
присоединяюсь к вопросу. так же было, только без домена. пока вернулся на виндовый контрол. т.к. лошадка рабочая с временем беда.
Автор: attaattaatta
Дата сообщения: 12.07.2016 11:37
RaiH
Может использовать устаревшие сетевые адаптеры в гипер-в ? Или обновить службы интеграции ?
Ну и логи бы в этот момент глянуть конечно же.
Автор: RaiH
Дата сообщения: 12.07.2016 11:48
сервак dl320e gen8, другие виртуалки крутятся без проблем, про логи сейчас не подскажу, пришлось экстренно возвращать все настройки в исходное состояние. виртуалку тоже откатил, если только пробовать заново
Автор: RaiH
Дата сообщения: 12.07.2016 18:51
еще может кто подскажет, почему не пингуются с других виртуалок настроенные интерфейсы на виртуалке с контролом, так и с сервера hyper-v, так и с физических машин, настройки идентичны, на других виртуалок проблем нет
Автор: Rinat2015
Дата сообщения: 14.07.2016 19:25
attaattaatta, извиняй что докучаю, но не мог бы ты подробнее рассказать как настроил ВПН со всей сетью удаленного филиала.
Пример:
имеется локалка цетр. офиса 192.168.0.0 впн 192.168.3.0 и удаленный офис 192.168.1.0
нужно чтоб все компы между собой пинговались

Первый вопрос в кирио через что создавать подобную впн (VPN-тунель или VPN-сервер).
На впн сервер нет настроек маршрутизации (т.е не могу из 192.168.0.0 послать в 192.168.1.0 через 192.168.3.0)
А впн-тунель что-то у меня никак невиден (хотя вроде все впн службы пропускаются).

Накидай хотябы приблизительно с чем экспериментировать.
Автор: rsmxperia
Дата сообщения: 15.07.2016 16:52
Камрады, есть вопрос, подскажите

периодичность обновления отчетов в kerio control statistics. Можно ли где-то в конфиге подправить интервал обновления?
Автор: EvgenIkon
Дата сообщения: 20.07.2016 10:41

Цитата:
Добрый, может кто подскажет или сталкивался, запустил вчера в продакш 9й контрол (последний из варезника), виртуалка на HyperV, настроек никаких дополнительных не делал, только сконфигурировал интерфейсы (внутр и внешн). Сеть из 20ти компьютеров с доменом. Выход в интернет через Adsl. Так проблема в том, что рандомно у юзверей пропадает инет, точнее даже так, то есть пинг, то его нет. Не пингуется как 8.8.8.8, так и сам контрол. Может проявится на любой клиентской машине.

присоединюсь к вопросу. 9й с варезника, стоит на голой железке. И тоже рандомно пропадает связь с керио.
Автор: AlexsandrSE
Дата сообщения: 20.07.2016 15:39
Отключаются во время простоя rdp сессии и другое ПО. Если с ним работать, все работает. Если свернуть и не трогать, то минут через 20 отключается (подключение идет сеть1-керио-впн на керио-сеть2). Время жизни сессии приблизительно около 20 минут. Есть подозрение, что обрывы из-за керио, но увеличение DefaultTcpTimeout результата не дало. Есть еще какие-то параметры по времени жизни сессий? Если нет, то буду копать дальше.
Автор: neyasyt9
Дата сообщения: 20.07.2016 16:07
AlexsandrSE
керио тут не причём.
идёшь в диспетчер сервера (где развёрнута служба удалённых рабочих столов)
конфигурация rdp > на сервере правой кнопкой войства > вкладка "сеансы".
там выставляй что надо
ключевая фраза у тебя
Цитата:
во время простоя rdp


Автор: YuraseK
Дата сообщения: 21.07.2016 09:33
Наблюдается странность в работе Kerio Control 9.1.0: после выключения или перезапуска системы происходит откат до версии 9.0.3, после чего приходится обновлять снова до версии 9.1.0. Обновление проходит успешно, но очередное выключение или перезапуск приводят к откату вновь. Где можно посмотреть, почему происходит откат версии?
Автор: neyasyt9
Дата сообщения: 21.07.2016 10:01
YuraseK
а если поставить с нуля 9,1,0 ?
Автор: Rinat2015
Дата сообщения: 21.07.2016 11:33
YuraseK, у тебя случаем не на виртуалке стоит? Глянь это мб. виртуалка откатываться.
Автор: ury_dankov
Дата сообщения: 21.07.2016 14:02
Подскажите по вопросу маршрутов, кто знает.
Схема такая:
на предприятии установлен шлюз Kerio Control 9.1.0.1087. IP статика, белый
дома стоит подключенный к сети NAS Qnap TS-210. IP не меняется, белый
На Nas-е запущен pptp сервер. Локально дома к нему подключаюсь нормально
pptp клиентом из Керио к NAS подключен туннель, имя туннеля "nas2". Соединение установлено, все ок.
Из Керио, вкладка "IP-инструменты" пингую внутренний ip на NAS 192.168.0.123, все ок.

Какой должен быть маршрут прописан в Kerio, что бы из локальной сети предприятия можно было достучаться до внутреннего ip NAS? (Файловое хранилище)

Внутренний локальный IP NAS 192.168.0.123
IP сервера pptp на NAS 10.10.10.1. Пул адресов 10.10.10.2-1010.10.10.254
Внутренний IP Kerio на предприятии 192.168.1.8, присвоенный ему IP pptp 10.10.10.2
Комп внутри локалки предприятия 192.168.1.116 (ему нужно достучаться до 192.168.0.123, сейчас пинги не идут)

В Керио создан статический маршрут:
Сеть 192.168.0.0 маска 255.255.255.0 шлюз 10.10.10.1 интерфейс nas2 метрика 1
(только после создания этого маршрута Керио стал пинговать 192.168.0.123 из IP-инструментов, что логично)

В правилах трафика добавил pptp соединение nas2 в правила LocalTrafic. В source и destinations
При проверке правил в Керио маршрут 192.168.1.116 - 192.168.0.123 проходит с помощью правила трафика Local Trafic. И обратно тоже. А пинги не идут и шара на NAS не отзывается.

Может еще какое правило нужно добавить/исправить?
Или еще какая инфа нужна?

На маршрут Sklad не обращаем внимания - тут все работает

[more=Схема ] [/more]

[more=Вот еще route print с компа 192.168.1.116 внутри предприятия]

[/more]

PS: ping 192.168.1.116 - 10.10.10.2 таки идет

upd: в NAS прописал маршрут ip ro add 192.168.1.0/24 via 10.10.10.2
[more=теперь с NAS пингуется 192.168.1.8 и соответственно 192.168.1.116]

[/more]

В эту сторону все ОК. Но мне нужно наоборот из 192.168.1.116 в 192.168.0.123

upd2: Хотя из 192.168.1.116 на ip pptp 10.10.10.1 пинги идут и шара открывается. Но хотелось бы открывать шару на ip 192.168.0.123. Есть у кого какие мысли?

Автор: MAA
Дата сообщения: 21.07.2016 17:33
Добрый день,
вопрос к тем, кто на практике делал такое:
как получить сертификат для Kerio Control от центра сертификации Active Directory, и как установить его на Kerio Control?

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117

Предыдущая тема: Права доступа NTFS


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.