» Kerio Control (ex Kerio WinRoute Firewall)

LumoxS А вы случаем настройки DNS нигде не потрогали?

coder666

Цитата:

Господа, возник такой вопрос а скорее даже необходимость
Необходимо пускать мобильных пользователей через ВПН. Есть ли какие-то впн-клиенты для iOS и Android совместимые с Kerio ?

Даже не в помине нет и не будет.

Цитата:

Необходимо что-бы пользователи получали внутренний ай-пи для отправки почты. Ай-пи мобильных операторов блокируются СПАМ-фильтрами и поставить в исключения довольно сложно потому как они динамические.

А по имени хоста разве нельзя в исключения внести?

Как то раньше(еще на 6-ке) я по необходимости совмещал и керю ВПН и "родной" МС, поднятый стандартными средствами мастдая. Если, конечно, у тебя не аплянс.

compupu


Цитата:

coder666

Цитата:
Господа, возник такой вопрос а скорее даже необходимость
Необходимо пускать мобильных пользователей через ВПН. Есть ли какие-то впн-клиенты для iOS и Android совместимые с Kerio ?

Даже не в помине нет и не будет.

Ну не стоит так пугать, в KControl 8 есть поддержка IPsec, сейчас в бете находится, скачать можно с официального сайта http://www.kerio.ru/ru/betas/control , я проверял, работают как и мобильные (и не очень) входящие подключения так и в виде тоннеля.

compupu

Цитата:

Даже не в помине нет и не будет.

Я понимаю что не будет именно от Керио. Вопрос в том что нужен сторонний клиент который работает по PPTP. На форуме Керио один из разработчиков опробовал такой вариант и он работает. Единственное что не указал каким клиентом он пользовался.

Tihon_one

Он в виде Hyper-V - это меня смущает, так и не понял как его поднять и настроить для нормальной работе на реальном сервере с выходом в инет.


Цитата:

А по имени хоста разве нельзя в исключения внести?

К сожалению нельзя, потому что имя хоста также генерится произвольным образом на основе полученного ай-пи мобильной сети. Тоесть имя хоста тоже динамическое.

coder666
не знаю как с гипер-в, не было возможности проверить, но не думаю что принцип от вмвари отличается, там привязываешь виртуальные свичи к реальным интерфейсам и свичи подключаешь как виртуальные сетевые интерфейсы к машине контрола, и дальше работаешь как обычно

сделал все в точности так - 5 минут работает все ок, потом в инет машины просто не пускает хоть и пингуется
Не понимаю где я ЛОХ ?

coder666

Цитата:

Не понимаю где я ЛОХ ?

Да не лох ты. Я тоже натрахался с виртуальными сетями. Полез гуглить, нашел кучу инструкций, час внимания, 3 седых волоса и настроил виндовый сабж. Но как глянул скока у меня сет.адаптеров(названий), так и снес все нафиг.

Парни по поводу инициализации - помогло шаманство:
Даю доступ НАТ на ИП и в этом же правили на Юзера, соответствующему этому ИП - инет начинает работать... Убираю доступ ПО ИП - Юзер продолжает работать а до этого- хер... Итог - где то что то кэшируется но где и что..... Причем если просто дать доступ по ИП то в правилах он правильно инициализирует и пишет имя пользователя, но по имени доступа не даёт, как только прогонишь его по ИП - всё начинает работать.... - Чудеса да и только

LumoxS
читай тут: http://manuals.kerio.com/control/adminguide/en/sect-usersinrules.html

Tihon_one
Ты сам то читал???
Это сделано для авторизации пользователей по веб интерфейсу... Мне же это не нужно... Я даю доступ компам по ИП. В моём случае комп=пользователю=ИП компа

Здравствуйте.
Писал в этой теме, но походу ошибся темой. Подскажите, можно ли с помощью Kerio Control сделать это, или нет? Если нет, то может можно с помощью VPN подключения для каждого пользователя?
Спасибо.

LumoxS

Мужчина читайте щетильнее.

...... However, these users must open the Kerio Control interface's login page manually and authenticate (for details, see chapter 13.1 Firewall User Authentication).

However, with such a rule defined, all methods of automatic authentication will be ineffective (i.e. redirecting to the login page, NTLM authentication as well as automatic authentication from defined hosts). Automatic authentication (redirection to the login page) is performed at the very moment of establishing connection to the Internet. However, this NAT rule blocks any connection unless the user is authenticated.

Жирным я выделил для Вас. Черным жеж по белому написано - так как Вы хотите работать не будет. Ниже написано как будет. И не надо доказывать что сопоставление IP = пользователь должно работать автоматически, "сопоставление" не равно "авторизация". Это всего лишь Ваше неправильное видение ситуации. Автоматически оно будет сопоставляться только после авторизации пользователя.

Songooooo
Если уж задаете вопрос, то задавайте, а не заставляйте людей прыгать по веткам.
Касаемо сабжа :
Прозрачную проксю получите, ВПН в пределах назначенной подсети тоже.

Starshark2007
Сори...Мой английский рулит по ходу только в Египте... Сори

Цитата:

Прозрачную проксю получите, ВПН в пределах назначенной подсети тоже.

Я подумал, если даже сделаю доступ к инету через VPN, то ничего не мешает пользователю запустить это соединение и сидеть в нете.
Было бы хорошо, чтоб 3 компьютера заходили в инет по паролю (допустим по VPN), а остальным компьютерам включать/отключать доступ когда нужно. Лучше даже разбить пользователей допустим на 2 группы, в каждой по 10 компьютеров, и включать/отключать инет целой группе.
Можно ли это сделать при помощи Kerio Control?
Спасибо.

Songooooo
можно... соедините все в одну сеть ... создайте группу ай пи адрессов в которую добавьте простые компьютеры (не главные)... Дя основных компов сделайте правило для трафика... трафик к интернет интерфейсу прямой нат ... все службы.... разрешить. Выше этого правило - для группы не главных: правило запрещающее или разрешающее доступ в интернет вашей группе .Вкл или выкл его по необходимости ....

можно по паролю сделать с автоматической авторизацией по ай пи адрессам группы и когда инет на классы не нужен отключать пользователя, через которого классы ходят в нет ....

вообщем задача ваша элементарна... ставьте и настраивайте

помогите, поставил linux демку и случилась такая бяда
ни с одной машины не могу подключиться к web морде. на версиях под виндой проблем не было таких. а сейчас все перепробывал. имя менять и порт, и имя но не получается получить доступ. админка открывается, а для простых смертных нет веб морда нет.

https://control:4081/ эта страница авторизации не работает. может кто сталкивался

доступ дается только по ip адресу *.*.*:4080 , это не удобно

ну так укажи имя хоста в настройках...
делов-то...

подскажите в версии 7.1.х была возможность в настройках полосы пропускания (отдельная вкладка) выставить значение объема траффика на который не действует данное ограничение скорости

не могу найти в 7.4.х такое(

убрали?

Цитата:

coder666

указал, раньше пользовался и 6.5 и 7.2.1 версиями нигде таких проблем не было. могу зайти в авторизацию если наберу ip адрес сервака

*.*.*.*:4080 а если я ему даю имя к примеру kerio2 то зайти по адресу kerio2:4080 я уже не могу. пробывал разные версии. везде одно и тоже. где собака зарыта ?

idirizzo1

Цитата:

где собака зарыта ?

В различных настройках ДНС обеих сетевых карт. Если конечно у вас подсети одинаковы

Доброго дня.
есть хост ESXI, на нем kerio control 7.4.1. и еще пару виртуалок.
настроил проброс извне на одну из виртуалок.
проброс работает, но как только захожу на виртуалку скорость инета падает ниже плинтуса, т.е работать вообще не могу.
ради теста сделал проброс на реальную машинку - все ок.
вопрос - что -то я не так сделал или эта версия kerio так конфликтует в вирт среде?
Благодарю.

канал прова 25 мб, странички веб открываются довольно шустро, но по rpd как-то все медленно.
эта вирт керио только у меня или это общая тенденция?

Цитата:

канал прова 25 мб, странички веб открываются довольно шустро, но по rpd как-то все медленно. эта вирт керио только у меня или это общая тенденция?

Может дело в RDP ?

http://itblog.su/rdp-c-windows-2008-7-na-windows-2003-xp.html

netsh interface tcp set global autotuninglevel=disabled
netsh interface tcp set global rss=disabled

по ссылке вроде другая команда?
что лучше на клиенте ввести?
благодарю.

Цитата:

по ссылке вроде другая команда? что лучше на клиенте ввести? благодарю.

Я обычно ввожу эти 2 команды и RDP перестает тормозить.

Здравствуйте. Мучаюсь с одной проблемой - отвалом PPTP при нагруженном трафике. На выделенном, довольно мощном стационаре, поставлен Kerio Control Software Appliance 7.4.1, к провайдеру сей шлюз цепляется посредством PPTP, что обеспечивает интернет пользователям (NAT). При сильной нагрузке на канал PPTP (начиная с 30-40 Мбит/с) примерно через минуту связь обрывается, но практически сразу безболезненно восстанавливается. При ограничении общей полосы примерно на 20 Мбит/с вроде всё стабильно. Всё это при том, что в конфигурации Windows 2003/Kerio при тех же настройках таких косяков замечено не было. Ставил разные MTU, толку - ноль. По умолчанию MTU физической карты 1500, PPTP - 1400 (установлено провайдером). Если канал не нагружать, стоять может целый день без обрывов независимо от количества подключений. Куда копать уже не знаю... Логи, скрины какие надо выложу. Заранее благодарен за помощь.
PS: где-то слыхал, что на линуксе pptp клиент реализован не особо удачно, если ничего не поможет, придётся снова ставить Windows ((
PPS: вся эта морока затевалась по причине того, что практически все "домашние" роутеры не дают пропускного канала более ~40 Мбит/с по PPTP, хотелось бы использовать полные 100, что даёт провайдер... Промышленные аппаратные решения не устраивают своей дороговизной, да и то в них вроде туннель, а не клиент идёт...

Странно...
Вот если б была версия 7.4.0

Version 7.4.0 patch 1 November 12, 2012
* Fixed: connections to VPN server on PPP interface cannot be established

Добавлено:
Version 7.4.1 December 4, 2012

- Fixed: Specific connections cannot be established using RAS (PPP) interfaces on Windows 7 / 2008R2 platform

думаю таки если проблема с версии в версию переходит - возможно не до конца допилили

В дополнение к странностям: поставил ограничение канала на 20 Мбит/с, торренты на всю полосу качают стабильней некуда, без обрывов, тот же Download Master рвёт связь..
Попробую сегодня 8.0.0 версию, хоть и бетка, либо 6.7.1

Ситуация следующая - На компьютере установлен Керио 7.4.1 Build 5051, и на этом же компе поднят IIS(интернет информашион сервер). В результате получился конфликт между IIS и Керио WEB фильтр IIS запускался первым и занимал порт 80 локал хоста. Путем длительного шаманства каким-то образом удалось частично подружить ISS и Керио. Но тут возникла другая проблема, когда в керио отрабатывает правило по веб фильтру, то ползователю выдается страничка запрета с определенным текстом,(заглушка веб фильтра с категорией запрета) сейчас эта страница не отображается, вместо нее браузер выдает сообщение что не может найти необходиму страницу пример: firefox не может найти файл http://имя_сервера/nonauth/deny.php .......... бла бла бла. От сюда воникает вопрос как решить данную проблему с страницей заглушки ?

Или как можно настроть керио если к примеру IIS вынести на другой сервер в локальной сети, и чтобы при обращение к IIS (по доменному имени или внешнему IP) из инета шло перенаправление на ту машину где будет IIS?

MaxTI

Попробуй отключить антивирусы если есть