» Kerio Control (ex Kerio WinRoute Firewall)

Ну.... "а) 192.168.2.2, шлюз + днс = 192.168.2.2 - группа "Интернет-интерфейсы"" разве не должно быть "шлюз + днс = 192.168.2.1" и на сетевой с 192.168.2.2 запретить хождение любых ДХЦП пакетов.
Если модем настроить бриджем, тогда надо оставить только сетевую, смотрящую в локалку.
Хотя у меня три 4 сетевые и ППоЕ отлично подымается. Подымается даже если на сетевой к бриджу адрес не ставить. Это просто предложения, я таких сетевых загогулин не настраивал.
Может есть вариант поставить модем с WiFi, в сервак поставить карточку.

AndersonUkraine
Да, опечатка. На (а) шлюз и днс .2.1

В Appliance есть два варианта организации PPPoE : настроить сетевую плату как PPPoE (в этом случае интерфейс действительно не имеет локального сетевого адреса) и, имея одну сетевую плату, создать новое RAS подключение - PPPoE.

Пробовал и так, и так.

Результат не меняется.

Добавлено:
WiFi не вариант - сервак в подвале, модем на 3 этаже

Хочу поделиться с сообществом как я подружил Нокиевский (Nokia N8, Symbian Belle) IPsec клиент и VPN server IPsec Kerio Control 8 версии. Вдруг кому пригодится.

Настраиваем Kerio VPN Server
В разделе Интерфейсы заходим в параметры VPN-сервер:
1. Смотрим что отмечено Включить сервер IPsec VPN
2. Отмечаем Использовать предопределенный ключ и вводим туда ключевую фразу. Жмем ОК.
3. Проверяем в политике траффика, что нам разрешено подключаться из вне к нашему VPN серверу по протоколам IPsec, IPsec NAT-T и IKE.

Далее понадобится программка Nokia VPN Client Policy Tool
Ставим ее.

Запускаем Nokia VPN Client Policy Tool.
Секция General Information
1. В поле Policy name вводим название политики.
2. В поле VPN gateway address вводим внешний айпишник Kerio.
Секция IKE
3. В Authentication method выбираем PRE-SHARED
4. В Identity type выбираем 2-FQDN
5. В поле Identity value вписываем имя клиента (например, NOKIA)
Секция Preshared Key
6. В Format выбираем STRING_FORMAT
7. В поле Key вводим предопределенный ключ, установленный в Kerio VPN Server.

Далее в меню жмем View и выбираем Advanced View.
Идем по списку Ipsec--SAs--название_вашей_политики_1
8. В Encryption algoritm должно быть выбрано AES128 (можно выбрать и 3DES)
9. В Hash algoritm должно стоять SHA1
Переходим в список IKE--Proposals--AES128-CBC (Если в IKE Proposal Parameters выбрать Encryption algoritm 3DES-CBC, то эта ветка сменится в списке на IKE--Proposals--3DES-CBC)
10. В Encryption algoritm должно стоять AES128-CBC (можно выбрать 3DES-CBC)
11. В Hash algoritm оставляем SHA1
12. В OAKLEY group вибираем MODP_2048 (в случае 3DES-CBC выбираем MODP_1536)
Далее жмем Generate VPN Policy, сохраняется файлик в формате *.vpn. Его любым доступным способ копирум на телефон и там запускаем. Проводится импорт политики.

На телефоне для проверки надо включить VPN в параметрах, открыть браузер и перейти по внутреннему IP Kerio, например в админку.
Если все настроили правильно и внимательно, то должны увидеть предложение Kerio ввести логин и пароль.

Цитата:

Кто знает как лучше сделать? Есть удалённый пользователь с настроенным dyndns сервисом, а в kerio сделано правило с привязкой к этому хосту. При смене ip адреса у удалённого пользователя в kerio ну не очень оперативно происходит обновление, и соответственно удалённое подключение произойти не может. Как сделать так чтобы kerio быстро подхватывал изменения по доменным именам? Есть предположение, что можно внести изменения в файле dnscache.cfg, но какие?

Точно такая же ситуация, бьюсь уже пол года, раньше выходил прописыванием всех диапазонов того прова который дает динамику но последнее время он их стал менять постоянно, да и криво это както, если же в источник ставлю xxxx.homeip.net то обновление IP на машине с керио происходит около часа - полутора часов, а на всех что за керио тутже , ну может максимум минута. Если разобрались с этим вопросом поделитесь плиз.

7KirOV7

В шапке

feoser
в восьмёрке проблема с кривым обновлением динамических записей DNS должна быть поправлена.

2 7KirOV7
спасибо товарищ! ценная инфа.

To progmike:
Можно попробовать следующее: оставить только сетевую б) 192.168.1.1 - группа "локальные интерфейсы", настроить ПППоЕ, временно перенести сервак на третий этаж и включить кросом прямо в модем. Если поднялось - включить через свич. Если работает - настроить Керио на раздачу инета, проверить с рабочих станций, если всё ОК - тогда нести в подвал. Если нет - ну тогда ХЗ.

проблема:
есть kerio control сервер в снешним ip
есть домашний kerio control сервер c тоннелем до первого
есть web сервер дома
открываю порт на первом, мапаю его на web сервер - не пашет

что не так?

Прошу помощи советом.
Есть два сервера образующих VPN тоннель, оба Kerio 7.3.2x64 на Windows 2008R2x64, один в офисе провайдер Билайн(интернет отличный), другой(на нем еще домен) в офисе2 с четырьмя серверами(1С, домен, днс, в домене только сервера) интернет Горком (так себе).
Сервера с Керио (в дальнейшем шлюзы) на DualCore Intel Celeron E3400, 2600 MHz (13 x 200) мамка Gigabyte GA-G41MT-D3V оперативы по 2ГбDDR3, но этого вполне хватает (вобщем не супер)

Керио хоть и x64, но в диспетчере задач процесс winroute.exe*32 (непонятно)

По RDP работают 80 пользователей, подключаясь к офисному шлюзу, в котором создано правило отправлять все что пришло на порт 3389 (rdp) на удаленный сервер(через VPN тонель все подключаються к серверам по РДП)
Днем, когда все на работе, процесс winroute.exe нагружаеться под 30% на офисном шлюзе и под 40% на серверном (оно и понятно, на нем же еще домен и днс). Ночью нагрузка 0-1% когда работает человек 5 - 7%
Проблема такая: днем иногда бывает невозможно работать из-за подтормаживаний терминальных сесий (сам основной сервер крутой и работает на ура ), пропаданий пакетов нет, а только задержки. Вечером, когда все уходят, все нормально ничего не тупит, winroute.exe 5-7%
Подскажите пожалуйста как мне правильно найти виноватого: Kerio, железо, интернет канал - кто из них слабое звено нуждающееся в замене. Другого провайдера просто нет, более мощные сервера не могу пока поставить (только процессоры заменю на 4х ядерные), в Проблемность керио - не очень вериться

Добавлено:

Цитата:

иногда бывает невозможно работать из-за подтормаживаний терминальных сесий

не знаю порчему, но у меня при похожих нагрузках под виндой керио не тянул, поставил аплайнс - сразу все стало отлично, тормоза ушли

Цитата:

По RDP работают 80 пользователей, подключаясь к офисному шлюзу, в котором создано правило отправлять все что пришло на порт 3389 (rdp) на удаленный сервер(через VPN тонель все подключаються к серверам по РДП)

А зачем нужно это правило если уже есть тоннель, лучше указывать прямой адрес. Это правило которое может подгружать сервер.


У самого все также настроено. Подтормаживание обычно случается изза плохого соединения, или неправильной настройки файрвола.

Народ будьте добры, как избавиться в статистике от трафика под именем "Другое" в графиках он серым цветом
Что туда попадает?
Спасибо

m00vic2 А чем оно, собственно, вам мешает.
Либо настраивайте правила URL руками(до посинения), либо уберите галку в политиках хттп "Определять категории ...".
Кажись така.

KerioControl 7.4 на Windows Server 2008 R2 Не могу запустить VPN. При попытке подключения получаю сообщение "VPN-сервер не отвечает". Пробовал переустанавливать программу - не помогло.
Попытался настроить VPN от Microsoft, тоже не работает, хотя, вроде бы, всё настроил. Получаю вот такое сообщение об ошибке:
"Ошибка: 789: Попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности во время согласований с удалённым компьютером".

Ошибка связана с тем, что указан неверный тип VPN-подключения на вкладке Сеть (L2TP IPSec) в свойствах Виртуального подключения. Необходимо использовать тип подключения PPTP (по умолчанию тип подключения задается автоматически).

При попытке использовать PPTP я получаю другое сообщение:
"Ошибка: 807: Сетевое подключение компьютера к серверу виртуальной частной сети прервано. Причиной могут быть неполадки в передаче по виртуальной частной сети из-за неявного Интернета или из-за превышения нагрузки сервера виртуальной частной сети..."

Что такое "неявный Интернет"? Перегрузка сервера очень маловероятна - пока, я один в сети работаю.

http://social.technet.microsoft.com/Forums/ru-RU/isaru/thread/96c7aec4-cf88-4d70-9098-3b4be6b9721d/

может поможет...

Добавлено:
отпишитесь в ПМ кто юзает версию для Hyper-V

А кто подскажет, где находится чекбокс UpnP в 7.4.1 Build 5051? Все глаза уже сломал.

параметры безопасности - разное - Включить UpnP

coder666 СЕНЬКС!

Цитата:

не знаю порчему, но у меня при похожих нагрузках под виндой керио не тянул, поставил аплайнс - сразу все стало отлично, тормоза ушли

прошу прошения, что есть аплайнс, который ты поставил вместо керио и тормоза ушли?

Kerio Appliance

Блин! Ерунда какая-то! Уже вторую неделю сижу с этими "Правилами трафика".

1. Работает прекрасно
Открыт доступ ко всем сайтам, и три сайта заблокированы.




2. Не работает
Закрыт доступ в интернет но открыто три сайта которые должны быть доступны!



Почему второй вариант не работает? Что за ерунда? Помогите!
Заранее благодарю!

Цитата:

Почему второй вариант не работает? Что за ерунда? Помогите!

Второй вариант работает, по первому правилу доступно только 3 сайта, а второе правило не активно. В следующих правилах разрешения на пользования интернетом нет, поетому только 3 сайта и доступны. Че не так? Если и разрешенные сайты не открываются попробуйте продублировать второе правило, но вместо протокола "любой" указать "dns" и поставить его первым

Хорошо, объясните пожалуйста как к примеру компьютеру в сети с ip 192.168.0.2 закрыть доступ в интернет но чтобы ему были доступны эти три сайта.
Заранее благодарю!

первым правилом разрешить dns (как описано выше)
вторым - разрешить 3 сайта, например как у вас
третьим - в источнике указать 192.168.0.2 в назначении - "интернет интерфейсы" и запретить
четветрым - разрешить всем интернет везде.

Както так, но мог чегото напутать.

Цитата:

первым правилом разрешить dns (как описано выше)
вторым - разрешить 3 сайта, например как у вас
третьим - в источнике указать 192.168.0.2 в назначении - "интернет интерфейсы" и запретить
четветрым - разрешить всем интернет везде.

Както так, но мог чегото напутать.

Благодарю!
Памятник вам надо поставить!


Цитата:

Если и разрешенные сайты не открываются попробуйте продублировать второе правило, но вместо протокола "любой" указать "dns" и поставить его первым

В этом была проблема!

Подскажите, какую версию Software Appliance можно поставить на машину с 512мб оперативки и целероном 1,7 чтоб оно работало без особых проблем.

borisdenis
любую, а аплиансов рекомендованное количество оп-512 метров

Tihon_one

Да вот не знаю, 7 и 8 версии при заходе в веб интерфейс панически кричат о недостатке оперативки и предупреждают о нестабильности работы. Хотя с отключенным антивирусом и снортом используют меньше 128 метров, но вот некоторые странички приходится по ф5 обновлять, неподгружаются(((