» Kerio Control (ex Kerio WinRoute Firewall)

Цитата:

(сейчас правда "зюхели" VPN-ом занимаются)

уш лучше взять cisco чем эту парашу zyxel, какой смысл брать прибор за 15000 (это из серии USG) при том что на деле он пустой и там нихрена нет (разрешено только 2 vpn типа демо, чтобы больше работало надо еще доплатить за лицензию в которое входит количество человек) далее чтобы подключить функции фильтрации, и еще кучку необходимых функций за это тоже надо покупать отдельные лицензии, а в cisco все есть причем без всякой грязи, меняете прошивку которая нужна и спокойно работаете причем если очень захотеть то можно взять достойный апарат за 10000 и забыть об проблемах навсегда...
Zyxel черезчур перегибает палку, с новыми введениями...

всем доброво времени суток! подскажите пожалуйста! у меня такая проблема, при попытке войти на веб-консоль аминистрирования керио , выдает такое сообщение


"В процессе разработки

Узел, к которому выполняется обращение, не имеет в настоящее время домашней страницы. Вероятно, он находится в процессе обновления или настройки. "

что это может быть и как решить проблему!?! Заранее спасибо!

western2
Иногда приходится работать с тем, что уже есть. Аппаратно железки вполне приличные,
интерфейс перенести можно, CLI присутствует.
Не слышал, что бы в "кошках" PIX и ASA (как и в Керио, кстати -раз тема по нему) подписка на антивирус и сигнатуры системы предотвращение вторжений были бесплатны.
Антиспам и фильтр "куда в интернете нельзя" меня не интересуют.
Просвятите. Возможно чего и упустил, отстал от прогресса, на циско-фаерволы учился давно, эксплуатируются только старые 515е. Лучше в почту. Тема то о Керио.

centrrustam
По какому адресу (точно-адрес, протокол, порт ) подключаетесь к консоли?

centrrustam
скриншот этого сообщения покажи

ipmanyak
так что может быть с хостами не подскажете?

wwladimir
подключаюсь вот по этому адресу - server.(имя домена).local протокол - http порт - 4080

Добавлено:
Tihon_one

Вопрос: в наличии KWF 6.5.2 (работает, и не обновляю), пользователи мапятся из домена, все группы тоже берутся из домена, статистика по пользователям работает, в Active Hosts поьзователи прекрасно видны.

Задача: заблокировать доступ в интернет отдельным группам. Создаю правило: Source - эта группа, Destination - Internet interfaces, Service - http, https, http proxy, Action - deny (или drop - не важно), помещаю его на самый верх, но пользователи прекрасно ходят дальше... Непорядок, что неправильно - пока понять не могу. Галки Always require authentication и Enable automatic authentication by Web-browser стоят.

centrrustam
А по https://keriohost.domen.local:4081/admin не пробовали ?
А если вместо имени указать ip-адрес керио-хоста (того интерфейса, что ближе к Вам. Внутреннего надеюсь)?
А на самой машине с винроутом консоль открывается (по http://localhost:4080/admin ) ?
Если работает, то на вкладке "дополнительно" есть поля "веб интерфейс доступен..." - Посмотрите, что там у Вас указано в поле "использовать указанное имя хоста" .

centrrustam
не вижу картинки

Добавлено:
centrrustam
так же надеюсь ты осознаешь, что сообщение

В процессе разработки

Узел, к которому выполняется обращение, не имеет в настоящее время домашней страницы. Вероятно, он находится в процессе обновления или настройки. "

ни каким боком к web серверу контрола не относится? Понимать это надо иначе помогать толку нет.

спасибо за помощ, я зашел в консоль администрирования!!! всем еще раз спасибо!!!

Что интересно - при блокировке через http policy все прекрасно работает. Создал 2 правила - сначала разрешил группе доступ к рабочим ресурсам, потом ей же запретил все остальное - работает. Почему не работает через traffic policy - пока загадка...

Цитата:

Что интересно - при блокировке через http policy все прекрасно работает. Создал 2 правила - сначала разрешил группе доступ к рабочим ресурсам, потом ей же запретил все остальное - работает. Почему не работает через traffic policy - пока загадка...

первое что приходит на ум - пользователи работают через "непрозрачный прокси"

Valery12 - именно так оно и есть, на стандартном порту 3128 - что не так?

Парни вопрос ко всем у кого стоит Kerio Control. Интересует пропускная способность самого керио и нагрузка на проц. Слышал, что у керио есть предел в 20Мбайт/с и это связано с драйверами. У меня 100 Мбит/с инет канал. Если деру с локальной машины все 10мбайт/с, то проц грузится на сервере процессом winrout.exe на 35-38%. Это нормально? Поделитесь своей статистикой. И следующий вопрос, какое надо поставить железо, что бы пропустить Гигабитный канал инета. Примерно 40 зареганых юзеров, 10 ВПН клиентов, 3-4 ВПН тунеля
----------------------------------------------------------------
Сервер 2003 х86 R2, керио 7.3.2, антивируса нет, встроенный в керио тоже отключен.
Проц Celeron G540, 4 ГБ Озу. мать Asus P8H61-M LX3 R2.0
Сетевухи такие http://www.edimax.com/en/produce_detail.php?pd_id=315&pl1_id=2&pl2_id=9

imperatris1
гигабита ты не добьёшься, если только для локалки, делаешь так:

1)правило локального трафика поднимаешь на самый верх, отключаешь на нём инспектора
2)на локально интерфейсе отключаешь драйвер netfilter

это позволит максимально снизить нагрузку на проц для локального трафика и повысить его пропускную способность.

Ну полного то понятно что не будет, но 700-800 то реально ж такое?.
Tihon_one
Сделал по вашей инструкции, теперь закачка не поднимается выше 8 мб/с и постоянно прыгает от 3 до 8, вернул все обратно теперь стабильно 10-11

за чт отвечает драйвер netfilter? за резку скорости отвечает?

imperatris1
8)))) мистика ёпты. помочь не смогу, попробуйте поменять сетевые карты.
muk_as
ntrfilter это тот драйвер который обрабатывает трафик по сигнатурами и черным спискам системы предотвращения вторжения. За управление полосой пропускания отвечает стандартный драйвер продукта, называется он kerio control в свойствах сетевых подключений, отключать его не стоит т.к. через него вообще всё остальное работает.

1)правило локального трафика поднимаешь на самый верх, отключаешь на нём инспектора
каким образом делается жтот шаг? что то не увидел у правила никаких инспекторов.

muk_as
щёлкни пкм по наименованию любого столбца в правилах трафика\столбцы\поставь галку напротив пункта "инспектор"

не могу понять:
есть внутренний сервер, должен откликаться 80 порту наружу на 1.domain.ru
есть еще сервер, тоже должен откликаться на 80 порту по адресу 2.domain.ru
создаю правила 1.domain.ru -> 10.0.0.1
2.domain.ru -> 10.0.0.2

ан нет, видно всегда первый...

а за что отвечает этот инспектор? что если его откл для нат правил(раздача инета).

angelform
Естественно, ведь срабатывать будет всегда первое правило. Эта задача не по теме керио. Копай про виртуальный хостинг.

muk_as
читайте мануал.
отключать его можно только в исключительных случаях, по умолчанию он должен быть включен.

Имеется Kerio Control 7.3.2b4445, пролеченый. Для резервирования куплен 3G модем. Модем работает, но пользователи имеют доступ к интернету только через NAT. Непрозрачный прокси не работает через модем!
При запущеном Kerio Control отключаю только прокси и запускаю вместо него 3proxy от ЗАРАЗА с указанием внешнего интерфейса либо 0.0.0.0, либо точный адрес модема - все работает без проблем. Создается впечатление, что прокси работает только с одним внешним интерфейсом. Есть ли где нибудь такая настройка, которую можно покрутить и забиндить прокси на все внешние интерфейсы?

Помогите пожалуйста, торможу по страшному... Есть kerio Winrouter
Как прописать правило для видеорегистраторов, чтобы можно было смотреть через инет
создаю Источник: Интернет, Назначение Firewall, Служба ЗадаюНовыйПорт(9999) и адрес назначения нат локальный видео - регистратора. Захожу ip(интер):9999 а мне банан)
помогите плиз

Цитата:

Помогите пожалуйста, торможу по страшному... Есть kerio Winrouter
Как прописать правило для видеорегистраторов, чтобы можно было смотреть через инет
создаю Источник: Интернет, Назначение Firewall, Служба ЗадаюНовыйПорт(9999) и адрес назначения нат локальный видео - регистратора. Захожу ip(интер):9999 а мне банан)
помогите плиз

В колонке "Трансляция" необходимо включить НАТ - "Адрес назначения НАТ" ("Destination NAT"), указать хост на который будут перебрасываться пакеты и транслировать в порт видеорегистратора (скорее всего у вашего видеорегистратора порт "80").

Всем доброго времени суток)))


Ситуация такая стоит kerio control (никого не трогает, работает))) ) Тут директора конторы переклинило и он хочет считать трафик пользователей! Делить его на "по работе" и "не по работе" и все что не по работе выставлять счет сотруднику за инет!((( это в полной мере умеет делать usergate но какойто то он глючный! вылетает и мне приходится срочно ехать в офис заходить на сревер и подымать его((( что не есть гуд!)))

Можно ли как то керио заставить так считать трафик допустим:
Пользователь Вася Пупкин истратил 100 мб из них
rabota.ru -30 mb
facebook.com 50 mb
mails 20 mb
ну и соответсвенно Васе Пупкину придется платить за 50 мб за фэйсбук)))

Есть ли какое нибудь стоящие решение на уровне того же юзер гайта?

усем спасибо))

xstaford
тарфик инспектор вроде умеет считать трафик, можно попробовать анализировать http и web логи контрола интернет аксе монитором, но вот умеет ли он считать бабки по этим данным я хз, контрол эту задачу однозначно не решает.

умеет ) только керио уже проверенный и надежный! а тут новые грабли) если не найду ничего нормального выхода нет буду ставить опять ЮГ (((
спасибо за отклик!