» Kerio Control (ex Kerio WinRoute Firewall)

>Tihon_one
>забейте в строке фильтр, на странице групп-урл в админке, строку buyer
У меня Kerio Control 7.4.1 build 5051, там на странице группы урл фильтра нет. А какую версию вы имели ввиду?

Tihon_one

Цитата:

а зря, совет использования официально поддерживаемого вендром ПО для виртуализации, есть дельный совет, дело может быть не только в конфигах керио.

Спасибо, учту.


Цитата:

а для отладки DNS можно включить протоколирование Kerio Control Services\DNS messages в протоколе debug и смотреть туда. там будет больше информации.

так и не нашел то место куда нажать, что бы в логах было отображение ошибок связанных с ДНС. Прошу подсказку.


Цитата:

P.S.>>кстати из представленной информации не понятно где же всё таки прописаны эти адреса DNS серверов?
195.222.130.71
195.222.142.34

На Основном канале - Стрим.


Цитата:

так же вы пишите что
2 виртуальных сетевых адаптера
а у контрола аж три pppoe, так по каким интерфейсам эти три pppoe ходят и какие настройки IP у них есть, чтобы было понятно какой из трёх сбоит?

Важны только 2 pppoe-соединения, у которых подписано: основной и резервный.

Только что пришла в голову мысль относительно ДНС.
Ввиду того, что сессия у pppoe соединения обрывается со стороны провайдера через 23 часа 59 минут 59 секунд, то Керио автоматом переключается на резервный канал. Подключение по резервному каналу проходит успешно, и интернет работает через резервный канал, а так как резервный канал - другой провайдер, то и ДНСы у него другие. Основной канал подключается через 3-5 секунд и резервный разрывается. После переключения на Основной канал возможно, что Керио не обновляет у себя ДНСы ...
В результате чего пинг что с керио, что с рабочей станции идет по IP-адресам, а вот по доменным именам пинга нет.

Уточнение: доступ к резервному провайдеру - через локальную сеть, доступ к основному провайдеру через отдельный сетевой интерфейс Интернет.

Мои дальнейшие действия: ввиду того, что основной провайдер работает без сбоев, буду использовать Один канал связи с интернетом, посмотрю как оно будет работать.

Здравствуйте уважаемые, подскажите как бы мне реализовать схему подключения интернета через несколько 4g роутеров.

Ситуация такая, интернет в бц очень дорогой, пользуемся wifi роутерами + 4g модем, но также надо и сеть защищать, тк народ через wifi может чего угодно нахватать.

Проблема в том, что роутеры от тачки с керио стоят далеко, не совсем понимаю, как сделать, чтобы керио брал инет с них по кабелю, если их воткнуть в общую локалку (192.168.1.0) ?

Я так понимаю, что им надо назначать другие подсети, тоесть 192.168.2.0 допустим, но проблема в том, что комп с роутером имеет адрес 1.1 и он естественно не будет видеть 2.1

Kyplon
а зачем вообще использовать переподключение при отказе, когда можно использовать балансировку между двух и более интерфейсов и правилами трафика организовать переподключение?

включение доп протоколирования в debug, щёлкнуть ПКМ по окну сообщения этого лога\сообщения\и дальше уже то что я написал тебе ранее.

Добавлено:
eRs

Цитата:

Я так понимаю, что им надо назначать другие подсети, то есть 192.168.2.0 допустим, но проблема в том, что комп с роутером имеет адрес 1.1 и он естественно не будет видеть 2.1

понимаешь верно, физически соедиение есть? если да, то просто назначь доп IP адреса на внешние интерфейсы контрола. идеально конечно разделение на уровне хотя бы виланов сделать.

Tihon_one

Цитата:

можно использовать балансировку между двух и более интерфейсов и правилами трафика организовать переподключение

оО, незнал, спасибо.

Цитата:

включение доп протоколирования в debug, щёлкнуть ПКМ по окну сообщения этого лога\сообщения\и дальше уже то что я написал тебе ранее.

еще раз спасибо.

В Дебаге стало кучу всего писать ...
Заметил строку, которая редко всплывает, но и проблем с ДНСами сейчас нет.
[22/Aug/2013 13:24:24] {dns} Host not found

Еще раз спасибо.

Цитата:

Цитата:
Я так понимаю, что им надо назначать другие подсети, то есть 192.168.2.0 допустим, но проблема в том, что комп с роутером имеет адрес 1.1 и он естественно не будет видеть 2.1

 
 
понимаешь верно, физически соедиение есть? если да, то просто назначь доп IP адреса на внешние интерфейсы контрола. идеально конечно разделение на уровне хотя бы виланов сделать.

А как vlan поднять? я так понимаю это на роутере должна быть фенька? но у меня тут роутером комп выступает, а дальше неуправляемые только стоят и их по дороге штук несколько (3)

И еще смысл то в том, для для 1.1 тачка будет шлюзом, а для остальных клиентом (шлюзами будут роутеры)

Про распределение понмю что криво работает, в свое время пытался между скайлинком и локалкой настроить, но возможно с тех пор все улучшилось, да и 4g постабильней работает.

eRs
vlan надо поднимать на коммутаторах, а контролом туда подключаться. у тебя твои беспроводные маршрутизаторы подключены в общий сегмент?

Tihon_one

Пока нет, но я так и хотел сделать, но сейчас понимаю, что придется все правила переколбашивать, тк правила на интерфейс прописаны, а на интерфейс будет и безопасная локалка приходить и небезопасный инет... получается фигня.

Сейчас я так вижу, что надо купить 3 сетевуху (1 инет от провайдера, 2 локалка, 3 модемы) и либо за ней поставить какую-то железку с агрегацией каналов, либо в нее завести еще один хвост с общего сегмента и на нее уже пытаться назначить несколько подсетей...

Я честно говоря, так и не понял где на сетевуху назначить несколько IP ни в керио, ни в win (xpsp3)...

На другом форуме рекомендовали повесить Керио в виртуалку, в виртуалке создать сколько хочется сетевух с какими хочется интерфейсами и сразу познать нирвану.

Цитата:

Я честно говоря, так и не понял где на сетевуху назначить несколько IP ни в керио, ни в win (xpsp3)...  

Свойства сетевого подключения - протокол Internet TCPIP - дополнительно

eRs
короче берёшь третью сетевую, ставишь в контрол, ещё подрубаешь в отдельностоящий коммутатор, куда подключаешь свои беспроводные точки доступа, всех их сажаешь в разные ip подсети, и на 3 сетевом интерфейсе контрола прописываешь адреса из этих подсетей. вот только проблема в том, что они будут физически одним сетевым интерфейсом, и я ума не приложу как бы тебе это всё в динамике разрулить, или тебя устроит статический вариант?

Tihon_one
Ну вот, ДНС не робит, либо наблюдаются проблемы.
т.е. пинг по ip есть, а по доменному имени - нет
Лог Дебага

Код: [23/Aug/2013 02:22:33] {dns} DnsResolver: removing DNS item 7181, retransmitted 3 times
[23/Aug/2013 02:22:33] {dns} Reply from 195.222.142.34:53 id 7182.
[23/Aug/2013 02:22:33] {dns} Server 195.222.142.34 rejected query
[23/Aug/2013 02:22:33] {dns} Querying server 195.222.142.34, query id=7183 200.0.168.192.in-addr.arpa
[23/Aug/2013 02:22:33] {dns} Querying server 195.222.142.34, query id=7184 addons.mozilla.org
[23/Aug/2013 02:22:33] {dns} Reply from 195.222.142.34:53 id 7183.
[23/Aug/2013 02:22:33] {dns} Server 195.222.142.34 rejected query
[23/Aug/2013 02:22:33] {dns} Reply from 195.222.142.34:53 id 7184.
[23/Aug/2013 02:22:33] {dns} Server 195.222.142.34 rejected query
[23/Aug/2013 02:22:34] {dns} DnsResolver: removing DNS item 7182, retransmitted 3 times
[23/Aug/2013 02:22:34] {dns} DnsResolver: removing DNS item 7183, retransmitted 3 times
[23/Aug/2013 02:22:34] {dns} DnsResolver: removing DNS item 7184, retransmitted 3 times
[23/Aug/2013 02:22:34] {dns} Querying server 195.222.142.34, query id=7185 114.97.111.98.in-addr.arpa
[23/Aug/2013 02:22:34] {dns} Reply from 195.222.142.34:53 id 7185.
[23/Aug/2013 02:22:34] {dns} Server 195.222.142.34 rejected query
[23/Aug/2013 02:22:35] {dns} DnsResolver: removing DNS item 7185, retransmitted 3 times
[23/Aug/2013 02:22:35] {dns} Querying server 195.222.142.34, query id=7186 200.0.168.192.in-addr.arpa
[23/Aug/2013 02:22:35] {dns} Querying server 195.222.142.34, query id=7187 addons.mozilla.org

Tihon_one

Цитата:

короче берёшь третью сетевую, ставишь в контрол, ещё подрубаешь в отдельностоящий коммутатор, куда подключаешь свои беспроводные точки доступа, всех их сажаешь в разные ip подсети, и на 3 сетевом интерфейсе контрола прописываешь адреса из этих подсетей. вот только проблема в том, что они будут физически одним сетевым интерфейсом, и я ума не приложу как бы тебе это всё в динамике разрулить, или тебя устроит статический вариант?

Вот да, получается, что в динамике керио не разрулит, т.к. он инет только с интерфейсов может брать, но не с разных шлюзов в одной подсети одвременно. Можно, разве что метрики прописать разные к шлюзам на одной сетевке и винда сама будет где-то что-то делать, но в целом фигня выйдет имхо.

Остается вариант поставить перед Керио железку - агрегатор каналов типа Vigor, либо как советовали на керио-рус - засунуть керио в виртуалку, в ней создать виртуальных сетевух, которые в физической сетевухе видимо будут в виде VLAN проходить и их уже в керио динамически менять или распределять по ним трафф. (не совсем понимаю механизм как это будет работать, но раз советуют, видимо будет

Других вариантов я не вижу, вроде как винда виртуальные сетевые не поддерживает.

Если бы роутеры с модемами поддерживали VPN, наверное можно было бы еще на vpn каналах раснести. Ну и последний самый стремный, но возможно и самый простой вариант - купить 3 USB сетевухи... (встанут ли) и подрубить к ним 4g роутеры либо напрямую, либо опять же через общий сегмент.

Вопрос - каким браузером лучше пользоваться для работы в web-админке сабжа?
Перепробовал несколько - и всё равно одна и та же ошибка: редко но метко после входа в консоль страница Dashboard "виснет" с ошибкой "ошибка при выполнении скрипта, продолжить выполнение, прекратить" - то есть это ошибка, выдаваемая браузером, а не движком Kerio.
Видимо, нужна какая-то конкретная версия какого-то конкретного браузера?
В поиске был, ответа не нашёл.
Версия сабжа 7.4.2.7136.

С версией 7.3.2.4445 замечательно работал Mozilla 3.5 - 3.8
После перехода на новую версию Kerio - постоянные ошибки, выдаваемые движком (ошибка сценария, давайте отправим репорт разработчикам) - из-за чего и начались поиски другой версии браузера.

Уважаемые, вопрос по сабжу относительно IP TV
Имеется сабж версии 7.4.2 build 5136, имеется комп в локальной сети.
Что хотелось бы: просматривать это самое IP TV на одном единственном компе в локалке (не на роутере!). Вот адрес одного из каналов тв - udp://@238.1.1.1:1234
Можно ли реализовать как то проброс трафика на локальный комп и если да то как это сделать без извращений а просто правилами?
Спасибо.

Kyplon
чего пингуешь-то?


eRs

не морщи мозг, купи ОДИН управляемый коммутатор, и пореж сеть на vlanы?


Добавлено:
Helmsman
может пора обновить обозреватель до актуальной версии?

Tihon_one
Дело не в том, что пингую.
Дело в том, проблемы с ДНС
Вот еще пример того, что в Дебаге вылазит, когда проблемы с ДНС:

Код: [25/Aug/2013 04:06:53] {dns} forwarding reply to 192.168.0.94:51313 id 22120
[25/Aug/2013 04:06:53] {dns} DnsResolver: from DHCP Lease Table: ee
[25/Aug/2013 04:06:53] {dns} DnsResolver: address 192.168.0.94 resolved from DHCP lease table as ee
[25/Aug/2013 04:06:53] {dns} query from 192.168.0.94:55745 id 53609
[25/Aug/2013 04:06:53] {dns} question: A, dnl-00.geo.kaspersky.com
[25/Aug/2013 04:06:53] {dns} forwarding query to 195.222.142.34:53, id 59069, retrans 0
[25/Aug/2013 04:06:53] {dns} Reply from 195.222.142.34:53 id 59069.
[25/Aug/2013 04:06:53] {dns} reply has no records
[25/Aug/2013 04:06:53] {dns} forwarding reply to 192.168.0.94:55745 id 53609
[25/Aug/2013 04:06:56] {dns} DnsResolver: from DHCP Lease Table: ee
[25/Aug/2013 04:06:56] {dns} DnsResolver: address 192.168.0.94 resolved from DHCP lease table as ee
[25/Aug/2013 04:06:56] {dns} query from 192.168.0.94:58859 id 12894
[25/Aug/2013 04:06:56] {dns} question: A, dnl-01.geo.kaspersky.com
[25/Aug/2013 04:06:56] {dns} forwarding query to 195.222.142.34:53, id 59070, retrans 0
[25/Aug/2013 04:06:57] {dns} Reply from 195.222.142.34:53 id 59070.
[25/Aug/2013 04:06:57] {dns} reply has no records

Проблема с PPTP в Kerio control software appliance 8.1.1-928

Инет от провайдера подключается через PPTP
В правилах трафика создал дополнительное правило:
Firewall - локалка провайдра, VPN провайдера - DNS, GRE, PPTP
без которого VPN провайдера не подключалось

В итоге:
- скотость инета упала в два раза
- включаю торренты и получаю рваный пинг в инет, далее интернет пропадает вовсе, хотя в Интерефесах VPN провайдера подклчен
- обнаружен дублирующий шлюз по умолчанию

Куда копать?

ребята вопрос по Керио такой,
сейчас у нас 7 версия керио, думаем сменить либо на керио 8 в линухе, либо на TMG.
фактически с текущей версией нас не устраивает только одно, это ограничение лимита скорости на каждого пользователя в домене. т.е. к примеру я не могу взять конкретного пользователя и указать ему например скорость не более 50кб/с, приходится вместо этого ставить дневной лимит и после этого общим правилом ограничения скорости сбрасывать, а это не есть гуд. в 8 версии также или там уже можно каждому задавать скорости и все лимиты?

serik1986
Только что посмотрел.
Настраивается на конкретного пользователя/группу, вх/исх трафик, интерфейс (у меня несколько провайдеров), время ограничения (период, настраивается в Интервалах времени).
Круть! Никак руки дойти не могут.
А ведь в моей сети есть пользователи, которые торентами увлекаются в рабочее время ...
Версия 8.1.0 build 845

Kyplon
торренты в конторе вообще резать надо! Дома пусть качают А режется все в Дополнительные - Ограничитель P2P. ПО кр. мере в 7.4.2 build 5136 версии

Добавлено:
Уважаемые, вопрос!
Имеется сабж под Windows, но его развитие прекращено, хотелось бы иметь актуальные версии, но для этого придется перейти на линукс версию. И все бы ничего, да вот только не распознаёт линукс CDMA свисток который используется для резервного канала. Т.к. свисток этот составное устройство, вот что на этикетке упаковки написано:

Код: WeTelecom Модель: WM-D200
Модем CDMA 450 ECDO Rev.A

Друзья как в версии 7.3.2 заставит ькерио поднимать рррое при старте системы? в версии 6.6.0 таких вроде проблем не было. А щас при тех же действия ничего

Друзья, помогите решить проблему. Имеем Kerio Control
7.4.0 RC2 build 4851 вдруг перестала проходить аутентификация по членам домена. т.е. учетные записи пользователей брались из домена, все работало без тычка и задоринки почти год, и вдруг ни с того ни с сего перестала аутентификация работать. Пользователи из локальной базы так же продолжают работать а вот доменные не пускает, не тот мол типо логин или пароль забивают.

попробуй импортировать наново...
заодно и проверишь есть ли у Керио связь с актив директори

Есть вопросы по работе сервера. Версия 8.1.1 build 1019 р1.
После установки и настройки первых 2-х VPN клиентов все работало как надо. Speedtest показывал реальную скорость и местонахождение (Самарская область)
После того как начали добавлять остальных пользователей, начались чудеса. Speestest говорил что мы из Усть-Илимска и периодически клиентская часть VPN у всех пользователей отключалась на несколько секунд, потом заново включалась

Пример лога:

[29/Aug/2013 08:17:23] Kerio VPN client '6382-00-712' disconnected, connection time 00:20:42
[29/Aug/2013 08:17:55] Kerio VPN client '6382-00-712' connected
[29/Aug/2013 08:22:03] Kerio VPN client '6382-00-712' disconnected, connection time 00:04:08
[29/Aug/2013 08:22:15] Kerio VPN client '6382-00-712' connected

p.s.
2ip.ru показывает реальное местонахождение, только скорость, вместо 80Мб/с показывает 250кб/с на прием и 8Мб/с на отдачу

Я уже задавал этот вопрос, но совета не получил. Повторюсь.
Есть почтовый сервер за Kerio 8.1, на него проброшены снаружи порты.
Есть два канала доступа в Internet WAN медленный канал c статическим ip (через него должен работать почтовый сервер) и WAN1 быстрый канал с динамическим IP. Каналы работают как основной и резервный. Если основным каналом стоит WAN -все естественно работает. Когда стоит WAN1 письма не уходят. Хотя стоит правило использовать NAT на определенном интерфейсе (WAN)керио отправляет все равно через WAN1
Как сделать чтобы чтобы все работало, когда стоит основным каналом WAN1?

LineykaSBK

Если не поздно, поправь время на керио, оно у тебя с домен контролером разошлось больше чем на 5 минут.

Цитата:

Я уже задавал этот вопрос, но совета не получил. Повторюсь.

Разобрался. Над ставить режим распределение нагрузки.

Комрэды, прошу помощи! Не могу зарегистрировать комп в Active Directory через VPN-тоннель. Два шлюза, на каждом Kerio nix-вый. В ТП все разрешено м\д подсетями. М.б. нужно какие волшебные настройки DNS прописать, хотя контроллер домена нормально резолвится с рабочих станций.
По симптомам тоже довольно интересно получается, если комп ранее был введен в домен то проблем никаких с работой через все тот-же VPN, а вот регистрация не проходит.

Подскажите, пожалуйста - если ли возможность задать компы, на которые не распространяется ограничение на кол-во соединений ?

создать отдельную группу и назначить ей полосу