Коллеги, кто подскажет, как себя поведет Контрол 8.1.1 , если я куплю лицензии на 10 юзеров, а у меня появится 11-12, а я не успею купить очередную пачку из 5 лицензий?
» Kerio Control (ex Kerio WinRoute Firewall)
Доброго времени суток, уважаемые форумчане.
Прошу вашей помощи в настройки VPN туннеля в KWF 7.0.0 896.
Две подсети, главный офис и филиал, 192.168.3.Х и 192.168.1.Х.
В обоих филиалах KWF 7.0.0, прямой доступ(без роутера, через PPPoE), одинаковые провайдеры, внешние ИП.
Пробовал делать все по инструкции, не получается.
Настройки на серваке филиала -
, ВПН туннель активный, подключается по ИП к главному офису, ключи SSL стоят обеих концов.
Прошу вашей помощи в настройки VPN туннеля в KWF 7.0.0 896.
Две подсети, главный офис и филиал, 192.168.3.Х и 192.168.1.Х.
В обоих филиалах KWF 7.0.0, прямой доступ(без роутера, через PPPoE), одинаковые провайдеры, внешние ИП.
Пробовал делать все по инструкции, не получается.
Настройки на серваке филиала -
, ВПН туннель активный, подключается по ИП к главному офису, ключи SSL стоят обеих концов.AJIbBUS
Цитата:
Во первых ты какой маской объединяешь!? или какую маршрутизацию используешь чтобы их связать между собой?
Да и кстати самого вопроса я не увидел.
Если он стоит так, ребят помогите настроить впн впринципе .... то хэтэтэпэ://habrahabr.ru/post/192246/
Цитата:
Две подсети, главный офис и филиал, 192.168.3.Х и 192.168.1.Х.
Во первых ты какой маской объединяешь!? или какую маршрутизацию используешь чтобы их связать между собой?
Да и кстати самого вопроса я не увидел.
Если он стоит так, ребят помогите настроить впн впринципе .... то хэтэтэпэ://habrahabr.ru/post/192246/
Вечер добрый.
Подскажите как ускорить:
железный сервер: 2 процессора Xeon X5660 (2800MHz, LGA1366, L3 12288Kb), 32 памяти.
3х100мб инета, kerio последний, не виртаулка.
В топе видно, что одно ядро достигает загрузки 110%-130% и хана.
Инет начинает тормозить, хотя прокачивает не более 20-ти мегабайт в сек.
Подскажите что сделать можно?
Отключить инспектора не вариант (
Быть может модуль какой в os добавить?
Быть может стоит подождать версию 8.2? Вроде PAE (перестанет показывать память 3105284k total)) может и многопотоковость появится?
Иначе придётся мигрировать на что-то другое.
Техподдержка относительно новой версии ничего не сказала (
Заранее благодарен )
Подскажите как ускорить:
железный сервер: 2 процессора Xeon X5660 (2800MHz, LGA1366, L3 12288Kb), 32 памяти.
3х100мб инета, kerio последний, не виртаулка.
В топе видно, что одно ядро достигает загрузки 110%-130% и хана.
Инет начинает тормозить, хотя прокачивает не более 20-ти мегабайт в сек.
Подскажите что сделать можно?
Отключить инспектора не вариант (
Быть может модуль какой в os добавить?
Быть может стоит подождать версию 8.2? Вроде PAE (перестанет показывать память 3105284k total)) может и многопотоковость появится?
Иначе придётся мигрировать на что-то другое.
Техподдержка относительно новой версии ничего не сказала (
Заранее благодарен )
Kir74725
что-то мне подсказывает, если поставить виртуалку на голое это железо, да в нее керио - будет намного круче. Явно с железом нестыковка - железо на 100 винроутов должно хватать. А 20 мегабайт - это инет гигабитный входит?
м... 3х100 - это 3 провайдера или от одного, и как НАТ для юзеров настроен - там фича раскидвать запросы с одного хоста по 3ем линкам или только с одного канала для одного хоста.
что-то мне подсказывает, если поставить виртуалку на голое это железо, да в нее керио - будет намного круче. Явно с железом нестыковка - железо на 100 винроутов должно хватать. А 20 мегабайт - это инет гигабитный входит?
м... 3х100 - это 3 провайдера или от одного, и как НАТ для юзеров настроен - там фича раскидвать запросы с одного хоста по 3ем линкам или только с одного канала для одного хоста.
Цитата:
железный сервер: 2 процессора Xeon X5660 (2800MHz, LGA1366, L3 12288Kb), 32 памяти
Процессор: 500 МГц
Оперативная память: 1 Гб
Жесткий диск: 8 Гб выделенного места для ОС, продукта, логов, данных статистики
Сетевой адаптер: два Ethernet(10/100/1000 Mb)адаптера Kerio Control Appliance - основан на ядре Linux 3.2, для нормальной работы необходимо использовать оборудование поддерживаемое данным ядром.
Мне чето кажется что ему все равно что у Вас 32 Гига памяти... Тоже самое два процессора. Скорее всего он работает с одним процом да еще и с одним ядром.
Цитата:
Во первых ты какой маской объединяешь!? или какую маршрутизацию используешь чтобы их связать между собой?
Да и кстати самого вопроса я не увидел.
Если он стоит так, ребят помогите настроить впн впринципе .... то хэтэтэпэ://habrahabr.ru/post/192246/
Маска обычная, 255.255.255.0. Маршрут на основе впн туннеля, ип впн сервера есть на картинке, ип той точки отличается подсетью. Моя точка активная, коннектится по ип в глав офис. Маршрут принимает автоматом от главного офиса.
Список маршрутов на сервере:
Код:
route print
===========================================================================
Список интерфейсов
27...........................1.PPPoE
12... ......Intel(R) 82579LM Gigabit Network Connection
14... ......Kerio Virtual Network Adapter
1...........................Software Loopback Interface 1
===========================================================================
IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 On-link 91.Х.Х.108 21
91.Х.Х.108 255.255.255.255 On-link 91.Х.Х.108 276
127.0.0.0 255.0.0.0 On-link 127.0.0.1 4531
127.0.0.1 255.255.255.255 On-link 127.0.0.1 4531
127.255.255.255 255.255.255.255 On-link 127.0.0.1 4531
172.17.2.0 255.255.255.0 On-link 172.17.2.1 4501
172.17.2.1 255.255.255.255 On-link 172.17.2.1 4501
172.17.2.255 255.255.255.255 On-link 172.17.2.1 4501
192.168.1.0 255.255.255.0 On-link 192.168.1.1 4501
192.168.1.1 255.255.255.255 On-link 192.168.1.1 4501
192.168.1.255 255.255.255.255 On-link 192.168.1.1 4501
224.0.0.0 240.0.0.0 On-link 127.0.0.1 4531
224.0.0.0 240.0.0.0 On-link 172.17.2.1 4502
224.0.0.0 240.0.0.0 On-link 192.168.1.1 4502
224.0.0.0 240.0.0.0 On-link 91.Х.Х.108 21
255.255.255.255 255.255.255.255 On-link 127.0.0.1 4531
255.255.255.255 255.255.255.255 On-link 172.17.2.1 4501
255.255.255.255 255.255.255.255 On-link 192.168.1.1 4501
255.255.255.255 255.255.255.255 On-link 91.Х.Х.108 276
===========================================================================
Постоянные маршруты:
Отсутствует
IPv6 таблица маршрута
===========================================================================
Активные маршруты:
Метрика Сетевой адрес Шлюз
1 306 ::1/128 On-link
1 306 ff00::/8 On-link
===========================================================================
Постоянные маршруты:
Отсутствует
В 8ке керио научился юзать более одного ядра CPU для NAT ?
muk_as Он и в 7.4 умел..... HT не в счет
Цитата:
Скорее всего он работает с одним процом да еще и с одним ядром.
не верно, само по себе контрол многопоточный, под NAT\IDS\Antivir разные процессы\потоки, сам NAT умеет нагружать от 2 до 3 ядер, больше смысла нет, в версии 8.2 будет добавлена поддержка PAE так что сможет чухать более 4 ГБ оперативы, правда это бывает нужно крайне редко.
Решил тут поискать замену isa server 2006, поставил kerio 8. Заметил 2 фичи:
1. При интеграции с AD и настройкой nat трансляции на доменную группу пользователей, nat не работает до первого открытия любой web страницы.
2. И после выхода пользователя из системы, nat продолжает действовать до истечения таймаута, по которому разрывается пользовательская сессия.
Есть ли какой то агент преаутентификации для kerio? Который при входе и выходе пользователя из системы отправит в kerio оповещение, что нужно включить\выключить nat на этом IP?
Для первого вопроса костылей нагородить не проблема, а что делать со вторым?
1. При интеграции с AD и настройкой nat трансляции на доменную группу пользователей, nat не работает до первого открытия любой web страницы.
2. И после выхода пользователя из системы, nat продолжает действовать до истечения таймаута, по которому разрывается пользовательская сессия.
Есть ли какой то агент преаутентификации для kerio? Который при входе и выходе пользователя из системы отправит в kerio оповещение, что нужно включить\выключить nat на этом IP?
Для первого вопроса костылей нагородить не проблема, а что делать со вторым?
Уважаемые форумчане, если кто знает, подскажите, в чём может быть проблема. Сервер Win2008, Керио 7.3.2 build 4445. Нужно открыть 20000 порт, но открыть почему-то не получается, хотя другие порты спокойно открываю. Модем настроен роутером с включённым файрволом. Если подключить компьютер напрямую к модему, порт открывается, то есть засада в сервере с Керио. Вроде всё делаю правильно, но результата ноль. Куда копать?
Кто подскажет, есть ли какой-то гайд или документация по связке TMG 2010 c Kerio 8.*.*
Понятное дело что VPN туннель возможен только, через IPsec/PSK
Мне б минимальную инфу, кто кому должен звонить и нужны ли какие-то доп. настройки со стороный каждой платформы ?
Спасибо !
BW4ever
Domains and User Login -> Automatic Logout
По-другому - никак.
При установленной галке там-же с авторизаций через NTLM, инет появляется сразу.
Без нее, только как вы пишете - по запросу. Далее пока не умрет сессия. (по умолчанию 120 мин)
Если клиенты качаются обновления не через WSUS, то не рекомендую ставить очень маленький таймаут.
Понятное дело что VPN туннель возможен только, через IPsec/PSK
Мне б минимальную инфу, кто кому должен звонить и нужны ли какие-то доп. настройки со стороный каждой платформы ?
Спасибо !
BW4ever
Domains and User Login -> Automatic Logout
По-другому - никак.
При установленной галке там-же с авторизаций через NTLM, инет появляется сразу.
Без нее, только как вы пишете - по запросу. Далее пока не умрет сессия. (по умолчанию 120 мин)
Если клиенты качаются обновления не через WSUS, то не рекомендую ставить очень маленький таймаут.
DollHack
ну и зачем линки на сайт керио дал без анонимайзера?
ну и зачем линки на сайт керио дал без анонимайзера?
Цитата:
Domains and User Login -> Automatic Logout
Да, я об этом писал.
Цитата:
При установленной галке там-же с авторизаций через NTLM, инет появляется сразу.
В XP нат начинает работать только после открытия какой либо веб страницы. Что в принципе, логично, т.к. до этого клиент не авторизован на kerio. В 7+, поскольку система лезет на сервера майкрософта, чтобы показать в свойствах сети, есть интернет или нет, nat работает сразу.
Выглядит костыльно просто. Но похоже, других вариантов нет )) Только если nat на IP давать.
BW4ever
есть возможность настройки авто логона и логофа AD пользователей на контроле при логоне\логофе их в домен, смотри тут hxxp://kb.kerio.com/917
по первому моменту не надо городить костылей, надо просто понимать как это работает в продукте, смотри мануал.
есть возможность настройки авто логона и логофа AD пользователей на контроле при логоне\логофе их в домен, смотри тут hxxp://kb.kerio.com/917
по первому моменту не надо городить костылей, надо просто понимать как это работает в продукте, смотри мануал.
Цитата:
есть возможность настройки авто логона и логофа AD пользователей на контроле при логоне
Спасибо. Однако, не вижу принципиальной разницы (с точки зрения костыле-строителя) с чем-то типа "wget ya.ru" в автозагрузке. А вот способ выхода пользователя из kerio вроде пойдет, странно что сам о подобном не додумался.
Цитата:
Спасибо. Однако, не вижу принципиальной разницы (с точки зрения костыле-строителя) с чем-то типа "wget ya.ru" в автозагрузке. А вот способ выхода пользователя из kerio вроде пойдет, странно что сам о подобном не додумался.
Ну Kerio это ж ISA/TMG. В нем нету NAT-клиента, который надо ставить на машины. Поэтому только так.
Вообще, решения типа "wget ya.ru" не нужны, по простой причине - любой запрос на шлюз, будь до браузер или скайп или еще что-то по TCP - сразу вызывает авторизацию.
Ну или я не понимаю, как софт на ХР не начинает работать без запуска браузера или еще чего-то для авторизации ?
Цитата:
как софт на ХР не начинает работать без запуска браузера или еще чего-то для авторизации
Запросто. Ставим правило "членам группы такой-то в AD разрешать nat".
После этого, сразу после логона пользователя пытаемся ну например, пропинговать внешний ресурс. И поскольку еще не было http запросов, следовательно, не прошла аутентификация на kerio, nat у нас не будет.
Для этого я и думал сделать wget. В принципе, то же самое описано в ссылке, что дал Tihon_one, только там с помощью wsh открывают страницу гугла.
Ребята, кто может подсказать есть 2 шлюза Керио соединенные между собой туннелем, задача в том, что бы пустить весь интернет трафик клиентов из двух сетей через первый шлюз. На старых версиях это решалось просто добавлением в свойства VPN-сервера сети 0.0.0.0 и добавление туннеля в правила NAT, на новых версиях попробовал сделать тоже самое, но так уже не работает.
Если у кого работает такая схема подскажите плз?
Если у кого работает такая схема подскажите плз?
Пожалуйста помогите новичку...
Установил Kerio Control 8.0, делал все по инструкции, но программа почему то не принимает лицензию, после 7-8 минут активации пишет не активированно. Что может быть , не подскажете ?
Вот от сюда я брал инфу по установке Kerio http://rutracker.org/forum/viewtopic.php?t=4407825
А вот собственно скрин моей проблеммы http://s020.radikal.ru/i705/1311/95/e790a611e665.jpg
Установил Kerio Control 8.0, делал все по инструкции, но программа почему то не принимает лицензию, после 7-8 минут активации пишет не активированно. Что может быть , не подскажете ?
Вот от сюда я брал инфу по установке Kerio http://rutracker.org/forum/viewtopic.php?t=4407825
А вот собственно скрин моей проблеммы http://s020.radikal.ru/i705/1311/95/e790a611e665.jpg
Кто обновился до 8.2. В 8.1 можно было заблокировать потоковое видео средствами поля MEMO в 8.2 я его не нахожу. Может кто подскажет как еще можно поток запретить?
Puhnatyi
Цитата:
в 8.2.0 - все намного проще, как было в старых керио + есть уже готовые категории mime/
Так же в новой версии можно одним правилом обходиться в правилах http - как локальные группы url так и категории web-filter в одном правиле!
Цитата:
Кто обновился до 8.2. В 8.1 можно было заблокировать потоковое видео средствами поля MEMO в 8.2 я его не нахожу. Может кто подскажет как еще можно поток запретить?
в 8.2.0 - все намного проще, как было в старых керио + есть уже готовые категории mime/
Так же в новой версии можно одним правилом обходиться в правилах http - как локальные группы url так и категории web-filter в одном правиле!
Цитата:
есть уже готовые категории mime/
это Вы об "имя файла - выбрать предопределенный тип файла"?
Если да, то это ютубу не помеха, т.к. ютуб работает по https, а фильтр только HTTP FTP POP3
Apache33
вот это проделал?
В консоли нашего Керио жмакаем ALT+F2 вводим логин (root) и пароль, далее пишем:
start-ssh и mount -o remount rw /
затем подрубаемся через WinSCP, идем по пути /opt/kerio/winroute/ находим файлик winroute копируем его к себе на комп, открываем текстовым редактором, ищем строку https://1.rs.af.cm и заменяем на https://8.hp.af.cm. Ну теперь копируем этот файлик обратно.
И не забудьте проверить chmod после копирования этого файла - должен быть rwxr-xr-x (0755)
У меня другая трабла, установил 8.2.0 GoGs99, подсунул ключ с дашборд, все активировано, но не работают категории и соответственно тормозит инэт, что ему не так?
вот это проделал?
В консоли нашего Керио жмакаем ALT+F2 вводим логин (root) и пароль, далее пишем:
start-ssh и mount -o remount rw /
затем подрубаемся через WinSCP, идем по пути /opt/kerio/winroute/ находим файлик winroute копируем его к себе на комп, открываем текстовым редактором, ищем строку https://1.rs.af.cm и заменяем на https://8.hp.af.cm. Ну теперь копируем этот файлик обратно.
И не забудьте проверить chmod после копирования этого файла - должен быть rwxr-xr-x (0755)
У меня другая трабла, установил 8.2.0 GoGs99, подсунул ключ с дашборд, все активировано, но не работают категории и соответственно тормозит инэт, что ему не так?
ребят с кряками это не сюда.
Цитата:
это Вы об "имя файла - выбрать предопределенный тип файла"? Если да, то это ютубу не помеха, т.к. ютуб работает по https, а фильтр только HTTP FTP POP3
Фильтрация содержимого - Добавить - имя файла - Видеофайлы
Фильтрация содержимого - Добавить - приложения и категории web-содержимого - потоковые и загружаемые видео записи
Фильтрация содержимого - Добавить - приложения и категории web-содержимого - потоковые и загружаемые аудио записи
Еще вопросы?!
у кого-нибудь есть ключик или способ активировать ? только в 8.2.0 есть поддержка l2tp ((( а она нужна для подключения к билайну (
Проблемка есть, нужно решение!
Есть пользователи UNLIM и пользователи 50-LIMIT
UNLIM - это все без ограничения!
50-LIMIT - у них ограничения коты 50 Мбайт в день по МИРУ (то есть по внешнему трафику)!
Создал Группу IP "UNLIM" и внес в нее все IP UNLIMITшиков!
Создал всех пользователей "50-LIMIT" - и каждому прописал IP, выставил ежедневную квоту 50 Мбайт, при превышении БЛОК! Квоты заработали!
Вопрос: как настроить и где что бы в квоту не попадали определенные IP или URL (зоны)!
То есть когда пользователь группы 50-LIMIT заходит на www.com у него считала квоту, а при www.ru не считала!
Kerio Control Software Appliance 8.1.1 p3
Помогите ПЛЗ!!!
Есть пользователи UNLIM и пользователи 50-LIMIT
UNLIM - это все без ограничения!
50-LIMIT - у них ограничения коты 50 Мбайт в день по МИРУ (то есть по внешнему трафику)!
Создал Группу IP "UNLIM" и внес в нее все IP UNLIMITшиков!
Создал всех пользователей "50-LIMIT" - и каждому прописал IP, выставил ежедневную квоту 50 Мбайт, при превышении БЛОК! Квоты заработали!
Вопрос: как настроить и где что бы в квоту не попадали определенные IP или URL (зоны)!
То есть когда пользователь группы 50-LIMIT заходит на www.com у него считала квоту, а при www.ru не считала!
Kerio Control Software Appliance 8.1.1 p3
Помогите ПЛЗ!!!
Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117
Предыдущая тема: Права доступа NTFS
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.