» Kerio Control (ex Kerio WinRoute Firewall)

essenciale
Не бойтесь экспериментировать. Установите значение 1400 и попробуйте.
Поможет- будете оптимизировать значение(или выяснять у провайдера), не поможет- тогда
будете копать в другую сторону.
Например аппаратные проблемы бывают. Интерфейсы местами поменяйте- "картинка" не поменяется ?

wwladimir
берега попутали, любезный?

В смысле- "погоняло" ? Сорри.
Мышой не туда ткнул. Итуитивно о печени забочусь, наверно...Форте.
Сергихаку это, конечно, адресовано.

essenciale
Встроенный антивирус, фильтры по словам и сайтам тоже не использую, нет в этом необходимости.
У меня не PPP соединение, а обычный Ethernet.
Позвонил провайдеру, сказали у них 1500. Встроенный в керио кэш, как бы это смешно не звучало, тоже не используется.

wwladimir
Попробую поиграться со значениями. Но что-то внутренне мне подсказывает что не поможет.
По поводу аппаратных - сетевую менял на другую, проблема осталась. Правда мак прописал старой карты, не знаю может ли это как-то сказаться.

Правильно ли я понял, что при отключенном ПИ web-лог нельзя сделать чтобы велся?

И кстати, не нашел как именно в керио переназначить MTU, только в реестре.

Возник вопрос про поднятие двух интернет провайдеров в балансировке, не могу понять если Dns провайдера прописан в резолвете на доменном сервере, от второго тоже туда прописывать ? как то неправильно будет или лучше запилить туда публичные адреса Гугла и все на этом? чет нигде инфы нарыть по поводу правильной настройки двух провайдеров.

zoom20051
Нужно включить на херио переадресацию DNS (DNS forwarding), и на доменном сервере прописать один адрес - самого херио. И тогда хоть десять провайдеров - всё будет работать корректно.

Zamp

СПС,Понял, логично, Семен Семеныч)))) чет я и не допер сразу в одном направлении мыслю блин)))

Товарищи,
хочу посоветоваться,
используется керио 8.3.0 и несколько каналов связи от разных провайдеров с балансировкой нагрузки.
во-первых не сочтите за глупость но прошу проще объяснить в чем преимущество использования непрозрачного прокси в корпоративной среде. На данный момент стоит такая настройка и у всех доменных пользователей в настройках сети установленно использовать прокси сервер с прописанным IP и 3128 портом.
если к примеру я отключаю галочку использовать прокси, интернет все равно есть у пользователей и работает намного стабильнее. тогда в чем разница?

во-вторых пишу по следующей причине что при использовании непрозрачного прокси часто возникают ошибки следующего содержания:
"Соединение с сервером сбой
Запрос на установление соединения отклонен сервером
Это сообщение создано прокси-сервером Kerio Control"
при парочке обновлений страница открывается. но это многих раздражает, видимо либо у меня где то в настройках косяк скорее всего. только не знаю где.

плюс в добавок такая же ошибка возникает в случае если я делаю переброску трафика по правилу: Если из локальной сети пользователи делают запрос например на наш внешний IP адрес (в данном случае внутренний веб портал) то чтоб керио их перебрасывал на внутренний IP адрес назначения, такая схема у меня успешно работает на приложениях по их специфичным портам, но на веб ресурсы всегда одно и то же, но стоит сменить настройки и такая схема начинает успешно работать.

Объясню причину использования такого типа подключения вместо подключения внутри сети по внтутреннему IP или DNS имени: связано это с тем что многие сотрудники часто выезжают за пределы компании и им нужен доступ из вне к почте, порталу, или другим веб ресурсам, а чтоб облегчить им задачу запоминания IP адресов они даже внутри сети используют внешнее подключение а керио уже решает за них что с этим делать.

такие в общем вопросы? что же делать?

serik1986

Цитата:

Объясню причину использования такого типа подключения вместо подключения внутри сети по внтутреннему IP или DNS имени: связано это с тем что многие сотрудники часто выезжают за пределы компании и им нужен доступ из вне к почте, порталу, или другим веб ресурсам

Погуглите на предмет "split dns"
Если в несколько слов, то выш внутренний днс-сервер переопределяет днс-запрсо в интернет на ваши локальные адреса для сегмента локальной сети.
уехал сотрудник за пределы компании - имя вашего сервера резолвится как глобальный ИП сети интернет;
вернулся в локальную сеть - сервер резолвится как локальный.
при такой настройке днс вообще никакие правила не нужны.

Цитата:

Погуглите на предмет "split dns"
Если в несколько слов, то выш внутренний днс-сервер переопределяет днс-запрсо в интернет на ваши локальные адреса для сегмента локальной сети.
уехал сотрудник за пределы компании - имя вашего сервера резолвится как глобальный ИП сети интернет;
вернулся в локальную сеть - сервер резолвится как локальный.
при такой настройке днс вообще никакие правила не нужны.

погуглил, только вот вопрос. а это отнесется и к тому что я извне использую не FQDN а просто IP или это только для FQDN?
т.е. например внутренний корп портал у меня 192.168.1.ххх:порт из вне я подключаюсь как 213.172.ххх.ххх:порт
по такой схеме подключение работает, но если я внутри пишу 213.172.ххх.ххх:порт, то получаю:
"Соединение с сервером сбой
Запрос на установление соединения отклонен сервером
Это сообщение создано прокси-сервером Kerio Control"

да и пожалйста раъясните про непрозрачный прокси если возможно, основные причины его использования в сети? либо можно обойтись без него? какие преимущества и недостатки?
заранее благодарю

Цитата:

но если я внутри пишу 213.172.ххх.ххх:порт, то получаю:
"Соединение с сервером сбой

если не изменяет память, надо источник любой вроде сделать, в правилах!


Добавлено:
С недавних пор появилась проблема DNS, отваливается, помогает перезагрузка! Как то лечится?

lsd 777
это не помогает.

Уважаемые! Подскажите какие USB модемы поддерживает Kerio Control Appliance 8 версии?
Не могу на сайте найти ссылку на поддерживаемое USB оборудование. Нужно купить USB модем для резервного канала, так вот хотелось бы купить рабочее решение а не кота в мешке.
Спасибо.

Цитата:

lsd 777
это не помогает.

ну у меня стоит так, источник - любой, назначение - брандмауер, нужный порт, разрешить, MAP айпи назначения.

serik1986

Цитата:

а это отнесется и к тому что я извне использую не FQDN а просто IP или это только для FQDN?

это как раз и делается для того, чтобы избежать прямых ip-адресов.
а если у вас провайдер сменится? или добавится? вы что, будете всем своим сотрудникам настройки менять? ))
договаривайтесь с провайдером за хостинг dns, покупайте доменное имя и рулите им как хотите.

Цитата:

"Соединение с сервером сбой
Запрос на установление соединения отклонен сервером
Это сообщение создано прокси-сервером Kerio Control"

Покажите все правила, которые у вас связаны с переадресацией для этих сервисов.
Поставьте логирование на эти правила..
Скорее всего вот это правильно:
Цитата:

если не изменяет память, надо источник любой вроде сделать, в правилах!

Похоже, что в источнике указаны интернет-интерфейсы. Добавьте локальные и попробуйте

Про ДНС нет информации? а то каждые полчаса нет желания перезагружать!

Цитата:

Подскажите какие USB модемы поддерживает Kerio Control Appliance 8 версии

глянте совместимость для

Код: # uname -a
Linux control 3.2.0-k2-kerio-686 #1 SMP Debian 3.2.32-1~kerio25 i686 GNU/Linux

2 all
касательно split dns вопрос решил, создал зоны для нужных мне ресурсов. и на хостинге тоже сделал переадресацию таких же FQDN на наш внешний IP, это работает

а вот проблема с DNS все таки осталась, причем я сначала прислушался к методу "назначить переадресацию DNS" на двух домен контроллерах в свойствах оставил только IP адреса для каждого противоположного домен контроллера и вторым сервером пересылки указал сам КЕРИО.
в итоге у пользователей началась глобальная болезнь в виде "не удалось определить DNS" причем это все дело было с субботы, сегодня с утра я настроил как было раньше, т.е. в сервера пересылки добавил все ДНС сервера наших двух разных провайдеров + гугловский и в КЕРИО отключил кеширование ДНС запросов и переадресацию, и все стало снова работать.
вопрос: что я сделал не так? может где то что то забыл указать еще?

serik1986
Я еще в маршрутизации на керио указываю через какой внешний интерфейс к какому провайдерскому ДНСу идти...

wwladimir
например так 62.217.132.65 255.255.255.255 Internet Interface 1
и 213.172.64.130 255.255.255.255 Internet Interface 2
??
по такому принципу?
а затем на домен контроллерах убираю все сервера переадресации кроме КЕРИО и вторичного домен контроллера для каждого? а в КЕРИО включаю переадресацию и кеширование? правильно понимаю?

serik1986
я вообще исключил керио из процессов резолвинга, ибо глюконат неимоверный.
оба контроллера домена ссылаются друг на друга, а в настройках днс-серверов в качестве серверов пересылки указаны сервера провайдеров.
да, в настройках сетевых карт на керио тоже указаны адреса провайдеров.
таким образом локальная сеть замыкается сама на себя, а всё что не находится в зонах просмотра контроллеров домена автоматически запрашивается с серверов провайдера.
керио исключен из этого процесса полностью

MAGNet
ну то что глюконаты это я уже заметил)
извиняюсь заранее может я под конец дня устал и немного не догоняю, проверочно пишу как лучше всего настроить:
1) в КЕРИО отключаю переадресация ДНС, ДНС кеширование и пользовательская переадресация
2) на контроллерах домена первыми указываю ссылку друг на друга, далее провайдерские домен контроллеры.
3) в настройках сетевых карт уже указаны ДНС сервера, их не меняю.
4) вопрос: нужно ли в настройках маршрутизации показать по какому из интерфейсов искать ДНС сервер провайдера?

еще раз прошу сослаться на мою усталось, может не так понял текст....

Если вдруг кто захочет ещё ненадолго закрепиться на таком раритете как Kerio Control 7.4.2 Build 5136 на операционной системе Windows 7 и старше, а также задействовать балансировку для двух и более PPPoE подключений от двух и более провайдеров, то необходимо преодолеть небольшой квест, чтобы всё заработало. Предположим, что установка kerio, создание и настройка интерфейсов и правил прошла успешно, тогда останется решить всего-лишь несколько проблем:
1. Microsoft по некой понятной только самой Microsoft причине решила заблокировать одновременное подключение нескольких PPPoE соединений. Для решения этой проблемы необходимо в реестре изменить значение параметра WanEndpoints в той ветке реестра HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00*\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318}\****, где параметр DriverDesc имеет значение "Wan Miniport(PPPoE)". Значение параметра собственно и будет влиять на количество одновременных PPPoE подключений. Для применения внесённых изменений требуется перезагрузка, но спешить с этим пока не надо.
2. Следующим препятствием будет то, что второе подключение PPPoE в большинстве случаев не будет успешно проходить, т.к. авторизация будет пытаться идти через интерфейс другого провайдера. Для решения этой проблемы в свойствах каждого подключения надо прописать так называемое имя службы (AC NAME), подсмотреть которое можно при помощи такой программы как PPPoE Monitor, выполнив по очереди каждое из подключений. Но здесь тоже есть один важный нюанс, который как всегда особо не расписан: в конце имени службы обязательно нужно дописать без пробела слэш "\", например, для Белтелекома это будет строка "byfly_bras1\" или "byfly_bras2\".
3. Как ни странно - это не последний шаг, т.к. Microsoft не перестаёт удивлять и в Windows 7 и Windows 2008 R2 присутствует сюрприз, который не позволит корректно работать балансировке. Kerio предупредит об этом сообщением: "В связи с проблемами реализации TCP/IP в Windows 7 и Windows Server 2008 R2 Kerio Control не может верно выполнить балансировку нагрузки и переподключения по коммутируемым телефонным линиям при отказе соединения." Описание проблемы на сайте kerio недоступно, а Microsoft опубликовала решение проблемы: http://support.microsoft.com/kb/2519646/en-us. Если кратко, то необходимо скачать обновление и внести изменения в реестр. После перезагрузки всё заработает как положено.

В настройках шлюза в доменной сети на сетевых интерфейсах всегда должны быть только
адреса доменных серверов имён. Иначе вы можете получить неоднозначность в разрешении имен.
В настройках доменных днс-ов провайдерские указаны только как сервера пересылки. На сетевых интерфейсах, опять, только внутренние доменные сервера.
Керио в резолвинге адресов участия не принимает, ретрансляция
ДНС выключена.
Более того, у меня 53 порт разрешён только для доменных ДНСов.
Это позволяет "гибко рулить" ответами от серверов и заворачивать
какие ни будь "тимвьюверы" на несуществующие адреса и еще обеспечивает
корректную работу "сплит днс"

Другое дело- одноранговая сеть или демилитаризованная зона. Там будет по-другому.

serik1986

Цитата:

далее провайдерские домен контроллеры

Вот здесь, вероятно, сказалась ваша усталость... Хотели сказать - "провайдерский DNS"

Как убрать предупреждение "В связи с обнаружением неполадки ПО Kerio Control было перезапущено."?
P.S. Разобрался. Надо было выбрать отправить отчёт, а дальше можно было и не отправлять.

Нужна помощь.

Было:
1. Домен (AD) Win 2003 Server
2. Шлюз на отдельной машине (Server1) с Kerio Firewall 6.4.2 (Win 2003 Server) в домене.

решил заменить шлюз на др. машину.

1. Новый шлюз (Server2) ввел в домен (старый не выводил из сети).
2. Файлы настроек Kerio перенес со старой машины на новую, заменив "интерфейсы".
3. Получил у провайдера "сублогин" на подключения к инету.

В результате у меня получилась сеть с рабочим СТАРЫМ шлюзом Server1 (192.168.10.150) и отдельно НОВЫЙ тестовый шлюз Server2 (192.168.10.151).

Вопросы по НОВОМУ ШЛЮЗу таковы:
1. пинги на внешние ресурсы идут
2. трассировка тоже показывает маршрут на модем, а затем на ресурсы провайдера
3. А ВОТ интернет странички не открываются. При открытии браузера открывается страничка авторизации со ссылкой на старый шлюз Server1. Причем, если Kerio на новом шлюзе отключаю, то и интернет странички начинают "работать".

Подскажите, пожалуйста, где "копать"?
Заранее благодарен.

wwladimir
Похоже ваше предположение про MTU было верным. Уменьшил его - искажения изображений пропали. Теперь будут подбирать оптимальный.

Почему в шапке нет ссылки на скачивания vpn-клиента? Только в теме 6-ой версии можно старую версию скачать.
Добавьте в шапку:

•    Kerio VPN Client, ФСТЭК-версия * (Windows, 32-bit) http://anonym.to/?http://eu.download.kerio.com/dwn/control/fstek/kerio-control-vpnclient-whql-7.2.3-4976-p2-win32.exe
•    Kerio VPN Client, ФСТЭК-версия * (Windows, 64-bit) http://anonym.to/?http://eu.download.kerio.com/dwn/control/fstek/kerio-control-vpnclient-whql-7.2.3-4976-p2-win64.exe

sergikhack
Рад, что проблему удалось решить.

wwladimir
сейчас уже два дня работает вроде тьфу тьфу...
хотел подитожить описав схему подключения по порядку и выслушать замечания, а также соответствует ли описанию того что вы написали:

1) КЕРИО, имеется два провайдера со своими настройками сети и их соответствующими ДНС серверами
2) Имеется два интерфейса смотрящих во внутрение подсети 172.28.0.0/19 и 192.168.1.0/24 у обоих интерфейсов в настройках ДНС указаны два внтуренних ДНС сервера.
3) Таблица маршрутизации сформировалась автоматически самим КЕРИО:
Network Mask Gateway Interface Metric
0.0.0.0 0.0.0.0 62.217.ххх.ххх Internet Interface 1 0
62.217.xxx.xxx 255.255.xxx.xxx Internet Interface 1 0
172.28.0.0 255.255.224.0 Local Network 172 0
192.168.1.0 255.255.255.0 Local Network 192 0
213.172.xxx.xxx 255.255.255.255 Internet Interface 2 0

4) Интернет настроен на балансировку нагрузки.
5) Переадресация ДНС в КЕРИО отключена. ДНС кеширование отключено. Пользовательская переадресация ДНС тоже отлючена.
6) На каждом из внутренних Доменных Серверах настроена пересылка ДНС запросов на ДНС сервера провайдеров в следующей очереди: Сначала сервера первого провайдера (Internet Interface 1) затем сервера второго повайдера (Internet Interface 2) далее противоположный внутренний домен контроллер, потом сам КЕРИО и в конце 8.8.8.8
7) На всех хостах внутри сети, в качестве ДНС адресов указываются внтуренние домен контроллеры.

вот такая схема.
и так все работает уже два дня без перебоев.

Добавлено:
shchof1
извините может глупый вопрос, но у хоста с КЕРИО какой шлюз указан на интерфейсе смотрящем во внутрь, по идее не должно быть вообще.