» Kerio Control (ex Kerio WinRoute Firewall)

Господа, добрый день!

Есть Шлюз на основе Kerio Control
Есть клиенты которые удаленно подключаются к сети через Kerio VPN Client
Клиенты работают через виртуальный интерфейс Kerio Virtual Network Adapter
Этот виртуальный адаптер имеет свой MAC адрес

В итоге клиенты получают уникальные IP адреса и ОДИНАКОВЫЕ MAC адреса.

Для большинства программ это прокатывает и все замечательно работает.
Но есть IP софтфон, у которого регистрация осуществляется по MAC адресу. В итоге получается что все клиенты регистрируются под одним внутренним номером.

Может кто-нибудь подскажет как присваивать VPN клиентам уникальный MAC адрес?

h2_SASH

Как минимум обновиться.

Version 7.4.1 December 4, 2012
.....
* Appliance Edition: Gratuitous ARP is send for each bound IP address
....

Если конечно это тот случай, что не факт.


ALL
А вообще VPN-клиенты ДОЛЖНЫ иметь разные Маки?

compupu
Я сделал группу и добавил туда одного пользователя для теста. Речь не о количестве, а о том что при группе блочит всем без исключения даже тех кто не в группе. Я всё никак не могу понять что может так влиять.

Доброго дня - все сделал "по писанному":

"Чтобы работал iBank 2 нужно разрешить протокол HTTPS плюс открыть некий порт 9091 А правило обычное для выхода в инет пользователя Sour - локалка, Dest- Инет,
service - DNS, HTTP, HTTPS, TCP9091 (TCP1433 ?), Trans- NAT defaul outgoing interface."

один черт не работает с шлюза-работает с клиента не пингуется , телнетом тоже не видно 9091, хотя тырнет у клиента есть, аська и все http работает.

вся конфигурация сети предельно простая - "сервер" - машинка с ХР и керио , 5-6 клиентов с ХР, одна машинка с клиент-банком (iBank2).
на KWF включен непрозрачный прокси 3128 - у клиента указан в свойствах браузера адрес KWF и порт 3128

башка уже опухла Все работало пока не пришла в голову затея поменять провайдера.Работало на модеме ДСЛ, сейчас оптика все такое.. и не работает
Ткните плз носом куда копать...

legionpheonix
Влияют ваши правила, которых вы не показываете.

ALIBASTRA
Непонятно как работает хост с клиентом банка, через прозрачный или не прозрачный прокси. Если он работает через NAT и настройки его сетевого интерфейса верны, то вам смотреть в filter.log. Если вы используете не прозрачный прокси, то iBank нужно соответственным образом настроить.

http://imageshack.us/photo/my-images/811/image001ocd.png/

Теперь еще смешнее) По новой создал правило и тут доступ в определённые сайты остался. Явно косяк в работе самом керио.

заменил в сервисах свойства HTTPS, Protokol inspektor, значение на RAP все заработало...

ALIBASTRA
Вы однозначно отчаянный парень!

Всем привет.
Бьюсь уже битый час и до сих пор не могу понять в чем беда, постараюсь вкратце опистать проблему. Есть kerio control 7.2.2 build 3443 и сервер windows 2008 r2 с поднятыми на нем DNS и AD. Kerio успешно включен в домен.
Суть проблемы: пользователи не могут подключиться по VPN из-под своей учетной записи AD, при подключении появляется ошибка "сбой аутентификации". В группе доступа AD галка доступа VPN включена( проблема не в этом). А вот с локального пользователя Kerio vpn соединение успешно устанавливается.
Замена сертификата, смена адреса vpn сервера проблему не решили. Очень хочется работать с пользователями из AD, а не дублить их в локальной базе. Встречался кто-нибудь с такой проблемой?

Starshark2007

Цитата:

А вообще VPN-клиенты ДОЛЖНЫ иметь разные Маки?

Думаю, да

Подскажите пожалуйста, до обновления была настроена версия керио 7,0,1, обновился до 7.4.1 build 5051 и вот надумал пользоваться веб фильтром сайтов, но не задача, фильтр запустился, правила и категории не работают. не работает Kerio Control Web Filter. Прилагаю правила, может тут косяк? Как клиентов отгородить от порнухи?

legionpheonix

Цитата:

Явно косяк в работе самом керио.

А свои ошибки вы не считаете косяками ?
Правила работаю сверху вниз.
Ваше правило действует для всех без исключений.

Добавлено:
Garik_Lugansk

Цитата:

А как заставить их аутентифицироваться?

Завести в соответствующем разделе и дальше хоть по ИП, хоть по паролю.

compupu
Пользователи давно вбиты и присвоены айпи, но веб фильтр не срабатывает, тупо пропускает. Инет разадается через нат. А вот если на клиенте указать прокси то все работает. Куда копнуть?
UPD
У меня был отключен трафик инспектор на нате. После включения все завелось.

Garik_Lugansk Ну я не телепат. Сам же знаешь, что тама настроек туева хуча взаимосвязанных.
Ищи способы аутентификации пользователей в твоей конфигурации. Иначе придется прокю прописывать.
Я, к примеру, пользую прозрачный прокси. Проблем никогда не испытывал.
Да. Если у тебя пользователь не аутентифицирован, значит и статистика по нему не собирается ?

Добавлено:
P.S.
Все таки не телепат

compupu
Нет с моими правилами что я создавал всё нормально.
В общем решение нашлось после установки 7.4.1 5051. И там всё корректно работает и правила и группы. Вот так вот.

Камрады, приветствую.
Может кто-нибудь посоветовать бесплатную/платную альтернативу Kerio? Интересует - шейпинг/пилинг инета, ведение статистики пользователей + firewall с правилами/ограничениями, так же распределение трафика по типу, свой DHCP-сервер и тд.
На данный момент сидим на Mikrotik ROS, но функционал и простота Kerio мне ближе.

Еще думаю может Kerio сразу купить, но непонятно, что подразумевается под 5 пакетами пользователями при покупке?
http://www.kerio.ru/ru/control/buy

А подскажите, есть ли возможность ограничить количество VPN-подключений от одного пользователя?

Чтобы удаленные клиенты под одной учеткой не ходили, например.

В поиске был, не нашел.

Контрол тоже весь просмотрел.

insyo

Цитата:

что подразумевается под 5 пакетами пользователями при покупке?

Миниму лицензий которые ты можешь купить=5=5 пользователей получающих доступ в Интернет через NAT\Proxy илил подключающихся из сети Интернет по протоколу Kerio VPN=до 25 IP адресов.

CrazyAl12
нет нельзя.

Цитата:

Миниму лицензий которые ты можешь купить=5=5 пользователей получающих доступ в Интернет через NAT\Proxy илил подключающихся из сети Интернет по протоколу Kerio VPN=до 25 IP адресов.

мда, не густо, у нас тут и за 50 в сумме всех устройств через NAT ходит
но конкретно у Kerio Control функционал для меня почти идеальный был, единственное, в 7.2 версии по-моему не было возможности задавать ограничение скорости конкретному пользователю, только ограничение полосы пропускания было
сейчас так же?

insyo
если статистика не нужна то для 50 IP достаточно купить 10 лицензий

начиная с версии 7.2 есть ограничитель скорости который можно настроить на ограничение скорости по пользователю и т.д.

Цитата:

если статистика не нужна то для 50 IP достаточно купить 10 лицензий

а разве статистика не включена в лицензию?

insyo
дело не в этом, если ты хочешь юзать интерфейс статистика STAR, то для его работы необходимо использовать аутентификацию по пользователям, если её не будет, то вся статистика в данном интерфейсе будет падать на неизвестного пользователя.

Цитата:

дело не в этом, если ты хочешь юзать интерфейс статистика STAR, то для его работы необходимо использовать аутентификацию по пользователям, если её не будет, то вся статистика в данном интерфейсе будет падать на неизвестного пользователя.

хм, получается теперь нет такого, что заходишь в "Пользователи и группы", дальше вкладка "Пользователи", жмешь "Добавить" вводишь его данные, далее переходишь в IP-адреса и пишешь IP-шник, после этого идешь в "Статус" - "Статистика" и видишь траф скачанный данным пользователем (с данного IP)?

Мне авторизация для пользователей не нужна. Сам по себе выход в инет должен быть без заморочек (без авторизации по логину/паролю). Я делал так - через DHCP резервировал на постоянку айпишники, подписывал для себя кто это, добавлял после в группы, распределял по группам, кому какой доступ куда в правилах, а дальше уже создавал пользователя и писал его айпи.

С интерфейсом STAR я пока еще незнаком, глянул сейчас, 7.0.1 Kerio стоит.

А еще вопросик, на Win 7 x64 (Pro или Ultimate) сабж встанет? Спрашиваю, чтоб уточнить.
Вроде бы читал, что да, но 7.0.1 ставил на Win Server 2008 r2

insyo
текущая версия встаёт на все винды кроме 8 и 2012, по твоим настройкам, если для каждого IP своя учётная запись, подсчёт лицензий будет 1лицензия=1 учётка=1IP, можешь привязать все IP к одной учётке, лицензии будут считаться тогда так: 1лицензия=1учётка=5IP но тогда вся статистика будет падать на неё.

Цитата:

текущая версия встаёт на все винды кроме 8 и 2012, по твоим настройкам, если для каждого IP своя учётная запись, подсчёт лицензий будет 1лицензия=1 учётка=1IP, можешь привязать все IP к одной учётке, лицензии будут считаться тогда так: 1лицензия=1учётка=5IP но тогда вся статистика будет падать на неё.

ок, спасибо, разобрался
установлю пробную версию, гляну весь функционал, а дальше уже подумаю, что к чему

Здравствуйте. Может кто сталкивался. Не работает фильтрация по запрещенным словам в google, в yandex все нормально. Проверялось на Kerio Winroute 6.2.3 build 2027 и на Kerio Control 7.2.0 build 3028

[more] Доброго времени суток.
Время от времени входящее соединение начинает рваться.
[more]
Имеется Kerio Control 7.2.1 build 3301.
На Windows Server 2008 R2 x64.
Происходит вот такая нехорошая ситуация:
Время от времени входящее соединение начинает рваться (происходит коннект и потом через некоторое время(до минуты-двух) - рвется)
Имеется правило №1 в списке:
http://imageban.ru/show/2012/12/17/da976aa0b1096548c44bd656a647f6d0/png
1792 service описан так: tcp/udp входящие на порт 1792, инспектор выключен.
Вот сообщения из логов:

Код: |17/Dec/2012 12:45:35| |ID| 775200 |Rule| NAt external |Service| 1792 service |Connection| TCP 37.17.*.*:49171 -> Server:1792 |Duration| 13 sec |Bytes| 1051/1302/2353 |Packets| 17|11|28
|17/Dec/2012 12:46:03| |ID| 775346 |Rule| NAt external |Service| 1792 service |Connection| TCP 37.17.*.*:49173 ->Server:1792 |Duration| 14 sec |Bytes| 1771/3500/5271 |Packets| 31|26|57

QuiverNAY
включи фильтр дропнутых пакетов в журнале debug и погляди, может там что-то полезное найдёшь в момент когда соединения рвутся.

Здраствуйте. Решил установить сабж ... Кратко объясню цель . Сеть - 20 компов ... Один сервер . К нему обращаются клиенты из вне для работы в 1с (терминальный режим) . Пока нет прямого IP и поэтому используется програмный VPN. Собственно нужно чтобы пользователям ограничивать доступ в интернет , запретить паринговые сети ... отключить аськи ... и т.д . Поставил я керю на комп с хр сп3 (х32). Возможны ли проблеммы в работе из-за оси? в соседней теми намекнули про проблеммы ... но на оф сайте заявлена же поддержка ... ? Или сразу переставить на 2008 р2?