» Kerio Control (ex Kerio WinRoute Firewall)

Porolonchik
ну если лицензия есть, то шли кериотам оповещения о неисправности консоли, именно это предлагает сделать мастер, так же напиши им в техсап, они передадут напрямую в отдел разработки.

Вроде на 2 интерфеса распараллелил, но засада с различной авторизацией выходит на нескольких узлах.
Не понимают, что к ним с разных ИП ломятся.
Оставется вопрос:
как можно полностью распознать P2P трафик, чтобы его направить на конкретный внешний адаптер ?

compupu

Цитата:

Не понимают, что к ним с разных ИП ломятся

с этим тебе сюда: http://manuals.kerio.com/control/adminguide/en/sect-policyrouting.html


Цитата:

как можно полностью распознать P2P трафик, чтобы его направить на конкретный внешний адаптер ?

такой переменной в правилах трафика нет, по-этому, если ты можешь контролировать используемые p2p клиентами порты, то создай для них отдельное правило и, используя инфу из мануала которую я поместил выше, направь трафик в нужный интерфейс.

Tihon_one

Цитата:

можешь контролировать используемые p2p клиентами порты, то создай для них отдельное правило

Спасибо за наводку, придется.
Я думал, что где-то что-то пропустил в настройках. Ведь в опциях они этот протокол используют.

Здравствуйте! У меня на последнем Керио (7.4.1 December 4, 2012) перестала работать любая авторизация на habrahabr.ru . Если среди вас есть хабравчане, проверьте пожалуйста эту проблему у себя.

[more=Читать дальше..]
Переход на страницу логина:
*.*.*.* - xxx [03/Jan/2013:19:54:11 +0400] "GET http://habrahabr.ru/login/ HTTP/1.1" 200 1960 +8
*.*.*.* - xxx [03/Jan/2013:19:54:12 +0400] "GET http://www.google.com/recaptcha/api/challenge? HTTP/1.1" 200 452
*.*.*.* - xxx [03/Jan/2013:19:54:12 +0400] "GET http://mobtop.ru/49745.gif HTTP/1.1" 200 347
*.*.*.* - xxx [03/Jan/2013:19:54:12 +0400] "GET http://www.google.com/recaptcha/api/js/recaptcha.js HTTP/1.1" 304 0 +1
*.*.*.* - xxx [03/Jan/2013:19:54:12 +0400] "GET http://www.google.com/recaptcha/api/image? HTTP/1.1" 200 2762 +2
Пофильтровалось:
[03/Jan/2013 19:54:12] DROP URL 'Удалять рекламу и опасности.' *.*.*.* xxx HTTP GET http://www.google-analytics.com/ga.js


Первая попытка ввода капчи:
*.*.*.* - xxx [03/Jan/2013:19:54:44 +0400] "POST http://habrahabr.ru/json/auth/login/ HTTP/1.1" 200 79
*.*.*.* - xxx [03/Jan/2013:19:54:44 +0400] "GET http://www.google.com/recaptcha/api/reload? HTTP/1.1" 200 222 +3
*.*.*.* - xxx [03/Jan/2013:19:54:44 +0400] "GET http://www.google.com/recaptcha/api/image? HTTP/1.1" 200 2915 +4


Вторая попытка ввода капчи:
*.*.*.* - xxx [03/Jan/2013:19:55:03 +0400] "POST http://habrahabr.ru/json/auth/login/ HTTP/1.1" 200 79 +1
*.*.*.* - xxx [03/Jan/2013:19:55:04 +0400] "GET http://www.google.com/recaptcha/api/reload? HTTP/1.1" 200 237 +5
*.*.*.* - xxx [03/Jan/2013:19:55:04 +0400] "GET http://www.google.com/recaptcha/api/image? HTTP/1.1" 200 3636 +6


Попытка зайти через привязанный аккаунт Google+
*.*.*.* - xxx [03/Jan/2013:19:55:24 +0400] "POST http://habrahabr.ru/social/login/google/? HTTP/1.1" 404 1302 +2
*.*.*.* - xxx [03/Jan/2013:19:55:24 +0400] "GET http://habrahabr.ru/css/31337/all/forms.css HTTP/1.1" 404 564 +3
Пофильтровалось:
[03/Jan/2013 19:55:24] DROP URL 'Удалять рекламу и опасности.' *.*.*.* xxx HTTP GET http://www.google-analytics.com/ga.js

Загрузка главной (но это не важно, да и лишнего много).
*.*.*.* - xxx [03/Jan/2013:19:53:59 +0400] "GET http://habrahabr.ru/ HTTP/1.1" 200 20230
*.*.*.* - xxx [03/Jan/2013:19:53:59 +0400] "GET http://habrahabr.ru/styles/1356907887/all.css HTTP/1.1" 304 0 +1
*.*.*.* - xxx [03/Jan/2013:19:53:59 +0400] "GET http://habrahabr.ru/styles/1356907887/_parts/posts.css HTTP/1.1" 304 0
*.*.*.* - xxx [03/Jan/2013:19:53:59 +0400] "GET http://habrahabr.ru/styles/1356907887/highlight.css HTTP/1.1" 304 0
*.*.*.* - xxx [03/Jan/2013:19:53:59 +0400] "GET http://habrahabr.ru/styles/1356907887/forms.css HTTP/1.1" 304 0
*.*.*.* - xxx [03/Jan/2013:19:53:59 +0400] "GET http://habrahabr.ru/styles/1356907887/hubs/all.css HTTP/1.1" 304 0
*.*.*.* - xxx [03/Jan/2013:19:53:59 +0400] "GET http://habrahabr.ru/styles/1356907887/posts/index.css HTTP/1.1" 304 0
*.*.*.* - xxx [03/Jan/2013:19:53:59 +0400] "GET http://habrahabr.ru/javascripts/1356907887/all.js HTTP/1.1" 304 0 +2
*.*.*.* - xxx [03/Jan/2013:19:53:59 +0400] "GET http://habrahabr.ru/javascripts/1356907887/_parts/posts.js HTTP/1.1" 304 0 +1
*.*.*.* - xxx [03/Jan/2013:19:53:59 +0400] "GET http://habrahabr.ru/javascripts/1356907887/libs/jquery.form.js HTTP/1.1" 304 0 +1
*.*.*.* - xxx [03/Jan/2013:19:53:59 +0400] "GET http://habrahabr.ru/javascripts/1356907887/libs/highlight.js HTTP/1.1" 304 0 +1
*.*.*.* - xxx [03/Jan/2013:19:53:59 +0400] "GET http://habrahabr.ru/javascripts/1356907887/hubs/all.js HTTP/1.1" 304 0 +1
*.*.*.* - xxx [03/Jan/2013:19:53:59 +0400] "GET http://habrahabr.ru/javascripts/1356907887/posts/all.js HTTP/1.1" 304 0 +1
*.*.*.* - xxx [03/Jan/2013:19:53:59 +0400] "GET http://habrahabr.ru/javascripts/1356907887/_parts/shortcuts.js HTTP/1.1" 304 0 +3
*.*.*.* - xxx [03/Jan/2013:19:53:59 +0400] "GET http://habrahabr.ru/styles/1356907887/_parts/_to_top.css HTTP/1.1" 304 0 +2
*.*.*.* - xxx [03/Jan/2013:19:53:59 +0400] "GET http://habrahabr.ru/javascripts/1356907887/_parts/float_block.js HTTP/1.1" 304 0 +2
*.*.*.* - xxx [03/Jan/2013:19:53:59 +0400] "GET http://habrahabr.ru/javascripts/1356907887/_parts/to_top.js HTTP/1.1" 304 0 +2
*.*.*.* - xxx [03/Jan/2013:19:53:59 +0400] "GET http://media.habrahabr.ru/images/thumbs/companies/icons/4f/fe/ee/49803/small_49803.png HTTP/1.1" 304 0
*.*.*.* - xxx [03/Jan/2013:19:54:00 +0400] "GET http://cdn1.sbnation.com/entry_photo_images/7399207/Xv01-02_17-23-5920_large_verge_medium_landscape.jpg HTTP/1.0" 304 0
*.*.*.* - xxx [03/Jan/2013:19:54:00 +0400] "GET http://habrahabr.ru/images/posts/hub.icon.png HTTP/1.1" 304 0 +3
*.*.*.* - xxx [03/Jan/2013:19:54:00 +0400] "GET http://habrahabr.ru/i/icos/icons_vote_posts.gif? HTTP/1.1" 304 0 +3
*.*.*.* - xxx [03/Jan/2013:19:54:00 +0400] "GET http://habrahabr.ru/images/pageviews.png HTTP/1.1" 304 0 +2
*.*.*.* - xxx [03/Jan/2013:19:54:00 +0400] "GET http://habrahabr.ru/i/bg-multilogo.png HTTP/1.1" 304 0 +4
*.*.*.* - xxx [03/Jan/2013:19:54:00 +0400] "GET http://habrahabr.ru/i/bg-button-enter.png HTTP/1.1" 304 0 +3
*.*.*.* - xxx [03/Jan/2013:19:54:00 +0400] "GET http://habrahabr.ru/images/favorite.gif HTTP/1.1" 304 0 +2
*.*.*.* - xxx [03/Jan/2013:19:54:00 +0400] "GET http://media.habrahabr.ru/images/thumbs/companies/icons/97/7c/cd/62119/small_62119.png HTTP/1.1" 304 0
*.*.*.* - xxx [03/Jan/2013:19:54:00 +0400] "GET http://media.habrahabr.ru/images/thumbs/companies/icons/7d/d7/75/61817/small_61817.png HTTP/1.1" 304 0 +1
*.*.*.* - xxx [03/Jan/2013:19:54:00 +0400] "GET http://cdn.kartinok.net/images/2013/01/02/n1ZO.jpg HTTP/1.1" 304 0
*.*.*.* - xxx [03/Jan/2013:19:54:00 +0400] "GET http://mobtop.ru/49745.gif HTTP/1.1" 200 347
*.*.*.* - xxx [03/Jan/2013:19:54:00 +0400] "GET http://habrahabr.ru/i/bg-user2.gif HTTP/1.1" 304 0 +4
*.*.*.* - xxx [03/Jan/2013:19:54:00 +0400] "GET http://habrahabr.ru/styles/1356907887/_parts/_to_top.css HTTP/1.1" 304 0 +4
*.*.*.* - xxx [03/Jan/2013:19:54:00 +0400] "GET http://habrahabr.ru/i/bg-comments2.gif HTTP/1.1" 304 0 +3
*.*.*.* - xxx [03/Jan/2013:19:54:00 +0400] "GET http://habrahabr.ru/images/flags.png? HTTP/1.1" 304 0 +5
*.*.*.* - xxx [03/Jan/2013:19:54:00 +0400] "GET http://habrahabr.ru/i/bg_cicle_help.png HTTP/1.1" 304 0 +4
*.*.*.* - xxx [03/Jan/2013:19:54:00 +0400] "GET http://habrahabr.ru/images/sidebar/hantim_title.png HTTP/1.1" 304 0 +3
*.*.*.* - xxx [03/Jan/2013:19:54:00 +0400] "GET http://habrahabr.ru/images/sidebar/freelansim_title.png HTTP/1.1" 304 0 +5
*.*.*.* - xxx [03/Jan/2013:19:54:00 +0400] "GET http://habrahabr.ru/i/stub-company-small.gif HTTP/1.1" 304 0 +5
*.*.*.* - xxx [03/Jan/2013:19:54:00 +0400] "GET http://habrahabr.ru/i/day_names.png HTTP/1.1" 304 0 +4
*.*.*.* - xxx [03/Jan/2013:19:54:00 +0400] "GET http://habrahabr.ru/images/footer.logo.png HTTP/1.1" 304 0 +6
*.*.*.* - xxx [03/Jan/2013:19:54:00 +0400] "GET http://habrahabr.ru/images/footer.share.png HTTP/1.1" 304 0 +5
*.*.*.* - xxx [03/Jan/2013:19:54:00 +0400] "GET http://upload.wikimedia.org/wikipedia/fr/c/cf/Zsh-logo.gif HTTP/1.0" 304 13062
*.*.*.* - xxx [03/Jan/2013:19:54:00 +0400] "GET http://www.youtube.com/embed/leyu8NOfLeo HTTP/1.1" 200 2518
*.*.*.* - xxx [03/Jan/2013:19:54:00 +0400] "GET http://habrahabr.ru/i/form/ajax_loader.gif HTTP/1.1" 304 0 +7
*.*.*.* - xxx [03/Jan/2013:19:54:00 +0400] "GET http://i.imgur.com/zbauF.png HTTP/1.1" 200 130997
*.*.*.* - xxx [03/Jan/2013:19:54:00 +0400] "GET http://habrastorage.org/storage2/e1d/b4a/07e/e1db4a07e2f388bb29fa9806834aa49f.jpg HTTP/1.1" 200 55449
*.*.*.* - xxx [03/Jan/2013:19:54:00 +0400] "GET http://habrastorage.org/storage2/e7a/5d2/7c7/e7a5d27c79c24471dca8c1c4da9b7205.png HTTP/1.1" 200 132896
Пофильтровалось:
[03/Jan/2013 19:54:00] DROP URL 'Удалять рекламу и опасности.' *.*.*.* xxx HTTP GET http://www.google-analytics.com/ga.js
[/more]

подскажите где взять ключи,которые прописывать в crack-vityan?

объясните как натроить керио hyper-v на реальном сервере который имеет два интерфейса один из которых в инет а второй в локалку? Запутался как сделать правильно сетку

aRainman
меня на хабр вообще не пускало пока в вебфилтре в вайтлист не добавил habrahabr.ru/*
и еще что-то (сейчас не посмотреть - вебфильтр вообще вырубил)

Приветствую, господа

схема такая
есть 3 сервера Win2008 R2 + AD, на всех стоит керио
1 главный контроллер домена, имеет реальный постоянный IP
2 контроллера домена только для чтения (RODC), раскиданы по филиалам в разных странах, реального IP не имеют

сервера соединены VPN туннелями через керио, домен работает стабильно, все ништяк...все компы видят друг друга, все работают в одной локалке и щастливы.... НО!!!

при перезагрузке любого сервера служба Kerio стартует после служб AD и DNS, и итоге получаем миллион ошибок в логах, что не возможно найти сервер такой то, бла бла бла, нельзя разрешить DNS имя такое то...ну оно логично, туннели то не подняты, серваков в сети нет

после того как стартует керио, все сервера цепляються, реплицируються и дальше ошибок нет, собственно на работоспособность это никак не влияет, но хотелось бы этого избежать, кароче чисто эстетический аспектЪ

в общем вопрос, как задать приоритет запуска службы Керио раньше всех служб AD?

думаю никак...

Black86

Не получится, проходили....

Я решил задачу архитектурно иначе. Контроллер домена и шлюз - различые (возможно, виртуальные) машины.

progmike
coder666
спасибо, господа, жаль что так
придется жить как есть, ибо везде создавать отдельные шлюзы не вариант

Black86 задать приоритет любой службы не трудно, открываем реестр находим нужный сервис и в параметре DependOnService (если его нет то создаем, тип REG_MULTI_SZ) указываем сервисы после которых он должен запускаться,
но вот дизайн сети выбранный вами ну очень неправильный, контроллер домена от майкрософт выставленный напрямую в инет это БЕЗОБРАЗИЕ!!! (и по отношению к себе и по отношению к окружающим)

если денег на один сервер, который и шлюз и контроллер и почтовый и фтп - особо выбирать не приходится

Цитата:

если денег на один сервер, который и шлюз и контроллер и почтовый и фтп - особо выбирать не приходится

именно, деньги тут решают все


Цитата:

открываем реестр находим нужный сервис и в параметре DependOnService (если его нет то создаем, тип REG_MULTI_SZ)  указываем сервисы после которых он должен запускаться,

запихнул туда NTDS и DNS, ща люди работают, нельзя перегружаться, ночью ребутнусь, посмотрю ошибки в логах


Цитата:

но вот дизайн сети выбранный вами ну очень неправильный, контроллер домена от майкрософт выставленный напрямую в инет это БЕЗОБРАЗИЕ!!! (и по отношению к себе и по отношению к окружающим)

по большому счету вы правы, но наружу торчит только впн порт от керио, все, никаких голожопых РДП и прочего, сначала по впн надо коннектиться, а потом уже все остальное через него, хотя по большому счету мы никому особо нахрен не нужны.

Паранойя для админа весьма полезная вещь, это лучше чем беспечность и раздолбайство, но всего надо в меру

и если уж на то пошло, посоветуйте как нужно правильно, с удовольствием чему нибудь научусь полезному

Black86

Цитата:

запихнул туда NTDS и DNS, ща люди работают, нельзя перегружаться, ночью ребутнусь, посмотрю ошибки в логах

не совсем так... действовать нужно наоборот. NTDS должен зависеть от керио, а керио в свою очередь от DNS
вообще цепочка получается довольно сложная - перед стартом керио должна стартовать сетевая подсистема целиком, и только потом - NTDS


Цитата:

посоветуйте как нужно правильно

в Вашей ситуации я использовал виртуализацию. MS Hyper-V, виртуалка под КД и под Керио. Старт машины КД отложен на 120 сек.

Т.е. не вин-сервер с ролью КД и виртуализации, а пустой вин-сервер с ролью виртуализации и внутри виртуалок уже КД и Керио

Цитата:

не совсем так...   действовать нужно наоборот.  NTDS должен зависеть от керио, а керио в свою очередь от DNS
вообще цепочка получается довольно сложная - перед стартом керио должна стартовать сетевая подсистема целиком, и только потом - NTDS

сделал так, не помогло один фиг те же ошибки


Цитата:

в Вашей ситуации я использовал виртуализацию. MS Hyper-V, виртуалка под КД и под Керио. Старт машины КД отложен на 120 сек.
 
Т.е. не вин-сервер с ролью КД и виртуализации, а пустой вин-сервер с ролью виртуализации и внутри виртуалок уже КД и Керио

ок, схема понятна

если кто качественно поламает образ под Hyper-V с веб-фильтром и антивирсуом я б тоже непрочь на это перейти

Добавлено:
юбилей у меня - 1000 пост
пойду бухать

Цитата:

если кто качественно поламает образ под Hyper-V с веб-фильтром и антивирсуом я б тоже непрочь на это перейти

нам всем скоро придется на это перейти, через 2 года Керио остановит поддержку виндовых версий, останется только апплайнс

ну антивируса конечно не будет и веб-фильтра...
а сам пакет как пахал так и будет пахать. (некторые еще даже версией Tiny Software пользуются 4.25 кажется)
Проблемы начнуться позже, когда на очередную ВинХрень 2019 он перестанет устанавливаться.

Пытаюсь лечить версию 8.0.0 для Hyper-V по инструкции:
http://forum.ru-board.com/topic.cgi?forum=35&topic=35888&start=3720#13

На пункте 9. получаю облом:

Can't find a SQUASHFS superblock on part2.img

Подскажите где ошибся?

coder666
ну наверное с этим не сюда...

ну и не для варезника тоже вроде

korn3r

Цитата:

меня на хабр вообще не пускало пока в вебфилтре в вайтлист не добавил habrahabr.ru/*
и еще что-то (сейчас не посмотреть - вебфильтр вообще вырубил)

Нет нет, проблема не в этом. Даже с отключенным вебфильтром, отключенным антивирусом, отключенным кешом файлов не пускает на хабр.

p.s: раньше хабр классифицировался веб-фильтром как рассылающий вредоносное ПО, поэтому добавление в исключение и помогло.

Керио посл версии... Включен только прозрачный прокси ... доступ в интернет только после авторизации пользователей (также включена принудительная авторизация непрозрачного прокси ).. Эта сеть для "рабочих" пользователей внутренней сети 192.168.0.х. Суть вопроса: Сделать так чтоб определенные компы имели полный доступ в интернет без какой либо авторизации . Как замутить сие чудо ?

привязать нужным пользователям ай-пи их машин например...

ок спб..... не прочитал в ай пи адресах , что это для автоматического входа в систему думал для того чтобы пользователь мог логинится под своим именем только с конкретной машины ..... а оказывается вон оно как ) А через правила трафика скорее всего не получится сделать автоматический вход или ошибаюсь ?

Зашел намедни во вкладку DHCP

Как же клиент получит автоматически шлюз и днс?
В 6-ке задать эти параметры было возможно.
Может еще куда тыкнуть надо?

Цитата:

Может еще куда тыкнуть надо?

А параметры DHCP для чего?

все так - там и указываешь выбирая из списка