» Настройка Kerio Winroute серии 5.x и 6.х (часть 2)

shuiks
1. Утилиток нет - пока еще разработчики не сделали.
2. Привязываешь пользователя к IP - и в ТП выставляешь группу ИП или хост.
3.Никак - при попадании юзера в красную зону (превышение лимита) - ему автоматически закрывается доступ (если стоит галка блокировать при привышении квоты).

В доменной сети у одного юзера пропадает инет. По ее словам это проблема началась после замены ПК. Инет появляется тока после перезапуска компа и может пропасть в любой момент. В чем может быть причина?

может где-нить в настройках Kerio че-нить криво указано...

2. Где это в ТП (Traffic Policy) устанавливаются лимиты???

Не могу разобраться, надеюсь на Вашу помощь!
Проблема в следующем:
установлен KWF 6.5.2. В трафик полиси настройки получены в результате работы мастера. то есть для firewall traffic имеем PERMIT - source: firewall, dest: inet, service: any.
Если Protocol Inspector включен (default) для Firewall Traffic, то не работает http ни на машине с установленным KWF ни за натом, страницы в браузерах не открываются (в то время как пинг и трассировка, скажем до ya.ru проходят).
Если Protocol Inspector выключен (none) для Firewall Traffic, то все работает без проблем.
В чем может быть дело. Довольно давно бьюсь, но понять не могу, поэтому обращаюсь к Вам.
Заранее спасибо за помощь.


Разобрался сам!
Может кому понадобися решение: проблема была в конфликте с NOD32 v3. в настройках нода (клавиша F5) в "защита доступа"-"HTTP"-Web-браузеры" необходимо найти KWF и вместо галочки зеленой установить красный крест.

Kerio Winroute 6.3.1 b2906, user account mapping to AD, NTLM (Enable user authefication automatically performed by Web brousers).
Все было тихо-гладко, пока не просрочился сертификат: получаю сообщения "Срок действия сертификата безопасности этого веб-узла истек или еще не начинался".
Kerio для версий 6.5.0 и ранее предлагает http://support.kerio.com/index.php?_m=knowledgebase&_a=viewarticle&kbarticleid=485 процедуру с использованием SSL libraries used by Apache (OpenSSL) и последующим импортом сертификата For the Web Authentication Interface and Clientless SSL - VPN server: Advanced Options -> Web Interface / SSL - VPN server -> Advanced -> Change SSL Certificate... -> Import Certificate.

Смутные сомнения: может, можно просто сгенерировать сертификат For the Web Authentication Interface and Clientless SSL - VPN server: Advanced Options -> Web Interface / SSL - VPN server -> Advanced -> Change SSL Certificate... -> Geterate Certificate?

Керио 6.4.2
Провайдер раздает инет через VPN (на сервере с керио 2 сетевых карты + VPN подключение).
У провайдера имеется Proxy сервер, через который требуется пропускать инет, даже если используемое приложение само по себе не умеет работать с прокси.

На керио настроено 3 правила (сверху вниз)
1. С локалки разрешен доступ на сервер (сервис any)
2. С сервера разрешен доступ везде (сервис any)
3. C локалки в VPN (сервис any)
В правиле 3 настроен NAT (translate to IP adres of interface; и плюс портмаппинг на IP и порт proxy провайдера)

Теоретически такие правила должны бы перенаправлять все пакеты из локалки на прокси прова, а тот в свою очередь должен бы отправлять эти запросы адресатам, однако этого почему то не происходит (приложения которые настроены на прокси прова в инет выходят нормально, а все остальные, на которых прокси не настроен обрубаются намертво)

Подскажите пожалуйста как настроить правила керио чтобы весь травик из локалки слался на прокси провайдера? а то у меня уже фантазии не хватает(

ри включенном SSL VPN можно ли обогнуть Kerio Clientless SSL VPN и повесить другой Web-сервис (например, сайт), сохранив при этом доступ через httpS ?

Подскажите как лучше организовать удалённый доступ к сети и удалённому рабочему столу!!??

Куда прописать статический IP-адрес вида "213.184.111.111"

Есть доменная сеть. На Керио 6.5.2 отдельный сервер от контроллера домена.

На контроллере домена такие настройки:
IP-192.168.0.1
mask-255.255.255.0
(Gate)шлюз-192.168.0.2
Dns-192.168.0.1
-xx.xx.xx.xx (DNS интернет провайдера)
wins- 192.168.0.1

Сервер с Kerio Winroute 6.5.2 :
2 Сетевые карты:

Первая:
Смотрит в интернет (на ADSL модем, его IP - 192.168.3.3)
IP- 192.168.3.4
mask-255.255.255.0
(Gate)шлюз-192.168.3.3
Dns-192.168.3.3
-192.168.0.1
-xx.xx.xx.xx (DNS интернет провайдера)
wins-192.168.0.1


Вторая смотрит в сеть:
IP-192.168.0.2
mask-255.255.255.0
(Gate)шлюз-192.168.3.4
Dns-192.168.3.4
-192.168.0.1
-xx.xx.xx.xx (DNS интернет провайдера)
wins-192.168.0.1

На клиентских машинах:
IP-192.168.0.5 - 192.168.0.100
mask-255.255.255.0
(Gate)шлюз-192.168.0.2
Dns-192.168.0.1
-xx.xx.xx.xx (DNS интернет провайдера)
wins- 192.168.0.1

FantomStar4
В твоей схеме - когда используется ВПН от провайдера = достаточно выключить меппинг на правиле NAT.
Возможно, придется настроить таблицу роутов на KWF машине, но это, если не будут видны сразу 2 сети ( то есть при включенном инете - будут пропадать локальные (провайдера) ресурсы)

Chaeck
1.
Цитата:

(Gate)шлюз-192.168.3.4
Dns-192.168.3.4

- быстро удалить!!!
2. В модеме придется прописать переброс пакетов на 192.168.3.4 по необходимым портам: 3389 и если хочешь еще KerioVPN использовать, то 4090.
3. В ТП в KWF необходимо создать правило:
сурс Inet (сетевая, смотрящая на модем)
дест Firewall
протокол RDP, Kerio VPN
Пермит

Соответственно, чтобы использовать локалку удаленно по полной = необходимо в локальном правиле вставить VPN в сурсы и десты, и настроить пользователей на использование VPN.

Ув. системные администраторы!

Имеется небольшая домашняя сеть:
адсл -> роутер -> стационарный компьютер
\> сервер 1 (Win2003) -> сервер 2 (winXP SP3 + Kerio +wi-fi pci)
и отдельно 2 ноутбука.

задача заключается в том, чтобы ноутбуки подключались к серверу 2 по wi-fi, получали IP через DHCP и имели выход в интернет и в сеть.

IP роутера: 192.168.0.1 (является шлюзом инета для всей сети)
IP сервера 1: 192.168.0.10
к серверу 1 подключен сервер 2 через сетевой мост.
IP сервера 2: 192.168.0.20
со стационарного компьютера спокойно подключаюсь к обоим серверам и оба сервера спокойно могут выходить в интернет.
На сервер 2 поставил Kerio, настроил DHCP для WI-FI
в результате wi-fi карта на сервере имеет статичный ip: 55.66.77.1
и ноутбуки, подключаясь, получают адреса в диапазоне 55.66.77.2 - 55.66.77.250

в Kerio в настройках DHCP прописал выдачу шлюза и DNS: 55.66.77.1
DNS форвардинг настроил.

Вопрос: как настроить дальше, чтобы ноуты имели доступ в локальную сеть (к обоим серверам) и в интернет?

Здраствуйте.
Есть сеть (192.168.1.0/24), есть сервер на котором стоит фтпшник, мэйлсервер и kerio winroute 6.0. Сервер находится в сети 192.168.0.0/24 (DMZ). Есть инет через DSL модем. вся эта беда общается между собой через аппаратный фаервол.
на компьютере,который в локалке в броузере прописываю proxy (адрес сервера, где Kerio стоит). И почему-то не работает. Может так вообще не должно работать? Может надо менять схему сети и выносить Kerio на отдельную машину и ставить её между локалкой и фаером? Подскажите

Всем привет! Помогите как могите))))))) Ситуация: на компе стоит керио, раздающий инет в сеть по нату. В феврале пользватели налазили в инете 4 гига (узнали это из счета провайдера). Керио в статистике тоже показывает такую информацию но в основном на машину с керио, в логе http всего 280 метров. Как можно посмотреть с каких машин точно налазили???? Пользватель на машине с керио говорит что не лазил....
Почему в логи не все пишется????

мда... ждать бесполезно... все сделал сам, так что по моему посту помощь не нужна!

Доброе время суток!
Вот такая проблема: Стоит керио на машине с winxp Sp3. на этой машине все нормально.
На двух клиентах ( win xp sp3) не заходит на часть сайтов. На другие ходит нормально. Этот сайт с клиентской машины не пингуется. Если пинговать этот сайт по IP то пингуется нормально. куда копать????

А кто-нибудь настраиввал сабж с каким-нибудь сторонним шейпером-поделитесь опытом!

obtim
http://avsoft.ru/forum/read.php?FID=21&TID=1876&UID=12294

GolikovM
в настройки DNS. Попробуйте поставить их такими же как и на центральной машине (сервере)

Добавлено:
VesAlex
Покажие картинки со статистикой. Сколько сетевух на сервере (машине с керио) стоит?

Добавлено:
Posix86749

Цитата:

Здраствуйте.
Есть сеть (192.168.1.0/24), есть сервер на котором стоит фтпшник, мэйлсервер и kerio winroute 6.0. Сервер находится в сети 192.168.0.0/24 (DMZ). Есть инет через DSL модем. вся эта беда общается между собой через аппаратный фаервол.
на компьютере,который в локалке в броузере прописываю proxy (адрес сервера, где Kerio стоит). И почему-то не работает. Может так вообще не должно работать? Может надо менять схему сети и выносить Kerio на отдельную машину и ставить её между локалкой и фаером? Подскажите

ЭЭ. Некоректно заданный вопрос.
1. Сервер не может находится в другой подсети, иначе клиенты его просто не найдут. Вероятно вы имели ввиду что у него 2 сетевухи, одна смотрит в сетку а вторая в 192.168.0.0/24.
2. Что такое "вся эта беда" сервер, сети, серверное ПО (все или конкретные).
3. Где стоит аппаратны фаервол? в 192.168.1.0/24 или 192.168.0.0/24, как связан с сервером (клиентами).
4. "в броузере прописываю proxy (адрес сервера, где Kerio стоит). И почему-то не работает." (ээ есть анекдот смешной). proxy это не только хост, но и порт. Картинку как на клиенте прописываете и картинку настройки proxy на сервере.
5 ."Может так вообще не должно работать? Может надо менять схему сети и выносить Kerio на отдельную машину и ставить её между локалкой и фаером?" знать бы еще ее эту схему. Если нарисуете будет проще помогать.

adjuster

Подскажите как лучше организовать удалённый доступ к сети и удалённому рабочему столу!!??

Куда прописать статический IP-адрес вида "213.184.111.111"

Есть доменная сеть. На Керио 6.5.2 отдельный сервер от контроллера домена.

На контроллере домена такие настройки:
IP-192.168.0.1
mask-255.255.255.0
(Gate)шлюз-192.168.0.2
Dns-192.168.0.1
-xx.xx.xx.xx (DNS интернет провайдера)
wins- 192.168.0.1

Сервер с Kerio Winroute 6.5.2 :
2 Сетевые карты:

Первая:
Смотрит в интернет (на ADSL модем, его IP - 192.168.3.3)
IP- 192.168.3.4
mask-255.255.255.0
(Gate)шлюз-192.168.3.3
Dns-192.168.3.3
-192.168.0.1
-xx.xx.xx.xx (DNS интернет провайдера)
wins-192.168.0.1


Вторая смотрит в сеть:
IP-192.168.0.2
mask-255.255.255.0
(Gate)шлюз-192.168.3.4
Dns-192.168.3.4
-192.168.0.1
-xx.xx.xx.xx (DNS интернет провайдера)
wins-192.168.0.1

На клиентских машинах:
IP-192.168.0.5 - 192.168.0.100
mask-255.255.255.0
(Gate)шлюз-192.168.0.2
Dns-192.168.0.1
-xx.xx.xx.xx (DNS интернет провайдера)
wins- 192.168.0.1


Цитата:

Chaeck
1.
ЦитатаGate)шлюз-192.168.3.4
Dns-192.168.3.4
- быстро удалить!!!
2. В модеме придется прописать переброс пакетов на 192.168.3.4 по необходимым портам: 3389 и если хочешь еще KerioVPN использовать, то 4090.
3. В ТП в KWF необходимо создать правило:
сурс Inet (сетевая, смотрящая на модем)
дест Firewall
протокол RDP, Kerio VPN
Пермит

Соответственно, чтобы использовать локалку удаленно по полной = необходимо в локальном правиле вставить VPN в сурсы и десты, и настроить пользователей на использование VPN.

Если удалить:
ЦитатаGate)шлюз-192.168.3.4
Dns-192.168.3.4

на сетевухе, которая смотрит в сеть, то что вместо этого прописать ?

Есть сеть, сервер крутится под Win Server 2003. на нем сейчас стоит Proxy+ и крутится на 4480 порте.
В сервере две сетевые карты:
1 - выход в интернет
2 - выход в локальную сеть (192.168.0.1 - у сервера, 192.168.0.2 - 192.168.0.122 - клиенты)
Установил KWF, после чего ни одна машина не может попасть в интернет. В правилах разрешил все всем - все равно тишина.

Настройки у клиентов:
IP: 192.168.0.111
Макска подсети: 255.255.225.0
Основной шлюз: 192.168.0.1
DNS: 192.168.0.1


Настройки на сервере:

IP: 93.72.128.159
Макска подсети: 255.255.224.0
Основной шлюз: 93.72.128.1
DHCP-сервер: 82.144.192.41
DNS: 82.144.192.130, 82.144.192.132, 82.144.192.32, 82.144.192.30

В логах ни каких ошибок о блокировке пакетов нет.
Как быть? Можно использовать Proxy+ как прокси для использования интернета, а KWF в роли фильтра нежелательных ресурсов? Или действовать нужно по-другому?

Chaeck
213.184.111.111 - это IP модема, на котором нужно прописать проброс порта RDP
А уж потом создавать на KWF правило:
сурс Inet
дест Firewall
протокол RDP
Пермит

4Life
Сделай "ping www.ru" с KWF и с любого клиента. Результаты сюда.


Добавлено:
Народ!!! - не расстраивайтесь, если не отвечают на ваш вопрос!!! Иногда происходят сбои на руборде и не приходят на почту письма о новых сообщениях.

adjuster
я разобрался - проблема в антивирусе НОД32. Нужно выключить проверку хттп и проверку поп3 (если почтовый стоит kerio mail server)

4Life
С нодом KWF вообще чудеса выкидывает.

Есть локальная сеть и сервак на котором стоит Керио.
К серверу подвидено 2 сети: интернет и гость.
Требуется сделать:
1. Чтоб скорость интернет и гость делились на всех пользователей в зависимости от загрузки канала (1-вариант: 1 пользователь в сети - весь канал его, 2, 3...10 пользователей канал делится на всех поровну, 2-й вариант: 1 человек качает, другой сёрфит, 1-ый занимает практически весь канал, 2-ой значительно меньшую часть, ту которая необходима для открытия страниц, у первого скорость снижается когда 2-ой открывает страницы. Если второй начиннает качать, то скорость делится с учётом, того сколько может отдать сервер откуда идёт скачка.)
2. Закрыть торрент для пользователей, но оставить возможным скачку с торрентов для сервака.
3. Установить ограничение на скорость скачки для интернет и гость, но с разным значением, т.к. разная пропускная способность каналов.
4. Лимитировать скорость для конкретных пользователей и групп пользователей на определённую сеть.

что то совсем замучался, а возможно ли что с определенного сайта трафик вообще не считался? а не только из статистики его вырезало...

Подскажите где копать:
Имеем комп в роли шлюза с установленым керио. 2 сетевухи одна в нет 100Мб, вторая в сеть 1Gb, все работает. Но с сервака по локалке тянется файлы с максимальной скоростью 3-4Мб/с. А если отрубить на локальном интерфейсе компоненту kerio winroute firewall то скорость возрастает в несколько раз 15-20Мб/c. В чем может быть проблема?

подскажите как подружить www.wakeonlan.ru и компы за натом Керио?
ну т.е. надо чтоб с сайта можно было включить комп подключеный к инету через другой сервер с керио6...
там надо что проходили широковещательные пакеты, а я не понял как это сделать в керио
мапинг по мойму с МАС не работает, только с ИП...
что можно тут сделать?

Возможно ли с помощью керио объединить две сети по инету в одну, соединение типа Site-to-Site или что-то другое...?

подскажите, стоит сервак 2003 к нему терминально цепляются люди. С этой машины есть доступ в сети 1.1.1.0/24 и 2.2.2.0/24 и 3.3.3.0/24. Нужно сделать, чтобы юзер1 имел досту в 1.1.1.1, юзер два имел доступ к хостам 1.1.1.33, 3.3.3.44. ну и юзер 3 имел доступ к 2.2.2.0.
порты и протоколы разные, сможет ли керио это сделать??

Есть возможность сделать переадресацию на другой прокси на другой машине по определенним ссилкам?

Прошу помочь настроить Kerio, чтоб он мог раздавать инет VPN-клиентам.

Подключившись VPN клиентом к серваку с Kerio удаленная локалка доступна, однако в инет не пускает.

Правила на доступ в инет (нат) VPN клиентам в Kerio прописаны.

На локальном клиенте маршрут "0.0.0.0 маска 0.0.0.0 шлюз адрес_vpn_сервера" через интерфейс VPN клиента прописан. То же самое даёт указание в настройках VPN сервера добавить маршрут "0.0.0.0 маска 0.0.0.0".

Если убить маршрут "0.0.0.0 маска 0.0.0.0" на основное подключение к инету на локальном клиента, то соответсвенно все пакеты должны идти через VPN соединение, однако достуна только удаленная локалка.