» Kerio WinRoute Firewall (часть 4)

Такой вопрос, кто-нибудь имеет полный список хостов кабана и портов, по которым он к ним обращается? Хочу открыть только то, что ему нужно, а не все на свете.

Вопрос:
Имееться ли ограничение скорости на интерфейсы в Kerio Winroute Firewall. Если имеюсться то какие? Просьба написать как теоритические ограничения из интрукции или каких то других источников (я к сожалениею не нашел) и ограничения с какими вы столкнулись на практике при использовании данного продукта.

спасибо за ответ !!!

Всем привет. При переходе на новый Керио 6.5 у меня перестала работать автоматическая NTLM авторизация доменных пользователей. Тоесть каждому пользователю при попытке зайти в интернет выскакивает запрос ввести логин и пароль, хотя этот пользователь уже залогинен в на своем компе в домене. Причем я уверен, что все настроил правильно, поскольку в предыдущей версии с аналогичными настройками все работало идеально. Вернулся обратно на предыдущий релиз и все заработало. У кого-нибудь были такие проблемы?

AmoraleZ1975
Да. Такая же фигня. Как лечить не знаю.

подскажите плиз как отключить автоматическое обновление(проверку на новую версию вообще)? а то он у меня каждый час ломится обновляться.

Advanced options - Update checker

А Вы пробовали собственноручно поискать перед тем, как задавать подобный вопрос?

пробовал. Спасибо.
а как лечить вот эту ошибку:

(7104:101) ISS OrangeWeb filter: URL categorization has been skipped due to internal error

ни кто больше ничего не подскажет?

AmoraleZ1975
Arakcheev
в 6.5 вообще проблемы с авторизацией... у меня даже в ручную далеко не всем получалось зайти на ввод логин пароля... откатился на 6.4.

Добавлено:
Liderdomofon
а с чего вы решили что на керио - вообще включен антивирь? у меня - никогда.
Olser

Цитата:

Не надо объединять безопасность и ТС воедино, в принципе не правильно.

надо или не надо... это одно... а как оно бывает - это другое... не всегда начальство - готово выкеладывать деньги и выделять для 1с однин комп, а для интернета другой.

еще раз опишу ситуацию - и сегоффан и я используем керио (во всяком случае я) еще когда была версия 4.0. чего то там. т.е. уже лет пять - может и по более.. то что в идеале нужно разделять сервер 1с и интернет - мы в курсе. то что протокол инспектор и антивирь мешают работе то же. НО - до версии 6.3 или 6.4. (уже не припомню) керио боле менее уживался на одном сервере с 1с при выключенном антивире, прокси инспекторе и правке конфига - где исключался из обработки интерфейс локалки НАПРОЧ.

начиная с версии 6.3 - правка конфига не помогает...

вот сергоффан и я спрашиваем - чем можно пошаманить еще что бы переход с версии ниже 6.3 на новые версии не снижал скорость работы 1с до жутких тормозов...

в 6.5 я увидел новый способ разделения интерфейсов на доверенные, интернет, и прочие - есть надежда что это поможет, но у меня анчались проблемы с авторизацией и я откатился на основном серваке до 6.4. а на серваках где и 1с и кериос стоит до сих пор 6.1 и 6.2

voffka1984

Цитата:

а как лечить вот эту ошибку:

(7104:101) ISS OrangeWeb filter: URL categorization has been skipped due to internal error

Очень просто, идти в родственную варезную ветку и читать.

Помогите найти решение плиз.
Имею, локалку, шлюз на Win2003, 2 провайдера. Один провайдер входит Ethernet c АДСЛ (реальным IP), второй PPPoE.
Можно ли на Kerio организовать раздачу инета через РРРоЕ, оставив при этом возможность подцеплятся через VPN из внехи на реальный IP ?
При поднятии обоих соединений Kerio ругаецца на наличие 2х шлюзов.

topcom
Очевидно, последняя версия для тебя ))) - там как раз есть настройки для нескольких интернет интерфейсов, но надо сосредоточиться, и то, что ты описал, превратить в правила. И, кстати, напиши более понятно, что именно надо сделать - ВСЕ должны получать доступ и туда и сюда, или же надо именно это и разграничить?
Hrist
Премного благодарен Вам, и Сергоффану, я изучал эту прогу по вашим обсуждениям несколько лет ))) Серьёзно,, огромное спасибо.
У меня у самого какое-то время работала подобная связка с 1С и винроутом, но я не стал долго смотреть на это, и сразу раскинул на разные машины. Изменения же в последних версиях, после которых нельзя отключать интерфейс известным нам способом, тоже напягают, тк безопасность безопасностью, но иногда она вооще не нужна))) У меня вот пара машин соединена кроссом ))) Если вдруг кто-то знает, или мысль придет в светлую голову - НУ КАК НАПРОЧЬ ИСКЛЮЧИТЬ ИНТЕРФЕЙС ИЗ ФАЙЕРА?

при переходе не последнюю версию 6.5.0 вылез неприятный глюк. Ось - windows server 2003, подключаюсь через удаленный рабочий стол - заходит нормально. Через диспечер задач подключаюсь к консоли - начинает грузится графика и сразу дисконет (вход через впн тунель керио), - на время обрывается связь с интернетом. Попробовал зайти удаленно через локальную сеть (без керио впн уже). Тоже самое, пытаюсь подключится к консоли - думает некоторое время, и выкидывает в режим удаленного пользователя, или вобще закрывается. В правилах нет ограничений на локальную сеть - все проходит туда и обратно. Отключаю керио, спокойно захожу в консоль по локальной сети, без всяких проблем.. Кто уже столкнулся и нашел выход, что уже намудрили они?

Liderdomofon
В идеале хотелось бы возможность разных пользователей по разному интернету пускать .. но вродь как это не сделать ...
Программа минимум, это всех пользователей пустить через 1 инет (PPPoE),
а через второй инет, который имеет реальный IP, иметь возможность подключаться на комп из внешнего инета, через тот же VPN.

topcom
Я бета версию смотрел, можно там сделать. Ставишь load balancing по пользователям и kerio сам будет распределять какого пользователя в какой интернет пускать.

topcom
программу минимум можно реализовать на любой версии(у меня на 6.4.0 так работает) , на "втором" интернете у шлюза увеличить метрику (до 21), и в трафик полиси нат делать на первый инет(PPPoE), а принимать VPN подключения со второго, при загрузке ругаться на два шлюза будет, но при этом нормально работает

Господа, а почему может быть неактивна вкладка Параметры дозвона в настройках интерфейса в новой версии? (Детально видно на скрине) В предыдущей я там настраивал, чтобы при обрыве связи сразу сам перезванивал провайдеру (ADSL логин пароль), а теперь вкладка неактивна и при обрыве - молчок, пока руками не "перезвоню". Ставил 6.5.0 на чистую W2k8.


Добавлено:
И, собственно, как реализовать автонабор средствами керио?

ну х.з. у меня активна вкладка дозвонов, правда у меня на ХР

Цитата:

forb
Похожая проблема была. Решил так: создал группу адресов локальных, напремер Локалка = 192,168,0,0/255,255,255,0 и добавил её в правило в трафикполиси, там где NAT делается. Присутствие там только локального фейса не помогало, хотя по идее должно было все работать. Причем проблема обнаруживалась не один раз на разных компах куда ставил сабж. Со шлюза все работало, а через NAT из локалки нет! Или работало но не все. Умные люди говорят что проблема с метриками, но разбираться не стал, просто добавил к правилу NAT в Source еще и адреса локальной сети. Попробуй может и у тебя проблема в том же.

К сожалению, все равно на gmail со станций не зайти

Hrist
Аха, я тоже начинал с 4.0 версии Жутко ненавидел 5ую, после того как сабж перекупили, вот сел на 6ку ибо больше возможностей чем в 4ке. НО! 4ка рулит для маленьких сетей, быстра и не требовательна что в принципе и требуется от подобного софта, 6ка же монстр конечно

Добавлено:
forb
Тогда настройки шлюза и станций в студию.

У кого нибудь на W2k8 х64 или, в крайнем случае на Висте х64 (там, наверное такая же сетевая структура) стоит сабж для решения вопроса

Liderdomofon

Цитата:

НУ КАК НАПРОЧЬ ИСКЛЮЧИТЬ ИНТЕРФЕЙС ИЗ ФАЙЕРА?

В свойствах интерфейса (сетевого подключения) убираешь галочку напротив Kerio WinRoute Firewall. После этого WinRoure не мониторит этот интерфейс

О всезнающий All !!!
Ткни меня, pls, носом как настроить KWF для учета/получения/анализа VPN трафика.
Заранее премного благодарен...

Добрый день.
3 месяца пользовались керио без проблемм. на стандартных настройках в качестве интернет шлюза для организации с парком в 50 компьютеров. Теперь понадобилось сделать закачку небольшого (1.5мб) файла на FTP из локальной сети в интернет. И вот что получается: Проходит соединение на сервер без проблемм, дальше начинаем закачивать файл останавливается на 10-14% (Тотал Командер) и долго чего-то ждет, причем сетевой активности никакой в это время не идет. потом резко шкала закачки возрастаем где то до 50% и тотал коммандер выдает ошибку что закачка прервана.

Антивирус на керио отключен, Bandwidth Limiter тоже настройки вкладки ftp стоят по умолчанию. Закачка ведет себя одинаково как на самой шлюзовой машине так и на машине находящейся в локальной сети. С другого места без керио файл загружается на ура. Маленькие файлы вроде текстовых меньше килобайта тоже проходят безпроблемм на этот ftp. Пробывал загружать этот большой файл во время работы пользователей и когда уже никто кроме меня не работал результат одинаковый. Провайдер выделяет канал в размере 2мбита на прием и 512кбит на отдачу.

Цитата:

[/q]
[q]можно на рабочую станцию и простой кав поставить, надо только веб и почтовый вырубить

Естественно пробовалось, но даже с ВЫРУБЛЕННЫМ kav картина не изменялась и только после удаления Керио стал работать штатно.

FATman, я так понимаю, что в логе Керио и в логе Тотала пусто?
На Керио 20-й порт открыт?

FATman
В какой то из старых версий бага при работе с фтп была. может стоит изучить?

Serg0FFan

Цитата:

forb
Тогда настройки шлюза и станций в студию.

Ну, повторю траффик полиси из своего предыдущего поста:
Source Destination Service Action Tr PI
Firewall LAN Any Permit Default
LAN Firewall Any Permit Default
Firewall Inet Any Permit Default
LAN Inet Any Permit NAT Default
На станциях, естесно, в броузерах прокси не прописаны.

Господа. Приветствую.

Почемуто у меня периодически инет падает на пару секунд. Это может быть связано с Керий?

DaiAshes
Это может быть связано с чем угодно.. провайдер, линия и т.д. . Попробуй останови винроут и поработай на серваке с нетом, посмотришь, отвалится или нет..