» Kerio Control (ex Kerio WinRoute Firewall)

ssi
Да, это не важно. Собственно к терминальному серверу это отношение не имеет. Просто при этой опции запускаются все провайдеры (службы Аваста). Но их можно и потом по одному все запустить (или отключить ненужные).

Если контрол и коннект на одной машине - связка софос+макака. Суть проста. В контроле - первым софос, вторым макака. В коннекте - одна макака. Соответственно в коннекте обновляется макака, в контроле - софос. В контроле, в параметрах макаки, указывается путь к обновкам, которые сливает коннект. Ну и общий антивирь, который контролирует весь траффик, проверенный связкой.

Подскажите как настроить почтовый ящик полученный от провайдера?

Кому нафиг надо Твой ящик в этой ветке.
Иди по адресу

Возможно, не совсем в тему вопрос, но все же...
На сервере win2003 (192.168.111.1) есть Kerio WinRoute Firewall, раздающий инет в локалке 192.168.111.*. Клиенты из локалки успешно получают доступ к расшаренным локальным ресурсам сервера через пуск, выполнить \\192.168.111.1. Со стороны инета сервер виден как, допустим, servername.no-ip.org. Возможно ли получить доступ к этим же локальным ресурсам из инета через \\servername.no-ip.org ? Если да, то подскажите, какие порты надо разрешить в керио?

lizun

Ну, есть 2 варианта - запустить VPN или подключаться по RDP (через удалённый рабочий стол) к этому серверу.


Добавлено:
Люди, подскажите, как настроить обновление софоса.
Я пробовал скрипты от geneg.ru. Что-то заливается, но кол-во сигнатур почему-то не меняется.
Да и за свежие базы он денег хочет

идешь в смежную темму в варезнике - там лежат линки на локальное обновление.
Читай пару страниц - все уже жовано пережовано. И будешь независим от всяких барыг

fhorse
Цитата:

2 варианта - запустить VPN или подключаться по RDP

RDP отлично работает через инет, но не устраивает ряд моментов, типа просмотра фото...
Если поднять сторонний VPN, не будет ли конфликтов с VPN от Керио?
И какой? где почитать про эти сторонние VPN?

fhorse
не стоит на коммерческий ресурс неадекватного человека ходить. всё,что там есть - из местного варезника.


Добавлено:
lizun
а чем керивский не устраивает или виндозный? из сторонних - openvpn. конфликтов ни с каким не будет. почитать можно тут и тут

Есть свежий Kerio Control, установленный на Win 7 x64. Все супер, но иногда при включении машины Kerio не может поднять подключение к провайдеру (WAN Miniport (L2TP)), теряет над ним контроль и так и остается без интернета. Запускаешь подключение руками - и все становится ок.
Еще в логах обнаруживается запись о том, что при запуске не получилось прописать один из десяти маршрутов (который в списке, кстати, первым стоит), хотя на самом деле маршрут прописывается.
Есть подозрение, что Kerio просто слишком рано запускается.
В связи со всем этим возникла идея: а можно ли как-нибудь отложить старт службы Kerio, хотя бы секунд на 30?

Проблема с kerio VPN.
Активировал VPN в керио, скачал клиента ни машину с сайта. Есть основная подсеть: 192.168.0.*, керио vpn висит на 192.168.2.*
Клиент (в настоящее время admin подключается по vpn нормально, пингует vpn сервер, а вот сеть не видит!
Правило для VPN есть (интернет-интерфейсы-брандмауэр-служба vpn-разрешить). Но ни пинги, ни видимость сети не проходят. Где копать???
Windows server 2008 r2 sp1.

Спасибо!

Klopikmoscow


Цитата:

интернет-интерфейсы-брандмауэр-служба vpn-разрешить

Включите логику. Вам нужно пропустить пакеты в сеть? Сделайте правило в сеть...
Учтите, что ответное тоже должно быть.


1. VPN клиенты - LAN - разрешить
2. LAN - VPN клиенты - разрешить
_________

Ах да, и про маршрутизацию не забудьте - у Вас разные подсети.

Drents
2 варианта - отключить ipv6 (снять галку с подключения до провайдера на протоколе), либо nnCron (для рестарта службы).

progmike
такое правило есть. Само было добавлено керио.
Там vpn-клиенты и все vpn-туннели туда-обратно...

Добавлено:
может что-то надо в транслитерации ставить?

Имею следующую беду - Kerio Control SA 7.3.2 patch 1 build 4502, куча пользователей, ip прописаны, вроде как должны авторизоваться молча.

Принудительная авторизация отключена, так как если ее включить с пользователей начинает требоваться логин/пароль


В результате:

и


То есть получается нет прозрачной авторизации по IP, трафик не считается по пользователям - либо на неопознаных юзерей, либо на Admin'а насчитывается.

Предожидая справедливые какашки в мой адрес сразу отвечу: Да, я понимаю что у мну руки кривые, поэтому и пришел сюда просить совета и помощи в их выравнивании.

Raven_kg
1.Птицу "всегда требовать ... при доступе..." поставьте.
2. В правилах трафика используйте в качестве источника "аутентифицированные пользователи " или вручную созданные группы юзеров, но не интерфейс или группу IP.
И все будет считаться. А сейчас Вы сами разрешили ходить без аутентификакции и хотите,
что бы керио "угадал" пользователя.

za4emperm
Спасибо! Я поступил немного проще - перевел службу Kerio в ручной запуск, а в Планировщик засунул "net start winroute" спустя 60 секунд после включения машины (там системный диск - SSD, все запускается быстро).
Был вариант перевести саму службу на автоматический отложенный запуск, но тогда она реально начнет запускаться позже всех (время не регулируется), даже после программ в папке "Автозагрузка" (сужу по службе Intel Rapid, которая по дефолту с таким типом запуска прописыватся) - а это нежелательно, потому что в автозагрузке там кое-какой софт, которому нужен интернет, и из-за него включен автологон.

Только вот не понял - как IPv6 в интерфейсе/подключении может поменять скорость запуска Kerio?

Raven_kg
Обязательно поставить галку "Всегда требовать авторизацию...." - и будет всем счастье.

Итак, галку поставил, убрал подсетки, оставил только кучку пользователей в источниках. После ребута шлюза наконец-то начали авторизовываться пользователи.

Теперь на первое место вылезла вторая проблема - кривой учет трафа по пользователям. Так и насчитывает на неопознаных юзеров.

И кстати, когда внешние по сути соединения в "Активных соединениях" классифицируются типом "Локальные подключения" это нормально?

Yaromaxx

Цитата:

авторизацию...."

В терминологии нашего "админского" контекста это именно "аутентификация", а "авторизация" нечто иное.
http://ru.wikipedia.org/wiki/%D0%9F%D1%80%D0%BE%D1%82%D0%BE%D0%BA%D0%BE%D0%BB_AAA

Цитата:

И кстати, когда внешние по сути соединения в "Активных соединениях" классифицируются типом "Локальные подключения" это нормально?

нет, не нормально, это значит, что у тебя есть лишний шлюз указанный на локальном сетевом соединении.

wwladimir
согласен, писал по памяти - поэтому и ошибся. В свое время намучался с учетом трафика, теперь проще.

Всем привет.
Кто-нибудь может объяснить мне логику работы этой программы. ?
Стоят дефолтные правила. Ничего не запрещено. На машине с kerio разрешен выход к любым службам в инете.



Но, если на этой же машине создать впн клиента, который будет подрубаться к серверу впн, находящимся в инете и работающем на под kerio с виндой, а под linux, то полная ж.
Дело доходит до проверки пароля и логина и на этом все дохнет.
Отрубаешь керио и все ок.

По гуглу такую тему искать бестолку. Все далдонят про впн, который от самого керио.

dariusii
Вероятно нужно разобраться, что такое NAT и как он влияет на заголовки пакетов идущих
в VPN туннель.
Погуглите по NAT-T.

http://www.redline-software.com/rus/support/docs/winroute/ch11s07.php

wwladimir

Ну и получается, что kerio не умеет nat traversal, если гуглить.
По гуглу море академизма и ни одного практического, или наводящего на практические мысли, варианта.

та ссылка, что вы дали - конечно, спасибо, но, как уже и говорил - все разрешено на выход.
Ради интеерса, конечно создал такое правило, но не то. На проверке логина/пароля все равно все останавливается.

Господа, может кто сталкивался с такой проблемой.

Запустил локальный веб сервер для обновления Софоса.
ОС Server 2008 R2.
Всё работает, пока не привяжешь к сайту HTTPS (порт 443) - а он как раз и нужен Софосу.
При запуске выдаёт вот такое:
"Процесс не может получить доступ к файлу так как этот файл занят другим процессом (исключение из HRESULT 0x80070020)"
(Про исчерпывающую информативность той диагностики я вообще молчу)

Следуя инструкциям отсюда:
http://www.q2w3.ru/2010/05/08/1673/
я откопал, что порт 443 использует сам Керио.

И что с этим теперь делать???

dariusii

В старой версии была отдельная птица для нат-т.
Теперь (судя по документации) керио сам это детектит.

Есть в консоли такой журнал - debug.
По правой кнопке - "сообщения", ставите птицы. Смотрите какие пакеты и по каким причинам дропнуты.
И лучше создать по конкретным портам (например протокол IPSEC ) отдельное правило с "регистрировать пакеты", это дает возможность помониторить происходящее.
В худшем случае есть мапинг портов и "конусный" нат.

fhorse

Привязывай 443 к разным интерфейсам.
Для локального обновления достаточно привязки 443 к интерфейсу 127.0.0.1
Сайт привязывается на 443 внешнего интерфейса

coder666
Да, я пробовал к разным интерфейсам привязывать, и к 127.0.0.1 тоже. Не помогло.
А сейчас сервер перезапустил, и заработало. ХЗ, что там твориться.

Может, надо, чтобы Керио стартовал после сайта? Но как это сделать?

dariusii

Цитата:

впн клиента

vpn чей, кериотский?