Доброе время суток. Подскажите кто в курсе...в комплект поставки Kerio Connect 7 входит плагин Kerio web filter или он приобретается к нему отдельно?
» Kerio Control (ex Kerio WinRoute Firewall)
Скажите кто-то следит за этой страничкой на вики ? Kerio Control
stoun
Приобретается отдельно, как отдельный программный продукт.
А потом прикрепляется к базовой лицензии на Control.
Приобретается отдельно, как отдельный программный продукт.
А потом прикрепляется к базовой лицензии на Control.
Немного варезный вопрос....просто в смежной ветке не отвечают....если паленый керио к нему подцепится ли kerio webfilter?
stoun
Ключ веб-фильтра прикрепляется к основной лицензии на керио, которая естественно так же должна быть куплена.
Ключ веб-фильтра прикрепляется к основной лицензии на керио, которая естественно так же должна быть куплена.
Народ, кто перешел с шестерки на семерку, опишите пож. ощущения, баги, или подскажите где это уже обсуждалось....
Народ помогите с финишированием в настройке VPN.
Локальная сеть: 192.168.1.0
Адреса присваеваемые VPN клиентам из сети: 192.168.2.0
В Керио VPN вроде бы настроил, работает. Могу зайти на комп с установленным Керио, постучавшись как по адресу 192.168.1.1 (адрес интерфейса этого сервера смотрящий в локальную сеть) так и по адресу VPN адаптера, но не получается зайти на другие компы этой локальной сети.
основная цель чтобы удаленный пользователь, подключившись через ВПН мог работать с удаленной сетью, как с обычной локальной, видел все компы локальной сети, находящейся за Керио.
Локальная сеть: 192.168.1.0
Адреса присваеваемые VPN клиентам из сети: 192.168.2.0
В Керио VPN вроде бы настроил, работает. Могу зайти на комп с установленным Керио, постучавшись как по адресу 192.168.1.1 (адрес интерфейса этого сервера смотрящий в локальную сеть) так и по адресу VPN адаптера, но не получается зайти на другие компы этой локальной сети.
основная цель чтобы удаленный пользователь, подключившись через ВПН мог работать с удаленной сетью, как с обычной локальной, видел все компы локальной сети, находящейся за Керио.
Kerio control 7.0.1, после обновления snort до 1.41 в логе безопасности винроута полезли массаги вида
[20/Nov/2010 07:51:33] IPS: Alert, severity: -, Rule ID: 1:2011408 Unknown Rule ID, proto:UDP, ip/port:192.168.1.11:61427 (saturn.domain.local, user:saturn) -> 195.28.48.65:53
[20/Nov/2010 07:51:33] IPS: Alert, severity: -, Rule ID: 1:2011408 Unknown Rule ID, proto:UDP, ip/port:192.168.1.15:58779 (ablsrv.domain.local, user:ablsrv) -> 195.28.48.65:53
сие есть один из dns провайдера.
вопрос: что он видит в безобидных днс запросах?
[20/Nov/2010 07:51:33] IPS: Alert, severity: -, Rule ID: 1:2011408 Unknown Rule ID, proto:UDP, ip/port:192.168.1.11:61427 (saturn.domain.local, user:saturn) -> 195.28.48.65:53
[20/Nov/2010 07:51:33] IPS: Alert, severity: -, Rule ID: 1:2011408 Unknown Rule ID, proto:UDP, ip/port:192.168.1.15:58779 (ablsrv.domain.local, user:ablsrv) -> 195.28.48.65:53
сие есть один из dns провайдера.
вопрос: что он видит в безобидных днс запросах?
Доброе время суток. Сейчас в пробном режиме работы по факту получается 1 пользователь admin и не зарегистрированные пользователи, тк аутентификация для подключения к интернету не требуется для пользователей....в основном просмотр что пользователь делает происходит через меню "активные подключения", вопрос...будет ли достаточно 5 пользовательской лицензии для kerio и модуля kerio webfilter для управления в таком виде?
P.S. Заранее благодарен.
P.S. Заранее благодарен.
Romeo_sh
Цитата:
что то в этом роде у меня и настроено...
сайты соц сети блокирует на ура,но.....
есть руководство которое в инете читает газеты, новости (например газета комерсант)
так там в некоторых статьях есть гиперссылка на одноклассники или вконтакт
так керио эти новости так же и блокирует
Цитата:
Sergey16rus
Так работает?
что то в этом роде у меня и настроено...
сайты соц сети блокирует на ура,но.....
есть руководство которое в инете читает газеты, новости (например газета комерсант)
так там в некоторых статьях есть гиперссылка на одноклассники или вконтакт
так керио эти новости так же и блокирует
Sergey16rus
Поэтому Ваш Керио и блокирует
Цитата:
stoun
Должно хватить - доп. лицензии на пользователей нужны на подключение по VPN, а если они просто выходят в Интернет, как в Вашем случае, доп. лицензии не требуются. С веб-фильтром, по идее, если пользователи не авторизуются, то это они все идут как один пользователь и доп. лицензий тоже не нужно, но лучше позвоните напрямик в керио в отдел продаж и задайте этот вопрос - они знают )
utp_ss
В правило Локальный трафик нужно добавить и в Источник и в Назначение "Доверенный/Локальный"
Поэтому Ваш Керио и блокирует
Цитата:
что то в этом родеотносящееся к одноклассникам. Сначала отключите все правила и попробуйте то которое я написал - на моем керио с ним ничего лишнего не блокировалось.
stoun
Должно хватить - доп. лицензии на пользователей нужны на подключение по VPN, а если они просто выходят в Интернет, как в Вашем случае, доп. лицензии не требуются. С веб-фильтром, по идее, если пользователи не авторизуются, то это они все идут как один пользователь и доп. лицензий тоже не нужно, но лучше позвоните напрямик в керио в отдел продаж и задайте этот вопрос - они знают )
utp_ss
В правило Локальный трафик нужно добавить и в Источник и в Назначение "Доверенный/Локальный"
Romeo_sh
Цитата:
сделал все как как вы написали, но....
вот для примера ссылка (ее у меня блокирует)
_http://www.kommersant.ru/doc.aspx?fromsearch=51dbe4d3-82dd-4dc6-abfd-c4ee6016f1d2&docsid=1541098
в самом низу сторка:
Поместить ссылку в .... а там значки одноклассники, фэйсбук... и т.д.
Цитата:
Сначала отключите все правила и попробуйте то которое я написал - на моем керио с ним ничего лишнего не блокировалось.
сделал все как как вы написали, но....
вот для примера ссылка (ее у меня блокирует)
_http://www.kommersant.ru/doc.aspx?fromsearch=51dbe4d3-82dd-4dc6-abfd-c4ee6016f1d2&docsid=1541098
в самом низу сторка:
Поместить ссылку в .... а там значки одноклассники, фэйсбук... и т.д.
В керио 7.x появился раздел Предотвращение вторжений, в нем есть функция обновления подписей и черных списков. Вопрос: Это припочка WebFiltra или отдельная функция. И видел ли кто способ задействовать это обновление?
ЗЫ: Заранее спасибо.
ЗЫ: Заранее спасибо.
Подскажите сейчас в Kerio Control имеется веб-адмимнка?
Prot_XT
_https://your.firewall:4081/admin/
_https://your.firewall:4081/admin/
спасибо
Сразу оговорюсь - всю ветку не перечитывал и очень надеюсь, что кто-то может правильно ткнуть носом.
В общем - вопрос такой. Можно ли как-то средствами Керио или сторонними утилитами контролировать объем трафика пользователей?
Идея такая - есть некоторые ресурсы, которые у пользователей должны работать всегда, а остальные - пока у пользователя есть остаток на квоте. В биллинге это могло бы выглядеть как нулевая стоимость трафика на некоторые ресурсы, но Керио не предоставляет возможность биллинга.
Проблема еще и в том, что нельзя не считать трафик совсем (тоесть общий объем трафика должен быть известен).
Вариант с тем, что пользователь сма ручками переключается на другой логин не предлагать - у меня не хватит терпения объяснить всем своим пользователям что и как делать
. Решение, если оно есть, должно быть серверным
В общем - вопрос такой. Можно ли как-то средствами Керио или сторонними утилитами контролировать объем трафика пользователей?
Идея такая - есть некоторые ресурсы, которые у пользователей должны работать всегда, а остальные - пока у пользователя есть остаток на квоте. В биллинге это могло бы выглядеть как нулевая стоимость трафика на некоторые ресурсы, но Керио не предоставляет возможность биллинга.
Проблема еще и в том, что нельзя не считать трафик совсем (тоесть общий объем трафика должен быть известен).
Вариант с тем, что пользователь сма ручками переключается на другой логин не предлагать - у меня не хватит терпения объяснить всем своим пользователям что и как делать
. Решение, если оно есть, должно быть сервернымAskTosh
Есть такая вкладка - Исключения
http://manuals.kerio.com/control/adminguide/en/sect-statssetup.html
Там и можно настроить список узлов, на которые пользователям можно ходить всегда.
AdmDiks
Это функция Контрола. Она обновляет базы из инета с серверов керио. У меня она работает, т.к. керио честно куплен, а если он пиратский, то и обновить врядли получится.
Есть такая вкладка - Исключения
http://manuals.kerio.com/control/adminguide/en/sect-statssetup.html
Там и можно настроить список узлов, на которые пользователям можно ходить всегда.
AdmDiks
Это функция Контрола. Она обновляет базы из инета с серверов керио. У меня она работает, т.к. керио честно куплен, а если он пиратский, то и обновить врядли получится.
Вышел Kerio Control 7.1.0 RC1
http://eu.download.kerio.com/dwn/beta-control/kerio-control-whql-7.1.0-1462-r1-win32.exe
http://eu.download.kerio.com/dwn/beta-control/kerio-control-whql-7.1.0-1462-r1-win32.exe
Romeo_sh
Если я не ошибаюсь - это список адресов, которые не накручивают счетчик трафика и при нулевом остатке квоты они тоже не будут доступны ... да и из общей статистики этот трафик теряется, а его необходимо учитывать - для компании он-то не бесплатный
Если я не ошибаюсь - это список адресов, которые не накручивают счетчик трафика и при нулевом остатке квоты они тоже не будут доступны ... да и из общей статистики этот трафик теряется, а его необходимо учитывать - для компании он-то не бесплатный
AskTosh
При нулевой квоте эти сайты все равно будут доступны, судя по мануалу. Ну из статистики ты конечно теряешь этот трафик. Но можешь воспользоваться, например IAM for Kerio и там тебе покажет общий трафик.
При нулевой квоте эти сайты все равно будут доступны, судя по мануалу. Ну из статистики ты конечно теряешь этот трафик. Но можешь воспользоваться, например IAM for Kerio и там тебе покажет общий трафик.
Всем привет!
У меня такой вопрос...по WinRoute...Дано:
1. комп, сервер, WinXP SP3 патченный TSFree (для доступа терминалом, аля Win2003), и заведенными на нем пользователями удаленного рабочего стола (2-3 штуки).
2. комп, рабочая станция, WinXP SP3, подключается к компу №1 через удаленный доступ к рабочему столу (терминальный клиент 5.1).
На ПК1 ("сервер") установлен антивирь НОД4, групповые политики настроены т.о. что лимиты и ограничения по времени отключены полностью, включена проверка на активность пользователей (1 раз в минуту), также он имеет доступ в инет (чтоб удаленно подключаться), стандартный фаерволл включен только на инет, с соответствующим указанием портов для доступа.
При таком режиме работы, при подключении клиентов к серверу, все работает нормально, никаких проблем, они могут сворачивать свои терминалы (программы для подключения к серверу), и в любой момент времени в течении дня, его развернуть и продолжить работу на сервере, без необходимости переподключения, и нет зависаний при простое.
Теперь ставим WinRoute 7 (пробовал и 7.0.0 Build 896 и 7.0.1 Build 1098). Настроена политика для полного доступа из локалки, и открыты порты из инета, для удаленного доступа (IGMP и прочие протоколы для интернета отключены).
Ситуация меняется, и не в лучшую сторону:
Клиенты также могут подключаться к серверу, но, при сворачивании клиента подключения, и простое примерно от 30-60 минут (причем это не удается точно выловить, может час работать, а может каждые 20 минут вылетать) происходит отключение, т.е. при разворачивании клиента терминалов на экране черный фон, примерно через 15-20 секунд появляется уже синий фон рабочего стола (без ярлыков и панели задач), еще через секунд 30-40 терминал просто обрывает связь и приходится переподключаться.
Есть идеи, мысли, подсказки ?
У меня такой вопрос...по WinRoute...Дано:
1. комп, сервер, WinXP SP3 патченный TSFree (для доступа терминалом, аля Win2003), и заведенными на нем пользователями удаленного рабочего стола (2-3 штуки).
2. комп, рабочая станция, WinXP SP3, подключается к компу №1 через удаленный доступ к рабочему столу (терминальный клиент 5.1).
На ПК1 ("сервер") установлен антивирь НОД4, групповые политики настроены т.о. что лимиты и ограничения по времени отключены полностью, включена проверка на активность пользователей (1 раз в минуту), также он имеет доступ в инет (чтоб удаленно подключаться), стандартный фаерволл включен только на инет, с соответствующим указанием портов для доступа.
При таком режиме работы, при подключении клиентов к серверу, все работает нормально, никаких проблем, они могут сворачивать свои терминалы (программы для подключения к серверу), и в любой момент времени в течении дня, его развернуть и продолжить работу на сервере, без необходимости переподключения, и нет зависаний при простое.
Теперь ставим WinRoute 7 (пробовал и 7.0.0 Build 896 и 7.0.1 Build 1098). Настроена политика для полного доступа из локалки, и открыты порты из инета, для удаленного доступа (IGMP и прочие протоколы для интернета отключены).
Ситуация меняется, и не в лучшую сторону:
Клиенты также могут подключаться к серверу, но, при сворачивании клиента подключения, и простое примерно от 30-60 минут (причем это не удается точно выловить, может час работать, а может каждые 20 минут вылетать) происходит отключение, т.е. при разворачивании клиента терминалов на экране черный фон, примерно через 15-20 секунд появляется уже синий фон рабочего стола (без ярлыков и панели задач), еще через секунд 30-40 терминал просто обрывает связь и приходится переподключаться.
Есть идеи, мысли, подсказки ?
Romeo_sh
Ok. Спасибо - надо будет подумать над этим
Тут еще один вопрос появился:
В сети отсутсвует контроллер домена. Но, в связи с объединением офисов, очень бы хотелось, чтобы локальные компьютеры одного офиса были доступны из другого по комбинации "имя компьютера"."имя домена"
На сколько я понял - такую возможность можно реализовать, используя встроенный в керио DNS сервер ... вот только получилась такая затыка - указываю имя домена на вкладке "Переадресация DNS" в поле "При получении имени из файла хоста или таблицы аренды комбинировать ...". И никак не получается увидеть те компьютеры, которые получают адрес по DHCP (если хост прописан в файле хоста - все работает замечательно и находится).
Пробовал через настроки DHCP передавать имя домена хостам - получаю ту же петрушку:
nslookup computer.sub.lan
Server: proxy.sub.lan
Address: 10.xxx.xxx.xxx
*** No address (A) records available for computer.sub.lan
выполняю эту команду, что из удаленной сети, что из локальной - все одинаково. По прямому имени хоста без домена из локальной сети все работает, но они могут повторяться в разных сетях
. Да и параметры пересылки тогда не получится поднять ...
Кто-нить сталкивался с подобным головняком?
Ok. Спасибо - надо будет подумать над этим
Тут еще один вопрос появился:
В сети отсутсвует контроллер домена. Но, в связи с объединением офисов, очень бы хотелось, чтобы локальные компьютеры одного офиса были доступны из другого по комбинации "имя компьютера"."имя домена"
На сколько я понял - такую возможность можно реализовать, используя встроенный в керио DNS сервер ... вот только получилась такая затыка - указываю имя домена на вкладке "Переадресация DNS" в поле "При получении имени из файла хоста или таблицы аренды комбинировать ...". И никак не получается увидеть те компьютеры, которые получают адрес по DHCP (если хост прописан в файле хоста - все работает замечательно и находится).
Пробовал через настроки DHCP передавать имя домена хостам - получаю ту же петрушку:
nslookup computer.sub.lan
Server: proxy.sub.lan
Address: 10.xxx.xxx.xxx
*** No address (A) records available for computer.sub.lan
выполняю эту команду, что из удаленной сети, что из локальной - все одинаково. По прямому имени хоста без домена из локальной сети все работает, но они могут повторяться в разных сетях
. Да и параметры пересылки тогда не получится поднять ... Кто-нить сталкивался с подобным головняком?
AskTosh
Просто
Код: nslookup computer
Просто
Код: nslookup computer
Доброе время суток. Возник вопрос такого характера, реально ли заблокировать пользователям канал использования skype и агента mail.ru.... скайп работает вообще не понятно в обход керои....а агент майл использует http протокол(
Romeo_sh
Из локальной сети все зашибись выдает. Из удаленной выдает тоже самое, но там причина в другом - нет переадресации на ДНС удаленного узла
stoun
Агент коннектится на адреса вида mrim*.mail.ru по HTTPS - их и можно перекрыть или перенаправить "в воздух", чтобы типа это не ты виноват
Про скайп попробуй поискать здусь http://kerio-rus.ru/forum/forumdisplay.php?f=302 - что-то такое встречал уже, но сходу найти не могу
Из локальной сети все зашибись выдает. Из удаленной выдает тоже самое, но там причина в другом - нет переадресации на ДНС удаленного узла
stoun
Агент коннектится на адреса вида mrim*.mail.ru по HTTPS - их и можно перекрыть или перенаправить "в воздух", чтобы типа это не ты виноват
Про скайп попробуй поискать здусь http://kerio-rus.ru/forum/forumdisplay.php?f=302 - что-то такое встречал уже, но сходу найти не могу
подскажите, можно ли изменить таймаут обновления статистики web-интерфейса (https://kerio.mydomen:4081) или как это обновление сделать принудительно?
Подскажите как предотвратить это?
Керио блокирует некоторые пакеты с другого Керио, через которого ВПН-клиенты подключаются
Код:
[24/Nov/2010 15:18:38] DROP unknown ICMP packet to Локальная сеть, proto:ICMP, len:88, ip:192.168.0.3 -> 192.168.0.1, type:5 code:0 (redirect=192.168.0.2 orig: 192.168.0.1 -> 172.16.0.4)
Керио блокирует некоторые пакеты с другого Керио, через которого ВПН-клиенты подключаются
Код:
[24/Nov/2010 15:18:38] DROP unknown ICMP packet to Локальная сеть, proto:ICMP, len:88, ip:192.168.0.3 -> 192.168.0.1, type:5 code:0 (redirect=192.168.0.2 orig: 192.168.0.1 -> 172.16.0.4)
ErshKUS
http://manuals.kerio.com/control/adminguide/en/sect-star-login.html
В самом низу. В мануале написано, что обновление статистики стар обрабатывает большие количества данных и происходит раз в час. Как менять этот интервал обновления в документации не сказано.
anticoors
Есть запрещающие политики на ICMP?
Пинги то вообще проходят от этих впн клиентов?
AskTosh
Вообще странно. Ты все правильно настроил и странно что не работает. Много компьютеров в сети? Может все же стоит посмотреть в сторону АД?
http://manuals.kerio.com/control/adminguide/en/sect-star-login.html
В самом низу. В мануале написано, что обновление статистики стар обрабатывает большие количества данных и происходит раз в час. Как менять этот интервал обновления в документации не сказано.
anticoors
Есть запрещающие политики на ICMP?
Пинги то вообще проходят от этих впн клиентов?
AskTosh
Вообще странно. Ты все правильно настроил и странно что не работает. Много компьютеров в сети? Может все же стоит посмотреть в сторону АД?
Romeo_sh
Цитата:
Нет, запрещающих политик нет вообще (кроме нижней дефолтной)
Да пинги от клиентов идут на любую машину,и при этом появляются эти записи DROP.
например
Код: [26/Nov/2010 15:51:28] DROP unknown ICMP packet to Локальная сеть, proto:ICMP, len:88, ip:192.168.0.3 -> 192.168.0.248, type:5 code:0 (redirect=192.168.0.2 orig: 192.168.0.248 -> 172.16.0.4)
Цитата:
Есть запрещающие политики на ICMP?
Пинги то вообще проходят от этих впн клиентов?
Нет, запрещающих политик нет вообще (кроме нижней дефолтной)
Да пинги от клиентов идут на любую машину,и при этом появляются эти записи DROP.
например
Код: [26/Nov/2010 15:51:28] DROP unknown ICMP packet to Локальная сеть, proto:ICMP, len:88, ip:192.168.0.3 -> 192.168.0.248, type:5 code:0 (redirect=192.168.0.2 orig: 192.168.0.248 -> 172.16.0.4)
Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108
Предыдущая тема: Автоматическое удаление папок и файлов старше x дней
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.