» Kerio Control (ex Kerio WinRoute Firewall)

Tihon_one
Кулл, спасибо, заработало.

Только теперь для полного счастья нужно сделать автологин и автологаут.
С автологином проблем нет - написал скриптик

Код: var WSHShell = WScript.CreateObject("WScript.Shell");
    var proc = WSHShell.Exec ("\"C:\\Program files\\Internet Explorer\\iexplore.exe\" \"https://myserver:4081/\"");    
    WScript.Sleep(2000);
    proc.Terminate();

varbasik
извини но я с похмела, могу только обматерить качесвтенно, завтра продолжим.
Но всё работает, кури мануал лучше и всё у тебя получится.

Господа, прошу помощи.
Очень редко (примерно раз в месяц) начинает глючить керио контрол 7.0.1 на Windows x64 2008 R2 EE.
В еррорлоге пишет
(4402) Socket error: Cannot switch destination in HTTP proxy server connection.
При этом у пользователей страницы недоступны, появляются после нескольких обновлений по F5, никакой закономерности не замечено
Рестарт службы Керио не помогает. Выручает только ребут всего сервака.
Кто-нибудь сталкивался? Это решаемо?

faust72rus
Без ната ничего работать не будет.

Все таки есть ли кто нить, у кого на 1 физическом интерфейсе 2 IP и работает ли керио с такой схемой включения? или проще уже вставить еще одну сетевку?

Для некоторых сетевух можно включить Teaming - тогда одна HP сетевуха на BroadCom представляется двумя физическими.

Dis74
В документации чётко написанно использование нескольких адресов
http://manuals.kerio.com/control/adminguide/en/sect-ifparams.html

Цитата:

IP Address and Mask

IP address and the mask of this interface's subnet.

If the more IP addresses are set for the interface, the primary IP address will be displayed. On Windows, the address assigned to the interface as first is considered as primary.

Т.е. у вас из-за ната трафик идёт от первого адреса.


Цитата:

Без ната ничего работать не будет.

Откуда уверенность?

Правила создал? Трафик по ним пошёл? Просто два правила, это ведь не сложно сделать и проверить, правда

varbasik
1. в самом начале списка политик трафика, создайте правило:
источник-доверенные локальные, назначение-интернет, служба-http, действие-разрешить, трансляция-nat

Данное правило даст доступ всем хостам внутри локальной сети доступ к странице авторизации.


2. сразу за ним создайте правило:
источник-авторизованные пользователи, назначение-интернет, служба-список разрешённых служб, действие-разрешить, трансляция-nat.

данное правило даст доступ к сети интернет только авторизованным на шлюзе пользователям.



3. В правилах URL создайте 2 правила в начале списка:
3.1 применить к указанным пользователям(кому разрешён доступ в интернет), для url-*, действие-разрешить

данное правило даст доступ ко всем URL в сети интернет только авторизованным пользователям


3.2 применить ко всем пользователям(галочку не требует авторизации НЕ ставим), для url-*, действие-запретить

данное правило заблокирует не авторизованный доступ к сети интернет.


вот из сапорта керио присылали, говорят в мане всё это есть...

Tihon_one
Спасибо! пока не пробовал... народ работает.

В Керио на вкладе правил HTTP внизу пишет, что некоторые правила не эффективны.
Если ВебФильтр не активирован ,будут ли срабатывать правила URL?

varbasik
Это означает что у Тебя не работает ОранжВебФильтр, НЕ будут работать только ЕГО правила (они отмечены курсивом). Остальные правила отработают штатно.

А как вы настраиваете Kerio для SIB (eyeBeam) ??

есть kerio control 7.0.0 -подскажите как правильн настроить прозрачный прокси?
проиписываю порт у клиента- все норм, траф ходит через прокси, не прописываю - не ходит...

Добавлено:
а также, как сделать что бы пользователи не авторизировались, а статистика велась по ипу\маку (дхцп на керио выдается)

Всем привет...
KWF 6.6.0 build 5729 русская версия установлен на отдельном ПК, используемом в качестве шлюза.
Небольшая сеть примерно 10 ПК...у всех доступ в интернет свободный, IP на ПК прописаны вручную...KWF установлен только для проверки интернет трафика на вирусы. Возникла необходимость запретить доступ одному ПК в интернет, с человеком, который устанавливал KWF не связаться...
Пароль для входа в программу имеется...Я так понимаю необходимо в Политиках трафика добавить правило, указать IP адрес ПК, которому планируется запретить доступ?!
Подскажите если не затруднит, как это делается...

Люди добрые, подскажите где взять лекарство для Kerio Control 7.0.1 Build 1098?

ghostsoul
Шапку нужно читать. Здесь

может все таки кто нибудь подскажет по моему вопросу...как грамотно создать такое правило...с KWF особо не знаком...

dddimmm
Правило
IP ПК -> Internet -> Deny

Ответил на твой вопрос?

faust72rus
большое спасибо...
правило создал, попробовал открыть интернет страничку, вроде интернета нет...пинг не идет
сейчас все выглядит так:

все ли верно?

Повторюсь изначально доступ был открыт для всех...последние два правила я так понимаю разрешают удаленный доступ к серверу radmin, который установлен на шлюзе и utorrent по сети.

dddimmm
По твоей задаче всё ок.

По твоим политикам вопрос в предпоследнем правиле "utorrent" - оно для чего? Есть вероятность что оно для красоты.

faust72rus

Цитата:

По твоим политикам вопрос в предпоследнем правиле "utorrent" - оно для чего? Есть вероятность что оно для красоты.

Может и для красоты...Все эти правила уже были указаны...вроде порты прописаны 51000, честно говоря не знаю для чего...пусть уж висят как есть...Спасибо большое еще раз!

Купил официально лицензию на 5 пользователей.
Чтобы не пользоваться взломщиками можно как-то увеличить кол-во пользователей до 100?

faust72rus

Цитата:

Т.е. у вас из-за ната трафик идёт от первого адреса.

А вот это идея. вечером проверю, но все же нат нужен. только указать надо попробовать явно IP которым НАТить. А иначе куда будет возвращаться ответный пакет, если таблицы NAT не будет существовать?

mrarefiev
Увеличение количества лицензий без их официальной покупки, есть действие напрямую связанное с взломом, потому отношения к теме Программы не имеет! Идите в варезник дорогой! Кстати во сколько вам обошлась эта покупка? На какой слок лицензия и пр. тонкости интересны

Serg0FFan

12000 за 5 пользователей + антивирь. Все это на год.

Это стандартная цена для продавцов, но если поискать можно купить чуть дешевле.

Самое главное, можно набором купить KWF+KMS намного дешевле, а именно за 640 евро с антивирем и за 502 евро без него.

А по отдельности только Kerio Connect (KMS) стоит 500 евро.

-можно удалить

Люди у меня на станции прядка 120 компов использую для роздачи инета Usergate но в ней возникают проблемы с отправкой почты. Может для меня будет лучше установить kerio?

kubrak1985
Вы бы могли уточнить, какого рода проблемы с отправкой почты возникают? А то ситуация неочевидна
И, как следствие, напрашивается ответ "Может быть и лучше"

faust72rus
Спасибо. Действительно дело было в не срабатывающем НАТе.
Сделал правило
WiFI+Home - 172.16.5.0/24 - any - allow - NAT (IP:172.16.5.2)

Поможите, чем можите!

проблема работы с ftp через KWF 6.4.2
соединение проходит успешно, а потом ошибки.
вот лог

Local Address: 192.168.0.26
Установлено соединение с 10.0.245.20 port 21
[700] from 192.168.0.26 port 2304
[700] readline 72 - 72 - 72 220 node-2 FTP server (Version 4.2 Fri Feb 3 22:13:23 CST 2006) ready.

220 node-2 FTP server (Version 4.2 Fri Feb 3 22:13:23 CST 2006) ready.
USER test
[700] readline 33 - 33 - 33 331 Password required for test.

331 Password required for test.
PASS xxxxxx
[700] readline 71 - 71 - 71 230-Last login: Fri Jan 28 16:20:39 CST 2011 on rexec from 10.0.245.1

230-Last login: Fri Jan 28 16:20:39 CST 2011 on rexec from 10.0.245.1
[700] readline 26 - 26 - 26 230 User test logged in.

230 User test logged in.
Не найден "guard" service, будет использовано значение по умолчанию
Установлено соединение с 10.0.245.20 port 7771
[736] readline 9 - 2 - 2 0

[736] Socket closed.
--- Начало цикла пересылки ---
* Проверка изменений в системе
Установлено соединение с 10.0.245.20 port 512
upg2 20101202

[736] Socket closed.
* Передача файлов
* Прием файлов
[736] going to listen 192.168.0.26 port 2304
PORT 192,168,0,26,9,3
[700] readline 61 - 61 - 61 501 IP Address for data destination doesn't match client's.


501 IP Address for data destination doesn't match client's.
[736] remote end didn't understand our port command.
LIST IN/*.MA*
[700] readline 82 - 29 - 29 425 No data connection

425 No data connection
[736] Socket closed.
[736] going to listen 0.0.0.0 port 2307
PORT 192,168,0,26,9,4
[700] readline 64 - 64 - 64 : The type of socket is not supported in this protocol family.

: The type of socket is not supported in this protocol family.
[700] readline 61 - 61 - 61 501 IP Address for data destination doesn't match client's.


501 IP Address for data destination doesn't match client's.
[736] remote end didn't understand our port command.
LIST IN/*.MA*
[700] readline 82 - 29 - 29 425 No data connection

425 No data connection
[736] Socket closed.
[736] going to listen 0.0.0.0 port 2308
PORT 192,168,0,26,9,5
[700] readline 64 - 64 - 64 : The type of socket is not supported in this protocol family.

: The type of socket is not supported in this protocol family.
[700] readline 61 - 61 - 61 501 IP Address for data destination doesn't match client's.

501 IP Address for data destination doesn't match client's.
[736] remote end didn't understand our port command.
LIST IN/*.MA*
[700] readline 82 - 29 - 29 425 No data connection

425 No data connection
[736] Socket closed.
[736] going to listen 0.0.0.0 port 2309
PORT 192,168,0,26,9,6
[700] readline 64 - 64 - 64 : The type of socket is not supported in this protocol family.

: The type of socket is not supported in this protocol family.
[700] readline 61 - 61 - 61 501 IP Address for data destination doesn't match client's.

501 IP Address for data destination doesn't match client's.
[736] remote end didn't understand our port command.
LIST IN/*.MA*
[700] readline 82 - 29 - 29 425 No data connection

425 No data connection
[736] Socket closed.
[736] going to listen 0.0.0.0 port 2310
PORT 192,168,0,26,9,7
[700] readline 64 - 64 - 64 : The type of socket is not supported in this protocol family.

: The type of socket is not supported in this protocol family.
[700] readline 61 - 61 - 61 501 IP Address for data destination doesn't match client's.

501 IP Address for data destination doesn't match client's.
[736] remote end didn't understand our port command.
LIST IN/*.MA*
[700] readline 82 - 29 - 29 425 No data connection

425 No data connection
[736] Socket closed.
QUIT
[700] readline 64 - 64 - 64 : The type of socket is not supported in this protocol family.

: The type of socket is not supported in this protocol family.

zloyzlodey У тебя клиент отдает в команде PORT 192,168,0,26,9,7 локальный адрес 192.168.0.26. Естественно, с таким адресом передача невозможна. Читай здесь:
WAN->LAN MAP (port-mapping) в Kerio Winroute

Kerio Control Software Appliance 7.1.0 Patch 2 - установил на виртуалку XenServer. Раз в сутки зависает мертво. Судя по всему падают не службы керио - а его встроенная операционка. Может кто поскажет куда копать, где можно спросить.

С английским не очень (в смысле писать). Поискал на форумах Керио и КсенСервера глухо - видимо я один такой додумался поставить на Ксен. Кругом сплошное лоббирование ВМваре (вот и керио под них только образы делает).

Суппорт не поможет "К сожалению дополнительных возможностей отладки виртуальных сред. отличных от VMware нет ...".