» Kerio Control (ex Kerio WinRoute Firewall)

2ssa91


Цитата:

Подскажи как включить эти сообщения от политик испектора?

да запросто. заходим в дебаг-лог, в поле где должны быть сообщения тыкаем правой кнопкой, выбираем пункт Сообщения и ставим галочки, какие именно хотим видеть. Там же и есть сообщения от инспектора...

megaboberRx
Читаем здесь по поводу коврика, того, как пользоваться форумом и чем раздел вареза отличается от раздела программ.

доброго дня всем. нат настроен так - from:доверенный/локальный -> интернет. политики http - разрешить избранным группам, потом запретить всем. включен непрозрачный прокси. Авторизация через AD.
суть - когда-то в автозагрузке стояла родная аська с настроенным прокси и паролем, после нее инет был везде. теперь стоит сборка миранды, выходит в инет всегда (в логах ничего, на авторизацию плюет). dropbox не выходит, пока не авторизуешся например в опере (в логи пишет). если прописать прокси в дропбоксе, он сам выходит в инет, а опера нет. если сначала авторизоваться в опере, инет работает везде. без авторизации при попытке открыть сайт выходит окно логина.
так вот. это нормальное поведение? керио разве не привязывает один логин к компьютеру после авторизации? почему без авторизации керио выпускает миранду, и касперский успевает скачать несколько файлов при обновлении?
далее. если нат настроить так - from:группа юзеров -> инет, без авторизации опера висит, окно логина не выходит (на тех вкладках где https, гмайл например). это нормально?
и наконец, чтобы автоматом работало распознавание логина по имени юзера вошедшего в виндовс (AD, повторюсь) надо ставить клиента керио, иначе никак?

OS Win 2008 R2 standart x64
Ram 4 гига
Kerio winroute Firewall 671 patch 2 build 6544
при перезагрузке сервера добавляеться маршруты самый верхний рядочек
почему он появляеться и как его убрать мона навсегда

если оставить все так как есть то статистика по юзерам не отображаеться пока не удалиш самый верхний маршрут

Cosmit
проверьте в настройках керио и в настройках ос наличие щшлюзов по умолчанию на тех сетевых интерфейсах которые не имеют отношения к внешним подключениям.

GOODmen

для начала.. зачем Вам НАТ, если используете непрозрачный прокси? (или наоборот)

потом, о каком клиенте керио Вы говорите? Kerio VPN client? эта программа используется ТОЛЬКО для подключения к VPN и к локальной сети отношения имеет мало
и, нет, для авторизации с использованием АД клиент не нужен

Керио не привязывает имя пользователя АД к хосту - любое имя пользователя из АД может быть использовано на любом комьютере сети но только один раз - одновременно два пользователя с одного хоста не получится

для нормальной работы авторизации АД нужно:

1. разрешить НАТ из Доверенные/Лоакльные в Интернет по протоколу ХТТП
2. разрешить НАТ из Группы юзеров в Интерент по всем остальным нужным протоколам
3. в политиках ХТТП разрешить Группе юзеров выход в нет
4. в политиках ХТТП для Не_авторизованных включить переадресацию на страницу запрета (на этой странице есть кнопочка Авторизоваться - на случай, когда не сработало НТЛМ)
5. в настройках пользователей установить галочки: Требовать авторизации для доступа к ВЕБ и Выполнять авторизацию браузером
6. настроить веб-браузер для использования НТЛМ (эксплорер: добавить имя машины с керио в доверенные, файерфокс: about:config, заполнить параметры по фильтру NTLM, опера: хз)

в результате получим:

если пользователь еще не авторизован, то:
1. никуда и никто с этого компа доступа не получит
2. при попытке открыть любую веб-страницу произойдет переадресация на страницу входа керио. Если авторизация НТЛМ пройдет удачно - вторая переадресация на запрашиваемую страницу. Если нет НТЛМ - страничка с вводом имени/пароля для ручной авторизации.

После этого все получат доступ туда, куда прописано правилами НАТ (второе правило)


Цитата:

нат настроен так - from:доверенный/локальный -> интернет. политики http - разрешить избранным группам, потом запретить всем.
...
почему без авторизации керио выпускает миранду, и касперский успевает скачать несколько файлов при обновлении?

потому, что в Вашем случае НАТ прописан по всем протоколам, а политики ХТТП работают ТОЛЬКО для протокола ХТТП.
Единственное ограничение у Вас - по политикам ХТТП, значит, любой комп из Доверенных/Локальных получит НАТ-доступ по любому другому порту, кроме ХТТП
И только после авторизации политика ХТТП разрешит доступ по ХТТП (ничего не отключив при этом)


Следует учесть, что описанной мной схемой может воспользоваться только браузер. Попытки клиента аськи или миранды на подключение ни к чему не приведут - они не умеют проходить авторизацию НТЛМ и, тем более, выводить окошко со страницей отказа керио.


Если нужно, что бы кто-то или что-то все-же могли пройти авторизацию (та же аська, например), тогда (и только тогда) в керио стоит включить непрозрачный прокси. В аське тем временем, нужно указать адрес прокси, имя и пароль.
В этом случае аська (или миранда) при запуске выдадут керио пароль и, тем самым, авторизуют пользователя для полного доступа к правилу НАТ.

Но я бы так не делал... Вместо этого у меня, например, в доменной политике лежит скрипт входа пользователя в систему (и выхода, соответственно), который при входе запускает скрытое окно эксплорера, авторизуется и закрывается.

Добавлено:
ну и в догонку....

Вопрос, уважаемые:

Kerio Control Software Appliance 7.1.0
в настройках протоколов имеется возможность отсылать сообщения на внешний syslog-сервер

каждый тип сообщений имеет некое значение Severity (уровень критичности), соответственно, sysylog-сервер можно настроить на фильтрацию поступающих сообщений по этому признаку

Например, протокол Alert имеет значение по-умолчанию Severity = 1, HTTP = 6 и т.д.

Хочу использовать syslog-сервер для сбора логов с серверов kerio для дальнейшего анализа, НО
в керио по-умлочанию протоколы HTTP и Connection имеют одинаковый вес = 6 и они на syslog-сервере совершенно не различаются, а значит, валятся в одну кучу
анализу эта куча в результате слабо поддается

Как изменить или разрулить это безобразие?

ЗЫ. Для анализа хотелось бы использовать Internet Access Monitor. Ему для работы нужно два лога: Http и Connection

Добавлено:
Yaromaxx

а каким образом "кэш на таких сайтах отключен" ?

думается мне, проблема в кэше самого керио

окончательно запутался с ДНС.

чтобы доменные машины не ходили куда попало в интернете указал в форварденге ДНС- режектор ру
Поскольку сам не могу ходить куда нужно.. и начальство хочет иметь доступ к определенным сайт, на которые всем остальным нельзя.
Решил на этих локальных машинах указать ДНС провайдера.

теперь имею гемор со входом в домен. это собственно и ожидалось. и несколько достало.

как правильно настроить ДНС для домена через режектор?

varbasik
На мой взгляд тут два выхода, или использовать HTTP полиси в керио вместо реджектора, или поднять еще один ДНС (например на шлюзе, он же не является так же DC, правда?) и на него уже натравить себя и товарищей начальство. В качестве ДНСа можно попробовать бинд под винду.

Доброго всем дня!
Control 7.1p2 установлен на Server 2008R2х64 - работает только прокси. NAT - нивкакую.
Чувстую, проблема именно в 2008R2, а вот где? Неуж то IP6 тут порылся?

Как понимаете, что нат не работает?

Подскажите чего нет в версии 6.7.1 по сравнению с текущей версией? Есть желание перейти на более старую но вот что из функционала пропадет?

Tihon_one

Цитата:

проверьте в настройках керио и в настройках ос наличие щшлюзов по умолчанию на тех сетевых интерфейсах которые не имеют отношения к внешним подключениям.

проверил !!!
все шлюзы указаны как на картинках - тоесть указан тока шлюз 192,168,100,1 для модема и все

freewood
Ну, если Браузер(ICQ) без прокси наружу не ходит, значит не работает

Cosmit
не тормозите, проверьте в кфг файле в разделе interfaces наличие шлюзов на интерфейсах, если есть там где не должно быть то измените на 0,0,0,0, заодно проверьте что в таблице маршрутизации нет никаких доп статических маршрутов.

Приветствую всех.
Помогите разобраться со сл. проблемой. на отдельно стоящей машине установлен Kerio Control Appliance 7.1.0 Build 1694, Patch 2. Компьютер планируется использовать как прокси сервер (1 сетевая карта), располагается внутри сети.
При попытке присоединения к домену выдает ошибки что не находит DC просит ввести IP адрес. после ввода IP адреса выдает: ошибка при подключении к домену: Cannot resolve domain controller.
Если ставить галочку на Использовать базу данных пользователей домена, и вводить уч. запись с правом чтения каталога, то выдает ошибку: Ошибка Active Directory/LDAP: Connect error.

Подскажите что я делаю не так ? Или что упустил ?

PS. DC - Windows 2008. Управляется извне.

Спасибо заранее.

вопрос спецам.
если на сервере установлен Kerio Control, а юзеры используют cleartext протоколы как например http. он будет записывать логины и пароли в логах?

F44
Вообще-то должно быть 2 сетевых интерфейса
Один в локальную сеть, а другой в Интернет

Добавлено:
bugmenot121
нет не будет

F44
не работает продукт с одним сетевым интерфейсом.

Господа появились траблы с керио:
1. Вырубился кэш, и больше не поднимается... несмотря на то, что указан размер кэша, в нем по прежнему ничего не появляется
2. Вырублися веб-фильтр, в логах warning ничего нет, но и фильтрации нет.

Привожу скрины, может кто нить поможет, а то как все правила вбивать по новой не гуд

[img] [/img]
[img] [/img]
[img] [/img]
[img] [/img]

err_err
фиг знает что там с фильтром, если лицензия пиши в поддержку им.

С кешем, попробуй запустить дистрибутив твоей версии в режиме исправления установки?

Tihon_one
в кфг файле в разделе interfaces все проверил

а как проверить маршрутизацию ???

Цитата:

err_err
фиг знает что там с фильтром, если лицензия пиши в поддержку им.

С кешем, попробуй запустить дистрибутив твоей версии в режиме исправления установки?

ставил вообще с нуля, с сохранением конфига ... результат 0...
после переустановки ни кэш ни фильтр не заработал...
а саппорт писать... с учетом того что я пришле из варезника ну как то наверное неправильно =)

Cosmit
выложи сюда результаты ipconfig /all и route print с сервера Control

Собираюсь переходить с версии 6,2,3 на версию 6,7 или выше. Имеется 6 впн тунелей все настроено и работает. Подскажите алгоритм перехода чтобы не потерять сертификат машины и прочее... Кто как переходил и что бекапил на всякий случай ?
Заранее спасибо.

-del

Sorenkzn
Если не ошибаюсь, то с версии 6.2.3 на 6.7 грейдится с полным сохранением всей конфигурации и работоспособности. А с 6.7 уже можно и на более поздние грейдиться.
err_err
Как вариант посмотреть что там собственно с файлом кэша происходит.

Cosmit
ну вот теперь внимательно смотрите на таблицу маршрутизации, вас не смущает?



Добавлено:
0.0.0.0 0.0.0.0 192.168.100.1 192.168.100.33 4245
0.0.0.0 0.0.0.0 On-link 193.108.249.208 21

Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 192.168.1.1 По умолчанию

Tihon_one

ну и как удалить маршрут ??
и нужно удалять тока постоянные или все три указаные ??

Cosmit
для работы с маршрутами служит команды route, изучайте.

Проблема у вас из-за этого. А какой интерфейс у вас куда смотрит, это уже вам лучше знать.

Есть машина, на ней 2 сетевые - 2 провайдера. Оба с внешними адресами. В керио ставлю балансировку нагрузки, и у провайдера "Y" пропадает шлюз. И вся скорость упирается в возможность провайдера "Х". Если отключу провайдер "Х", у "Y" шлюз появляется, инет так же есть.

Сразу говорю, я не понимаю ничего в маршрутах. Мне кажется дело в них, хз.

Вопрос мой можно интерпретировать по разному, учитывая, что я 1й раз в глаза вижу Керио:
- как заставить работать оба провайдера?
или
- можно ли получить 200мбит в торрентах? (100 + 100)

Win 7 x64
Kerio Control 7.1.0

Все скрины:
http://img684.imageshack.us/img684/9261/44473380.jpg
http://img690.imageshack.us/img690/4118/67152944.jpg

[more=маршруты]1...........................Software Loopback Interface 1
12...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
14...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2
17...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #3
18...00 00 00 00 00 00 00 e0 Адаптер Microsoft 6to4
19...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
44...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #4
================================================== =========================

IPv4 таблица маршрута
================================================== =========================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 94.76.68.1 94.76.68.9 20
91.198.175.64 255.255.255.192 On-link 91.198.175.74 276
91.198.175.74 255.255.255.255 On-link 91.198.175.74 276
91.198.175.127 255.255.255.255 On-link 91.198.175.74 276
94.76.68.0 255.255.255.0 On-link 94.76.68.9 276
94.76.68.9 255.255.255.255 On-link 94.76.68.9 276
94.76.68.255 255.255.255.255 On-link 94.76.68.9 276
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 91.198.175.74 276
224.0.0.0 240.0.0.0 On-link 94.76.68.9 276
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 91.198.175.74 276
255.255.255.255 255.255.255.255 On-link 94.76.68.9 276
================================================== =========================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 91.198.175.65 По умолчанию
0.0.0.0 0.0.0.0 94.76.68.1 По умолчанию
0.0.0.0 0.0.0.0 91.168.175.65 По умолчанию
================================================== =========================

IPv6 таблица маршрута
================================================== =========================
Активные маршруты:
Метрика Сетевой адрес Шлюз
18 1125 ::/0 2002:c058:6301::c058:6301
1 306 ::1/128 On-link
19 58 2001::/32 On-link
19 306 2001:0:4137:9e76:14a5:2979:a1b3:bbf6/128
On-link
18 1025 2002::/16 On-link
18 281 2002:5bc6:af4a::5bc6:af4a/128
On-link
18 281 2002:5e4c:4409::5e4c:4409/128
On-link
13 276 fe80::/64 On-link
20 276 fe80::/64 On-link
19 306 fe80::/64 On-link
19 306 fe80::14a5:2979:a1b3:bbf6/128
On-link
20 276 fe80::5c76:5e01:d0d6:9f36/128
On-link
13 276 fe80::fdeb:490f:bdf8:de2c/128
On-link
1 306 ff00::/8 On-link
19 306 ff00::/8 On-link
13 276 ff00::/8 On-link
20 276 ff00::/8 On-link
================================================== =========================
Постоянные маршруты:
Отсутствует[/more]