» Kerio Control (ex Kerio WinRoute Firewall)

lola21ru
короче пости скрины правил трафика\конфигурации интерфейсов в консоли керио(детально каждый интерфейс и общую страницу)\и на всякий случай таблицу маршрутизации.

Проблему частично решил отключив инспектор протокола в ТП
Спасибо Tihon_one

Сейчас скорость скачки через фтп стала нормальной и чуток меньше нагружает, но все равно многовато.

Для своих друзей еще организовал доступ в интернет через VPN сервер Керио
Вот когда качают через VPN со скоростью 5-10 МБайт\с вот тогда Керио прилично нагружает процессор. Подозреваю это из-за шифрования. Можно его как-то отключить? В этом не нуждаемся.

Или можно раздавать друзьям свой интернет без VPN сервера?
Они находятся в другой подсети (тоесть их шлюз - маршрутизатор провайдера).
Я попробовал в ТП создать правило NAT (источник - ip адреса тем кому раздаю, назначение- интерфейс интернет), у клиентов с которыми хочу поделится своим инетом прописываю маршруты 0.0.0.0/128.0.0.0 и 128.0.0.0/128.0.0.0, где в качестве шлюза указываю Керио.

Но у друзей интернет не фурычит
Что делаю не так?

При установке Kerio Control 7.1.2.2333 вываливается ошибка 28202. Винда 7 только что установленная. На компе только один пользователь, Администратор, с него и идет установка(также пробовал "Запустить от имени администратора", один фиг). Антивирус/фаервол отключены. В чем может быть проблема?

Подскажите, что нужно нажать что бы свернуть консоль керио и получить консоль линукса?

hard3d
Alt-F2 или Ctrl-Alt-F2

Доброго времени суток!
Возникла проблема с Kerio Control VMware Virtual Appliance 7.1.2.2333
Cкачал с офф сайта виртуальную машину, развернул её на VMware Server 2.0
Вроде всё ништяк, НО возник неприятный глюк:
Так как компания где я работаю не маленькая, естественно имеется несколько (три) интернет каналов. настроил лоад балансинг, всё в ажуре.
В серверной оборудована стойка с патч панелью и 5ю свичами. всё оборудование в серверной подключено к 1 свичу, включая сам сервер с виртуальной машиной керио.
Остальные свичи глядят в локальную сеть предприятия.
наблюдается следующая картина: Если пропинговать сервер с керио-апп с компов которые стоят в серверной (соответственно они все включены в 1 свич вместе с сервером керио) то пинг проходит на ура, работает веб консоль и все вкусности.
Но если пропинговать керио сервер с локальной сети которая подключена к остальным 4 свичам, то наблюдается обратная картина. сервер вроде-бы есть, но не принимает никаких запросов из локальной сети. Шаманю уже 3и сутки, никак не получается получить стабильную работу сервера со всеми компами в локальной сети.
Прошу помощи в разрешении данной неприятной проблемы. Заранее благодарен.

HaveANiceDay
а пинговать любое другое оборудование (сервера) подключенное в 1-ый свич получается?
что означает "сервер вроде-бы есть"?

pilotro
Да пинги с сервера на оборудование которое подключено к 1 свичу проходят без потерь.
заметил следующее: если дать пинг с сервера на любой другой компьютер в локальной сети (подключенные к другим 4м свичам), первые 5 пакетов из 10 не доходят, но потом всё нормально. и если после этой нехитрой операции пропинговать сервер с машины которая не видела сервер, то пинг проходит на ура, и нэт течет по трубам.
схема пинга сети на машины подключенные к 4 свичам которые не подключены непосредственно к серверу.

клиент -> сервер = fail
сервер -> клиент = ок
клиент -> сервер = ок


Цитата:

что означает "сервер вроде-бы есть"?

Если выключить виртуальную машину, то ответ пинга: Заданный узел недоступен (с любой машины в сети)
При включенной виртуальной машине ответ пинга : Превышен интервал ожидания для запроса. (с клиентских машин подключенных к остальным 4м свичам)

Kerio WinRoute Firewall 6.0.(build 5729) Вопрос как сбросить статистику пользователей?
p/s Удалил всех пользователей, затем вновь выполнил импорт из домена (домен NT) все затянулось нормально, только в статистике теперь дубли появились.
как убрать?

s800
сбросить счётчики для пользователя, доступно в контекстном меню каждого пользователя статус\статистика по пользователям.

HaveANiceDay
если временно переключить виртуалку с сервером на нижние свичи, что нибудь поменяется?

Добавлено:
HaveANiceDay
и еще как назначаются ip клиентам? (dhcp или статика)

Tihon_one
cпасибо, как всегда все гениальное просто

pilotro
IP статичные.

вот тут я описал более подробно.
http://www.avsoft.ru/forum/read.php?FID=21&TID=9288

HaveANiceDay
то что ты описываешь может быть вызвано чем то непостоянным.
1. физическая связь (провода свичи)
2. ошибки ip уровня (например в сети существует еще комп с ip 192.168.0.2)
3. ошибки сервера (например на виртуалке места не хватает)

надо исключить неверные пункты.
для исключения пункта 1 попробуй включить виртуальный сервер в свич с клиентским компьютером. причем желательно использовать для этого другие провода.

Здрастауйте.
Я плользуюсь Kerio WinRoute Firewall 6.7.1 Build 6399.
У меня наблюдается такая проблема:
Я создаю пользователя, с одной лишь целью - доступ
к сетке через ВПН. Но проблема в том, что когда пользователь
пытается подключиться к ВПН-серверу, ВПН-клиент
говорит что ВПН-сервер не доступен или не найден.
Интересная вещь - если пытаться подключиться
с логином и паролем которым уже больше года,
то авторизация проходит, а новые пользователи
не могут подключиться.

Посоветуйте, что можно сделать.

Ты новым в свойствах хоть разрешил сервис ВПН ?

Настройки новых и старых учёток одинаковые.
Каждой учётке присваевается свой индивидуальный ip.

CHOOVAK
ты проверь права-то, чаще всего так и бывает.

CHOOVAK

на предпаследней вкладке глянь флажки

Для всех этих пользователей создана группа
лишь с одним разрешением - ВПН.
При создании пользователя, я его просто включаю
в эту группу и приписываю ему ип.
Проблема у меня не вчера возникла,
я уже все настройки перепроверил.
Просто так я бы не стал писать на этом форуме.

как бы трудно сказать что не работает не видя логи и настройки пользователей.
может взломан как-то интересно что считает что лицензий не хватает. (каждый ВПН-юзер - это +1 к лицензии)
надо короче смотреть.

Ребят, подскажите, как сделать аренду DHCP неограниченной? поставить 999 дней - актуальное решение?
И что будет по истечению срока аренды, освободятся ли зарезервированные адреса? (я тут в список навносил, и ща понять не могу, 3 дня прошло, написано срок истек, и непонятно, удалились ли уже какие адреса из списка или нет)

и еще вот что, как сделать интернет только по группам?
например, расшарить почту + агент + асю всем пользователям, а в навесок хттп и прочее определенным группам

вот что пробовал я, не получилось
http://s005.radikal.ru/i211/1105/3c/151c6ee1bdd1.jpg

но сдается мне, правило для блокировки интернета всем здесь лишнее, или не?

Цитата:

Ребят, подскажите, как сделать аренду DHCP неограниченной? поставить 999 дней - актуальное решение?

Помоему в керио можно просто не ставить галочку "Lease Time" (или как-то так) и тогда аренда не будет лимитирована по времени.

Цитата:

И что будет по истечению срока аренды, освободятся ли зарезервированные адреса?

Если вы зарезервировали адрес за каким нибудь компьютером, то адрес будет принадлежать только этому компьютеру. Все адреса, которые не зарезервированы, после истечения срока аренды становятся свободными и могут быть выданы любому другому устройству которое отправит запрос на получение адреса.

Цитата:

и еще вот что, как сделать интернет только по группам?
например, расшарить почту + агент + асю всем пользователям, а в навесок хттп и прочее определенным группам
но сдается мне, правило для блокировки интернета всем здесь лишнее, или не?

Сейчас у вас открыт полный доступ к интернету перечисленным в первом правиле группам.
Открыты порты на внешнем интерфейсе для аськи, мейлру и почты. Причем в данном правиле следует использовать в качестве источника все таки свой адаптер который смотрит в локальную сеть.
Сбрасываются все соединения с хоста 192.168.0.245 адресованные внешним узлам.

То, что хотите сделать вы, должно выглядеть немного иначе:
Источник доверенные интерфейсы, назначение интернет, службы "icq, mail.ru, pop, smtp", действие разрешить, нат. Тем самым мы откроем доступ к службам всем пользователям.
Источник группы, назначение интернет, службы "http и прочее", действие разрешить, нат. Тут мы разрешаем пользователям из определенных групп использовать протокол хттп и другие.
Эти два правила будут отвечать вашим требованиям

Цитата:

расшарить почту + агент + асю всем пользователям, а в навесок хттп и прочее определенным группам

P.S. Само собой, если пользователи используют защищенный канал при передаче почты, то не забудьте добавить POP3S и SMTPS в список разрешенных портов в первом правиле.

Цитата:

Помоему в керио можно просто не ставить галочку "Lease Time" (или как-то так) и тогда аренда не будет лимитирована по времени.

проверим, мне почему-то показалось, что в таком случае срабатывают параметры по умолчанию (в них стоит 4 дня аренды), хотя наверн это не то пальто


Цитата:

Если вы зарезервировали адрес за каким нибудь компьютером, то адрес будет принадлежать только этому компьютеру. Все адреса, которые не зарезервированы, после истечения срока аренды становятся свободными и могут быть выданы любому другому устройству которое отправит запрос на получение адреса.

тогда что произойдет в таком случае?
http://s007.radikal.ru/i300/1105/7a/ef386048dbeat.jpg
адрес зарезервирован, но аренда истекла, подтверждения аренды не происходит в течении N-го времени, каков итог? адрес освободится?

Всем доброго времени суток! Сорри что пропал болел( теперь возвращусь к своему вопросу, вот в чем проблема...

2 сервака между ними поднят ВПН туннель Kerio Control 7.1 Build 1971, туннель работает норм Обе подсети идут тока до серваков а далее не хотят в правилах все разрешено, главный сервак видимо просто не знаю куда дальше пускать пакеты... помогите плс что с этим можно сделать?

vaniuhaha

надо настраивать в маршпутах роутинг я полагаю...

coder666
да я там ковырялся и чтота както не очень получилось... в маршрутах все трасировки есть а всеравно н фурычит


Добавлено:
если подскажеш что нужно прописать буду премного благодарен...

Уентральный офис-

Лан 192,168,10,0
маска 255,255,255,0

VPN 192,168,20,0
маска 255,255,255,0
Пасвное подключение

Удаленный офис

лан 192,168,15,0
маска 255,255,255,0

ВПН 192,168,240,0
маса 255,255,255,0

Мне надо чтоб с удаленки к центральным клиентам конектилось... но почемуто дальше центр. сервака ничего не идет... сам сервак видит а вот клиентов нет... есть идеи?

Цитата:

vaniuhaha

у тебя тунель поднят между офисами?

и на машинах в офисах, шлюз по умолчанию стоит машина с Керио?

А у меня другой вопрос, в последние время у меня выскакивает сообщение Connection limit for host reached
получается коеннектов больше 600 с машины, а эта машина контроллер домена,
WIn 2003+все update+Kasper стоит
помониторил за машинкой и вижу, что она часто просится на ружу по порту 137
я так понимаю это обозреватель сети какой-нибудь на контроллере опрашивает сеть, но почему-то раньше не было такого, может кто-то встречался с такой проблемой?

Sergey_41
Да тунель поднят шлюзам служит сервак... но шлюз рпаписан не IP-шник Керивы а лан-овский