Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Kerio Control (ex Kerio WinRoute Firewall)

Автор: z3r
Дата сообщения: 13.06.2010 13:14
Не подскажете логин для доступа к консоли(обычной линуховой) под керио контрол software appliance?
Автор: Tihon_one
Дата сообщения: 15.06.2010 12:46
z3r
root\пароль для админа в kwf
Автор: l3thal
Дата сообщения: 16.06.2010 16:18
Добрый день. Подскажите, нормально ли то, что на Win 7 Kerio Winroute Firewall запускает свою службу около 5 минут, при этом дико тормозя всю систему?
Система чистая, только установленная. Имеется 3 сетевых интерфейса, 1 локальный и 2 интернетовских, вот именно их обработкой Керио занимается около 5 минут после перезапуска его службы. Можно ли с этим как-либо побороться?
Автор: vrpadmin
Дата сообщения: 17.06.2010 04:27
Подскажите, пожалуйста, как сделать так, чтобы страницы, которые были открыты пользователем в браузере (настроен прозрачный прокси) и затем закрыты им в kerio control во вкладке активные хосты тоже убирались? А то получается так юзер открывает страницы и закрывает их, а в керио видны они же как открытые пока принудительно либо по таймауту не вырубить. Куда смотреть, что можно сделать?
Автор: Zedd
Дата сообщения: 17.06.2010 08:23

Цитата:
Добрый день. Подскажите, нормально ли то, что на Win 7 Kerio Winroute Firewall запускает свою службу около 5 минут, при этом дико тормозя всю систему?
Система чистая, только установленная. Имеется 3 сетевых интерфейса, 1 локальный и 2 интернетовских, вот именно их обработкой Керио занимается около 5 минут после перезапуска его службы. Можно ли с этим как-либо побороться?


Ненормально скорее всего, у меня на некоторых тачках куда больше интерфейсов и так долго не грузится. Впрочем смотря какое железо, может что-то настроено не так или конфликтует с другими программами...

Добавлено:

Цитата:
Подскажите, пожалуйста, как сделать так, чтобы страницы, которые были открыты пользователем в браузере (настроен прозрачный прокси) и затем закрыты им в kerio control во вкладке активные хосты тоже убирались? А то получается так юзер открывает страницы и закрывает их, а в керио видны они же как открытые пока принудительно либо по таймауту не вырубить. Куда смотреть, что можно сделать?


Никак, через какое-то время сами исчезнут из списка. Насколько мне известно, таймаут не регулируется.
Автор: adjuster
Дата сообщения: 17.06.2010 08:36
l3thal

Цитата:
Добрый день. Подскажите, нормально ли то, что на Win 7 Kerio Winroute Firewall запускает свою службу около 5 минут, при этом дико тормозя всю систему?
Система чистая, только установленная. Имеется 3 сетевых интерфейса, 1 локальный и 2 интернетовских, вот именно их обработкой Керио занимается около 5 минут после перезапуска его службы. Можно ли с этим как-либо побороться?

Нет, это не нормально - запуск сервиса обычно занимает несколько минут.
Скорее всего в семерке не остановлен брандмауер.

vrpadmin

Цитата:
Куда смотреть, что можно сделать?

Ничего не сделаешь. То, что пользователь закрыл у себя страницу не означает, что его комп оборвал соединение. В любом случае между KWF и клиентом остается соединение некоторое время - это же вЕнда.
Автор: l3thal
Дата сообщения: 17.06.2010 10:58
adjuster

Цитата:
Нет, это не нормально - запуск сервиса обычно занимает несколько минут.
Скорее всего в семерке не остановлен брандмауер.

Точно, почему-то служба брандмауэра была запущена, хотя сразу же после установки ее выключал Оо
Большое спасибо за подсказку, теперь работа с сетевыми интерфейсами занимает около 2 минут после загрузки. Это уже терпимо
Автор: Serg41
Дата сообщения: 18.06.2010 08:03

Цитата:
Ничего не сделаешь. То, что пользователь закрыл у себя страницу не означает, что его комп оборвал соединение. В любом случае между KWF и клиентом остается соединение некоторое время - это же вЕнда.

как вариант, измени параметр Автоматически завершать сеанс пользователя когда он не активен (в настройках пользователя), немного не то но завершив и странички закроет

а кто знает, что лучше ставить под fw Win XP/7 или Win Server или может x64 и в чем разница
Автор: Zedd
Дата сообщения: 18.06.2010 08:23

Цитата:
а кто знает, что лучше ставить под fw Win XP/7 или Win Server или может x64 и в чем разница


У меня лично установлен на машины с ХР и 2003. Разницы именно в работе керио нет. Тут мне кажется выбор в пользу той или иной ОС стоит делать исходя из возможностей железа и необходимости использования дополнительного функционала ОС. Как правило ХР - оптимальный выбор. Либо линуксовая версия, если кроме керио ничего не нужно.
Автор: MagistrAnatol
Дата сообщения: 18.06.2010 08:26
народ, что за прикол в МАС фильтре Kerio Control 7.0.0 Build 896?
прописал мак адреса, кста чем какой прогой определить - а то юзал тут одну десятилелней давности,включить фильтр для локальной сети и интернета и поставил галку токо ети компы могут ходить делаю приминить и получаю все до наоборот - меня блокирует ????
Автор: Serg41
Дата сообщения: 18.06.2010 08:55
а ограничения на число соединений в XP на работу не повлияет?
еще Microsoft хвастались что в Vista/7 новый стэк tcp/ip и он круто работает, может тогда их выбрать...
Автор: PavelKiev
Дата сообщения: 18.06.2010 10:01
Баг с авторизацией.
Задача: для некоторых пользователей ( у которых жестко стоит IP адрес) акно авторизации не должно выскакивать при хождении в инете. В 6.Х эта функция работала, в 7-й версии, которая сейчас установлена, это не работает – запрашивает авторизацию.
Проставил на пользователей IP адреса в личных закладках («задать ip адрес хоста»),
<list name="AutoLogins">
<listitem>
<variable name="Username">Andryi</variable>
<variable name="IpAddr">192.168.0.22</variable>
<variable name="IpGroup"></variable>
<variable name="IpType">address</variable>
</listitem>
</list>

В winroute.cfg поставил необходимые «0» чтобы запрашивала авторизацию по HTTP а не по HTTPS.
<table name="Administration">
<variable name="RemoteAdmEnabled">1</variable>
<variable name="RemoteAdmPort">44333</variable>
<variable name="RemoteAdmAcl"></variable>
<variable name="WebAdmPort">4080</variable>
<variable name="WebAdmSslPort">4081</variable>
<variable name="WebAdmHTTPSRedirect">0</variable>
<variable name="HTTPSPriority">0</variable>
<variable name="WebAdmRequireAuth">1</variable>
<variable name="ServerId">3bcec635-f361-4d21-bfbb-d6458561cb0b</variable>
</table>
В Пользователи -> Веб-аутентификация поставил галочку «Всегда требовать аутентификации …».

При входе данного пользователя: ТРЕБУЕТ аутентификацию. Что за баг?
Спасибо.

Автор: Zedd
Дата сообщения: 18.06.2010 11:35

Цитата:
а ограничения на число соединений в XP на работу не повлияет?
еще Microsoft хвастались что в Vista/7 новый стэк tcp/ip и он круто работает, может тогда их выбрать...


Не замечал такого влияния. Если все-таки беспокоит данный вопрос, то для ХР есть патч, позволяющий установить любое ограничение количества полуоткрытых соединений.
Автор: adjuster
Дата сообщения: 18.06.2010 15:26

Цитата:
для локальной сети и интернета и поставил галку токо ети компы могут ходить делаю приминить и получаю все до наоборот - меня блокирует ????

А ты уверен в правильности указанных MAC ???

Serg41

Цитата:
а ограничения на число соединений в XP на работу не повлияет?

Нет, так как у KWF свои драйвера.


Цитата:
При входе данного пользователя: ТРЕБУЕТ аутентификацию. Что за баг?
Спасибо.

У него прокся прописана в браузере?
Автор: PavelKiev
Дата сообщения: 18.06.2010 17:12
Цитата:При входе данного пользователя: ТРЕБУЕТ аутентификацию. Что за баг?
Спасибо.


У него прокся прописана в браузере?
****************************************
Нет. Все ходят по НАТу.
Автор: muk as
Дата сообщения: 19.06.2010 02:33
Имеется свитч DES-3526.
1(tagged) и 5(untagged) порт VLAN ID 3
так ж первый порт сидит в 1 влане и 2.
к 5 порту подключется адсл модем в режиме моста
к 1 порту подключается сетевая карта DGE-530T
с помощью идущих в комплекте дров(9 версии) и последдней утилиты длинк нетворк, созданы 3 виртальных сетевых адаптера VLAN 1-3

VLAN 3(вирт. сетевая) является интрнет подключением
при старте в керио показывается что связь есть в инет, пинг так же есть! но самого инета нет(в браузере)!

в чем может быть причина?
если адаптер без влан и все в unntagged порты в свитче то в керио все работает, пинги идут, в инет ходит(в браузере).
Автор: hron56
Дата сообщения: 21.06.2010 06:17
Сетка поднята на AD с двумя серверами SRV-1 и SRV-2, оба сервера являются КД.
На сервере SRV-2 поднят Kerio WF. При отключенном Керио репликация проходит между серверами, а при попытке включить KWF репликация пропадает.

При попытке на сервер SRV-2 в оснастке AD users and computers подключиться к SRV-1
выдает сообщение Сервер RPC недоступен, а при соединении с SRV-1 на SRV-2 все проходит нормально

Помогите ! В чем могут быть траблы....
Автор: Valery12
Дата сообщения: 21.06.2010 06:44

Цитата:
Помогите ! В чем могут быть траблы....

Основной трабл - нельзя ставить фаервол на контроллер домена!
дополнительный - правило локальный трафик должно быть первым в списке и с отключенным протокол-инспектором.
Автор: hron56
Дата сообщения: 21.06.2010 07:09
В старой организации у нас стоял керио по такой схеме и все шло нормально,
Локальный трафик стоит первым, в сервисах стоит ANY

Какие порты используются для репликации в АД?
Автор: adjuster
Дата сообщения: 21.06.2010 08:56
muk as
а причем здесь KWF ??

hron56

Цитата:
В чем могут быть траблы....

Траблы могут быть в ТП.


Цитата:
Локальный трафик стоит первым, в сервисах стоит ANY

Покажи скрином.
Автор: Salamatiqus
Дата сообщения: 21.06.2010 09:59
Здравствуйте, Уважаемые

Есть небольшой вопрос, уж не знаю сюда задавать или в форму по MSI точкам :S
Во общем, история такая. Есть интернет по адсл, есть сервак с Керио контрол 7, есть компьютеры, получающие интернет посредством прозрачного прокси в Керио и его же DHCP. Есть wi-fi роутер MSI RG54G3. Беда в том, что не могут получить интернет те компьютеры, что подключаются через этот самый wi-fi роутер RG54G3. Какие настройки задать в роутере, чтоб он мог раздать интернет компам? Надо ли IP роутера ставить в зарезервированный айпи в керио?

Вот скрин


Uploaded with ImageShack.us
Micro Star International - те самые роутеры
192.172.42.х - это адреса, которые я указал в роутере
Как видно, Керио также выдал свой айпи роутерам. В итоге у роутеров по 2 айпи? :S
Ну, главный вопрос, как раздать-то интернет тем, кто за роутером?
Автор: hron56
Дата сообщения: 21.06.2010 10:45


KWF стоит на SRV-2, с SRV-1 реплика проходит, а на SRV-2 в оснастке AD Users and computers GP недоступна.
Автор: Tihon_one
Дата сообщения: 21.06.2010 13:04
PavelKiev
проверьте в конфиг файле, чтобы шлюз был прописан только на внешнем интерфейсе, именно в конфиге смотри, не через консоль.

Автор: hron56
Дата сообщения: 21.06.2010 14:11
Ты имеешь в виду в конфиге Керио?

Так там не прописываются шлюзы

Вот логи dcdiag.exe
1. dcdiag на SRV-1

D:\>dcdiag /s:Srv-1

Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial required tests

Testing server: Default-First-Site-Name\SRV-1
Starting test: Connectivity
......................... SRV-1 passed test Connectivity

Doing primary tests

Testing server: Default-First-Site-Name\SRV-1
Starting test: Replications
......................... SRV-1 passed test Replications
Starting test: NCSecDesc
......................... SRV-1 passed test NCSecDesc
Starting test: NetLogons
......................... SRV-1 passed test NetLogons
Starting test: Advertising
......................... SRV-1 passed test Advertising
Starting test: KnowsOfRoleHolders
......................... SRV-1 passed test KnowsOfRoleHolde
Starting test: RidManager
......................... SRV-1 passed test RidManager
Starting test: MachineAccount
......................... SRV-1 passed test MachineAccount
Starting test: Services
RPCLOCATOR Service is stopped on [SRV-1]
TrkWks Service is stopped on [SRV-1]
TrkSvr Service is stopped on [SRV-1]
......................... SRV-1 failed test Services
Starting test: ObjectsReplicated
......................... SRV-1 passed test ObjectsReplicate
Starting test: frssysvol
There are errors after the SYSVOL has been shared.
The SYSVOL can prevent the AD from starting.
......................... SRV-1 passed test frssysvol
Starting test: kccevent
......................... SRV-1 passed test kccevent
Starting test: systemlog
......................... SRV-1 passed test systemlog

Running enterprise tests on : maer-ufa.ru
Starting test: Intersite
......................... maer-ufa.ru passed test Intersite
Starting test: FsmoCheck
......................... maer-ufa.ru passed test FsmoCheck

D:\>dcdiag /s:Srv-2

Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial required tests

Testing server: Default-First-Site-Name\SRV-2
Starting test: Connectivity
......................... SRV-2 passed test Connectivity

Doing primary tests

Testing server: Default-First-Site-Name\SRV-2
Starting test: Replications
......................... SRV-2 passed test Replications
Starting test: NCSecDesc
......................... SRV-2 passed test NCSecDesc
Starting test: NetLogons
......................... SRV-2 passed test NetLogons
Starting test: Advertising
......................... SRV-2 passed test Advertising
Starting test: KnowsOfRoleHolders
......................... SRV-2 passed test KnowsOfRoleHolde
Starting test: RidManager
......................... SRV-2 passed test RidManager
Starting test: MachineAccount
......................... SRV-2 passed test MachineAccount
Starting test: Services
RPCLOCATOR Service is stopped on [SRV-2]
TrkWks Service is stopped on [SRV-2]
TrkSvr Service is stopped on [SRV-2]
......................... SRV-2 failed test Services
Starting test: ObjectsReplicated
......................... SRV-2 passed test ObjectsReplicate
Starting test: frssysvol
There are errors after the SYSVOL has been shared.
The SYSVOL can prevent the AD from starting.
......................... SRV-2 passed test frssysvol
Starting test: kccevent
......................... SRV-2 passed test kccevent
Starting test: systemlog
An Error Event occured. EventID: 0xC0002720
Time Generated: 06/21/2010 15:59:23
(Event String could not be retrieved)
An Error Event occured. EventID: 0xC0002720
Time Generated: 06/21/2010 16:14:31
(Event String could not be retrieved)
An Error Event occured. EventID: 0xC0002720
Time Generated: 06/21/2010 16:29:32
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 06/21/2010 16:42:57
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 06/21/2010 16:42:57
(Event String could not be retrieved)
An Error Event occured. EventID: 0xC0002720
Time Generated: 06/21/2010 16:44:33
(Event String could not be retrieved)
An Error Event occured. EventID: 0xC0002720
Time Generated: 06/21/2010 16:50:35
(Event String could not be retrieved)
......................... SRV-2 failed test systemlog

Running enterprise tests on : xxxx-xxx.ru
Starting test: Intersite
......................... xxxx-xxx.ru passed test Intersite
Starting test: FsmoCheck
Warning: DcGetDcName(PDC_REQUIRED) call failed, error 1355
A Primary Domain Controller could not be located.
The server holding the PDC role is down.
......................... xxxx-xxx.ru failed test FsmoCheck

2. dcdiag на SRV-2


C:\Program Files\Support Tools>dcdiag /s:Srv-2

Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial required tests

Testing server: Default-First-Site-Name\SRV-2
Starting test: Connectivity
SRV-2's server GUID DNS name could not be resolved to an
IP address. Check the DNS server, DHCP, server name, etc
Although the Guid DNS name
(e3792936-280a-4e21-8060-0198f0f12979._msdcs.xxxx-xxx.ru) co
resolved, the server name (srv-2.xxxx-xxx.ru) resolved to th
address (10.66.139.19) and was pingable. Check that the IP
registered correctly with the DNS server.
......................... SRV-2 failed test Connectivity

Doing primary tests

Testing server: Default-First-Site-Name\SRV-2
Skipping all tests, because server SRV-2 is
not responding to directory service requests

Running enterprise tests on : xxxx-xxx.ru
Starting test: Intersite
......................... xxxx-xxx.ru passed test Intersite
Starting test: FsmoCheck
Warning: DcGetDcName(PDC_REQUIRED) call failed, error 1355
A Primary Domain Controller could not be located.
The server holding the PDC role is down.
......................... xxxx-xxx.ru failed test FsmoCheck


C:\Program Files\Support Tools>dcdiag /s:Srv-1

Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial required tests

Testing server: Default-First-Site-Name\SRV-1
Starting test: Connectivity
SRV-1's server GUID DNS name could not be resolved to an
IP address. Check the DNS server, DHCP, server name, etc
......................... SRV-1 failed test Connectivity

Doing primary tests

Testing server: Default-First-Site-Name\SRV-1
Skipping all tests, because server SRV-1 is
not responding to directory service requests

Running enterprise tests on : xxxx-xxx.ru
Starting test: Intersite
......................... xxxx-xxx.ru passed test Intersite
Starting test: FsmoCheck
......................... xxxx-xxx.ru passed test FsmoCheck
Автор: adjuster
Дата сообщения: 21.06.2010 15:39
Salamatiqus

Цитата:
Ну, главный вопрос, как раздать-то интернет тем, кто за роутером?

Пока что я не вижу причины винить KWF - необходимо для начала добиться связи между клиентами и KWF машиной.

В роутере KWF должен быть указан шлюзом, настроен доступ клиентам в подсеть к KWF - которая должна быть подключена в WAN на роутере.
Автор: muk as
Дата сообщения: 22.06.2010 20:47
to adjuster and All

Цитата:
muk as
а причем здесь KWF ??


тестил втыкаясь в локалку значит так.

1. сетевая без влан и без керио - пинг есть, сетевые ресурсы досутпны(сайт, SMB)
2. сетевая с влан и без керио - пинг есть, сетевые ресурсы доступны
3. сетевая без влан и с керио - пинг есть, сетевые ресурсы доступны
4. сетевая с влан и с керио - пинг есть, сетевые ресурсы не открываются.

сетевая карта одна и та же DGE-530T
сетевая с влан означает что создана виртаульная карта VLAN и на свиче порт tagged (VLAN ID на свиче и сетевуке одинаков.)
сетевая без влан означает что стоит физическая карта и на свиче порт untagged
сетевая без керио означает что в данном тесте была отключена служба кири.
особенно обратить внимание на пункты тестов 2 и 4, в которых влан был сконфигурирован одинаково.

P.S. Dlink DGE-530T (driver ver.9.0), Kerio Control 7.0, Win 2003 R2 SP2 Enterprise x86.
Автор: hristoff
Дата сообщения: 23.06.2010 04:54
Подскажите.
Есть две удалённых сети с одинаковой адресацией 192.168.0.0.
На обоих установлен KWF.
К обоим прекрасно можно подконектица через kerio vpn client.

Но если адреса совпадают то доступны только локальные к удалённым доступа нет, если же такого адреса нет в локальной сети то можно достучаться к удалённым.

Как сделать чтобы при подключении полностью была доступна удалённая сеть даже при совпадающих адресах ?
Автор: alpha_re5earch
Дата сообщения: 23.06.2010 09:17
Поменял провайдера StarTelecom на BillTelecom, WinRoute перестал работать. С чем это может быть связано?
Была оптика по выделенной линии, постоянное высокоскоростное соединение с логином и паролем (pppoE), все как обычно, шлюз на 192.168.1.5 для подсеток 192.168.0.x и 192.168.1.x
Подключил ADSL-модем, настроил его как Bridge. В Windows добавил новое высокоскоростное подключение BillTelecom, логин, пароль. Подключил в ту же сетевую карту, куда раньше подключался StarTelecom. Проверяю подключение - все работает, есть интернет, все отлично. Включаю службу Winroute, в админской консоли добавляю подключение BillTelecom везде, где присутствует StarTelecom.
Ожидаю получить следующее: когда подключаю кабель StarTelecom - у меня Интернет пойдет через StarTelecom, подключаю кабель BillTelecom - теперь пойдет через BillTelecom. А в итоге Winroute не работает.
Что я сделал неправильно?
Автор: adjuster
Дата сообщения: 23.06.2010 09:30
hristoff

Цитата:
Как сделать чтобы при подключении полностью была доступна удалённая сеть даже при совпадающих адресах ?

Переделывать RFC.

alpha_re5earch

Цитата:
С чем это может быть связано?

С версией продукта.


Цитата:
Что я сделал неправильно?

Не выложил скрины.

muk as

Цитата:
при старте в керио показывается что связь есть в инет, пинг так же есть! но самого инета нет(в браузере)!

Для начала покажи скрины ТП и Интерфейсы и какой у тебя антивирь?
Автор: Tihon_one
Дата сообщения: 23.06.2010 09:30
muk as
а можно поинтересоваться, сколько vlan-ов нарезали, и все ли это вланы имеют уникальный мак адрес?

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108

Предыдущая тема: Автоматическое удаление папок и файлов старше x дней


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.