» Kerio Control (ex Kerio WinRoute Firewall)

YuraseK

Цитата:

А пробывали на интерфейсе, к которому подключён модем в качестве DNS прописывать IP адрес модема? На локальном интерфейсе я так понимаю прописан только IP с маской? Не могли бы выложить скриншот правил kerio?

Да, на внешнем интерфейсе я пробовал по всякому с DNS, варианты были такие: IP адрес модема; IP DNS провайдера; IP адрес модема + IP DNS провайдера; IP адрес внутреннего интерфейса + IP DNS провайдера; IP адрес внутреннего интерфейса. При этом я в самом Kerio на Интернет интерфейсе с каждым разом пробовал подставлять принудительно IP DNS провайдера или брать их автоматом из самой настройки интерфейса. При этом всегда была включена в настройке DNS переадресация. На локальном интерфейсе DNS - IP самого локального интерфейса.
Скриншот пока не могу выложить, т.к. это не основная работа и я там пока не могу появиться. Но не думаю, что это принципиально, т.к. уверяю вас, что правила созданы начисто через мастер, где на вопрос, что открыть, был ответ - всё!. Там есть правило, что с локальных доверенных интерфейсов открыты интерфейсы в интернет по всем службам. Другие дополнительно я не добавлял пока и ничего не ограничивал.

Добавлено:
Starshark2007

Цитата:

Кстати да, а зачем же Вы модемом PPOE делаете? Ведь тогда всё намного запутаннее, лишний хоп, лишняя маршрутизация. Надлежащей, видимо, у Вас и нету.

Цитата:

Вы сделайте модем бриджом, установите на керио ппое соединение, которое получит внешний адрес и всё будет телемаркет, обещаю

Когда я дошел до точки, то тоже так подумал и бридж на модеме сделал, соответственно на Винде соединение, которое тоже засунул в интернет-интерфейсы. Соединение с провайдером прошло успешно, но при включенном Керио страницы так же не открываются.
Что-то с DNS переадресацией не так. Замечу, о чем, кажется писал выше, Скайп и обновление локального NOD32 по http (с пользовательского порта) работало.

StrangerUz

Цитата:

Да....правильно, но почему не авторизовывает их по тому же запросу веб-браузера ?
Ведь голочка "Включить автоматическое выполнение авторизации пользователя Веб обозревателями" стоит. ???
Про это я писал в самом начале, на что мне уважаемый Tihon_one ответил я сам невнимательный и туплю.

а где вы прочитали что отметка "включить автоматическую авторизацию пользователей веб обозревателями" относится к автоматической авторизации через ip адрес? Эта настройка относится к автоматической авторизации через протокол NTLM.

Почему у вас только некоторые ПК не авторизуются по ip адресу, через http, резонно включить пользовательское логирование в debug по поводу авторизации пользователей, НО значительно корректней, в вашем случае, вместо учётных записей\групп пользователей ip адрес\группы ip адресов ваших пользовательских хостов, т.к. раз уж вы используете привязк3у ip к учёткам, значит они у вас назначены статически, и как следствие, чтобы не усложнять методы конфигурирования правил трафика Kerio Control(упрощение и оптимизация основополагающий момент любого дела не только администрирования), разумней оперировать именно ip\группами ip в правилах трафика.

Но это моё имхо, всего лишь основанное на некотором опыте конфигурирования различных схем авторизации пользователей услуг Интернет, через программный шлюз Kerio Control.

Tihon_one


Цитата:

Почему у вас только некоторые ПК не авторизуются по ip адресу, через http,

Вы настолько увлеклись путаницей мыслей у автора вопроса, что запутались сами. ПК не авторизуются, они не юзеры

Проблема автора проста, как три рубля, и решение он сам уже назвал - пингануть. А почему такое происходит - да потому, что из всех протоколов, указанных во втором правиле, только пинг не передает никаких паролей в керио и керио ему разрешает пройти в инет, тем самым авторизуя по ИП юзера, а все остальные перечисленные там порты ака службы пароли передают, но свои - для керио неизвестные, и потому керио их по этому правилу не пускает и с юзером автоматически не ассоциирует, так как ИП для ассоциации еще не определен, а пароль уже назван. Вот и весь сказ.
К тому же, выше кто-то указывал на отсутствие в этом правиле службы, передающей пароли, предлагая ввести хттп - автоматическая авторизация сработает только при совпадении паролей оси и керио, или при запоминании пароля керио в браузере. Если не автоматическая - то запрос логин\пасса, что для последующих действий один хрен - юзер уже определен.Тоже решение не из худших - в автозагрузку яндекс и забыл про проблемы. Добавь любую службу, которая будет ломиться в инет без своих пароле, хоть сервис времени.
А то, что автор никак не хочет понять разницу между компом и юзером в керио - это его дело, в конце концов. Автор, посмотри на статус активные хосты при отсутствии у кого-то инета - ты не увидишь там подключенный хост потому. что для хоста не определяется его адрес, даже если он получен хостом по дхцп от керио - ты не разрешаешь хосту пройти ни через одно разрешающее правило.

Громогласно заявлять о багах производителя из-за того, что почтовый клиент настроен на получение почты с включенной шифрацией - это глупость неимоверная, она говорит о молодости и бестолковости админа и на юзанье гугль-майла. Инспектор протокола на почтовых сервисах отключают только или очень уверенные в себе люди с дополнительными антивирусами, или полные неадекваты.

Честно сказать - не понимаю, зачем автору вопроса керио, какую задачу в сети оно решает - с такими правилами достаточно включить общий доступ и установить локальные пароли на хосте который типа шлюз.


Tihon_one

Отдельно про выражение "не усложнять методы конфигурирования правил трафика" - мне лично очень понравилось своей неимоверной оригинальностью: это новое понятие в кериотстве, даже целая сущность, можно сказать, так что ставьте смело (С) на данный шедевр
Ну и хотя бы пару таких методов изложите, плс, в назидание и для примера.
Научный тык и пол\палец\потолок, как и кериотский мастер - не в счет

На днях обновил KWF 6.2.2 до 7.0.1 и столкнулся с проблемой. Домен Windows, Kerio и пользователи в домене, включена прозрачная авторизация AD. В версии 6.2.2 в настройках авторизации надо был задавать имя домена из которого брать пользователей, в 7.0.1 же имя домена, видимо, автоматически подхватывается - изменить его нельзя. Настройки с 6.2.2 подхватились нормально, но 7.0.1 показывает домен как BLA-BLA.com (как он и показан везде в Винде), а пользователи для авторизации дают логин с NetBIOS именем домена, т.е. BLA-BLA\username.
В 6.2.2 это имя было в настройках вручную задано как BLA-BLA и всё работало как надо. Теперь же авторизация не идёт, Kerio ругается что домен BLA-BLA не найден в настройках… Как можно заставить 7.0.1 видеть домен правильно?
PS Керио не на DC, просто обычный сервер в домене.

Подскажите , можно ли в KerioStar подкоректировать где-то пхп или другой файл, чтоб в результате в разделе "Web-категории" показывало не 10 "Самые популярные web-категории" а больше категорий или вообще все?

PeterQ


Цитата:

автоматически подхватывается - изменить его нельзя

В "Домены и аутентификация" закладка "Active Directory", справа не заметил кнопочку "дополнительно"

sohoman
) спасибо за такой отклик


Цитата:

Ну и хотя бы пару таких методов изложите, плс, в назидание и для примера.

пишите, что-нибудь и вам придумаем )

Sohoman


Цитата:

все остальные перечисленные там порты ака службы пароли передают, но свои - для керио неизвестные, и потому керио их по этому правилу не пускает и с юзером автоматически не ассоциирует, так как ИП для ассоциации еще не определен, а пароль уже назван. Вот и весь сказ.

Ой, чего-то мне кажется, что Остапа понесло....

Какие-какие такие пароли передают службы и причем здесь керио?

IMHO, любая перечисленная во втором правиле служба _обязана_ вызвать автоматическую (по ip) авторизацию.

Starshark2007
и ведь началось всё с благой мысли предложить товарищу StrangerUz почему его пинги работают и т.д. и т.п., в итоге всё свалилось на обиды и ленивое отбрыкивание, чем я грешен не спорю, т.к. одно и тоже печатать уже сильно утомило . А сейчас народ переходит в верхние слои атмосферы.

Ребят проблема стартававшего вопрос в том, что он не думая прочитал ман, и запостил сюда "почему", + к тому он не верно выбрал именно метод указания источника для своей схемы авторизации пользователей(да да точняк, не хостов), что именно ему удобней\корректней\ будет использовать уже сказали, потому как использование групп ip адресов лично в ситуации пользователя StrangerUz, будет правильней и наглядней лично для него самого.

funtik

Цитата:

В "Домены и аутентификация" закладка "Active Directory", справа не заметил кнопочку "дополнительно"

Там можно подключить дополнительный домен, но нельзя изменить основной, при этом при ручном заведении домена по netbios-имени почему-то не проходит FETCH на контроллер домена, т.е. пользователей из домена BLA-BLA.com Керио в настройке показывает, а из BLA-BLA не может…

Всё! Победил. Оказывается не было правила, разрешающего весь локальный трафик. Добавил его самым первым и всё побежало — и без записей о доп. доменах.
Странно что в 6.2.2 проблемы не было — то ли это правило было но чудом потерялось при миграции, то ли ещё какие-то барабашки…

Доброго времени суток
имеется машина KWF +AD server 2008 сеть А
одна сетевуха смотрит в нет
vpn:10.189.20.0
К нему подключен через VPN канал KWF server 2003 сеть Б
сетевужа одна нет поднимается через pppoe подключение
локалка 192.168.21.0
VPN 10.189.21.0
маршруты на обоих точках предоставляются автоматически удаленной точкой

друг друга машины прекрасно видят
машины из сети Б видят сервер сети А
но сеть А не видит другие машины из сети Б

сеть А route print
0.0.0.0 0.0.0.0 ************ ************ 266
10.189.20.0 255.255.255.0 On-link 10.189.20.1 276
10.189.20.1 255.255.255.255 On-link 10.189.20.1 276
10.189.20.255 255.255.255.255 On-link 10.189.20.1 276
10.189.21.0 255.255.255.0 On-link 10.189.20.1 276
10.189.21.2 255.255.255.255 On-link 10.189.20.1 276
10.189.21.255 255.255.255.255 On-link 10.189.20.1 276
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.21.0 255.255.255.0 10.189.21.1 10.189.20.1 20
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 10.189.20.1 276
224.0.0.0 240.0.0.0 On-link ************* 266
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 10.189.20.1 276
255.255.255.255 255.255.255.255 On-link *********** 266

сеть Б route print

0.0.0.0 0.0.0.0 ************** ************ 1
10.189.20.0 255.255.255.0 10.189.21.2 10.189.21.1 1
10.189.20.6 255.255.255.255 10.189.21.2 10.189.21.1 1
10.189.21.0 255.255.255.0 10.189.21.1 10.189.21.1 20
10.189.21.1 255.255.255.255 127.0.0.1 127.0.0.1 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.21.0 255.255.255.0 192.168.21.2 192.168.21.2 20
192.168.21.2 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.21.255 255.255.255.255 192.168.21.2 192.168.21.2 20
224.0.0.0 240.0.0.0 10.189.21.1 10.189.21.1 20
224.0.0.0 240.0.0.0 192.168.21.2 192.168.21.2 20
224.0.0.0 240.0.0.0 *************** ************ 1
255.255.255.255 255.255.255.255 10.189.21.1 10.189.21.1 1
255.255.255.255 255.255.255.255 ************ ************* 1
255.255.255.255 255.255.255.255 192.168.21.2 192.168.21.2 1
в сети А 1 машина

Добавлено:
вопрос закрыт. доступ блокировал антихакер каспера. Добавил ему зоны, и он больше не нервничал.

Starshark2007
ваше имхо вам и в пользование, поскольку на иное оно не пригодно в силу своей инвалидности на инглише.

П.С. не дочитал второй пост от Тихона: в паре с ним в вышеуказанном направлении как примитивно по вопросу неграмотные в мануале.

Tihon_one
Уважаемый, за общение с Вами мне тут выписывают бананы ака ShriEkeR- им шокинг.

Вы прокаженный или сами бананы выдаете?

Жаль.
Вас.
В любом раскладе.

sohoman

Ты откровенно заебал уже. Не надоело ники раз в месяц менять?

Лахудра хуева.

Когда будешь хоть чуть разбираться в предмете - тогда будешь советы раздавать куда ходить. чмо

По моему вопросу никаких соображений нет?
Подозреваю что собака зарыта тут:
C:\Program Files (x86)\Kerio\WinRoute Firewall\webiface\templates\print_categories.inc
строка: $x_z = new x_10('L4', '', 'categories');
но когда я меняю значение на отличное от x_10, например x_11, то при запросе "Web-категории" из вебки, запрос не отрабатывает до конца...

coreyblack
предполагаю что с таким вопросом лучше в тп обратиться

Tihon_one

У меня не лицензионная версия 6.7.1 (6399).
Попробую обратиться в тп.
Но если у кого-то возникнут идеи как решить проблемму - отзовитесь пожалуйста.

Starshark2007

Цитата:

Третье правило действует, только на уже авторизованых юзеров, а он еще НИКТО.

Как это не кто ? А как же привязка Логина и айпи ? Когда привязываеш логин к айпи ты уже даёш понять керио что такой то айпи и есть этот юзверь.

Добавлено:
Tihon_one
Тогда объясните для чего нужна привязка юзера к айпи ?

Цитата:

т.к. одно и тоже печатать уже сильно утомило .

Дыг объяснений сему вы так и не привели, а говорить что удобней управлять ИП или диапозонами айпишников это спорный вопрос, вот мне кажется что по Логину легче ориентирования.

Уважаемый sohoman вы суть проблемы вапще читали ? или прочли первое и последнее предложение ?

Цитата:

порты ака службы пароли передают, но свои - для керио неизвестные, и потому керио их по этому правилу не пускает и с юзером автоматически не ассоциирует, так как ИП для ассоциации еще не определен, а пароль уже назван. Вот и весь сказ.  

Как это ип не определён, вы совсем с дубу упали ? Ип определяется при логирование юзера в систему.
При запросе любой странички запрос идёт сперва на керио, где керио должен проверить его айпи => определить какому логину он принадлежит, затем посмотреть Стоит ли это юзер в группе которой разрешон доступ в интерент и авторизавать его.
По моему всё логично!


Цитата:

Автор, посмотри на статус активные хосты при отсутствии у кого-то инета - ты не увидишь там подключенный хост потому. что для хоста не определяется его адрес, даже если он получен хостом по дхцп от керио - ты не разрешаешь хосту пройти ни через одно разрешающее правило.

Ошибаешся! Специально перепровил, при прописание на клиентском компе только шлюза Керио, он уже появился в активных хостах. Прежде чем что то писать проверь сам, или лучше не чего не пиши чем людей дезинформировать.


Добавлено:

Цитата:

Громогласно заявлять о багах производителя из-за того, что почтовый клиент настроен на получение почты с включенной шифрацией - это глупость неимоверная

Я не писал что получение почты с включенной шифрацией что это баг. Я лишь спросил почему так, так происходит на некоторых хостах.
З.Ы. Ты внимательней читай форум, прежде чем что то писать.
А баг я имел в виду то что Керио автоматом не определят Логин по привязанному ИП, и пока В ЭТОМ меня не кто не переубедил.

всем здравствуйте
тут только что были мысли что вместо pppoe соединения на модеме лучше сделать бридж
так действительно будет лучше? подскажите кто сталкивался
у самого модем zyxel через pppoe, kerio 7.0.1, пока особых проблем нет, но все-таки хочется по правильному сделать
спасибо

777scorpio777

По большому счету не имеет значения

1. поставить в бридж и тогда поднимать соединение прямо с компа (или в самом керио) по pppoe
2. поставить в роутер и модем сам будет поднимать соединение (тоже pppoe) (на модеме дехацепе выключаеш ( за ненадобностью и назначаешь статик айпи, который прописуеш в качестве шлюза на компе где стоит винроут)

У меня было и так и так, теперь в режиме роутер все нормально работает, причем с 2мя линиями в режиме балансировки .

И еще в режиме роутера: юзаеться аппаратный фаервол модема (как правило), который или отключить и фильтровать все на уровне керио или не отключать (тогда как бы 2 стены получаеться) , также в модеме приходиться дублировать прокидку нужных извне портов на комп с керио или врубить dmz или юзать Range Port Forwarding.

coreyblack
ок, спасибо
просто по бриджу работа модема стабильнее что-ли...
сейчас все работает по 2-му способу, пока нареканий нет, пробросы портов не актуальны

777scorpio777

Повторюсь.

Я бы сказал, что керио и режим роутера на модеме взаимоисключающие вещи.

Ибо Керио и есть роутер и даже больше, и лишний модемный роутер только вносит путаницу. Лишняя маршрутизация, дублирование правил и пробросов - лишняя возможность ошибиться.
Ещё раз скажу, что тот же популярный zyxel 660rt при хорошей нагрузке на порту с PPOE греется и виснет.

Опять же, IMHO, того факта что есть возможность пройти мимо корпоративного шлюза уже достаточно, что бы отказаться от роутера в модеме.

При наличии Kerio Control (WinRoute) модем - только в бридж, иначе можно поиметь много непонятных проблем. Давно и стабильно такая связка у нас работает, вопросов нет - рулишь через Kerio как угодно.

ок
тогда еще вопрос
как лучше поднимать pppoe - как я понял можно стандартно с винды, а можно в керио
что здесь предпочтительней? и где в керио такая возможность? что-то не углядел...
upd разобрался - виндой создается wan-подключение, дозвон по нему из керио

Yaromaxx

Цитата:

При наличии Kerio Control (WinRoute) модем - только в бридж

бред полный.

Цитата:

При наличии Kerio Control (WinRoute) модем - только в бридж, иначе можно поиметь много непонятных проблем. Давно и стабильно такая связка у нас работает, вопросов нет - рулишь через Kerio как угодно.

Не припомню я проблем. Единственное - это если юзеры раскусят как обходить WinRoute напрямую через модем в режиме роутера

Добрый день, подскажите, можно ли сделать в керио деление на провайдеров трафика(входящий/исходящий)

у меня имеется два провайдера, у одного неограниченный исходящий трафик, но входящий трафик дорогой.
Мне нужно сделать так, что бы исходящий трафик шел через одного провайдера, а возвращался через другого.

мужики подскажите, будет ли схема работы connect и control на одном сервере работать стабильно?
или все же лучше разносить?

работал только с microsoft, вот думаю попробовать решения от керио.

Цитата:

у меня имеется два провайдера, у одного неограниченный исходящий трафик, но входящий трафик дорогой.
Мне нужно сделать так, что бы исходящий трафик шел через одного провайдера, а возвращался через другого.

в вашем случае НЕТ!

Есть сервер win2k3, kerio 6.5.
Сервер раздает инет через городскую локальную сеть посредством kerio vpn client и некоторым через прокси.
Нужно одному человеку расшарить этот инет ещё на несколько устройств посредством роутера ASUS WL-500g Premium, который понимает только обычный vpn PPTP (как у билайна, например). В общем, ВПН от керио он не может расшаривать. Но я в этом не разбираюсь пока что.
Вопрос такой, возможно, ли помимо керио на сервере организовать ещё и vpn-сервер PPTP, чтобы инет можно было расшарить ему с помощью роутера.
Вот.
Какие-то другие варианты решения есть?

AmkCity

Цитата:

Цитата:
у меня имеется два провайдера, у одного неограниченный исходящий трафик, но входящий трафик дорогой.
Мне нужно сделать так, что бы исходящий трафик шел через одного провайдера, а возвращался через другого.
в вашем случае НЕТ!

Если у Вас два интерфейса и Вы не включали распределение нагрузки (ну или обработку отказа), то у Вас и так локальные клиенты будут выходить через один, активный интерфейс.
А внешние к Вашим службам-серверам заходить через тот, который Вы им "скажете".

Или под словом "возвращался" имеется ввиду ответ внутри сессии !!! - тогда точно никак .