» Kerio Control (ex Kerio WinRoute Firewall)

Здравствуйте, я новичек в KERIO CONTROL,
но хотел бы поинтересоваться уже у опытных, правильно ли настроены мои интерфейсы?
Значит так, у меня имеется небольшой само собранный сервер для KERIO:
3 сетевых выхода:
1) Подключение INTERNET 1, он подключается к специальному рутер-модему ALVARION который умеет передавать по UTP питание на WiMax антенну, у модема IP 192.168.0.1 (все запросы с него поступают на шлюз на сервере, я его выделил в DMZ зону)
Итого получается так, у шлюза INTERNET 1 следующие характеристики:
ip: 192.168.0.2
mask: 255.255.255.0
Gateway: 192.168.0.1
DNS: -
DNS2: -
2) Подключение INTERNET 2, к нему непосредственно подключен неуправляемый модем ALVARION который используется для подачи питания на вторую антенну WiMax, но не умеет подключаться к интернету, поэтому подключение я создаю на самом сервере через PPPoE.
Итого получается следующее, у шлюза INTERNET 2 следующие характеристики:
ip: 192.168.0.3
mask: 255.255.255.0
Gateway: -
DNS: -
DNS2: -
В самом KERIO интерфейс INTERNET 2 пишет что подключен/не активен, а вот PPPoE является подключен/активным, меня это смущает, так ли оно должно быть?
3) Подключение LOCAL, оно смотрит непосредственно в нашу сеть, и его характеристики следующие:
ip: 192.168.1.2
mask: 255.255.255.0
gateway: -
DNS: 192.168.1.214
DNS2: -

Сам прокси-сервер находится в домене, именно поэтому днска на локальном интерфейсе имеет днс нашего внутреннего домен-контроллера.
Жду замечаний уже опытных в этом деле, заранее благодарю и спасибо!
Если у меня все настроено правильно, то я выложу свои другие вопросы по поводу функционала правил трафика, т.к. сейчас некоторые из них работают некорректно, я думаю что у меня проблема с настройкой двух каналов интернета и поэтому не всегда корректно определяются правила.

komputeryuzer
Я смотрел в msconfig поэтому и написал тебе совет по поводу wrctrl.exe

понял.. спасибо ещё раз.. я писать в автозагрузку не буду(пока) но буду знать что запускать в случае необходимости..
так вроде пока нет острой необходимости можно избавлять память компа от "лишних" программ..
старт/стоп через командную строку можно.. а админить или статистику пользователей помотреть через адресную строку бровзера

serik1986
На каждой сетевой карте INTERNET 1 и INTERNET 2 надо первым указать ДНС сервер домена (192.168.1.214), а вторым - провайдера.


Добавлено:
komputeryuzer

Цитата:

а так компьютер зависает время от времени и такое не наблюдалось

не думал о том, что шлюз, который зависает время от времени, надо срочно менять?

Прошу помощи.

В "активных хостах" постоянно появляются пользователи не из внутренней базы.
Что-то качают и так далее, похоже словил вирусняк.

Выглядят так:
nadiya-gw.sovam.net.ua (83.170.206.218)
114.99.254.20
121.191.71.215
и т.д. на данный момент заблокировал уже 22 адреса.

Касперский молчит. Sophos тоже.

Куда копать? Как запретить не авторизованным пользователям доступ к интернету?
Версия 7.1.2 build 2333

mrarefiev
Торренты разрешены?
В параметрах аутентификации выставлено "Всегда требовать аутентификацию при доступе"? "Включить принудительную аутентификацию"?

unreal 777
торренты разрешены.
в параметрах выставлено: всегда требовать аутентификацию пользователей при доступе к веб-страницам и включить автоматическую аутентификацию пользователей веб-браузером

mrarefiev
Так может торренты запретить?

unreal 777
генеральный обидится

я не говорю, что дело на 100% именно в торрентах, но по логике что-то очень близко. Через тебя гонят трафик, такое делают пиринговые сети.
Скажи шефу, что тебе нужно протестить что-то, отключи на сутки. Посмотри, что получится. И трафик полиси, конечно, не мешало бы показать уже.

unreal 777
http://s010.radikal.ru/i311/1101/61/89273473cd97.png

Все всем разрешено. При такой политике вообще непонятно, зачем тебе Керио.

Цитата:

Все всем разрешено. При такой политике вообще непонятно, зачем тебе Керио.

Потому что пока никаких запретов нет. Да и начальство просит ограничить лишь доступ к социальным сетям. В настоящее время тестируем нового провайдера и мониторим кто сколько трафика жрет, для дальнейших действий.

Для простого запрета доступа к соц. сетям достаточно на шлюзе прописать днс Skydns.ru или Rejector.ru и больше не париться)
Хотя это уже оффтоп

unreal 777
варианты есть, согласен, можно и просто файл host подправить, но меня сейчас интересуют как не авторизованные пользователи получают доступ к инету?

Цитата:

можно и просто файл host подправить

запаришься на каждой машине хосты под все возможные зеркала социалок править)


Цитата:

как не авторизованные пользователи получают доступ к инету

Через политики "Разрешить все всем"
Включи в дебаге сообщения от Accounting и Filtering. Вводи запреты, открывай только нужное. А там и разберешься.

Цитата:

запаришься на каждой машине хосты под все возможные зеркала социалок править)

раз керио стоит, то можно и в нем файл поправить (DNS)

Как запретить всем новым пользователям сети получать доступ к инету?

Цитата:

Как запретить всем новым пользователям сети получать доступ к инету

Разбить по группам, создать соответствующие правила

Ruza

Цитата:

handleft

Цитата:
Кто реализовывал скрытие трафика от провайдера по VPN тунелю на другой керио в инете

Как ты собрался скрывать что либо? Обычно провайдер считает байты... А они даже в VPN считаются.

простите, может не правильно выразился, подразумевается посылать весь трафик с первого керио по VPN каналу на второй керио в интернете (в том числе и http и другие). провайдер у первого керио видел только vpn соединение... да и только...

как это можно реализовать?

handleft
Я как то делал запасной канал на второй керио с помощью встроенной в винды VPN. Работает до сих пор.

Цитата:

как это можно реализовать?

если подразумевается использование керио ВПН
то нужно
- на первом сервере прописать статические маршруты: ко всем провайдерским местным ресурсам и ко второму серверу, а дефолтный шлюз удалить или сделать ему заведомо большую метрику
- создать между серверами туннель
- на первом же сервере в свойствах туннеля (Advanced) добавить маршрут 0.0.0.0/0.0.0.0

в некоторых версиях такой маршрут не принимается, в этом случае его нужно разделить на два
0.0.0.0/128.0.0.0
128.0.0.0/128.0.0.0

АУ!!! Люди!!!
Помогите - не могу никак открыть 80 порт, дабы разрешить записывать видео с камер прогой, установленной там же, где Керио.
С других компов камеры работают и пишут, выключаю Керио - камеры сразу подключаются.
Что не так???

unreal 777

Цитата:

serik1986
На каждой сетевой карте INTERNET 1 и INTERNET 2 надо первым указать ДНС сервер домена (192.168.1.214), а вторым - провайдера.

А вы сможете мне объяснить для чего это нужно? извините за банальный вопрос, просто я не совсем понимаю логику этого изменения, ведь на сетевой карточке которая смотрит на внутреннюю сеть уже есть ссылка на домен.



2 ALL

1) я решил вторую сеть интернета вывести в отдельную подсеть, потому что посчитал что возможны не правильные маршруты из-за того что сеть интернета 1 и интернета 2 как бы в одной сети (т.е. 192.168.0.2 и 192.168.0.3 было соответственно и 192.168.0.2 и 192.168.2.2 стало соответственно). Как считаете на сколько верно я это сделал? или это не имеет значения?

2) У меня и до изменений что я написал выше и после осталась одна и та же проблема, когда я из внутренней сети посылаю пинг на айпи адрес 213.172.85.134 (это интерфейс INTERNET 2) то пинг спокойно возвращается, если же я пингую 213.172.85.154 (это интерфейс INTERNET 1) то пинга нет!!! при этом при всем большая часть интернета по статистике интерфейса приходится именно на INTERNET 1. А когда я пингую эти адреса с самого прокси-сервера они оба отзываются.
Как вы думаете почему так???

Заранее благодарю за помощь.

serik1986

Цитата:

А вы сможете мне объяснить для чего это нужно?

Отвечу цитатой из одного мануала по настройке Керио "Чтобы не было жопы с доменом"

Цитата:

или это не имеет значения?

правильно

Цитата:

Как вы думаете почему так???

Таблицу маршрутизации изучай

Добавлено:
Shedrin
Если у тебя керио с софосом, то 80-й порт естественно уже им занят.
Если так, то как правило, видеорегистраторы позволяют слушать любой порт - измени на какой-то менее популярный.

unreal 777

Цитата:

Если у тебя керио с софосом, то 80-й порт естественно уже им занят.
Если так, то как правило, видеорегистраторы позволяют слушать любой порт - измени на какой-то менее популярный.

ч0-ты вы гоните не подецки, причём тут sophos и резервировние 80 сокета?

встроенный сервер обновления работает на 80 порту.
Тут никто не гонит.

Поменял на 81, ЗАРАБОТАЛО!
Спасибо, unreal 777 и coder666!!!

unreal 777
а можете мне скинуть ссылку на этот мануал)))).. думаю мне он пригодится...

таблица маршрутов создана вся автоматом, вот смотрю на нее и думаю, как быть с тем что провайдер у нас один, антенн две, айпи статичных два а в маршруте написано что если:
213.172.85.0 255.255.255.0 213.172.64.2 213.172.85.134 21
213.172.85.134 255.255.255.255 On-link 213.172.85.134 276



пробовал добавить маршрут через командную строку в виде следующей команды
route add -p 213.172.85.154 255.255.255.255 192.168.0.2, но вот на третьем же параметре команда ругается на то что 192,168,0,2 неверный интерфейс.

добавил пользовательский маршрут через КЕРИО, появилась запись
213.172.85.154 255.255.255.255 192.168.0.2 192.168.0.2 276
НО, метрика у записи сети 213.172.85.0 255.255.255.0 213.172.64.2 213.172.85.134 21 выше чем у записи хоста и по видимому он все равно запрос пинга посылает через него и не возвращает ответ.
Как быть??

serik1986
В гугле первая и вторая ссылки по словам "kerio настройка"

Добавлено:
Попробуй настроить выход в и-нет через один канал.
Потом отключи его и настрой через второй. Проверь, чтобы все работало по отдельности. А потом уже начинай скрещивать.
Команда tracert может показать почему пинги не ходят, где они пропадают. Потому что по двум строчкам из твой таблицы маршрутизации состоящие на службе у общества медиумы не могут составить полную картину маршрутов.

unreal 777
спасибо за ссылки... почитал и кое что даже уже изменил в настройках ДНС на контроллере домена и в настройках ДНС самого сервера а также настройки интерфейсов как вы мне сказали...... но это чисто оптимизация получилась... до этого все работало почти так же... в будущем увидим результаты)

Интересная вещь получилась, видимо БАГ, потому что отключив по очереди каждый из интерфейсов, проверил, все как и нужно было пинговалось! Но подключив их вместе перестал работать инет вообще, ни по айпи ни по имени адреса не открывались но и имена и адреса пинговались, я снова отключил все интерфейсы и по очереди включил, и пинги все пошли!
Но есть одна загвоздка меня немного смущает пинг и трасировка
Пинг по одному айпиадресу который раньше не пинговался доходит с задержкой в среднем 60мс, а по тому что раньше и так пинговался с задержкой <1мс, трасировка же первого айпиадреса проходит через шлюз провайдера и возвращается, а второго происходит превышение интервала времени и трасировка возвращается с отметкой 1мс, я думаю это потому что один интерфейс работает через модем а другой через PPPoE, т.е. напрямую в компе. Я верен в догадке или нужно еще где то порыть истину???

а теперь вопрос такой, что делать если опять пинг исчезнет, опять так с отключением включением интерфейсов играться??? думаю ведь должно быть разумное решение этому...

Да и строчка
213.172.85.0 255.255.255.0 213.172.64.2 213.172.85.134 21
из таблицы маршрутизации исчезла, как я и предполагал что она во всем виновата была.