» Kerio Control (ex Kerio WinRoute Firewall)

Вопрос по апгрейду техники и софта:
В данный момент работает, но загибается старенький комп celeron 2.8Ghz\500Mb ОЗУ\80Gb HDD\ Win XP SP3\KWF 6.7.1 6399\ internet 15Mbit
Если что-то качается с интернета или обратно, то комп почти на кнопки не реагирует.
Плюс есть новые задачи - наладить просмотр с хорошим качеством видео с камер в удаленных объектах (там сейчас ставятся камеры с записью на DVR).
1. Подскажите какой лучше купить новый компьютер для работы kerio control?
2. Какую лучше поставить операционку?
3. Какая версия kerio control стабильна на данный момент (из последних)?
Заранее спасибо.

alisun
Конечно же, это оффтоп. Но я тебе посоветую просто поставить фряху. Плюсы данного решения - можно использовать ту же машину, только винт побольше прикупить для записи видео, а софт - все абсолютно бесплатно.
А если по твоему вопросу конкретно, то:
1. на какой хватит денег
2. серверную
3. 7.0.1.1098

Valery12
Честно говоря читать зачастую просто не получается из-за не хватки времени, но по возможности перед самим действием бегло ознакомливаюсь с общей информацией. Копание начинается позже, как и сейчас например.
Прочел я раздел указанный по ссылке вами, я честно говоря понял там так, что интерфейсы которые смотрят на интернет НЕ должны иметь прописанного основного шлюза.
Я честно говоря попробовал так, но при перезагрузки машины, шлюз прописался сам по себе, о_О, я был удивлен, но система прописала его сама. Не подскажите почему?
В остальном все что было в инструкции я сделал еще до этого также. Таблица маршрутизации при этом совсем никак не изменилась.
Т.е. на текущий момент в том что у меня в таблице маршрутизации указан следующий шлюз по умолчанию 0.0.0.0 0.0.0.0 192.168.0.1 INTERNET (он же 192.168.0.2). Но как я понимаю когда я подключаюсь из вне к нашей сети по каналу который связан с INTERNET 2, предположим по RDP к серверу, я не могу подключиться, потому что ответ мне сервер пошлет через интерфейс INTERNET так как это маршрут по умолчанию для неизвестных хостов. В результате подключение по RDP я имею только через интерфейс INTERNET, а INTERNET 2 его не пропускает. Так и с остальными портами, если просканировать через mxtoolbox.com то айпи адрес который подключен к INTERNET 2 показывает что все порты закрыты, а если проверить айпи адрес который подключен к INTERNET то он мне отображает нужные мне открытые порты.
НО ОДНО НО... по статистике использования интерфейсов оба интерфейса работают как на входящий так и на исходящий канал, что у меня не вяжется с таблицей маршрутизации, так как с учетом моего умозаключения INTERNET 2 должен работать только на входящий трафик. потому что все ответы будут посылаться по шлюзу 0.0.0.0 в таблице маршрутизации. МНЕ ИНТЕРЕСНО где моя ошибка?

Цитата:

Прочел я раздел указанный по ссылке вами, я честно говоря понял там так, что интерфейсы которые смотрят на интернет НЕ должны иметь прописанного основного шлюза.

на уровне системы шлюз должен быть прописан на одном из них, лучше на том на который нужно подключаться из вне. Я последними версиями контрола, где появилась балансировка особо не ковырялся, если кто глубже в теме пусть поправит, но по моему эта технология использования нескольких интерфейсов со своими шлюзами заточена для доступа из локальной сети в инет, а при доступе из инета на фаервол и дальше в локальную сеть - для ответа используется только шлюз, заданный в системе.

Цитата:

Я честно говоря попробовал так, но при перезагрузки машины, шлюз прописался сам по себе, о_О, я был удивлен, но система прописала его сама. Не подскажите почему?

если это подключение pppoe, pptp, l2tp - шлюз и возможно статические маршруты получаются от провайдера иначе только DHCP - чудес не бывает

Когда в винде всетаки созданы два и больше шлюзов и метрики у них одинаковые пакеты уходят с обоих по очереди

Цитата:

если это подключение pppoe, pptp, l2tp - шлюз и возможно статические маршруты получаются от провайдера иначе только DHCP - чудес не бывает

Когда в винде всетаки созданы два и больше шлюзов и метрики у них одинаковые пакеты уходят с обоих по очереди

Видимо все таки чудо потому что это обычный интерфейс который подключен к роутеру, а на роутере настроена DMZ на этот самый интерфейс, т.е. роутер просто выступает в качестве дозвонщика по PPPoE, и пересылает все потоки в DMZ. и все таки он восстановил шлюз по умолчанию после перезагрузки, возможно это один из сюрпризов WINDOWS 2008 R2 о котором я пока не знал.

а что касается метрики, я так понимаю, если я добавлю самостоятельно в таблицу маршрутизации второй маршрут по умолчанию, то пакеты будут ходить по очереди с обоих? или даже если один маршрут по умолчанию то КЕРИО сам будет водить их по очереди?

Цитата:

но по моему эта технология использования нескольких интерфейсов со своими шлюзами заточена для доступа из локальной сети в инет, а при доступе из инета на фаервол и дальше в локальную сеть - для ответа используется только шлюз, заданный в системе.

доступ из вне возможен по всем внешним интерфейсам, при условии разрешающих правил трафика, на уровне системы действительно должен быть прописан только один шлюз по умолчанию(в свойствах сетевого интерфейса), но в самом керио, если посмотреть, шлюз указан на обоих интерфейсах, в тот же самый момент когда в таблице маршрутизации керио, так же отображается только один маршрут по умолчанию, через тот интерфейс на котором данный шлюз прописан в свойствах соединения в ОС.


Как это всё понять и как правильно сконфигурировать.

1) ДО установки контрола, прописываем шлюзы на обоих внешних интерфейсах.
2) ставим контрол, конфигурим распределение нагрузки
3) проверяем что в системе шлюз остался только на одном сетевом интерфейсе(через GUI, т.к. через route print покажет наличие двух маршрутов по умолчанию)
4) конфигурим правила трафика

источник_группа интернет интерфейсов
назначение_firewall
служба_ping
действие_разрешить

5) пингуем по обоим IP адресам вуаля есть ответ(в случае соблюдения всех требования)


Всё вышесказанное верно для KControl 7.1.2 и других 7ок что Software Appliance что Windows версий(проверялось на win2k8) и прямых Ethernet подключений


Что касается иных методов подключений, мопеды, ppoe, pptp l2tp и т.п. отличия минимальны, но с возможными особенностями, разобраться с которыми не так чтобы очень сложно.


Что касается "плавающих" маршрутов, то вопрос тут не к керио а к системе и настройке подключений и самой ОС.

Подскажите пожалуйста, может кто сталкивался с этим.
Есть сервер с Win 2008 с Керио Winroute Firewall 6.7 - 2 сетевые карты, одна смотрит в инет 84.1.1.1, другая в локалку 192.168.0.1. На сервере поднят CS server на 27015 порту. При коннекте из локалки на внешний ип сервера получаем тот же локальный ип в игре. А задача сделать "подмену" адреса, чтобы сервер видел игрока из локалки с белым ип (ип сервера) в игре. Иначе Win2008 через некоторое время игры из локалки закрывает порт 27015 интернет игрокам.
Заранее спасибо..

loveotherside
что-то я не понял, покажите ка правило трафика, которым публикуете 27015 сокет

Ребята вопрос такое по поводу правила для ДНС сервера:
Все сделал по мануалу как сказано в инструкции http://www.winroute.ru/forum/viewtopic.php?t=617

а сегодня в голову пришла что то мысль по поводу вот этого пункта
- 2.2 На контроллере домена в свойствах DNS нужно разрешить пересылку на IP-адрес DNS-сервера провайдера (и не забыть добавить правило в Traffic Policy, разрешающее контроллеру обращаться на DNS-сервер провайдера). Форвардинг в винроуте тогда нужно выключить.

вот то что указано в скобках меня смущает, товарищи знатоки, прошу оценить мое правило и исправить если я что то неправильно сделал. Правило я создал следующее:
1) имя - DNS Provider
2) источник - 192.168.1.214 (это мой ДНС сервер)
3) назначение - 213.172.64.234 (это ДНС сервер провайдера)
4) служба - DNS
5) действие - разрешить
6) протокол - галочки НЕ стоят (я в принципе вообще их не ставлю потому что не знаю для чего они, но без них вроде пока живется)
7) трансляция - (ВОТ ТУТ ТО У МЕНЯ И ВОПРОС, НЕОБХОДИМО ЛИ ВЫБРАТЬ ГАЛОЧКУ ВКЛЮЧИТЬ ИСТОЧНИК NAT И УКАЗЫВАТЬ ПРОИЗВЕСТИ РАСПРЕДЕЛЕНИЕ НАГРУЗКИ ДЛЯ ХОСТА или можно обойтись и без этого)
8) допустимое время - пусто
9) инспектор - по умолчанию

В общем то работает и так и так, но насколько верно использовать тот или иной способ я не знаю. Поэтому и спрашиваю. Заранее благодарю.

serik1986

ну а подумать немного?

у вас ведь общее правило доступ в интернет есть и там наверняка DNS протокол разрешён...

По поводу трансляции,если разрешаете трафик из частной сети в публичную, она нужна обязательно, учите мат часть, что и зачем нужна трансляция сетевых адресов.

Tihon_one

я запутался окончательно с этими правилами, решил переписать их заново, только вот из-за того что все уже по 10 раз исправлено в правилах, а еще более не мной, т.к. мне фактически передали керио, и я его теперь пытаюсь довести до нормальной функциональности.

Я прошу помощи в следующем:
Какие правила трафика в KERIO 7 устанавливаются по умолчанию при создании? т.е. грубо говоря какие правила есть когда его только установили и настроили интерфейсы на работу с интернетом, если правила отличаются от варианта использования, то с распределением нагрузки трафика, т.к. у нас используется два канала с двумя статическими адресами от одного провайдера, подключение осуществляется по PPPoE на обычных маршрутизаторах типа D-LINK DI808HV и далее по DMZ перебрасывают все пакеты на интерфейс (у каждого свой) KERIO сервера.

Здравствуйте, господа! Давно не заходил в эту ветку.

Проблема такая. Есть машина под KWF 6.3.1 build 2906 были прописаны статические настройки на внешней карте и всё успешно работало 2 года. Сейчас сменили провайдера и доступ осуществляется по дозвону, через PPPoE. Изменил настройки в ТП. Интернет заработал. Но беда в чём, через пару часов работы интернет отваливается на всех машинах, в том числе на файерволе. А в ErrorLog начинает писаться ошибка о том, что он не может перенаправить ДНС запрос на адрес сервера днс. И ругается на сокет. Проблема решается исключительно перезагрузкой машины. Дело не в провайдеровских днсках, поскольку также не отзываются и днс гугла.

Собственно не знаю с чего начать копать. Посоветуйте. Если это баг старой версии, то можно ли безболезненно перейти на более новую версию, с сохранением настроек.

Спасибо.

Нет DNS, это понятно, но сам нат работает или нет. трасса с сервера на внешний ip доходит или нет?

Нет трасса не доходит. Ругается что хост не доступен.

пингуется ли шлюз провайдера? Поднят ли pppoe? Если да, то помогает ли если соединение разорвать, а потом установить?

Шлюз пинговать не пробовал, так как настройки задаются автоматически, сейчас глянул ipconfig /all - это нормально что внешний айпи и айпи шлюза совпадают на внешней карте оО? ПППоЕ поднят, но соединение не рвётся. Гуглю схожую проблему, похоже виснет коннект в винде. Осталось понять Причем ли здесь Керио или нет.

Добавлено:
Так, проблема врядли в Керио. Нашел в Журнале ошибку, вызванную svchost, которая как раз в моменты обрывы связи. Буду дальше думать. Однако если у кого похожая проблема была, то прошу поделиться решением.

Помогите решить проблему
Интернет спутниковый двусторонний, на сервере две сетевые лан, инет и керио 7.1.1.
Проблема: при ограничении скорости раздачи интернета пользователям скорость режется всем. На пример при превышении квоты 30 мб в день, ставлю органичение юзеру 10 кб/с. Так вот если этот пользователь, превысевший квоту, начнет слушать музыку или вебсерфить, то почему-то у всех скорость режется, и у админа в том числе, хотя никакой квоты нет. Навремя увеличу скорость превысевших квоту, у всех нормально начинает работать интернет. Получается канал у нас 1 мб/с, режу пользователю скорость до 10 кб/с, у админа должно поидее быть остальной канал в 90%, но он падает вместе с юзером до 10 кб/с
Спасибо за ранее.

dugarovbato
ipconfig /all
снимок настройки авторизации
снимок активных хостов

Добавлено:
serik1986
правила по умолчанию, это:


локальный трафик+доступ к интернету NAT+трафик межсетевого экрана+правила публикации сервисов(я не помню спрашивает ли он название для данных правил или задаёт какое-то своё) которые надо публиковать либо на сервере KControl либо на хостах внутри сети.

Tihon_one
это как я понял по мастеру настройки?

я вот только не могу понять для чего нужен и как работает трафик межсетевого экрана... Если вас не затруднит простым понятным языком объясните мне пожалуйста что это такое?

Цитата:

я вот только не могу понять для чего нужен и как работает трафик межсетевого экрана

чемпионат мира по глупым вопросам здесь проходит?
про межсетевые экраны доступно
А керио тоже сетевой экран?

unreal 777
при всем уважении, я вопрос задал вообще то непосредственно про ПРАВИЛО трафика межсетевого экрана?

serik1986 Вы в принципе понимаете что такое пакетный фильтр и как он работает?


Вам ведь надо как-то самому МСЭ разрешить выход в интернет. Пакетный фильтр для всех одинаково работает.

- так понятней?

а теперь работаем с простой логической цепочкой.
Керио -это "межсетевой экран корпоративного уровня" (в шапке написано)
Политики трафика определяют, что и кому разрешено.
Политика трафика, которая называется "трафик межсетевого экрана" определяет что? Какой трафик разрешен кому и чему??
Ну, ну, думаем!?

unreal 777
нет это я понимаю....

мне вот что интересно:
если к примеру есть правило в котором прописано что например хост в локальной сети 192.168.0.5 делает запрос например на какой то конкретный хост вне локальной сети, например 213.172.85.154 - ТО бросать этот поток на сервер который полюбому находится в локальной сети по указанному IP+порт, дабы не делать петли через интернет. Как в таком случае сработает стандартное правило ТРАФИКА МЕЖСЕТЕВОГО ЭКРАНА? т.е. просто перебросится ли поток на сервер как написано в правиле выше, или же сначала сработает правило ТРАФИКА МЕЖСЕТЕВОГО ЭКРАНА, в котором он проверит можно ли использовать данный поток, а потом в результате бросит его на сервер если это можно или же уничтожит, в случае если нельзя.

первое правило находится выше правила ТРАФИКА МЕЖСЕТЕВОГО ЭКРАНА, на сколько я знаю в КЕРИО они обрабатываются сверху вниз по порядку.

Ответом на этот вопрос я хочу понять следующую логику, все ли правила в КЕРИО при отсылке в интернет сначала задерживаются в БРАНДМАУЭРЕ или же как я написал выше для примера можно обойти его?

Добавлено:
Tihon_one
вот так стало яснее спасибо.
получается что все что хочет идти из внутренней сети в интернет, уходит фактически от брандмауэра, но только в случае если брандмауэру это разрешено.

serik1986
нет вы категорически не правы, от имени МСЭ уходят ТОЛЬКО соединения инициированные самими МСЭ, в двух случаях, соединение требуется системой МСЭ, соединение требуется прокси-запросом клиента вашей локальной сети.

Соединения которые идут от хостов вашей ЛВС через шлюз по умолчанию, и транслируются в сеть Интернет, обрабатываются правилами типа:

источник_доверенные\локальные(локальные IP адреса, сети)
назначение_интернет(публичные IP адреса)


P.S.>>опять же почитайте мат.часть по прокси-серверам и NAT шлюзам.

Tihon_one
ясно...

но у меня получается не работает NAT, я пытаюсь сделать следующее:
у меня два статических IP, эти адреса присвоены модемам, у модемов локальные адреса 192.168.0.1 и 192.168.2.1, к прокси серверу они подсоединяются по адресам 192.168.0.2 и 192.168.2.2 соответсвенно, локальная сеть 192.168.1.0, КЕРИО настроен на распределние нагрузки трафика, я хочу подсоединяться к серверу из вне по RDP с обоих адресов, но соединение проходит только по 192.168.0.1, это логично потому что шлюз по умолчанию в системе указан только у него, у второго интерфейса я шлюз по умолчанию указал в КЕРИО, но это не помогло, да и в принципе я не совсем понял логику этого распределения нагрузки, работают оба интерфейса, по статистике использования почти одинаковый трафик, т.е. все таки каким то образом хосты работают по второму интерфейсу не взирая на правило маршрута по умолчанию, но почему тогда обычным правилом:
ИСТОЧНИК - интернет-интерфейсы
НАЗНАЧЕНИЕ - БРАНДМАУЭР
СЛУЖБА - RDP
ДЕЙСТВИЕ - разрешить
ТРАНСЛЯЦИЯ - NAT Распределение нагрузки по хостам MAP 192.168.1.N:3389

я не могу подключится по второму шлюзу?

serik1986
ну что я могу сказать, плати мне пивом, я тебе дам номер своей аси, и мы решим всё в частном порядке, т.к. тут флудить кучей сообщений против правил.


мне будет нужно много отладочной информации, так что иначе никак, тут разводить эти сопли я не хочу. А когда решим проблемы твоя задача будет подробно тут решение запостить.

Tihon_one

Если вы будете в Баку с удовольствием угощу пивом

Ну а запостить тут подробный и разжеванный вариант решения моей проблемы я с удовольствием! Могу даже с картинками постараться!

serik1986
уж лучше вы к нам.
ася в личке

Tihon_one

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : serverinternet

Основной DNS-суффикс . . . . . . :

Тип узла. . . . . . . . . . . . . : неизвестный

IP-маршрутизация включена . . . . : да

WINS-прокси включен . . . . . . . : нет

Internet - Ethernet адаптер:

DNS-суффикс этого подключения . . :

Описание . . . . . . . . . . . . : D-Link Wireless 108G DWA-520 Desktop Adapter

Физический адрес. . . . . . . . . : 00-22-B0-E9-7B-64

DHCP включен. . . . . . . . . . . : нет

IP-адрес . . . . . . . . . . . . : 77.234.197.66

Маска подсети . . . . . . . . . . : 255.255.255.248

Основной шлюз . . . . . . . . . . : 77.234.197.65

DNS-серверы . . . . . . . . . . . : 192.168.0.1

local - Ethernet адаптер:

DNS-суффикс этого подключения . . :

Описание . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet NIC

Физический адрес. . . . . . . . . : 00-E0-4C-4C-3E-E3

DHCP включен. . . . . . . . . . . : нет

IP-адрес . . . . . . . . . . . . : 192.168.0.209

Маска подсети . . . . . . . . . . : 255.255.255.0

Основной шлюз . . . . . . . . . . :

DNS-серверы . . . . . . . . . . . : 192.168.0.1

Kerio Virtual Network - Ethernet адаптер:

DNS-суффикс этого подключения . . :

Описание . . . . . . . . . . . . : Kerio Virtual Network Adapter

Физический адрес. . . . . . . . . : 44-45-53-54-4F-53

DHCP включен. . . . . . . . . . . : да

Автонастройка включена . . . . . : да

IP-адрес . . . . . . . . . . . . : 172.27.84.1

Маска подсети . . . . . . . . . . : 255.255.255.0

Основной шлюз . . . . . . . . . . :

DHCP-сервер . . . . . . . . . . . : 172.27.84.2

NetBIOS через TCP/IP. . . . . . . : отключен

Аренда получена . . . . . . . . . : 19 августа 2011 г. 4:32:50

Аренда истекает . . . . . . . . . : 20 августа 2011 г. 4:32:50