» Kerio Control (ex Kerio WinRoute Firewall)

вопрос по поводу прокси-сервера в Керио
можно ли в нем задавать юзеров, лимитировать трафик, запрещать сайты?
И он что, не умеет статитстику HTTP строить, раз рекомендую использовать сторонние программы?!

то есть Керио сейчас уже больше файервол, чем прокси?

Вопрос по предоставлению трафика тонким клиентам в Керио с авторизованными пользователями в AD. Как правильно учитывать если все пользователи работают на сервере... Будет ли первая авторизованная сессия открывать доступ все остальным ??

керио пока 6.7.1... есть два вопроса, хотя наверное они уже проскакивали, напомните плиз:

1. пользователям считает трафик из кэша или все таки нет?

2. стоит две сетевухи на керио

- 1 сетевуха - назовем "инет" - имеет 2 айпишника - допустим 213.0.0.1(это инетовский айпи) и 172.0.0.1(это внутренний провайдеровский, для того чтобы между пользователями был бесплатный трафик)
- 2 сетевуха назовем "локал" имеет 1 айпи - допустим 192.168.0.1

пытаюсь залезть на фтп по инетовскому айпи допустим 213.0.0.2... все ок... великолепно работает и в активном и пассивном режиме...

пытаюсь залезть на фтп внутреннего провайдеровского айпи допустим 172.0.0.2... не пущает... пишет "451 Passive mode denied by firewall" и висит на моменте чтении директории... в логах фтп пишет что конекчусь с внешнего айпи почему то... а не с 172 сегмента...

чего делать то... или тупо сетевуху добавить еще одну... знаю что работать будет... а если нету в данный момент... контора гос.... пока купишь фиг знает сколько времени пройдет...

kermit

Цитата:

вопрос по поводу прокси-сервера в Керио
можно ли в нем задавать юзеров, лимитировать трафик, запрещать сайты?
И он что, не умеет статитстику HTTP строить, раз рекомендую использовать сторонние программы?!

то есть Керио сейчас уже больше файервол, чем прокси?

все в нем есть!!!

covex11

Цитата:

1. пользователям считает трафик из кэша или все таки нет?

на то и кЭш, чтобы экономить - трафик не считает.

adjuster

Цитата:

на то и кЭш, чтобы экономить - трафик не считает.

сенкс... просто брал по аналогии с трафик инспектором... а там есть галочка считать кэш для юзеров или нет...

Как правильно будет выглядеть правило?

Необходимо чтобы для соединившихся через kerio vpn. И обращающихся к серверу vpn (172.26.29.1) по порту 1433 мапились на адрес 192.068.0.2 на порт 1433(MS-SQL). Внутри локальной сети. Тобишь vpn клиентам недавать доступ к внутренней сети просто перенаправлять со шлюза на определённый сервер в сети. Возможно ли ?

Как предположение:
Все VPN клиенты - 172.26.29.1(или firewall) - 1433 - MAP:192.068.0.2

hristoff

Цитата:

Все VPN клиенты - 172.26.29.1(или firewall) - 1433 - MAP:192.068.0.2

Да.
Возможно понадобится на этом правиле включить NAT на локальный интерфейс (зависит от сервера 192.068.0.2)

Помогите пожалуйста вопрос срочный
суть проблем такова
стоит два сервера один АД+ТС 10.0.1.1
второй интернет 10.0.2.1 как с помщью керио перебросить
трафик на первый сервер и дать его клиентам сети 10.0.1.0

LDEL
Поможем, но http://tkaska.ru/kakpravilnozadatvopros.html пункт 5

adjuster
Изменяюсь ладно подскажите как создать правила для Kerio я новичек и в первый раз с ним сталкиваюсь
елси можешь напиши номер ICQ просто вопрос очень важный и срочный нету времени на копания на форуме....
спасибо зарание

LDEL
http://www.redline-software.com/rus/support/docs/winroute/ch05s01.php

читайте, за вас только никто ничего делать не будет.

Мужики добрый день! Вопрос по маршрутизации с помощью Kerio:

ОС Win2003 R2
Установлен Kerio Control 7

На сервере установлено 2 сетевых интерфейса

lan1: 192.168.0.0 255.255.255.0
IP1 192.168.0.15 mask 255.255.255.0 gateway 192.168.0.1

lan2: 10.90.4.0 255.255.255.0
IP2 10.90.4.1 mask 255.255.255.0

====
На клиенте lan2:

IP 10.90.4.2 mask 255.255.255.0 gateway 10.90.4.1

====
Настройки правил:

===

На обоих клиентах прописываю вручную маршруты
для lan1 route add 10.90.4.0 255.255.255.0 192.168.0.15
для lan2 route add 192.168.0.0 255.255.255.0 10.90.4.1

===
На клиенте сети lan1 ping пошел на любой из lan2

А вот на клиенте сети lan2 ping не пошел на любой из lan1. прошел только на 10.90.4.1 и 192.168.0.15

В чем проблема ???


==========

конфиг рабочий

проблема снята. проблема была в том, что запутался что куда пингать.

tywkan4eg
я предполагаю, что в маршрутизации надо


ipconfig /all
с компа в lan1 и lan2 и с хоста winroute

route print
с компа в lan1 и lan2 и с хоста winroute


tracert
с компа в lan1 к компу в lan2
с компа в lan2 к компу в lan1

спасибо за Инфу так и не помогла она мне((((

Народ. Кто нибудь пробовал сделать так, чтобы обновления Windows автоматом скачиваемые с сайта мелкософта, не шли в учет квоты пользователю? А то вот скачалось сегодня обновление и вся квота ушла. Нервничают усеры.

LDEL
что сделали?

по пунктам, как и что вы настроили?

Germanus
Необходимо адреса, с которых скачиваются обновления, добавить в Исключения.

adjuster
В исключения чего? Конфигурация -> Учет? Стоит исключение. В статистике, открываемой в браузере исключается, не видно. Квоту съедает одночленственно...

Помогите с правилом:
Есть:
1. Лок сеть с retracker.local
2. Есть 2 сетевухи одна смотрит в Локалку с retracker.local , вторая на ПК2 (сетевухи не на мосте, на разных диапазонах адресов)
3. Керио раздаёт инет на ПК2
4. Пробросил порты для Торрента для ПК2

Проблема:
ПК2 не видит Локальную Сеть 1 и retracker.local. Какое нужно правило?
Скринов привести не могу.
Помогите с определением правила.
ПС: 1 сеть подымается по DHCP + ещё для инета VPN.
2 сеть жёсткая 192.168.0.1 и 192.168.0.2 для 2ПК

Tihon_one
все разобрался спасибо
за помощь

RuS_UA

Цитата:

Скринов привести не могу.

Цитата:

Помогите с определением правила.

Скрин Интерфейсы и ipconfig /all с компа с торрентом.

Имеется следующая схема сети.
Роутер kerio 6.7.1 build 6399
На нем 2 интерфейса
Локалка 192.168.1.90 и внешка
На всех рабочих станциях шлюзом по умолчанию 192.168.1.90
В сети имеется VPN 192.168.1.85, который соединяет удаленный сети(192.168.2.0, 192.168.3.0 и тд) с главным офисом компании.
На kerio прописана маршрутизация на сети 192.168.2.0 и 192.168.3.0 через 192.168.1.85
Из сетей 192.168.2.0 и 192.168.3.0 пингуются все машины сети 192.168.1.0 и обратка, а вот остальные протоколы не доступны.
На kerio прописаны правила разрешающие любой трафик на сети 192.168.2.0 и 192.168.3.0.
Вопрос:
Почему проходит только ping.
Если на машинах сети прописать шлюз по умолчанию 192.168.1.85 или маршрут на этот шлюз все прекрасно работает и вся сеть видна.
Из этого делаем вывод затык именно в kerio.
Пробовали удалять все правила писать заново результата 0.
Все остальные правила работают, как и положено.
Сейчас стоит самым первым правило:
Источник(vpn firewall доверенный/локальный) назначение (vpn firewall доверенный/локальный) служба(любой) – где VPN сети 192.168.1.0, 192.168.2.0 и 192.168.3.0

denis255
попробуйте отрубить инспектор протоколов на данном правиле+включите логирования пакетов на данном правиле и последите как бегают пакеты по другим протоколам отличным от icmp

denis255

Цитата:

В сети имеется VPN 192.168.1.85

Цитата:

Из сетей 192.168.2.0 и 192.168.3.0 пингуются все машины сети 192.168.1.0 и обратка

Цитата:

Роутер kerio 6.7.1 build 6399
На нем 2 интерфейса
Локалка 192.168.1.90

ТЫ себе схему то хоть представляешь? - причем здесь KWF???!!!
нарисуй карандашом схему свою!!!

Добавлено:

Цитата:

Если на машинах сети прописать шлюз по умолчанию 192.168.1.85

На клиентах маршруты прописывай в подсети 192,168,2,0 и 3,0!!!

Tihon_one
Отрубил
Cмотрел логи connection упоминание есть только на ping от машины в 192.168.2.0
adjuster

Цитата:

ТЫ себе схему то хоть представляешь?

Схема описана в тексте. По моему все понятно.

Цитата:

причем здесь KWF???!!!

Он установлен на шлюзе и явно режет все пакеты проходящие через него кроме пинга.

Цитата:

На клиентах маршруты прописывай в подсети 192,168,2,0 и 3,0!!!

Да это самый простой вариант и как было сказано выше он замечательно работает.
Вопрос в другом
Почему не пашет связка прописывание маршрута на керио как шлюза по умолчанию для всех машин сети.
Правилами ему все разрешенно для этого.
Если нет то подскажите правильную логику.
Прописывать на всех машинах персональные маршруты не есть хорошо с точки зрения управления сетью. Такие задачи решаются на шлюзе где и стоит керио.

adjuster
ну наверное всё таки уважаемый denis255 прописал маршруты на KWF, а клиенты шлют запросы в эти подсети через свою таблицу маршрутизации в хост основного шлюза.

Добавлено:
denis255
смотрите лог filter, и попытайтесь установить связь по rdp(например) т.к. если пинги ходят через KWF, то всё остальное может быть срезано только вашей собственной конфигурацией.

Tihon_one
Да все верно.

Цитата:

На kerio прописана маршрутизация на сети 192.168.2.0 и 192.168.3.0 через 192.168.1.85

----

Цитата:

смотрите лог filter, и попытайтесь установить связь по rdp(например) т.к. если пинги ходят через KWF, то всё остальное может быть срезано только вашей собственной конфигурацией.

Пробовал.
В логах filter упоминания о сети 192.168.2.0 нет

значит данный трафик режется другим правилом, скриншот политик трафика покажите.

Tihon_one

Цитата:

Источник(vpn firewall доверенный/локальный) назначение (vpn firewall доверенный/локальный) служба(любой) – где VPN сети 192.168.1.0, 192.168.2.0 и 192.168.3.0

Стоит в самом верху.
Как понимаю если данное правило правильное, то срабатывать должно именно оно.

)))
Исх: клиент-KWF-другой шлюз-назначение
Вхд: назначение-другой шлюз-клиент

Пинг работает.

Остальные протоколы проверяются элементарно:
отключаешь KWF и с этой машины проверяешь работу других протоколов
включаешь KWF и с этой маишны проверяешь работу других протоколов