» Kerio Control (ex Kerio WinRoute Firewall)

[q][/q]
ок, выставил на скачать 100 kbit/s, на загрузить - 150 kbit/s
теперь верно.

теперь другая проблема вылезла, вчера ночью когда клиентов было штуки 3-4 интернет нормально работал, сейчас полная скорость как будто не достигается, не говоря уже о настройках приоритета трафика.

в чем может быть дело?

Можно ли в Керио контрол выставить точное время проверки обновлений антивируса? В консоли указывается только периодичность с отсчетом от последнего обновления, а оно может быть назначено случайным ообразом, так вот можно отсчет сделать фиксированным? Ну как мечта: внешней командой запускать поиск обновлений?

chunek
контрол, в случае когда у тебя есть рпавила по резервирования скорости канала, будет выступать т.н. бутылочным горлишком, т.е. будет удерживать скорости чуть ниже указанной в пропускной способности интерфейса, это делается для того, чтобы он не терял пакеты приходящие к нему на скорости в 100 мегабит по твоему локальному подключению


Добавлено:
tanuky
нет это сделать нельзя, а в чём проблема?

Цитата:

Можно ли в Керио контрол выставить точное время проверки обновлений антивируса?

Только для внешнего антивируса.

Добавлено:
2 chunek :


Цитата:

в чем может быть дело?

Полную ширину канала down/up выставил? Нужно указать значение равное {Ширина канала - 10%}.

Rolisov
красава, блин.... а можно максимально подробно с указанием на конкретику? Спс заранее.
Я не про страные придуманные 10%, я про всего лишь внешний антивирус, хотя и то и другое в качестве ответа более, чем странно. Поясни, плс, детально и с примерами, не сочти за труд не напрягать мой никчемный мозг такой очень высокомерной глубокомысленной недосказанностью: дай практик-совет типа мастер-класс, а то звучит твой пост как петушиный крик в ненужное время.

Добавлено:
Tihon_one
проблема есть в нестыковке времени использования канала для загрузки обновлений.
В резалте такой нестыковки есть проблемы в локальной сетке, поскольку юзается оплаченная лицензия для 6.7.1 до 12 года...и не надо 7.0. и далее...
типа, с макакой не все хорошо, отсюда вопрос и возник.

Добавлено:
да, поясню: не проблем с обновой макаки, нет проблем с лицухой. Не буду я переводить эту систему на 7 кериотскую линейку, а все уже оплачено на много вперед.
Мне надо просто засинхронить время обнов моей макаки в системе с временем обнов макаки в керио, вот и все.

Rolisov

Цитата:

Выполни с хоста Керио в командной строке:

1) nslookup local-computer
2) nslookup local-computer local-dns1
3) nslookup local-computer local-dns2

Есть ли разница в результатах запроса?

Вообще ничего не резолвится. Скажите, днс-сервер в винде на машине с керио должен быть поднятый или для определения имени достаточно правильной настройки интерфейсов как в шапке? Потому как при 6.6 у меня днс не был поднят, а имена определяло. Видимо там брало по нет-биос имена, а в 7.2 только по днс

Tihon_one
если я не очень ясно изложил, но Вы можете помочь - может в лс перенесем общение, чтобы не напрягать общество?

tanuky
тебе вообще, чтобы обновлять макаку, надо переходить на сервер обновлений самой макаки, но это уже нарушение использования продукта+каким образом ты смог купить продление до 2012 года, ведь лицензий на макаку уже больше двух лет не продают? 8))

Rolisov
да! поставил на всякий случай побольше 500 kB/s и на загрузку и на скачивание. вроде работает пока. но хотелось бы узнать какие точные надо ставить, у нас к примеру мегабит гарантированный, скачивается примерно со скоростью 100 Кб/с, в настройках скорости канала обозначения английские - так что ставить на значение "скачать" ?
аплоад чуть больше скорость ну где то 120-150 Кб/с


и ещё, как и многих началась проблема с отправкой писем из The Bat. Везде пишут что надо отрубить в инспекторе протоколов SMTP - а где этот чертов инспектор протоколов то в 7.2 версии? я видимо слепой %) вышел из положения пока отрубив предотвращения вторжения.

2 chunek:

У тебя ширина канала от провайдера равна 1 Mbit/s (скорость не больше 128 kB/s), а реальная полоса пропускания обычно уже на 10-20% (в зависимости от провайдера), поэтому тебе нужно указать в настройке полосы пропускания для связи с Интернетом:
{Скачать}: 1 Mbit/s - 15% = 1024 kbit/s - 15 % ~ 870 kbit/s. {Загрузить}: те же значения.

Цитата:

а где этот чертов инспектор протоколов то в 7.2 версии?

В настройках "Политика трафика - Правила трафика" добавь сверху столбец "Инспектор".


Добавлено:
2 tanuky :

Цитата:

...а можно максимально подробно с указанием на конкретику? Спс заранее.

Точное время обновления настраивается только для внешнего антивируса в Керио с помощью планировщика самого антивируса. В самом Керио задать точно время не получится.

Rolisov
chunek
повторюсь, если среди правил ABM есть резервирующее канал правило, для чего угодно, контрол будет несколько искусственно понижать общую полосу пропускания для того чтобы ABM мог работать корректно и не было потерь пакетов

2 PODs:

Цитата:

Вообще ничего не резолвится. Скажите, днс-сервер в винде на машине с керио должен быть поднятый или для определения имени достаточно правильной настройки интерфейсов как в шапке? Потому как при 6.6 у меня днс не был поднят, а имена определяло. Видимо там брало по нет-биос имена, а в 7.2 только по днс

DNS-сервер на компе с Керио поднимать не надо, достаточно включить в параметрах DNS: "Переадресация DNS" и "Разрешение DNS". Если у тебя нет локального DNS-сервера, значит нет и домена AD, поэтому вполне можно на компе с Керио поднять службу "Обозреватель компьютеров", на локальном сетевом интерфейсе Керио проверить, чтобы были включен клиент для сетей Microsoft, а в настройках протокола Интернета (TCP/IP) включен NetBIOS. Также нужно проверить, чтобы была запущена служба "Модуль поддержки NetBIOS через TCP/IP".


Добавлено:
2 Tihon_one:

Цитата:

повторюсь, если среди правил ABM есть резервирующее канал правило, для чего угодно, контрол будет несколько искусственно понижать общую полосу пропускания для того чтобы ABM мог работать корректно и не было потерь пакетов

При условии, что провайдер выдает гарантированную ширину канала, а не просто порт на 10/100/1000 Мбит/с, скорость на котором зависит от текущей загрузки всеми абонентами провайдера общего канала в интернет.

Rolisov
ага нашел, выставил "нет" в правиле интернета и всё равно бат не отправляет письма. как отключить именно инспектор протоколов на smtp именно не подскажете?

Tihon_one
то есть надо нарочито завышать значение пропускной способности канала в настройках керио чтоб все нормально было да? или я не правильно понял?

2 chunek:

Цитата:

ага нашел, выставил "нет" в правиле интернета и всё равно бат не отправляет письма. как отключить именно инспектор протоколов на smtp именно не подскажете?

Чтобы полностью выключить инспектор протокола для службы нужно зайти в настройки Керио "Определения - Службы" и убрать привязку службы к инспектору протокола.

Rolisov
то есть выставить в службе SMTP в списке инспектор протоколов "нет", так? выставил не помогло да так что вообще почта не работала, по прежнему спасает лишь отключение предотвращений...

2 chunek:
Значит у тебя проблема не в инспекторе протокола, ну ты наверное это уже и сам понял

Добавлено:

Цитата:

по прежнему спасает лишь отключение предотвращений...

Если хочешь оставить в рабочем состоянии IPS, но выключить его для протокола SMTP, зайди в настройки "Предотвращение вторжения - Дополнительно" и в таблице "Обнаружение использования уязвимостей в протоколах" для службы SMTP поставь любой не используемый пользователями порт за пределами системных от 1 до 1024.

Добавлено:
2-й вариант: можно посмотреть в логах какие сигнатуры определяет IPS в момент блокировании SMTP-трафика и добавить их в исключение там же в "Игнорируемые сигнатуры".

Rolisov

Цитата:

При условии, что провайдер выдает гарантированную ширину канала, а не просто порт на 10/100/1000 Мбит/с, скорость на котором зависит от текущей загрузки всеми абонентами провайдера общего канала в интернет.

при условии нестабильного канала как можно говорить вообще о резервировании полосы, если её нет как таковой. от чего-то надо отталкиваться, поэтому и необходимо выставить значение полосы максимально реальное, думаю что среднее арифметическое значение можно использовать но в случае максимальных провалов, можно ожидать большие потери на канале.

chunek

Цитата:

Tihon_one
то есть надо нарочито завышать значение пропускной способности канала в настройках керио чтоб все нормально было да? или я не правильно понял?

как раз наоборот, если ты хочешь чтобы всё работало верно, то надо выставлять скорость наиболее близкую к реальной пропускной способности, иначе ты получишь большие потери на канале, как следствие описанной выше ситуации, с прыгающей скоростью подключения.

chunek
Для того чтобы отключить правило, которое блокирует доступ твоих почтовых клиентов перейди в протокол security и найди сообщение которое соответствуют событиям блокировки твоих потовых клиентов.

В данных сообщениях есть параметр Rule ID: 1:3000003 две цифры после двоеточия есть цифровой идентификатор правил, необходимо скопировать их и перейти в следующий раздел конфигурации в консоли администрирования Керио: конфигурация\политика трафика\предотвращение вторжения.
На данной странице нажми кнопку "дополнительно" и потом кнопку "добавить" вставь идентификатор правила, и нажми "ок"\"применить".


всё блокировка снята.

Tihon_one
Rolisov
вот что дает лог секьюрити:
IPS: Packet drop, severity: High, Rule ID: 1:2008411 ET TROJAN LDPinch SMTP Password Report with mail client The Bat!, proto:TCP

ставил и порт другой (1001 для примера) и в игнорируемые добавлял следующие цифры: 20, 200,2008,11,8411 - ничего не дало. лог в секьюрити такой ж опять появлялся (((

Доброго всем времени суток!
Ребята помогите пожалуйста настроить Kerio.
Опишу ситуацию:
Имеется сервер на нем развернут AD,DNS,DHCP.
На другом сервере стоит Kerio.
Интернет подключен через Роутер по протоколу PPPoe.
От роутера идет кабель в общий свитч.
Подскажите пожалуйста, как мне все это дело завязать, чтобы интернет шел не на прямую через роутер.
Сейчас шлюз стоит 192.168.0.98 (роутер)
IP адреса:
Домен: 192.168.0.88
Керио сервер: 192.168.0.30
Роутер: 192.168.0.98
Опишите пожалуйста подробно, что и как нужно сделать, и какие правила создать. За ранее благодарю за помощь.

2 chunek:

Цитата:

1:2008411

Только с этим пробуй, а номера портов в IPS для SMTP верни обратно.

Rolisov
получилось, СПАСИБО!!!!

ура ура ура

2 Tiesto59:

Цитата:

Опишите пожалуйста подробно, что и как нужно сделать, и какие правила создать.

Почитай тут - http://forum.ru-board.com/topic.cgi?forum=8&topic=37426&start=1840#7
Это как один из вариантов, но можно и по-другому сделать.

Добавлено:
2 chunek:

Цитата:

получилось

Это хорошо, но также было бы полезно узнать причину срабатывания IPS (мало ли что).

Rolisov
А как еще можно?

Цитата:

А как еще можно?

Можно, но это уже оффтопик для этой темы, давай в личку.


Добавлено:
2 Tiesto59:

2-й вариант: поднять на компе с Керио виндовыми средствами PPPoE соединение с интернет-провайдером, которое создаст дополнительный программный сетевой интерфейс и его можно будет указать в Керио как внешний, тогда "железный" роутер будет уже не нужен.

3-й вариант: в том случае, если PPPoE соединение устанавливается через DSL-модем, нужно поменять твой DSL-модем/роутер на DSL-модем с интерфейсом USB-host, через который он будет соединен с компом Керио - здесь мы получаем дополнительный аппаратный сетевой интерфейс для интернета в Керио.

Добавлено:
P.S. 2-й и 3-й варианты избавляют нас от необходимости двойного NAT-а.

Tihon_one
я зашел посмотрел на свою диаграмму трафика, увидел что там скорость скачивания у меня пишется как 100 kB/s, выставил себе в канал такую цифру в ширину полосы пропускания. Вы говорите что контрол занижает скорость чтобы все верно работало, а как то без занижения скорости можно управлять шириной канала и определять приоритет трафика?

и вообще мне кажется что керио снижает нехило так скорость убрал пока правила приоритета совсем, посмотрим.

chunek
мне не совсем понятен ваш вопрос, если мой пост прочитали нормально, то вы знаете в каких случая контрол начинает ограничивать интернет линк.

Tihon_one
то есть чтоб он не ограничивал не надо ставить правила приоритета трафика да?

если вы ограничиваете полосу для трафика то не будет резать скорость, если есть правила резервирующие полосу, т.е. гарантируете пропускную способность канала не ниже порогового значения, то будет.

Rolisov
Спс за помощь, все оказалось банально просто - в тот же день рассыпался винт. После полной реанимации машины все заработало так как надо, нет-биос имена на месте )

Вот в догонку еще один вопрос - в 7.2 появилась возможность смотреть график использования оперативки и загрузки CPU. Заметил одну интересную вещь - если что то копировать по сети или скачивать с инета на большой скорости winroute.exe начинает кушать процессор в пределах 20-30% (1-ядерный, 2Ггц). Может такое и раньше было на 6.6, просто никогда не обращал внимания. Кто может, посмотрите и у себя графики загрузки процессора при копировании файлов по сети. IPS, встроенный антивирь и антиспуфинг отключены, с ними еще больше жрет