» Kerio Control (ex Kerio WinRoute Firewall)

Цитата:

IPS, встроенный антивирь и антиспуфинг отключены, с ними еще больше жрет

Есть еще инспектор протоколов и правила фильтрации IP/URL, которые могут нагружать процессор. Советую выставить в настройках винды оптимизацию памяти для сервера, выполняющего приложения, а не для файл-сервера как по умолчанию. Если оперативной памяти достаточно, то можно полностью отключить файл-подкачки в винде.


Добавлено:
P.S. Также излишнее логирование в журнале "debug" может приводить к нагрузкам на процессор.

Rolisov
С нагрузкой на процессор попробовал разные варианты - немного и выиграл. Зато выяснил другой очень прискорбный факт - на машине с керио поднят фтп сервак, при попытке скачивания с сервака какого то файла по внутренней локалке через фтп скорость не превышает 20-30 Мбит/с, как только отключаю инспектор протокола для фтп сразу получаю почти 100 Мбит. Но если его вырубить то тогда не хочет работать пассивный режим подключения. Короче жесть, наверное буду откатываться на 6.6

Для подключения по локальной сети к фтп-серверу пассивный протокол не нужен.

В Керио есть отдельные правила для фильтрации FTP-протокола, там можно задать правило, которое разрешит использовать все ftp-команды при соединении пользователя локальной сети с фтп-сервером на хосте Керио.

Насчет инспектора протокола (ИП): ты можешь создать правило в "traffic policy", которое будет разрешать службам между локалкой и керио работать без использования ИП.

Добрый день.
Столкнулся с такой проблемой: соединял как-то две компьютерные сети посредством керио vpn туннеля. Было это на KWF 6.7 и всё работало прекрасно. После того, как я обновил его до версии 7.0, туннели начали отваливаться каждую минут и переподключаться. Соответственно трафик между сетями не проходит. Настройки не менял - просто обновил программу. Думал может проблема в старом конфиге - переустановил, поставил 7.2, настроил с нуля - не помогло. Адреса интерфейсов менял - тоже не помогло. Сертификаты вроде заполнены правильно. Я уже руки опустил НО Kerio VPN Client работает идеально (клиенты не отваливаются). Есть идеи?

Цитата:

Есть идеи?

Kerio Control — История релизов

Легенда:
* Улучшенная / оптимизированная возможность

Version 7.2.0 — August 30, 2011
* Added possibility to force reconnect all VPN tunnels when primary line goes back online in failover scenario

Version 7.1.1 — March 3, 2011
* Improved detection of broken VPN data connection

но линия-то не ложится...

Цитата:

но линия-то не ложится...

Может быть срабатывает сценарий отказа, который заставляет переподключать все VPN-туннели в момент потери соединения, к примеру, при использовании DSL-линии. Для удаленных VPN-клиентов соединение инициирует сам клиент, поэтому там это не видно.

Добавлено:

Цитата:

Столкнулся с такой проблемой: соединял как-то две компьютерные сети посредством керио vpn туннеля.

У обоих сетей есть внешний "белый" интернет-адрес или же адреса "серые" с использованием привязки через динамический dns?

адреса белые, одна сеть идёт через выделенку, друга через dsl. пробовал обе сети через выделенку - эффект тот же

Цитата:

адреса белые, одна сеть идёт через выделенку, друга через dsl. пробовал обе сети через выделенку - эффект тот же

Какой вариант подключения брандмауэра к Интернету у тебя выбран в Керио? Если несколько соединений с обработкой отказов, то в дополнительных опциях может быть выставлено принудительное переподключение всех VPN-туннелей в момент возврата работоспособности основной линии в Интернет.

да, стоял. я отключил этот вариант, но всё равно минута и разрыв

2 GoodVinRassel

Еще вопрос: у тебя теряется именно физический линк или маршрут не трассируется?

Попробуй включить лог отладчика в Керио на предмет Kerio VPN (Журналы - Debug - Сообщения - группа "Kerio VPN" - значение "VPN Tunnels") и посмотреть какие ошибки возникают при работе VPN-туннеля.

мда... выходит что у меня интерфейсы падают... но почему тогда клиенты в сети?

[more=кусок лога][02/Oct/2011 14:18:20] Service "DHCP" bound to address 172.18.5.2 stopped
[02/Oct/2011 14:18:20] Service "WebInterface" bound to address 172.18.5.2 stopped
[02/Oct/2011 14:18:20] Service "WebInterfaceSSL" bound to address 172.18.5.2 stopped
[02/Oct/2011 14:18:20] Service "VPN" bound to address 172.18.5.2 stopped
[02/Oct/2011 14:18:20] Service "SSL-VPN" bound to address 172.18.5.2 stopped
[02/Oct/2011 14:18:30] Service "DHCP" started, bound to address 172.18.5.2
[02/Oct/2011 14:18:30] Service "WebInterface" started, bound to address 172.18.5.2
[02/Oct/2011 14:18:30] Service "WebInterfaceSSL" started, bound to address 172.18.5.2
[02/Oct/2011 14:18:30] Service "VPN" started, bound to address 172.18.5.2
[02/Oct/2011 14:18:30] Service "SSL-VPN" started, bound to address 172.18.5.2[/more]

это вываливается на принимающей стороне

Цитата:

выходит что у меня интерфейсы падают...

Для начала, попробуй драйвера сетевых карт обновить.

так, причина найдена. оказалось что виной всему 2 шлюза по умолчанию - PPPOE в инет (НЕ билайн) и WAN в сеть билайна... причём им я не пользуюсь вообще... вот жешь танцы с бобном, действительно...

если интересно, вот [more=лог][02/Oct/2011 14:26:09] {vpntunnel} Tunnel[0002]('bzt') - connection closed by peer
[02/Oct/2011 14:26:09] {vpntunnel} Tunnel[0002]('bzt') - SSL_free ID:10
[02/Oct/2011 14:26:09] {vpntunnel} TUNNEL_STATUS_CHANGE 'bzt' - 0:142
[02/Oct/2011 14:26:09] {vpntunnel} Tunnel[0002]('bzt') - connection deleted in driver
[02/Oct/2011 14:26:09] {vpntunnel} Tunnel[0002]('bzt') - tunnel deregistered
[02/Oct/2011 14:26:09] {vpntunnel} Tunnel[0002]('bzt') - flushing ARP cache for adapter 0x1D, IP 172.18.5.2
[02/Oct/2011 14:26:09] {vpntunnel} Tunnel[0002]('bzt') - tunnel closed
[02/Oct/2011 14:26:10] {vpntunnel} Tunnel[0002]('bzt') - connecting to XX.XX.XX.XX:4090
[02/Oct/2011 14:26:10] {vpntunnel} TUNNEL_STATUS_CHANGE 'bzt' - 1:0
[02/Oct/2011 14:26:10] {vpntunnel} Tunnel[0002]('bzt') - remote endpoint name resolved - XX.XX.XX.XX
[02/Oct/2011 14:26:10] {vpntunnel} Tunnel[0002]('bzt') - local TCP address = YY.YY.YY.YY:55089
[02/Oct/2011 14:26:10] {vpntunnel} Tunnel[0002]('bzt') - SSL connection successfully established
[02/Oct/2011 14:26:10] {vpntunnel} TUNNEL_STATUS_CHANGE 'bzt' - 3:0
[02/Oct/2011 14:26:10] {vpntunnel} Tunnel[0002]('bzt') - received VERSION message, version = 3
[02/Oct/2011 14:26:10] {vpntunnel} Tunnel[0002]('bzt') - sending VERSION message, version = 3
[02/Oct/2011 14:26:10] {vpntunnel} TUNNEL_STATUS_CHANGE 'bzt' - 5:0
[02/Oct/2011 14:26:10] {vpntunnel} Tunnel[0002]('bzt') - received IPCONFIG_1 message, offered ip = 172.18.4.3/255.255.255.0
[02/Oct/2011 14:26:10] {vpntunnel} Tunnel[0002]('bzt') - tunnel registered
[02/Oct/2011 14:26:10] {vpntunnel} TUNNEL_STATUS_CHANGE 'bzt' - 6:0
[02/Oct/2011 14:26:10] {vpntunnel} Tunnel[0002]('bzt') - sending IPCONFIG_2 message, ip = 172.18.5.2/255.255.255.0, err = 0, CEP = 3600 s
[02/Oct/2011 14:26:10] {vpntunnel} TUNNEL_STATUS_CHANGE 'bzt' - 9:0
[02/Oct/2011 14:26:10] {vpntunnel} Tunnel[0002]('bzt') - received IPCONFIG_3 message
[02/Oct/2011 14:26:10] {vpntunnel} Tunnel[0002]('bzt') - connection added in driver
[02/Oct/2011 14:26:10] {vpntunnel} Tunnel[0002]('bzt') - primary cipher added in driver
[02/Oct/2011 14:26:10] {vpntunnel} TUNNEL_STATUS_CHANGE 'bzt' - 10:0
[02/Oct/2011 14:26:10] {vpntunnel} Tunnel[0002]('bzt') - driver started sending secret to XX.XX.XX.XX:4090.
[02/Oct/2011 14:26:10] {vpntunnel} Tunnel[0002]('bzt') - waiting for SECRET_RECEIVED from XX.XX.XX.XX:4090
[02/Oct/2011 14:26:10] {vpntunnel} Tunnel[0002]('bzt') - SECRET_RECEIVED received
[02/Oct/2011 14:26:10] {vpntunnel} Tunnel[0002]('bzt') - driver stopped sending secret to XX.XX.XX.XX:4090.
[02/Oct/2011 14:26:10] {vpntunnel} Tunnel[0002]('bzt') - route to remote endpoint added, gw = 10.10.72.1 (adapter 0xB) - вот он гад, шлюз левый подсовывал
[02/Oct/2011 14:26:10] {vpntunnel} TUNNEL_STATUS_CHANGE 'bzt' - 20:0
[02/Oct/2011 14:26:10] {vpntunnel} Tunnel[0002]('bzt') - used cipher: AES256-SHA
[02/Oct/2011 14:26:10] {vpntunnel} Tunnel[0002]('bzt') - received complete command
[02/Oct/2011 14:26:10] {vpntunnel} Tunnel[0002]('bzt') - VPN routes changed
[02/Oct/2011 14:26:10] {vpntunnel} Tunnel[0002]('bzt') - sending routes
[02/Oct/2011 14:26:10] {vpntunnel} Tunnel[0002]('bzt') - sending message ROUTES, 3 routes in the list, flags = SE
[02/Oct/2011 14:26:10] {vpntunnel} Tunnel[0002]('bzt') - no relevant changes in VPN routes, update will not be sent[/more]


Rolisov, спасибо за помощь! я просто не знал где расширенный лог включается

Цитата:

так, причина найдена. оказалось что виной всему 2 шлюза по умолчанию - PPPOE в инет (НЕ билайн) и WAN в сеть билайна... причём им я не пользуюсь вообще... вот жешь танцы с бобном, действительно...

Т.е. Керио пытался постоянно на них переключиться и заюзать по полной?

Цитата:

Т.е. Керио пытался постоянно на них переключиться и заюзать по полной?

ну на счёт по полной - не уверен, но что заюзать в качестве шлюза абсолютно левую сетевуху - это да

Rolisov
Смотри что получается - локалка у меня городская, поэтому открывать все порты для доступа до керио я не хочу и не буду, остается юзать только основные порты в т.ч. фтп. А тут без инспектора протокола никак, без него не открываются дополнительные порты для фтп как для пассивного, так и для обычного режима, что требуется для правильной работы фтп. Об этом даже в справке керио написано. А правила фильтрации для фтп у меня все отключены

Доброго времени суток.

Подскажите кто знает как решить следующюю задачу: надо всем юзерам в домене закрыть вебфильтром много категорий сайтов, а затем тем или иным пользователем/группам открыть определенные категории/сайты.

Думал всё просто (как к примеру в ТМГ): сделал в ХТТП политике одно запрещающее правило для всех юзверей всех нужных категорий, и несколько разрешающих правил для нужных категорий/сайтов опрделенных группам/юзерам. Но не тут то было - запрещающие правило срабатывает в любом случае, в каком бы порядке не стояли правила.

Идти от обратного: делать запрещающие правила определенные категории/сайты опрделенным группам/юзверам - тоже не вариант, так в домене порядка сотни юзеров и закрывать надо много категорий. Опухнуть можно будет с таким кол-вом правил.

Цитата:

Но не тут то было - запрещающие правило срабатывает в любом случае, в каком бы порядке не стояли правила.

Вот это очень странно, ибо правила проверяются сверху вниз до первого попадания. Т.е. если разрешающее правило стоит выше запрещающего, то до запрещающего проверка не дойдет.

2 PODs

Цитата:

поэтому открывать все порты для доступа до керио я не хочу и не буду,

Я имел ввиду все команды протокола FTP, а не все порты.

Tihon_one
ок, теперь вроде как работает) начал использовать ограничивающие правила вместо резервирующих

спасибо!

Добавлено:
скажите а по какой причине керио ограничивает скорость на загрузку(аплоад) файлов, исходящей почты и т.п.
я антивирус отключил даже, все равно как-будто что-то мешает уходить файлам...

Кажется я доигрался с управлением полосой пропускания до аномальных явлений

Ссылка

P.S. И это с учетом того, что порт на коммутаторе провайдера всего 100 Мбит/с %)

Rolisov

Это врятли, на сколько я помню расчёт скорости идёт из времени отклика пинга, шейпер просто физически не может выдать скорость выше чем задаётся в настроках интерфейсов. Попробуй помониторить без контрола скорость на спидтесте

Tihon_one
не поможете мне с исходящим трафиком? его что-то усердно сдерживает, а вот что понять никак не могу.

chunek
какие параметры ABM, что показывают показатели скорости без KControl?

Rolisov

Цитата:

Я имел ввиду все команды протокола FTP, а не все порты.

Команды, которые в правилах FTP прописаны? Так они по умолчанию все отключены, т.е. ничего не запрещено

Tihon_one
в полосе пропускания записаны в две графы и скачать и загрузить 800 kbit/s. в правилах только ограничительные для пользователей вида:
пользователь - 30 kB/s (скачать) - без ограничения (загрузить) - все интерфейсы - допустимое время:всегда

chunek
ты посты мои внимательно читаешь? сними показатели когда контрол отключен...

Tihon_one
вечером сниму со шлюза прям, сейчас если отключу все орать начнут %)))


а как нибудь сам файервол отключить на исходящие письма и фтп закачку можно? у меня что-то подозрение на то, что он проверяет всё перед тем как отправить что-то в интернет

chunek
что значит отключить сам фаервол?