» Kerio Control (ex Kerio WinRoute Firewall)

Tihon_one
ну оставить Kerio Control только в качестве раздачи интернета и контроля трафика, такое возможно?

chunek
ты себе сам противоречишь, с одной стороны отключить фаервол а с другой
Цитата:

оставить Kerio Control только в качестве раздачи интернета и контроля трафика, такое возможно?

80))) занятно

я просто думал что керио контрол это прокси + файервол, вот я и хотел отключить только файервол )))

Всех с 1-м снегом, хорошо вы поднимаете настроение, ребята!

Tihon_one
у нас вай-макс, нарушение радиосигнала оказывается уже неделю как. начало проблемы как раз совпала с моей установкой керио контрола. простите за панику. а я ещё ставил резервирующие правила %))) завтра будем с их спецами восстанавливать сигнал.

chunek

На виртуалке установлен Kerio Control Software Appliance 7.2. Авторизация пользователей через домен. Присоеденил к домену. Тест проходит. Спустя какое то время появляется: Не удается связаться с контроллером домена. Но тест проходит успешно. А при подключении пользователя через VPN - сбой аутентификации. Перезагрузка виртуального сервера лечит проблему, но только на некоторое время.

Коллеги, пните в нужном направлении, а то уже мозг дымится...
Ситуевина: в одной подшефной конторе уже 3 года стоит и прекрасно работает KWF 6.31, но рукамиводители решили сменить прова, с ADSL перейти на городские сети. У нового прова подключение к Инету через VPN (PPTP). И начались проблемы: переодическое пропадание ВПН подключения, его "замораживание" и т.д.
Что выяснилось в результате "вскрытия": на "внешней" сетевой настроен шлюз и ДНС (иначе к ВПН серверу прова не достучаться, по IP не заходит, другой сегмент сети, постоянные маршруты не помогают), а т.к. Керио мониторит route table на наличие маршруа 0.0.0.0 и на основании этого принимает решение о перезвоне (redial VPN), а маршрут-то от внешней карточки всегда остается , то никакие on-demand не пляшут. При persistent все вроде гуд, НО! - переподключение происходит через 1-2сек, что недопустимо (не успела разорваться сессия на VPN сервере прова) и НИКАК это время не регулируется (параметр RasRedialPause не работает), скрипты на события начала дозвона использовать нельзя - Керио не ждет их окончания. В результате, Керио пытается постоянно установить соединение, получает отлуп от сервера ("такое имя недопустимо бла-бла-бла") и помогает или перезагрузка, или выдергивание шнурка из внешней сетевухи на 1-2мин.
Вопрос: "куды бечь?" Кто-то с подобным сталкивался?

P/S/ Поставил на виртуалку Kerio Control 7.2 - теже яйца, вид сбоку....

andrejvb
Ну основная проблема если я правильно понял в двух дефолтных маршрутах, он должен быть один, получаемый по pptp. Решение тут имхо именно в прописывании постоянных маршрутов, не знаю почему оно не работает в данном случае. Я сам использовал в одном месте довольно замороченную кофигурацию с тремя сетями и подключением по pptp - все работало вполне нормально.

Цитата:

Что выяснилось в результате "вскрытия": на "внешней" сетевой настроен шлюз и ДНС (иначе к ВПН серверу прова не достучаться

почему не достучаться, достаточно прописать постоянные маршруты к внутренним ресурсам (диапазон IP можно спросить у провайдера или хотя бы маршрут к PPTP серверу), а дефолтный маршрут убрать.

Zedd
Valery12

Цитата:

почему не достучаться

С провом пока "тесно" (т.е. с паяльником ) не обчался, но суть в том, что у них подключение к Инету через PPTP - стандарт и, для балансировки нагрузки на сервера, адрес ВПН сервера каждый раз - РАЗНЫЙ! И постоянный IP для него не пропишешь . Приходится использовать разрешение имен через ДНС. Или я чего не так понимаю?
И, опять же, это только часть проблемы (это-то я разрулю, с пом молотка, зубила и паяльника). Самой неприятное - вторая часть: КАК заставить KWF делать ПАУЗЫ перед переподключением??? Ну не ставить же перед ним dir-100, этож изврат...

Добавлено:
Тэк-с, по маршрутам все понял, был не прав, каюсь При прописи ВСЕХ диапазонов прова в постоянные маршруты мне дефолтгейтвэй и нафиг не нужен, а ДНС остается прежним, его можно и на постоянку забить. Что делать с паузой?

Цитата:

скрипты на события начала дозвона использовать нельзя - Керио не ждет их окончания.

а где прописывается скрипт? Помнится его можно прописать в winroute.cfg
может тогда будет ждать?


Добавлено:

Цитата:

КАК заставить KWF делать ПАУЗЫ перед переподключением???

кстати и такой параметр там есть
<table name="WAN">
<variable name="RasRedialPause">8</variable>

пардон вдумчиво почитал пост и понял что не то говорю, может эти параметры помогут
<table name="BackupLine">
<variable name="ProbePeriodOnSuccess">30</variable>
<variable name="ProbePeriodOnFailure">3</variable>
<variable name="FailureTreshold">6</variable>
<variable name="SuccessTreshold">5</variable>

Valery12
Прописываются в Advanсed Dial-Up соединения. Не, не будет, я потоптался по англоязычному форуму и ВНИМАТЕЛЬНО почитал хелп (опять же, аглицкий), так там прямо об этом написано. Ну, и проверил, на всяк случай, ессесно . Не ждет, цука
Ты имеешь в виду секцию WAN? У меня вообще впечатление, что это атавизм от старых версий, никакое изменение параметров на работу не влияет и видимого эффекта не дает.

Цитата:

Ну я ж пИсал в начальном сообщении - НЕ работает этот параметр

поправил свой пост

Попробую, конешно..., но это из другой оперы: использование резервного канала при падении основного. и это таймауты проверки на "лежачесть" соединения пингом.

Добавлено:
Пока (надеюсь, что временно) решил проблему скриптом в планировщике:
Проверка пингом внешнего хоста;
если молчит - выпоняем след:
net stop winroute
rasdial Inet_VPN /d
sleep 90
net start winroute

И так каждые 10мин Костыль, одним словом. Аж самому стыдно

Цитата:

На виртуалке установлен Kerio Control Software Appliance 7.2. Авторизация пользователей через домен. Присоеденил к домену. Тест проходит. Спустя какое то время появляется: Не удается связаться с контроллером домена. Но тест проходит успешно. А при подключении пользователя через VPN - сбой аутентификации. Перезагрузка виртуального сервера лечит проблему, но только на некоторое время.

Поправил время на сервере Kerio Control. Авторизация пользователя через VPN прошла успешно. Но надпись об отсутствии связи с контроллером домена осталась.

Цитата:

И так каждые 10мин Костыль, одним словом. Аж самому стыдно

я бы тогда лучше на этом варианте остановился
Цитата:

Ну не ставить же перед ним dir-100, этож изврат...

Valery12

Цитата:

я бы тогда лучше на этом варианте остановился

Не кошерно
Дело в том, что канал - 50мбит, а эта хрень на таких скоростях очень плохо работает - не хватает мощи проца. Покупать Циску там никто не будет (сотка в кайбаше валяется, старая). Ставить софтовый (линуксовый, Микротик тот же) ПЕРЕД KWF - ну, это даже не изврат, за такое убивать нуна

Помогите с керио 7.1.2 билд 2333
Что-то намудрил с настройками, пропали имена с ДНС. Ищет локальные ДНС на внешнке, соответственно имени компьютера не получаю. Прошлый админ говорит, что работало, потом перестало (может пров что сменил?). Я в керио новичек, своими силами пробовал - проблематично. С нуля настраивать не очень хочется (но видимо может и придется).
Куда копать?
Керио и ДС на разных виртуальных машинах (2008 сервер)

Логи с машины с керио:
Host Name . . . . . . . . . . . . : proxysrv
Primary Dns Suffix . . . . . . . : aaa.bbb
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : Yes
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : aaa.bbb

PPP adapter atlant telecom:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : atlant telecom
Physical Address. . . . . . . . . :
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : ***.***.***.***(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . : 0.0.0.0
DNS Servers . . . . . . . . . . . : 213.184.225.37
213.184.224.254
NetBIOS over Tcpip. . . . . . . . : Disabled

Ethernet adapter internal:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Microsoft Virtual Machine Bus Network Ada
pter #2
Physical Address. . . . . . . . . : 00-15-5D-50-02-05
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 192.168.80.10(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
IPv4 Address. . . . . . . . . . . : 192.168.81.50(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . :
DNS Servers . . . . . . . . . . . : 192.168.80.4
192.168.80.5
NetBIOS over Tcpip. . . . . . . . : Enabled

Ethernet adapter external:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Microsoft Virtual Machine Bus Network Ada
pter
Physical Address. . . . . . . . . : 00-15-5D-50-02-06
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 192.168.12.150(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.12.1
NetBIOS over Tcpip. . . . . . . . : Enabled

Tunnel adapter isatap.{60EDE232-B96C-42C4-AD2E-5235A33E0587}:

Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Microsoft ISATAP Adapter
Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes

Tunnel adapter isatap.{5C5838EC-5649-4BC8-B07F-596B25642028}:

Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Microsoft ISATAP Adapter #2
Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes

Tunnel adapter isatap.{C9270FE2-3C60-4D30-8671-D9545A1E76F0}:

Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Microsoft ISATAP Adapter #4
Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes



C:\Users\Administrator.*******>nslookup 192.168.80.9
Server: ns.telecom.by
Address: 213.184.225.37
Name: if-you-see-this-then-your-dns-resolver-is-wrong.telecom.by
Address: 192.168.80.9
C:\Users\Administrator.****>


C:\Users\Administrator.******>nslookup 93.158.134.3
Server: ns.telecom.by
Address: 213.184.225.37
Name: www.yandex.ru
Address: 93.158.134.3


Логи с ДС:

Windows IP Configuration

Host Name . . . . . . . . . . . . : ad1srv
Primary Dns Suffix . . . . . . . : aaa.bbb
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : aaa.bbb

Ethernet adapter internal:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Microsoft Virtual Machine Bus Network Ada
pter
Physical Address. . . . . . . . . : 00-15-5D-50-03-00
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 192.168.80.4(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.80.10
DNS Servers . . . . . . . . . . . : 127.0.0.1
NetBIOS over Tcpip. . . . . . . . : Enabled

Tunnel adapter isatap.{BFDA31A5-71A9-4A79-BC6C-8746C61C94FD}:

Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Microsoft ISATAP Adapter
Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes

Tunnel adapter Teredo Tunneling Pseudo-Interface:

Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes





C:\Users\Administrator>nslookup 192.168.80.9
Server: localhost
Address: 127.0.0.1
*** localhost can't find 192.168.80.9: Non-existent domain


C:\Users\Administrator>nslookup 93.158.134.3
Server: localhost
Address: 127.0.0.1
Name: www.yandex.ru
Address: 93.158.134.3



Логи с тестовой клиентской машины: C:\Users\yee_test>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : yee_test1
Основной DNS-суффикс . . . . . . : aaa.bbb
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : aaa.bbb

Ethernet adapter Подключение по локальной сети:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер магистральной сети виртуальной ма
шины (Майкрософт)
Физический адрес. . . . . . . . . : 00-15-5D-50-03-04
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.80.239(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.80.10
DNS-серверы. . . . . . . . . . . : 192.168.80.4
192.168.80.5
NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.{5CDE5B0D-8042-4C86-BBDF-64A704B6F770}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да





C:\Users\yee_test>nslookup 192.168.80.9
TхЁтхЁ: UnKnown
Address: 192.168.80.4
*** UnKnown не удалось найти 192.168.80.9: Non-existent domain



C:\Users\yee_test>nslookup 93.158.134.203
TхЁтхЁ: UnKnown
Address: 192.168.80.4
Lь : www.yandex.ru
Address: 93.158.134.203

Добавлено:
скрин керио:

Klopikmoscow
Такие полотна выводов убирайте под тег more, пожалуйста.
А что это за машина 192.168.80.9? И что с нее выдает nslookup?

Klopikmoscow
На контроллере домена Ethernet adapter internal: пропишите DNS
DNS-серверы. . . . . . . . . . . : 192.168.80.4
192.168.80.5
,
На Керио в свойствах интернет-адаптера - локальный Днс 192.168.80.4 прописать также первым, ДНС провайдера за ним
Интерфейс external в Керио добавьте в группу Интернет-интерфейсы,
а также вдумчиво прочитайте примеры на этой странице

Господа, помогите с проблемой, пытаюсь ставить керио 7.2 на виртуальную машину hyper-v а в конце пишет что не найдено ни одного сетевого интерфейса, хотя к виртуалке прикручен сетевой интерфейс с выходом в локальную сеть и интернет по одному кабелю... через интеловскую гигабитную сетевку... помогите советом, пожалуйста.

Digitlord
попробуйте изменить тип сетевой карты в гипервизоре

Что значит изменить тип, на что его изменить и где это конкретно находится? В диспетчере сервера, диспетчер виртуальных сетей? простите за глупые вопросы

Digitlord
в настройках виртуального сетевого интерфейса в свойствах виртуальной машины, без понятия как точно это делается в hiper-v

В том то и дело, что нет там никаких настроек....

Digitlord
не может такого быть.

Вот тут есть немного это, нет там настроек...
http://itew.ru/2009/05/26/340

Digitlord
многа букаф, но если hiper-v не умеет эмулировать различные сетевые девайсы, значит он ацтой полный ещё. Но я точно знаю что на hiper-v народ ставить appliance версии kerio.

Да, нашел, надо при добавлении сетевого адаптера к виртуальной машине, задавать "устаревший сетевой адаптер" заместь стандартного...