» Kerio Control (ex Kerio WinRoute Firewall)

не хочет работать... может с виндой что? Страничку открывает у клиента по этому скрипту, но не работает следующее (авторизация проходит нормально): ошибка в строке 4
Плюс ко всему окошко эксплореро видно, закрываться оно не хочет автоматом. Пишет такое:
ошибка в строке 4, символ 1
Вызванный объект был отключен от клиентов. Код 80010108

Добавлено:
перелистал инет - проблема такая есть, но совета не дали

Klopikmoscow
UAC отключи

Прошу подсказки.
Настроил Керио v6.7.1 build 6399. Для клиентов локалки включил DHCP (диапазон, маска,адрес шлюза, адрес днс) раздача идет. Соединение с Инет постоянное (модем поднимает соединение по PPPoE). По активным поключениям видно, что Керио-клиенты попадают на шлюз, вводят имя пользователя и пароль. При запросе сайта выходит сообщение DNS lookup failed. Я так понимаю, что необходимо прописать переадресацию на DNS сервера провайдера. Ковырял, но так и не нашел. Галка Переадресация ДНС запросов включена, в host-файле прописал адреса. Пытался прописать пользовательскую адресацию, но там нужны DNS-имя а не IP-адреса. [img] [/img]
Что еще надо сделать?
Скриншот вкладки DNS прикладываю

Vini37, STAR.FDB - БД Firebird. Поставьте себе на компьютер связку Firebird +IBExpert и поправьте что вам нужно.

Можно ли в Керио Контрол сделать несколько VPN-серверов?
То есть в VPN интерфейс добавить еще VPN сервер.
Например, 172.26.100.1 и 172.26.101.1

Подскажите в чем может быть проблема? Половина пользователей не отображается в керио корректно. То есть половина как comp1 (что нормально), половина как неправильно-настроен-днс....

iharkh Спасибо! Пойду пробовать
Всё получилось! Спасибо за помощь

Имеем локальную сеть с адресной подсеткой - 192.168.1.0/255.255.255.0, шлюз у провайдера с адресом 192.168.6.1. Локальный айпи на втором интерфейсе 192.168.6.2. Прописан маршрут, что на сеть 192.168.4.0 ходить через 192.168.6.1
На другом конце сеть с адресной подсеткой - 192.168.4.0/255.255.255.0 шлю у провайдера с адресом 192.168.2.1. Локальный айпи на втором интерфейсе 192.168.2.2. Прописан маршрут, что на сеть 192.168.1.0 ходить через 192.168.2.1
На наших шлюзах установлен Керио.
На обоих керио включены следующие правила

Исходящие Назначение службы действие трансляция
локальная сеть локальная сеть все включить NAT через интерфейс 192.168.6.2
Брандмауэр Брандмауэр
сеть 192.168.4.0 сеть 192.168.4.0

на другом шлюзе с керио все прописано анналогично, только сеть уже 192.168.1.0 и через 192.168.2.2
сами шлюзы с керио друг-друга видят, сеть за керио нет. т.е., НАТ не срабатывает.
Что не так прописал или забыл прописать?!

Доброго времени суток

У меня проблема с DNS, он периодически отваливается при подключении (отключении) одного из двух подключений к
интернет, и потом уже самостоятельно не восстанавливается.
Kerio 7.2.0. (патченная) всё x64 на Win 2k8r2.

[more=Лог подключений]
[14/Oct/2011 20:37:02] CONNECTIVITY firewall="S2k" hostip="" hostname="" interface="Beeline vpn" new_status="online" time="Fri Oct 14 20:37:02 2011" username=""
[15/Oct/2011 17:13:21] P2PNETWORK connection_count="12" firewall="S2k" hostip="192.168.1.3" hostname="EX-Mint" portslist="411" restriction="none" time="Sat Oct 15 17:13:21 2011" username="not logged yet"
[16/Oct/2011 03:24:33] CONNECTIVITY firewall="S2k" hostip="" hostname="" interface="Onlime" new_status="offline" time="Sun Oct 16 03:24:33 2011" username=""
[16/Oct/2011 03:26:12] DIAL firewall="S2k" hostip="127.0.0.1" hostname="localhost" line="Beeline vpn" reason="Internet connectivity" time="Sun Oct 16 03:26:12 2011" username="not logged yet"
[16/Oct/2011 03:26:13] CONNECTIVITY firewall="S2k" hostip="" hostname="" interface="Beeline vpn" new_status="offline" time="Sun Oct 16 03:26:13 2011" username=""
[16/Oct/2011 03:26:20] CONNECTIVITY firewall="S2k" hostip="" hostname="" interface="Onlime" new_status="online" time="Sun Oct 16 03:26:20 2011" username=""
[16/Oct/2011 03:26:22] DIAL firewall="S2k" hostip="127.0.0.1" hostname="localhost" line="Beeline vpn" reason="Internet connectivity" time="Sun Oct 16 03:26:22 2011" username="not logged yet"
[16/Oct/2011 03:26:27] CONNECTIVITY firewall="S2k" hostip="" hostname="" interface="Beeline vpn" new_status="online" time="Sun Oct 16 03:26:27 2011" username=""
[16/Oct/2011 13:08:49] DIAL firewall="S2k" hostip="127.0.0.1" hostname="localhost" line="Beeline vpn" reason="Internet connectivity" time="Sun Oct 16 13:08:49 2011" username="not logged yet"
[/more]

[more=Лог ошибок]
[16/Oct/2011 01:24:23] (5) Internal error: Cannot find FTP control connection.
[16/Oct/2011 03:24:28] Failed to send DNS query to server 213.234.192.7: 10055
[16/Oct/2011 03:24:29] Last message repeated 43 times
[16/Oct/2011 03:24:29] Failed to send DNS query to server 195.14.50.1: 10055
[16/Oct/2011 03:24:29] Failed to send DNS query to server 195.14.50.1: 10055
[16/Oct/2011 03:24:29] Failed to send DNS query to server 213.234.192.7: 10055
[16/Oct/2011 03:24:31] Last message repeated 18 times
[16/Oct/2011 03:24:31] Failed to send DNS query to server 213.234.192.7: 10049
[16/Oct/2011 03:24:32] Last message repeated 16 times
[16/Oct/2011 03:24:32] Failed to send DNS query to server 195.14.50.1: 10049
[16/Oct/2011 03:24:32] Failed to send DNS query to server 213.234.192.7: 10049
[16/Oct/2011 03:24:38] Last message repeated 27 times
[16/Oct/2011 03:24:56] Connection to the dynamic DNS server failed.
[16/Oct/2011 03:25:27] Connection to the dynamic DNS server failed.
[16/Oct/2011 03:25:56] Connection to the dynamic DNS server failed.
[16/Oct/2011 03:26:11] Connection to the dynamic DNS server failed.
[16/Oct/2011 03:26:13] (868) RAS error: Unable to dial "Beeline vpn" (The remote connection was not made because the name of the remote access server did not resolve.)
[16/Oct/2011 03:58:03] (10022) Socket error: Failed to forward DNS query to 77.37.255.30.
[16/Oct/2011 05:18:37] Failed to send DNS query to server 77.37.255.30: 10022
[16/Oct/2011 05:18:39] Last message repeated 15 times
[16/Oct/2011 10:07:10] (5) Internal error: Cannot find FTP control connection.
[16/Oct/2011 13:08:53] Failed to send DNS query to server 80.90.112.2: 10022
[16/Oct/2011 13:08:54] Last message repeated 35 times
[/more]

[more=Лог предупреждений]
[16/Oct/2011 03:24:55] Unable to send alert message, connection to SMTP relay failed, or relay not configured.
[16/Oct/2011 03:26:13] Unable to send alert message, connection to SMTP relay failed, or relay not configured.
[16/Oct/2011 03:27:12] DNS forwarder: Got response with same ID, response discarded. Cached name solarionhub.hu, response has name 8.69.134.79.in-addr.arpa, client 192.168.1.1:58595 id=12500, fid=52546, resp_id=12500.
[16/Oct/2011 03:52:01] DNS forwarder: Got response with same ID, response discarded. Cached name 43.53.30.95.in-addr.arpa, response has name 104.59.44.188.in-addr.arpa, client 192.168.1.1:50306 id=59246, fid=22074, resp_id=59246.
[16/Oct/2011 03:52:30] DNS forwarder: Got response with same ID, response discarded. Cached name 125.69.27.95.in-addr.arpa, response has name 33.192.55.95.in-addr.arpa, client 192.168.1.1:50509 id=35451, fid=24277, resp_id=35451.
[16/Oct/2011 03:54:33] DNS forwarder: Got response with same ID, response discarded. Cached name 92.169.178.89.in-addr.arpa, response has name 73.118.47.178.in-addr.arpa, client 192.168.1.1:52290 id=8339, fid=34290, resp_id=8339.
[16/Oct/2011 03:58:04] DNS forwarder: Got response with same ID, response discarded. Cached name mscrl.microsoft.com, response has name 113.0.134.108.in-addr.arpa, client 192.168.1.5:57561 id=39335, fid=49603, resp_id=39335.
[16/Oct/2011 03:58:04] DNS forwarder: Got response with same ID, response discarded. Cached name mscrl.microsoft.com, response has name 113.0.134.108.in-addr.arpa, client 192.168.1.5:57561 id=39335, fid=49623, resp_id=39335.
[16/Oct/2011 03:58:04] DNS forwarder: Got response with same ID, response discarded. Cached name mscrl.microsoft.com, response has name 113.0.134.108.in-addr.arpa, client 192.168.1.5:57561 id=39335, fid=49626, resp_id=39335.
[16/Oct/2011 03:58:04] DNS forwarder: Got response with same ID, response discarded. Cached name mscrl.microsoft.com, response has name 113.0.134.108.in-addr.arpa, client 192.168.1.5:57561 id=39335, fid=49628, resp_id=39335.
[16/Oct/2011 03:58:04] DNS forwarder: Got response with same ID, response discarded. Cached name mscrl.microsoft.com, response has name 113.0.134.108.in-addr.arpa, client 192.168.1.5:57561 id=39335, fid=49632, resp_id=39335.
[16/Oct/2011 03:58:04] DNS forwarder: Got response with same ID, response discarded. Cached name mscrl.microsoft.com, response has name 113.0.134.108.in-addr.arpa, client 192.168.1.5:57943 id=28197, fid=49638, resp_id=28197.
[16/Oct/2011 03:58:05] DNS forwarder: Got response with same ID, response discarded. Cached name mscrl.microsoft.com, response has name 113.0.134.108.in-addr.arpa, client 192.168.1.5:57943 id=28197, fid=49643, resp_id=28197.
[16/Oct/2011 03:58:05] DNS forwarder: Got response with same ID, response discarded. Cached name mscrl.microsoft.com, response has name 113.0.134.108.in-addr.arpa, client 192.168.1.5:57943 id=28197, fid=49650, resp_id=28197.
[16/Oct/2011 03:58:05] DNS forwarder: Got response with same ID, response discarded. Cached name mscrl.microsoft.com, response has name 113.0.134.108.in-addr.arpa, client 192.168.1.5:57943 id=28197, fid=49683, resp_id=28197.
[16/Oct/2011 03:58:05] DNS forwarder: Got response with same ID, response discarded. Cached name mscrl.microsoft.com, response has name 113.0.134.108.in-addr.arpa, client 192.168.1.5:57943 id=28197, fid=49685, resp_id=28197.
[16/Oct/2011 03:58:36] DNS forwarder: Got response with same ID, response discarded. Cached name cool.wired.ro, response has name 113.0.134.108.in-addr.arpa, client 192.168.1.1:54523 id=11410, fid=51651, resp_id=11410.
[16/Oct/2011 03:58:59] DNS forwarder: Got response with same ID, response discarded. Cached name f12p.ru, response has name 113.0.134.108.in-addr.arpa, client 192.168.1.1:64389 id=22175, fid=52990, resp_id=22175.
[16/Oct/2011 03:59:05] DNS forwarder: Got response with same ID, response discarded. Cached name mscrl.microsoft.com, response has name 113.0.134.108.in-addr.arpa, client 192.168.1.5:55059 id=22004, fid=53380, resp_id=22004.
[16/Oct/2011 03:59:06] DNS forwarder: Got response with same ID, response discarded. Cached name mscrl.microsoft.com, response has name 113.0.134.108.in-addr.arpa, client 192.168.1.5:55059 id=22004, fid=53398, resp_id=22004.
[16/Oct/2011 03:59:06] DNS forwarder: Got response with same ID, response discarded. Cached name mscrl.microsoft.com, response has name 113.0.134.108.in-addr.arpa, client 192.168.1.5:55059 id=22004, fid=53444, resp_id=22004.
[16/Oct/2011 03:59:06] DNS forwarder: Got response with same ID, response discarded. Cached name mscrl.microsoft.com, response has name 113.0.134.108.in-addr.arpa, client 192.168.1.5:55059 id=22004, fid=53461, resp_id=22004.
[16/Oct/2011 03:59:06] DNS forwarder: Got response with same ID, response discarded. Cached name mscrl.microsoft.com, response has name 113.0.134.108.in-addr.arpa, client 192.168.1.5:63055 id=33698, fid=53468, resp_id=33698.
[16/Oct/2011 03:59:06] DNS forwarder: Got response with same ID, response discarded. Cached name mscrl.microsoft.com, response has name 113.0.134.108.in-addr.arpa, client 192.168.1.5:63055 id=33698, fid=53471, resp_id=33698.
[/more]

ps: об этой проблеме я уже писал http://forum.ru-board.com/topic.cgi?forum=8&topic=37426&start=1940#16
Помогите пожалуйста.

Доброго времени суток

Народ подскажите, пожалуйста, можно ли в 7.2.0 версии Kerio Control задать квоту на трафик по интерфейсу а не по пользователю?
У меня тарифицированный трафик и в день выделено определенное кол-во мб. Можно ли средствами керио ограничить скорость до 0 по достижению этих выделенных мб.

AlexLSL
в контроле нет возможности вешать квоту на интерфейсы.

aRainman
я знаю почему тебе никто не отвечает, никто не хочет смотреть такую конфигурацию, давай короче скрины политик трафика, route print\ipconfig /all с сервера, пока оба интерфейса работают, и когда один отключен.

tgkonvent
ты с адресацией ничего не путаешь?

Цитата:

Имеем локальную сеть с адресной подсеткой - 192.168.1.0/255.255.255.0, шлюз у провайдера с адресом 192.168.6.1. Локальный айпи на втором интерфейсе 192.168.6.2.

glock8

Цитата:

Можно ли в Керио Контрол сделать несколько VPN-серверов?

извини за нескромный вопрос, а нафига?

Добавлено:
fens
вообще странно конечно, т.к. контрол шлёт запрос на DNS по умолчанию, а им должен быть DNS на внешней сетевой, это значит что более нигде, кроме провайдерских интерфейсов, в случае когда локально DNS службы в сети у тебя нет, DNS сервер прописывать не надо.

Если выше написанное для тебя верно, то попробуй в пользовательской переадресации создать правило для пересылки запросов * на гугловский DNS, и в свойствах локального интерфейса в самой ОСи прописать в качестве основного DNS сервера 127.0.0.1

aRainman

Цитата:

ps: об этой проблеме я уже писал http://forum.ru-board.com/topic.cgi?forum=8&topic=37426&start=1940#16
Помогите пожалуйста.

Ну как бы ты уже сам нашёл решение, зачем же что то ещё отвечать?

Цитата:

Однако если же совсем отключить DNS кеш на Керио то проблема вроде как исчезает окончательно.

У меня полностью отключен DNS в керии, но установлен кеширующий BIND. Правда пришлось ещё и в hosts написать имя шлюза провайдера...

Tihon_one

Вскоре выложу, благодарю

Ruza

Нашёл, но вот помогло оно не надолго. В любом случае отваливается просто при наличии кеша оно отваливается довольно быстро, а если он отключен то плавно

fens
вообще надо иметь ввиду, что указанный тобой релиз имеет глюки во встроенном ДНС-форвардере. С этим релизом надо использовать свой собственный любой ДНС-сервер.

Tihon_one
странный совет

Цитата:

это значит что более нигде, кроме провайдерских интерфейсов, в случае когда локально DNS службы в сети у тебя нет, DNS сервер прописывать не надо.
...
в свойствах локального интерфейса в самой ОСи прописать в качестве основного DNS сервера 127.0.0.1

Что значит "локально DNS службы в сети у тебя нет" - ее просто не может не быть в любом виде, иначе никакого инета не будет в принципе. Сервером может выступать что угодно: ДНС провайдера, Керио, гугль, хоть папа римский, но служба будет. Пересылка запросов в каждом этом случае будет организована по-разному - или от локальных клиентов к внешнему серверу, или от них к керио, а от него к внешнему серверу, или от всех к своему ДНС-серверу, а от него к внешенму.
Вся разница будет только в том, кто именно хранит прописанные зоны и кеш ответов внешних серверов.
В указанной версии Керио проблемы были именно с пересылкой - юзал все ДНС-адреса одновременно, вместо одного-двух внешних.
Локальная заглушка 127.0.0.1 не есть ДНС-сервер и никуда никогда никакие ДНС-запросы не пересылает, к нему не привязан ДНС-форвардер Керио. Он привязан ко всем указанным в оси хоста с Керио сетевым адресам, в не-кривых версиях он четко понимает к какому интерфейсу с какими сетями привязан адрес для того, чтобы не спрашивать внешний сервер о внутренних локальных адресах.
На хосте с Керио на каждой локальной сетевой карте (на каждом неинтернетном интерфейсе) в качестве ДНС-сервера всегда надо указывать или адрес этого интерфейса (если ДНС в сети - Керио-форвардер), или адрес внутренеего ДНС-сервера (если он есть и настроен правильно). На внешних картах (инетных интерфейсах) надо указывать или внешние сервера ДНС (если в локальной сети Керио является ДНС-сервером), или тоже адрес внутреннего правильно настроенного ДНС-сервера.
Даже при наличии двух-пяти-двадцати внешних подключений со своими настройками в этом случае имена всегда будут резолвится в соотвтествии с выбранным порядком подключений в Керио или внутренним ДНС-сервером.
Повторю: ДНС в Керио не есть полноценный ДНС-сервер, это просто пересыльщик как в модемах, фактически это - очень сильно урезанный БИНД очень старой версии, он не хранит никакие зоны, включая локальные, он обновляется по каким-то своим странным понятиям, он чистить кеш какему вздумается, поиск в его кеше - один из самых заметных тормозов Керио.
Файл хостов в керио нужен или для локальной сети без домена, или для более быстрого ответа на некоторые запросы, осуществляемые по имени, а не по адресу.
При создании пользовательских маршрутов служба ДНС уже должна быть настроена и определять адреса\имена без посторонней помощи.
А вообще лучше отказаться от ДНС в Керио и поднять свой любой ДНС-сервер в локальной сети, так все будет ясно-понятно и без придуманных наворотов.

Комментарий по поводу имени шлюза провайдера в файле хостов - для удобства м.б. оно и не вредно. Попробуйте там же прописать адрес от www.yandex.ru и сопоставить этому адресу имя типа vot.chudesa.na.svete.blin. Изменится содержание логов, но не коннект к яндексу, т.е. как в анекдоте: жить стали лучше? нет смотреть стали лучше.
А потом сделайте то же самое в нормальном ДНС-сервере, хоть в том же бинде... Почувствуйте разницу между сервером и форвардером.

tanuky

Цитата:

Комментарий по поводу имени шлюза провайдера в файле хостов - для удобства м.б. оно и не вредно.

Не надо комментариев по поводу шлюзов...
Потому как провайдер местный в бизнес-центре и шлюз у него gate.provider.suka.local

Неправильная работа некоторых сайтов.
Например gismeteo.ru остаются пустыми некоторые окна.
Сайты с JavaScript работают не полностью, напр. iek.ru => "Продукция", не открываются списки продукции.

С чем это может быть связано?
Windows XP+SP3, Kerio Control v7.2.0 build 3028.

tanuky

Цитата:

Он привязан ко всем указанным в оси хоста с Керио сетевым адресам, в не-кривых версиях он четко понимает к какому интерфейсу с какими сетями привязан адрес для того, чтобы не спрашивать внешний сервер о внутренних локальных адресах.

чисто по секрету скажу, что контрол\kwf не управляет опросом DNS серверов, этим занимается винда. И та вода которую вы сюда вылили является сугубо вашим мнением, в тот же самый момент, те рекомендации с заглушкой и корректной настройкой интерфейсов в самом контроле приводят к тому, что никаких танцев с бубнами вокруг DNS пересыльщика в керио кружить не надо. Конечно то предложение которое я сюда поместил ранее для товарища fens сложно назвать рекомендацией, но я просто жду пока человек среагирует, чтобы продолжить ему помогать, но если вы хотите блеснуть эрудицией и накрутить постов, валяйте, я всего-лишь пытаюсь помочь человеку решить проблему.

Пардон...
Разобрался...

Наивно пологал, что подключив керю к домену, керя сможет сопоставлять имя юзера с его адресом, который выдал dhcp сервер на контролере домена.

До этого все юзеры брались из AD, а IP я прописывал каждому ручками в керио самом, юзеры таким образому аутентифицировались, и велась по ним статистика.
Теперь юзеров стало много и нужно их делить на группы (этим можно, другим нельзя)

Я снял все ранее введёные IP и думал что керя сам узнает за каким IP какой юзер сидит, но в итоге он никого не узнал и ничего не считает по ним.

terence
На прошлой странице

Код: var oIE = WScript.CreateObject("InternetExplorer.Application");
oIE.Visible = 0;
oIE.navigate("http://[адрес_керио]/fw/login");
while (oIE.Busy) WScript.Sleep(200);
while (oIE.ReadyState != 4) WScript.Sleep(200);
oIE.Quit();

creeper
Спасибо, то есть штатных средств нет, только саоделкой?

а как понять в скрипте текст "InternetExplorer" , это как то влияет на то что бы керя понимал кто это?

и как это отразится если народ юзает все браузеры какие есть?

Добавлено:
а если я переведу DHCP с DC на керио, может тогда он будет понимать какому юзеру какой ip он сам дал?

terence

Цитата:

а если я переведу DHCP с DC на керио, может тогда он будет понимать какому юзеру какой ip он сам дал?

а где Вы видели DHCP сервер, который выдает адреса пользователям ?

DHCP выдает адрес на устройство, согласно философии домена, любой пользователь домена может авторизоваться на любом компьютере домена....
Как же керио должен узнать, какой пользователь зашел в систему, если адрес компьютеру был выдан еще ДО авторизации пользователя?


Цитата:

то есть штатных средств нет

это штатное средство

приведенный скрипт, всего-навсего, делает авторизацию незаметной для пользователя. Объект InternetExplorer создается со свойством Visible = 0, что делает его "невидимым". NTLM срабатывает при открытии заданной страницы (http://[адрес_керио]/fw/login), после чего невидимое окно эксплорера закрывается
в дальнейшем пользователь уже авторизован на керио и будет работать любой браузер/программа

если сможете средствами скриптов создать такой же невидимый объект из, например, файерфокса - пожалуйста. он тоже умеет производить NTLM авторизацию

Добавлено:
справедливости ради:

можно не использовать скрипт вообще. достаточно в автозакрузку пользователя добавить ярлык с адресом http://[адрес_керио]/fw/login

при входе пользователя в систему, будет обработан ярлык - откроется браузер по-умолчанию с этим адресом. Если браузер умеет делать NTLM авторизацию - всё будет пучком

(для примера, FF по-умолчанию NTLM не использует, его нужно настроить для этого, см. руковоство по ссылке в самом низу примечание; Opera корректно с NTLM не работает; Google Crome, кажется, NTLM починили, работает ну и т.д.)

в скрипте использован IE только потому, что 1) его можно спрятать от пользователя и 2) он 100% работает с NTLM по-умолчанию

progmike
что ж спасибо за исчерпывающий ответ, буду пробовать

[q][/q]
Tihon_one
Спасибо за ответ, дико конечно извиняюсь, что сразу не ответил. Просто среагировать не получается, только по субботам занимаюсь вопросом по Керио.
Принципиально все вопросы решил. Интернет раздается все как положено.
Остался 1 вопрос, который меня мучит по сей день. У клиента Интернет банкинг от Сбера и соответственно имеется ФПСУ-IP/client. Никак не могу его наладить.
Прописал правило:
Sber -> Host ->Server ФПСУ->Служба sber_fpsy(udp-87)->Permit-> NAT
коннекта нет.
Есть в самом ФПСУ сетевые настройки, где задействовано соединение SOCKS 5, но как только его включаю, то этот клиент просто тупо зависает. Потом можно его убрать из трея только из диспетчера задач

fens
ну отлично что с днс разобрался

по поводу сбера, а там точно только udp?

в правиле измени службу на любую и посмотри устанавливается ли соединение, если да, значит что-то не дооткрыл, включи логирование пакетов по правилу и посмотри по каким портам устанавливаются соединения между хостами. Если любая служба не поможет, то в дебаге включи логирование packets dropped for some reason, для этого ПКМ по окну сообщения дебага из контекстного меню выбирай "сообщения", там найдёшь названный мною пункт.

Керио 7.1.1, 30 юзеров, AD авторизация, DNS на DC. Провайдер ADSL 8Мбит/512Кбит. Сервер 2003. Комп на Целероне 2,93 -> Пентиум 2,8 , 1Г памяти. Только Керио установлен.
В последний месяц периодически начал тормозить Инет на клиентах, загрузка целерона вырастала до 100%. Причина - в Активных хостах обмен компа с Керио с DNSами провайдера с интенсивностью 10-20 Кбайт/сек (прием и отправка примерно одинаковая). Раньше такого не было. Найти причину не смог. Задавил проблему "силой" - сменил процессор с Целерона на Пентиум. Загрузка процессора снизилась до 50%, тормоза ушли. Но трафик на DNSы остался. Вечером/ночью при выключенных компах юзеров загрузка процессора снижается до 1%.
Раньше на Целероне работало с 40-50% загрузкой процессора при полной загрузке входящего канала торрентами или скачиванием.
Подскажите, куда смотреть - что искать?

Tihon_one

Цитата:

ну отлично что с днс разобрался

по поводу сбера, а там точно только udp?

в правиле измени службу на любую и посмотри устанавливается ли соединение, если да, значит что-то не дооткрыл, включи логирование пакетов по правилу и посмотри по каким портам устанавливаются соединения между хостами. Если любая служба не поможет, то в дебаге включи логирование packets dropped for some reason, для этого ПКМ по окну сообщения дебага из контекстного меню выбирай "сообщения", там найдёшь названный мною пункт.

Запустился у меня ФПСУ. Правило как было так и осталось, внес небольшое изменение и пошло на ура. В качестве Host я превоначально установил конкретного юзера, исходя из того что именно этот юзверь только и работает с ним. Потом изменив Host на имя компа тут же получил коннект и соединение происходит мгновенно.
Практически свою задачу завершил.
Ожидаю от клиента очереднюю вводную по поводу доступа к компу в локалке из интернета для получения некоторых данных по запросу с сайта компании, типа личного кабинета.
В этом случае думаю, что правило будет выглядеть так:
Host (сайт компании-IP адрес) ->Firewall->Https->Permitt->map 192.168.100.5 (комп с данными)
Как реально будет это выглядеть пока не определенно?
Есть еще вопросик? Удаленное управление админовской консолью это как? Дома установил админовскую консоль и вбил ip-адрес внешки Firewall (статика). соединение не дал. Неужели только радмином?

У провайдера наблюдаются технические проблемы с железом (потеря пакетов), как только начинается потеря пакетов, падает локальная сеть. Чем это может ыть вызвано?



C:\Documents and Settings\Admin>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : DPC
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : широковещательный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : нет

Local Area Network - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8139/810x Family Fast Eth
ernet NIC
Физический адрес. . . . . . . . . : 00-01-6C-A7-8C-5A
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.1.1
Маска подсети . . . . . . . . . . : 255.255.255.0
IP-адрес . . . . . . . . . . . . : fe80::201:6cff:fea7:8c5a%4
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 192.168.1.1
fec0:0:0:ffff::1%5
fec0:0:0:ffff::2%5
fec0:0:0:ffff::3%5

Kerio VPN - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Kerio VPN adapter
Физический адрес. . . . . . . . . : 44-45-53-54-08-08
Dhcp включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 169.254.68.131
Маска подсети . . . . . . . . . . : 255.255.255.0
IP-адрес . . . . . . . . . . . . : fe80::4645:53ff:fe54:808%6
Основной шлюз . . . . . . . . . . :
DHCP-сервер . . . . . . . . . . . : 169.254.68.130
DNS-серверы . . . . . . . . . . . : fec0:0:0:ffff::1%2
fec0:0:0:ffff::2%2
fec0:0:0:ffff::3%2
NetBIOS через TCP/IP. . . . . . . : отключен
Аренда получена . . . . . . . . . : 22 октября 2011 г. 19:19:42
Аренда истекает . . . . . . . . . : 22 октября 2011 г. 19:22:42

Intranet Area Network - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8139/810x Family Fast Eth
ernet NIC #5
Физический адрес. . . . . . . . . : 00-0E-2E-EB-09-3A
Dhcp включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 172.25.69.198
Маска подсети . . . . . . . . . . : 255.255.224.0
IP-адрес . . . . . . . . . . . . : fe80::20e:2eff:feeb:93a%7
Основной шлюз . . . . . . . . . . :
DHCP-сервер . . . . . . . . . . . : 83.219.128.130
DNS-серверы . . . . . . . . . . . : fec0:0:0:ffff::1%1
fec0:0:0:ffff::2%1
fec0:0:0:ffff::3%1
Аренда получена . . . . . . . . . : 22 октября 2011 г. 18:30:02
Аренда истекает . . . . . . . . . : 23 октября 2011 г. 18:30:02

Dialog - PPP адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Физический адрес. . . . . . . . . : 00-53-45-00-00-00
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 109.111.133.55
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз . . . . . . . . . . : 109.111.133.55
DNS-серверы . . . . . . . . . . . : 83.219.128.10
83.219.128.14
NetBIOS через TCP/IP. . . . . . . : отключен

Подскажите с такой ситуацией.
На домашнем компе установлен Kerio Control 7.2.0.
Правила трафика по умолчанию, новых не добавлял.
При проверки почты Батом 3.99.3 долго идет проверка ящиков, смотрю в керио в разделе активные подключения, и вижу что создается куча подключений по POP3. А потом в варнингах пишет "Connection limit of 600 outbound connections reached for firewall host". И дальше похоже проходит наконец проверка ящиков. В чем может быть глюк?

Цитата:

Подскажите с такой ситуацией.
На домашнем компе установлен Kerio Control 7.2.0.
Правила трафика по умолчанию, новых не добавлял.
При проверки почты Батом 3.99.3 долго идет проверка ящиков, смотрю в керио в разделе активные подключения, и вижу что создается куча подключений по POP3. А потом в варнингах пишет "Connection limit of 600 outbound connections reached for firewall host". И дальше похоже проходит наконец проверка ящиков. В чем может быть глюк?

А что прописать конкретно правила для Bat сложно, порты для почты известны да и служба. В покдлючениях увидишь какое правило используется