» Kerio Control (ex Kerio WinRoute Firewall)

Tihon_one
Да, к сожалению маршрут 0.0.0.0 не проходит ...
В мануале керио написанно:

Цитата:

Для доступа в Интернет VNP клиенты используют свое текущее Интернет соединение. VPN клиентам не разрешается связываться с Интернет через WinRoute (настройки шлюза по умолчанию для клиентов установить невозможно).

На просторах рунета нашел вариант с установлением поверх кериевского VPN туннеля, виндового - вроде даже работает

В общем печально.
Спасибо.

Как вариант использовать кериовскую проксю через онный же vpn. Сейчас проверил (7.1.2) - действительно маршрут 0.0.0.0/0.0.0.0 заданный в свойствах vpn сервера не передается клиенту. В 6.х точно помню, что это работало. PPTP поверх керио vpn гарантировано работает, тоже проверил.

Kerio Control 7.0.0 RC3 build 771, Windows 2008 R2 x64.
Установил новую сетевую карту.
В диспетчере устройств драйвера стоят. Но не поставилось второе устройство-тень с припиской Kerio Contol. Соответственно в админке Kerio в интерфейсах её не видно.
Как заставить Kerio видеть новую сетевую?

запустить установку поверх.
Керио должен проставить свои драйвера

Добавлено:
и че версия такая старая да еще и RC ?

Спасибо. Переставил поверх последнюю версию - всё ок.

kck

Цитата:

Можно ли это настроить при условии, что если туннель падает (ну допустим упал канал интернета в центрально офисе), интернет остается в удаленном офисе через свой интернет канал?!

Зачем им ходить в интернет через главный офис, если у тебя и там, и там керио? Сделай на сервере второго офиса зеркало всех правил из ГО, которыми ты хочешь их ограничить, и пусть ходят через свой собственный прокси. Полная независимость от наличия интернета в ГО.

kck
+ ко всем отписавшимся ещё один момент, вообще не ясна задача, а нахрена, если они в любом случае даже по pptp будут юзать свой интернет линк+интернет линк удалённого ЦО??? в чём соль-то? vpn ведь и так и так бегает через внешний линк дочки.

а как можно пользователям разграничивать выделяемую скорость?

doc58_81oB0t

Цитата:

а как можно пользователям разграничивать выделяемую скорость?

в управлении полосой пропускания начиная с версии 7.2.0

Доброго времени суток!
Подскажите, пожалуйста, как определить, какое приложение выдает такую ошибку, и что предпринять для её исключения?
DROP malformed IP packet from 3Com 3C90x Ethernet Adapter, proto:2, len:40, ip:0.0.0.0 -> 224.0.0.22, plen:16
Заранее благодарен!

это мультикаст, протокол IGMP

alin
Вот здесь http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xml мне сказали , что протокол №2 это IGMP (http://ru.wikipedia.org/wiki/IGMP), это правда видно и из ИП назначения- 224.0.0.22 (Local Network Control Block).
Источник 0.0.0.0 - это "default route" ( например http://habrahabr.ru/qa/8899/ ).

Дальше вопросы к Вам.
- ipconfig /all где?

Что из софта на машине (а нет ли установленного VLC) ?
3Com 3C90x - это внешний интерфейс Керио ? А провайдер вещает IP-TV ?
Внутренний? А видеорегистратора нет в сети?

Что предпринять? Пакет отброшен (как и миллион других, битых или не соответствующих настроенным правилам). Что Вам еще нужно?

wwladimir
Сорри, за не полную информацию. Новичок в этом деле.
[more=ipconfig/all] Имя компьютера . . . . . . . . . : xxxxxx
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : нет

Local - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet
NIC
Физический адрес. . . . . . . . . : 00-1C-25-07-2A-61
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.1.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :

WI-FI - Ethernet адаптер:
Состояние сети . . . . . . . . . : сеть отключена
Описание . . . . . . . . . . . . : D-Link AirPlus DWL-G520 Wireless PCI Adap
ter(rev.B)
Физический адрес. . . . . . . . . : 00-13-46-6E-6D-D6

Coltel - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : 3Com 3C905TX-based Ethernet адаптер (универсальный)
Физический адрес. . . . . . . . . : 00-60-08-C4-0C-E8
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 10.113.48.2
Маска подсети . . . . . . . . . . : 255.255.255.252
Основной шлюз . . . . . . . . . . : 10.113.48.1
DNS-серверы . . . . . . . . . . . : 83.167.65.2
83.167.66.166
nextOne - PPP адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Физический адрес. . . . . . . . . : 00-53-45-00-00-00
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 83.167.72.131
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз . . . . . . . . . . : 83.167.72.131
DNS-серверы . . . . . . . . . . . : 83.167.65.2
83.167.66.166[/more]
На машине с Керио работает сервер чата, в который открыт доступ по локальной сети (провайдера), домашней сети и из интернета l2tp.
Настройки на сервере чата - доступ со всех сетевых адаптеров.
3Com 3C90x – сетевая карта, через которую настроен выход в сеть провайдера и через l2tp выход в интернет.
Realtek RTL8139 Family PCI Fast Ethernet – домашняя сеть.
WI-FI - Ethernet адаптер – домашняя сеть.
1)    Провайдер вещает IP-TV, но настроить его для домашней сети не получается.
2)    Не получается настроить компьютеры домашней сети, чтобы попадали в локальную сеть провайдера (например DC++)
3)    Не получается настроить обмен файлами между компьютерами домашней сети. С машиной на которой установлен Керио обмен есть, а между машинами домашней сети нет.
4) ICQ и Skype из домашней сети тоже не могу настроить.

Заранее благодарен!

alin
1) Провайдер вещает IP-TV, но настроить его для домашней сети не получается.
Вот Керио и сообщает что их отбросил... Я думаю эта ситуация никаких дополнительных
действий с Вашей стороны не требует (ну не попадает пакет ни под одно разрешающее правило).
-Настройка ТВ в Керио отдельная тема, как я понимаю ( мне не приходилось,но порты вешания надо выяснить у провайдера).
-По локальной сети - правило для нее поднять в самый верх, включить отображение столбца для "протокол инспектора" и если он назначен-убрать.
- По сети провайдера- это настраивается в разделе "маршрутизация".

А вообще - в шапке хелп по Керио ( http://www.redline-software.com/rus/support/docs/winroute/ или http://kerio-rus.ru/index.php?option=com_content&task=view&id=13&Itemid=36) , читайте
(а то с моей точки зрения в правилах вообще все не так).
Но все нужные Вам настройки никто не угадает... Могу лишь ответить на конкретные вопросы, а одним нажатие
сделать все хорошо можно только здесь http://button.dekel.ru/
С Наступающим и успехов в новом году!

ребят, помогите настроить раздачу инета?
есть комп, который по вай фаю подключен к роутеру, так же к нему подключен модем кабельный по витухе, с раздачей ипа из диапазона 172.20.0.0(255.255.0.0)
надо чтоб клиенты конектились по этой локальной сети провайдера от кабельного и раздавался инет от вай фая
что только не пробывал-и опенвпн и стандартные средства (настройка впнсервера на виндовс7), не получается, остановился на керио контрол
создал правила :
1) конект от диапазона 172.20.0.0(255.255.0.0) до брандмауэра, служба керио впн, разрешить
2) клиенты впн до любого, служба любая, разрешить, нат беспроводное соединение
все стандартные правила не трогал и не отключал
интерфейсы настроил так чтоб инет был на вай фае, модем был без шлюза, маршруты соответствуют настройке
создал пользователя, разрешил подключение через впн
на клиенте подключился к серверу
через консоль удалил дефолтный маршрут и добавил дефолтный через созданный впн
но никакой сетевой активности почему то нет
пинг не идет вообще, даже до первого узла, страницы не грузят, в активных подключениях сервера правило нат не появляется, токлько то что я конекчусь
версия 7.2.1
обе машины вин7 про
помогите пжл

всем привет.
прошу помочь настроить раздачу интернета

головной офис, удаленный офис, все в пределах города, соединение по оптике
везде стоит керио
стоит задача раздать интернет для удаленного офиса

сделал на керио головного офиса:
1.отдельную учетку для удаленного офиса (повесил на неё ип с доступом в инет и настроил квоту)
2.выставил правило
источник - ип удаленного керио
назначение - интернет
трансляция - (нат) сетевая карта, смотрящая в интернет (у нас несколько провайдеров, иногда приходится переключатель)

на керио удаленного офиса настроил учетки
выставил правило
источник - аутентицицированные пользователи
назначение - интернет
трансляция - (нат) сетевая карта, которая смотрит в сторону головного офиса

интернет удаленные пользователи получают, однако проблема в том что трафик внутри керио удаленного офиса не считается!, т.е. не понятно кто сколько накачал, весь трафик валится в Неопознанные пользователи

так и не могу разобраться где я что напутал, подскажите свое мнение по этому поводу.. может имеет смысл вообще авторизовать всех пользователей на стороне керио головного офиса, но как это сделать пока не могу ума двинуть
все что необходимо готов предоставить по первому зову

благодарю за помощь

Доброго времени суток и заранее спасибо
Посоветуйте пожалуйста аппаратный роутер для поднятия VPN-туннеля на Kerio.
Нужен туннель через интернет на KWF 6.5.2

ustal
Я может чего пропустил, но "Kerio Control includes a proprietary implementation of
VPN"... И следовательно есть только один вариант "аппаратного" решения -
http://www.kerio.com/control/control-box (да и то там -- *Hardware models only available in Canada, U.S.A., and E.U.).

Но Вы можете использовать встроенный в Windows (скажем -2003, если у Вас вообще Win.) "маршрутизацию и удаленный доступ" через Керио (и тут уже будет выбор).

Ребяты, я тут заблудилО, начал одну темку в варезнике, а не здесь... копипастю:

Агрегацию (балансировку) 2-х инэт линий кто-нить делал? Приколяшно наглядно делается, еще не проверял в работе но всёже. Есть спару вопросов по и вообще:

1. Пример начальной доконфигурации (ужимание всех кроме админов, открытие аськи и мыла) (только первые шаги)

Вопрос: Ставить внешний проксяк или с помошью "Управление полосой пропускания и QoS" можно както решить следующие задачи:
-аутентификация по маку
-лимитирование всей аут-ин скорости (хотя надо уже уходить на балансировку, но всёже)
-решение задачи приоритезации
Кто-нить ткните пальцем где это расжовано

2. Пример балансировки на двух инэт каналах. Без мануала по логике вещей поставил так. Линии 40Мб/с и 10Мб/с (следовательно сумарно ~50, итого 80% и 20%). Кто не согласен поправте.


3. Нужны примеры машрутизации рядового предприятия, относительно которого можно дообтесать под себя. Пока рублю только торрент и ютуб (я так думаю). Надо бы еще фильмы ужимать... тянуть то можно, но по приоритету в последний момент и с какойто скоростью как вариант... Сам себя должна пропускать последняя запись, я так думаю. З.Ы. Сервак находится только на стадии конфигурирования.


4. К предыдущему. Нужно описание каждого пункта, если шлюзить имено внутренними возможностями керио. Пока не понимаю как можно кикать залётных... аутентификация не ясна.


Добавлено:

Цитата:

боже мой какая внятная инструкция!!! не то что оригинальная от витька.. вы гений в изложении своих мыслей!!!!!!!!!!!!!!!!!

Согласен, всё заработало.

Цитата:

не получилось! говрит лицуха просроченная!!

Хм, у меня всё вышло, с первого раза. Думаю самой наглядной помощью будут скрины или видос ваще. Возможно с битностью промазал, туториал был то для х64... хотя голова на плечах то есть, не думаю что промазал бы

Добавлено:

Цитата:

za4emperm
Спасибо,
на самом деле очень большое количество ЛЮДЕЙ читает данный топик и ждет от гуру новых решений своих проблем. Но не каждый читающий может внести посильный вклад в развитие данной темы (в силу личных обстоятельств) поэтому выражаю свою личную благодарность всем кто выкладывает свои труды для нас.
И просьба не обращать внимания на вызывающие цитаты, уверяю Вас их еденицы.
Всех с наступающим Новым Годом!!!

Присоединяюсь, честь Вам и хвала. Именно на Вас держутся наши серваки )))

и первый ответ от Usernet2009

Gremlin_groj
Если правильно понял тебя:


Цитата:

1. Пример начальной доконфигурации (ужимание всех кроме админов, открытие аськи и мыла)

аутентификация по маку - есть встроенный фильтр маков + DHCP+ аутентификация по IP (в настройках пользователях) дальше разбиваешь по группам пользователей и в "Управление полосой пропускания и QoS" группами рубишь скорость. (Один из вариантов ..., у мня так работает.)


Цитата:

3. Нужны примеры машрутизации рядового предприятия, относительно которого можно дообтесать под себя. Пока рублю только торрент и ютуб (я так думаю). Надо бы еще фильмы ужимать... тянуть то можно, но по приоритету в последний момент и с какойто скоростью как вариант... Сам себя должна пропускать последняя запись, я так думаю. З.Ы. Сервак находится только на стадии конфигурирования.

На скрине, не зависимо от аутентификации(даже и ты), медиа и пи2пи пойдут по твоему верхнему правилу со скоростью 8 мБит. Поменяй местами правила, тогда будя все ОК.


Цитата:

4. К предыдущему. Нужно описание каждого пункта, если шлюзить имено внутренними возможностями керио. Пока не понимаю как можно кикать залётных... аутентификация не ясна.

Работает та же как и "Правила трафика" сверху вниз, соответственно и приоритет сверху вниз. Для аутентификауии поставь галку"Всегда требовать аутентификации при доступе веб страниц"
Не забудь определить полосу пропускания для каждого соединения. На скрине у тя не определено.

Цитата:

есть встроенный фильтр маков

Ага.. только встроенного его определения по ип нет. Тоесть это надо определить все маки, с арп или таблицы маршрутизации управляемого свитча, но... не вбивать же все вручную!!!! Было бы автоопределение по ип или импорт из файла

Добавлено:

Цитата:

На скрине, не зависимо от аутентификации(даже и ты), медиа и пи2пи пойдут по твоему верхнему правилу со скоростью 8 мБит. Поменяй местами правила, тогда будя все ОК.

Тоесть стандартная фраза керио-гуру "сверху вниз" подразумевает что верхняя запись имеет больший приоритет чем нижняя? Хмм... основополагающе, я немного иначе мыслил


Добавлено:

Цитата:

На скрине у тя не определено

Ну да.. это же предварительно. Нужны примеры если кто может

ребят где взять Kerio Control Software Appliance 7.2.2 вылеченный с вебфильтром???

wwladimir
-Спасибо, значит всё-таки proprietary..
Цитата:

Я может чего пропустил, но "Kerio Control includes a proprietary implementation of VPN"

А что Вы имели в виду под
Цитата:

встроенный в Windows ... "маршрутизацию и удаленный доступ" через Керио

Поставить на win-машину vpn-клиента от Kerio, поднять соединение с Kerio vpn-server'ом и разрешить другим ходить через этот туннель? Или что другое, поинтересней?

Цитата:

ребят где взять Kerio Control Software Appliance 7.2.2 вылеченный с вебфильтром???

Всё что есть - в варезнике. Пользуйтесь. И не забудте поблагодарить авторов.

ustal
Вот здесь понятно все описано http://system-administrators.info/?p=418
А керио надо сказать, чтобы он все это пропускал (PPTP,Ident и GRE).
Но это если Керио на Windows Server какой ни будь установлен... (он и сервером
удаленного доступа будет (VPN), а пользователи встроенным в свой "виндовс" клиентом
обойдутся. Да и большинство железок PPTP отлично понимают.

стоит керио. в сети 2 подсети и 2 независимых контроллера домена. Из основного, на котором и стоит керио все пользователи из домена подтягиваются нормально. Добавил в дополнительно 2 домен из другой подсети. Пользователей из этого домена тоже видит, а вот аутентификацию прохзодить не хочет (будь то NTLM или просто по логину). Пишет, что нет такого пользователя. Где что мог забыть?

Вообще непонятная технология...
2 независимых друг от друга контроллера домена. И как в Таком случае керио будет по Твоему производить аудентификацию?

Не уверен, но если дошло до такого то нужно может сделать доверительные отношения
между контроллерами и копать вэтом направлении.
Хотя фиг знает что там у Вас и как построено в локалке

народ, возник вопрос, можно ли заставить Kerio VPN Client автоматически подключаться к серверу после старта ОС ?

Цитата:

народ, возник вопрос, можно ли заставить Kerio VPN Client автоматически подключаться к серверу после старта ОС ?

Вы шутите? Галки в нем поставьте "Сохранить пароль" и "Постоянное соединение" и будет соединяться после старта ОС, даже без логина.

Negotive666
Спасибо, наверно простота настройки меня смутила

coder666
дело в том, что есть предприятие. Куча лаботроторий. И вот есть одна лаборатория, которая обслуживает себя своим сервером (просто комп с 2008, АД, днс). Начальство хочет собирать статистику по интернету юзверей. Те, что в первом домене - все отлично работает. В керио прописал в дополнительно второй домен (АД), всех пользователей видно (в пользователях), а вот авторизировать их не хочет, как бы не писал: user, user.domain.com и т.п....
ХЕЛП