» Kerio Control (ex Kerio WinRoute Firewall)

Ну вот. Ночь не прошла даром Что-то работает. А точнее раздают интернет оба интерфейса, и в случае падения одного работает другой. Выбрал балансировку. С правилами разбирался на угад. И судя по активным коннектам настроил я их через... ну одно место в общем Просто с утра люди придут и до следующего вечера пока трогать не буду. Пускай работают. Все бы ни чего да вот только отвалился из вне мой основной провайдер. Удаленщиков то пока пустил через DSL а вот с сайтами... Надеюсь на Вашу поддержку. Думаю чего-то не хватает в маршрутах (а может я в правилах чего перекрутил) В общем ниже все в мельчайших подробностях Признанию моему за помощь не будет границ

1
Какая-то ошибка


2 Вот тут я не понял какое соединение мне нужно в интерфейсе ИНТЕРНЕТ. PPP которым я подключаюсь? Вроде бы работает. Но может что не так?


3


4


5


6


7


8


9

Цитата:

1
Какая-то ошибка

в операционной системе, дефолтный шлюз указывается только для одного сетевого интерфейса, остальные добавляются в настройках балансировки в самом керио

Цитата:

3

вторым правилом "инет ко мне" ты полностью открыл свой сервер внешнему миру, жди "гостей"

penttagon
Правило Инет ко мне - вообще удалить!!!

Правило Доступ в Инет - переделать согласно правилам!!! Почему внешние интерфейсы в сурсах???

Цитата:

в операционной системе, дефолтный шлюз указывается только для одного сетевого интерфейса, остальные добавляются в настройках балансировки в самом керио

Это сделал. Но иногда почему-то он сам появляется Полтергейст)))

Цитата:

Правило Инет ко мне  - вообще удалить!!!

Удалил.

Цитата:

Правило Доступ в Инет - переделать согласно правилам!!! Почему внешние интерфейсы в сурсах???

Внешние убрал. А переделать согласно правилам это как?

Но доступа по DNet все-равно нет. Удаленщики сидят на DSL. Вчера когда я играл с интерфейсами у меня заработало. Думаю потому-что добавил сетевую карту в интернет соединения. Который Avangard1. Но это вариант не правильный, потому-что укерио начинает и его грузить))) А в инет то он не выходит. Инет идет через PPP. Посмотрите пожалуйста что не так в роутинге? Мне кажется это маршруты как-то не так ходят

Цитата:

Это сделал. Но иногда почему-то он сам появляется Полтергейст)))

а на каком конкретно указан теперь шлюз, раньше судя по картинкам один шлюз был указан на avangard1 из "других" интерфейсов что нафик не нужно, а добавляет шлюз при подключении соединение ptn

Добавлено:

Цитата:

Думаю потому-что добавил сетевую карту в интернет соединения. Который Avangard1. Но это вариант не правильный, потому-что укерио начинает и его грузить))) А в инет то он не выходит. Инет идет через PPP

если Avangard1 это какая то домовая сеть (судя по серым адресам) то нужно выяснить все ее подсети и прописать статические маршруты.

Цитата:

а на каком конкретно указан теперь шлюз, раньше судя по картинкам один шлюз был указан на avangard1 из "других" интерфейсов что нафик не нужно, а добавляет шлюз при подключении соединение ptn

Сейчас в системе вообще шлюза нет))) А где он должен быть? Но вот чего не пойму.

В свойствах шлюза нет. Но если смотришь в подробностях он есть. И из керио я его убрать не могу. А в PPP соединении шлюз не присваивается. Там просто IP сервера и IP клиента...


Цитата:

если Avangard1 это какая то домовая сеть (судя по серым адресам) то нужно выяснить все ее подсети и прописать статические маршруты.

Да нет. Это обычный DSL провайдер. Я к модему цепляюсь. Через то самое PPP. Адрес DSL роутера же 192.168.1.1 Соответственно и у сетевого интерфейса такой же... Или не правильно? Блин. Теперь не могу на модем зайти по 192,168,1,1

Цитата:

farseer777


Цитата: Цитата:Парни у меня вопросы по Kerio Control 7.0.0 (зарелизалась сегодня):
- есть ли там SOCKS-прокси?
- возможно ли там сделать перенаправление портов?

Да там круче - NAT есть!!!
порт-меппинг конечно есть.

penttagon

Цитата:

Адрес DSL роутера же 192.168.1.1 Соответственно и у сетевого интерфейса такой же... Или не правильно?

конечно неправильно, подсеть одна а адреса должны быть разные, тоесть модем в режиме роутера?
а вообще нужны ipconfig /all route print до поднятия всех PPP соединений и после.

Цитата:

конечно неправильно, подсеть одна а адреса должны быть разные, тоесть модем в режиме роутера?
а вообще нужны ipconfig /all route print до поднятия всех PPP соединений и после.

Да понятно что не один IP ))) Я имел ввиду подсеть. адрес роутера 192.168.1.1 на сетевухе 192.168.1.2
До поднятия пока не могу, люди работают удаленно. А то что есть сейчас вот:
Настройка протокола IP для Windows

Приветствую.

Мне надо заменить плагин McAffee на Drweb. (Kerio 6.6.0 build 5729)

Я так понимаю, что для того чтобы не было конфликтов между антивирусами McAffee надо удалить. Вот только как это сделать чтобы не сносить Kerio полностью?!

Цитата:

Удаленщики сидят на DSL

не понял что за удаленщики, клиенты керио впн? тогда где правило разрешающее доступ к впн серверу.

Цитата:

Valery12

Цитата:

Удаленщики сидят на DSL
не понял что за удаленщики, клиенты керио впн? тогда где правило разрешающее доступ к впн серверу.

По RDP сидят человеки правила там есть.

terricott2008

Цитата:

Мне надо заменить плагин McAffee на Drweb. (Kerio 6.6.0 build 5729)

McAffee из Kerio 6 Вы удалить не сможете. Он в него интегрирован. Его можно только отключить. DrWeb необходимо подключать к керио с помощью библиотек к Kerio на вкладке Антивирус. Там же можно активировать оба антивируса, тогда, проходящий трафик будет проверяться обоими антивирусами. При этом конфликтовать друг с другом они не будут.

Цитата:

По RDP сидят человеки правила там есть.

тогда в правиле сделай источник не интернет а интерфейс DNet, получатель фаервол
и шлюз вручную добавь именно для DNet

Valery12

Цитата:

тогда в правиле сделай источник не интернет а интерфейс DNet, получатель фаервол
и шлюз вручную добавь именно для DNet

Так мне нужно чтобы и через DNet и через Авнтард могли они сидеть... Нечайно отключин трафик инспектора... Поехал в офис ))) Инета нет ни в офисе ни из вне )))

penttagon
может всё таки прочтёте это, и это наверняка поможет.

http://manuals.kerio.com/control/adminguide/en/sect-loadbal.html
http://manuals.kerio.com/control/adminguide/en/sect-policyrouting.html

Цитата:

может всё таки прочтёте это, и это наверняка поможет.

Вы не поверите ))) Я даже не знаю что сделал но заработало. Теперь сайты арбайтен. Клиент банк то же. RDP ходят по обоим внешним IP. Теперь найти как сделать бэкапчик))) Я сегодня игрался со шлюзами... В итоге в системе остался шлюз у одного провайдера. Проблема была видно в том что шлюз назначался в систему еще и второму провайдеру. Причем шлюз этот был не правильный. Фух. Это конечно хорошо))) Но через 2 недели предстоит перенос всего этого на новый сервак... Выбил денег на новую железку...
Tihon_one
Спасибо Но я там ничего не понял)))) Вроде по русски написано английскими буквами... Но у меня все вроде так было настроено)))

Кстати забыл написать: Спасибо всем и по отдельности каждому принимавшему участие. За что я люблю форумы, так за то что пока ты пишешь, или отвечаешь на что-либо ты сам в это начинаешь врубаться :-D Думаю прощаюсь не на долго из этой темы))) Завтра привезут VOIP шлюз )))) Буду домой офисную линию кидать.

обновил сегодня Kerio Control до последней версии и словил проблему, теперь у всех юзеров требует логин пароль для выхода в интернет. Настроено было по доменным пользователям, и все автоматом пускало, теперь не получается настроить

вроде все стоит как надо
галки:
+всегда требовать авторизации польз.при доступе к веб
+включить выполнение аутентификации пользователя веб-обозревателями
+использовать базу данных пользователемй домена

----------------
когда идешь в инет, просит логин/пароль, вводишь доменный и все идет, а автоматом не хочет (раньше проходило на версии 6.7.1)

заметил грабли, выдает нет доверия к сертификату может в этом дело, но:
на своем компе пробовал добавил в надежные добавил сертификат, а все равно не помогло. Есть вопрос, сертификат генерировать на имя машины или IP. Я сделал на имя...

в общем что еще посмотреть можно?

-------

похоже произошло все из-за того, что теперь Kerio не хочет работать на порту 4080 по http протоколу, а теперь только https !!! Раньше использовал http и все работало

Serg41
Сертификат должен быть на имя или адрес, по которому пользователи попадают на страницу аутентификации...

Цитата:

Сертификат должен быть на имя или адрес, по которому пользователи попадают на страницу аутентификации

пробовал и по имени и по ip, не выходит каменный цветок
может дело и не в сертификате...

Serg41
Что написано в самом сертификате? На какое имя он выдан?
Сам сертификат занесён в доверенные на рабочих станциях?

Добавлено:
Это всё, чтобы рабочие станции не "ругались" на недоверие к сертификату. Но автоматическую аутентификацию это не исправит.

Цитата:

Что написано в самом сертификате? На какое имя он выдан?
Сам сертификат занесён в доверенные на рабочих станциях?

пробовал на доменное имя (fw), пробовал fw.domain.ru, пробовал на ip, добавлял в доверенные на машине итог один, все эти адреса также добовлял в доверенные. Пробовал только на 2-х машинках

помогите разобраться со статистикой при попытке зайти на страницу шттп://КВФ:4080 - выдает ошибку invalid request. переключение галочек веб-интерфейс ничего не меняет
заранее благодарен

заработало только при смене порта на стандартный - 80

Serg41
Для 6-ой серии была справедлива статья: http://support.kerio.com/index.php?_m=knowledgebase&_a=viewarticle&kbarticleid=525
На 7-ой не проверял.
Имена хоста должны совпадать везьде + сертификат должен быть помещён в хранилище доверенных сертификатов на каждой машине (удобно, средствами ГП):


Добавлено:
Nycolas
Похоже у Вас недоступен/запрешён порт 4080
Проверьте работоспособность по протоколу https на порту 4081.
Ещё проверьте корректность записи хоста с керио "КВФ" в DNS.

SibD

при смене на порт 4081 и хтппс - мозилла выдала сообщение что сертификат бед, но после добавления его в исключения на страницу зашла. через порт 4080 ходит упорно не хочет

DNS проверял. все корректно

Nycolas
На порту 4080 больше ничего не висит, помимо керио?
Керио какая версия?
Правила керио разрешают доступ к компьютеру с керио по порту 4080?

семерка на порту 4080 (HTTP) уже не работает, точнее должен идти автоматический редирект на 4081 (HTTPS)

неохота возиться с сертификатами можно поправить конфиг

там должно быть
<variable name="WebAdmPort">4080</variable>
<variable name="WebAdmSslPort">4081</variable>
<variable name="WebAdmHTTPSRedirect">1</variable> поставить 0

SibD

версия 6.6.0, на порту 4080 ничего не висит
правила явно не разрешают доступ по 4080 (разрешено все в пределах локалки-керио), точно так же как и по 4081. но по 4081 работает
к примеру по порту 1080 пускает, а по 4080 йух

ну а в конфиге такая строчка есть
<variable name="WebAdmPort">4080</variable>
и еще в параметре
<variable name="RemoteAdmAcl"> случайно ничего нет?

Подскажите. Клиенты используют Kerio VPN для доступа к локальной сети организации. Причём все они соединяются с vpn сервером под одним пользователем.
Была проблема один клиент немог соединится с vpn сервером (Ошибка:vpn сервер не отвечает). Причём нато небыло никаких основательных причин(сервер пинговался нормально), 6 клиентов работали и соединялись нормально, а 7-й немог соединиться. Утром же все соединялись нормально.
Правило: DSL-Firewall-KerioVPN

В чём могла быть проблема ? Нет ли какого либо ограничения на количество VPN подключений с одного пользователя ?