» Kerio Control (ex Kerio WinRoute Firewall)

Вопрос.
Имеется Kerio Contol 7.0.0 build 896. Win 2008 x64. Одноранговая сеть. Машина с Kerio - шлюз. Включен DNS форвардинг. DNS на интерфейсах настрен согласно рекоментациям из FAQ.
Два интернет провайдера - один статика, второй PPPOE. Оба 20Mb/s. Нужно настроить Traffic Load Balancing, т.е. чтобы одновременно работали два интерфейса.
В режиме Failover они работают прекрасно - один отключается, второй начинает работать. Проблем нет.
Если выставить режим Traffic Load Balancing то получается такая штука - адреса с клиентских машин пингуются, но зайти никуда невозможно. Браузеры пишут невозмжно отобразить страницу и т.д.
В Traffic Rules стоит в разделе NAT всё по умолчанию. Принудительно интерфейс не указан.
Что подскажете?

Имеется Керио Контрол 7.2
В логах пишется:
hostname""=lic_expire=not valid or expired

Смертельна ли ошибка в логах?

Спасибо!

AkeHayc
lic_expire=not valid or expired-
Нет, не смертельная, просто программа не работает из-за недействительной лицензии. Немного денег производителю и все будет ОК.

Inquizit0r http://forums.kerio.com/m/78206/?srch=Load+Balancing#msg_78206
Будет работать только после 7.1 (I had issues with versions previous to the 7.1.0 patch 2. If I enabled load balancing, there would be two alerts that would claim that both connections where dead)

Делите для балансировки, скажем, почта через одного, Веб через другого, в случае отказа все через рабочий интерфейс.
Или правило по группам пользователей (внутренним ИП-адресам), одни сюда, другие туда.

насчет лицензии - возможно генерировали лицензию одним лекартсвом и лечили другим. было у меня такое.

wwladimir
Так он же работает, нормально.
Проверил порт сканом, открыты только нужные порты.

Добавлено:
Забыл написать, что это только одна запись в логе была.

AkeHayc
Тогда все нормально, ключик работает. Но для уверенности в журнале debug по правой кнопке выберите - сообщения и разделе miscellaneous поставьте птицу на licensing information. Затем последите за содержанием журнала.

Ребят, уже задавал вопрос, но он утонул!
Почему с одной машины из внешней сети я подключаюсь через KerioVPN и работаю в сети за каерио как будто в своей, а именно пробрасывается и ДНС запросы.
А с другой машины и другой сети, так же подключаюсь но ДНС нет.
Обе машины win7, разница только в одном случае обычный эзернет, в другом адсл

terence
можно долго гадать на кофейной гуще, проверь разницу в настройках обоих хостов, netbios, возможно у тебя на работе доменная сеть, тогда назначит основным DNS на этом хосте твой доменный и т.п., короче это что-то явно у тебя.

terence
пропиши дополнительный ДНС твоего домена.
Или вероятно у тебя нету маршрута. Если так, то пропиши маршут командой route.
На серваке который ДНС введи команду:
route add <адрес виртуальной сети> mask <маска виртуальной сети> <IP адрес VPN сервера>
Например:
route add 10.168.10.0 mask 255.255.255.0 192.168.1.2
Где:
10.168.10.0 - Вирутальная подсеть
255.255.255.0 - Маска
192.168.1.2 - Адрес VPN сервера в удаленной локальной сети.

Хотя это вероятно не правильный совет, так как один комп уже конектился и у него все работало.

Всего скорей у тебя фаервол 53 порт закрывает.



Добавлено:
terence
Не давно тоже настроил себе VPN на сервере.
Первая и единственная проблема:
Клиент конетится получает IP адрес, НО не видит локальной сети.

Проблема решилась прописыванием маршрута к виртуальной сети на нужных серверах локальной сети.
Просто тупо прописал как выше маршруты и заработало.

Но это случай из разряда единичных. В удаленной локальной сети два шлюза ISA и Kerio. Все выходят через ИСА, а впн конект захотелось сделать на Керио.

AkeHayc
Простите, но Вы действительно
Цитата:

тупо прописал

. Это ж до первой перезагрузки, ключик -p добавьте route -p add 10.168.10.0 mask 255.255.255.0 192.168.1.2


terence
Сравните вывод ipconfig /all и route print с обоих машин в режиме соединения (или покажите здесь).

[more] Баг при связи через VPN туннели.
[more] Имеется сеть центрального офиса связанная с сетями удалённых офисов через VPN каналы. Стоит задача развернуть в офисах небольшие WEB серверы внутреннего употребления на IIS. С офисами, где VPN поднят на шлюзах D-Link, проблем нет. Из центрального офиса видно WEB в филиалах, из филиалов – в центральном офисе, после ввода пароля. А вот с шлюзами на Kerio Connect мучаюсь уже три недели. На всех Kerio стоит правило – весь локальный трафик равно как трафик VPN туннелей передаётся в обе стороны без ограничений. Тем не менее, из центрального офиса WEB в филиале виден (требует сначала пароль для входа на удалённый шлюз, а затем пароль пользователя Kerio), а вот обратно, WEB в центральном офисе не виден. В логах удалённого Kerio висит код 302 «Страница перемещена». При этом из удалённого офиса проходят на центральный WEB сервер пинги, подключаются RDP и общие папки. Более того, WEB админка центрального Kerio из удалённых офисов подключается без проблем. Чтобы исключить DNS проблемы, все подключения проводятся по частным IP. Копал в сторону маршрутов, MTU (с уд. офисами на Kerio связь через ADSL), вводил новые правила, но всё бесполезно. Единственное отличие настроек центрального Kerio от удалённых в том, что в центральном VPN сервере каналы в пассивном режиме, а в удалённых в активном, т.к. там нет постоянных IP. Может кто-нибудь хорошо знает Kerio Connect и имеет соображения по устранению этого бага. [/more] [/more]

alexbs
ну бага или не бага это ещё хз, а вот конфиг в студию с обоих концов с пояснениями.

wwladimir
я в курсе что надо постоянный маршрут прописывать.
Но это ему для примера. У него же один комп выходит, значить проблема не в этом ИМХО.
Спасибо wwladimir


Добавлено:
wwladimir
У меня версия 7.2 русская. Не могу найти тот раздел о котором вы говорите...

Господа, помогите с проблемкой - обновился с 7 до 7.2.2 - стали рваться коннекты извне по RDP и SQL

правила не менялись вообще. в чем может быть проблема - куда копать?

заранее спасибо!

Mobster
покажи, что за правила.

Подскажите, пожалуйста, как можно, сделать так, что бы при посещении сайтов в статистике kerio не отображалось у админа название сайтов...
Если надо, доступ в само керио есть, просто, что бы о определённому айпишнику не отображалось где он сидит ....либо зафиксировать один и тот же сайт.

Дайте пожалуйста настройки для прозрачной авторизации на Керио через AD

droni106
В "статистика"-правой кнопкой по пользователю и там "удалить счетчики...", на будущее - "учет" - "исключения" - себя любимого или группу (весь ИТ).

AkeHayc
По родной пошаговой инструкции не получается ? http://manuals.kerio.com/control/stepbystep/en/sect-sbs-usersgroups.html
Тогда посмотрите это в полной http://manuals.kerio.com/control/adminguide/en/sect-domains.html
Если с английским плохо могу ссылку на переводчик у "гугля" дать.
Прочитали? Давайте конкретно-что не выходит ?

wwladimir
да, вы правы!
По родной не получается, вот и спросил...

wwladimir

Чему школоло учите? :-\

AkeHayc
Так что, конкретно, не получается:
- не удается найти в консоли строку "домены и аутентификация" ?
- в ней нет вкладки служба каталогов" ?
- на ней не видны поля для ввода имени пользователя и пароля с доступом "для чтения"
службы каталогов?
Ну есть там еще "птица" - "сопоставить учетные записи...." и
возможность выбора в зависимости от типа домена,
и если у Вас "Apple Open Directory" не забудьте перевыбрать..
.

P.S. с именем и паролем помочь не смогу.


Starshark2007-
Раз
Цитата:

доступ к самому керио есть

, значит ОДМИН, однако...

[more] /more Tihon_one
Kerio в центральном офисе
Kerio Control Administration
Kerio Control

Интерфейсы

Соединение с Интернет

Имя IP-адрес         Маска             Состояние системы
Интернет-интерфейсы
Master 217.X.X.X     255.255.255.248         Вверх/активноОсновной
skylink                             ВнизДополнительный

Доверенные/локальные интерфейсы
Lan    192.168.35.254    255.255.255.0            Вверх

VPN-интерфейсы
VPN-сервер 10.253.208.1                     Вверх
tdkrasnodar                             Вверх

Другие интерфейсы0
skylink без внешнего IP    192.168.0.51 255.255.255.0 Вверх
Dial-In                                 Вниз

Политика трафика
Правила трафика

Имя Источник Назначение Служба Действие Трансляция
FTP Интернет-интерфейсы Брандмауэр FTP Разрешить MAP 192.168.35.252
Ping

FTP внешний Доверенные/локальные интерфейсы
Брандмауэр FTP Разрешить MAP 192.168.35.252
Ping
Почта приходит Интернет-интерфейсы
Брандмауэр HTTP Разрешить     MAP 192.168.35.253
POP3
Ping
SMTP

Служба HTTPS и VPN Любой
Брандмауэр HTTPS
Kerio VPN Разрешить

ISS OrangeWeb Filter Брандмауэр
Любой HTTP
STCP 6000 Разрешить

Новое правило Доверенные/локальные интерфейсы
Интернет-интерфейсы
Any ICMP
Bank-client
FTP
POP3
Ping
RDP
SMTP Разрешить NAT (master)

NAT Доверенные/локальные интерфейсы
Интернет-интерфейсы DNS
HTTP
HTTPS
ICQ
Jubber
Telnet
virtua_linet_server
webadmin
Сайт Украина Разрешить NAT Распределение
нагрузки по хостам

HTTP ПОЧТА РЕГИОНАМ Все VPN-туннели
192.168.35.244
192.168.35.252
192.168.35.253 FTP
                        HTTP
                        POP3
                        Ping
                        RDP
                        SMTP Разрешить

Локальный трафик Брандмауэр Доверенные/локальные интерфейсы VPN-клиенты Все VPN-туннели
Брандмауэр Доверенные/локальные интерфейсы VPN-клиенты Все VPN-туннели Любой Разрешить

Трафик Межсетевого Экрана Брандмауэр
Любой Любой Разрешить

Блокировать прочий трафик Любой Любой Любой Удалить

Kerio в удалённом офисе

kerio - Kerio Control Administration
Kerio Control

Интерфейсы

Имя                     IP-адрес Маска     Состояние
Интернет-интерфейсы
Подключение по локальной сети 2 192.168.1.3 255.255.255.0 Подключен

Доверенные/локальные интерфейсы
Подключение по локальной сети 192.168.60.10 255.255.255.0 Подключен
Dial-In                                      Отключен

VPN-интерфейсы
VPN-сервер                 10.189.21.1 255.255.255.0 Подключен
Office                                      Подключен

Политика трафика
Правила трафика

Имя Источник Назначение Служба Действие Трансляция

Служба HTTPS Любой Брандмауэр HTTPS Разрешить

Служба Kerio VPN Любой Брандмауэр Kerio VPN Разрешить

ISS OrangeWeb Filter Брандмауэр Любой HTTP
STCP 6000 Разрешить

NAT Доверенные/локальные интерфейсы
Интернет-интерфейсы Any ICMP
DNS
FTP
HTTP
HTTPS
ICQ
IMAP
IMAPS
KWF Admin
KWF WEBAdmin-SSL
                             POP3
                         POP3S
                             Ping
                             RDP
                 SMTP
                             SMTPS
                             Telnet
                             VNC
                         TCP 5222 Разрешить NAT Распределение
нагрузки по хостам

Локальный трафик Брандмауэр Доверенные/локальные интерфейсы Клиенты VPN Все VPN-туннели
Брандмауэр Доверенные/локальные интерфейсы Клиенты VPN Все VPN-туннели Любой Разрешить

Трафик Межсетевого Экрана Брандмауэр Любой Any ICMP
DNS
FTP
HTTP
HTTPS
IMAP
POP3
SMTP
Telnet Разрешить

Трафик Межсетевого Экрана-2 Брандмауэр Любой Любой Разрешить

Блокировать прочий трафик Любой Любой Любой Удалить
[/more] [/more]

alexbs
не чувак, давай-ка постарайся и выложи всё красиво, тут тебе никто ничего не должен.

wwladimir

Цитата:

AkeHayc
Так что, конкретно, не получается:
- не удается найти в консоли строку "домены и аутентификация" ?
- в ней нет вкладки служба каталогов" ?
- на ней не видны поля для ввода имени пользователя и пароля с доступом "для чтения"
службы каталогов?
Ну есть там еще "птица" - "сопоставить учетные записи...." и
возможность выбора в зависимости от типа домена,
и если у Вас "Apple Open Directory" не забудьте перевыбрать..
.

P.S. с именем и паролем помочь не смогу.

- Консоль нашел, в ней строку тоже.
- В ней есть вкладко, с этим проблем нет.
- Поля видны, юзер создан, все читается.
- Птица счастья стоит, кушать не просит.
- Каталог с "откушенным яблоком" не используем, религия не позволяет.

Проблемс не в этом, в Винроуте все пользователи видны.
Не получается сделать прозрачную аутентификацию через Актив Директори.
Создаю правило которое пускает всех "авторизованных пользователей" в "Интернет", используя NAT.

При этом на клиентском компьютере почему-то запрашивается логин\пароль.

AkeHayc
Если доменые пользователи видны и по вводу руками имени-пароля они получают доступ в интернет, то
1. На вкладке "домены и аутентификация"-закладка "параметры"-
птица на "всегда требовать..." и "включить....автоматическую... через браузер"
2. В правиле (правилах) для NAT источник-аутентифицированные пользователи (или группы, юзеры..).

И последнее- не все браузеры "одинаково полезны" -NTML всеми поддерживается в разной степени, вплоть до никакой. Тестируйте строго в IE (а пользуйте Chrome ). Опять-же по пунктам ( и что в браузере должно быть для прозрачной NTLM) читаем здесь - http://manuals.kerio.com/control/adminguide/en/sect-ntlm.html

особенно -General conditions
и это
For proper functioning of NTLM, a browser must be used that supports this method. By now, the following browsers are suitable:

Internet Explorer

Firefox or SeaMonkey

In both cases, Kerio Control needs to be added to the list of trusted servers..................................................

Ну ведь все равно придется - !!!

AkeHayc
Если браузер Firefox - то порядок действий:

1. В Kerio: Configuration - Advanced options - таб Web-Interface/SSL - в строке WinRoute Server name указываем желаемое имя сервера, у меня совпадает с именем компьютера - например, proxyserver

2. В Firefox в строке адреса пишем: about:config, обещаем не хулиганить, в строке поиска в открывшейся страницы пишем ntlm, находим параметр network.automatic-ntlm-auth.trusted-uris, в котором указываем происанное в Kerio имя - в нашем случае proxyserver, после чего Firefox больше пароли не спрашивает.

Для раскидывания на все компы как вариант:

echo user_pref("network.automatic-ntlm-auth.trusted-uris", "proxyserver"); >> p:\Internet\Mozilla\prefs.js

где p:\Internet\Mozilla\ - расположение профиля Firefox - у меня он у всех пользователей на сетевом диске.

В Opere можно один раз ввести пароль и запомнить - или вводить каждый раз - Opera хорошо и красиво запоминать не умеет.

Сам с этими паролями долго сражался, пока не нашел решение, которое, кстати, указано в официальном мануале Kerio - не стесняемся читать официальные мануалы - это очень полезно.

Добавлено:
AkeHayc


Цитата:

Опять-же по пунктам ( и что в браузере должно быть для прозрачной NTLM) читаем здесь - http://manuals.kerio.com/control/adminguide/en/sect-ntlm.html

Да, читать именно тут.

Вроде простой вопрос но найти не могу. В керио стар надо, чтобы отображалась статистика по компьютерам (ip адресам а лучше dns именам). Авторизация пользователей не нужна. Сейчас в отчетах только "неопознанные пользователи". Как сделать?

butch9383 Читаем выше про авторизацию пользователей - как только настроите - и в Kerio Star все на место станет.

Yaromaxx
прочел, но это не совсем то что мне надо. Авторизация, как таковая, не нужна. У меня есть AD и есть клиенты не в AD (лаптопы, телефоны) которым также нужен интернет. Я хочу, чтобы в керио пользователи из AD отображались в статистике, а остальные шли как неопознанные юзеры (машина с керио в данный момент не в домене). Но чтобы никому не надо было вводить логин пас - т.е. нужна автоматическая авторизация как юзеров из AD так и остальных клиентов. Так можно сделать?

Добавлено:
Я так понял, что без ввода машины с керио в домен аутентифицировать пользователей прозрачно не получится, только если привязать их к конкретной машине. Попробовал просто импортировать учетки из AD - после импорта пишет внизу "некоторые учетные записи пользователей недействительны, аутентификация отключена"...
Поправьте, если ошибаюсь.

butch9383
В "пользователях" создайте локальных юзеров (можете и с именами типа 192.168.0.27), сопоставьте их с IP-адресами (последняя вкладка), одному пользователю можно сопоставить и несколько адресов.
Тогда керио сможет статистику делить на этих пользователей.
Но в правилах трафика источником должны стоять пользователи (аутентифицированные ли или группы), если в правиле аутентификация не требуется (указан интерфейс или сеть) то такая статистика будет идти на одного пользователя "неопознанные пользователи".

И еще- не принципиально - в домене керио или нет, пользователей из AD он получает через вводимую Вами учетку.
И Вам не импорт нужен, а "отобразить пользователей...." (как-то так, там от верси к версии менялось)
Правильно настроенная авторизация является прозрачной и не требует от пользователя домена ввода имени и пароля.
Присвоив своему мобильнику пользователя (сопоставив его с адресом мобильника) Вы его тоже авторизуете таким образом.
Но ввод в домен керио сильно упрощает его администрирование и ника не влияет на все остальное...

Недействительны бывают конфликтные учеткм , в локальной есть запись "superadmin" и в домене "superadmin@firma.local". Керио предложит локальные переименовать. Остарожно, так теряют пользователя с правами админа в керио !!!