» Kerio Control (ex Kerio WinRoute Firewall)

wwladimir
уточните пожалуйста, я так понял, скайп у вас идет со всем остальным http, т.е. авторизуется прозрачно? И даже если его запустить вперед браузера?

Я же написал-эту софтину писали очень грамотные ребята... И эта "зараза" у многих в автозагрузке, естественно.
Но и в нем можно настроить прокси Tools (Инструменты) -> Options (Настройки) -> Connections (Соединение).

Еще такой момент возник. Проверяю сейчас прозрачную авторизацию - при попытке зайти на сайт браузер по хттпс стучится на керио и вылазит ошибка сертификата. Как это правильно решается?

Добавлено:
И, я так понимаю, пользователям firefox надо дополнительно параметры в конфиг прописывать, чтобы работала авторизация. Это делается для каждого пользователя на конкретной машине отдельно, либо firefox применяет эти настройки для любого пользователя?

Чей сертификат ошибочный - керио, самоизданный-самозаверенный? Тогда почему бы и не быть ошибке ? Доменный центр сертификации у Вас есть- сгенерите ему доменный.
Нет ? Тогда на клиентах добавьте керио в доверенные узлы (а возможно просто в настройках прокси-исключения для локальных и т.д. -не прописали свой внутренний домен. Я это делаю через GPO. А параметры прокси у меня раздает DHCP через WPAD) а сам сертификат установите на клиентах как доверенный. Хотя это все к Керио отношения не имеет, любой "левый" сертификат будет давать такую ошибку.
Нет, возможно процент использования "лиса" у меня в домене не высокий, но прокси руками прописывал в нем пару лет назад. Тогда же скачал adm шаблон для него, настроил адрес и порт прокси, теперь уже и не вспомню, что там еще ставил. Хром с Оперой берут все у ИЕ. Сафари работает точно, но как- не отслеживал.

wwladimir
понял, а нельзя керио заставить по http пользователей проверять?

Цитата:

а возможно просто в настройках прокси-исключения для локальных и т.д. -не прописали свой внутренний домен

Не совсем понял. На керио проксю я не включал - всё через НАТ.
Сертификат керио придется добавлять в доверенные я так понял. Кстати, где он в керио лежит то? Просто доступа к нему сейчас нет...

HTTP у меня через прокси, проверил -отдача значительно быстрее (сейчас правда управление кешем авторы почему-то убрали, в новых версиях- все на автомате).

Сертификат здесь-дополнительные опции-управление сертификатом-импорт. При генерации, советую, не забыть про "Subject Alternative Name"(погуглите)-тогда будет правильно по ИП-адресу (ну и ДНС, если прописан внешний) изнутри и снаружи. Птица - соединяться по ssl, там же... Снимите-будет без сертификатов (но я на свои снаружи часто очень хожу), но это несекурно очень.
А перекидывает на интерфейс, я так понимаю, когда говорит - "денай"!

wwladimir
спасибо. Про генерацию - это вы описывали возможности керио или виндового CA? Последнего у меня в данной сети нет и не будет (ибо незачем). Соответственно, если керио сам умеет самоподписные генерить с алтернативными SAN то гуд, конечно. Хотя все равно мои клиенты только из локалки будут ходить. SAN вроде как и незачем тут.
PS У меня клиентов штук 10 и ходят только изнутри. Думаю, в рамках домена можно и не по ssl на керио аутентифицировать. Если такую возможность, тем более, можно отключить. Лень просто возиться

Заметил неправильную работу прокси. Объясню на примере спортивного портала sports.ru. Сегодня открываю эту страницу вижу самая свежая инфа датируется вчерашним днем, обновляю ее - инфа обновляется, дата сегодняшняя. Почему прокся не берет новую инфу?

Вот это и называется "кэширующий прокси"...
Если это критично, то на вкладке "политика HTTP" закладка "кэш" снимите птицы. Скорость
"отдачи" страниц в браузер при этом упадет.
Если версия керио старая-то там есть еще "кнопка"-управление кэшем и можно добавить вручную параметры и исключения для адресов.

Abdullasharapov
wwladimir
С кэшем действительно есть проблемы, если его настройки идут по дефолту. Для меня тоже непонятно зачем они убрали настройки кэша с гуи в новых версиях. Но к счастью они таки остались, только надо редактировать winroute.cfg.
Итак, что бы не открывались старые странички ищем строку <table name="Cache"> в вышеупомянутом файлике. Следующие атрибуты выставляем так:
<variable name="AlwaysRevalidate">1</variable>
<variable name="UseServerTTL">1</variable>

Для более правильной его работы можно сделать еще и следующее:
<variable name="CacheRedirect">1</variable>
<variable name="ContinueAborted">1</variable>
<variable name="HttpTTL">1</variable>

Проверил skype и live messenger с предложенной выше конфигурацией - прозрачно не авторизируются Вопрос остается открытым - как их пустить, даже хотя бы без авторизации, если они используют http и https? Судя по описанию их работы, можно завернуть на другие порты. Кто пробовал?

butch9383
Что то я не совсем пойму проблему - создайте правило: источник - IP машин с которых надо пускать скайп, назначение - интернет, NAT

Доброго всем не подскажете, нужно пробросить порт извне на некую службу (порт известен) (!)работающую на той же машине, где и установлен Kerio. Как должно выглядеть правило в Traffic Policy?

daledale
Какое же это тогда "пробросить"?
Source: Internet
Destination: Firewall
Port: port_nr

GCRaistlin
Спасибо. Только маленький нюанс: "Port: port_nr" это правильней так будет "Service: port_nr" да?

daledale
Тогда уж "Service: service_name". А service_name определяем в Definitions | Services.

PODs мне нужна авторизация.

GCRaistlin
Прошу прощения. Допустим TCP порт 1111, такая штука получается?

ps источник ANY в Source просто для примера, там будут только конкретные IP

Да. Хотя, строго говоря, если речь про "извне", то вместо any надо ставить все же Internet interfaces. Даже временно. Дисциплинирует.

GCRaistlin
Спасибо.

подскажите, как правильно настроить проброс VPN через керио? везде пишут что достаточно разрешить PPTP, но только с ним дает ошибку ошибку 800. клиент и сервер windows 7. правило: интернет->PPTP->firewall->map на комп в локалке:1723

Бандвиш все ж юзают? В лимитере нет типа события - ЗАГРУЗИТЬ, как лимитировать именно такой тип соединения. По протоколу что-то не катит

butch9383
Так авторизация возможна либо только через браузер, либо автоматом по любому коннекту. Итого по второму варианту - создаете в группе IP адресов айпишник машины с скайпом и потом в юзерах в разделе "IP адреса" указываете привязку к ранее созданной группе и будет Вам "авто авторизация" )

Gremlin_groj
Тип трафика - "Передача данных большого объема", и режете скорость на скачку

GOODmen
А GRE забыли ?
И трафик инспектор-"нафиг"

wwladimir
GRE был, с ним вообще ноль. может стоило трансляцию в порт убрать? в логах
DROP "remote" packet from internet, proto:TCP, len:48, ip/port:178.*.*.*:55891 -> 83.*.*.*:1723, flags: SYN , seq:252253203 ack:0, win:8192, tcplen:0

Доброе время суток. Столкнулся с проблемой, переношу шлюз на новое железо и ос win 2008 standart, установил kerio получил лицензию (оффлайн), добавил в систему pppoe соединение, перезагрузил систему, захожу в админку и оп керио не видит соединение...с чем это связано так и не могу разобраться....помню что был такой случай когда на win2k3 ставил керио 2 года назад, но вспомнить не могу чем это решилось тогда....может кто то сталкивался с таким?

stoun
в сетевых настройках pppoe есть службы control и netfilter?

Цитата:

помню что был такой случай когда на win2k3 ставил керио 2 года назад, но вспомнить не могу чем это решилось тогда

при создании подключения указывать - для вcex пoльзoвaтeлeй

Valery12 Спасибо)

GOODmen
По логу Ваш пакет не попадает под разрешающее правило.
Так "трафик инспектор" на этом правиле выключили ???
И протокол, если мне память не изменяет, не TCP а 47 (GRE !!!).
И проверьте, что сам керио имеет выход наружу по этим портам и протоколу...