» Kerio Control (ex Kerio WinRoute Firewall)

hristoff

Цитата:

В чём могла быть проблема ? Нет ли какого либо ограничения на количество VPN подключений с одного пользователя ?

Проблема могла быть на любом из участков связи.
Ограничение на пользователя может выставлять админ, привязывая пользователя к определенным IP адресам клиентов.
Также можно резать правилами )

Valery12

<variable name="RemoteAdmAcl"> - ничего нет

<variable name="WebAdmPort">80</variable>

странно статистика работает по любому порту кроме 4080. непонятно гден косяк

Nycolas тоесть если сделать <variable name="WebAdmPort">4080</variable> то не работает? тогда нужно любым монитором посмотреть какая программа слушает этот порт.

Valery12
в догонку, netstat -ano | find ":4080"

так быстрей будет

порт не занят...
ладно, фиг с ним с 4080
будет бегать на другом порту

всем спасибо за помощь

Нужна помощь. Раньше все работало, потом перестало...

Есть 2 инета. Нужно направлять пользователей банка-клиента и почтовый сервер на один и-нет, а остальных на другой. Я уже даже винду переставил и поставил настройки при которых работало, но всё равно не помогает ;(

Кто знает как запустить iptv на сервере где установлен керио, какое правило нужно создать?

Привет спецам!

Може кто-то настраивал и знает как это можно сделать:
необходимо настроить доступ с балансировкой трафика между двумя провайдерами, оба ADSL. Все казалось бы просто, если VPN коннекшен к провайдерам устаноавливают модемы, а у тебя в kerio только два сетевых интерфейса которые постоянно подключены к интернету. Но как настроить, если оба VPN соединения устанавливаться должны с kerio, а модемы настроены в бридже? Вопрос как заставить vpn коннекшен устанавливаться через определенный внешний интерфейс идущий к модему?
Что сейчас есть:
LAN-> kerio-> два модема, оба в бридже висят на разных сетевые картах.

Сетевые карты на сервере с kerio:
lan connection
192.168.1.254
255.255.255.0
DNS: 192.168.1.254


inet connection1
10.10.10.1
255.255.255.0
gt:10.10.20.1
DNS: 81.25.32.9


inet connection2
10.10.10.2
255.255.255.0
gt:10.10.20.1
DNS: 81.25.32.9

плюс к этому есть два VPN соединения ( VPn 1 и VPn2), которые инициализируются с kerio, которые я и планирую использовать как интернет соединения для интернета, и между ними осуществлять распределение нагрузки и фэйловер.

Как сделать так что бы VPN1 ходил только через inet connection1, а VPn2 только через inet connection2?

Заранее спасибо.

Более-менее ситуацию прояснил - не прописывается на второй сетке шлюз... В итоге по ней не идёт внешний трафик. Как с этим бороться? Пробовал и в настройках интерфейса Винроута и в самом соединении в винде. Не помогает.

В настройках он есть, а в статусе сединения нет. Так же его нет в route print

SuperNOVA

Цитата:

Нужна помощь. Раньше все работало, потом перестало...

Есть 2 инета. Нужно направлять пользователей банка-клиента и почтовый сервер на один и-нет, а остальных на другой. Я уже даже винду переставил и поставил настройки при которых работало, но всё равно не помогает ;(

Цитата:

Более-менее ситуацию прояснил - не прописывается на второй сетке шлюз... В итоге по ней не идёт внешний трафик. Как с этим бороться? Пробовал и в настройках интерфейса Винроута и в самом соединении в винде. Не помогает.

В настройках он есть, а в статусе сединения нет. Так же его нет в route print

Попробуй скрины предоставить?

mSlayer1986

Цитата:

Кто знает как запустить iptv на сервере где установлен керио, какое правило нужно создать?

80 и 8001 порты.

krylou

Цитата:

inet connection1
10.10.10.1
255.255.255.0
gt:10.10.20.1
DNS: 81.25.32.9


inet connection2
10.10.10.2
255.255.255.0
gt:10.10.20.1
DNS: 81.25.32.9

Сначала нужно разнести подсети.

Цитата:

Попробуй скрины предоставить?

http://drop.io/txujqqv/asset/kwf-7z

Пишет "No Preview Available"

Дико извиняюсь, понимаю, что здесь собрались профи, но тем не менее спрошу...
Ограничил социалки, но возникла проблема разрешения оных предположим в обед. Просто хочу удостовериться:

http://www.redline-software.com/rus/support/docs/winroute/ch09s02.php

это понятно, если я в одном полностью запрещаюшем правиле - Time Ranges добавлю два элемента, укажу предположим "До обеда" и "После обеда" с соответствующими временными интервалами, Kerio будет юзеров туда пускать именно в это время (пугает то, что в выпадающем меня "Верно для временного интервала" можно выбрать или только "Всегда", или только остальные временные интервалы - по одному)??? Я понимаю, что можно наоборот, разрешить только в обед, а если мне вдруг понадобиться еще и после работы им доступ давать???

Shedrin

и в политике HTTP запрет на URL в этот временной диапазон (obed)

подскажите плз:

есть керио 6.6 с поднятым впн
в нем правило
источник - все впн клиенты
назначение - интернет
трансляция - нат

на клиентском компе создан интерфейс керио и поднято впн подключение,
прописан маршрут: route add 0.0.0.0 mask 0.0.0.0 172.26.17.1 metric 2 но трафик через керио (172.26.17.1) не идет а продолжает идти через текущее подключение...

Цитата:

Пишет "No Preview Available"

http://drop.io/txujqqv
Картинки были в архиве, добавил распакованные

Shedrin

Цитата:

Я понимаю, что можно наоборот, разрешить только в обед, а если мне вдруг понадобиться еще и после работы им доступ давать???

drsmoll уже дал ответ - временные интервалы управляются ВО ВРЕМНЕННЫХ ИНТЕРВАЛАХ!!!!

duh_S

Цитата:

прописан маршрут: route add 0.0.0.0 mask 0.0.0.0 172.26.17.1 metric 2

Этот маршрут нужно прописывать в настройках KerioVPN интерфейса для раздачи данного маршрута клиентам при подключении.
route print с клиента при отключенном и подключеном клиенте.

SuperNOVA
что-то не понятно - а где шлюз на втором внешнем интерфейсе? - ты его вручную прописывал?
где ipconfig /all??
где скрин маршрутов из KWF ??

Граждане есть предложение - сделать для Kerio список ссылок для блокировки активации/автообновления всевозможных программ, а то это дело съедает тучу трафика. Тот же скайп в автоматическом режиме сливает обновление, Adobe Reader и т.д. и т.п.
желательно список в виде
<listitem>
<variable name="Id">384</variable>
<variable name="Enabled">1</variable>
<variable name="Description">Download Master</variable>
<variable name="Name">Automatic Updates</variable>
<variable name="Url">ftp://download.westbyte.com/dm/dmaster.exe</variable>
<variable name="Type">0</variable>
</listitem>
<listitem>
<variable name="Id">385</variable>
<variable name="Enabled">1</variable>
<variable name="Description">Download Master Portable</variable>
<variable name="Name">Automatic Updates</variable>
<variable name="Url">http://download.downloadmaster.ru/dm/Download_Master_Portable.zip</variable>
<variable name="Type">0</variable>
</listitem>
<listitem>
<variable name="Id">387</variable>
<variable name="Enabled">1</variable>
<variable name="Description">Skype</variable>
<variable name="Name">Automatic Updates</variable>
<variable name="Url">http://download.skype.com/partner/trackable/*/SkypeSetup.exe</variable>
<variable name="Type">0</variable>
</listitem>
<listitem>
<variable name="Id">388</variable>
<variable name="Enabled">1</variable>
<variable name="Description">Skype</variable>
<variable name="Name">Automatic Updates</variable>
<variable name="Url">http://download.skype.com/SkypeSetupFull-Beta.exe</variable>
<variable name="Type">0</variable>
</listitem>
чтобы можно было копипейстнуть в winroute.cfg в нужную секцию
И в связи с этим вопрос - можно ли средствами Kerio сделать такое при обращении за инсталлятором Skype
по адресу к примеру http://download.skype.com/partner/trackable/*/SkypeSetup.exe перенаправлять автоматически на сетевой диск к примеру а не просто выдавать сообщение?

drsmoll
Спасибо... я просто сомневался, а потом себя урезал и посмотрел, как получится. Все получилось...

adjuster

разобрался тут и тут есть решение
вкратце

Цитата:

в свойствах VPN сервера керио добавляйте кастом роут 0.0.0.0/0.0.0.0 если используете VPN клиента версий младше 6.6.0 или два маршрута 0.0.0.0/128.0.0.0 и 128.0.0.0/128.0.0.0 если клиент версии старше 6.6.0

Народ есть такой вопросик - можно каким-то образом вытащить пакеты фильтров из макстона и загнать его в правила хттп?
И дополняя идею Iacoyn можно было бы создать пакеты фильтров - ето к тому что
в 7-й версии вебфильтр не работает, откатывться на низ не хочется и по логике вебфильтр ето всего лиш набор правил, я думаю совместными усилиями можно составить
пакеты не хуже а то и лутше.

Может не в тему, но с учётом того что конфиг WinRoute - это вроде XML - может кто-нибудь посоветует редактор для этого типа файлов. позволяющий быстро менять конфиг?
Или может кто знает - можно ли к Керио прикрутить настройки фильтра не в основной winroute.cfg? а в отдельный файл?

Цитата:

McAffee из Kerio 6 Вы удалить не сможете. Он в него интегрирован. Его можно только отключить. DrWeb необходимо подключать к керио с помощью библиотек к Kerio на вкладке Антивирус. Там же можно активировать оба антивируса, тогда, проходящий трафик будет проверяться обоими антивирусами. При этом конфликтовать друг с другом они не будут.

Спасибо.

Ребята, хотелось бы узнать мнение, имеет ли смысл переходить с
1. Win2003 x86 Kerio 6.7.1 на Win2003 x64 (или Win2008 x64) и соответственно Kerio Control x64
изменится ли при этом скорость обработки пакетов от режима x64? Интересуют так же онлайн игры...

2. Сделать апгрейд Intel C2D E8400 3000 ГГц на Intel C2Q Q9500 2,830 ГГц.
Насколько хорошо распараллеливается работа Kerio Control?

Цитата:

adjuster

Цитата:

krylou

Цитата:
inet connection1
10.10.10.1
255.255.255.0
gt:10.10.20.1
DNS: 81.25.32.9


inet connection2
10.10.10.2
255.255.255.0
gt:10.10.20.1
DNS: 81.25.32.9

Сначала нужно разнести подсети.

Что значит разнести подсети? Эти IP и маски прописаны на разных сетевых картах.

lizun
смысл всегда есть надо только знать какой
я бы посоветовал апгрейдится если начальство выделяет деньги

krylou

Цитата:

Что значит разнести подсети? Эти IP и маски прописаны на разных сетевых картах.

Читай доки по маршрутизации в винде - долго читай.

Пока не поймешь - к KWF не возвращайся!!!

Кто подскажет как настроить Керио
Есть 2 сетевых интерфейса на одном имеем внешний адрес на другом локальная сеть
Надо сделать так чтобы в инет через нет интерфейс а в локалку через локал интерфейс

Master9000

что тУт сложного, Указывай в настройках какая карта для чего бУдет использоваться.

Народ помогите разобраться в чём затык.
Есть: офисная сеть №1 - 192.168.1.0, в сети крутиться AD,DNS,WINS(допустим 192.168.1.10), терминалка(192.168.1.20) и KWF 6.7.1-6544(192.168.1.251). KWF входит в AD, пользователей мапит из AD, в инет пользователи ходят через VPN клиенты 10.10.10.0. Есть 2-ая офисная сеть №2 - 192.168.9.0, без AD тупо на рабочей группе, всего пару компов, там стоит сервак 192.168.9.99. Между сетями выделенный канал и SHDSL роутеры на концах(192.168.1.101 и 192.168.9.101), маршрутизация работает сетки видятся.
Надо: удалённому офису 192.168.10.1 через vpn клиента дать RDP доступ только к 192.168.1.20 и 192.168.9.99.
Что имеем: vpn клиент через инет конектится к KWF, пингует его как внешний так и внутренний интерфейс, а дальше глухо.

Шлюз 10.10.10.1 удалённый клиент получает, так же получает маршрут в 192.168.9.0, прописанный в KWF, в TP есть правило разрешающее локальный трафик для vpn клиентов.

Но всё равно какой-то трындец.

http://www.ipicture.ru/uploads/100717/mUMWVR2xW4.jpg
http://www.ipicture.ru/uploads/100717/J5Qm245tWt.jpg
http://www.ipicture.ru/uploads/100717/70SBg36KZ2.jpg