» Kerio Control (ex Kerio WinRoute Firewall)

inxaile
будет жить без проблем и с гораздо большим количеством юзеров, если исходящий канал достаточно широк.
горластенького хохленка слушать не надо - он такое и во сне не видел.

bestolkovka

прынц снова вылез

соеденяю два офиса по керио впн, с дух сторон стоит керио аплайнс последней версии, создал впн соеденния, по IP оба офиса видят друг друга нормально, по днс (короткие имена локальных машины) не видят.
Хотя если подключится к одному из керио, через впн клиент, всё работает и по днс именам.

terence

Цитата:

по днс (короткие имена локальных машины) не видят.

А с каких пор netbios name стал относится к DNS?
А по fqdn (PCname.domain.name.local) видно?


Добавлено:
inxaile

Цитата:

Нагрузка - стандартные сервисы, почта, ICQ, http. Машинка i5 2500 2Gb

Жить будет довольно стабильно, при нескольких НО - это отключенный антивирус, вероятно отключенный (не проверял ибо не пользую) webfilter и желательно выключенный не прозрачный прокси. А так же рекомендую ограничить кол-во соединений с каждой машины.

почему бровсеры сейчас не настраиваются скриптом http://127.0.0.1:3128/pac/proxy.pac ?
раньше (в других версиях керио (и бровсеров тоже наверное)) было нормально..
бровсеры фирефох и опера

Цитата:

настраиваются скриптом http://127.0.0.1:3128/pac/proxy.pac

Вроде работает proxy.pac браузеры получают... Как со 127,0,0,1 так и с 192,168,1,1

мои бровсеры когда указывают скрипт лезут напрямую.. если указать вручную то как надо идут через прохи..
в чем тогда дело может быть? раньше (очень давно) было нормально..
может гдет есть "разрешить скрипты"

Помогите советом.
Есть такое задание:
Поддержка до 750 одновременных подключений
Поддержка до 10000 пользователей
Поддержка учета трафика
Поддержка автоматического отключения пользователей при превышении лимита
Поддержка месячных лимитов для пользователей
Поддержка агрегации нескольких каналов
Поддержка фильтрации трафика по портам и протоколам
Поддержка шейпинга каналов
Предоставление отчетов по потреблению трафика
Желательно поддержка фильтрации трафика по URL
Желательно поддержка фильтрации трафика по Layer7
Желательно авторизация пользователей через веб интерфейс. (Атоматическое
перенаправление пользователей на страницу авторизации)

Главной проблемой является 10к учетных записей и 750 активных пользователей. Справится ли Керио с такой задачей и как вообще осуществлять управление 10к пользователями? В паре с чем? AD?
Какой примерно по мощам сервер под керио надо ставить в таком случае?

я так понимаю это интернет-провайдер?
тогда думаю Вам лучше что-то на FreeBSD сделать

coder666, нет. это универ. подсчет денег в системе не требуется.

Все пункты поддерживаются Керио...
Не уверен насчет этого:

Поддержка до 750 одновременных подключений
Поддержка до 10000 пользователей

coder666 Поддерживает.
Прямых ограничений в документации не нашел,но в продаже есть
"Лицензия на 1000 дополнительных пользователей"
http://store.softline.ru/program_page_pricing.php?id=24398&show_price=1&block_type_id=novelties

Другое дело, как это реально работает... Отзовитесь, у кого через керио ходит больше 250 юзеров ?

мне кажется 10 000 не потянет.
не тот уровень

Добавлено:
хотя поднимается он быстро и можно реально попробовать без всяких авторизация и прочего загнать одновременно 1000 подключений.

а сервак какой по мощам надо под 750 юзверей?
wwladimir, странно что лицуха на 1к юзверей предлагается исключительно сертифицированная ФТЭКом. есть отличия от стандартной?

750 не юзеров а коннектов я так понял из написаного выше. Это значит что 750 должны ломиться в инет одновременно. Вот тогда будет ясно выдержит он пиковую нагрузку или нет. А может и выдержит - тока смотря как будет работать. Может странички будут грузится по 5 минут.

coder666, ну да. 750 одновременно активных пользователей. как я сам понял из ТЗ - 10к это максимальное кол-во возможных учетных записей на компах универа. а самих компов не более 750.

Добавлено:

Цитата:

А может и выдержит - тока смотря как будет работать

имхо все от мощей сервака зависит. оперативы можно и 48Гб поставить. только знать бы как расчитывать.

NTaker
Похоже ничем (ну кроме, возможно, включенной в цену лицензий затрат на исследования/откаты),
версия исполняемых файлов обновляться не будет-именно они сертифицированы.
Если интересно "поковырять" - лежит здесь http://www.kerio.ru/ru/control/download

Позвоните в керио-рус. Вам подскажут-подходит ли продукт под Ваши требования.
Мой опыт общения со спецами из их тех.поддержки 100% положительный.

Подскажите пож. пропала статистика трафика по пользователям и при в ходе на страницу статистики тупо виснет и не открывает. Что может быть, куда копать? =( версия 7.1.1 build 1971 с таблеткой.

SpecieS
Страница статистики - это та, что закладка в админке. Или та которая StaR ?
Может это
http://www.avsoft.ru/forum/read.php?FID=21&TID=4397

Подскажите, пожалуйста, такой вопрос:

В данный момент KWF (7.2.2) выполняет роль непрозрачного HTTP прокси-сервера. В целом статистика по пользователям считается правильно, кроме нюанса с DNS-трафиком. Поскольку KWF обращается к DNS-серверу сам, то генерируемый DNS трафик считается пользователю, авторизованному в данный момент на фаерволе либо «неопознанному пользователю» - если в данный момент никто не авторизован ([more=Скрин] [/more]).

Можно, как-то настроить правила KWF так, чтобы DNS-трафик зачислялся тем пользователям для обработки чьих http-запросов он был сгенерирован ?

Авторизация пользователей по ip.
[more=Правила]

[/more]

goodwen, попробуй прописать гуглоднс на конечных компах вместо айпишника керио.

Цитата:

goodwen, попробуй прописать гуглоднс на конечных компах вместо айпишника керио.

Конечные пользователи ходят в интернет через непрозрачный HTTP прокси. В браузерах у них прописано: 10.хх.хх.249:3128 т.е. DNS для интернета им не нужен.

goodwenМне кажется Вы сами и ответили на свой вопрос. Раз ваши пользователи не используют ДНС запросы... А если бы и сами обращались к ДНСу провайдера, то керио из ДНС кеша им старался бы все отдать."Нечестный" у Вас подсчет бы был- кто первый на яндекс зашел, тому по 53 порту посчиталось, а остальным халява...
А насколько велика доля вносимая DNS в Ваш трафик, интересно? (у меня только доменные ДНС пересылают запросы, так их трафик за месяц по 0,15 мб, что на всех составляет 0 целых Х&$н десятых процентов.)

Цитата:

А насколько велика доля вносимая DNS в Ваш трафик, интересно?

Минимальна и абсолютно не критична. Просто хотелось понять по фэн-шую все это или нет ).


Цитата:

Мне кажется Вы сами и ответили на свой вопрос. Раз ваши пользователи не используют ДНС запросы...

Логика работы KWF в данной ситуации мне понятна, с одной стороны. Но трафик "неопознанного пользователя" просто, что называется - мозолит глаз.

Офф топ: UserGate, WinGate, TI и др. при использовании непрозрачного прокси аналогично ведут подсчет DNS-трафика ?

goodwen
Там в разделе "учет" на вкладке "исключения" можно добавить группу IP (куда можете включить ДНСы провайдера, например).

Цитата:

Отзовитесь, у кого через керио ходит больше 250 юзеров ?

У меня ходит порядка 400 одновременно. Интернет используют очень активно все. На шлюзе десктопное железо за исключением четырех-портового сетевого адаптера серверного от Intel. Но для ваших требований я бы посмотрел в сторону все таки не Керио. Даже вот на Айдеко бы смотрел, но не Керио. Тем более, насколько я понимаю, стоимость лицензирования вас не волнует.

Керио подходит под ваши требования, но с квотированием вы заимеетесь напрочь. И вообще, если посмотреть со стороны на идею выдать каждому учащемуся по логинпасу... выглядит как минимум утопично.

у меня черче керио ходит более 100, железо - обычный дешевый сервачек (платформа интел), заодно файлопомойка. у сотрудников персональные логины, у студентов - один логин на компьютерный класс.
от айдеко остались не очень радужные впечатления (правда дело было года 4 назад). рекомендуется погонять пробники того и того.

EnMan, в сторону NetUp'а уже смотреть начали.
а от айдеки как раз и отказывается универ этот.

Подскажите пожалуйста. как просмотреть\изменить настройки портов. вот например встала задача, посмотреть а не закрыт ли определенный порт. как это сделать? куда глядеть? спасибо

GarikNUR, закрыто все что не открыто правилами )