» Kerio Control (ex Kerio WinRoute Firewall)

если временно отключить IPS/IDS

выключен как класс

Подскажите, как правильно настроить работу Kerio Control с двумя подключениями к Интернету?
Есть 2 разных провайдера, доступ через ADSL-модемы, каждый модем подключается к своей сетевой карте, создано 2 PPPoE соединения, ОС - Windows 2003.
Проблема в том, что не получается установить 2 соединения одновременно, в Windows нет привязки PPPoE к конкретному Ethernet интерфейсу, поэтому, как я понял, путаница с модемами возникает - делаются попытки подключиться к одному провайдеру через модем другого и соответственно "имя и пароль не верны", либо одно соединение устанавливается через нужный модем, после идёт попытка установить второе через него же. Если один модем отключать, то второй через своего провайдера работает нормально.
Из-за этого Kerio при настройке режима резервирования через основную линию не подключается, включает резервную (приоритет почему-то у второго модема).

mmmm1
Модемы- в режим моста. Керио дать только сетевые интерфейсы.

mmmm1 - http://www.raspppoe.com/

wwladimir, они и так в режиме моста (bridge).

Да, через rasppoe работает.

Ну Вы поняли, я "оговорился"...
В роуте их. Пусть соединениями занимаются сами модемы.

Подскажите как организовать в Керио контрол разделение трафика групп пользователей на разных провайдеров.

имеется 2 инет провайдера
и 2 группы пользователей

и нужно соответственно выпустить в инет первую группу через провайдера 1
а вторую через провайдера 2

к керио720 есть доступ кроме как через бровсер? (как раньше..)
если по какой то причине невозможно войти через бровсер то дело труба?
(что то с прокси стало..)

труба
Но зачем ходить через прокси?
Отключаем прокси и ломимся без него напрямую
Если и так не заходит то проблема скорее в системе и тут надо лечить

свой родной виндосовский интерфейс администратора убрали что ли ? теперь только через бровсер и только через http?

komputeryuzer

Цитата:

свой родной виндосовский интерфейс администратора убрали что ли ? теперь только через бровсер и только через http?

если ты под родным имеешь ввиду QT консоль, то да, а теперь только web через http\https

AmkCity

Цитата:

Подскажите как организовать в Керио контрол разделение трафика групп пользователей на разных провайдеров.

имеется 2 инет провайдера
и 2 группы пользователей

и нужно соответственно выпустить в инет первую группу через провайдера 1
а вторую через провайдера 2

на инглише но работает 100%.
http://manuals.kerio.com/control/adminguide/en/sect-policyrouting.html

Подскажите, пожалуйста, кто-нибудь. Из версии в версию не работает функция "Автоматически совершать выход пользователей из системы, если они не активны" на вкладке "Домены и аутентификация пользователей". На последней, Kerio Control 7.3.2 build 4445, она тоже не работает, пользователи активны всегда. Домена нет, часть пользователей ходит автоматом по ip, часть - по логину и паролю, поэтому хотелось бы, чтобы работало. Может быть, где-то что-то надо подкрутить? Или эта функция больше разработчикам не нужна?

lyman
у нас всё прекрасно работает, косяк был только в 7.1.какой-то там версии.

Tihon_one
Тогда что и где нужно крутить? Я просто не представляю. Ведь эта функция сама по себе ни к чему не должна быть вроде привязана. Программу ставил с нуля, прописывал всё руками - не работает.

lyman
я не телепат, попробуй аутентифицировать пользователя на шлюзе, потом выключи его хост и подожди время неактивности, сеанс завершиться?

а вообще. без конфига твоего или хотя бы без файл информации для поддержки, трудно сказать хоть что-то о возможных причинах.

В работе используется Kerio Control 7.0.0.896, и возник очень странный момент: пользователи авторизируются по IP-адресу и имеют квоту 1 Гб, при достижении которой не блокируются, а могут работать дальше, но с ограничением по скорости. Так вот не срабатывает ограничение по скорости, а пользователь как бы блокируется. Если посмотреть в Kerio, то видно что со стороны пользователя идёт трафик, но дальше никуда. Увеличение лимита решает проблему, но когда он оказывается достигнут вновь, то всё повторяется. В чём может быть проблема?

Вопрос про DNS. Если сеть с доменом и внутренний DNS-сервер - это контроллер домена, то как компьютер с Kerio должен разрешать внутренние имена, ведь в соответствии с руководством на внутреннем интерфейсе нельзя указывать адрес DNS? При этом в руководстве же говорится, что для включения авторизации NTLM, компьютер с Kerio должен быть в составе домена, но ведь для этого требуется правильная настройка DNS.
Расскажите, кто как DNS настраивает в доменных сетях.

Цитата:

ведь в соответствии с руководством на внутреннем интерфейсе нельзя указывать адрес DNS?

с какой стати, что то вы не так прочитали.
Существует два варианта и у обоих есть сторонники и противники
1. отказаться от использования встроенного "DNS forwarding", указывать в качестве ДНС только внутренний доменный, на котом сделать переадресацию на провайдерский (при этом не забыть сделать правило разрешающее ДНС и пинг внутренним ДНС серверам). Один из подводных камней - если много народу и интернет используется интенсивно может быть превышено количество одновременных соединений, а повышать его придется для всех а не только ДНС
2. использовать встроенный "DNS forwarding", а в "custom forwarding" добавить правило - запросы на внутренний домен перенаправлять на свой ДНС

Цитата:

Расскажите, кто как DNS настраивает в доменных сетях.

http://avsoft.ru/forum/read.php?FID=21&TID=1228 и ссылка в шапке (там то же самое)


Добавлено:
Тут на днях возникла пара вопросов, с которыми долгое время не могли разобраться даже спецы из техпода Kerio. Вернее с одним из них

1) Имеется основная сеть предприятия и 1 (или несколько, не суть важно) VPN туннель, организованный средствами KWR. Внешний IP только на Firewall host основной сети. Задача: сделать проброс порта с внешней сетевой карты на машину за туннелем.
Например, за туннелем находится некий сервачок, куда надо попасть извне по RDP. Простой маппинг порта 3389 не работает. Вместе с маппингом включаем в правиле ещё и NAT . Ву а ля - работает хреновина

2) Снова VPN туннели. При доступе по некоторым из них по RDP туннель наглухо виснет. Вот с этим траблом и техподы не знали что делать. Оказалось, что начиная с версии 6.6.0 были изменены low level дрова Kerio (помните, раньше они не WHQL были и при установке надо было 50 раз нажать "всё равно установить"), которые (вот незадача то!) не умеют работать, если хоть на одном конце туннеля стоит ADSL модем в режиме Router. Выяснено было одним камрадом эмпирическим путём Если есть такая беда, то либо переводим модем в режим Bridge, либо откатываем керию за сим модемом на версию 6.4 или 6.5.
Как в 7й версии не в курсе - не юзал пока. Если есть инфа об оном, просю сообщить

Цитата:

1) Имеется основная сеть предприятия и 1 (или несколько, не суть важно) VPN туннель, организованный средствами KWR. Внешний IP только на Firewall host основной сети. Задача: сделать проброс порта с внешней сетевой карты на машину за туннелем.
Например, за туннелем находится некий сервачок, куда надо попасть извне по RDP. Простой маппинг порта 3389 не работает. Вместе с маппингом включаем в правиле ещё и NAT . Ву а ля - работает хреновина

не знаю чего в этой проблеме спецы разбирались, причина банальна - маршрутизация
- фаервол основной сети пробрасывает нужный порт через туннель с филиальным фаерволом на машину в этом филиале
- машина получает пакет в котором адрес отправителя "белый" интернетовский и естественно отвечает через дефолтный шлюз
- дефолтный шлюз это ее "филиальный фаервол", тот видит, что адрес получателя опять же "белый" интернетовский отправляет его на свой дефолтный шлюз, а это как правило адрес провайдера и в вашем случае "серый". Следовательно пакет отбрасывается

Так что спецы не решили проблему а просто обошли (за счет НАТа подменили "белый" адрес на свой внутренний) и в результате на этой машине все удаленные пользователи имеют один и тот же адрес и определить кто откуда невозможно.

А вот решать проблему нужно было в два этапа
во первых, на филиальном фаерволе убрать дефолтный шлюз совсем, а ко всем адресам куда он будет коннектится (провайдерские сервера, сервера на которые он поднимает туннели и т.д.) прописать статические маршруты
во вторых, в туннель с филиальным фаерволом центральный в дополнительных свойствах должен отдать custom маршрут 0.0.0.0/0.0.0.0

после этого трафик через туннель пойдет в обоих направлениях.

Valery12
ты понимаешь что это фигня? и решение поставленной задачи AlOne было именно включение NAT чтобы маршрутизация таки только для одного хоста сработала верно, а зарулить весь интернет в туннель, это как из пушки по мухам, ведь сочетание snat и dnat не является ошибкой в некоторых случаях.


AlOne
дада помню была тема с zyxelями 660 кажется, её вроде устранили в текущих версиях, там косяк с MTU кажется был пакеты просто не пролезали через эти мопеды.

а я и не говорил что ошибка, просто частный случай, завтра захотят пробросить 25 порт на почтовый сервер по такой же схеме и получится действительно "фигня"
Цитата:

а зарулить весь интернет в туннель, это как из пушки по мухам

ну для тех у кого распределенная филиальная сеть с единственным "белым" адресом очень даже пригодится!

Valery12

Цитата:

завтра захотят пробросить 25 порт на почтовый сервер по такой же схеме и получится действительно "фигня"

само такое желание уже мягко говоря "*опа"


Цитата:

ну для тех у кого распределенная филиальная сеть с единственным "белым" адресом очень даже пригодится!

может и пригодится, но вот так случалось что лицензии при таких раскладах считались дважды, если пиратка то пофиг конечно, но если лицуха, жалко. 8))

Valery12

Цитата:

что то вы не так прочитали

Документ kerio-control-stepbystep-en-7.3.2-4445.pdf, раздел "2.2 Configuration of network interfaces of the Internet gateway", страница 8, "LAN Interface":
"DNS server — no DNS server should be set on this interface."

Цитата:

2. использовать встроенный "DNS forwarding", а в "custom forwarding" добавить правило - запросы на внутренний домен перенаправлять на свой ДНС

А как эти запросы отфильтровать? Ведь они могут и не содержать имя локального домена, только имя компьютера.

AlOne

Цитата:

http://avsoft.ru/forum/read.php?FID=21&TID=1228 и ссылка в шапке (там то же самое)

Прочитал. Вариант с сетью без домена не мой, но всё же скажу, что мне не понятно вот это:

Цитата:

dns 192.168.0.1 - в качестве основного DNS-сервера указываем IP-адрес внутренней сетевой;
80.237.0.97 - в качестве альтернативного DNS-сервера указываем DNS-сервер провайдера

Если основной DNS не разрешит имя, то ко второму обращение не выполнится, так как подразумевается, что у них одинаковая область имён. Мне кажется, это не будет работать.

mmmm1
говоришь, что сеть с доменом, а приводишь настройки от одноранговой.
Второй вариант смотри.

AlOne
Я прочитал обо всех вариантах. Это просто моё замечание.
Я понял мысль - пересылка с контроллера домена на DNS провайдера. Но если провайдеров 2? Основной и резервный. Kerio переподключится, а контроллер домена не перенастроится сам.
Кстати, я пока не встречал провайдера, который был сообщал клиенту настройки интерфейса в непосредственном виде. Обычно рекомендуется включать автоматическое получение IP и DNS при подключении, даже если заказан статический IP.

mmmm1
что мешает посмотреть DNS в сведениях соединения?
да и к тому же... это "всего-лишь" DNS. Если твой сервер нормально работает, то другие могут и не понадобиться. Ну накрайняк по одному с провайдера в дополнительные запхнуть.

Уважаемые, кто может подсказать. Установил на виртуалку Kerio Control Software Appliance 7.2.2 Build 3782 patch 4 Ru-Board Edition, который на Linux, а как мне в список его интерфейсов добавить USB WiFI карточку? Собственно вопрос в том, как установить нужные дрова чтоб керио ее увидела.