» Kerio Control (ex Kerio WinRoute Firewall)

Цитата:

Документ kerio-control-stepbystep-en-7.3.2-4445.pdf, раздел "2.2 Configuration of network interfaces of the Internet gateway", страница 8, "LAN Interface":
"DNS server — no DNS server should be set on this interface."

Тут имеется ввиду настройка с собственным "ДНС форвардером" тогда действительно указывать на внутреннем интерфейсе днс провайдера бессмысленно, а если внутренний интерфейс инициируется раньше внешнего то и вредно - керио может приступить к использованию провайдерского ДНС раньше чем поднимется внешний интерфейс и "решит что тот недоступен"
Если используется вариант с переадресацией на внутренний ДНС все с точностью до наоборот - ДНС указывается только на внутреннем интерфейсе.

Цитата:

Цитата:
2. использовать встроенный "DNS forwarding", а в "custom forwarding" добавить правило - запросы на внутренний домен перенаправлять на свой ДНС

А как эти запросы отфильтровать? Ведь они могут и не содержать имя локального домена, только имя компьютера.

Керио сможет подставить к имени хоста имя домена если будет использоваться его DHCP сервер. Но в принципе это не проблема, какой ДНС суффикс подставлять к имени хоста настраивается в свойствах сетевого интерфейса на клиенте (при наличии АД можно в групповой политике)


Цитата:

Я понял мысль - пересылка с контроллера домена на DNS провайдера. Но если провайдеров 2? Основной и резервный. Kerio переподключится, а контроллер домена не перенастроится сам.

Точно также ДНС сервер при недоступности одного из серверов пересылки переключиться на другой.

вопрос у кого какое макс число юзеров работает в керио? на каком железе. какова потребляемая ими скорость
у меня Phenom II X4 925
150-200 активных траф более 100мбит не поднимается инет лагает. хотя проц не нагружен - грузится 1 ядро на 70-80% другие по 30%
2008 R2 x64 KC 7.3.1

И еще
как запретить чтобы с одной учетки могла залогиниться в керио только одна машина

ибо щас под одной учеткой инетом могут пользоваться сколько угодно человек - что при авторизации на сайте, так и при присоединении с помощью kerio VPN

muk_as
ну надо чтобы чел разлогинивался, посмотри на керио-рус, там целая отдельная тема посвящена этим вопросам.

muk_as

Цитата:

траф более 100мбит

А что, Интернет ещё быстрее? Какая вообще скорость сети?

sw0rd
в смысле разлогинивался?
один юзер дает другому юзеру свою учетку и они оба сидят в инете. Заче же ему разлогиниваться?

muk_as
да никак ты это не сделаешь. не парься. А пользователям за такие фортели надо по рукам давать, причём в административном порядке.

muk_as
Ну тогда только административный ресурс включать)
Я вапще просто ставлю квоту, в зависимости от должности и надобности инета, а там пусть хоть стопиццот раз обмениваются паролями, 10 Мб кончатся и ппц - звонят - "дайте еще" а дальше "зачем ? где был кто был"...

День добрый, досталась в наследство сеть, в качестве прокси стоит юзергейт 2.8 (не в качестве сервиса), хочется все это перевести на привычный мне керио, собственно вопрос, подружится ли керио и юзергейт на одной машине, чтоб в случае чего можно было остановить сервис керио, запустить юзергейт и пользоваться интернетом по старому?

borisdenis
нет не подружатся. это придётся либо вечером либо в выходной делать, ну это чтобы без гиморно и в "спокойном" режиме всё сделать.

Tihon_one
Спасибо, грустно... но привычно)))

Приветствую вас, о боги сисадмины )) Подскажите несчастному ламеру, может ли комп быть невидим в сети из-за установленного сабжа 7.2? Сеть без домена. Если ввести \\имя_компа\ - он открывается. Но в сетевом окружении не виден. Стоит Win 7 x32 ultimate. Заранее спасибо.

Ну так проверь!
Останови сервис винроута и посмотри появятся ли компы в сетевом окружении?

Если не появятся - то скорее всего у Тебя проблемы с настройкой сети и протоколов

Все, я сдался... Прошу помощи.

Ситуация такая: стоит 7.0.1. Юзеров поровну - 20 локальных, 20 терминальных. Есть задача - ограничить их по входящему трафику. С локальными проблем нет - авторизуются и в статистике их трафик нормально считается. С терминальными - проблема. Если пускаю их через проксю, у всех при запуске браузера выскакивает окно ввода логина и пароля, они дружно авторизуются, а трафик начинает сыпаться в "Неопознанные пользователи". Переключаю браузер на NAT. В этом случае у первого, открывшего браузер, выводится окно авторизации на Керио, вводит свой логин и пароль, начинает работать. Остальные уже входят без ограничений, весь трафик считается на первого вошедшего. В "Активных хостах" единственная строчка сервера терминалов, пользователь - первый авторизованный, ниже в "Подробностях" - полный список сайтов, открытых у всех терминальщиков.

Вот так вот...

Подними контроллер домена и свяжи его с Керио. Импортируй пользователей контроллера в пользователей керио. Так наверное будет правильно

Что самое фиговое - контроллер есть и пользователи импортированы. Но еще фиговей то, что предшественник забил всех юзеров в домене по-русски. Кериовская прокся такой изврат не понимает и естественно, отфутболивает. Так что пришлось заводить локальных пользователей с нормальными англицкими именами.

Добавлено:
Сейчас еще раз попробовал. Да, через прокси русские имена не работают. Через НАТ при авторизации на веб-интерфейсе русское имя из AD проходит. Затем происходит то же самое - другие пользователи терминала заходят в инет уже без авторизации и весь трафик считается по первому.

Переведи юзеров на английские имена. Благо у тебя их всего 20. Потом сделай импорт еще раз

Сделал для пробы 3-х новых юзеров. Все по-правильному. Разницы никакой - в терминале весь трафик идет или на неопознанного, или все ломятся через учетку первого вошедшего...

Да... вспоминаю что была такая лажа...
Забыл выйти с инета под админской записью и остальные терминальные юзеры начали шариться на сайты знакомств подо мной.

Тогда выход нашел один - после окончания работы делал выход юзера через веб-морду винроута

По идее вторая галка должна быть включена обязательно
"включить принудительную аудентификацию непрозрачного прокси-сервера"

остальные две - наверное тоже. Я бы включил. Ну и соответсвенно ходить должны через прокси. Его надо прописать жестко что-б в настройках не смогли сменить. Дето так

Галка принудительной аутентификации стоит. Керио на нее наплевать - сыпется трафик на неопознанных пользователей, хотя все авторизуются через проксю.

VovikK

Задача с терминалом не реализуема.

С вариантом НАТ - ТОЛЬКО ОДИН авторизованный пользователь на один хост (IP адрес). Как вариант можно попробовать виртуализацию сетевых адресов для рабочих столов. Этот вариант не проверялся.

С вариантом ПРОКСИ - пользователи на прокси авторизуются верно, но весь инет трафик в статистике будет падать на хост ФАЙЕРВОЛ. Т.е. на пользователя, который авторизован на файерволе (подозреваю, что у Вас там никто не авторизован и файеру разрешено все - вот и сыплется на неавторизованных)

проще мне кажется запретить запуск броузера для всей группы юзеров. Врядли он на сервере им нужен. Пусть лезут с локальных машин. Это правильно чем лазить в инет с сервера

Спасибо за советы. Правда, первый (насчет виртуализации) мне не подходит из-за Win-2003, а второй (про запрет запуска браузера) - из-за того, что терминальные юзеры сидят на тонких клиентах...

А что за тонкий клиент?

Байда на WIN CE, к которой цепляется мыша, клава и монитор. Соединяется витой парой с сетью и при включении сразу коннектится с севером терминалов.

VovikK

Вспомнил еще вариант... Статистика STAR и логи в Керио - не одно и то же.
При работе через непрозрачный прокси, в логах Керио (HTTP Logs) все равно пишет кто, куда и зачем ходит. Дело остается только за анализатором логов (см. шапку, например)

Это я знаю. Анализатор у меня все правильно показывает. Но, к сожалению, его данные невозможно прикрутить обратно к Керио, чтобы он канал отрубал у заевшегося пользователя

VovikK


Цитата:

Байда на WIN CE, к которой цепляется мыша, клава и монитор. Соединяется витой парой с сетью и при включении сразу коннектится с севером терминалов.

мда... печалька

А если такое же сделать на убунту запуск с флешки например? Там есть встроенный RDP-клиент для терминала Windows и еще броузер - как раз то что нужно?

Уважаемые! Если подобный вопрос задавался, то сильно не пинайте (я не читал ветку).
А существует решение под мобильные устройства? Поясню: Есть смартфон, с андройдом. Под него есть прога для подкулючения к удаленному рабочему столу обычного ПК на винде (т.е. я со смартфона могу войти на ПК). Но на страже локальной сети стоит керио контрол и через инет я не могу так сделать, т.к. нет клиентской части у керио для мобильного устройства. А открывать порты для удаленного доступа не охото. Или может есть разумное решение??? Спасибо!

У меня тоже Андроид и тоже такая же (или похожая) прога. Сделал правило для RDP - и все работает. Можно и порты промаппить, чтобы дальше с сервака сразу на нужный комп кидало - но это уже другая задача. Так что это решение самое разумное. Если боязно за открытый порт на RDP - пароль позаковыристей и все.