» Kerio Control (ex Kerio WinRoute Firewall)

---

---

Kerio Control™ является межсетевым экраном (МСЭ) корпоративного уровня, созданным специально для малого и среднего бизнеса. Надежная защита от хакерских атак, клиент-серверная VPN-технология, интегрированный McAfee Antivirus, мощные инструменты для управления доступом в Интернет на базе IBM Orange Web Filter, гибкие настройки и удобное управление: эти и многие другие уникальные особенности делают Kerio WinRoute Firewall идеальным решением для защиты Вашей сети от враждебного Интернет-окружения.

---

Последняя версия:
Kerio Control 7.2.0 Build 3028, Released on: August 30, 2011 Release history
Последняя проверенная версия (лекарство смотрим ниже):
Kerio Control 7.0.1 Build 1098, Released on: August 04, 2010

---

Предыдущие, полностью рабочая версия:
Kerio Control 7.0.0 Build 896, Released on: June 01, 2010
Скачать с оффсайта -> win32 | win64
Kerio WinRoute Firewall 6.7.1 Patch 2 Build 6544, Released on: March 09, 2010
Скачать с оффсайта -> win32 | win64

Kerio WinRoute Firewall с интегрированным McAfee Antivirus и без него теперь поставляется в едином дистрибутиве. Активизация соответствующих функций происходит автоматически в зависимости от типа приобретенной лицензии. Дистрибутив WinRoute Firewall также содержит Administration Console. Переключение языков доступно непосредственно в интерфейсе пользователя.

---

C 30.04.2007 старые библиотеки внутреннего сканера McAfee не поддерживаются и автоматически не обновляются...

---

Manual на Русском
Бета версии
Manual Eng (PDF)
Step-by-Step installation guide Eng (PDF)
Kerio VPN Client Manual (PDF)

[more=Сброс пароля администратора]
How do I reset the password for the admin account in Kerio WinRoute Firewall?

Solution
--------------------------------------------------------------------------------

Answer

The password for an administrator account can be reset by modifying some settings in the userDB.cfg file.

Stop the engine for Kerio WinRoute Firewall by right clicking on the engine monitor icon in the systray and selecting 'Stop WinRoute engine'.
Navigate to the directory Kerio WinRoute Firewall is installed in. WinRoute Firewall by default is installed here: C:\\Program Files\\Kerio\\WinRoute Firewall.
Edit the file userDB.cfg with notepad.exe or wordpad.exe.
Look for the name of the administrator user account in the list item <variable name="Name">.
Navigate to <variable name="password"> beneath the administrator's name. Delete the current value between the >< symbols for "password".
Type in "NUL:" without the quotation marks. This assigns that user account a blank password. It should look similar to this: <variable name="password">NUL:</variable>
Save the userDB.cfg file and restart the Kerio WinRoute Firewall engine.
Try to log in to the administrator account without a password in the password field. You should now be able to log in.
Be sure to assign the administrator account a password right away.

Note: In versions prior to 6.1.x, the user database file is named users.cfg.[/more]

Настройка, русификация, полный русский мануал
Ключи для Kerio WinRoute Firewall

---

F.A.Q. на PC Security - F.A.Q. - Часто задаваемые вопросы
На Winroute.ru - ПРАВИЛЬНАЯ настройка DNS и сетевых интерфейсов!!!

FAQ составлен по материалам форумов "Windows FAQ" - Форум - "KWR 5.0 (Kerio Winroute 5.0)" (стр.1-93 вопр. 1-122) и "XBT Hardware BBS » Системное
администрирование, безопасность » Winroute FAQ" - "Просьба все вопросы по Winroute задавать в этой ветке?" (стр. 1-18 вопр. 123-171)

_http://12kms.fatal.ru/_kwf.html

Тут одна компания полностью на русский язык перевела хелп
Kerio WinRoute Firewall 6.0. Руководство Администратора
Может кому надо: _http://www.internetaccessmonitor.com/rus/support/docs/winroute/
Офлайновая версия этого перевода: http://fronik.narod.ru/kwf/ (1.5Мб)

также много полезной информации по настройке на сайтах: ввв.xerio.kiev.ua и ввв.kerio-rus.ru

---

WinRoute Spy – программа анализа файлов логов популярного прокси-сервера и Internet-шлюза Winroute (версии 4.Х) и Kerio Winroute Firewall 5.Х.

Внимание, KWF является корпоративным сетевым фаерволом, поэтому, в его функционал не входит и не может входить контроль приложений. Для этого пользуйтесь персональными фаерами, и не нагружайте топик лишними вопросами.

vimaret

Спасибо, что откликаетесь.

Поясняю:

1 РС должна получать real-time постоянный поток данных (биржевая информация), занимая до 80% ширины четырехмигабитного ДСЛ канала.
Тривиально все было сделано ранее, абсолютно точно так как вы пишете, но когда возникла необходимость получать real-time поток на 1 РС, практика показала, что сервер с керио не справляется. Задержки в пиковые моменты передачи неприемлимы.

Спасибо, жду предложений.

Помогите решить проблему!
Установлен керио 6.7.1
Если лазить через прокси на сайт irr.ru то он не открывается и в логах полная тишина.
Но если сделать доступ через нат, то все открывается прекрасно.
В чем фишка?
Такая проблема пока быза замечена с одним сайтом: irr.ru
Может кто сталкивался с такими проблемами?

tgkonvent
А если отключить протокол инспектор в Определения - Службы - HTTP?

maxchist
Товарищ, а зачем вам вообще Керио (задача какая то не тривиальная и даже странная)? Возьмите Dlink\Zyxel\Asus или перейдите на другое ПО (микротик, pfsense or etc).

maxchist
создай правило для этой биржи и выключи на этом правиле PI, подними это правило в самый верх. Скорость обработки должна вырасти.

tgkonvent

Цитата:

Если лазить через прокси на сайт irr.ru то он не открывается и в логах полная тишина.

Но браузер то что-то выдает???
Подозреваю, что проблема с MTU. Обычно случается на Вин Серверных. Повышение MTU решает проблему.

Serg0FFan

Цитата:

А если отключить протокол инспектор в Определения - Службы - HTTP?

Ничего не изменилось!

adjuster

Цитата:

Но браузер то что-то выдает???
Подозреваю, что проблема с MTU. Обычно случается на Вин Серверных. Повышение MTU решает проблему.

Браузер выдает - Internet Explorer не может отобразить эту веб-страницу

faust72rus

Задача реально нетривиальная, потому и обращаюсь. Керио нравится, давно юзаю, переход на другое железо, ПО - не планируется.

adjuster

С правилами пробовал - скорости не хватает.

Переформулирую задачу.
Для понятности рисую схему

инет
\
ДСЛ модем
/
свич
/ \
РС1 Сервер с керио
\
свич
/ \
РС2......РС20

Если не использовать сетевой мост на сервере, можно ли изменением маршрутизации, масок, настроек керио и тд. получить для РС1 неограниченный доступ в инет и одновременно неограниченный доступ в локалку к РС2....РС20?

Спасибо.

tgkonvent
MTU!!!


Цитата:

для РС1 неограниченный доступ в инет и одновременно неограниченный доступ в локалку к РС2....РС20?

Можно.
Прописываешь маршут на PC1 в область локалки. Создаешь ТП:
сурс PC1
дест Local
протокол ...
пермит
NAT на локальный интерфейс.

adjuster

Спасибо, а можно поподробнее?

Подсеть на внутреннем и внешнем интерфейсе керио одна или разные?

Если разные (допустим 192.168.0.-- внутрь 192.168.1.-- вовне)

Какую маску, гетвей и какой маршрут прописать на РС1?

tgkonvent
Попробуй из командной строки дать команду вида
ping -f -l 1492 irr.ru и смотри что она выдаст. Если скажет что "требуется фрагментация пакета но установлен запрещающий флаг"
то постепенно уменьшай это значение (не 1492 а например 1482 и т.д.), до тех пор пока не найдешь то при котором пинг пойдет нормально. Вот его тебе и надо выставить. Это и есть то значение MTU которое "тянет" твой провайдер.

P.S. В деревне у тещи, пров выставил на своих ADSL пулах MTU равным 1462 (вместо "стандартных" 1492) Так вот там все вновь подключившиеся имеют геморой с настройкой А тех. служба уже больше года не решает эту проблему. Домолинк, п. Октябрьский, недалеко от г. Рыбинск

P.P.S Как поменять MTU для твоей операционки ищи в яндексе например

Помогите с проблемкой!
Установлен KWF 6.7.1
Интернет интерфейсом временно установлен радиомодем. Так вот Керио не разрешает установить тип подключения "Дозвон по запросу". Пишет, что только один интерфейс будет использован для дозвона по требованию. Соответственно и не соединяется с инетом, пока сам не щелкнешь по кнопке коннект.
Модем в системе один.


Uploaded with ImageShack.us

Сейчас стоит версия 6.4.2 критичных глюков нет.
Не хочу заморачиваться ставить 6.7.1, хотел спросить те кто юзает эту версию, появилась ли возможно делать разные ограничения скорости индивидуально к ip\порту\юзеру ? Или все как раньше через ***у, стоит одна планка для избранных.

to all
у кого установлен KWF 6.7.x - на закладке интерфейсы есть возможность объединения двух интерфейсов в "мост" ?

Цитата:

появилась ли возможно делать разные ограничения скорости индивидуально к ip\порту\юзеру ?

Нет. Как обычно, одна на всех. Мы ведь за ценой не постоим?


Цитата:

у кого установлен KWF 6.7.x - на закладке интерфейсы есть возможность объединения двух интерфейсов в "мост" ?

К сожалению нет.

Joke
спасиб

Ребят, замучался бодаться с керио.. не могу заставить работать связку из 2х последовательно включенных KWF.
версия керио 6.6.0 build 5729
Схема следующая:
Основной сервер (ОС): lan (192.168.0.100/24) и wan(ip провайдера), клиенты из лана ходят через nat и прозрачный прокси в инет, всё работает.
Внутренний сервер (ВС): один интерфейс в lan (который 192.168.0.101/24) и второй wifi для бесплатной раздачи инета (172.22.0.1/24).
В связке лан - ОС - инет всё работает, инет работает и на самом ВС (ВС - ОС - инет).
На ВС для wifi делаю нат на lan (192.168.0.101) в котором шлюз ОС. Всё работает согласно правилам.. бегает аська, хожу терминалом, пинги, всё кроме HTTP! уже измаялся.
Что делаю не так?
спасибо.

Доброго дня.
Стоит версия 6.7, нужно создать впн подключение к серверу, но в административной консоли пишет что впн не активно, т.к. не загружен драйвер впн, ниже написано внутренняя ошибка загрузки драйвера впн. В чем может быть дело и как загрузить драйвер???

на одно шлюзе версия 6.7.1 6399 написанно правило

интернет > Firevall tcp 3456 map 192.168.130.1:3389

на втором шлюзе версия 6.7.1 patch 2 6544 пишу тоже самое и не работает
а работает
интернет > Firevall tcp 3456 nat map 192.168.130.1:3389

хрень какаето получается в последней версии
или чегото уже нодопонимаю

garbals
Ну да, так и должно быть. Всё же работает - в чём проблема ?

должен быть только мап

Цитата:

Схема следующая:
Основной сервер (ОС): lan (192.168.0.100/24) и wan(ip провайдера), клиенты из лана ходят через nat и прозрачный прокси в инет, всё работает.
Внутренний сервер (ВС): один интерфейс в lan (который 192.168.0.101/24) и второй wifi для бесплатной раздачи инета (172.22.0.1/24).
В связке лан - ОС - инет всё работает, инет работает и на самом ВС (ВС - ОС - инет).
На ВС для wifi делаю нат на lan (192.168.0.101) в котором шлюз ОС. Всё работает согласно правилам.. бегает аська, хожу терминалом, пинги, всё кроме HTTP! уже измаялся.

сам спросил, сам ответил..
выключил PI на ВС для HTTP.

garbals

Цитата:

интернет > Firevall tcp 3456 map 192.168.130.1:3389

на втором шлюзе версия 6.7.1 patch 2 6544 пишу тоже самое и не работает
а работает
интернет > Firevall tcp 3456 nat map 192.168.130.1:3389

На шлюзах IP разные? (я имею ввиду они одновременно в сетке используются), если да - то ищи проблему на 130,1 машине.

Доброго времени суток!
Чего то из FAQ ничего не понял...
может ктот подскажет на пальцах?

Есть сервер с Kerio
в нем три сетевухи LAN - ADSL1 - ADSL2
как сделать так что бы
все пользователи LAN могли бы пользоваться
ADSL1 если HTTP протокол
ADSL2 если все остальные протоколы

Вопрос на счет статистики. Как можно сделать так что бы он считал статистику на самом хосте где он установлен? У меня просто комп на котором стоит KWF он же еще и рабочий комп (т.е. на нем играют, работают, лазают в интернете).
Просто с первых же дней как установил статистика не бьётся со статистикой которую ведет провайдер. Всегда грешил на провайдера что мошенничеством занимается, а сегодня сам заметил что учет всего что качается напрямую с хоста не ведется!!!
Как можно сделать так что бы и на хосте все проходило через KWF? (кстати браузер на хосте даже пароль не запрашивает при выходе в интернет в отличии от удаленных пользователей)

vovservis

Цитата:

как сделать так что бы
все пользователи LAN могли бы пользоваться
ADSL1 если HTTP протокол
ADSL2 если все остальные протоколы

делается это через ТП. Можно 2-мя способами:
1. используя HTTP прокси. (разграничить направление firewall и LAN в разные интерфейсы)
2. только NAT - разграничивать по сервисам.

[q][/q]
вот я так и делал разграничивал... по NAT
но работает все равно только один
может проблема глубже? может route?

Добавлено:
IPv4 Route Table
===========================================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x2 ...00 1c f0 cb 2d 17 ...... D-Link DFE-520TX PCI Fast Ethernet Adapter - Kerio WinRoute Firewall
0x3 ...00 24 21 a8 d6 63 ...... Realtek RTL8168C(P)/8111C(P) PCI-E Gigabit Ethernet NIC - Kerio WinRoute Firewall
0x10005 ...44 45 53 54 4f 53 ...... Kerio Virtual Network Adapter - Kerio WinRoute Firewall
0x10006 ...00 a1 b0 50 11 c8 ...... ADM851X USB To Fast Ethernet Adapter - Kerio WinRoute Firewall
===========================================================================
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.6.1 192.168.6.11 20
0.0.0.0 0.0.0.0 192.168.7.1 192.168.7.50 20
10.253.246.0 255.255.255.0 10.253.246.1 10.253.246.1 20
10.253.246.1 255.255.255.255 127.0.0.1 127.0.0.1 20
10.255.255.255 255.255.255.255 10.253.246.1 10.253.246.1 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.255.0 192.168.0.230 192.168.0.230 20
192.168.0.230 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.0.255 255.255.255.255 192.168.0.230 192.168.0.230 20
192.168.6.0 255.255.255.0 192.168.6.11 192.168.6.11 20
192.168.6.11 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.6.255 255.255.255.255 192.168.6.11 192.168.6.11 20
192.168.7.0 255.255.255.0 192.168.7.50 192.168.7.50 20
192.168.7.50 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.7.255 255.255.255.255 192.168.7.50 192.168.7.50 20
224.0.0.0 240.0.0.0 10.253.246.1 10.253.246.1 20
224.0.0.0 240.0.0.0 192.168.0.230 192.168.0.230 20
224.0.0.0 240.0.0.0 192.168.6.11 192.168.6.11 20
224.0.0.0 240.0.0.0 192.168.7.50 192.168.7.50 20
255.255.255.255 255.255.255.255 10.253.246.1 10.253.246.1 1
255.255.255.255 255.255.255.255 192.168.0.230 192.168.0.230 1
255.255.255.255 255.255.255.255 192.168.6.11 192.168.6.11 1
255.255.255.255 255.255.255.255 192.168.7.50 192.168.7.50 1
Default Gateway: 192.168.6.1
===========================================================================
Persistent Routes:
None

Добавлено:
Windows IP Configuration

Host Name . . . . . . . . . . . . : AVAX
Primary Dns Suffix . . . . . . . :
Node Type . . . . . . . . . . . . : Unknown
IP Routing Enabled. . . . . . . . : Yes
WINS Proxy Enabled. . . . . . . . : No

Ethernet adapter ADSL:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : D-Link DFE-520TX PCI Fast Ethernet Adapter

DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.6.11
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.6.1
DNS Servers . . . . . . . . . . . : 192.168.6.1

Ethernet adapter LAN:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Realtek RTL8168C(P)/8111C(P) PCI-E Gigabit Ethernet NIC

DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.0.230
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . :
DNS Servers . . . . . . . . . . . : 127.0.0.1

Ethernet adapter Kerio Virtual Network:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Kerio Virtual Network Adapter

DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
IP Address. . . . . . . . . . . . : 10.253.246.1
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . :
DHCP Server . . . . . . . . . . . : 10.253.246.2
NetBIOS over Tcpip. . . . . . . . : Disabled
Lease Obtained. . . . . . . . . . : 24 мая 2010 г. 1:01:35
Lease Expires . . . . . . . . . . : 25 мая 2010 г. 1:01:35

Ethernet adapter ADSL2MIR:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : ADM851X USB To Fast Ethernet Adapter

DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.7.50
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.7.1
DNS Servers . . . . . . . . . . . : 192.168.7.1

vovservis

Цитата:

вот я так и делал разграничивал... по NAT

А где скрины?


Цитата:

DNS Servers . . . . . . . . . . . : 127.0.0.1

А это зачем? - у тебя на KWF DNS сервер поднят?

Цитата:

Вопрос на счет статистики. Как можно сделать так что бы он считал статистику на самом хосте где он установлен? У меня просто комп на котором стоит KWF он же еще и рабочий комп (т.е. на нем играют, работают, лазают в интернете).
Просто с первых же дней как установил статистика не бьётся со статистикой которую ведет провайдер. Всегда грешил на провайдера что мошенничеством занимается, а сегодня сам заметил что учет всего что качается напрямую с хоста не ведется!!!
Как можно сделать так что бы и на хосте все проходило через KWF? (кстати браузер на хосте даже пароль не запрашивает при выходе в интернет в отличии от удаленных пользователей)

Дубль 2

adjuster


если роуты прописать на сайты какие либо которые я хочу что бы ходили через adsl2 - тогда все работает
но сайтов то много - хотелось бы что бы зависело от протоколов...

http://narod.ru/disk/21111585000/policy.jpg.html