» Kerio Control (ex Kerio WinRoute Firewall)

HankHank
последняя стабильная стоит, 6.35.1

attaattaatta
буду рад! А вдруг все же прокатит

SunnyN
Микротик стабильно с керио держит связь, без обрывов неделями работает.
Я бы проверил пинги в обе стороны на внешние и внутренние адреса шлюзов.
В керио скрипт вшит - проверяет живучесть айписек соединения, обычно в этом все проблемы. В логах в Debug видно его работу, до конца только не проверял что именно он пингует, по идее внутренние айпи шлюзов поднятых подсетей.
Так-же в микротике ограничение на публикацию удаленной сети, можно указать только одну подсеть. Важно так-же в винроуте указать вручную сеть, которую мы показываем микротику и наоборот соответсвенно.
Посмотрите еще, или не перекрываете существующие сети поднятием айписека.
На винроуте каких-то дополнительных правил создавать не нужно в фаерволе, только пинг открыть.
С микротиком делал по инструкции: https://habrahabr.ru/post/216215/ - на винроуте поднято 20 шлюзов с RV042 цисками, 3-мя микротиками - все стабильно работает.

Да, стабильность тож подтверждаю и с цисками и с микротиком. И про одну сеть к микротику тоже верно, вообще толково все расписано. С шейпингом на микротике у меня были глюки, не выдерживающий критики. При его работе качество телефонии страдало. Пришлось отключить.

УважаемыеЮ поборол IPSec туннель в связке Kerio 9.0.3 и MikroTik 3.36RC6
всё оке. Т.е. удалённые локалки друг друга видят, все прекрассно!
Одно но! Туннель активный, инициатор - центральный офисный Керио, расположен в центре звезды. В углах звезды другие офисы с Керио. Туннели штатнные кериотны. И в итоге каждая локалка видит любую другую локалку. А вот с IPSec такое не прокатывает. С ним видят друг друга только те локалки которые подключены друг к другу IPSEc туннелем. Остальных они не видят. Как бы это побороть?

SunnyN
В ipsec этому служат политики http://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Policy

attaattaatta
Спасибо!
какой параметр изучать?

Уважаемые! Выручайте!
Как заблокировать Teamviewer? Пробовал по ip, так они меняются. Соединение HTTPS, а у меня kerio 7. По URL, так оно ж HTTPS/...
Выручайте!
Спасибо.

Merlin2006
Вот тут http://kerio-rus.ru/forum/showthread.php?t=9055 писали об этом

Добавлено:
Доброго времени суток! В наличии сервер2012, hyperv и в нем керио 9.02. В сервере две сетевухи, одна смотрит в локальную сеть, другая в сеть провайдера с PPPoE. С разной, но вполне себе регулярной частотой (от трех минут, до нескольких часов) рвется соединение. За сутки получается порядка 20-50 разрывов. При этом в логах ничего интересного нет, кроме самого факта разрыва соединения. То есть выглядит это вот так например


Код: [03/May/2016 12:54:22] Line "Ethernet 4" disconnected, connection time 00:31:25, 145987531 bytes received, 14733378 bytes transmitted
[03/May/2016 12:54:23] Line "Ethernet 4" dialing due to configured PPPoE mode.
[03/May/2016 12:54:28] Line "Ethernet 4" connected

wintorez
Лог - дебаг - сообщения - ppoe
Ловите. Если не по вашей вине, связывайтесь с провайдером.

attaattaatta
Нет такого https://monosnap.com/file/j3aWSjrW1TsHVBSYLhFTJvRJshxvN4.png как узнать по чьей вине, в логах только факт того, что коннект упал. Ну еще вот такая непонятная строчка спамит в логе алерт:

Код: [03/May/2016 16:32:52] RASLINE(UP) firewall="control" hostip="127.0.0.1" hostname="localhost" line="Ethernet 4" reason="Custom settings for dial line" username="not logged yet"

wintorez
А как же Dial on demand / Idle timer / system config / internet connectivity

И это только на вскидку.

127.0.0.1 это сам керио. Хотите знать больше, увеличьте verbose. В случае с керио нужно просто понатыкать галок на нужных сервисах.

Цитата:

Custom settings for dial line

Значит в настройках дозвона стоит дисконнект при определенных условиях (время и т.п.)

attaattaatta это включил, вроде ничего такого интересного больше нет.
borisdenis где можно в керио посмотреть эти самые настройки дозвона? В самой настройке интерфейса нет никаких настроек.

wintorez
Например вот тут, может лишняя птичка или не правильно указан интервал

borisdenis
К сожалению в этих двух галочках запутаться трудно и там все так же. Только у меня коннект создан в керио и поэтому галки "Переопределять учетные данные" нету.

wintorez
Тогда только смотреть подробные логи и искать виновника, не исключено что провайдер рвет соединение.

Вот такой получился расширенный лог

Цитата:

[04/May/2016 12:56:47] interface "НазваниеПрровайдера" is DOWN
[04/May/2016 12:56:47] {ddial} DNS cache flushed
[04/May/2016 12:56:47] Service "DNS UDP" bound to address 172.27.30.199 stopped
[04/May/2016 12:56:47] Service "DNS TCP" bound to address 172.27.30.199 stopped
[04/May/2016 12:56:47] Service "WebInterface" bound to address 172.27.30.199 stopped
[04/May/2016 12:56:47] Service "WebInterfaceSSL" bound to address 172.27.30.199 stopped
[04/May/2016 12:56:48] {ddial} Line "НазваниеПрровайдера" dialing due to configured connect time.
[04/May/2016 12:56:48] {alert} Alert: code 22, alert event: RASLINE
[04/May/2016 12:56:48] {ddial} Log file for interface ppp103 successfuly created
[04/May/2016 12:56:49] {ddial} ppp103: Terminating on signal 15
[04/May/2016 12:56:51] {ddial} ppp103: Connection terminated.
[04/May/2016 12:56:51] {ddial} ppp103: Modem hangup
[04/May/2016 12:56:51] {ddial} ppp103: Plugin rp-pppoe.so loaded.
[04/May/2016 12:56:51] {ddial} ppp103: PPP session is 29
[04/May/2016 12:56:51] {ddial} ppp103: Connected to 1a:dc:59:e8:b1:8f via interface eth3
[04/May/2016 12:56:51] {ddial} ppp103: Using interface ppp103
[04/May/2016 12:56:51] {ddial} ppp103: Connect: ppp103 <--> eth3
[04/May/2016 12:56:53] {ddial} Line "НазваниеПрровайдера" connected
[04/May/2016 12:56:53] Interface "НазваниеПрровайдера" is UP.
[04/May/2016 12:56:53] IPv4 Addresses: 172.27.30.199/255.255.255.255
[04/May/2016 12:56:53] Service "DNS UDP" started, bound to address 172.27.30.199
[04/May/2016 12:56:53] Service "DNS TCP" started, bound to address 172.27.30.199
[04/May/2016 12:56:53] Service "WebInterface" started, bound to address 172.27.30.199
[04/May/2016 12:56:53] Service "WebInterfaceSSL" started, bound to address 172.27.30.199
[04/May/2016 12:56:53] {ddial} ppp103: CHAP authentication succeeded
[04/May/2016 12:56:53] {ddial} ppp103: CHAP authentication succeeded
[04/May/2016 12:56:53] {ddial} ppp103: peer from calling number 1A:DC:59:E8:B1:8F authorized
[04/May/2016 12:56:53] {ddial} ppp103: local IP address 172.27.30.199
[04/May/2016 12:56:53] {ddial} ppp103: remote IP address 172.27.19.254
[04/May/2016 12:56:53] {ddial} ppp103: primary DNS address 188.64.216.2
[04/May/2016 12:56:53] {ddial} ppp103: secondary DNS address 188.64.217.2
[04/May/2016 12:56:53] {ddial} Ras Dial: Ras ppp103 successfully dialed
[04/May/2016 13:19:42] {ddial} Log file for interface ppp103: ttl was set
[04/May/2016 13:19:42] interface "НазваниеПрровайдера" is DOWN
[04/May/2016 13:19:42] {ddial} DNS cache flushed
[04/May/2016 13:19:42] Service "DNS UDP" bound to address 172.27.30.199 stopped
[04/May/2016 13:19:42] Service "DNS TCP" bound to address 172.27.30.199 stopped
[04/May/2016 13:19:42] Service "WebInterface" bound to address 172.27.30.199 stopped
[04/May/2016 13:19:42] Service "WebInterfaceSSL" bound to address 172.27.30.199 stopped
[04/May/2016 13:19:42] {ddial} ppp103: LCP terminated by peer (Peer not responding)
[04/May/2016 13:19:42] {ddial} ppp103: Connect time 22.9 minutes.
[04/May/2016 13:19:42] {ddial} ppp103: Sent 8418079 bytes, received 172070004 bytes.
[04/May/2016 13:19:43] {ddial} Line "НазваниеПрровайдера" dialing due to configured connect time.
[04/May/2016 13:19:43] {alert} Alert: code 22, alert event: RASLINE
[04/May/2016 13:19:43] {ddial} Log file for interface ppp103 successfuly created
[04/May/2016 13:19:44] {ddial} ppp103: Terminating on signal 15
[04/May/2016 13:19:45] {ddial} ppp103: Connection terminated.
[04/May/2016 13:19:45] {ddial} ppp103: Modem hangup
[04/May/2016 13:19:46] {ddial} ppp103: Plugin rp-pppoe.so loaded.
[04/May/2016 13:19:46] {ddial} ppp103: PPP session is 40
[04/May/2016 13:19:46] {ddial} ppp103: Connected to 1a:dc:59:e8:b1:8f via interface eth3
[04/May/2016 13:19:46] {ddial} ppp103: Using interface ppp103
[04/May/2016 13:19:46] {ddial} ppp103: Connect: ppp103 <--> eth3
[04/May/2016 13:19:49] {ddial} Line "НазваниеПрровайдера" connected
[04/May/2016 13:19:49] Interface "НазваниеПрровайдера" is UP.
[04/May/2016 13:19:49] IPv4 Addresses: 172.27.30.199/255.255.255.255
[04/May/2016 13:19:49] {ddial} Ras Dial: Ras ppp103 successfully dialed
[04/May/2016 13:19:49] Service "DNS UDP" started, bound to address 172.27.30.199
[04/May/2016 13:19:49] Service "DNS TCP" started, bound to address 172.27.30.199
[04/May/2016 13:19:49] Service "WebInterface" started, bound to address 172.27.30.199
[04/May/2016 13:19:49] Service "WebInterfaceSSL" started, bound to address 172.27.30.199
[04/May/2016 13:19:49] {ddial} ppp103: CHAP authentication succeeded
[04/May/2016 13:19:49] {ddial} ppp103: CHAP authentication succeeded
[04/May/2016 13:19:49] {ddial} ppp103: peer from calling number 1A:DC:59:E8:B1:8F authorized
[04/May/2016 13:19:49] {ddial} ppp103: local IP address 172.27.30.199
[04/May/2016 13:19:49] {ddial} ppp103: remote IP address 172.27.19.254
[04/May/2016 13:19:49] {ddial} ppp103: primary DNS address 188.64.216.2
[04/May/2016 13:19:49] {ddial} ppp103: secondary DNS address 188.64.217.2

Добавлено:
borisdenis
Видимо. Буду искать. Попробую сменить сетевуху и наверно вообще переставлю ОСь на сервере, не знаю, в какой бубен стучать. Кроме того как стучать в бубен провайдеру конечно. Вдруг это он.

wintorez Terminating on signal 15 ака SIGTERM код 15

Код: Сигнал SIGTERM (номер 15) вызывает «вежливое» завершение программы. Получив этот сигнал, программа может выполнить необходимые перед завершением операции (например, высвободить занятые ресурсы). Получение SIGTERM свидетельствует не об ошибке в программе, а о желании ОС или пользователя завершить ее.

добрый день. сделал блокировку доступа к teamviawer через ip-адреса их серверов. Понятно что они могут меняться, периодически обновляю новые. Скажите а как заблокировать aeroadmin, не могу нигде найти их адреса. Или может можно как-то по другому это сделать. Спасибо.

Подскажите по проблемке?

Схема сети: http://imgur.com/Xuz3k7r

Есть два офиса. Объединены через VPN. Сотрудники одного офиса видят ресурсы второго офиса через VPN. Но никак не могу настроить, чтобы удаленный сотрудник, подключившийся через VPN к одному из офисов видел серверы обоих офисов. Видит только сеть того офиса к которому подключен.

VPN между офисами сделан с помощью встроенного в Kerio IPsec. Удаленного сотрудника пробовал подключать через IPSec и через агента Kerio

Я уже писал про ipsec policy на предыдущей странице.

attaattaatta
Вы мне? Если да, то на прошлой странице про микротик разговор. Не могу сопоставить с моей ситуацией, ведь у меня везде керио.

ck80
Тогда чем вам не угодил Kerio VPN ?

attaattaatta

Не получается добиться, чтобы удаленный клиент из дома подключился к VPN и имел доступ к обоим подсетям. Сейчас он подключается и имеет доступ только до одной подсети.
Подсети между собой соединены KerioVPN. Как на схеме http://imgur.com/Xuz3k7r

ck80
Вы же сами написали

Цитата:

VPN между офисами сделан с помощью встроенного в Kerio IPsec

Определитесь, ipsec у вас или нет.

attaattaatta

Да, IPsec правильно. Недопонял вас. Не KerioVPN потому что есть третий офис, в котором OpenVPN не дружит с KerioVPN. Пришлось использовать IPSec.

ck80

Цитата:

Is OpenVPN standards-compliant?

OpenVPN is not compatible with IPSec, IKE, PPTP, or L2TP.

Цитата:

OpenVPN не дружит с KerioVPN

Вообще вполне нормально "дружат", но телодвижений надо несколько больше.

А можно поподробнее? OpenVPN клиент подключается к Керио или наоборот? Или вы в виртуалку Керио запихнули линуксовый OpenVPN?

testerkk

Вы мне? Если да, то Kerio IPSec подключается к OpenVPN с помощью ключа. Настройки со стороны опенвпн не скажу, не моя вотчина.