» Kerio Control (ex Kerio WinRoute Firewall)

Добрый день.

Есть керио 9.0.3, домен, 300 юзеров.
Включена защита: параметры безопасности/ограничения подключения на хост 1500.
Авторизация NTLM по доменной учетке.

Вот тут и возникает проблема абсолютно рандомно! у любого пользователя не зависимо от времени и географического распределения. Теряет связь комп со шлюзом, при этом локалка работает без проблем. Началась проблема где-то с версий 8.3, может раньше.
Если раньше проблема решалась просто перезагрузкой компа, теперь это не помогает.
Если запустить пинг с контрола на адрес этого компа, комп сразу же начинает видеть шлюз и прекрасно все работает, до любого момента. При этом пользователь может вообще не подключаться через шлюз к удаленным объектам и обнаруживает проблему только по факту. После чего запускаем пинг с контрола на комп и проблема решается.
В логах чисто.

Может кто, что сможет посоветовать?

Windows Server 2008 R2
Kerio Control 7.4.2 build 5136
заканчивается ознакомительная версия. ставил патч, показывает что все прошло успешно и теперь керио лицензия без ограничение, но после этого интернет просто работает очень медленно а то и воввсе никуда зайти нельзя, в чем может быть проблема? лицгеном на триале не получается сделать(

как активировать керио контрол 9

Всем привет. Может кто-нибудь подскажет что нужно сделать. В организации есть сеть с вэланами. В одной из таких подсетей пытаюсь настроить керио в качестве шлюза, пингую адрес керио из подсети все окей, пингую адрес машины из под керио все окей, но вот когда ставлю керио шлюзом, сети нет. Маршрут в Керио до сети 23 прописан, так 172.23.0.0 255.255.0.0 172.16.0.1

Параметры машины в подсети:
IP: 172.23.5.20
Mask: 255.255.255.0
Gatwey: 172.23.5.1
DNS: 172.16.0.5

IP Kerio: 172.16.0.15

Я так понимаю что Керио должен иметь IP сети 23, но как это сделать если он у меня в 16-ой. Вэланы сделаны на свитче 3 уровня. Шлюз 172.23.5.1 и 172.16.0.1 это один и тот же свитч.

redelparolo

1. Воткнуть Керио между 172.23.5.1 и остальной сетью.

2. Воткнуть Керио в маршрутизатор 172.23.5.1 отдельным VLAN и весь интернетовский трафик перенаправлять на керио.

Уважаемые знатоки Керио, помогите, пожалуйста разобраться.
Есть роутер провайдера:
WAN: [static provider IP]
LAN: 192.168.1.1/24
У клиентов ip pool: 192.168.1.20-250/24 шлюз 1.1
Необходимо протоколировать/резать трафик пользователей. Причем настройки шлюза 1.1 не трогать.
Устанавливаю керио. Ставлю два интерфейса:
WAN: 192.168.1.2/24 шлюз 1.1
LAN: 192.168.1.3/24
У пользователей прописываю шлюз 1.3.
На керио настраиваю пользователей (различаю их как по MAC, так и по IP). разрешаю полный NAT.
У пользователей интернет есть. Трассировка маршрута показывает, что пакеты сначала идут на 1.2, потом на 1.1, потом к провайдеру. В журнале http вижу посещаемые сайты, но в статистику пользователя не попадают. В активных подключениях вижу пакеты от пользователя через WAN интерфейс и далее на сайты, но в типе подключения обозначены как локальные подключения. Видимо из-за этого (что понимаются как Локальные подключения) трафик не попадает в статистику.
Нужно все-таки получить статистику по пользователям.
Правильный выход напрашивается сам собой. Но есть специфика.
Выход 1. Сделать правильный WAN на керио (в одной сети со статикой провайдера) Но в данной ситуации статический айпи адрес уже прописан в роутере провадера.
Выход 2. В роутере провайдера сделать LAN в другой подсети и в эту подсеть включить WAN Керио. Но в конкретном случае нельзя, есть люди, ходящие по маршруту 1.1.
Выход 3. Сделать еще один LAN в роутере и его включить в одну подсеть с WAN Керио. Нельзя ломать инфраструктуру роутера провайдера.
Выход 4. Поменять LAN керио и пользователей. Вывести их в другую зону, а шлюзом поставить LAN Kerio. Нельзя менять IP пользователей, так как управление будет не по всем пользователям, но друг друга пользователи (контролируемы и нет должны видеть друг друга)
---
Вопрос в следующем. Как бы Вы поступили, когда в сети есть единственный шлюз, его перенастраивать нельзя, можно только менять шлюз у пользователей.
Или вопрос по-другому, как можно управлять локальным трафиком в Керио. Как минимум чтобы он поступал в статистику.
Т.е. нужно встать между пользователями и роутером провайдера и управлять трафиком, меняя только настройки шлюза пользователя.

Upd. решилось снятием галочек с IPV6 на WAN/LAN интерфейсах Керио. Видимо, IPv6 трафик определялся как локальный. Может у кого будет подобная извращенная ситуация, то вышеуказанный метод поможет. А может кто решал похожие задачи по-своему?

Подскажите, пожалуйста по настройке Kerio, работает как прокси в локальной сети, у пользователей прописан прокси в настройках, проблема у пользователей с ноутами, при разъездах у них отсутствует интернет до тех пор пока не отключишь прокси, можно сделать это прозрачно для юзеров?

Здравствуйте!

Имеется kerio control appliance 9.0.2 установленный на xenserver.
Памяти выделено 1.5 gb
Происходит утечка памяти на процесс snort
По ssh показывало увеличение использования памяти, именно этой службой.

302MB snort
186MB avserver
44MB winroute
9MB fbserver
7MB sshd
6MB kerio-console
6MB udevd
4MB getty
3MB winbindd
3MB sort

После её перезагрузки, через вэб вот так:

186MB avserver
117MB snort
45MB winroute
9MB fbserver
7MB sshd
6MB kerio-console
6MB udevd
4MB getty
3MB sort
3MB winbindd

С этим можно бороться?

tolstov83
"Утечка памяти" - это, когда процесс отбора памяти непрерывен во времени и завершается крахом.
А так, обычно в 8-ой и 9-ой версиях у меня, после перезагрузки потребление, естесственно, ниже, чем по мере эксплуатации.
Т.о., у каждого - свои цифры. Надо поэксплуатировать KC, понаблюдать за процессом и собрать статистику. Скорее всего, всю память Керио не сожрёт, а остановится на каrом-то пределе. При условии, конечно, что её хватает на все хосты вашей сети + антивирус + защита от вторжения + вебфильтр. Пространства памяти должно хватать на всё перечисленное. На практике, обычно у людей от 2 Гб для KC достаточно. Разумеется, желательно, чтобы был некоторый запас от вашего индивидуального предела.

tolstov83
У керио точно протекает ipsec сервер во всей 8-й линейке, это факт. Снорт тоже перезапускаю раз в месяц, когда активирую. Съедает 500 метров. Но я керио не могу много памяти выделить, чтобы проверить достоверность утечки (установлен всего 1 гиг ОЗУ) Без снорта жрет 180 метров, со снортом через месяц 75% от гига. (это в версии 8.6.2 build 3847). На других кериях не подключен ни анитивирус ни ips ни ipsec поэтому проблем нет =)

Добавлено:

Цитата:

С этим можно бороться?

Можно, надо распаковать sqash fs и прикрутить кроновый скрипт по перезапуску. Мне лень, один фиг залажу раз в месяц. Может кстати можно и так в окружение загнать. Надо пробовать. Доступ по SSH - shift зажимаем и на "состояние системы" тыкаем

Цитата:

"Утечка памяти" - это, когда процесс отбора памяти непрерывен во времени и завершается крахом.  

Именно.
Собственно отсюда и вывод. Сколько бы не выделял памяти, примерно за 4-5 дней соответственно, она заканчивается и вэб интерфейс начинает глючить. После перезагрузки все заново. Связано это со службой sofos, а какой контент она уже анализирует и почему таким образом не знаю..

tolstov83
Я ещё со времён KWF 6.4 перезагружаю систему раз в сутки автоматом. Не задумываясь. Для профилактики. Вставлено задание планировщику. И так оно пашет долгие десятилетия...
Есть утечки, нет их. Бета это или глюкавый релиз. Мне пох.

9ка со включенным антивирусом спокойно работает не один месяц, правда на 10 пользователей

Народ привет. Проблема такая (лазил по форуму, но похожего не нашел). Поставил образ Kerio Control 9.1.0-1014 RC1 со встроенным ЛицГен'ом v1.5.1 от 01.06.2016 - генерирую лицензию. Работает 5 минут и потом лицензия слетает и так постоянно. В чем может быть причина?

Сам керио работает исключительно, инет пользователям дает. Хочеца веб-фильтр (нет возможности поднять отдельную машину для него), а никак)

Привет всем.
На предприятии задача встала раздачи ИП , и блокировка некоторых сайтов, например соц. сетей.
Ограничение доступа в инете ( доступ только к некоторым сайтам).

На предприятии Windows Server 2008 R2, запустил там Hyper-V. Для ознакомления с программой и подготовки создал две виртуальных сетки: внешнюю ( указал сетевую карту на которую включен мой роутер и вся текущая внутренняя сеть . в том числе и мой удалённый ПК) и вторую - будущую внутреннюю сеть ( указал вторую сетевую карту, куда нечего не подключено на данный момент )

установил
Kerio Control 9.0.3 и Kerio Control 9.1.0 beta 1 со встроенным ЛицГен'ом v1.5.0 от 25.05.2016

Старую, пишет сконфигурируйте сеть и даёт ИП веб морды на которую я не могу попасть.

Подскажите как настроить сеть керио что бы я мог к нему подключиться хотя бы с сервера ( где запущенна виртуальная машина ) .

BeliyIV, измените политику прямо в настройках, тогда пустит.

BeliyIV
сделай еще одну виртуальную машину и подключи ее к виртуальной внутренней сети

Цитата:

BeliyIV, измените политику прямо в настройках, тогда пустит.

В консоле Kerio выбрал Удалённое управление и нажал Enter , тем самым включил удалённый вход. Спасибо.

А если его не включать, то как заходить на веб морду? Например с сервер на котором стоит виртуальная машина с керио.

Народ, поясните, как настроить редирект на страницу авторизации керио, для пользователей которые первым открывают узел по https протоколу?
Сейчас есть 2 варианта:
1) Если юзер заходит на страницу просто по http, то керио благополучно редиректит на страницу авторизации, если первой идет на https то он выходит в инет вообще без авторизации, что ведет к неконтролируемым действиям.
2) Если создаю в трафик полиси правило, для атворизованных разрешить https, то получается, что керио начинает отсекать всех кто не авторизваолся по https протоколу и выпускает авторизованных.
НО! Есть огромная проблема, жизненно важно, чтобы те, кто использует первый вход на ресурс по https автоматом редиректились на страницу авторизации керио, чего как раз и не происходит. Подскажите как решить проблему?

Добавлено:
BeliyIV
Просто создаете правило источник\адрес сервера с которого будете управлять керио
назначение\хост керио
порт\служба керио вэб админ
разрешить.

Подскажите пожалуйста, можно ли в керио заставить работать два провайдера по PPPOE одновременно (стоит 2 сетвые карты). WindowsXP Kerio Control 7.4.1 build 5051.

Здравствуйте. Может кто сталиквался с такой проблемой. Стоит керио 9.1.0 (на esxi, простой Control) когда ввожу его в домен, то появляется 100% загрузка процессора, не постоянно, а скачками, с примерно равными интервалами. Вывожу из домена и проблема исчезает. Что это может быть?

Garik_Lugansk
Может хоть тысячу PPOE туннелей поднять, но вот одновременно два разных шлюза по умолчанию разве что Христос сможет поднять.

vbela
Судя по всему проблема в самом керио в моменты синхронизации, попробуйте защищенное соединение с доменом, другую версию керио, может realm не тот указали, тоже проверьте, и в днс резолвере укажите (если на локальном сетевом адаптере не прописаны днс) "имя_вашего_домена" ссылается по днс на "ip адреса"

Garik_Lugansk
Можно попробовать отправлять часть компьютеров через одного провайдера, а часть через другого
Ну или оставить второго как резервный канал.

Добавлено:
roxens

Цитата:

Настроить редирект на страницу авторизации керио, для пользователей которые первым открывают узел по https протоколу.

Как сделано у меня:
1. Домены и Аутентификация -> Галочка: Всегда требовать. + Автоматически совершать выход.
2. Прокси сервер -> Галочка: Включить Непрозрачный прокси-сервер -> Переключатель: Непрозрачный прокси-сервер.
3. В Правилах трафика -> Создано правило: Интернет - Аутентификация -> Практически в самом низу, но перед Локальным и трафиком брандмауэра.
Источник - Доверенные, Назначение - Интернет интерфейсы, Служба HTTP, Разрешить, NAT
4. В Правилах трафика -> Создано правило: Интернет - Аутентифицированным -> Выше предыдущего правила.
Источник - Аутентифицированные пользователи, Назначение - Интернет интерфейсы, Служба HTTP, HTTPS, MAILs, DNS и все что нужно, Разрешить, NAT

Происходит автоматическая авторизация пользователей по IP, но если пользователя с IP нету в списке, то выкидывает на авторизацию Kerio.

Подскажите, как проще всего распределить скорость между юзерами (кому-то 20kb/s, комуто 40kb/s и т.д.)? Вариант создания для каждого юзера правила в "Управление полосой пропускания и QoS" работает, но это долго и есть чуйка, что можно проще гораздо.
Есть несколько групп пользователей, у каждой группы своя скорость, но если добавлять группу в правило, но скорость даётся на всю группу целиком, а не на каждого члена группы отдельно. Иными словами, просто подскажите как грамотно управлять скоростью, чтобы из-за 1-2 бездельников не мучались остальные.

walcot
если один-два бездельника, то думаю не должно быть проблем сделать одно-два правила в полосе пропускания.

Цитата:

и есть чуйка

я думаю она не верна. только ручками, на каждого юзера

walcot
А какая версия Керио?

AdmDiks, 9.0.3

walcot
Надо будет у себя проверить, вроде не замечал такого, что скорость выделяется группе целиком

AdmDiks
100% скорость выдаётся на группу, а там уже кто как юзает. Выходит нужно заводить пользователей и каждому выделять скорость, с v7.4 ничего не изменилось в этом плане.

Подскажите ещё одно: в логе керио идут записи о сканирование портов от несколько локальных машин. Так было и с 6й версией, а сча уже и с 9й. Скорее всего трабла на хостах, какая-то прога беспределит. Можно ли как-то вычислить это?