» Kerio Control (ex Kerio WinRoute Firewall)

Цитата:

Показываю свое работающее правило, запрещающее всю бесплатную почту:

Вопрос в догонку: доступ по https блокирует?
На 7.0.1 запрет действует только по http. По https спокойно пускает.

Доброго времени суток. В наличии KWR 6.5.2.5172, поднят VPN. Вопрос в том, что при подключении при помощи Kerio VPN пишет что-то вроде "Не удалось подключиться, возможно заблокирован трафик". Если поменять IP VPN сети, например с 10.189.205.0 на 10.189.206.0 - то все работает прекрасно. Интересно, почему так происходит, и как это победить?

korg
А в чем проблемма? Берите роутер настраивайте... чтоб он раздавал интернет на конкретную машину (задайте ей адрес к примеру 192.168.1.222 можно через DHCP)... с конкретным адресом по лан порту к примеру LAN1. Проверяйте работоспособность на реальной машине (без керио). В настройках машины пропишите адресс который у вас будет (пример выше) в качестве маски то что установленно в роутере. В качестве шлюза и днс соответственно ай пи роутера .. в моем примере он должен быть 192.168.1.1. Проверяете инет . Есть - значит . Подключайте уже непосредственно к компу с керио и настраивайте сетевой интернет интерфейс по анологии с простым компом.

Сам через керио не раздавал Йоту но с помощью роутера этого сделал удаленное ай пи видеонаблюдение на 4 камеры, плюс еще он инет раздает там..

з.ы. А что просто в комп всунуть йота свисток и сделать йота подключение в керио интернет интерфейсом не помогает ?

Видел у знакомого в одном кафе сетка сделана была на йоте , правда керио там стоял старый еще не конект ... и все работало .. и работает до сих пор ... йота новая ЛТЕ.... Даже интернет посетителям по вафле раздается ... так что допиливайте

compupu
Похоже проблема кроется в Server 2012, ибо аналогичная конфигурация полностью функционирует на 2008 R2

fedmun

Цитата:

По https спокойно пускает.

А галочку ставить пробовали?


PAV2

Цитата:

Похоже проблема кроется в Server 2012

Похоже вам разработчик гарантировал работу на это ОСи. Сказали бы сразу, не было бы ненужных постов!

compupu
Верно, лоханулся
в следующей версии 8.0.0 добавили поддержку 2012-ого, интересно, когда пробные 30-ть дней пройдут, служба кири просто выключится?

compupu

Цитата:

А галочку ставить пробовали?

Теперь понятно, в 7.0.1 такой галки нет.

Доброго времени суток.
На всякий случай уведомляю: моя проблема с хабром решилась вчера сама собой, т.е. я точно ничего не трогал, даже сервер не перезагружал. В общем: третьего дня не работало, вчера заработало. Вполне вероятно глюк всё таки был на стороне хабра.

PAV2

Цитата:

служба кири просто выключится?

Думаю просто скорость резко ограничится, как в младших версиях.

Цитата:

Доброго времени суток. В наличии KWR 6.5.2.5172, поднят VPN. Вопрос в том, что при подключении при помощи Kerio VPN пишет что-то вроде "Не удалось подключиться, возможно заблокирован трафик". Если поменять IP VPN сети, например с 10.189.205.0 на 10.189.206.0 - то все работает прекрасно. Интересно, почему так происходит, и как это победить?

- ни у кого идей нет?

Цитата:

Если поменять IP VPN сети, например с 10.189.205.0 на 10.189.206.0

нет идёй нет, версия старая проверить не на чем, но не вижу проблем изменения номера сети, если это помогает.

Tihon_one Вопрос в том, что приходится для этого держать открытым VNC наружу, да и лишние действия перед подключением не радуют.

Народ, подскажите кто сталкивался, ибо я в этом деле не мастак

Поднял Hyper-V на сервере с прямым выходом в инет

На нем два интерфейса:

Internet (смотрит на прjвайдера и имеет внешний ай-пи)
Local (включен в офисный комутатор)

Создал каждому из интерфейсов виртуальную сеть и использовал обе для kerio Hyper-V
Вообщем виртуальный керио работает, видит и локальную сеть и интернет.

Вопрос в следующем - правильно ли эта структура учитывая что реальный сервер тоже выходит в сеть под внешним ай-пи? Как это скажется на безопасности?

Что надо сделать для правильной конфигурации, потому что чуствую что я сделал через жопу.

coder666
Мне то же самое предстоит сделать))
Когда создавал внешний виртуальный коммутатор, опцию "Разрешить общий доступ к этому сетевому адаптеру управляющему операционной системой" Оставил?

Кстати, у тебя Hyper-V не ругается на сетевые адаптеры? Мол нужно обновить службы интеграции..
Пробовал Kerio Control Software Appliance 7.4.1 и 8.0.0 Beta, а так же готовый продукт Kerio Control Virtual Appliance for Hyper-V
Во всех случаях предлагает обновиться..

Server 2012

Цитата:

Когда создавал внешний виртуальный коммутатор, опцию "Разрешить общий доступ к этому сетевому адаптеру управляющему операционной системой" Оставил?

у меня на 2008 такого нет. Создавал внешнюю виртаульную сеть для каждого физического адаптера что-бы обмен шел как с виртуальными машинами, так с сервером и машинами локальной сети


Цитата:

Кстати, у тебя Hyper-V не ругается на сетевые адаптеры?

нет - не ругается. Что-то подобное читал, вроде это связано когда создаешь в самой виртуальной машине "устаревший сетевой адаптер" - но не уверен. Мог и попутать с чем-то

coder666
Понятно, сколько занимает виртуальный диск?

В панели управлении Кирео, занятое пространство 255 мб из 123 Гб, а физически диск занимает 35 Гб, как это, кто знает?))

Yaromaxx
ну назвать планирование IP адресации лишним действием назвать сложно, а вообще, включи протоколирование VPN в дебаге и посмотри, может чего полезного вычитать сможешь, при попытке подключиться без изменения адреса сети...

Tihon_one

Цитата:

ну назвать планирование IP адресации лишним действием назвать сложно

- это не лишнее, лишнее - постоянное ее изменение. А дебаг включу, пускай проверяет.

coder666
А как к серверу подключаешься, локально или удаленно?

Я немного запутался, есть сервер на нем две физические карты
К ним перекрутил виртуальные коммутаторы, настроил кирю. Всё работает, кроме одного, я не могу подключиться к самому серверу удаленно, как ему перекрутить адрес?

локально через веб-интерфейс

прикручиваешь адрес ай-пи уже в самом керио к его локальному интерфейсу

у меня чето выплыло... то работало - теперь нет.
Даже с сети ходил через него в инет, а потом вдруг перестало.

Цитата:

прикручиваешь адрес ай-пи уже в самом керио к его локальному интерфейсу

В плане? Как это в самом, я в Hyper-V указываю, а в Керио только назначаю IP и кидаю в доверенную группу.

1. создал виртуальную сеть на физический интерфейс
2. указал виртуальную сеть как сетевую карту в виртуальной машине для керио
3. настроил эту карту при первой установке керио

Разобрался, почему криво работал Kerio VPN - Symantec Endpoint Protection на моем ноутбуке блокировал порт 4090, причем telnet (ip) 4090 подключался без вопросов. Открыл в настройках файрволла SEP порты tcp 4090 и udp 4090 - теперь все работает. Как это сразу не сделал - непонятно.

Вопрос по полосе пропускания... если я сделаю правило которое ограничит до определенного значения трафик группе пользователей , то оно ограничит трафик конкретного пользователя т.е. каждый сможет отъедать в скорости столько сколько установленно ... или это ограничение для группы общее , т.е. будет еще делится на количество подключенных юзеров ?

shagal_84 Вы сами себя запутали.

Цитата:

это ограничение для группы общее

ДА.

ALL
В логах Warning лезет така хрень :

Вроде ничего страшного, но очень хочется понять от какого юзверя и приложения оно лезет.
Пробовал по короткой маске блокировать - не действует.

Может кто чего подскажет?

to compupu

у меня аналогично и хуже.
Думаю это броузеры - отправляют статистику, проверяют ссылки

Народ подскажите в чем м.б. дело...
В керио заведены пользователи, каждому соответствует один IP адрес = одному компьютеру в локальной сети..
В правилах был прописан нат на нужные компы - т.е. пользователи..
Всё работало.... понадобилось передалть настройки - добавить ещё правила нат-а...
И теперь компы по IP инициализируются через одного т.е. этого пользователя я вижу и понимаю а этот нет и не пущу.. Даю доступ ната на всю подсеть - всё работает... Явно прописываю IP - всё работает, а вот IP через введенного в пользователя - говорит - "э1й ты кто такой... давай досвидания!"... Танец с бубнами был испробован - не помогло... Вернул назад, когда всё работало - не помоголо...
Мля где копнуть то...
Впечатление такое, что когда IP обращается к керио тот его не может опознать как пользователя, хотя раньше до изменения правил - всё опознавал...

Небольшая сетка, все user (точнее получается машины)в локальной базе Kerio по IP статическому адресу.
Возникла потребность идентифицировать user по AD, c переходом сети на DHCP.

На переходный период все user пока не убиваю локальную базу пользователей Kerio.

Проблемы, тест показывает что удалив пользователя из локальной базы и оставив его в AD
Kerio продолжает его опознавать его по старому(в активных хостах), более того на него не работаю правила трафика (правила HTTP ) работает.

может нужно отключить старых пользователей user.... так как они привязываются у вас как я по нял по IP