» Kerio Control (ex Kerio WinRoute Firewall)

Цитата:

Не понял при чем здесь собственно сам керио. Если клиенты в него по впн идут из вне, искать клиент, позволяющий менять каналы на лету. Что то пробегажало в мозгу, но не вспомнилось.

Что значит "искать клиент", он как бы есть уже - Kerio VPN client.
Другое дело как настроить все это хозяйство, пока только пришло в голову только написать программу(службу) или скриптами делать переподключение клиента.
Но если штатно настраивается, то и не стоит городить огород.

Treast

Цитата:

Но если штатно настраивается

Большие сомнения и уверенносчть что нет. Поэтому и напомнил про сторонние клиенты. Имеет ли смысл зацикливаться именно на "родном". МС-ский тоже неплохо справляется.

Цитата:

Большие сомнения и уверенносчть что нет. Поэтому и напомнил про сторонние клиенты. Имеет ли смысл зацикливаться именно на "родном". МС-ский тоже неплохо справляется.

Мне даже в голову не приходило, что к серверу Керио можно подключиться сторонним клиентом, я правильно понял про МС-клиента ?

прошу помощи
итак имеется 192.168.0.100/ххх.ххх.ххх.ххх (внешний ип на другом интерфейсе) - керио
192.168.0.101 - AD
192.168.0.10-192.168.0.20 - пк клиентов
все ето подключено в свитч, ххх.ххх.ххх.ххх к вайфай антенке.
Подключаясь впн клиентом могу попасть на 192.168.0.100, а с него на 192.168.0.101.
Собственно проблема в том что надо напрямую подключатся на 192.168.0.101. Притом на 192.168.0.10-192.168.0.20 подключаюсь без проблем.

Ой...
Настраиваем телепатическую связь!

а что у Вас подразумевается под словом "попасть" и "подключиться" ?
я начинаю гадать... (впн, рдп, на зашаренные папки по сети...)

Цитата:

Ой... Настраиваем телепатическую связь!

Я честно говоря постеснялся написать подобное)

Цитата:

Ой...
Настраиваем телепатическую связь!

а что у Вас подразумевается под словом "попасть" и "подключиться" ?
я начинаю гадать... (впн, рдп, на зашаренные папки по сети...)

извините, в принципе то и значит - все ресурси доступни (тоесть могу запингать 192.168.0.100, увидеть его розшарение папки, rdp и тд и тп.

Treast

Цитата:

Цитата:
Ой... Настраиваем телепатическую связь!
Я честно говоря постеснялся написать подобное)

не флудили б, я понимаю нюб, постов мало, хочеться большего - но не тут ок ?

Добавлено:
вторая картинка - превью недоступно (чтото глючит на радикале) но по клику видно все правила, непойму что там может бить не так

Добавлено:
Плюс - на другие впн клиенти подключение тож без проблем, связка впнклиент - впнклиент работает, вот чем етот .101 особенний то непойму

Цитата:

не флудили б, я понимаю нюб, постов мало, хочеться большего - но не тут ок ?

Мимо кассы.

А по вопросу - выложи правила, будет легче помочь, если в силах.
В превью - не правила.

Цитата:

В превью - не правила.

там другая картинка есть в ней правила, в первой только список интерфейсов


Добавлено:
вроде и просто все как двери, а не работает, подсеть одна, и притом с файрвола (192.168.0.100) на .101 доступ есть, разве что роут где то плохой, но вручную ничего не добавлялось, все настройки сделал керио

Судя по картинке версия 6.х
Если я догнал в чем проблема, то вот это должно помочь (там 7.х, но работает на 6.х)
IP керио VPN



У меня проблема в маршрутизации (может версия не совсем "правильная"), со скрином твоей таблицы будет понятней об одном говорим или нет.

Цитата:

Мне кажется, что проблема именно в 2+3.

тогда странно то, что месяц такая схема работала без проблем, ничего кардинального не менял
HTTP-policy кстати работает для групп и пользователей (хоть что-то), непонятно )

xxfOxx

а мне кажется что вопрос в машине AD
Там и рыть надо.

А еще конечно б обновил Керио. У Тебя очень старый... Уж много фиксов пофиксено кстати именно в работе с AD


Добавлено:
кстати способ проверить что происходит...
Смотри при подключению к машине что происходит в коннектах винроута.

Treast

Цитата:

я правильно понял про МС-клиента ?

Совершенно верно. Поднимаешь соостветсвующую службу в винсервере и пробрасываешь ее на хост. Таким же образом можно подключаться любыми сторонними клиентами.

compupu

А что можно поставить для андроида и iOS заместь ВПН-клиента?
На форуме Керио кто-то из разрабов сказал что он успешно использовал сторонний ВПН-клиент для андроида и иОС, но не назвал какой именно.

Приветствую! Есть ли на форуме люди у кого Kerio вращается под виртуалкой в рабочей среде (с нормальной нагрузкой, с терминалками и т.д) под Hyper-V? Как он себя чувствует? Замечали ли Вы какие то проблемы? особенности?

Цитата:

Совершенно верно. Поднимаешь соостветсвующую службу в винсервере и пробрасываешь ее на хост. Таким же образом можно подключаться любыми сторонними клиентами.

Вы внимательно читали изначальный пост ?
Мне нахер не нужен виндовый ВПН.
Флуд развели...

EugenRad

пока тока в режиме теста...
сообща тока пару дней назад вылечили пациента окончательно от болезней

Товарищи, помогите заставить нормально работать Керио с несколькими каналами связи.

Есть следующая схема:
3G Роутер Мегафон (192.168.0.1) <-> Kerio LAN1 (192.168.0.2/192.168.1.1) <-> LAN (192.168.0/24)
3G Роутер МТС (192.168.2.1) <-> Kerio LAN2 (192.168.2.2/192.168.1.1) <-> LAN (192.168.0/24)

Нужно пользователей из LAN разделить пользователей на 2 группы - одна (vip) будет ходить через МТС, другая (tps) будет ходить через Мегафон.

ipconfig /all [more]ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : nat
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Да
WINS-прокси включен . . . . . . . : Нет

Ethernet adapter MTS:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Realtek PCIe GBE Family Controller #2
Физический адрес. . . . . . . . . : F8-D1-11-02-C5-0A
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.2.2(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.2.1
DNS-серверы. . . . . . . . . . . : 192.168.2.1
192.168.1.1
NetBios через TCP/IP. . . . . . . . : Отключен

Ethernet adapter Подключение по локальной сети:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : TeamViewer VPN Adapter
Физический адрес. . . . . . . . . : 00-FF-65-4D-0F-D8
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да

Ethernet adapter Megafon:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
Физический адрес. . . . . . . . . : 50-E5-49-A2-E9-65
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.0.2(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . :
DNS-серверы. . . . . . . . . . . : 192.168.0.1
192.168.1.1
NetBios через TCP/IP. . . . . . . . : Отключен

Ethernet adapter LAN:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Realtek PCI GBE Family Controller
Физический адрес. . . . . . . . . : 00-E0-52-F0-70-81
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.1.1(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . :
DNS-серверы. . . . . . . . . . . : 192.168.1.1
NetBios через TCP/IP. . . . . . . . : Включен

Ethernet adapter Kerio Virtual Network:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Kerio Virtual Network Adapter
Физический адрес. . . . . . . . . : 44-45-53-54-4F-53
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да
[/more]
route print [more]route print
===========================================================================
Список интерфейсов
21...f8 d1 11 02 c5 0a ......Realtek PCIe GBE Family Controller #2
16...00 ff 65 4d 0f d8 ......TeamViewer VPN Adapter
13...50 e5 49 a2 e9 65 ......Realtek PCIe GBE Family Controller
11...00 e0 52 f0 70 81 ......Realtek PCI GBE Family Controller
23...44 45 53 54 4f 53 ......Kerio Virtual Network Adapter
1...........................Software Loopback Interface 1
44...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
12...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
42...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2
22...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #3
14...00 00 00 00 00 00 00 e0 Адаптер Microsoft 6to4
17...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #4
43...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #5
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.2.1 192.168.2.2 20
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.0.0 255.255.255.0 On-link 192.168.0.2 276
192.168.0.2 255.255.255.255 On-link 192.168.0.2 276
192.168.0.255 255.255.255.255 On-link 192.168.0.2 276
192.168.1.0 255.255.255.0 On-link 192.168.1.1 266
192.168.1.1 255.255.255.255 On-link 192.168.1.1 266
192.168.1.255 255.255.255.255 On-link 192.168.1.1 266
192.168.2.0 255.255.255.0 On-link 192.168.2.2 276
192.168.2.2 255.255.255.255 On-link 192.168.2.2 276
192.168.2.255 255.255.255.255 On-link 192.168.2.2 276
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.2.2 276
224.0.0.0 240.0.0.0 On-link 192.168.1.1 266
224.0.0.0 240.0.0.0 On-link 192.168.0.2 276
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.2.2 276
255.255.255.255 255.255.255.255 On-link 192.168.1.1 266
255.255.255.255 255.255.255.255 On-link 192.168.0.2 276
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 192.168.0.1 По умолчанию
===========================================================================

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
Метрика Сетевой адрес Шлюз
1 306 ::1/128 On-link
1 306 ff00::/8 On-link
===========================================================================
Постоянные маршруты:
Отсутствует[/more]
Вот чего я понастроил, все работает, если не включать в HTTP-Policy правило "Block all other".
Интерфейсы [more] [/more]

Правила трафика [more] [/more]

DNS [more] [/more]

DHCP [more] [/more]

Группы IP-адресов [more] [/more]

Маршруты [more] [/more]

HTTP-Политика [more] [/more]

Если включить правило "Block all other" у пользователей группы TPS страницы открываются коряво
[more] [/more]

[more] [/more]

А надо, чтобы было по-нормальному[more] [/more]
Я так понимаю, надо добавить правило Allow, вот только что разрешать?

insyo

Приведу свое IMHO.

При включении правила "Block all other" у Вас TPS ходят через 1-е правило - "Allow all TPS".
Там у вас список урлов. Вы его не показали, но содержимое его примерно понятно.

НО.... Кто Вам сказал что Вы способны правильно составить этот список? Я имею ввиду, что если Вы хотите разрешить к примеру Яндекс, то абсолютно не факт, что урла вида *yandex* достаточно. Поясню мысль. Любой современный сайт тянет кроме своего адреса еще кучу контента (сss, pictures etc) расположенного по ДРУГИМ адресам, с другими урлами и тд итп. Соответсвенно не разрешив ВСЕ что может подтянуть сайт, ну может кроме рекламы, правильную его работу Вы не обеспечите.

зы. Кстати на мегафон я так понимаю у Вас 2 дефолтных маршрута: автоматический и статический.

coder666

Цитата:

А что можно поставить для андроида и iOS заместь ВПН-клиента? .

Чёт не вкурил. Поясни подробнее.

Цитата:

[/q]
[q]Мне нахер не нужен виндовый ВПН.
Флуд развели...

Звиняйте дядьку. Крутитесь сами.

compupu
coder666

Правильно я понимаю, что в 8-ке уже есть более-менее стандартный не проприетарный vpn-сервер. К которому можно коннектится откеле угодно. С ведроида, иоса, линуха, макоси, винды итд итп.

надо мобилы заводить через ВПН в сеть мою...

Добавлено:
перебрал кучу PPTP клиентов для Анроида - не хочет

coder666 Понятно. Доберусь до внешней сети попробую. Можа чего нарою.

Starshark2007
есть и работает.

Цитата:

Приведу свое IMHO.
 
При включении правила "Block all other" у Вас TPS ходят через 1-е правило - "Allow all TPS".
Там у вас список урлов. Вы его не показали, но содержимое его примерно понятно.
 
НО.... Кто Вам сказал что Вы способны правильно составить этот список? Я имею ввиду, что если Вы хотите разрешить к примеру Яндекс, то абсолютно не факт, что урла вида *yandex* достаточно. Поясню мысль. Любой современный сайт тянет кроме своего адреса еще кучу  контента (сss, pictures etc) расположенного по ДРУГИМ адресам, с другими урлами и тд итп. Соответсвенно не разрешив ВСЕ что может подтянуть сайт, ну может кроме рекламы, правильную его работу Вы не обеспечите.

да, это понятно, тогда каким образом настроить HTTP-Policy так, чтобы были разрешены только указанные сайты и работали нормально, а все остальное шло мимо?
 
Цитата:

зы. Кстати на мегафон я так понимаю у Вас 2 дефолтных маршрута: автоматический и статический.

это я уже "баловался"
не совсем понимаю как правильно настраивать маршрутизацию и нужно ли вообще мне было туда лезть -) но об этом почитаю, разберусь

а начал я в маршрутизацию лезть из-за того, что периодически отваливается то МТС то Мегафон - сейчас Мегафон
перевожу из Интернет-интерфейсов в Другие и после наоборот и вроде снова поднимается интернет

Вопрос - возможно ли заблокировать TOR?
Куда копать? Что смотреть?

insyo

Цитата:

тогда каким образом настроить HTTP-Policy так, чтобы были разрешены только указанные сайты и работали нормально, а все остальное шло мимо?

Вижу 2 варианта:

1. Руцями анализировать адреса, урлы дополнительного контента нужных группе TPS сайтов и вносить их в Ваш список разрешенных урлов. Как анализировать? В логах HTTP, WEB, с помощью каких нибудь анализаторов трафика в броузерах. Но, блин, геморрой и ненадежность.
2. Перейти от политики "Запрещено все что не разрешено" к обратной "Разрешено все что не запрещено".
IMHO, именно так по дефолту должен работать керио. Для этого есть веб-фильтр, правила, снорт итп.

Ребята, я новичок в данном вопросе, подскажите, пожалуйста.
Установил Kerio 7.4.* на виртуальную машину W2k8 R2. Скопировал пользователей из ActiveDirectory. Сразу после установки интернет есть только на хостовой машине - в локалке его нет, хотя, раньше был - "зуб даю" . Какие-то настройки нужны ещё? Правила нужно менять? Обязательно ли создавать группы? ICS он потребовал отключить - нужно ли RRAS настраивать/запускать?

походу надо просто нанять админа

По-хорошему, нужно, конечно, но пока нет денег. Приходится самому разруливать.
Кстати, заработало у меня. Когда запретил правило, которое установилось по умолчанию сразу после установки программы, и, вроде как, разрешает RemoteAccess.