» Kerio Control (ex Kerio WinRoute Firewall)

Начинай отсюда...
http://kerio-rus.ru/
тут есть готовые мануалы на русском. И желательно было б почитать сначала а потом уже разворачивать на боевой системе

Cейчас установлен kerio control 7.3.2 4445. Пользователи в локальной базе, ходят через непрозрачный прокси. С авторизацией. После обновления до 7.4.1 авторизация перестала работать (в броузере не выскакивает окно на ввод логина/пароля).
Для чистоты эксперимента установил kerio 7.4.1 "начисто", завел пару пользователей - картина та же.
Может кто подскажет, что не так?

maxapet А в чем глубинный смысл установки KC на виртуальную машину? Имхо гораздо проще взять далеко не самый мощный системник, и поставить на него, без всяких ненужных прослоек + настроить нормальное резервное копирование.

"Начинай отсюда...
http://kerio-rus.ru/
тут есть готовые мануалы на русском. И желательно было б почитать сначала а потом уже разворачивать на боевой системе"

Сспасибо, я прочитал манулы - ссылки есть в начале этого топика. И не понял, почему правило, названное Remote Access и разрешающее любой источнк, любое назначение, любую службу, на самом деле запрещает доступ в Инет и удалённый досту к хостовой машине?

Да, система у меня не боевая, потому и на виртуалке.

Добавлено:
"maxapet А в чем глубинный смысл установки KC на виртуальную машину? Имхо гораздо проще взять далеко не самый мощный системник, и поставить на него, без всяких ненужных прослоек + настроить нормальное резервное копирование."

Смысл в том, что я не очень хорошо знаком с предметом и ещё не опредлился с выбором. Поэтому ставлю на виртуалку разные программы - на днях попробовал Traffic Inspector, - и пытаюсь с ними рзобраться. А на виртуалке, при необходиости, легко откатиться назад, если что сломаю.

А вот когда определюсь, да научусь настраивать, вот тогда и поставлю на железо.

Не могу говорить, потому ка кне вижу как там у Тебя..
Но очередность правил играет большую роль
Приоритет правил сверху вниз

Это правило было самым верхним. В полях "Источник", "Назначение", "Служба" установлено значение "Любое". В поле "Действие"выбрано "Разрешить". Остальные поля - пустые. Почему-то, оно запрещало всё, кроме Инета с хостовой машины.

по идее если первое правило все всем разрешить - то последующие будут просто игнорироваться.

Добавлено:
вот возможно поэтому не доходит до правила НАТ. Хотя это предположения. Надо видеть что и как всю картину целиком

Извиняюсь что задержался с ответом

Treast

Цитата:

Судя по картинке версия 6.х
Если я догнал в чем проблема, то вот это должно помочь (там 7.х, но работает на 6.х)
IP керио VPN

несовсем понял где ето нужно поправить в моем посте


Цитата:

В превью - не правила.

там другая картинка есть в ней правила, в первой только список интерфейсов


Добавлено:
вроде и просто все как двери, а не работает, подсеть одна, и притом с файрвола (192.168.0.100) на .101 доступ есть, разве что роут где то плохой, но вручную ничего не добавлялось, все настройки сделал керио


coder666

Цитата:

xxfOxx
а мне кажется что вопрос в машине AD
Там и рыть надо.

А еще конечно б обновил Керио. У Тебя очень старый... Уж много фиксов пофиксено кстати именно в работе с AD

так с АД нету проблем, не могу никак достать машинку с ип .101, с впн клиента могу пинговать другого впн клиента, и локальние машинки, все кроме .101. С файрвола могу пингать любую машину вообще.
Может с роутами что не так?


Добавлено:
Ура!!! нашел решение на одном из форумов
оказивается нужно било добавить роут на машине .101, хотя на ней указан .100 как основной шлюз.
Цитирую

Цитата:

если все сделали правильно, то доступа от Kerio VPN клиентов не будет для тех локальных машин, у которых керио не установлен в качестве основного шлюза. Обход этой проблемы:
прописываете на локальных машинах маршрут:
192.168.101.0 mask 255.255.255.0 192.168.100.3
где 192.168.101.0 — подсеть VPN сервера
192.168.100.3 — IP адрес шлюза керио
ответ получен от саппортов Kerio.ru и отлично работает

добавил на .101 роут
route add 192.168.10.0 mask 255.255.255.0 192.168.0.100 metric 3 и все заработало
хотя в роутах на .101 било
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.0.100 192.168.0.101 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.0.0 192.168.0.101 192.168.0.101 20
192.168.0.101 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.0.255 255.255.255.255 192.168.0.101 192.168.0.101 20
224.0.0.0 240.0.0.0 192.168.0.101 192.168.0.101 20
255.255.255.255 255.255.255.255 192.168.0.101 192.168.0.101 1
Основной шлюз: 192.168.0.100
======================================================================
Постоянные маршруты:
Отсутствует

что за глюк такой?

xxfOxx

Все генианльное просто
на машинке .101 маска сети 255.255.0.0 - согласно этой маске сеть 192.168.10.х является локальной и в маршрутизации не нуждается.

Исправить маску на 255.255.255.0 и статический роут не нужен

Цитата:

Вижу 2 варианта:
 
1. Руцями анализировать адреса, урлы дополнительного контента нужных группе TPS сайтов и вносить их в Ваш список разрешенных урлов. Как анализировать? В логах HTTP, WEB,  с помощью каких нибудь анализаторов трафика в броузерах. Но, блин, геморрой и ненадежность.
2. Перейти от политики "Запрещено все что не разрешено" к обратной "Разрешено все что не запрещено".
IMHO, именно так по дефолту должен работать керио. Для этого есть веб-фильтр, правила, снорт итп.

хм, ок, тогда будем пробовать делать все иначе -)
спасибо

progmike


Цитата:

xxfOxx

Все генианльное просто
на машинке .101 маска сети 255.255.0.0 - согласно этой маске сеть 192.168.10.х является локальной и в маршрутизации не нуждается.

Исправить маску на 255.255.255.0 и статический роут не нужен

спасибо попробую и так

Вопрос знаю что не в тему, но напрямую связан

Поднял Hyper-V с Kerio на сервере с прямым выходом в инет
(два интерфейса сетевых internet и local и еще два добавилось виртуальных)

Теперь при остановке Kerio на реальном сервере он пускает к себе извне всех независимо от правил на Kerio Hyper-V

Как сделать что-бы извне не пускал никого а только путем переброса портов с Kerio Hyper-V ?

Внутренний файрвол Виндовый беден до безобразия. Но не хочу использовать что-то сторонне. Как правильно прописать правило?

Вопрос такой, есть Kerio Control и два свистка Yota. Один свисток со статическим IP. В офисе стоит mail сервер и проблема в том, что когда из локалки отправляют письма куда либо они идут со свистка со стат.IP, а когда из внешнего инета, например с iPhone Mail.app то письма отправляются с почтового сервака с Yota с динамическим IP и например google mail не принимает письма. Как мне сделать чтоб отправка писем шла только через static-IP или исходящие шли через static-IP, а входящие через dynamic-IP ?

coder666

Сносить накуй Hyper-V и ставить нормальный гипервизор (VMWARE).

А если серьезно, то забирать у физических интерфейсов внешний IP и пробрасывать его в машину с KERIO. Зачем гипервизору, по сути простой управлялке виртуальными машинами, внешний IP?

Не думаю что есть сильное отличие между Hyper-V и VMWARE
При том Hyper-V все ж родная технолония для Windows Server


Цитата:

Зачем гипервизору, по сути простой управлялке виртуальными машинами, внешний IP?

Вопрос риторический. Не я это придумал. Так уж есть, никуда от этого не денешся.
Приходится подстраиваться

Цитата:

Не думаю что есть сильное отличие между Hyper-V и VMWARE

Ты не думай, ты верь. ))))


Цитата:

При том Hyper-V все ж родная технолония для Windows Server

И что? Каким боком WS относится к виртуализации? Правильно - никаким.


Цитата:

Вопрос риторический. Не я это придумал. Так уж есть, никуда от этого не денешся. Приходится подстраиваться

Подстройся, если нельзя забрать IP, просто закрой ВСЁ. Все порты наглухо. Пусть весь внешний трафик идет ТОЛЬКО внутрь - в керио. Так будет правильно со всех сторон безопасности.

Пойми, внешний трафик ДОЛЖЕН встречать фаерволл. Где ты его поставишь снаружи гипервизора или внутри - дело твое. Но суть от этого не меняется. Если у тебя внешний трафик появляется на двух интерфейсах (host и appliance kerio ) - то это жопа безопасности. Считай что у тебя ее нет, за ней ты не уследишь ни разу.

Ну или же еще вариант. Ставить 2 керио, один снаружи, другой внутри и настроить что бы трафик ходил через оба по цепочке. Тогда остановка любого из них вызовет остановку всего трафика - что и нужно.

Или тебе нужно другое, тогда озвучь что? А то я тут распинаюсь....))))

Спасибо.

В целом все правильно Ты понял. Так и есть как Ты описал
Цитата:

Если у тебя внешний трафик появляется на двух интерфейсах (host и appliance kerio ) - то это жопа безопасности.

Самое оно!


Цитата:

Ну или же еще вариант. Ставить 2 керио, один снаружи, другой внутри

Уже над этим думал. Но как-то по идиотски получается. Я ставлю аплианс что-бы он заменил Керио виндовый который не будет подерживаться в скором времени. А в итоге получается что мне его в таком случае все равно держать придется. Тогда смысл моих телодвижений? (это я сам у себя спрашиваю)

Я не пойму просто как мне разделить host и appliance kerio. Если у них внешний интерфейс общий.

Kerio Control 7.4.1 build 5051

Как включить Kerio Control Web Filter ?

Политика HTTP - Kerio Control Web Filter

все флажки установлен, но пустая строка URL с кнопкой Тестирование URL

- какой должен быть там адрес??

coder666

Ты бы все же озвучил хотелку, для более предметной беседы. Если все просто - гипервизор с виртуалками, втч керио, то все просто.

Цитата:

Я не пойму просто как мне разделить host и appliance kerio. Если у них внешний интерфейс общий.

Разделить физически не получится, ведь трафик идет через одну и ту же физическую сетевку, правильно?
Я не ставил hyper-v, не знаю как там организована виртуальная сеть, но если как и в вмваре, то еще раз:
1. убери внешний адрес или заблокируй активность на адаптере непосредственно в виндозе.
2. Настрой внешний адрес в адаптере виртуальной машины.

Блин, ну что тут сложного, обьясни.
Единственную сложность вижу если на хосте кроме роли гипервизора настроены еще какие-то сервисы для инета, вебсервер или там почтовик. Тогда ой, но выход есть и он изящен.
Или вариант 1. Виртуалишь (конвертором) эту машину с сервисами, установливаешь заново виндозу (можно core) с hyper-v, а лучше vmware и запускаешь виртуалки с керио и твоим виндозе-сервером.
Или вариант 2. Заводишь новую виртуалку с виндозой, переносишь туда сервисы, на хосте их удаляешь, удаляешь внешний адрес.

ps. Если хочешь, можешь скайпануть (starshark) побеседуем.

Цитата:

1. убери внешний адрес или заблокируй активность на адаптере непосредственно в виндозе.

попробую


Цитата:

Единственную сложность вижу если на хосте кроме роли гипервизора настроены еще какие-то сервисы для инета, вебсервер или там почтовик.

Kerio Connect
Terminal Server - но для него мне не обязательно давать выход в сеть напрямую


Цитата:

Если хочешь, можешь скайпануть (starshark) побеседуем

Спасибо. Но для предметной беседы надо собраться с мыслями. В данный момнт в голове полная каша. При таком положении вещей предметной беседы не получится

coder666

Цитата:

Kerio Connect Terminal Server

Переставлять, ну или конвертить сервер в виртуалку (p2v).


Цитата:

Спасибо. Но для предметной беседы надо собраться с мыслями. В данный момнт в голове полная каша. При таком положении вещей предметной беседы не получится

Да не заморачивайся. Один будешь вариться в собственном соку пока голова не взорвётся. Одна голова хорошо, а две - лучше. Я не страшный, поверь. ))))))

webresurs

Цитата:

- какой должен быть там адрес??

Который вы желаете проверить на принадлежность категоризации.

Цитата:

Который вы желаете проверить на принадлежность категоризации.

Тогда ка вкл его?
"Kerio Control Web Filter Не активировано. Перейти к Kerio Control Web Filter"
Хотя -Kerio Control Web Filter -Лицензировано

Перехожу на закладку "Kerio Control Web Filter " все флажки включены, но пишет"Kerio Control Web Filter не включен, разбивка на категории отключена"?

Как его включить?

Доброго времени суток.
Перешел на днях с 6.7.1 на 7.4.1, вроде всё хорошо работает, но вот со статистикой малость не догнал. В сводном отчёте в графике появилось "Другое", я так понял это трафик служб где не поставлен инспектор протокола? Статистика обновляется очень долго примерно полтора часа, в 6.7.1 буквально 15 минут, + стата по группам работает как то кривовато, пользователь в группе есть, а в статистике по группе его нет. Где может быть ошибка?
Заранее благодарен

webresurs Если у вас не так - топайте в варезник и спрашивайте.

Приветствую!
Ребят, а кто-нибудь знает как посмотреть текущую скорость потребление интернет?
услвно говоря, провайдер дает 10мб/с, АйПи телефония использует сейчас 1мб/с, 2е человек качают с фтп/нттр со скоростям 0,5мб/с и 1,5 мб/с, ну и так по-мелочи еще 0,5мб/с. Так вот как мне увидеть эти самые 3,5мб/с?

В панели мониторинга какие-то странные графики рисуются:
Во-первых, есть разница между dial-in подключением и собственно eth. Связь устанавливается через ppoe, от провайдера приходит ethernet-кабель.
Во-вторых, скорости на этих графиках какие-то смешные - до 400кб/с. Уж очень не верится, что весь офис столько "кушает". К тому же когда измеряю скорость на спидтесте, скорость показывает до 9мб/с, но на графиках эти закачки никак не отображаются.

Если имеет значение, ос-windows 2008 r2, сетевухи самые обычные дешевые, доступ по пользователям никак не ограничен(т.е. без авторизации), Резервирование канала только на SIP 1мб/с, заявленная скорость до 8мб/с

Цитата:

compupu

- у Меня вот так...

webresurs
Только что проверил у меня включается фильтр после того как ставлю эту галку и нажимаю применить (правда сам я им не пользуюсь так как он слегка притормаживал инет у меня на хостах) . У Вас скорее всего криво получилось сломать керю . Посмотрите на тему в варезнике .

Цитата:

shagal_84

- спасибо за разъяснение!

Подскажите еще как тогда без webfil-тра - запретить загрузку флеш фильмов в контакте аль в однакласниках ютибе и тп..?

по расширению в хттп-рулесах