» Kerio Control (ex Kerio WinRoute Firewall)

Усем привет)))

Стоит керио контрол 7.3.2 build 4445. Давно стоит ))) все работает но тут столкнулся с одной странной проблемой! до конца не хотел винить в этом керио )))
Yahoo вебмаил оооочоень глючно работает через керио! постоянно зависает, не прикрепляет атачи. yahoo вебмаил работает только с двумя браузерами это fitefox и safari. так если второй хоть как то работает то лиса вообще отказывается! если подключить инет напрямую (без керио) глюки уходят))) У меня 2 отдельных офиса с керио. И там и тут yahoo отказывается работать через керио! Для одного из офисов это большая проблема так яху как корпаративная почта. через оутлук все работает но через веб https не хочет! работает но глючно! с gmail такой фигни нет хотя оно тоже через https

Не знаю поможет ли это ну вот скрин с одного из керио!


Может кто сталкивался с такой ерундой)))

xstaford
Посмотри включена или нет функция кеширования, в свое время у меня из-за нее сильно тормозили некоторые сайты

выше правила НАТ надо создать новое правило:
доверенные-инет-https-разрешить-нат и выключить на нем инспектор протокола.
вместо инет лучше указать диапазон адресов почтовых серверов яху - типа 66.196.66.0/24
это проблема устаревшей версии керио.

Приветствую. А поддерживает ли Kerio VPN клиент командную строку, чтобы подключаться через bat файл? Нашел http://forums.kerio.com/t/9615/kerio-vpn-client , но ответа я там не понял или его там нет.

Приветствую всех!
Помогите проблемку решить? Керио контрол плохо обновляет динднс. По какой-то не ведомой причине ппое переподключается почти каждую ночь. Думаю вина в провайдере, потому как и со старым оборудованием и с железным роутером наблюдались такие косяки.
В любом случае внешний IP меняется. А керио не хочет его менять на диндс. Причем иногда все тиаки меняет. Как мне показалось керио обновляет диндс по таймаут (1 раз в сутки), а не сразу после переподключения. Поэтому после обеда, например часто все хорошо работает. Если залесь в конфигурацию-дополнительно-dyndns- и нажать обновить, то все хорошо, все моментом обновляется.
Изменил в winroute.cfg <variable name="RefreshTimeOut">1800</variable> в разделе <table name="DynamicDNS">. Надеялся, что будет обновлять айпи хотя бы 1 раз в полчаса - не помогло.
Как заставить керио держать актуальный айпи?

Всем привет!!! Помогите с проблемкой. Стоит у меня старенький Kerio 6,5. Все хорошо работало пока провайдер вдруг не поменял нам айпишку. Вроде все работает как работало но вот IP телефония че то перестала пахать, а именно LinkSYS SPA3102. ПРоверял настройки самого девайса, подключал напрямую пашет. В чем может быть загвоздка?? Подскажите хотя где искать проблему ребята??

Tihon_one
В общем удалил полностью антивирус, но к сожалению это не помогло. С включенным инспектором протокола интернет медленно работает, а без него все летает. Может есть какие предположения еще?

Добавлено:
Кому интересно решил свою проблему, оказалось, что у меня был включен Kerio Web Filter, но лицензии на него не было. Выключил Web Filter, поставил инспектор протокола по умолчанию и все заработало, правила HTTP стали отрабатываться и страницы стали нормально открываться.

Доброго времени суток, переезжаю с 6 ой версии на 7.4.2
Поставил на виртуальной машине, настроил. Завел пользователей из AD
На тесте столкнулся с проблемой

При доступе к ресурсу из броузера выходит окно авторизации. Вводим логин пароль из AD. Пустил в инет, но хост не привязывается к пользователю. Соответственно трафик идет через не зарегистрированного пользователя. Если прописать ip то при доступе пользователь прописывается на хосте. в случае с Admin.
Если зайти на керио на морду статистики и залогинится пользователем, то он привязывается к хосту.



Правила перенес с 6ой версии, в ней все работало. Переносил руками.

mrkop
покажи таблицу маршрутизации контрола, а лучше просто листинг ipconfig /all и route print сюда выложи

Tihon_one
Убрал галку, включить принудительную аунтификазию не прозрачного прокси-сервера.
Все заработало как надо.
При вводе логина и пароля при доступе к веб ресурсу, пользователь привязывается к хосту.

Напал на следующие проблему.
Не проходит авторизация с логином на кирилице.
Как можно победить?

сделать логин на латинице

не могу победить DNS...
Сайт (если ранее не открывался) открывается со 2-го 3-го раза.
В локальной сети есть свой DNS-сервер 192.168.101.1, маска 255.255.255.192, шлюз 192.168.101.2
Kerio сидит на виртуалке.
Интерфейсы Kerio:
-DMZ ip 10.1.101.2, маска 255.255.255.192, шлюз 10.1.101.1(циска), в качестве DNS указал локальный DNS-сервер 192.168.101.1
-Local ip 192.168.101.2, маска 255.255.255.192, DNS 192.168.101.1

Запускаю с машины, на которой установлен DNS-сервер nslookup на какой-нибудь сайт первое сообщение получаю
C:\Users\zubr>nslookup ffclub.ru
Server: domain.local
Address: 192.168.101.1

DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Request to domain.local timed-out

Запускаю 2-ой:
C:\Users\zubr>nslookup ffclub.ru
Server: domain.local
Address: 192.168.101.1

DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Request to domain.local timed-out

Запускаю 3-й:
C:\Users\zubr>nslookup ffclub.ru
Server: domain.local
Address: 192.168.101.1

Non-authoritative answer:
DNS request timed out.
timeout was 2 seconds.
Name: ffclub.ru
Address: 212.158.165.76

И так с любым адресом, который ранее не открывался.

В DNS сервере идет перенаправление запросов на 10.1.101.1 (т.е. на циску)

C:\Users\zubr>nslookup 10.1.101.1
Server: domain.local
Address: 192.168.101.1

Name: cisco-dmz.domain.local
Address: 10.1.101.1

В Kerio все галки с DNS убрал, правило создал источник 192.168.101.1 назначение 10.1.101.1 служба DNS разрешить.

wertylo77
покажи:

с DNS сервера
ipconfig /all
route rpint
скрин настроек переадресации DNS в службе MS DNS


с контрола
ipconfig /all
и скрин правил трафика

Добрый вечер Всем!
Стоит Kerio Control 7.1.1 build 1971
Доступ к соц сети в контакте закрыт т.е. доменные имена *vk.com* и *vkontakte.ru* добавлены в группу URL ADS/banners и в Политиках HTTP создано правило запрещающее доступ в адресам внесенным в группу URL ADS/banners.
Но вот только сегодня обнаружил, что если заходить на сайт вконтакте по протоколу HTTPS (https://vk.com) то доступ к сайту не блокируеться.
Помогите кто сталкивался с такой проблемой

есть опция при добавлении урл
"Также применять к защищенным подключениям (HTTPS)"
Если в Вашей версии этой опции нет - ставим паследнюю версию под hyper-v

Добавлено:
а появилось оно кажется в

Version 8.0.0 March 12, 2013
+ WebFilter now filter HTTPS traffic over HTTP proxy

Доброго времени суток! Подскажите пожалуйста,возможно кто знает решение проблемы. Включена функция "Всегда требовать аутентификации пользователей при доступе к веб страницам" , соответственно при попытке зайти на сайт, выходит окно ввода логина и пароля, т.е. веб авторизация. Пользователи сидят в локальной базе. А сама проблема заключается в том,что под одним аккаунтом могут сидеть по 5-6 пользователей одновременно. Есть ли решение данной проблемы?

coder666
2009Alfred
Вообще то оно имеется в самих настройках 7.4.2 Вынь


roflmao12345 А нафига было такой огород ... Привяжись к ИП компа и не мудри больше.

айпи - динамика, домена в сети нету,поэтому начнётся перекидывание айпишников друг другу.

compupu

Цитата:

Вообще то оно имеется в самих настройках 7.4.2 Вынь

ну я уже не помню когда функция эта появилась. Раньше ее не было.

roflmao12345
а почему ваши пользователи могут себе позволить сменить IP адрес? Им нечего делать в этих настройках.

Tihon_one
Я и говорю,домена нет,политик нет. Поэтому, не откланяясь от темы, есть ли вышеупомянутые возможности в керио?

ну а разве в керио в ДХСП нет привязки по мак-адресам?

coder666
хорошо,объясню более популярно. Есть там привязка, нету, что помешает в будущем сотруднику А, у которого инета нету, посмотреть айпи у сотрудника Б, у которого он есть, затем вручную вписать его и получить пруфит?

ну если раздачи ай-пи с привязкой по маку сетевой, то даже вписав ай-пи нифига работать у него не должно. Правда это в теории. Надо пробовать.

И вариант второй. Понизить привелегии до юзера на машине (как в принципе и должно быть) Тогда сетевые настроки изменить не смогут.

ну привязываем то мы в DHCP, т.е. делаем резервацию и учавствовать этот мак будет только при выдаче айпишника,а вот если вписать это всё самостоятельно,то мак учавствовать не будет вообще.

Хорошо...
Заведи пользователей
Включи обязательную авторизацию
Сделай в пользователе привязку по одному ай-пи на брата.
Так должно работать. И что-бы сменит ай-пи на чужо надо еще знать логин и пароль учетки. Где-то так

coder666
Ну логин и пароль учётки - не велика беда, они ими с радостью поделятся) А вот в керио 8, в настройках можно задать только айпи для автоматического логина или айпи на VPN. И это очередная проблема

Подскажите: модем включен бриджем. На сетевухе (к которой он подключён) два IP-адреса.
213.184.***.*** - для инета
10.101.***.*** - чтобы с сервера можно было зайти на веб-интерфейс модема.
Но Керио Контрол в настройках интерфейса почему-то всё время выбирает 10.101.***.*** и Инет не работает Вручную возможности выбрать не даёт.
Если нажать кнопку Показать дополнительные IP-адреса, то 213.184.***.*** показывает, но только и всего...
Можно ли принудительно привязать к интернет интерфейсу адрес 213.184.***.*** ?

Цитата:

wertylo77
покажи:

с DNS сервера
ipconfig /all
route rpint

разобрался. проблема была в Cisco.
сейчас всё летает. осталось разобраться с трафиком с компьютера, на котором работает несколько пользователей. весь трафик считается в пользу первого залогинившегося на проксе. но на эту тему пока еще не искал инфу, если кто-то ткнет, буду благодарен