» Kerio Control (ex Kerio WinRoute Firewall)

Вопрос к знатокам и умельцам:
подключаюсь из дома к серверу в конторе (Kerio Control 7 версии) с помощью клиента Kerio VPN. Домашний комп получает IP адрес вида 10.10.10.7, так вот с помощью утилиты Wol.exe ( http://www.profshutdown.com/wol_free_utility.aspx ) хочу разбудить комп в рабочей сети, указываю утилите MAC адрес этого самого компа, запускаю ей и с параметрами и.. не будится комп Что то где то не идёт в общем. Вот собсно сам вопрос: что именно надо сделать чтобы все таки сработала такая схема? Может правила какие или бродкаст указать в утилите? Пробовал указывать 192.168.0.255 (локальная сеть 192.168.0.0/24) и ..ничего все равно.
Спасибо.

Serg0FFan
В bios'е включена опция Wake On LAN?

Serg0FFan
Вопрос1 - а керио-то здесь причем?
Вопрос2 - схема в самой конторе отработана?
Вопрос3 - здесь все в порядке?

в "засыпке" мака нет и не будет.

e1nStein
Да

compupu
1) а сабж интересно как бы не при чем? %)
2) если я удалённо подключаюсь к микротику, который раздаёт вайфай и подключн в локалку напрямую, то из его терминала спокойно бужу пользовательский комп!
3) здесь все окей ибо из 2) следует что комп будится, но вот если из другой сети то нет.

Serg0FFan
утилита-то, где расположена?

Tihon_one
утилита запускается на домашнем компе конечно же, локальный адрес домашнего компа 192.168.88.100, потом домашний комп с помощью Kerio VPN клиента подключается к конторскому серверу/роутеру, получает айпишник 10.10.10.7 и теперь я могу с помощью RDP заходить на рабочий комп (192.168.0.7), но! Хотелось бы его разбудить предварительно, а не получается Если я захожу на железку (MikroTik) которая подключена к локальной сети в конторе и оттуда из терминала даю команду wol то все окей, комп просыпается. А вот если с домашнего компа то не разбудить %)

Добавлено:
Tihon_one
если я с помощью утилиты на любом компе из локалки в конторе пытаюсь разбудить любой конторский комп, то все так же прекрасно будится! Но вот удалённо - никак.

Serg0FFan
чувак, чтобы это работало надо чтобы KControl был бы arp-proxy но он таковым не является, в чём проблема запускать эту WoL утилиту с самого шлюза? - написать скриптик, который по сети будет запускать команду на запуск утилиты и всё.

Tihon_one
Проблема в том чувак , что "будить" комп нужно простому рядовому юзверю из дома, а давать ему доступ к роутеру как то не хотелось бы.

Добавлено:
И еще интересно как дать доступ к этому скриптику? Варианты реализации интересуют.

Serg0FFan
Я с телефона (Android) бужу рабочий (openvpn) запуском терминальной сессии в которой в автозагрузке выполняется скрипт WOL и выход из сессии.

[more] Именется компьютер который выступает в роли "Сервера", в нем две сетевые карты, 1-я принимает интернет от провайдера по DHCP, 2-я раздает этот интернет на внутрисеть. ОС Windows 8.1 64-bit, Версия Kerio 7.4.2 build 5136 (впрочем и то и другое никакого отношение к проблеме не имеют, т.к. она одна и та же на любых версиях).
Проблема состоит в том что не возможно нескольким игрокам из моей локалки подключиться к одному и тому же или 2 разным NoSteam/Steam серверам, при попытке подключиться второму игроку сразу же обоих выкидывает (точнее первого выкидывает, а второго вообще не пускает). Имеется в наличии железный роутер который используется как инет шлюз для Wifi, так вот если воткнуть в него кабель инета и подключить к нему всю локалку то проблем нету с игрой в CS:S. Методом долгого и нудного поиска в гуглах решения проблемы не нашел, разве что намек на проблему на уровне uPnP и NAT, включение или отключение первого ничего не дало.
Если кто сможет, помогите!, неужели в кривой аппаратной железке больше возможностей чем в Kerio, я на 100% уверен что пробема решается настройками, но увы я сетях хоть и шарю, но не во всем.

Вот на всякий случай файл с Ipconfig /all - Ipconfig.txt - http://yadi.sk/d/DGDfYqwCAc5zv
И скрин с настроек Kerio
http://i59.fastpic.ru/big/2013/1001/c7/4adfefd6326bcf6e17137584f36a97c7.png [/more]

Serg0FFan
обменялись любезностями 8)) прошу простить за фамильярность, немного устал к концу рабочего дня.
В целом твои желания никак не меняют сложившейся действительность, что в случае с микротиком что в случае с контролм это будет работать только с хоста из одного сегмента лвс, если надо запускать вол из других, физически отделённых сегментов, надо либо иметь arp-proxy на шлюзе либо делать что предлагаю тебе я или уважаемый fedmun, ну или что-то третье, в любом случае помощь тебе оказали, а именно точно сказали, что копать надо в другом направлении...;)

[more] Именется компьютер который выступает в роли "Сервера", в нем две сетевые карты, 1-я принимает интернет от провайдера по DHCP, 2-я раздает этот интернет на внутрисеть. ОС Windows 8.1 64-bit, Версия Kerio 7.4.2 build 5136 (впрочем и то и другое никакого отношение к проблеме не имеют, т.к. она одна и та же на любых версиях).
Проблема состоит в том что не возможно нескольким игрокам из моей локалки подключиться к одному и тому же или 2 разным NoSteam/Steam серверам, при попытке подключиться второму игроку сразу же обоих выкидывает (точнее первого выкидывает, а второго вообще не пускает). Имеется в наличии железный роутер который используется как инет шлюз для Wifi, так вот если воткнуть в него кабель инета и подключить к нему всю локалку то проблем нету с игрой в CS:S. Методом долгого и нудного поиска в гуглах решения проблемы не нашел, разве что намек на проблему на уровне uPnP и NAT, включение или отключение первого ничего не дало.
Если кто сможет, помогите!, неужели в кривой аппаратной железке больше возможностей чем в Kerio, я на 100% уверен что пробема решается настройками, но увы я сетях хоть и шарю, но не во всем.

Вот на всякий случай файл с Ipconfig /all - Ipconfig.txt - http://yadi.sk/d/DGDfYqwCAc5zv
И скрин с настроек Kerio
http://i59.fastpic.ru/big/2013/1001/c7/4adfefd6326bcf6e17137584f36a97c7.png [/more]

Offtopic - разрекламирую работу друга своего.
Тоже была задача будить сервер - на заказ мой товарищ делал плату, которая подключалась к телефонной линии, и кнопкам Power и Reset на матплате и воcпринимала из телефонной линии DTMF сигналы. То есть звонишь с мобильного на городской номер - слышишь пару писков от неё о готовности принимать команды - вводишь с клавиатуры телефона * и пару цифр - она выключала управляла сигналом Power/Reset ну и к ней снаружи был прицеплен сетевой фильтр с пятью розетками, которым по определённой команде она тоже рулила. То есть можно было включить/выключить/перезагрузить сервер или перезагрузить внешний ADSL модем воткнутый в сетевой фильтр.

fedmun
интересная мысль, спасибо.
Tihon_one
да уж, обменялись НУ в принципе наиболее простой способ, сделать запуск скрипта в терминале, вот им и займусь Благодарю за помощь!

Господа, приветствую.
в логах Security с недавнего времени поперли строки, типа:
[5/Oct/2013 11:18:03] IPS: Port Scan, protocol: UDP, source: 192.168.0.50, destination: 195.218.173.234, 255.255.255.255, ..., ports: 17500, 43878, 43879, 43880, 43881, 43882, 43883, 43884, 43885, 43886, ...
[5/Oct/2013 11:21:20] IPS: Port Scan, protocol: UDP, source: 192.168.0.50, destination: 195.218.173.234, ports: 48796, 48797, 48798, 48799, 48800, 48801, 48802, 48803, 48804, 48805, ...
[5/Oct/2013 11:21:38] IPS: Port Scan, protocol: UDP, source: 192.168.0.51, destination: 109.188.127.128, 192.168.22.129, ..., ports: 7426, 45433, 51932, 51933, 51934, 51935, 51936, 51937, 51938, 51939, ...
[5/Oct/2013 11:34:36] IPS: Port Scan, protocol: UDP, source: 192.168.0.50, destination: 192.168.0.1, 195.218.173.234, 192.168.0.255, 255.255.255.255, ..., ports: 53, 33598, 57152, 57153, 57154, 57155, 57156, 57157, 17500, 52986, ...

Причем сканят как во вне, так и другие машины в сети. ладно, 0.51 это wndows и его прогонял и касперским, и др.вебом, и стингером от макафи, и авз - чисто. в процессах от ProcessExplorer и AnVir Task Manager 7.5.2 ничего подозрительного, но скан зачастую появляется вновь. хуже, что 0.50 это Maс OS X и вот что в мак оси может за дрянь сидеть ума не приложу. включил на маке брандмауэр встроенный и даже sophos скачал и прогнал им - пусто.

Кто-нибудь сталкивался с подобным и как лечились?

Funt44

Постоянно похожая фигня с одной разницей, у меня IPS: Port Scan, protocol: TCP, source
как из машин внутри сети (проверены, ничего лишнего там нет) так и из вне, откуда это понять не могу, пока смирился.

borisdenis
и TCP тоже проскакивает, но чаще все же UDP.
две недели бодаюсь и пока безрезультатно, все идеи исчерпал.
Надеюсь тут кто чего посоветует еще.

Цитата:

Надеюсь тут кто чего посоветует еще.

Тоже надеюсь, но самое интересно в числе сканирующих порты иногда проскакивает мой телефон (андроид не рутованный, без лишнего софта), к нему привязан айпи по маку и никто другой его занять не может. Поэтому есть мысль что это глюк ломанного керио.

Кто сталкивался с фильтрацией по MAC, когда ставлю белый список и ставлю свой мак - блокирует доступ в интернет. В чем может косяк быть?

VOLVO Скрин дай.

[more] Фабула:

Kerio Control
8.1.0 build 845
Имя хоста
control
Операционная система
Linux

Kerio vpn client
ГИП: 8.1.1.1019
Служба: 8.1.1 patch 1 build 1019
Драйвер: 7.4.0.4517

попытка получить доступ на ресурсы локальной сети.

vpn сервер настроен и запущен IPsec + Kerio VPN, все правила и настройки сделаны по достаточно корректному ману отсюда: http://habrahabr.ru/post/192246/

Проблема:

1. При авторизации с помощью L2TP соединение происходит, но не авторизуется, ошибка 789, на уровне безопасности во время согласований с сервером VPN.

2. При авторизации через Kerio VPN Client соединяется, авторизуется и видится в обе стороны, но даже при наличии маршрутов к локальным сетям (в офисе где стоит Kerio VPN сервер) таблица с локального компа (откуда было произведено подключение)
IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.1.1 192.168.0.111 276
10.10.10.0 255.255.255.0 On-link 10.10.10.10 276
10.10.10.10 255.255.255.255 On-link 10.10.10.10 276
10.10.10.255 255.255.255.255 On-link 10.10.10.10 276
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
172.16.0.0 255.255.0.0 10.10.10.1 10.10.10.10 20
192.168.0.0 255.255.255.0 On-link 192.168.0.111 276
192.168.0.111 255.255.255.255 On-link 192.168.0.111 276
192.168.0.255 255.255.255.255 On-link 192.168.0.111 276
192.168.1.0 255.255.255.0 On-link 192.168.0.111 276
192.168.1.0 255.255.255.0 10.10.10.1 10.10.10.10 21
192.168.1.111 255.255.255.255 On-link 192.168.0.111 276
192.168.1.255 255.255.255.255 On-link 192.168.0.111 276
192.168.2.0 255.255.255.0 10.10.10.1 10.10.10.10 20
192.168.3.0 255.255.255.0 10.10.10.1 10.10.10.10 20
192.168.10.0 255.255.255.0 On-link 192.168.0.111 276
192.168.10.111 255.255.255.255 On-link 192.168.0.111 276
192.168.10.255 255.255.255.255 On-link 192.168.0.111 276
192.168.56.0 255.255.255.0 On-link 192.168.56.1 276
192.168.56.1 255.255.255.255 On-link 192.168.56.1 276
192.168.56.255 255.255.255.255 On-link 192.168.56.1 276
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 10.10.10.10 276
224.0.0.0 240.0.0.0 On-link 192.168.56.1 276
224.0.0.0 240.0.0.0 On-link 192.168.0.111 276
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 10.10.10.10 276
255.255.255.255 255.255.255.255 On-link 192.168.56.1 276
255.255.255.255 255.255.255.255 On-link 192.168.0.111 276
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 192.168.1.1 По умолчанию
192.168.1.0 255.255.255.0 10.10.10.1 1

и ручками забитому постоянному маршруту, ни 1 хост кроме самого сервера не отзывается.

P.S. при добавлении дополнительного правила в Kerio control

vpn_2_local Клиенты VPN 10.10.10.166 Любой Разрешить MAP 192.168.1.166

начинают ходить пинги и прочий траффик, но нужно более адекватное решение проблемы. т.к. на заданном хосте (на который и будут ломиться VPN клиенты) поднят небольшой http с одной специальной страничкой, на которую и нужно организовать заход от vpn клиента
[/more]

VOLVO
включать мак-фильтр нужно ТОЛЬКО для "локальных" интерфейсов, это так?

вопрос по KWF 6
между офисом и складом есть настроенный VPN туннель. (и там и там стоит KWF 6)
На офисе есть резервный интернет с другим провайдером и другим IP соответственно.
Хотел настроить второй канал. Создав второй туннель с другим IP, повводил отпечатки пальцев сертификата SSL локал и удаленки и говорит что такой уже есть. Ну да отпечатки такие есть, но IP же другой.
Как быть что-то не придумаю?

Maza777
всё просто, обновляться до версии 8.1


Цитата:

Ну да отпечатки такие есть, но IP же другой.

зачем, в случае если один и тот же отпечаток может быть у разных IP адресов, эта безопасность вообще нужна?

есть вопрос
в 7.3.2 по ifconfig было "inet addr:10.30.1.25 Bcast:10.30.1.255 Mask:255.255.255.0"
поднял версию до 7.4.2 и стало "inet addr:10.30.1.25 Bcast:0.0.0.0 Mask:255.255.255.0"
8.1.0, 8.2.0 аналогично.
Это фича или баг?
И так на всех хардварных интерфейсах. На VPN - всё нормально Bcast - правильный.
Ну и тормозит страшно, даже при отключенном Вэб-фильтре.

Maza777

Цитата:

Как быть что-то не придумаю?

Подымай до 7-ки и в режим резервирования свой офис. VPN-сервер в активный режим, а на складе - в пассивный. и будет шасте.

Ну и по поводу отпечатков. Это опечатки не IP, а твоих ВПН серверов. Сертификат у них там есть. Генерился на автомате, либо в ручную.
Грубо говоря при создании туннеля серверу в пассивном режиме пофигу с какого IP к нему подключаются. Он своего опознаёт по отпечатку.
Удобно если с одной стороны статика, а с другой динамика. (про dyndns молчу, тоже есть вариант, тем более керия умеет и с ним, и с no-ip, и с changeIP работать).

VadimOS
обновитесь до 8.1 там есть полноценная поддержка резервных линий для VPN туннелей и VPN клиентов.

спасибо за ответы, буду думать

Tihon_one

Цитата:

VadimOS
обновитесь до 8.1 там есть полноценная поддержка резервных линий для VPN туннелей и VPN клиентов.

У меня несколько другая трудность. VPN туннели работают нормально и на 7.3.2. Хочу перейти на 8.1.х только из-за возможности поднятия VPN по PPTP для смартфонов и т.д., без VPN-клиента от керии.

Но!
Цитата:

в 7.3.2 по ifconfig было
"lan addr:10.30.1.25 Bcast:10.30.1.255 Mask:255.255.255.0"
поднял версию до 7.4.2 и стало
"lan addr:10.30.1.25  Bcast:0.0.0.0  Mask:255.255.255.0"
8.1.х, 8.2.0 аналогично.

если у Вас 8.1 не могли бы вы глянуть, чтобы мне понять у всех так или я один такой "одарённый".
Такая беда на всех сетевых (3 шт.), причем неважно ручками задаёшь адрес-маску или по DHCP получаешь.

Hello,
for many long time ago and older version of kerio to latest, I have a same problem that is:
after patch and apply licence to kw(control) it work fine for 1~2 day(s) and a after spend those time don't work properly: the client gateway is kerio and they can ping that but client can't surf internet! in the active sessions of kerio client connection can be shown but no data transfer and it seem kerio stop NAT process! and many connections (almost 40) inactive session established to unknow ip at usa as ssl type!!

But when I user trial 30 days it work fine all around trial period!!

I think the path don't kill activation server checking so kerio detect illegal usage and stop working... (NAT in my case)

Can any body explain to me why it happened and who to solve it please?

Thank you

Господа подскажите пожалуйста по поводу установки Kerio Connect 8.0.2.117 под Linux (CentOS 6.4)
Делаю все по мануалу с оф.сайта.
Ссылка
В мануале написано
sudo yum install glibc.i686 libglibc.i686 libuuid.i686 zlib.i686 libstdc++.i686

Все скачиваеться и устанавливается кроме libglibc.i686 не могу найти где скачать..?
Буду благодарен за помощь.