» Kerio Control (ex Kerio WinRoute Firewall)

внешний IP белый? если да, то скинь в личку - посмотрим что там у тебя открыто.
есть мнение, что керио там лишний. у тебя получается двойная трансляция - первым шлюзом выступает модем, а вторым сам керио. заче тебе такие сложности?
можно ли твой модем перевести в режим моста, а не шлюза, чтоб на инетовском интерфейсе керои был реальный интернетовский адрес?
..либо вообще исключай керио из этой цепочки - он там лишний, ИМХО.

del please

Kerio Control 8.1.1, интернет через PPTP(поднимается на Kerio), есть ли в нем WatchDog или что-то похожее, чтобы передергивать подключение к интернету при отсутствии пинга?

nsw88
http://debuntu.ru/note/software-watchdog-dlya-servera-debian

народ, подскажите, требуется через керио установить связь по SIP протоколу с сетью сотового провайдера. Создал такое правило:
Источник: IP Voip девайса
Назначение: IP адрес сотового провайдера
Служба: SIP
Трансляция: NAT
Инспектор: SIP

Этого достаточно?

Подскажите, плиз, по настройке Kerio Control 8.3.3:
1. Есть сервер с Win2012. На нем поднят домен и DNS.
2. Отдельная виртуальная машина с Kerio Control 8.3.3 с двумя сетевыми картами: одна с чистым внешним IP. другая смотрит в локаль (подсеть 192.168.1.0). Kerio введен в домен.
3. При поднимании VPN через Kerio, VPN клиенты получают ip адреса предложенные Kerio (подсеть 10.253.42.0).
4. Пинги от vpn клиентов по ip адресам проходят нормально
5. FQDN адреса также резолвятся.
Но короткие имена не резолвятся вовсе.
В чем может быть проблема?

Ищу замену MS TMG/UAG (а может чуть больше) на Win2008R2, нужно:
1. Обязательно - Установка Kerio на Win2008R2 в том числе на Win2008R2 DC;
2. Обязательно - Защита (отдельно) самого сервера, с установленным Kerio, то есть "регулирование" по портам и/или протоколам, что-то вроде: Internal->Local Host И/ИЛИ Local Host->Internal (для отдельных портов и/или отдельных протоколов, в том числе разрешить/запретить все) . При этом, обязательно, не зависимо от сети отправителя (включая сам сервер) и сети получателя (включая сам сервер) , с возможностью включения по отдельным (выбранным) протоколам multicast/broadcast пакетов (например NetBios, Dhcp и прочие) , причем как Net broadcast (например 192.168.0.255) , так и Restricted broadcast (255.255.255.255) . Обязательно наличие Routing' a и Nat между сетями.
3. Обязательно - "Работа" с портами: то, что называется SNAT, DNAT по адресам и\или портам;
4. Очень желательно - multicast/broadcast через Vpn соединения (pptp/l2tp/ipsec) ;
5. Очень желательно - "Шейпер" по каждому каналу и/или подключенному компьютеру/пользователю;
6. Очень желательно - наличие mmc управления + к Web GUI;
7. Желательно - Авторизация по Ip/Mac;
8. Желательно - Резервирование каналов: "упал" основной, переключение на другой;

Может кто-нибудь сказать, что может Kerio и может ли он такое (по пунктам) ?

И начиная с какой версии ?

Vxd2000

Цитата:

Обязательно - Установка Kerio на Win2008R2

Сразу нет.
Всё остальное может кроме вытекающего наличие mmc управления

Начиная с 8-й версии Kerio поставляется исключительно на платформе Debian.
Если нужно мастдайное поделие, то это не KerioControl - это Kerio Firewall старых версий, но про его возможности я не стану говорить - не обладаю должным уровнем некромантии.

MAGNet, до 7.4.2 версии почти все есть (кроме mmc и mac) . Вяснил в самом Kerio.

Граждане кто может из Форумчан помочь с настройкой двух провайдеров в балансировке, мудохаюсь уже не первый месяц приобрел даже два keenetic dsl для того чтобы поднять pptp до провайдера . все ровно интернет ходит коряво, 443 порт по непонятным причинам ходит через раз, с аутентификацией на сайтах и почтой периодический траблы , если модемы в режиме моста то вместе два интернет провайдера не работают один провайдер PPTP другой PPOE так вот если два одновременно, PPTP сразу загибается и техподдержка отвечает что к ним в сеть ломиться другой провайдер тот что на PPOE . как правильно настроить маршрутизацию в керио не пойму. Пробовал на версиях Kerio 8.3.1 и 7.4.1-7.4.2 одно и тоже.
С одним провайдером все ГУД если модем в режиме моста, с двумя ну не как.

всем добрый.
есть сеть в школе на 55 компов - сервер windows server 2003
стоит Kerio Control 7.4.2 build 5136
Для входа в инет требуется вводить логин и пароль.. НО после того как ввел один раз логин и пароль , больше не требует.. Надо сделать так, что после каждого закрытия браузера требовался ввод логина и пароль.

monah1983
Думаю надо отрубить везде всем NAT и разрешить доступ только через непрозрачный прокси, ну и выставить вот тут вот галку


Добавлено:
monah1983
Первое правило у вас лишнее, оно ничего не делает по сути (первое на последнем скриншоте).
Второе правило у вас тоже нужно подкорректировать, удалить Доверенные/локальн...
и создать список локальных IP адресов которым разрешен выход в нет по NAT вот его и добавить вместо группы Доверенные/локальн..

Добавлено:
monah1983
Если на керио поднят DHCP то в настройках можно еще добавить прокси и порт, чтобы клиенты при подключении "схватывали" адрес прокси

Применив правило конкретному пользователю через "фильтрацию содержимого" правило применяется ко всем учеткам заходившим на данный хост. кто-нибудь с этим сталкивался?

UFC01
для начала покажите правило

compupu

Detected content: Sourse: Action
Any vasya.pupkin@domain.local Allow



Но интернет появляется не только у Васи, но у всех учеток с какой не зайди на данном хосте.


ПС. под ним есть правило запрещающее всё всем

UFC01
а вы посмотрите в консоли, состояние, активные хосты, под какой учетной записью у вас сейчас пользователь? Возможно у вас просто первый авторизуется и.. так и остаётся все под его учеткой, потому и пускает везде

Serg0FFan


Спасибо, так и есть. Но как бороться с этим, чтобы при лог оффе автоматически учетка выходила из авторизации и соответственно при логоне авторизовался каждый под своей

UFC01
Как раз выше обсуждали. Наверное включить галку вот тут

И после работы заставлять пользователя закрывать браузер.
Ну еще посмотрите обязательно вот это https://kerio.adobeconnect.com/_a983021383/p5oxk3qq9cr/?launcher=false&fcsContent=true&pbMode=normal

Serg0FFan

большое спасибо. Всё попробую, отпишусь

Ребят, задача полностью прозрачная авторизация пользователей через NTML.
Тобишь юзер заходит в винду под доменной учёткой на любом компе и если у него есть права в инет, он спокойно им пользуется без вводов каких либо ещё паролей.
Такое в керио возможно ?
AD, DNS, DHCP всё на отдельном контролере домена.

xam90
да, возможно, смотреть тут:

hттp://kb.kerio.com/735
hттp://kb.kerio.com/917

Tihon_one
2-й способ почти то что нужно.
Спасибо !

Здравствуйте, может ли Kerio Control брать юзеров из домена?
И второй вопрос, допустим в локалке есть фтп сервер, в керио доступ к нему из инета настраивается на произвольный порт. Можно ли как то ограничить доступ к этому порту(фтп серверу) определённых пользователей в керио? например чтобы из 100 пользователей могли иметь доступ через интернет только пять?

Всем привет. Каким образом можно в керио заблокировать tor browser, уже всю голову сломал. Для ultraserf есть сервис, которые тупо отслеживает запуск программы и закрывает ее, а вот как tor browser закрыть?

AniQDuck

Цитата:

Здравствуйте, может ли Kerio Control брать юзеров из домена?

Страницей ранее тоже самое спрашивал и получил ответ.
Доступ по пользователям лучше бы на самой фтпе выставлять.
Но можно и через правила трафика.


Цитата:

Каким образом можно в керио заблокировать tor browser

Вкладка "предотвращение вторжения"
Чёрные списки адресов.
В самом низу есть пунктик "tor exit node"

Спасибо большое, но я так понимаю надо регулярно обновлять, по мере выхода новых серверов tor ?

electronchik
В документации к керио написано что оно обновляется раз в час.
Я предпочитаю закрывать попытки запуска тора через GPO.
Но это уже совсем другой разговор.

Цитата:

Страницей ранее тоже самое спрашивал и получил ответ.
Доступ по пользователям лучше бы на самой фтпе выставлять.
Но можно и через правила трафика.

Спасибо, ознакомился.

Ещё бы про фтп кто ответил)

Через gpo ты по сути блокируешь сам запуск файла

Цитата:

Ещё бы про фтп кто ответил)

Блин, экстрасенсы в отпуске...
Что за фтп, что умеет, кто должен к нему стучаться, почему должен стучаться...
Тут больше вопросов по фтп чем по керио.


Цитата:

Через gpo ты по сути блокируешь сам запуск файла

Немного не так, я разрешаю чем можно пользоваться. А не на оборот.
Хотя твоё утверждение тоже по сути правильное.