» Kerio Control (ex Kerio WinRoute Firewall)

Цитата:

подскажите пожалуйста может у кого было, есть сеть 10 машин, всё нормально, но вот с одной машины в большей части времени нету интернета, пинг не проходит до самого керио, правда иногда прорывает на пару минут, но потом опять тишина, если же с самого керио пинговать эту машину, то всё приходит в норму, что делать и куда рыть, народ хелпппп
 
версия керио Kerio Control Software Appliance 8.1.0 Build 845 (6/25/2013) Linux
обновился до последней, 8.2.1 те же грабли

Цитата:

artsiom82
 
подключи др.комп и проверь. похоже проблема либо в патч корде либо в порте патч-панели/свитча

Цитата:

artsiom82
уточника сколько сетевых интерфейсов на контроле, и не подключены ли они все в один свитч?

Цитата:

artsiom82
ты не ответил на мой вопрос, но я предполагаю, что ответ положительный, тогда проверь следующим образом, на машине, где НЕ работает временами, выполни команду arp -a, и сравни сохранённый MAC адрес для локального IP контрола с тем, который присвоен этой сетевухе на виртуальном хосте самого контрола, я предполагаю, ты увидишь разночтений, коих быть не должно, что характерно для такого рода проблем, это при запуске обратных пингов всё начинает работать.(это говорит о замещении неверной arp записи)
Проверь тогда всё, если я прав, то поясню с чем это связанно и как можно решить.

Цитата:

Tihon_one

Цитата:
 
ты не ответил на мой вопрос, но я предполагаю, что ответ положительный, тогда проверь следующим образом, на машине, где НЕ работает временами, выполни команду arp -a, и сравни сохранённый MAC адрес для локального IP контрола с тем, который присвоен этой сетевухе на виртуальном хосте самого контрола, я предполагаю, ты увидишь разночтений, коих быть не должно, что характерно для такого рода проблем, это при запуске обратных пингов всё начинает работать.(это говорит о замещении неверной arp записи)  
Проверь тогда всё, если я прав, то поясню с чем это связанно и как можно решить.

завтра проверю,
я что то подумал, что указав хипер в станет ясно, что смотри в одну сеть, счас вспомнил что можно привязывать интерфейсы к машине
да пдключен к одному свитчу.ю так как все организовано через хипер в и через одну реальну. сетевуху, завтра посмотрю, и напиши плз как это исправить и почему не работает только один комп а остальные пашут?

Цитата:

artsiom82
ну я так и предполагал, но ты всё таки проверь те моменты которые я озвучил и запости результат сюда, если всё подтвердиться, то всё распишу.

Проверил, так и есть... раскажи плс как попрравить

Psihron
ну поставь ротацию именно этого лога пореже.

Добавлено:
artsiom82
это ты мне? 8))

Была ли у кого трабла с тем, что керио не видит сетевуху? Добавил одну на pci express, а он, зараза, ее просто не видит.

V2tyas
версия керио и какая сетевуха(чип)?

8.4.0, DGE-560T
Проверил на винде, работает.

V2tyas
Поддерживается ли железо заранее можно проверить здесь
Источник соответственно здесь.

Это я на сайте их нашел. Только по ссылке d-link'a вообще нет.

V2tyas
не D-Link, а по чипу ищи, и по Linux kernel version 3.12. Hardware supported by this kernel is required.
другое дело, что идеология керио не позволяет добавлять драйвера...
если у тебя новая ревизия сетевухи - это RTL8168E, если старая - Marvell 88E8052

И это смотрел Ни релтека ни марвела нет... В любом случае, если свои дрова добавить нельзя, то смысла в поиске по таблицам совместимости нет.

Подскажите, ситуация следующая: пользователи научились обходить http привила через анонимную сеть, через протокол TLS, как закрыть эту дыру? блокировать по ip не вариант, блокируешь один сервер, прога переключается на другой.

almunia
1. На уровне директора составляете внутренний документ согласно которому любой, кто будет замечен в использовании подобного ПО - будет уволен. Если директор этого не хочет, то предупреждаешь его что это приведет к проблемам по безопасности(через месяц роняешь какую-нибудь некритичную машину и пугаешь началом апокалипсиса)
2. Рубишь политиками запуск ПО на компах

Цитата:

obtim

данные варианты не пройдут:
1) мы не настолько секретное предприятие
2) нужно составлять дополнительную бумагу, опять же мы не настолько секретное предприятие

средствами керио этого сделать нельзя ?

almunia
Разреши всем пользователь только yandex.ru по http протоколу, потом открывай только те сайты, на которые им надо.
P.S. Если вы не "секретное" предприятие, то зачем ограничивать пользователей?

Цитата:

obtim

не настолько секретное что бы ограничивать в правах на рабочих машинах
Была бы моя воля я и флешки бы по блокировал, что бы не совали что попало, а потом кричат "у меня вирус наверное", и пользователям права дал только гостевые, но к сожалению на такое руководство не пойдет.

Добавлено:
им соц сети нужны, и научились пользоватся этой дырой и теперь опять вся работа только в соц сети

almunia
Намека вы не поняли, расписываю на пальцах
1. Приходите к начальству и объясняете, что при существующей системе вы не можете контролировать действия сотрудников. а это черевато появлением вирусов(основанных на социальной инженерии) и забиванием интернет канала. Для того, чтобы это изменить надо на выбор:
1.1. ввести ответственность за забивание канала(по объему или колличеству запросов) - если все правильно настроено, то сможете снять статистику по конкретному пользователю в Kerio
1.2. ввести ответственность за заражение рабочих машин вирусами основанными на социальной инженерии(в этом случае пользователь сам принимает ответственность за запуск вируса)
2. Если начальство вас не слышит, то по Kerio смотрите самого активного пользователя(по объему или по колличеству обращений). "Роняете" его машину на пару дней. Простой машины объясняете тем, что надо вытаскивать информацию. По окончанию показываете руководству хистори этого индивидаи говорите название какого-нибудь страшного вируса(желательно шифровальщика). Пугаете тем, что в следующий раз поднять машину не сможете.

Поймите, что при существующей системе вы будете бороться с ветренными мельницами.

almunia, он тебе просто предложил наиболее просто вариант. Кстати, а причем тут секретность? Политики настраиваются без всяких затыков и в данном случае будут очень эффективны. Бумага хоть и более муторное средство но тоже ничего. Одного-двух наказывают и остальные вдруг начинают понимать, что работать нужно сидеть.

Цитата:

Добавлено:
artsiom82
это ты мне? 8))

Tihon_one
Конечно, помоги плс, где что поправить?

Tihon_one, а вот так писать не нужно было:

Цитата:

что характерно для такого рода проблем, это при запуске обратных пингов всё начинает работать.(это говорит о замещении неверной arp записи)
Проверь тогда всё, если я прав, то поясню с чем это связанно и как можно решить

Мне тоже интересно

Беда, поставил версию керио 8.4.0 build 2650 - не удается подключиться ни к одному внешнему FTP серверу. Правила настроено, все что мог сделать вроде сделал - отключал инспектора, антивирус, систему предотвращения вторжений - ничего не помогает... Кто-нибудь сталкивался? Знает как исправить?

Короче, проблема была не в Керио, а в настройках Juniper SRX... Эх, столько провозился греша на Керио...

artsiom82
MAGNet
ну вы проснулись, это относилось к бородатой версии, сейчас у artsiom82 какая стоит? надо перекопать свою базу, поднять описание проблемы.

доброго дня.
вопрос есть простейший
для входящей почты exch 2013 достаточно 25 порта ?
не заходит почта, на Helo откликается и через несколько секунд рвёт подключение.
правда там на пути до почтаря ещё циски в вланами.
не пойму где копать.

SAA
Хоть и офтопик - Вы до какой роли пытаетесь достучаться - если Edge Transport (отдельно стоящий SMTP не в домене - то хватит), а если до самого ексченджа - то он по идее не даст принимать все подряд...

сервак в домене, единственный.
теоретически только 25 порт.

Всем привет. Перечитал и перепробовал уже все возможное, каким образом можно заблокировать teamviewer в kerio control 8.2, тупо закрыть http и https нельзя, по имени процесса kerio тоже не умеет отслеживать, а список ip серверов постоянно меняется?!

Цитата:

а список ip серверов постоянно меняется?!

ну не так часто он и меняется, смотрите в базе знаний керио, там была статья на русском по этой теме.

Например, тут

1 это виртуалка - которая работает и выполняет все функции
http://www.picshare.ru/uploads/141030/fBS88J3tW5.jpg

а это железо (сервер) на который ничего не навешано кроме списка пользователей, и он еще даже не работает (к ниму еще никто и ничего не подключено)
http://www.picshare.ru/uploads/141030/rj52U3kkci.jpg

В чем проблема ?
KC 8.4.0

BadBugs
в шел зайти можешь, глянь top, что там пишет?

Tihon_one
http://www.picshare.ru/uploads/141031/685cyde6wJ.jpg

Всем привет, стоит версия Контрола 7.2.1 ломана лицензией, но не работает Веб фильтр, с торентов отправили на рубоард, сказали что тут есть инструкция по взлому с работающим фильтром, а то получается смысл от такого фаервола какой, если даже доступ на сайты не закрыть (