» Kerio Control (ex Kerio WinRoute Firewall)

Простите за глупый вопрос. Перехожу с версии под виндовс. Ставлю на виртуальную машину Windows server 2012 r2 версию 8.4.1. Действую по схеме Jack0802 http://forum.ru-board.com/topic.cgi?forum=35&topic=52631&start=2362
(с сайта KERIO скачал для ОС software appliance ). Всё получается. Только я никак не допру, как сделать три сетевых интерфейса (локальный и два интернета), если виртуальная машина Windows server 2012 r2 разрешает только один интерфейс. С трёх локальных создал три виртуальных внешних. В свойствах WM можно выбрать любой, но один

Создал, допустим, два сетевых интерфейса. А подключить можно только один из них
http://s019.radikal.ru/i632/1410/63/b5be52ed3cde.jpg

Кто-нибудь использовал новую функцию на керио 8.4 под названием гостевой доступ!?
Подробнее о её развертывании напишите, кто уже делал!)

Tihon_one

Цитата:

artsiom82 MAGNet ну вы проснулись, это относилось к бородатой версии, сейчас у artsiom82 какая стоит? надо перекопать свою базу, поднять описание проблемы.

проблема актуальна для Kerio Control 8.3.3 build 2342, помогите пожалуйста, уже всё что можно перечитал, нигде похожео нету...

Цитата:

Кто-нибудь использовал новую функцию на керио 8.4 под названием гостевой доступ!?
Подробнее о её развертывании напишите, кто уже делал!)

тоже бы с радостью почитал про настройку этой фишки, нужна ли она так сильно.

mettall
Craager
вебинар от кериотов последний смотрели?

Добавлено:
artsiom82

Цитата:

проблема актуальна для Kerio Control 8.3.3 build 2342,

ооочень сомнительно, т.к. тот косяк исправили уже давно, ты проверь следующее, когда теряешь связь со шлюзом, какой мак определяется для IP контрола, к которому потерян доступ? Потом сличи со списком маков на самом шлюзе, инфу кинь в личку или сюда, не важно.

P.S.>>кряк\не кряк?

Уважаемые форумчане подскажите пожалуйста, а можно в керио сделать такую настройку, чтобы одни пользователи ходили через одного провайдера а другие через второго. У меня проксик на работе с 3-мя сетевухами, одна в доменную сеть идёт, а остальные в инет от билайна и ростелкома. Я пока что настроил вариант с балансировкой нагрузки, но можно ли сделать распределение в ручную? Если да то в двух словах как пожалуйста.

sharkmax

Элементарно, imho. Два отдельных правила по нужным группам пользователей в каждом НАТ, но не группу интерфейсов "балансировка", а конкретно на соответствующий интерфейс.

А как быть с балансировкой? такой режим и оставлять?

Скажите у Керио какие правила быстрее работают?
Те, которые Traffic Policy? Или те, которые Content Filtering?
По идее наверное политики трафика, но хотелось бы знать точнее...
Просто многим надо блокировать буквально пару-тройку сайтов, зачем тогда разбирать что именно в тех сайтах?

Iacoyn
порядок такой
IDS
Traffic rules
Content filter

Цитата:

Элементарно, imho. Два отдельных правила по нужным группам пользователей в каждом НАТ, но не группу интерфейсов "балансировка", а конкретно на соответствующий интерфейс.

В общем я сделал как вы написали, но никак не получается заставить свой комп уходить в нужный шлюз, делаю трасеровку и все равно идёт не по туда по куда нужно, подскажите что делаю не так.

sharkmax
скрин настройки покажи.

Ан нет все заработало, прошу прощения, видимо сам керио тупит, после многократного переключения вариантов NAT интерфейса в политиках трафика, в какой-то момент все само заработало. Всем спасибо.

Помогите с проблемой лицензии
Поставил пару месяцев назад керио винроуте 8.3.3 с левой лицензией все работало и даже обновился самостоятельно, пару дней назад выдало сообщение что лицензия закончится через 4 дня. подкидывал новые ключи не чего не изменилось, пробовал через ukaip_i686 все ровно не помогло. подскажите что еще можно попробывать

gashish32
Купи лицензию. или спрашивай в спец разделе

С удивлением сегодня обнаружил что в Керио Контрол 8 правила из раздела "Фильтрация содержимого" в частности группа запрещенных URL не работают с трафиком, проходящим через правило NAT в разделе "Правила трафика". А работают только при подключении к прокси керио.
Кто сталкивался с подобным? где может быть косяк? или так и должно быть?

Dr_Spectre
нет так не должно быть, без подробного описания конфигурации понять что-то очень сложно

Цитата:

нет так не должно быть, без подробного описания конфигурации понять что-то очень сложно

Разобрался.
Соединение идет по ip адресу (в процессе соединения dns имя не используется) - а затем уже в логах он через dns сервер превращается в имя.
Поэтому мне и показалось что правила не работают-ибо DNS имя был в списке запрета.

Tihon_one

Цитата:

ооочень сомнительно, т.к. тот косяк исправили уже давно, ты проверь следующее, когда теряешь связь со шлюзом, какой мак определяется для IP контрола, к которому потерян доступ? Потом сличи со списком маков на самом шлюзе, инфу кинь в личку или сюда, не важно.

маки разные как я уже и говорил выше, мне нету смысла врать про проблему, она реально существует
кряк

Всем низкого пинга, господа. Может, вопрос уже поднимался (либо я хреново искал), но подниму его ещё раз...
Оборудования на фирме достаточно много, поэтому имеются четыре подсети (0~3) с маской 255.255.252.0. Соответственно, в DHCP КК прописан диапазон выдачи адресов с 0.11 по 3.254. Между тем, в последнее время КК постоянно кричит, что "диапазон 192.168.0.0 исчерпан", и с выдачей адресов происходит что-то неясное (как минимум, выдача адресов по загрузке через PXE в подсети, отличные от нулевой, не производится). Куда рыть?

ShadowDweller
версия контрола какая? Я бы начал рыть с конфига, а именно что там у него по DHCP скопам есть.

artsiom82
да я не обвиняю, просто фиг его знает что там с этим кряком происходит, т.к. этого косяка явно не в нормальной версии. Короче я сча поищу старое исправление которое применял у себя и сюда кину, не гарантирую сроки - давно дело было. 8)

Добавлено:
artsiom82
тебе везёт:
вот команда, надо запустить в шеле: echo 1 > /proc/sys/net/ipv4/conf/all/arp_filter

Однако, это тоже может повлечь свои косяки, короче надо тебе сделать так, чтобы интерфейсы контрола не смотрели в общий езернет, тогда этой команды можно не запускать.

Разобрался, спасибо. Я в таблицу исключений заглянуть не догадался. Один хитрожопый соадмин вбил на все три подсети исключения, а мне сообщить не почесался. -_-

Ещё родился вопрос, как поставить на входящих интерфейсах IP гугловского DNS?

Web Interface - Interfaces - ваш интернет интерфейс - свойства - вписываете что хотите на вкладке IPv4
или в разделе DNS добавляете исключения

Iacoyn
Это включить пользовательскую переадресацию DNS?

Здравствуйте, форумчане.
Стоит Linux Kerio Control 8.4.0
Не могу из под Windows 8.1 со строенным vpn подключиться через l2tp.
IPSec службы в правилах выставлены как положено.
MS-CHAP v2 тоже вкл и ввод ключа тоже проделан в подключении VPN-Сервер.
Проверял на Win 7 и Mac OS X 11, прекрасно подключается.
На Win 8.1 ни в какую и выдаёт ошибку 789 при попытке подключения.
Порты тоже открыл UDP: 4500, 4090, 500, 1701; со стороны клиентского компьютера, так как комп за роутером.

В общем даже в реестре покопался и вкл ProhibitIpSec =1 и выкл.
И AllowL2TPWeakCrypto =1 тоже вкл. (что в итоге выдаёт ошибку 809)
Ничего толком не помогает. Подскажите что делать? Хотя бы понятно что проблема в последней версии Win'ды.

legionpheonix
Цитата:

Здравствуйте, форумчане.
Стоит Linux Kerio Control 8.4.0
Не могу из под Windows 8.1 со строенным vpn подключиться через l2tp.
IPSec службы в правилах выставлены как положено.
MS-CHAP v2 тоже вкл и ввод ключа тоже проделан в подключении VPN-Сервер.
Проверял на Win 7 и Mac OS X 11, прекрасно подключается.
На Win 8.1 ни в какую и выдаёт ошибку 789 при попытке подключения.
Порты тоже открыл UDP: 4500, 4090, 500, 1701; со стороны клиентского компьютера, так как комп за роутером.

В общем даже в реестре покопался и вкл ProhibitIpSec =1 и выкл.
И AllowL2TPWeakCrypto =1 тоже вкл. (что в итоге выдаёт ошибку 809)
Ничего толком не помогает. Подскажите что делать? Хотя бы понятно что проблема в последней версии Win'ды.

Проверьте, что на компьютере запущена служба «Модули ключей IPSec для обмена ключами в интернете и протокола IP с проверкой подлинности»
Проверьте, что на компьютере снята галочка с пункта «Протокол Интернета версии 6 (TCP/IPv6)»

Цитата:

Проверьте, что на компьютере запущена служба «Модули ключей IPSec для обмена ключами в интернете и протокола IP с проверкой подлинности»
Проверьте, что на компьютере снята галочка с пункта «Протокол Интернета версии 6 (TCP/IPv6)»

Службу проверял, вкл.
IPv6 тоже галка снималась.
Так что куда только я не лазил.

Гуру подскажите, KC не хочет открывать сайты типа "7645321.ru", как это можно победить?
Прокси - прозрачный

stalklab

Такие сайты рубит служба предотвращения вторжений (snort).
По простому - выключать ее на время хождения на такие сайты.
По сложному - разбираться с "исключениями" в ее конфигурации