» Kerio Control (ex Kerio WinRoute Firewall)

obtim
думаю это лучше где-то ещё обсуждать, здесь обсуждается работа продукта а не его конкурентов.

Добавлено:
wwladimir

Цитата:

gendalfbbk
Вот здесь читаем, что изменилось в версии 8.5.1
и видим
Цитата:
OpenSSL library updated to version 1.0.1m, SSLv3 and less secure SSL ciphers were disabled

Так что, похоже, так и должно быть.

нет это НЕ так, обновление SSL НИКАК не затрагивает обратную совместимость Kerio VPN, о чём говорит возможность подключения таки с версии 7.4.2, так что это что-то у вас локально, уважаемый gendalfbbk


Добавлено:

Цитата:

Это настройки firefox или двойная авторизация при https через kerio?

сложно сказать, возможно у Вас что-то не корректно настроено в параметрах аутентификации или вообще в самих настройках.

Просьба помочь правильно настроить kerio.
Есть сеть с доменом, DNS-сервер находится на DC (контроллере домена), в качестве шлюза в Интернет используется отдельная машина с установленным Сontrol; DHCP - поднят на контролере домена.

Машины которые в домене авторизируються в Kerio при помощи скрипта который привязан к группе через политики AD, таким образом когда пользователь заходит в браузер ему не надо вводить пароль на авторизацию на хосте с керио.

Машины которые не в домене жестко привязаны по Ip-шникам и MAC. (В керио собраны в отдельную групу и ходят в инет пока так)

А как быть с теми которые подключаются через WI-FI когда они заходят в браузер им надо авторизироваться на хост с керио (можно конечно создать пользователя в AD (ограниченного) и вводить логин виду user@домен.сom это спасает но так как-то не красиво да и не безопасно.

Версия Kerio 8.5.2 build 3397.
В ней появилось такое понятие как Гостевой интерфейс и там даже можно генерировать пароль для гостевых пользователей. Вот только не пойму как это все связать....вместе...

3-ри маршрутизатора настроены в режиме точки доступа (1-одна является только точкой доступа (все получают Ip-шники из одной и той же подсетки)

Подскажите как лучше розрулить пользователей WI-FI.....Пока есть только одна идея загнать их в другу подсеть и пусть там сидять .

Заранее спасибо за помощь....

Цитата:

нет это НЕ так, обновление SSL НИКАК не затрагивает обратную совместимость Kerio VPN, о чём говорит возможность подключения таки с версии 7.4.2, так что это что-то у вас локально, уважаемый gendalfbbk

на локальную проблему никак не похоже. Я откатился на керио контрол 8.5.1 и все подключается. Все-таки наверное повлияло изменение в новой версии - OpenSSL library updated to version 1.0.1m, SSLv3 and less secure SSL ciphers were disabled

На 100% не уверен, поэтому жду комментариев тех кто с тем же столкнулся кто тестил?

кто-нибудь пробовал делать пересылку почты по vpn? установлен kerio kontrol 8.5.1 build 3235 и kerio connect 8.4.2 (4065). Все appliance.

в контроле в dns прописаны локальные адреса доменов (серверов), на которые отправляется почта.
но как ни кручу, все равно почта идет на внешние ip адреса... в какую сторону копать? на контроле 8.0.1 работало без проблем.

уважаемые знатоки Kerio 8 нужна помощь. У меня на работе установлен Kerio 8.0.1. Подскажите что конкретно означает вот это сообщение в логах Config:

[20/Apr/2015 15:22:53] "user" - UPDATE StarReports SET Enabled=1 WHERE Id=2
[20/Apr/2015 15:24:24] "user" - session closed for host 10.254.0.109
[20/Apr/2015 15:24:36] "user" - UPDATE StarReports SET Enabled=0 WHERE Id=2
[20/Apr/2015 15:39:38] "user" - session closed for host 10.254.0.109

и где можно узнать что означает значение ID=2; ID=.......

спасибо!

mazafakaz
У меня работает.
Из консоли "инструменты"-"traceroute" проверьте, что маршруты к вашим серверам идут через VPN.


LopatinS

Цитата:

Подскажите что конкретно означает вот это сообщение в логах Config:

Это значит кто то с именем %username% приходившем с адреса %addres% правил конфигурацию вашего Керио.
STAR... это раздел статистики.
Вероятно это были Вы сами...

Всем привет!

Подскажите, как правильно прописать в правилах перенаправление (мап)…
Итак, допустим в локалке поднято два веб сервера (доступ через https):
-    1) непосредственно на машине с керио (www.firma.ru или web1.firma.ru)
-    2)на сервере в локалке, IP 192.168.200.125 (web2.firma.ru)


Если прописываю правила как на скриншоте, то получаю доступ только к web2.firma.ru, даже если набираю в браузере https:\\ (www.firma.ru или web1.firma.ru)…


_________
Kerio WRF 6.7.1 patch 2 build 6544
В ДНС подняты следующие записи А:
web1.firma.ru, web2.firma.ru, www.firma.ru.

StaDen
это задача для реверсивного прокси, обновляйте контрол до, минимум, версии 8.3 и радуйтесь. ну или второй белый ип покупайте

Цитата:

обновляйте контрол

или установите nginx

Помогите разобраться с проблемой.
Kerio Control 7.4.2 build 5136, Windows Server 2003
Сеть с доменом, керио на отдельной машине, DNS на контроллере домена с пересылкой на провайдера.
Модем настроен как мост, соединение с интернеторм устанавливается из Windows.
Kerio Control стал писать в логах ошибку:
Socket error: Cannot switch destination in HTTP proxy server connection.

Сам и отвечаю, если конечно поможет, нашёл вот такой пост, здесь же на руборде:

"alex_zelenskiy

Такая была проблемка:
Система Win2003 R2 + Kerio 6.4.2 + MDaemon 9.6.4
Керио стал выдавать после сбоя:
Socket error: Cannot switch destination in HTTP proxy server connection.
Интернет работает через раз что с прокси, что без него!

Решилось вроде как ткаим образом:
1. Отключил в HTTP Policy прокси вообще.
2. Перестрартовал систему.
3. Включил прокси
3. Перезапустил службу
Думаю это внутренний баг!"

P. S. Не помогает. Как был косяк "Socket error: Cannot switch destination in HTTP proxy server connection.", так и остался. Причём сбой появился после отключения питания и теперь ни как не лечится. СЦУКОООО!!! Уже неделю этот долбаный сервер копаю

Для сведенья, замена внутренней сетевой карты (локалки) не помогла.

Цитата:

Цитата:
нет это НЕ так, обновление SSL НИКАК не затрагивает обратную совместимость Kerio VPN, о чём говорит возможность подключения таки с версии 7.4.2, так что это что-то у вас локально, уважаемый gendalfbbk

на локальную проблему никак не похоже. Я откатился на керио контрол 8.5.1 и все подключается. Все-таки наверное повлияло изменение в новой версии - OpenSSL library updated to version 1.0.1m, SSLv3 and less secure SSL ciphers were disabled

На 100% не уверен, поэтому жду комментариев тех кто с тем же столкнулся кто тестил?

тут возможно бага, ждём следующего сервисного релиза.

DSM_Fronex

Цитата:

СЦУКОООО!!! Уже неделю этот долбаный сервер копаю

я бы на вашем месте сохранил конфиги, снес бы всё ч чертям собачим (в том числе и реестр почистил) и поставил всё "с нуля".
Tihon_one

Цитата:

тут возможно бага, ждём следующего сервисного релиза

тут возможно windows...
..а зачем было пилить 8-ю версию, если 6-7 недопилены?
можете не отвечать - это был риторический вопрос - вы знаете ответ

Добавлено:
Tihon_one
вангую: скоро забросят 8-ю и начнут пилить 9-ю, основанную на "облачных технологиях" или ещё какой-нибудь хрени, базирующейся на новых технологиях, IPv6, прогнозировании запросов, туннелировании через астрал, анизотропном аннигилировании вторжения на минус втором уровне стека или...
..или успевать нужно за временем, или не пробовать за ним гнаться.
извините.

Цитата:

я бы на вашем месте сохранил конфиги, снес бы всё ч чертям собачим (в том числе и реестр почистил) и поставил всё "с нуля".

Так и сделал. Не помогло. Решил собрать из барахла другой шлюз, на него всё залью и оперативно подменю старый. И однозначно на бесперебойник!
Самое интересное, что больше года работал нормально.

DSM_Fronex
В свойствах Интернет Эксплорера на вкладке подключения случайно не прописан ещё какой-нибудь прокси сервер?
Вирусной или ещё какой?

MAGNet
не понял риторики, но в целом явно оффтоп...

Tihon_one

Цитата:

не понял риторики

Да все вы поняли, уважаемый!
Не нужно гнать сырой продукт с багами и превращать пользователей в тестеров за их же деньги

Народ нужна помощь есть Kerio Control 8.5.2 есть две сетевки


Интернет получаем через PPTP соединение, как в Kerio настроить PPTP соединение, что бы поднимало интернетЮ так же как и PPOE соединение (логин пароль)

Timocska
уважаемый, продукт прекрасный, лично меня всем устраивает, если кто-то не хочет/не умеет/не может (нужно подчеркнуть), обновить версии своих продуктов, из-за чего страдает, это не мои проблемы, и даже не проблемы вендора, лично у меня все версии актуальны и проблем с VPN туннелями не наблюдаем.

Не нравится продукт, вас же не пристегнули цепью к нему, есть множество прекрасного и главное бесплатного ПО.

Добавлено:
RAMSHIK_POGORELOV
PPTP соединение настраивается точсно так же как и PPPoE только выбирается пункт добавления соответствующего интерфейса.

в админке\ конфигурация\интерфейсы\добавить\PPTP

Tihon_one

Цитата:

тут возможно бага, ждём следующего сервисного релиза

Цитата:

продукт прекрасный, лично меня всем устраивает

Timocska
не передёргивайте, я всё пояснил, в чём может, а может и не быть баги.

Добавлено:
ну и уточните тогда, название продукта где неисправностей НЕ бывает. Я поизучаю решение...

Iacoyn


Цитата:

В свойствах Интернет Эксплорера на вкладке подключения случайно не прописан ещё какой-нибудь прокси сервер? Вирусной или ещё какой?

Нет, прокси только один 100%. Шлюз стоит на ИБП, посмотрел. С питанием ни каких проблем, выходит сервак скалечился абсолютно на ровном месте. Вечером всё было ОК, на утро пришёл - инета нет. Шлюз висит, рестартанул, инет пошёл но полезли клюки. Вот такой косяк.

DSM_Fronex
Ну ведь вполне возможна и железная проблема, ну вспух со временем кондёр на линии питания сетевой микросхемы. (к примеру)

Timocska
получается, как в анекдоте: чем этого мальчика лечить - проще нового сделать.
это, к сожалению, очень распространенный подход большинства популярных коммерческих продуктов - добавить больше свистелок и перделок для блондинок - тогда схавают. самая популярная ОС - живой вам пример.
данный же проект рассчитан на массового потребителя и опопсел окончательно.
зачем тащить в проект что-то новое вместе с новыми багами, если от старых не избавились? это был риторический вопрос.
и, да, кстати
уж извините.

Доброго дня.
Этот вопрос уже как то поднимался в теме, но про гораздо более старые(7.хх) версии. Стоит Kerio Control:8.4.1 build 2731. Проблема в том что все клиенты получают одинаковые маки, появилась софтина, которой это мешает. Можно ли настроить получение разных маков, разными керио клиентами?

JOLLYK

Цитата:

Ну ведь вполне возможна и железная проблема, ну вспух со временем кондёр на линии питания сетевой микросхемы. (к примеру)

Специально сходил посмотрел, визуально всё отлично, ни каких дефектов не наблюдается с железом. Хотя вполне возможно, что что-то поджарилось или хард посыпался. В общем надо менять железяку и софт.

Tihon_one

Я так попробовал не получилось может нужно какие то правила прописывать и службы
типа GRE и PPTP?


PPTP прописано разрешенным не помогло(((


Керио мне пишет "Call manager exited with error 256"


Одна сетевка смотрит в небо

10.10.10.5

маска

днс

адрес VPN сервера (который мне дает интернет)


Другая в локалку

192.168.2.1

маска

днс


Kerio Является при этом DHCP сервером 2 ой подсети 2.2 - 2.254






Добавлено:
MAGNet


Это скорее всего гонка за тем на что нужно было обратить внимание, в самом начале разработки, + подгон под новые стандарты пример "2-шаговая проверка пользователя".

Косяков полным полно я бы понял если бы она стоила 10 000 и релиз только только прошел бету, а тут столько бабла и такие подье-ны VPN работает не стабильно, DNS так же.


На счет фильтра не в восторге от количества групп по умолчанию на том же бедном KSC 10 версии, выбора раз в 20 по больше и работает отлично в варианте "запретить все кроме"..... Так что жду лучших времен от КЕРИО.

[more] День добрый, не знаю как открыть доступ в керио винроутер фаервол, версия 6.2.2
столкнулся с КВФ впервые,до этого пользовался только пфсенс,на пфсенс перейду позже, когда одобрят собственный интернет.

Есть комп,он же домен, в нем одна сетевая карта, ip 192.168.0.11, вся сеть в этой же подсети, получает комп интернет от соседней организации в этой же подсети, они у себя раздали на этот же ip интернет, все настроено было до меня,кто создал не знает тоже как открыть доступ для избранных, теперь задача закрыть соц сети для всех, кроме 2х человек, создаю в http policy правило, soc-nets deny, в URL group создаю список сайтов, при выборе any user в правиле блокируются соц сети, но мне надо 2х человек исключить, создаю группу всех пользователей кроме 2х, в адресную группу их запихиваю в правиле, доступ у всех есть...
Если закрыть всем доступ как в первом варианте, и Трафик полиси создать правило в котором группа из 2х компов обращается к интерфейсу интернета, сервис Эни, экшн галочка зеленая, доступа не получают эти 2 компа, правило двигал как в низ так и вверх, куда копать? что ни так? [/more]

Pacaan
Немного флуда. Сложно продраться сквозь то что вы написали. Керио с одной сетевухой? Может чего и не знаю, но мне не понятно тогда зачем он нужен ведь он не шлюз как таковой. Мне кажется лучше сразу перейти к плану Б и нормально поставить программный роутер тот же pfSense. Блокировать сайты на Керио без лицензии на фильтр сайтов, пустая затея. Обходится анонимайзерами, а все анонимайзеры вы все равно не впишите. Анализатора пакетов в Керио нету.

Pacaan
уважаемый с мертвецами это в морг

JOLLYK

Цитата:

Анализатора пакетов в Керио нету.

есть, в debug логе лежит.

Что касается этого момента:
Цитата:

Блокировать сайты на Керио без лицензии на фильтр сайтов, пустая затея. Обходится анонимайзерами, а все анонимайзеры вы все равно не впишите.

Вопрос спорный, решается всё просто, над самым нижним правилом в правилах фильтра содержимого\правил URL в старых версиях, делает правило всё запрещающее, а над ним прописывается список разрешённого доступа, что в свою очередь является наиболее верным подходом к организации политики доступа, нежели обратная логика.

RAMSHIK_POGORELOV
вам бы в debug глянуть что там не так с подключением и заодно спросит о хозяина VPN сервера дающего интернет, что не так с вашим подключением.

А про косяки не соглашусь, то что там где-то косяк с VPN это ещё бабка на двое сказала, лично у меня никаких проблем с подключениями VPN НЕТ и не было, все проблемы с DNS, о которых вы можете говорить, это всё из-за корявости рук админов настраивающих DNS, или, что чаще, простое нежелание заниматься нормально отладкой этой беды самими админами.

Про категории антивирусов говорить вообще как-то странно, ибо это разные категории продуктов, так что сравнение не уместно, разве что начать использовать KSC для организации корпоративного доступа в интернет теперь 8))

Уважаемые, я всё же предлагаю не сваливаться в жалобы, а просто использовать тот продукт, который вы умеете адимнистрировать.

Всем мирного неба над головой и хороших праздников!

Tihon_one

Цитата:

Вопрос спорный, решается всё просто, над самым нижним правилом в правилах фильтра содержимого\правил URL в старых версиях, делает правило всё запрещающее, а над ним прописывается список разрешённого доступа, что в свою очередь является наиболее верным подходом к организации политики доступа, нежели обратная логика.

Глупости пишете, уважаемый. Вы никогда не сможете разрешить все что нужно. Ибо любой мало-мальски популярный сайт кроссдоменен, кросспротоколен и еще всякие кросс...... Вы затрахаетесь разрешить в такой политике хотя бы мейлсру. Поэтому "политика" только прямая - все разрешить, а запрещать точечно.