» Kerio Control (ex Kerio WinRoute Firewall)

des2
Ну мне с картинками тыркаца неохота. В настройке пользователя установлена галочка "заданные IP хоста" ну и есно оный и прописан.
В правилах Трафика может быть загвоздка у вас. У меня для основных
источник = локальная сеть (у вас может быть авторизованные пользователи)
назначение = интернет интерфейсы
службы ну тут порты и допустимые протоколы
действие = разрешить
трансляция =распределение нагрузки

JOLLYK, сделал как Вы сказали- теперь в "правилах трафика" стоит NATить не IP ,а имена пользователей, но результаты все равно неправильные...


- это вообще статистика... как видно, что-то качается..
- это сами правила..

des2
А что получится если в правиле NAT в разделе источник поставить не пользователей с IP а просто сетевуху которая смотрит в локалку, а ваши IP и пользователей удалить? С картинками выкладывать тут такой гемор. Завтра посмотрю выложу настройку.

идея неплоха, будет скорей сего считать трафик суммарный по сетевухе, но у меня это невозможно потому, что всего 1 сетевка, у меня на ней 2 ip, и задача керио просто переливать трафик НАТом из одной подсети в другую (просто граничный маршрутизатор) , а уж дальше пакеты разруливаются свичем с мозгами.... у меня под названием "интернет-интерфейсы" скрывается сразу и локалка вида 192.168.0.0 и другая подсеть вида 81.0.0.0, керио стоит виртуалкой, прекрасно справляется с переливом между подсетями, но вот начальству надо инфу по трафику от определенных пользователей, они просто бОльшую часть времени должны мониторить видео и их трафик должен быть не меньше 5 гиг в день, иначе считается что они сачкуют...

des2
уважаемый, снимите отметку с принудительной авторизации на непрозрачном прокси сервере, и НЕ включайте, если точно не уверены зачем она нужна, а нужна она ТОЛЬКО для авторизации терминальных пользователей и необдуманное включение данной опции, для всей локальной сети, приведёт к тем косякам в ведении статистики. которые вы получили.

Добавлено:
Kkasock
Вы же сами всё поняли, логического И нет, только ИЛИ, привязывайте к МАК-адресам просто, неужели кто-то из пользователей может менять маки, а если может то по рукам такого, ещё можно сделать немного сложнее но интереснее и ближе к требуемому.

включить таки DHCP, чтобы раздавал адреса по макам хостов статически, в параметрах аккаунтов указываете только МАКи, а вот в параметрах безопасности ставите вот так настройку: http://prntscr.com/874yje

Добрый день )
Ни у кого нету напринтскриненых наборов правил для Керио Контрол, чтобы отрабатывал непрозрачный прокси с обязательной аутентификацией пользователей из Microsoft AD? Пользователи из AD отлично считываются, но вот не получается сделать автоматическую аутентификацию пользователей через браузер на проксе никак (( Как следствие каждый раз вылетает окошко запроса логина-пароля при открытии браузера пользователем, а хочется чтобы "оно само" То есть чтобы прокся понимала отправленные на неё браузером логин и пароль пользователя из AD

kaskad
у меня из AD прекрасно аутентифицируются
вот такие галочки посмотрите

kosfess
Спасибо ) Но при такой конфигурации пользователь, уже авторизовавшийся на компе в AD, вынужден каждый раз при открытии браузера вводить логин с паролем. Круто, конечно, но не очень ) Хочется, чтобы пользователь вводил логин-пароль только при авторизации на комп в домене, а потом уже браузер по керберосу его на проксе авторизовывал сам, без дополнительных просьб ввода логина с паролем. Насколько я понимаю, для реализации подобной конфигурации необходимо отключить "прозрачный" прокси и прописать во всех браузерах пользователей корректные настройки прокси (это несложно, групповой политикой делается). Но никак не могу настроить "Правила трафика". В результате моих настроек вообще пользователей в инет Kerio не выпускает, хотя по логике вещей должен. Сейчас запринскриню свои настройки )



То есть очень хочу выпускать в интернет ТОЛЬКО аутентифицированных пользователей и чтобы браузер их аутентифицировал сам, без дополнительного запроса логина-пароля. Заранее спасибо за советы )

"уважаемый, снимите отметку с принудительной авторизации на непрозрачном прокси сервере, и НЕ включайте, если точно не уверены зачем она нужна, а нужна она ТОЛЬКО для авторизации терминальных пользователей и необдуманное включение данной опции, для всей локальной сети, приведёт к тем косякам в ведении статистики. которые вы получили. " -сделано, галочка снята, принято к сведению зачем оно нужно, но проблема этим не решилась- статистика все равно не считается..

kaskad
В каком браузере надо настроить авторизацию? В Firefox делается без вопросов - в настройках находим network.automatic-ntlm-auth.trusted-uris, в значении пишем имя Вашего сервера с Kerio Control - я указывал FQN, т.е. server.domain.local.

Yaromaxx
А по керберосу Керио не умеет? То есть когда в разделе прокси любого браузера указываешь имя сервера и порт? Например, в том же горячо любимом IE в разделе "Свойства браузера" - "Подключения" - "Настройка сети"?

kaskad
Вот самый точный ответ про аутентификацию, как ни страно в базе заний производителя продукта.

wwladimir
Пичалька в том, что я эту ссыль давно нашёл, но тем не менее не достиг результата (
Сейчас пробую это и очень надеюсь, что поможет ) Точнее, наслаждаюсь чтением раздела Enabling automatic authentication по этой ссылке.

Update:
Очень помогло ) Наконец-то у меня всё заработало и пользователям нет необходимости вводить пароль каждый раз при открытии браузера. Ну и статистика радует ) Но в целом путь извращённый у Керио

Ещё один вопрос к знатокам: есть ли возможность в актуальном Керио создать свои url-группы, а не пользоваться встроенным и не особо рабочим (потому что не покупали его ) Контент Фильтром? Например, запихнуть бы в Керио категории из Shallalist.
Переформулирую: я нашёл, как создавать группы и набивать в них по одному URL, а хотелось бы как-нить пачкой импортировать. Есть ли вариант? )

Группы то URL-ов руками кто мешает набивать и потом фильтровать ? Так и делаем.
Но фишка кериовского Веб-фильтра -автоматическое актуальное категорирование сайтов.
За это и отдельные деньги (у меня это не используется, так как в касперском уже есть похожий функционал, называется веб контроль).

Цитата:

Но при такой конфигурации пользователь, уже авторизовавшийся на компе в AD, вынужден каждый раз при открытии браузера вводить логин с паролем

При такой конфигурации пользователь ничего не вводит и автоматически получает доступ в интернет при успешной аутентификации в AD
Но хорошо, что вы разобрались

Никто не обращал внимание на то, что последняя версия Kerio Control 8.6.0 p1 постоянно пытается обратиться по ip адресу 111.111.111.111 на 80-й порт? Только периодически уходят пакеты по 60 байт на попытки подключения, но в ответ конечно тишина. Может разработчики чего не отключили в своей Linux сборке?

Доброго времени суток!
Проверите у себя на контроле кто сможет следующее:

на рабочей станции с помощью Internet download manager или Download master пытаемся скачать вирусняк http://onepw.pw/Document_22_06_15.rar?W3yqgLAyaO64a12KEBue118878469423353594408. Там просто ZIP архив, зараза старая и давно всеми обнаруживается.

Так вот у меня drweb плагин на 7 версии контрола при скачивании файла с помощью IDM и DM отказывается его ловить. Точнее он его видит и по логам керио то все проходит, но файл прекрасно скачивается. Переключение качалки в однопоточный режим ничего не меняет. Получается потенциальная дыра. ТП drweb назвала это "неустранимой дырой на уровне технологий скачивания" и, как я их понял, на 8 версии контрола с их плагином тоже самое. Может софос на аплайнсе ведет себя по другому?

ssi
Вот, софос на керио его перехватывает.


Цитата:

Файл:          http://onepw.pw/Document_22_06_15.rar?W3yqgLAyaO64a12KEBue118878469423353594408.
Протокол:          HTTP
Информация о вирусе:          Sophos verdict: Mal/ElenDrp-A

YuraseK
нет такого нет.

wwladimir

Цитата:

ssi
Вот, софос на керио его перехватывает.

спасибо. ТО есть файл к вам на машину не попадает? Какая версия контрола у вас?

Добрый день.
Есть Kerio Control 7.4.2 Build 5136, на нем есть небольшая периодически проявляющаяся проблема с DNS:

Цитата:

[28/Aug/2015 14:29:45] DNS forwarder: reply came from another DNS server 172.20.17.* (sent to 172.20.19.*); reply discarded
[28/Aug/2015 14:36:14] DNS forwarder: reply came from another DNS server 172.20.17.* (sent to 172.20.19.*); reply discarded

Есть способ заставить керио не игнорировать ответы с другого сервера? Ставить сторонний днс очень не хочется.
Антиспуфинг и Intrusion Prevention выключены.

korn3r
ну а как бы чего вам отвечает не то кого запросили? сложно сделать нормальные ответы?
зачем такая схема?


Добавлено:
ssi
тут дело не в версии контрола, у меня финальная, к слову, работает, тут дело в антивире, походу старый плагин доктора веба не справляется...а новых нету, его можно только с конектом сейсчас использовать, т.к. в контрол доустановить сторонние плагины нельзя.

Tihon_one
Вопрос хороший, но доступа к ДНС у меня нет.
Гуглоднс иногда делает так же

Цитата:

[17/Aug/2015 09:53:03] DNS forwarder: reply came from another DNS server 8.8.8.8 (sent to 8.8.4.4); reply discarded
[17/Aug/2015 09:53:05] DNS forwarder: reply came from another DNS server 8.8.8.8 (sent to 8.8.4.4); reply discarded

Tihon_one

Цитата:

ssi
тут дело не в версии контрола, у меня финальная, к слову, работает, тут дело в антивире, походу старый плагин доктора веба не справляется...а новых нету, его можно только с конектом сейсчас использовать, т.к. в контрол доустановить сторонние плагины нельзя.

ну как бы http://products.drweb.com/gateway/kerio/?lng=ru
"Операционная система Kerio Control VMware Virtual Appliance или Kerio Control Software Appliance"

Что касается меня то да, я еще юзаю виндовую и DRWEB плагин для нее не устарел.

ssi
а ну да, на заборе тоже написали, установить этот плагин НЕЛЬЗЯ ни в апплианс софтовый НИ в виртуальный... 8))

Tihon_one

Цитата:

ssi
а ну да, на заборе тоже написали, установить этот плагин НЕЛЬЗЯ ни в апплианс софтовый НИ в виртуальный... 8))

кхм.. странно. Надо проверить. В вебе же не идиоты сидят.

Цитата:

ssi
на рабочей станции с помощью Internet download manager или Download master пытаемся скачать вирусняк http://onepw.pw/Document_22_06_15.rar?W3yqgLAyaO64a12KEBue118878469423353594408. Там просто ZIP архив, зараза старая и давно всеми обнаруживается.
Так вот у меня drweb плагин на 7 версии контрола при скачивании файла с помощью IDM и DM отказывается его ловить. Точнее он его видит и по логам керио то все проходит, но файл прекрасно скачивается. Переключение качалки в однопоточный режим ничего не меняет. Получается потенциальная дыра. ТП drweb назвала это "неустранимой дырой на уровне технологий скачивания" и, как я их понял, на 8 версии контрола с их плагином тоже самое. Может софос на аплайнсе ведет себя по другому?

проверил на 7 версии контрола с плагином софос - абсолютно та же самая история. Файл нормально скачивается Download Master`ом. В алерте есть сообщение. Так что кривые руки тут похоже не у вебовцев. Если по вашим словам на 8-ке НЕ скачивается значит видимо исправили.

ssi
ты ещё на 6ке квф проверь...

а то что веб иногда пишет, что не совсем истинно, ну чтож бывает...

Цитата:

ssi
ты ещё на 6ке квф проверь...
а то что веб иногда пишет, что не совсем истинно, ну чтож бывает...

проверил бы да ни к чему мне это. 7 много кто еще пользует, а это потенциальная дыра. 8 поставлю на виртуалку и обязательно проверю вебовский плагин. Если не будет работать то это их проблемы.

Настроен и работает 7.4.2 под Windows, вопрос - есть ли vpn клиент под Android?