Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Kerio Control (ex Kerio WinRoute Firewall)

Автор: soupbreak
Дата сообщения: 12.01.2016 16:05
Как попасть в варезник?
Автор: Kokhanavets
Дата сообщения: 12.01.2016 19:03
http://forum.ru-board.com/topic.cgi?forum=35&topic=0011&start=400
Автор: obtim
Дата сообщения: 15.01.2016 18:28
Kokhanavets
Можете скинуть ссылку на этот фича-реквест? - поддержку его на керио.

Добавлено:
Почему в 9.0.0-442 Kerio Control Web Filter(включены в правилах содержимого)применяются к smtp и pop соединениям(порт и ssl роли не играют)?
Если включены: не работает почта. Если выключены-все ок.
Автор: Kokhanavets
Дата сообщения: 16.01.2016 13:45
obtim
Это вы о чем?
Автор: Theflare
Дата сообщения: 16.01.2016 15:20
Добрый день.
У меня такая проблема.
Есть сервер ESXi 6 , подключены 3 NIC-a.
Есть 2 VM, на 1 стоит Kerio Control 8 OS, на 2ом Windows Server 2008.
1nic - Для локальной сети.( Используется и для Керио, и для Windows Server-а)
2nic - Доступ к интернету
3nic - Доступ к интернету (Failover backup).

В локальной сети есть FXS VOIP Gateway( Grandstream ) .
Проблема состоит в том, что для работы FXS Gateway-а, нужен подключенный PPTP IPSec туннель , чтобы поключится к PBX-у.
В керио добавлен интерфейс PPTP туннеля , в Traffic Rules настроено так, что NAT для доступа в интернет всех сервисов ( Кроме SIP 5060 ) , используются Интернет интерфейсы ( 2nic,3nic ). Для Gateway-а создано правило, чтобы весь траффик от его IP аддресса выходил через PPTP туннель. Проблема состоит в том, что очень часто Gateway-не работает, тоесть не видит PBX и в трубках слышно ( Check to see if your internet network is down). Для телефонии нужна стабильная связь чтобы не терять звонки , а их не мало. Есть идея удалить керио, и поставить либо Линуксовый RouterOS или купить Router Mikrotik, и отказатся от программного Роутера.
Прошу предложить решения для этой проблемы.
Заранее блогодарен.
Автор: Velorien
Дата сообщения: 18.01.2016 05:18
Всем привет!
Обновил свой шлюз до 9.0.0 версии 442 билда. В роде все отлично, все правила на месте, работают. НО отвалился DDNS =( не может он подключиться к серверу.

думал что ссылка обновилась или сломалась, но поковыряв файлы из нового релиза и из старого убедился что ничего не сломано, обновление DDNS происходит ссылкой: https://nic.changeip.com/nic/update?u=%s&p=%s&hostname=%s&ip=%s
кто-нибудь сталкивался с подобным?
а еще как можно дополнить список сервисов DDNS? (можно променять текущий, но это мне не нужно, да и не во всех случаях сработает, в некоторых можно даже получить не работающий Kerio!)
Автор: Leonid_Semyonovich
Дата сообщения: 18.01.2016 10:45
Добрый день. Народ подскажите как я могу настроить фильтрацию HTTPS трафика? Чтобы в логах отображалось?

Если включаю расшифровывать и фильтровать HTTPS трафик, сразу пропадает доступ к HTTPS сайтам.

Версия Керио 8.6.2

Заранее благодарю!
Автор: crys85
Дата сообщения: 19.01.2016 14:00

Цитата:
attaattaatta
 
crys85
Проблема скорее всего все же в днс. Проверить достаточно просто, подключите шару по ip. Попробуйте воспроизвести ошибку.


Пробовал по IP - тоже отвалы.
Если поставить длинный пинг на хост с шарой в сети за ВПН, то телнет есть на 445, если убрать пинг то телнет и шара отваливается, т.е. есть не инициализировать трафик до хоста в другой сети то телнета нет. Но почему в керио так происходит?
Автор: zmeigorini4
Дата сообщения: 19.01.2016 15:12
Камрады, есть вопрос, подскажите

периодичность обновления отчетов в kerio control statistics. Можно ли где-то в конфиге подправить интервал обновления?




Автор: attaattaatta
Дата сообщения: 19.01.2016 16:39
crys85
Так может происходить при наличии в конфигурации адаптера нескольких шлюзов для дефолтных маршрутов. Так делать нельзя. Нужно описать все необходимые статические сети в таблице и для дефолта оставить один.
Автор: crys85
Дата сообщения: 20.01.2016 09:08
attaattaatta

Цитата:
crys85
Так может происходить при наличии в конфигурации адаптера нескольких шлюзов для дефолтных маршрутов. Так делать нельзя. Нужно описать все необходимые статические сети в таблице и для дефолта оставить один.

Спасибо за помощь, в адаптере тока один шлюз, вот таблица маршрутицации. В первом офисе сеть 192.168.1.0, во втором 192.168.10.0. Сеть 10.253.230.0 это промежуточная сеть ВПН. Нужно ли прописать статический маршрут?
Автор: attaattaatta
Дата сообщения: 20.01.2016 09:52
crys85
На конечных клиентах надо посмотреть, может например dhcp отдает лишний безклассовый маршрут, который пересекается с вашим. Или просто ручками от предыдущего админа остались. Проверяйте. Также с другой стороны неплохо бы увидеть таблицу.
Автор: crys85
Дата сообщения: 20.01.2016 10:51
attaattaatta
Вот скрин таблицы маршрутизации керио во втором офисе, разница в том к WAN интерфейсу не подключен внешний IP, а назначен внутренний IP, инет раздает не керио. Может быть из за этого косяк с ВПН?
Автор: attaattaatta
Дата сообщения: 20.01.2016 11:04
crys85
Укажите другую сеть для одного из интерфейсов. Или используйте разные маски сети для них.
Автор: Velorien
Дата сообщения: 21.01.2016 07:07

Цитата:
Обновил свой шлюз до 9.0.0 версии 442 билда. В роде все отлично, все правила на месте, работают. НО отвалился DDNS =( не может он подключиться к серверу.

Разобрался. После обновления сбросилась галочка у pppoe соединения на автоматическое получение DNS. (обнаружил при попытке произвести трассировку с узла на адрес nic.changeip.com, выдало что не смог преобразовать имя в ip)

Может кому пригодится.
Автор: Doc1111
Дата сообщения: 22.01.2016 08:25
Доброе время суток. Возможно кто-то уже сталкивался.

Имеем керио винроут 7.4.2 build 5136 на виндоус (Сервер 2003). Соединение настроено - Сервер -две сетевые карты одна в локальную сеть, вторая в инет смотрит (статический ip). Всё настроено -всё работает. Решили прикупить 4 G. Купили модем МТС 8210FT (Huawei E5573). Подключил -запустилась вэбморда -настроил работает. Прописал соединение модема в вэб-интерфейсы керио -всё работает (динамический ip).

Но -перестали работать пробросы по портам в терминал, радмин если интернет через 4 G (понятно что динамический ip. Но модем не выключается, ип-шник остаётся прежним до перезагрузки).

Прочитка справки по модему -полстраницы-настройки безопасности в модеме тоже немного. Есть небольшие намёки на порт-форвадинг.

Но я так понимаю -модем создаёт своё подключение и
1 надо делать в правилах схему типа интернет 4 g - модем - керио -локальная сеть?
2 Или разлочить модем - поставить дрова на него - сделать как сетевое устройство и тогда схема будет похожа с первой - интернет (4 G)-керио -локальная сеть?
С уважением, Юрий.

Ip-серый
На эзернете -белый.
Автор: attaattaatta
Дата сообщения: 22.01.2016 08:34
Doc1111
На модеме белый ip или частный ?
Автор: GCRaistlin
Дата сообщения: 23.01.2016 01:29
Умеет ли Kerio Control последней подлежащей лечению версии направлять HTTP-трафик на разные интерфейсы в зависимости от адреса назначения? Т. е., скажем, если делаем запрос на google.com, то чтобы он уходил через интерфейс провайдера, а на rutracker.org - через VPN-интерфейс?
Автор: attaattaatta
Дата сообщения: 23.01.2016 08:59
GCRaistlin
Ну если пропишите маршрут до ip-шников рутрекера в таблице маршрутизации, будет уходить по указанному интерфейсу.
Автор: GCRaistlin
Дата сообщения: 23.01.2016 10:50
attaattaatta
Да, действительно. Так. Осталось разобраться, как заставить OpenVPN не менять default gateway при подключении.

Добавлено:
При [more=такой]
Код:
IPv4 Route Table
===========================================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x2 ...00 15 5d 21 20 0d ...... Microsoft Virtual Machine Bus Network Adapter #3 - Kerio Control
0x3 ...00 33 00 00 01 01 ...... Microsoft Virtual Machine Bus Network Adapter #2 - Kerio Control
0x10005 ...00 15 5d 21 20 0b ...... Microsoft Virtual Machine Bus Network Adapter - Kerio Control
0x10006 ...00 ff 95 89 31 6e ...... TAP-Windows Adapter V9 - Kerio Control
===========================================================================
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.34.10 192.168.34.1 10
0.0.0.0 128.0.0.0 192.168.255.165 192.168.255.166 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
128.0.0.0 128.0.0.0 192.168.255.165 192.168.255.166 20
192.168.33.0 255.255.255.0 192.168.33.4 192.168.33.4 10
192.168.33.4 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.33.255 255.255.255.255 192.168.33.4 192.168.33.4 10
192.168.34.0 255.255.255.0 192.168.34.1 192.168.34.1 10
192.168.34.1 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.34.255 255.255.255.255 192.168.34.1 192.168.34.1 10
192.168.35.0 255.255.255.0 192.168.35.4 192.168.35.4 10
192.168.35.4 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.35.255 255.255.255.255 192.168.35.4 192.168.35.4 10
192.168.255.129 255.255.255.255 192.168.255.165 192.168.255.166 1
192.168.255.164 255.255.255.252 192.168.255.166 192.168.255.166 30
192.168.255.166 255.255.255.255 127.0.0.1 127.0.0.1 30
192.168.255.255 255.255.255.255 192.168.255.166 192.168.255.166 30
212.47.252.243 255.255.255.255 192.168.34.10 192.168.34.1 1
224.0.0.0 240.0.0.0 192.168.33.4 192.168.33.4 10
224.0.0.0 240.0.0.0 192.168.34.1 192.168.34.1 10
224.0.0.0 240.0.0.0 192.168.35.4 192.168.35.4 10
224.0.0.0 240.0.0.0 192.168.255.166 192.168.255.166 30
255.255.255.255 255.255.255.255 192.168.33.4 192.168.33.4 1
255.255.255.255 255.255.255.255 192.168.34.1 192.168.34.1 1
255.255.255.255 255.255.255.255 192.168.35.4 192.168.35.4 1
255.255.255.255 255.255.255.255 192.168.255.166 192.168.255.166 1
Default Gateway: 192.168.255.165
===========================================================================
Persistent Routes:
None
Автор: attaattaatta
Дата сообщения: 23.01.2016 13:35
GCRaistlin
https://community.openvpn.net/openvpn/wiki/IgnoreRedirectGateway
Автор: Rinat2015
Дата сообщения: 25.01.2016 19:26
Доброго времени суток!
Есть 2 интернет канала один через DSL модем другой выделенка через L2TP Beeline. Вот со вторым проблема через роутер (аппаратный) пускать не хочу т.к замедляет канал. Поэтому пустил через pfSense и вроде как все работает, но всетаки 2 виртуалки для интернета кажется много.
В общем подобных вопросов в инете нашел не мало получилось поднять L2TP сооединение без прописанного шлюза локальной сети билайна (сервера находит за счет маршрутов) основной шлюз задан только в L2TP соединении в таком режиме kerio не подает никаких жалоб работает как надо, но вот если изменить вариант подключения на резервирование и подставить туда еще один интерфейс со шлюзом, то сразу начинает ругаться что есть 2 основных шлюза и начинает тупить L2TP (после пересоединения пытаеться искать сервера четез DSL и естественно не находит). Вопрос можно ли как-то мне все таки заставить kerio подключаться по l2tp только по 1 конкретному интерфейсу ? И вообще такая схема возможна в kerio ?
Не выложил настройки так как сейчас керио перенастроен через pfSense, но если кто-нибудь может помочь могу все продублировать на копии kerio и выложить то что необходимо.
Автор: attaattaatta
Дата сообщения: 26.01.2016 04:48
Rinat2015
Как-то немного сумбурно, во-первых, что мешает поднимать L2TP прямо с керио при падении основного канала ?
Во-вторых, забудьте про несколько шлюзов по умолчанию. Это в корне неверно.
Автор: Tihon_one
Дата сообщения: 26.01.2016 16:45
Rinat2015
вообще не понял как у вас при схеме резервирования второй шлюз определяется, направьте о2тп подключение билайна, с помощью статического маршрута к сети, где лежит л2тп сервер библайна, через статический маршрут, он и будет подключаться через этот нужный интерфейс, который вы в маршруте укажите, разве нет? проверить не на чем пока, но по идее должно работать корректно.
Автор: Rinat2015
Дата сообщения: 26.01.2016 17:57
attaattaatta,Tihon_one Спасибо что откликнулись.
Tihon_one, Вы абсолютно правы все работает корректно.
В последний раз я пробовал собрать эту схему на керио 8.6 и при резервировании канала выходило это сообщение которое в принципе не должно быть так как только 2 интерфейса были со шлюзами (основной и резервный), но оно было и я еще тогда подумал что керио где то внутри при такой схеме внутри путается с интерфейсами. Ту виртуалку удалил и показать не могу сейчас на 9.0.1 собрал снова эту схему и сообщение это никак не мог получить только после включения резервного канала на более чем минуту L2TP не поднималось так же, но это оказалась проблема с DNS включил переадресацию l2tp.internet.beeline.kz на сервера днс билайна и все за бегало теперь буду на этой неделе смотреть как идет.

П.С. Я не от лени спросил именно это сообщение тогда меня сильно насторожило и я перешел на вариант с pfSense (хоть он мне и не очень нравился).



Автор: Tihon_one
Дата сообщения: 27.01.2016 10:02
Rinat2015
ну тогда ждём, от тебя результатов, ждём

Автор: Alem88
Дата сообщения: 28.01.2016 12:13
Здравствуйте ув. форумчане.
Прошу не судить строго так как я новичек в Керио проблема такая.
Есть система видеонаблюдения которую можно было просматривать удаленно.
т.е браузере забиваешь ip порт и проваливаешься в кабинет для просмотра
Стоял юзергейт 4 и там были все настройки маршрутизации, назначения портов все было проще.
Поставил kerio 6 и соответственно настройки нужно ввести заново а мыслей не хватает.
на сервере стоят 3 карты lan (192.168.1.6 inet 88.151.***.*** и video 192.168.0.100 и видеорегистратор 192.168.0.190 с камер
Подскажи как правильно настроить маршрутизацию. чтобы все заработало.
Заранее спасибо
Автор: Rinat2015
Дата сообщения: 28.01.2016 16:36
Новичек в керио ? Тогда давай подробнее информацию: схему работы камер, порты, сторонние сервера если облако еще есть. Я бы помог с керио, но с камерами не работал. Ты сказал работало на usergte значит должен знать как. Так что выкладывай или придется надеяться что тут есть телепаты которые помогут.
Автор: kaskad
Дата сообщения: 29.01.2016 10:14
Всем добрый ) Имеем Kerio 8.6.2 build 3847 и задачу руководства предоставить им отчёт по посещению сайта job.ru (кто и когда заходил из пользователей прокси). Не подскажете, как такой отчётик сформировать?
Автор: fire667
Дата сообщения: 29.01.2016 20:53
kaskad
можно попробовать использовать это

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117

Предыдущая тема: Права доступа NTFS


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.