» Kerio Control (ex Kerio WinRoute Firewall)

---

Kerio Control™ является межсетевым экраном (МСЭ) корпоративного уровня, созданным специально для малого и среднего бизнеса. Надежная защита от хакерских атак, клиент-серверная VPN-технология, интегрированный Sophos Antivirus, мощные инструменты для управления доступом в Интернет на базе Kerio Control Web Filter, гибкие настройки и удобное управление: эти и многие другие уникальные особенности делают Kerio Control aka Kerio WinRoute Firewall идеальным решением для защиты Вашей сети от враждебного Интернет-окружения.
Удостоенный высоких отраслевых наград Kerio Control, разработан специально для защиты компаний от полного спектра сетевых угроз. Автоматически обновляющийся модуль защиты в Kerio Control обнаруживает и предотвращает возникающие угрозы, одновременно давая администратору сети гибкие инструменты для управления политиками доступа пользователей, полного управления полосой пропускания и QoS, детального мониторинга сети, и возможность VPN подключения с IPSec для настольных компьютеров, мобильных устройств и удаленных серверов.Kerio Control обеспечивает превосходную защиту сети, является стабильным, безопасным и, что немаловажно, простым в управлении.

---

Последняя версия:
Kerio Control 8.3.1 Build 2108, Released on: May 20, 2014 Release history
Последняя проверенная версия (лекарство смотрим ниже):
Kerio Control 7.0.1 Build 1098, Released on: August 04, 2010
Предыдущие, полностью рабочие версии:
Kerio Control 7.4.2 Build 5136, Released on: March 12, 2013
Скачать с оффсайта -> win32 | win64
Kerio Control 7.0.0 Build 896, Released on: June 01, 2010
Скачать с оффсайта -> win32 | win64

---

KWF 6
Kerio WinRoute Firewall 6.7.1 Patch 2 Build 6544, Released on: March 09, 2010
Скачать с оффсайта -> win32 | win64
Информация по KControl 8.x.x
Руководство по переходу с платформы Windows на Kerio Control Appliance

---

Официальная документация на Английском языке
Официальная база знаний на Русском языке
Создание VPN туннеля между KControl 8.1 и MikroTIK Router OS 6.1

Информация по KWF 6.x.x

---

C 30.04.2007 старые библиотеки внутреннего сканера McAfee не поддерживаются и автоматически не обновляются...

---

Manual на Русском
Бета версии
Manual Eng (PDF)
Step-by-Step installation guide Eng (PDF)
Kerio VPN Client Manual (PDF)
Сброс пароля администратора

Настройка, русификация, полный русский мануал
Ключи для Kerio WinRoute Firewall

Использование VPN server IPsec Kerio Control 8 с IPsec клиентом - от 7KirOV7

---

F.A.Q. на PC Security - F.A.Q. - Часто задаваемые вопросы
На Winroute.ru - ПРАВИЛЬНАЯ настройка DNS и сетевых интерфейсов!!!

FAQ составлен по материалам форумов "Windows FAQ" - Форум - "KWR 5.0 (Kerio Winroute 5.0)" (стр.1-93 вопр. 1-122) и "XBT Hardware BBS » Системное
администрирование, безопасность » Winroute FAQ" - "Просьба все вопросы по Winroute задавать в этой ветке?" (стр. 1-18 вопр. 123-171)

_http://12kms.fatal.ru/_kwf.html

Тут одна компания полностью на русский язык перевела хелп
Kerio WinRoute Firewall 6.0. Руководство Администратора
Может кому надо: _http://www.internetaccessmonitor.com/rus/support/docs/winroute/
Офлайновая версия этого перевода: http://fronik.narod.ru/kwf/ (1.5Мб)

также много полезной информации по настройке на сайтах: ввв.xerio.kiev.ua и ввв.kerio-rus.ru

---

WinRoute Spy – программа анализа файлов логов популярного прокси-сервера и Internet-шлюза Winroute (версии 4.Х) и Kerio Winroute Firewall 5.Х.
Internet Access Monitor for Kerio WinRoute - программа анализа логов, составления отчётов по использованию интернет-ресурсов.

Внимание, KWF является корпоративным сетевым фаерволом, поэтому, в его функционал не входит и не может входить контроль приложений. Для этого пользуйтесь персональными фаерами, и не нагружайте топик лишними вопросами.

Kerio Control 8.6.1 решение проблемы с часовыми поясами

---

// текущий бэкап шапки..

Продублирую тут, а то в предыдущей теме последний пост был и переехали.

Цитата:

Уважаемый all. Возникла такая проблема. Имею vpn клиентов, подключающихся с использованием kerio client (крайняя версия) к серверу kerio (6.7.1 build 6399). В настройках VPN сервера указал адреса DNS и WINS серверов для использования клиентами. Клиенты подключаются, DNS юзают, всё вроде хорошо. Но, при попытке доступа К клиентам ИЗ сети с сервером керио по имени возникают проблемы: в ДНС они не регистрируются (доменная зона, настроена на безопасные регистрации), а вот в WINS почему не регистрируются мне не понятно. По IP обращаться или прописывать в hosts Не вариант - IP керио выдает на сутки, да и криво это. Как быть?

Upd Уточнение - если прописать в свойствах сетевой на клиенте WINS то адрес этой сетевой в WINS появляется. Проблема в том, что это не адрес, который керио выдает и на который маршрутизирует пакеты. Видимо, особенность работы керио. Т.е. надо прописать адрес в новую подсеть впн клиентов, но на керио это сделать не получилось( Да и если подключаются из разных мест, на все подсети маршруты не пропишешь. Какие есть варианты?

butch9383 видимо проблема в "типе узла" на клиенте, по умолчанию если ни на одном сетевом интерфейсе WINS не указан он "широковещательный" а если указан - "гибридный", нужно попробовать убрать
Цитата:

если прописать в свойствах сетевой на клиенте WINS то адрес этой сетевой в WINS появляется. Проблема в том, что это не адрес, который керио выдает и на который маршрутизирует пакеты

из настроек этого сетевого интерфейса WINS, а "правильный" тип узла принудительно задать в реестре.

Valery12
насколько я понимаю, тип узла имеет значение для определения используемого метода разрешения имени. Но какое он имеет значение для регистрации на сервере wins? Поясните свою мысль, если не сложно.

тип узла используется как для разрешения имен так и для регистрации, в случае широковещательного типа при входе в сеть он просто рассылает бродкаст о своем имени

Использую NAS как файловый сервер для файлов пользователей и бэкапов, подключен к локальной сети сотрудников, IP 192.168.7.10.
Есть другая гостевая сеть 192.168.1.х, в которой подключены несколько PS3.
Обе сети подключены к внешней через NAT Kerio Winroute 7.3.1. Маршруты такие

Хочется использовать NAS как DNLA медиа-сервер для PS3. Возможно настроить?

coolpunk

А причем тут Керио?
Ставьте любой DNLA-сервер, разрешайте к нему входящие и вдруг что-то не будет работать - тогда и спросите.

Стоит, в сети 192.168.7.х работает, в гостевой нет. Винроут тут маршрутизатор, поэтому только он и поможет, но не понимаю я в мультикастах или широковещаниях((

Valery12
поставил принудительно тип узла гибридный - не работает все равно. Вот, может ipconfig /all мой поможет:
[spoiler][quote]Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : yurist2
Основной DNS-суффикс . . . . . . : *****.local
Тип узла. . . . . . . . . . . . . : гибридный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : *****.local
*****.local

Подключение по локальной сети - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Atheros AR8152 PCI-E Fast Ethernet C
ontroller
Физический адрес. . . . . . . . . : *****
Dhcp включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 192.168.10.8
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.10.1
DHCP-сервер . . . . . . . . . . . : 192.168.10.1
DNS-серверы . . . . . . . . . . . : 192.168.10.1
Аренда получена . . . . . . . . . : 8 октября 2012 г. 12:08:55
Аренда истекает . . . . . . . . . : 11 октября 2012 г. 12:08:55

Kerio Virtual Network - Ethernet адаптер:

DNS-суффикс этого подключения . . : ***Valery12

Цитата:

поставил принудительно тип узла гибридный - не работает все равно

А где собственно Контрол раздает ВИНС клиентам (я просто давно с керио не работаю)?
Возможно причина в том что ВПН подключение происходит позже чем вход в сеть, когда и идет регистрация. Можно применить "полуавтоматическое" решение:
закрепить за ВПН клиентами конкретные адреса, а на ВИНС сервере сделать "статические сопоставления" - в результате и офисные и удаленные компьютеры смогут обращаться по имени.

Подскажите, возможно ли разрешить группе пользователей отправку и получение почты через pop/smtp, через один конкретный почтовый сервер (например mail.ru) при том, что в правилах запрещено использование pop/smtp протоколов?

Здравствуйте форумчане.
Kerio Control Software Appliance 7.3.2 build 4502 patch 1 Linux
Установил, запустил и вижу что Керио нашел только встроенную сетевую карту от Gigabyte G1.Sniper M3.
Внешние две карты по PCI-Express портам не видны, модель Сетевого адаптера Gigabit Ethernet D-LINK DGE-560T/B1A PCI Express.
Что можете подсказать в данной проблеме?
Звонил перед покупкой сетевых адаптеров, непосредственно в Kerio компанию. Техподдержка объявила, что чипсет от сетевухи подходит и Керио его увидит.

Если проблема не решаема путём патчивания kerio linux.
Подскажите какие pci express сетевые карты с gigabit скоростью поддерживает kerio control? Читал что intel-вские он видит прекрасно. Что вполне подтверждает материнская плата выше описанная мною, там стоит intel чип.

legionpheonix
Вопрос не по Керио-смотрите здесь:
http://www.kerio.com/control/technical-specifications

Цитата:

Network interface: 2 Ethernet (10/100/1000 Mb) network interface cards supported by the Linux kernel 2.6.30 (Majority of current NICs supported.)

Возможно Вам поможет это - http://hardware4linux.info/type/22/

Всем спасибо, с WINSом проблема была в отключеном по умолчании netbios в интерфейсе Kerio на клиентах.
Попутный вопрос. У меня подключение с интернетом через виндовый pppoe. В Керио есть пункт в свойствах ppoe интерфейса на вкладке Параметры дозвона: Всегда держать линию подключенной в интервале...
Так вот. Если галочка там стоит и выбрано Всегда, даже при принудительном отключении pppoe соединения оно автоматически реконектится. Но возникает проблема. Периодически в логах дозвона керио вижу такое:
Line "BN" dialing due to configured connect time...
Line "BN" connected
Т.е. происходит реконект, хотя линия и не отваливалась. Связь на это время вроде как пропадает. А если галку не снять, то хотя в Интерфейсах и стоит постоянное подключение, реконекта не происходит при, например, ребуте модема. Это норма?

coolpunk

Так у Вас NAS и керио-роутер разные машины? Так Вы ж предупреждайте ))))
Я грешным делом подумал, что схема как у меня, с единым НАС-ом, роутером, мультимедиа-сервером.

Вообще-то, насколько я помню, раньше мультикаст точно не поддерживался керией. Когда мне нужно было пробросить IPTV я ставил параллельно igmp-proxy.
Но это было давно, как щас не знаю, а dnla - мультикаст? А плойки только dnla играть умеют?

Starshark2007
Спасибо за ответ.
NAS у меня от Synology, KWF на него не поставить, упустил из описания.
Комп с KWF с тремя интерфейсами: 192.168.1.1, 192.168.7.1 и внешний.
NAS стоит во второй сетке, но часть функций нужны в первой.
Не знаю как работает DNLA, трафик не идет через KWF, поэтому логов нет.
PS3 умеет читать и файлами, но не знаю как на ней подключить путь к "библиотеке".

Ранее писал о странных хостах, которые появились в керио ни с того, ни с сего.
Обнаружил, что стало их больше. Гляньте скриншот - что это может быть?
Все, что попали в скриншот - все "не мои"!
http://www.waveideas.net/kerio.png

Добавлено:
Переадресация ДНС?

Klopikmoscow
NetRange: 199.87.232.0 - 199.87.239.255
CIDR: 199.87.232.0/21
OriginAS: AS22552
NetName: ESITED01
NetHandle: NET-199-87-232-0-1
Parent: NET-199-0-0-0-0
NetType: Direct Allocation
RegDate: 2011-02-03
Updated: 2012-03-02
Ref: http://whois.arin.net/rest/net/NET-199-87-232-0-1

OrgName: eSited Solutions
OrgId: NL-1
Address: 600 W 7th
City: Los Angeles
StateProv: CA
PostalCode: 90017
Country: US
RegDate: 2010-10-04
Updated: 2012-06-18
---------------------------
Адреса америкосские. Если у вас включен прокси, то возможно он у вас открыт для всех, а не только для локальных сетей, проверьте.
Проверить прокси на открытость можно здесь:
http://www.checker.freeproxy.ru/checker/

Выдало такое:
Proxy check processing...


* test proxy by using new fast testing technology

proxy1.ru:3128    HTTP: Cannot connect to proxy!: Connection refused (111)
proxy2.com:80    HTTP: proxy does not work!*
proxy2.com:80    SOCKS 4: Non-SOCKS port!
proxy2.com:80    SOCKS 5: Non-SOCKS port!
proxy3.com:8080    Cannot connect to proxy!*

Klopikmoscow Похоже вы не догадались, что нужно задать свой внешний IP и порт, какой смысл тестить то, что там было введено до вас?
proxy1.ru : 3128
proxy2.com:80
proxy3.com 8080
это вам показали для примера, как указать список тестируемых проксей. и порты.

Добрый день знатоки вопрос такой. Стоит в офисе шлюз с керио, а во втором офисе фаервол железный d-link dfl-260e. Необходимо както связать данное оборудование. Как создать впн между ними. в-link должен быть клиентом.

rom77
Да тут и знатоком быть не надо...
Стоит посмотреть одну страничку на kerio.ru ( http://www.kerio.ru/ru/control/utm/vpn ).
Ключевая строка -
Цитата:

Клиент может быть установлен на Windows, Mac и Linux.

Если вы сможете установить Kerio VPN клиент ( отсюда http://www.kerio.ru/node/347#tabs-control-2 ) на свой D-link, то будет он клиентом...

Если бы я мог установить клиент на длинк то уже бы установил его.
если вы знаете как это сделать подскажите, или подскажите другое решение может vpn ipsec ? как это сделать?

всем привет! у меня такая проблема, при попытке войти на веб-консоль аминистрирования, выдает такое сообщение
    

"В процессе разработки

Узел, к которому выполняется обращение, не имеет в настоящее время домашней страницы. Вероятно, он находится в процессе обновления или настройки. "

что это может быть и как решить проблему!?! Заранее спасибо!

ipmanyak
test proxy by using new fast testing technology

213.184.*.*:3128    HTTP: Cannot connect to proxy!: Connection refused (111)
213.184.*.*:80    HTTP: Cannot connect to proxy!: Connection refused (111)
213.184.*.*:8080    HTTP: proxy does not work!
213.184.*.*:8080    SOCKS 4: Non-SOCKS port!
213.184.*.*:8080    SOCKS 5: Non-SOCKS port!

rom77
Только индивидуальным запросом в Керио наверно.
Ну своя у них реализация VPN, внутрифирменная.

Решение - использовать VPN от Микрософт ( или иную реализацию на Ваш вкус), а Керио дать его пропускать мимо себя.
Если Kerio VPN принципиален, то на конце клиента вместо/вместе D-Link использовать Керио (или индивидуальные клиенты у пользователей).

ну вот в принципе я и пришел к такому решению. Керио стоит на тачке с w2008, на ней поднять vpn, а через керио пропускать. Керио принципиален, и на другом конце должен быть д-линк. Только какие правила прописать на керио и что подкрутить? версия керио 7.3

rom77
Ну примерно так-
протоколы PPTP,GRE и возможно Ident к интернет-интерфейсу (или к хосту "брандмауэра") разрешить, NAT не включать.
У меня так работало (сейчас правда "зюхели" VPN-ом занимаются).