Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Kerio Control (ex Kerio WinRoute Firewall)

Автор: ShriEkeR
Дата сообщения: 06.10.2012 22:49
Часть 1 | Часть 2 | Часть 3 | Часть 4 | Часть 5 | Часть 6 | Cмежная тема в варезнике


Kerio Control (ex Kerio WinRoute Firewall) ™


Kerio Control™ является межсетевым экраном (МСЭ) корпоративного уровня, созданным специально для малого и среднего бизнеса. Надежная защита от хакерских атак, клиент-серверная VPN-технология, интегрированный Sophos Antivirus, мощные инструменты для управления доступом в Интернет на базе Kerio Control Web Filter, гибкие настройки и удобное управление: эти и многие другие уникальные особенности делают Kerio Control aka Kerio WinRoute Firewall идеальным решением для защиты Вашей сети от враждебного Интернет-окружения.
Удостоенный высоких отраслевых наград Kerio Control, разработан специально для защиты компаний от полного спектра сетевых угроз. Автоматически обновляющийся модуль защиты в Kerio Control обнаруживает и предотвращает возникающие угрозы, одновременно давая администратору сети гибкие инструменты для управления политиками доступа пользователей, полного управления полосой пропускания и QoS, детального мониторинга сети, и возможность VPN подключения с IPSec для настольных компьютеров, мобильных устройств и удаленных серверов.Kerio Control обеспечивает превосходную защиту сети, является стабильным, безопасным и, что немаловажно, простым в управлении.
Последняя версия:
Kerio Control 8.3.1 Build 2108, Released on: May 20, 2014 Release history
Последняя проверенная версия (лекарство смотрим ниже):
Kerio Control 7.0.1 Build 1098, Released on: August 04, 2010
Предыдущие, полностью рабочие версии:
Kerio Control 7.4.2 Build 5136, Released on: March 12, 2013
Скачать с оффсайта -> win32 | win64
Kerio Control 7.0.0 Build 896, Released on: June 01, 2010
Скачать с оффсайта -> win32 | win64
KWF 6
Kerio WinRoute Firewall 6.7.1 Patch 2 Build 6544, Released on: March 09, 2010
Скачать с оффсайта -> win32 | win64
Информация по KControl 8.x.x
Руководство по переходу с платформы Windows на Kerio Control Appliance

Официальная документация на Английском языке
Официальная база знаний на Русском языке
Создание VPN туннеля между KControl 8.1 и MikroTIK Router OS 6.1

Информация по KWF 6.x.x

C 30.04.2007 старые библиотеки внутреннего сканера McAfee не поддерживаются и автоматически не обновляются...

Manual на Русском
Бета версии
Manual Eng (PDF)
Step-by-Step installation guide Eng (PDF)
Kerio VPN Client Manual (PDF)
Сброс пароля администратора

Настройка, русификация, полный русский мануал
Ключи для Kerio WinRoute Firewall

Использование VPN server IPsec Kerio Control 8 с IPsec клиентом - от 7KirOV7


F.A.Q. на PC Security - F.A.Q. - Часто задаваемые вопросы
На Winroute.ru - ПРАВИЛЬНАЯ настройка DNS и сетевых интерфейсов!!!

FAQ составлен по материалам форумов "Windows FAQ" - Форум - "KWR 5.0 (Kerio Winroute 5.0)" (стр.1-93 вопр. 1-122) и "XBT Hardware BBS » Системное
администрирование, безопасность » Winroute FAQ" - "Просьба все вопросы по Winroute задавать в этой ветке?" (стр. 1-18 вопр. 123-171)

_http://12kms.fatal.ru/_kwf.html

Тут одна компания полностью на русский язык перевела хелп
Kerio WinRoute Firewall 6.0. Руководство Администратора
Может кому надо: _http://www.internetaccessmonitor.com/rus/support/docs/winroute/
Офлайновая версия этого перевода: http://fronik.narod.ru/kwf/ (1.5Мб)

также много полезной информации по настройке на сайтах: ввв.xerio.kiev.ua и ввв.kerio-rus.ru


WinRoute Spy – программа анализа файлов логов популярного прокси-сервера и Internet-шлюза Winroute (версии 4.Х) и Kerio Winroute Firewall 5.Х.
Internet Access Monitor for Kerio WinRoute - программа анализа логов, составления отчётов по использованию интернет-ресурсов.

Внимание, KWF является корпоративным сетевым фаерволом, поэтому, в его функционал не входит и не может входить контроль приложений. Для этого пользуйтесь персональными фаерами, и не нагружайте топик лишними вопросами.

Kerio Control 8.6.1 решение проблемы с часовыми поясами
// текущий бэкап шапки..
Автор: butch9383
Дата сообщения: 06.10.2012 23:18
Продублирую тут, а то в предыдущей теме последний пост был и переехали.

Цитата:
Уважаемый all. Возникла такая проблема. Имею vpn клиентов, подключающихся с использованием kerio client (крайняя версия) к серверу kerio (6.7.1 build 6399). В настройках VPN сервера указал адреса DNS и WINS серверов для использования клиентами. Клиенты подключаются, DNS юзают, всё вроде хорошо. Но, при попытке доступа К клиентам ИЗ сети с сервером керио по имени возникают проблемы: в ДНС они не регистрируются (доменная зона, настроена на безопасные регистрации), а вот в WINS почему не регистрируются мне не понятно. По IP обращаться или прописывать в hosts Не вариант - IP керио выдает на сутки, да и криво это. Как быть?
Автор: butch9383
Дата сообщения: 07.10.2012 11:00
Upd Уточнение - если прописать в свойствах сетевой на клиенте WINS то адрес этой сетевой в WINS появляется. Проблема в том, что это не адрес, который керио выдает и на который маршрутизирует пакеты. Видимо, особенность работы керио. Т.е. надо прописать адрес в новую подсеть впн клиентов, но на керио это сделать не получилось( Да и если подключаются из разных мест, на все подсети маршруты не пропишешь. Какие есть варианты?
Автор: Valery12
Дата сообщения: 07.10.2012 15:41
butch9383 видимо проблема в "типе узла" на клиенте, по умолчанию если ни на одном сетевом интерфейсе WINS не указан он "широковещательный" а если указан - "гибридный", нужно попробовать убрать
Цитата:
если прописать в свойствах сетевой на клиенте WINS то адрес этой сетевой в WINS появляется. Проблема в том, что это не адрес, который керио выдает и на который маршрутизирует пакеты
из настроек этого сетевого интерфейса WINS, а "правильный" тип узла принудительно задать в реестре.

Автор: butch9383
Дата сообщения: 07.10.2012 20:20
Valery12
насколько я понимаю, тип узла имеет значение для определения используемого метода разрешения имени. Но какое он имеет значение для регистрации на сервере wins? Поясните свою мысль, если не сложно.
Автор: Valery12
Дата сообщения: 07.10.2012 20:29
тип узла используется как для разрешения имен так и для регистрации, в случае широковещательного типа при входе в сеть он просто рассылает бродкаст о своем имени
Автор: coolpunk
Дата сообщения: 08.10.2012 06:16
Использую NAS как файловый сервер для файлов пользователей и бэкапов, подключен к локальной сети сотрудников, IP 192.168.7.10.
Есть другая гостевая сеть 192.168.1.х, в которой подключены несколько PS3.
Обе сети подключены к внешней через NAT Kerio Winroute 7.3.1. Маршруты такие

Хочется использовать NAS как DNLA медиа-сервер для PS3. Возможно настроить?
Автор: Starshark2007
Дата сообщения: 08.10.2012 10:19
coolpunk

А причем тут Керио?
Ставьте любой DNLA-сервер, разрешайте к нему входящие и вдруг что-то не будет работать - тогда и спросите.
Автор: coolpunk
Дата сообщения: 08.10.2012 10:30
Стоит, в сети 192.168.7.х работает, в гостевой нет. Винроут тут маршрутизатор, поэтому только он и поможет, но не понимаю я в мультикастах или широковещаниях((
Автор: butch9383
Дата сообщения: 08.10.2012 12:26
Valery12
поставил принудительно тип узла гибридный - не работает все равно. Вот, может ipconfig /all мой поможет:
[spoiler][quote]Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : yurist2
Основной DNS-суффикс . . . . . . : *****.local
Тип узла. . . . . . . . . . . . . : гибридный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : *****.local
*****.local

Подключение по локальной сети - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Atheros AR8152 PCI-E Fast Ethernet C
ontroller
Физический адрес. . . . . . . . . : *****
Dhcp включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 192.168.10.8
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.10.1
DHCP-сервер . . . . . . . . . . . : 192.168.10.1
DNS-серверы . . . . . . . . . . . : 192.168.10.1
Аренда получена . . . . . . . . . : 8 октября 2012 г. 12:08:55
Аренда истекает . . . . . . . . . : 11 октября 2012 г. 12:08:55

Kerio Virtual Network - Ethernet адаптер:

DNS-суффикс этого подключения . . : ***Valery12
Автор: Valery12
Дата сообщения: 09.10.2012 08:44

Цитата:
поставил принудительно тип узла гибридный - не работает все равно
А где собственно Контрол раздает ВИНС клиентам (я просто давно с керио не работаю)?
Возможно причина в том что ВПН подключение происходит позже чем вход в сеть, когда и идет регистрация. Можно применить "полуавтоматическое" решение:
закрепить за ВПН клиентами конкретные адреса, а на ВИНС сервере сделать "статические сопоставления" - в результате и офисные и удаленные компьютеры смогут обращаться по имени.
Автор: utp_ss
Дата сообщения: 09.10.2012 11:19
Подскажите, возможно ли разрешить группе пользователей отправку и получение почты через pop/smtp, через один конкретный почтовый сервер (например mail.ru) при том, что в правилах запрещено использование pop/smtp протоколов?
Автор: legionpheonix
Дата сообщения: 09.10.2012 20:38
Здравствуйте форумчане.
Kerio Control Software Appliance 7.3.2 build 4502 patch 1 Linux
Установил, запустил и вижу что Керио нашел только встроенную сетевую карту от Gigabyte G1.Sniper M3.
Внешние две карты по PCI-Express портам не видны, модель Сетевого адаптера Gigabit Ethernet D-LINK DGE-560T/B1A PCI Express.
Что можете подсказать в данной проблеме?
Звонил перед покупкой сетевых адаптеров, непосредственно в Kerio компанию. Техподдержка объявила, что чипсет от сетевухи подходит и Керио его увидит.
Автор: legionpheonix
Дата сообщения: 10.10.2012 08:36
Если проблема не решаема путём патчивания kerio linux.
Подскажите какие pci express сетевые карты с gigabit скоростью поддерживает kerio control? Читал что intel-вские он видит прекрасно. Что вполне подтверждает материнская плата выше описанная мною, там стоит intel чип.
Автор: wwladimir
Дата сообщения: 10.10.2012 09:28
legionpheonix
Вопрос не по Керио-смотрите здесь:
http://www.kerio.com/control/technical-specifications

Цитата:
Network interface: 2 Ethernet (10/100/1000 Mb) network interface cards supported by the Linux kernel 2.6.30 (Majority of current NICs supported.)


Возможно Вам поможет это - http://hardware4linux.info/type/22/
Автор: butch9383
Дата сообщения: 10.10.2012 16:14
Всем спасибо, с WINSом проблема была в отключеном по умолчании netbios в интерфейсе Kerio на клиентах.
Попутный вопрос. У меня подключение с интернетом через виндовый pppoe. В Керио есть пункт в свойствах ppoe интерфейса на вкладке Параметры дозвона: Всегда держать линию подключенной в интервале...
Так вот. Если галочка там стоит и выбрано Всегда, даже при принудительном отключении pppoe соединения оно автоматически реконектится. Но возникает проблема. Периодически в логах дозвона керио вижу такое:
Line "BN" dialing due to configured connect time...
Line "BN" connected
Т.е. происходит реконект, хотя линия и не отваливалась. Связь на это время вроде как пропадает. А если галку не снять, то хотя в Интерфейсах и стоит постоянное подключение, реконекта не происходит при, например, ребуте модема. Это норма?
Автор: Starshark2007
Дата сообщения: 10.10.2012 20:07
coolpunk

Так у Вас NAS и керио-роутер разные машины? Так Вы ж предупреждайте ))))
Я грешным делом подумал, что схема как у меня, с единым НАС-ом, роутером, мультимедиа-сервером.

Вообще-то, насколько я помню, раньше мультикаст точно не поддерживался керией. Когда мне нужно было пробросить IPTV я ставил параллельно igmp-proxy.
Но это было давно, как щас не знаю, а dnla - мультикаст? А плойки только dnla играть умеют?
Автор: coolpunk
Дата сообщения: 11.10.2012 06:29
Starshark2007
Спасибо за ответ.
NAS у меня от Synology, KWF на него не поставить, упустил из описания.
Комп с KWF с тремя интерфейсами: 192.168.1.1, 192.168.7.1 и внешний.
NAS стоит во второй сетке, но часть функций нужны в первой.
Не знаю как работает DNLA, трафик не идет через KWF, поэтому логов нет.
PS3 умеет читать и файлами, но не знаю как на ней подключить путь к "библиотеке".
Автор: Klopikmoscow
Дата сообщения: 11.10.2012 15:31
Ранее писал о странных хостах, которые появились в керио ни с того, ни с сего.
Обнаружил, что стало их больше. Гляньте скриншот - что это может быть?
Все, что попали в скриншот - все "не мои"!
http://www.waveideas.net/kerio.png

Добавлено:
Переадресация ДНС?
Автор: ipmanyak
Дата сообщения: 11.10.2012 16:17
Klopikmoscow
NetRange: 199.87.232.0 - 199.87.239.255
CIDR: 199.87.232.0/21
OriginAS: AS22552
NetName: ESITED01
NetHandle: NET-199-87-232-0-1
Parent: NET-199-0-0-0-0
NetType: Direct Allocation
RegDate: 2011-02-03
Updated: 2012-03-02
Ref: http://whois.arin.net/rest/net/NET-199-87-232-0-1

OrgName: eSited Solutions
OrgId: NL-1
Address: 600 W 7th
City: Los Angeles
StateProv: CA
PostalCode: 90017
Country: US
RegDate: 2010-10-04
Updated: 2012-06-18
---------------------------
Адреса америкосские. Если у вас включен прокси, то возможно он у вас открыт для всех, а не только для локальных сетей, проверьте.
Проверить прокси на открытость можно здесь:
http://www.checker.freeproxy.ru/checker/

Автор: Klopikmoscow
Дата сообщения: 11.10.2012 17:16
Выдало такое:
Proxy check processing...


* test proxy by using new fast testing technology

proxy1.ru:3128    HTTP: Cannot connect to proxy!: Connection refused (111)
proxy2.com:80    HTTP: proxy does not work!*
proxy2.com:80    SOCKS 4: Non-SOCKS port!
proxy2.com:80    SOCKS 5: Non-SOCKS port!
proxy3.com:8080    Cannot connect to proxy!*
Автор: ipmanyak
Дата сообщения: 11.10.2012 17:58
Klopikmoscow Похоже вы не догадались, что нужно задать свой внешний IP и порт, какой смысл тестить то, что там было введено до вас?
proxy1.ru : 3128
proxy2.com:80
proxy3.com 8080
это вам показали для примера, как указать список тестируемых проксей. и порты.
Автор: rom77
Дата сообщения: 15.10.2012 08:46
Добрый день знатоки вопрос такой. Стоит в офисе шлюз с керио, а во втором офисе фаервол железный d-link dfl-260e. Необходимо както связать данное оборудование. Как создать впн между ними. в-link должен быть клиентом.
Автор: wwladimir
Дата сообщения: 15.10.2012 11:03
rom77
Да тут и знатоком быть не надо...
Стоит посмотреть одну страничку на kerio.ru ( http://www.kerio.ru/ru/control/utm/vpn ).
Ключевая строка -
Цитата:
Клиент может быть установлен на Windows, Mac и Linux.


Если вы сможете установить Kerio VPN клиент ( отсюда http://www.kerio.ru/node/347#tabs-control-2 ) на свой D-link, то будет он клиентом...
Автор: rom77
Дата сообщения: 15.10.2012 11:06
Если бы я мог установить клиент на длинк то уже бы установил его.
если вы знаете как это сделать подскажите, или подскажите другое решение может vpn ipsec ? как это сделать?
Автор: centrrustam
Дата сообщения: 15.10.2012 11:31
всем привет! у меня такая проблема, при попытке войти на веб-консоль аминистрирования, выдает такое сообщение
    

"В процессе разработки

Узел, к которому выполняется обращение, не имеет в настоящее время домашней страницы. Вероятно, он находится в процессе обновления или настройки. "

что это может быть и как решить проблему!?! Заранее спасибо!

Автор: Klopikmoscow
Дата сообщения: 15.10.2012 11:45
ipmanyak
test proxy by using new fast testing technology

213.184.*.*:3128    HTTP: Cannot connect to proxy!: Connection refused (111)
213.184.*.*:80    HTTP: Cannot connect to proxy!: Connection refused (111)
213.184.*.*:8080    HTTP: proxy does not work!
213.184.*.*:8080    SOCKS 4: Non-SOCKS port!
213.184.*.*:8080    SOCKS 5: Non-SOCKS port!
Автор: wwladimir
Дата сообщения: 15.10.2012 11:58
rom77
Только индивидуальным запросом в Керио наверно.
Ну своя у них реализация VPN, внутрифирменная.

Решение - использовать VPN от Микрософт ( или иную реализацию на Ваш вкус), а Керио дать его пропускать мимо себя.
Если Kerio VPN принципиален, то на конце клиента вместо/вместе D-Link использовать Керио (или индивидуальные клиенты у пользователей).
Автор: rom77
Дата сообщения: 15.10.2012 12:10
ну вот в принципе я и пришел к такому решению. Керио стоит на тачке с w2008, на ней поднять vpn, а через керио пропускать. Керио принципиален, и на другом конце должен быть д-линк. Только какие правила прописать на керио и что подкрутить? версия керио 7.3
Автор: wwladimir
Дата сообщения: 15.10.2012 13:39
rom77
Ну примерно так-
протоколы PPTP,GRE и возможно Ident к интернет-интерфейсу (или к хосту "брандмауэра") разрешить, NAT не включать.
У меня так работало (сейчас правда "зюхели" VPN-ом занимаются).

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117

Предыдущая тема: Права доступа NTFS


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.