Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Kerio Control (ex Kerio WinRoute Firewall)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54

Открыть новую тему     Написать ответ в эту тему

Germanus



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору


GFI KerioControl ™


Kerio Control™ является межсетевым экраном (МСЭ) корпоративного уровня, созданным специально для малого и среднего бизнеса. Надежная защита от хакерских атак, клиент-серверная VPN-технология, интегрированный Sophos Antivirus, мощные инструменты для управления доступом в Интернет на базе Kerio Control Web Filter, гибкие настройки и удобное управление: эти и многие другие уникальные особенности делают Kerio Control aka Kerio WinRoute Firewall идеальным решением для защиты Вашей сети от враждебного Интернет-окружения.
Удостоенный высоких отраслевых наград Kerio Control, разработан специально для защиты компаний от полного спектра сетевых угроз. Автоматически обновляющийся модуль защиты в Kerio Control обнаруживает и предотвращает возникающие угрозы, одновременно давая администратору сети гибкие инструменты для управления политиками доступа пользователей, полного управления полосой пропускания и QoS, детального мониторинга сети, и возможность VPN подключения с IPSec для настольных компьютеров, мобильных устройств и удаленных серверов.Kerio Control обеспечивает превосходную защиту сети, является стабильным, безопасным и, что немаловажно, простым в управлении.
Последняя версия:

Kerio Control 9.4.2 patch 1 Build 7290, Released on: Oct 17, 2022 Release history
Старые версии(лекарство смотрим ниже):
Kerio Control 7.0.1 Build 1098, Released on: August 04, 2010
Kerio Control 7.4.2 Build 5136, Released on: March 12, 2013
Скачать с оффсайта -> win32 | win64
Kerio Control 7.0.0 Build 896, Released on: June 01, 2010
Скачать с оффсайта -> win32 | win64
KWF 6
Kerio WinRoute Firewall 6.7.1 Patch 2 Build 6544, Released on: March 09, 2010
Скачать с оффсайта -> win32 | win64
Информация по KControl 8.x.x
Руководство по переходу с платформы Windows на Kerio Control Appliance

Официальная документация на Английском языке
Официальная база знаний на Русском языке
Создание VPN туннеля между KControl 8.1 и MikroTIK Router OS 6.1
 
Информация по KWF 6.x.x

C 30.04.2007 старые библиотеки внутреннего сканера McAfee не поддерживаются и автоматически не обновляются...  
Бета версии
Manual Eng (PDF)
Step-by-Step installation guide Eng (PDF)
Kerio VPN Client Manual (PDF)
Сброс пароля администратора
 
Настройка, русификация, полный русский мануал
Ключи для Kerio WinRoute Firewall
 
Использование VPN server IPsec Kerio Control 8 с IPsec клиентом - от 7KirOV7
 


F.A.Q. На Winroute.ru - ПРАВИЛЬНАЯ настройка DNS и сетевых интерфейсов!!!
 
FAQ составлен по материалам форумов "Windows FAQ" - Форум - "KWR 5.0 (Kerio Winroute 5.0)" (стр.1-93 вопр. 1-122) и "XBT Hardware BBS » Системное  
администрирование, безопасность » Winroute FAQ" - "Просьба все вопросы по Winroute задавать в этой ветке?" (стр. 1-18 вопр. 123-171)

_http://12kms.fatal.ru/_kwf.html
 
Тут одна компания полностью на русский язык перевела хелп  
Kerio WinRoute Firewall 6.0. Руководство Администратора  
Может кому надо: _http://www.internetaccessmonitor.com/rus/support/docs/winroute/
Офлайновая версия этого перевода: http://fronik.narod.ru/kwf/ (1.5Мб)
 
также много полезной информации по настройке на сайтах: ввв.xerio.kiev.ua и kerio-rus.ru


WinRoute Spy – программа анализа файлов логов популярного прокси-сервера и Internet-шлюза Winroute (версии 4.Х) и Kerio Winroute Firewall 5.Х.
Internet Access Monitor for Kerio WinRoute - программа анализа логов, составления отчётов по использованию интернет-ресурсов.
 
Внимание, KWF является корпоративным сетевым фаерволом, поэтому, в его функционал не входит и не может входить контроль приложений. Для этого пользуйтесь персональными фаерами, и не нагружайте топик лишними вопросами.
 
Kerio Control 8.6.1 решение проблемы с часовыми поясами
Решение проблемы с 1С-отчетностью (доступ к серверу report.keydisk.ru на порты 110 и 465) | Ещё способ

// текущий бэкап шапки..

Всего записей: 4418 | Зарегистр. 08-06-2003 | Отправлено: 00:00 17-06-2020 | Исправлено: merdiff, 09:02 05-03-2024
Starshark2007

Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
granddizel
 
Ты нат включал src или dst?
Нужно src.
 
Ладно, устал я уже с упертым разговаривать.
 
Твоя проблема в неправильном дизайне сети. Можно, но неправильно делать 2 гейтвея в одном сегменте.
 
Когда ты пускаешь пакет из 1 сети в 57-ую, то пакет проходит, как ты заметил 3 узла.  
 
1. Керио
2. Микротик
3. Собственно Узел назначения.
 
Обратный же пакет ответа проходит через 2 узла
 
1. Микротик
2. Узел источник пакета
 
То есть на керио этот пакет не попадает.
 
Надеюсь понятно почему так происходит?
 
Собственно файрволл на узле-источнике отбрасывает пришедшие пакеты-ответы, как незапрошенные входящие, потому что отправлялись они на керио, а пришли от микротика.
 
Есть 3 решения.
 
1. Включить src-nat на керио, тогда обратный пакет будет идти с микротика на керио и далее на узел источник
2. Убрать файрволл, что бы не дропал пакеты
3. Самый правильный - изменить дизайн сети. Убрать микротик из подсети 1. Сделать промежуточную подсеть для связи между керио  и микротиком.
 
Замечу что эта ситуация обсуждалась здесь неоднократно, думаю, если бы поискал по теме - нашел бы.

Всего записей: 390 | Зарегистр. 03-02-2006 | Отправлено: 18:53 06-10-2020 | Исправлено: Starshark2007, 18:55 06-10-2020
granddizel

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Starshark2007
я уже совсем запутался...  
в прошлом сообщении ты говорил включить нат на керио в правилах у керио... для этих сетей, но сети у меня определяются как локальные поэтому конкретного разрешающего правила я для них не создавал.  
вчера по твоему совету создавал для теста правило и в настройках включал нат
 
если я правильно понимаю

то на этом скрине у меня как раз src а для dst это надо галочку обратного соединения
 
 
на самом деле если копнуться глубже то сети у меня намного запутаннее я лишь описываю простой путь, с которым проще выяснить проблему.
 
т.к. по мимо недавно созданной сети видеонаблюдения есть провайдерский тунель в другой город
 
всех подробностей не знаю но что с одной стороны что с другой стоят микротики объединяющие сети.
 
до керио использовалась иса в каждом городе она же являлась шлюзом для многих устройств в каждом из городов...
на исе прописан ручной маршрут на микротик
 
и через ису как бы локальный трафик проходит нормально.
вот и получается что с исы я хочу на керио переехать, а с ним у меня проблемы. хотя маршрут на нём поднят...
 
как ты упомянул что "файрволл на узле-источнике отбрасывает пришедшие пакеты-ответы" вероятность такая есть но это не объясняет туже самую проблему когда он отключен следовательно ничего не блокирует. плюс к тому же на исе были бы аналогичные проблемы а их нет.

Всего записей: 21 | Зарегистр. 24-10-2014 | Отправлено: 08:10 08-10-2020
Starshark2007

Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
granddizel
 
1. dst nat - не нужен в этой ситуации, только src (ыключить источник нат)
 
Если хочешь гарантировано уйти от проблем - то используй силу, Люк, измени дизайн сети.

Всего записей: 390 | Зарегистр. 03-02-2006 | Отправлено: 23:34 08-10-2020
Rinat2015



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
granddizel, а откуда такая уверенность что проблема в керио? У тебя тут связка керио-микротик, грешить тут можно на оба. У меня нет под рукой микротика и испытать не могу, но как-то я собирал подобную схему, только вместо микротика была виндовс машина, т.е. на компе было 2 сетевые одна стандартно в локалку, другая на 3G роутер (на внутренню подсеть прова), было лень тащить до керо временный кабель от этой машины, вот и включил на винде роутинг и добавил маршрут в керо и все работало.
Я это к тому, нет ли у тебя бюджетного роутера для тестирования той же схемы?  

Всего записей: 486 | Зарегистр. 13-05-2012 | Отправлено: 07:07 09-10-2020 | Исправлено: Rinat2015, 07:10 09-10-2020
granddizel

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Rinat2015
ну как я упомянул выше, то на ИСЕ 2000 если не ошибаюсь то достаточно древней всё работает замечательно.
в обход керио на примую в микротик всё работает замечательно...
 
из этого я делаю выводы что проблему надо копать со стороны керио...
 
ну с винды на винду обычно проблем нет когда их объединяет общий шлюз
если шлюзы разные какраз и применяется маршрутизация чтобы устройства понимали где в каком месте искать нужную подсеть...
 
на керио маршрутизация то как раз есть и прописана... но кроме разрешения пинга и трасерта она ничем не помогает...
 
в теории как ты упомянул если протянуть кабель из 57.х в керио (ну типо вланы и тп)
то на керио уже напрямую будет 57 сеть и возможно эта проблема решится... но данный способ больше похож на костыль...
 
Starshark2007
попробовал всевозможные комбинации галочек со скриншота выше... как говорится а воз и ныне там...
 
изменить дизайн сети... идея конечно хорошая...
Есть пример схемы сети?  
Как по твоему это должно быть реализовано с использованием нескольких подсетей в одном городе и объединением туннелем с другой подсетью в другом городе? чтобы всё работало без проблем?

Всего записей: 21 | Зарегистр. 24-10-2014 | Отправлено: 09:08 09-10-2020
Huperian

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
смотрел, что логи говорят ?

Rinat2015
вобщем при l2tp на керио после одного или двух переподключений логи замолкают и интерфейс висит в статусе подключение, на стороне сервера все глухо ничего не приходит, помогает пересоздание интерфейса или ребут керио.
 
Нашел решение, но не знаю насколько оно правильное)
Вобщем замена файлов из репы debian в /usr/sbin  xl2tpd-control,xl2tpd

Всего записей: 6 | Зарегистр. 04-10-2017 | Отправлено: 00:00 12-10-2020 | Исправлено: Huperian, 00:05 12-10-2020
Starshark2007

Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
granddizel
 
Или, исходя из kiss - принципа, ты оставляешь по одному устройству на точке, причем хоть микротик, хоть керио, неважно, оба - роутеры и справятся с задачами.
Или делаешь пункт 3 из моего предыдущего письма, то есть убираешь микротик из сегмента 57-й сети. Делаешь отдельный сегмент со своей отдельной подсетью для связи между керио и микротиком. Настраиваешь роутинг на керио и микротике через этот сегмент.
Тогда у тебя все будет ходить по одному пути,а не по разным и все будет работать.
 
Как тебе поступить - решай сам. Я не твой консультант чтобы рассказывать тебе основы построения сетей. Да и оффтоп  это здесь. Тут ветка по Керио. А твоя проблема не в керио вовсе.
 

Всего записей: 390 | Зарегистр. 03-02-2006 | Отправлено: 23:27 13-10-2020
granddizel

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
вот именно что в керио так как  
1) через ручной маршрут в обход керио всё работает
2) через ису всё работает
3) через другое устройство за место керио всё работает
4) через трафик инспектор тоже работает
5) а через керио работает криво или не работает вовсе.
 
вот и получается что керио по умолчанию не знает куда адресовать запросы для 57.х
после настройки на керио маршрута керио начинает понимать куда идти трафику
и пинг и трасерт после указания марштура появляются.
 
это по сути стандартный функционал любого роутера(маршрутизатора)
но видимо для керио это проблематично так как кроме пинга и трасерта остальное всё фильтруется... а как решить этот вопрос на керио непонятно...

Всего записей: 21 | Зарегистр. 24-10-2014 | Отправлено: 10:23 14-10-2020
Starshark2007

Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
granddizel
 
Ты - пиздец, тормоз...
Я заеб..ся обьяснять тебе твой косяк.
 
Все, я - пас...

Всего записей: 390 | Зарегистр. 03-02-2006 | Отправлено: 16:49 14-10-2020 | Исправлено: Starshark2007, 20:35 14-10-2020
smurf78

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
народ, а никто не пробовал реализовать авторизацию на керио с помощью curl на windows 10?  Задолбала эта свистопляска с IE

Всего записей: 203 | Зарегистр. 17-11-2017 | Отправлено: 16:39 17-10-2020
neyasyt9



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
smurf78
ты имеешь в виду при логоне пользюка в систему запускается ИЕ и просит авторизоваться на керио? если да, то было бы интересно что-то по этому поводу узнать. я думал это только меня раздражает)

Всего записей: 240 | Зарегистр. 19-01-2015 | Отправлено: 19:05 17-10-2020
smurf78

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
neyasyt9
нет, curl под 10-ой сам же лезет по ссылке. Я вчера посмотрел, имхо нифига не выйдет.  
Там же помимо входа на сайт идет сквозная доменная авторизация. Ее умеет или IE или Chrome, используя настройки IE.

Всего записей: 203 | Зарегистр. 17-11-2017 | Отправлено: 15:06 18-10-2020
Merlin2006

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здравия!
Необходимо на машине с Керио Контрол поменять одну сетевую карту. Её перепрописывать надо в консоли или можно через Web (меняю карту смотрящую в маршрутизатор)?

Всего записей: 1226 | Зарегистр. 20-07-2009 | Отправлено: 16:52 19-10-2020
nsw88



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Коллеги. 2 сервака KerioControl 9.2.7 и 9.3.  Коннект через kerio vpn с 9.3 на 9.2.7. На клиенте "connection closed by peer". Как подружить? Сравнять версии пока не вариант.

Всего записей: 241 | Зарегистр. 02-03-2007 | Отправлено: 15:28 20-10-2020
Rinat2015



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
nsw88, попробуй это, м.б. поможет.
Зайти по SSH на новый и выполнить следующее:
- Go to /opt/kerio/winroute folder  
- Run ./tinydbclient "Update VPN set AllowBlowfishCipher=1"  

Всего записей: 486 | Зарегистр. 13-05-2012 | Отправлено: 16:20 20-10-2020
nsw88



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Rinat2015

 Пробовал. Нифига.
Пока обошелся IPSEC.
Но всеравно если кто сталкивался оч, интересно найти решение.

Всего записей: 241 | Зарегистр. 02-03-2007 | Отправлено: 16:29 20-10-2020 | Исправлено: nsw88, 16:32 20-10-2020
Darktime



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый день.
Перешли с 7 виндового керио на 9 линуксовый. Все настройки сделали идентичными, но сейчас появилась странная проблема. Компьютеры не пингуют свой шлюз (сервер Керио), но сервер днс пингуют и другие машины могут видеть.
Но стоит с Керио зайти в IP-инструменты и запустить пинг до компа, как комп сразу начинает видеть шлюз и все начинает работать нормально. И такое может повториться несколько раз.
Где керио блокирует пользователей и как это увидеть? И почему, после пинга с керио все начинает работать?

Всего записей: 87 | Зарегистр. 02-06-2010 | Отправлено: 09:13 21-10-2020
livemotion

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый день.
Возможно ли отключить TLSv1.1 ?
В winroute.cfg в DisabledProtocols добавил TLSv1 и TLSv1.1 - первая версия отключилась, а 1.1 всё равно осталась. Может как-то по другому написать надо?
версия 9.3.4 b3795

Всего записей: 43 | Зарегистр. 29-11-2006 | Отправлено: 11:14 22-10-2020 | Исправлено: livemotion, 11:15 22-10-2020
Crocodial

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый день!
Год назад установили  Kerio  9.3.0. build 3273.  До вчерашнего дня работал нормально.
Вчера пропал интернет на короткий срок,  где то на 30 секунд. Думал у провайдера проблемы. Через час еще повторилась история примерно на 30 секунд. Захожу в Kerio смотрю логи оказывается  он перезапустился.  
Логи ниже:
[23/Oct/2020 12:38:23] Kerio Control 9.3.0 build 3273: Startup
[23/Oct/2020 12:38:54] Intrusion Prevention engine: Startup
[23/Oct/2020 12:50:16] Kerio Control 9.3.0 build 3273: Startup
[23/Oct/2020 12:50:46] Intrusion Prevention engine: Startup
[23/Oct/2020 14:52:04] Kerio Control 9.3.0 build 3273: Startup
[23/Oct/2020 14:52:35] Intrusion Prevention engine: Startup
[23/Oct/2020 14:58:39] Kerio Control 9.3.0 build 3273: Startup
[23/Oct/2020 14:59:10] Intrusion Prevention engine: Startup
 
Сработал Механизм предотвращения вторжений:   Что делать чтоб  исправит

Всего записей: 118 | Зарегистр. 04-07-2008 | Отправлено: 13:03 23-10-2020
Merlin2006

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здравия!
Возможно уже ранее обсуждалось, но спрошу: ВПН от Керио режет скорость или мне кажется? С интернета скачивается и отдается все по-полной, а через ВПН (клиент от Керио) по удаленке (РДП) притормаживает. Это нормально? Канал 120/120 Мбит/с.
Благодарю.

Всего записей: 1226 | Зарегистр. 20-07-2009 | Отправлено: 15:53 26-10-2020
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Kerio Control (ex Kerio WinRoute Firewall)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru