Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Kerio Control (ex Kerio WinRoute Firewall)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54

Открыть новую тему     Написать ответ в эту тему

Germanus



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору


GFI KerioControl ™


Kerio Control™ является межсетевым экраном (МСЭ) корпоративного уровня, созданным специально для малого и среднего бизнеса. Надежная защита от хакерских атак, клиент-серверная VPN-технология, интегрированный Sophos Antivirus, мощные инструменты для управления доступом в Интернет на базе Kerio Control Web Filter, гибкие настройки и удобное управление: эти и многие другие уникальные особенности делают Kerio Control aka Kerio WinRoute Firewall идеальным решением для защиты Вашей сети от враждебного Интернет-окружения.
Удостоенный высоких отраслевых наград Kerio Control, разработан специально для защиты компаний от полного спектра сетевых угроз. Автоматически обновляющийся модуль защиты в Kerio Control обнаруживает и предотвращает возникающие угрозы, одновременно давая администратору сети гибкие инструменты для управления политиками доступа пользователей, полного управления полосой пропускания и QoS, детального мониторинга сети, и возможность VPN подключения с IPSec для настольных компьютеров, мобильных устройств и удаленных серверов.Kerio Control обеспечивает превосходную защиту сети, является стабильным, безопасным и, что немаловажно, простым в управлении.
Последняя версия:

Kerio Control 9.4.2 patch 1 Build 7290, Released on: Oct 17, 2022 Release history
Старые версии(лекарство смотрим ниже):
Kerio Control 7.0.1 Build 1098, Released on: August 04, 2010
Kerio Control 7.4.2 Build 5136, Released on: March 12, 2013
Скачать с оффсайта -> win32 | win64
Kerio Control 7.0.0 Build 896, Released on: June 01, 2010
Скачать с оффсайта -> win32 | win64
KWF 6
Kerio WinRoute Firewall 6.7.1 Patch 2 Build 6544, Released on: March 09, 2010
Скачать с оффсайта -> win32 | win64
Информация по KControl 8.x.x
Руководство по переходу с платформы Windows на Kerio Control Appliance

Официальная документация на Английском языке
Официальная база знаний на Русском языке
Создание VPN туннеля между KControl 8.1 и MikroTIK Router OS 6.1
 
Информация по KWF 6.x.x

C 30.04.2007 старые библиотеки внутреннего сканера McAfee не поддерживаются и автоматически не обновляются...  
Бета версии
Manual Eng (PDF)
Step-by-Step installation guide Eng (PDF)
Kerio VPN Client Manual (PDF)
Сброс пароля администратора
 
Настройка, русификация, полный русский мануал
Ключи для Kerio WinRoute Firewall
 
Использование VPN server IPsec Kerio Control 8 с IPsec клиентом - от 7KirOV7
 


F.A.Q. На Winroute.ru - ПРАВИЛЬНАЯ настройка DNS и сетевых интерфейсов!!!
 
FAQ составлен по материалам форумов "Windows FAQ" - Форум - "KWR 5.0 (Kerio Winroute 5.0)" (стр.1-93 вопр. 1-122) и "XBT Hardware BBS » Системное  
администрирование, безопасность » Winroute FAQ" - "Просьба все вопросы по Winroute задавать в этой ветке?" (стр. 1-18 вопр. 123-171)

_http://12kms.fatal.ru/_kwf.html
 
Тут одна компания полностью на русский язык перевела хелп  
Kerio WinRoute Firewall 6.0. Руководство Администратора  
Может кому надо: _http://www.internetaccessmonitor.com/rus/support/docs/winroute/
Офлайновая версия этого перевода: http://fronik.narod.ru/kwf/ (1.5Мб)
 
также много полезной информации по настройке на сайтах: ввв.xerio.kiev.ua и kerio-rus.ru


WinRoute Spy – программа анализа файлов логов популярного прокси-сервера и Internet-шлюза Winroute (версии 4.Х) и Kerio Winroute Firewall 5.Х.
Internet Access Monitor for Kerio WinRoute - программа анализа логов, составления отчётов по использованию интернет-ресурсов.
 
Внимание, KWF является корпоративным сетевым фаерволом, поэтому, в его функционал не входит и не может входить контроль приложений. Для этого пользуйтесь персональными фаерами, и не нагружайте топик лишними вопросами.
 
Kerio Control 8.6.1 решение проблемы с часовыми поясами
Решение проблемы с 1С-отчетностью (доступ к серверу report.keydisk.ru на порты 110 и 465) | Ещё способ

// текущий бэкап шапки..

Всего записей: 4418 | Зарегистр. 08-06-2003 | Отправлено: 00:00 17-06-2020 | Исправлено: merdiff, 09:02 05-03-2024
kenyx121

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
В таком случае получается, что после нажатия "Не доверять" на DST_Root_CA_X3 не остается других вариантов, кроме как сброс Kerio до заводских и далее подмена содержимого сертификата?

Нет, просто надо посмотреть и найти любой другой истекший сертификат и заменить его содержимое.
 

Цитата:
Лично у меня, web filter действительно отключился после замены содержимого DST_Root_CA_X3.crt, посмотрел по логам.

Web Filter отключился не после замены серта, а после перезагрузки. Вчера GFI что-то сделали с сервером активации и такое поведение было у всех, кто вчера перезагружал керио.
 

Всего записей: 6 | Зарегистр. 07-10-2021 | Отправлено: 09:57 08-10-2021
eineo



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kenyx121
Помогло, спасибо)

Всего записей: 198 | Зарегистр. 16-07-2007 | Отправлено: 12:21 08-10-2021
koresh777

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
) enable ssh and go to terminal
2) remount root disk to RW
mount / -o remount,rw
3) delete old crt  
cd /opt/kerio/winroute/sslcert/builtin/
rm DST_Root_CA_X3.crt
4) add new crt from https://letsencrypt.org/certs/isrgrootx1.pem.txt to isrgrootx1.crt
vi isrgrootx1.crt
5) reboot

Блин дядьки, я сегодня видимо самый тупой. Решил просто на стендовом КС поэкспериментировать, и нифига не пойму действия 4-го пункта. Пробовал в winscp через терминал проделать по пунктам, только не удалял старый серт. Перевел  системный раздел в режим на запись, далее перешел в директорию cd /opt/kerio/winroute/sslcert/builtin/, далее ввожу vi isrgrootx1.crt и после чего winscp разрывает соединение. Пробовал через консоль kerio, после того как ввожу  vi isrgrootx1.crt, все, ничего не происходит. Что делаю не так?

Всего записей: 67 | Зарегистр. 08-10-2017 | Отправлено: 12:29 08-10-2021
kenyx121

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Что делаю не так?

Вместо winscp надо открыть ssh сессию с помощью putty. vi открывает текстовый редактор и создает файл isrgrootx1.crt в который надо скопировать содержимое сертификата доступного по ссылке. Так как vi достаточно сложен в использовании, советую заменить vi isrgrootx1.crt на nano isrgrootx1.crt .
 
Но, еще раз повторю, так работа https inspection не исправится и сообщение о недоверии к сертификату продолжит появляться. На данный момент единственный рабочий метод - замена содержимого любого просроченного сертификата на содержимое доступное по ссылке выше. И это не ломает работу web filter - он сломается при перезагрузке так как проблема на серверах активации kerio!

Всего записей: 6 | Зарегистр. 07-10-2021 | Отправлено: 12:54 08-10-2021
koresh777

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Вместо winscp надо открыть ssh сессию с помощью putty. vi о

все, теперь понял. Просто для общего развития узнавал. На самом деле через прогу winscp эта процедура делается гораздо удобнее и быстрее. Удобнее тем что директории как в totalcommander , далее нажимаешь на значок терминала в программе и вводим mount / -o remount,rw. Длее идем в директорию с сертами, наживаешь на нужный и копируешь внутрь что нужно. Но не суть. Сегодня пол дня тестил стенд со свеже установленным КС. После установки сделал контрольную точку на HyperV данной машины, далее не активируя накатил файл конфигурации от прошлой машины, на которой были проблемы активации. Далее активация месячной лицензией, получаем болт. Анивирус\предотвращение вторжений вроде как активированы, но не обновляются. Вэб фильтры пытаются активироваться, но не получается, прилетает сообщение в логах Unknown product license - IP XXX.XXX.XXX.XX logged for further investigation. '. Categorization will not work. Снова делаю снапшот, и откатываюсь на прошлый. Активирую месячной, все приблуды заработали, обновления пошли. Лааадно думаю, откатываюсь снова на ту точку, где были проблемы. Там уже все активировано, антивирь заново тянет обновы. далее проделал махинацию по замене содержимого серта, Почему-то  (!!!) серт уже пишет что эмитет и темо его ISRG Root X1, т.е не как вчера когда первый раз делал эти данные появились после ребута, а прям сразу. Предупреждений при открытии страниц больше нет, активация не слетела. Хотел еще ве заново провернуть, но как-то страшновато попасть ip-шником в черные списки. Боевой сервак под раздачу еще попадет. Вот как-то так, теперь ребут не ребут, пока все норм, но блин боевой пока боязно серт подменять

Всего записей: 67 | Зарегистр. 08-10-2017 | Отправлено: 13:50 08-10-2021
theshef21



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
-

Всего записей: 28 | Зарегистр. 05-10-2019 | Отправлено: 17:10 08-10-2021 | Исправлено: theshef21, 17:01 22-11-2021
koresh777

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
такое ощущение что GFI стали активно бороться с "нелегалами" егодня обновил месячную лицензию, в логах  
 IPS rules update check failed: Server returned '(251) Unknown product license - IP х.х.х.х logged for further investigation.'.
При этом на тестовом, на котором тестировал в пятницу подмену сертов, все в поряде. Обновлял лицензию тестового 08.10.2021, обновляется и антивирус и предотвращение вторжений

Всего записей: 67 | Зарегистр. 08-10-2017 | Отправлено: 15:07 11-10-2021 | Исправлено: koresh777, 15:37 11-10-2021
Irmag

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Я вот хочу купить лицензию, но  я нифига не понял может кто то объяснить. Мне нужен керио + веб фильтер + антивирус+ впн, в интернете нет вразумительного сайта где можно было бы понять интуитивно и купить. Везде предлагают лицензию какую то, и в скобках написано от 10 до 19 пользователей. А пользователи собственно на что влияют, как в 1с 1 активное подключение 1 пользователь, или это для какие то функций по типу почты контрола и так далее. Если у меня просто файрвол на 100+ пользователей где керио отвечает за раздачу айпи и доступа в интернет + парочка пользователей впн. Это является 100 лицензиями или это все под 1 может быть + 2 на впн пользователя?

Всего записей: 26 | Зарегистр. 17-06-2015 | Отправлено: 09:58 12-10-2021
koresh777

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
но  я нифига не понял может кто то объяснить

Да куда проще позвонить в любую контору, которая данным продуктом торгует, они охотно отвечают на любые вопросы, и не получится ложной или дезинформирующей инфы

Всего записей: 67 | Зарегистр. 08-10-2017 | Отправлено: 11:37 12-10-2021
Oddisey

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите. Есть сервер Kerio Control, 6 версия (точно версию не знаю, сервер не мой). К нему подключается клиент VPN версии 8.1 (нормально). Проблема следующая, клиенты 8 серии не устанавливаются на сервер 2022 (ошибка установки драйвера). 9 версия (последняя) клиента устанавливается, но не подключается к 6 версии сервера. Собственно вопроса два - какая крайняя версия клиента работала с 6 сервером? И можно ли как то победить ошибку установки 8 версии?
 
...на достаточно древней версии Windows 10  8 клиент работал.
 
 
...сам себе отвечу. Нашел вариант. Нужно вытащить из дистрибутива драйвера и установить их руками. После этого старая версия (8.1) встает без проблем. И даже работает .

Всего записей: 677 | Зарегистр. 28-08-2003 | Отправлено: 13:16 14-10-2021 | Исправлено: Oddisey, 14:29 14-10-2021
koresh777

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Нужно вытащить из дистрибутива драйвера и установить их руками

Нужно было просто разрешить установку неподписанных драйверов. Я не пойму почему, но подпись у них присутствует не на всех клиентах. Пример - клиент 9.2.1. имеет цифровую подпись, а вот начиная с 9.2.5 если не ошибаюсь, уже нет. Установка танцы с бубнами.Столкнулся с этим когда обновил сервер до 9.3.1 Клиенты 9.2... не могут подключаться к 9.3..., различия в шифровании, поэтому установка клиентов 9.2.1 уже не прокатывала. Еще доставляет проблем если приходилось ставить удаленно клиента. Как правило чтоб включить установку неподписанных дров начиная с винды 8.1, требовался хитрый ребут. Научить юзера естественно не реально, приходилось настраивать IPSEC

Всего записей: 67 | Зарегистр. 08-10-2017 | Отправлено: 09:24 15-10-2021 | Исправлено: koresh777, 09:26 15-10-2021
Azasly



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Всем привет, не смог найти информацию, как обновлять антивирус
Кто может подсказать, либо ссылку на гайд

Всего записей: 1 | Зарегистр. 21-07-2016 | Отправлено: 08:02 18-10-2021
Dehydro



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый день, кто владеет информацией, если проапгрейдить 8.6.2 -> 9.3.6 Kerio Control Client старой версии будут к новой подключаться или обязательно тоже апгрейдить?

Всего записей: 17 | Зарегистр. 10-02-2006 | Отправлено: 09:05 22-10-2021
Bondster



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Dehydro
Уважаемый, неужели так сложно воспользоваться "Версией для печати" и прочитать весь массив данных созданный для Вас.  
 
Предистория:
Version 9.2.9 - January 31st, 2019
*    Swap support
-    Fixed: Kerio VPN - Disabled insecure and vulnerable protocol Blowfish
-    Fixed: Optimized Snort priority for improved traffic bandwidth
-    Fixed: Changed affinity for snort process for improved traffic bandwidth -    Fixed: HW NG500 crash
-    Older Kerio VPN Clients are not able to connect using this build. To allow please follow the following steps. -    Open ssh connection or from console
-    Go to /opt/kerio/winroute folder
-    Run ./tinydbclient "Update VPN set AllowBlowfishCipher=1"
 
Решение:
Спасибо коллегам
После обновления зайти по SSH на Kerio server и выполнить следующее:
- Go to /opt/kerio/winroute folder
- Run ./tinydbclient "Update VPN set AllowBlowfishCipher=1"

Reboot server

Всего записей: 31 | Зарегистр. 31-01-2006 | Отправлено: 20:09 22-10-2021 | Исправлено: Bondster, 20:23 22-10-2021
GCRaistlin



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Есть ли возможность через Kerio Control заблокировать запросы на основе значения user agent?
 
Добавлено:
Суть проблемы: в экселовском файле есть ссылки на товары на aliexpress.com. Если переходить по ним, то в браузере открываются страницы на aliexpress.ru, что не то, чего хотелось бы. Виновна в безобразии, разумеется, M$ со своей Microsoft Office Protocol Discovery. Отключить эту фичу, судя по всему, нельзя, и даже костыль - зайти в IE на aliexpress.ru и сделать там Go to Global Site - не помогает. Поэтому хотелось бы просто заблокировать ее работу.

----------
Magically yours
Raistlin

Всего записей: 3962 | Зарегистр. 18-04-2005 | Отправлено: 15:35 23-10-2021
top_dmitru

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый день.
Нашел в AD этого User по GUID.
Он заблокирован. Это что он делает? Как в Kerio поправить?
В Debug спамит бесконечно:
 
[26/Oct/2021 10:14:29] {auth} user id 'f32d5d09-1630-44f0-b18e-572775bbfab5' found in autologins
[26/Oct/2021 10:14:33] {auth} user id 'f32d5d09-1630-44f0-b18e-572775bbfab5' found in autologins
[26/Oct/2021 10:15:10] {auth} user id 'f32d5d09-1630-44f0-b18e-572775bbfab5' found in autologins
[26/Oct/2021 10:15:11] {auth} user id 'f32d5d09-1630-44f0-b18e-572775bbfab5' found in autologins
[26/Oct/2021 10:17:36] {auth} user id 'f32d5d09-1630-44f0-b18e-572775bbfab5' found in autologins
[26/Oct/2021 10:17:37] {auth} user id 'f32d5d09-1630-44f0-b18e-572775bbfab5' found in autologins

Всего записей: 3 | Зарегистр. 14-10-2021 | Отправлено: 08:18 26-10-2021 | Исправлено: top_dmitru, 09:15 26-10-2021
sabir2010

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Приветствую.
 
Есть такая проблема.  
 
(2) Unable to activate Kerio Control Web Filter: Server returned '(251) Unknown product license - IP xxxxx logged for further investigation. '. Categorization will not work.
 
Мне в ветке варезника подсказали что это может быть связано с подменой сертификата, т.к сервер ругался на старый. Хочу отметить что эта проблема была еще до подмены сертификата после того как сгенерировал новую капчу челе Лицген.
 
Версия 9.3.4
 

Всего записей: 11 | Зарегистр. 30-05-2018 | Отправлено: 15:28 26-10-2021
koresh777

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Дядьки, всем добрый здрасьте. Решил написать свою инструкцию касательно сертификата  DST_Root_CA_X3 . Ради интереса и от безделья на работе в частности, решил воспроизвести ошибку Unable to activate Kerio Control Web Filter: Server returned '(251) Unknown product license - IP xxxxx logged for further investigation. '. Categorization will not work. тесты получились интересные. Я 3 раза делал  с удалением DST Root Х3 и создание и копирования нового, как по инструкции выше, то все 3 раза получал косяки ну и танцы с бубнами касательно возобновления  антивируса\фильтров и прочее. Далее я делал 3 раза по своему методу с помощью  Win SCP, все 3 раза были удачными, ничего не отваливалось, при этом серт делал свое дело. И так как я делал:
Включаем доступ SSH в КС
1.Через Win SCP подключаемся к КС (протокол выставляем SFTP, порт 22, имя хоста, логин Root пароль от КС
2. После подключения в Панели с КС выбираем директорию Корень и в левой верхней части программы нажимаем на значок терминала, после чего вводим команду mount / -o remount,rw. если не введете команду, а просто попробуете заменить содержимое серта, получите косяк с нерабочими Maintenance
3. переходим в директорию opt/kerio/winroute/sslcert/builtin и находим там просроченный DST_Root_CA_X3.crt, далее нажимаем на него и видим содержимое, которое меняем на содержимое isrgrootx1.рем.
4. Ребут
Вот именно в такой последовательности, ни разу не было проблем после подмены. ради интереса удалял DST_Root_CA_X3.crt, а потом его же копировал с уже заведомо другим содержимым, получал косяк. Менял просто isrgrootx1.cert заведомо переименовав его в DST_Root_CA_X3.crt, получал косяк
Далее тесты по восстановлению вэбфильтров и прочее. Дело нудное, порой с несколькими ребутами и так:
1 .Удалял Пдменный серт и возвращал старый просроченный через  Win SCP тупо копированием, естественно после команды mount / -o remount,rw    ( если у кого-то был серт удален напрочь. можно найти в нете либо обновить КС той же версией, либо как у меня иметь кучу виртуалок, думаю найти старый серт будет не проблемой) и ребут
2. Снова получал лицензию месячную и ждал 10 мин, если не помогало снова ребут, а то и 2.  
3. Как только все активировалось, подменял серт описанным способом выше, проблем не возникало. Вот как-то так. Повторюсь, дела по 3 раза способом выше где сперва удаляли старый, все три раза косяки, делал своим способом 3 раза, косяков не было. Совпадение или нет, решать вам, собственно как и делать или не делать таким способом. Для чистоты эксперимента было создано 6 виртуалок КС, дабы эксперимент  был ну ооочень чистым

Всего записей: 67 | Зарегистр. 08-10-2017 | Отправлено: 15:43 26-10-2021 | Исправлено: koresh777, 15:45 26-10-2021
Irmag

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
 
koresh777

Почти все понял, не понял откуда взялся isrgrootx1.рем в вашем руководстве) всмысле где его взять  

Всего записей: 26 | Зарегистр. 17-06-2015 | Отправлено: 05:16 27-10-2021
Merlin2006

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Почти все понял, не понял откуда взялся isrgrootx1.рем в вашем руководстве) всмысле где его взять  

https://letsencrypt.org/certs/isrgrootx1.pem

Всего записей: 1226 | Зарегистр. 20-07-2009 | Отправлено: 08:12 27-10-2021
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Kerio Control (ex Kerio WinRoute Firewall)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru