ShriEkeR Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Kerio Control (ex Kerio WinRoute Firewall) ™ смежная тема в варезнике [?] Kerio Control™ является межсетевым экраном (МСЭ) корпоративного уровня, созданным специально для малого и среднего бизнеса. Надежная защита от хакерских атак, клиент-серверная VPN-технология, интегрированный McAfee Antivirus, мощные инструменты для управления доступом в Интернет на базе IBM Orange Web Filter, гибкие настройки и удобное управление: эти и многие другие уникальные особенности делают Kerio WinRoute Firewall идеальным решением для защиты Вашей сети от враждебного Интернет-окружения.   Последняя версия: Kerio Control 7.2.0 Build 3028, Released on: August 30, 2011 Release history Последняя проверенная версия (лекарство смотрим ниже): Kerio Control 7.0.1 Build 1098, Released on: August 04, 2010 Предыдущие, полностью рабочая версия: Kerio Control 7.0.0 Build 896, Released on: June 01, 2010 Скачать с оффсайта -> win32 | win64 Kerio WinRoute Firewall 6.7.1 Patch 2 Build 6544, Released on: March 09, 2010 Скачать с оффсайта -> win32 | win64   Kerio WinRoute Firewall с интегрированным McAfee Antivirus и без него теперь поставляется в едином дистрибутиве. Активизация соответствующих функций происходит автоматически в зависимости от типа приобретенной лицензии. Дистрибутив WinRoute Firewall также содержит Administration Console. Переключение языков доступно непосредственно в интерфейсе пользователя. C 30.04.2007 старые библиотеки внутреннего сканера McAfee не поддерживаются и автоматически не обновляются...   Manual на Русском [?] Бета версии Manual Eng (PDF) Step-by-Step installation guide Eng (PDF) Kerio VPN Client Manual (PDF)   Сброс пароля администратора [?]   Настройка, русификация, полный русский мануал Ключи для Kerio WinRoute Firewall [?] F.A.Q. на PC Security - F.A.Q. - Часто задаваемые вопросы На Winroute.ru - ПРАВИЛЬНАЯ настройка DNS и сетевых интерфейсов!!!   FAQ составлен по материалам форумов "Windows FAQ" - Форум - "KWR 5.0 (Kerio Winroute 5.0)" (стр.1-93 вопр. 1-122) и "XBT Hardware BBS » Системное   администрирование, безопасность » Winroute FAQ" - "Просьба все вопросы по Winroute задавать в этой ветке?" (стр. 1-18 вопр. 123-171) _http://12kms.fatal.ru/_kwf.html   Тут одна компания полностью на русский язык перевела хелп   Kerio WinRoute Firewall 6.0. Руководство Администратора   Может кому надо: _http://www.internetaccessmonitor.com/rus/support/docs/winroute/ Офлайновая версия этого перевода: http://fronik.narod.ru/kwf/ (1.5Мб)   также много полезной информации по настройке на сайтах: ввв.xerio.kiev.ua и ввв.kerio-rus.ru WinRoute Spy – программа анализа файлов логов популярного прокси-сервера и Internet-шлюза Winroute (версии 4.Х) и Kerio Winroute Firewall 5.Х.   Внимание, KWF является корпоративным сетевым фаерволом, поэтому, в его функционал не входит и не может входить контроль приложений. Для этого пользуйтесь персональными фаерами, и не нагружайте топик лишними вопросами. Всего записей: 6382 | Зарегистр. 27-09-2004 | Отправлено: 16:37 13-05-2010 | Исправлено: korn3r, 09:37 31-08-2011

inxaile Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Negotive666 Спасибо, наверно простота настройки меня смутила   Всего записей: 76 | Зарегистр. 15-10-2011 | Отправлено: 16:17 07-01-2012

coder666 Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору сделай проще... Воткни канал интернета в свитч и раздавай на два контроллера домена На каждом поставь свой Керио Будет тоже самое что Ты хочешь тока без гемороя Всего записей: 2484 | Зарегистр. 23-03-2006 | Отправлено: 14:52 09-01-2012

Klopikmoscow Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору идея хороша. но надо ломать второго админа ставить керио Если действительно гемморойно - буду делать так Всего записей: 151 | Зарегистр. 23-04-2009 | Отправлено: 15:00 09-01-2012

GCRaistlin Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Есть два сервера: (1) Win2k3 R2 SE SP2 + KWF 6.7.1 patch 2 build 6544 (2) Win2k8 R2 EE SP1 + KControl 7.2.2   На обоих настроено правило, обеспечивающее полноценную работу из LAN с удаленной сетью, соединенной по VPN: Source: Trusted/Local Dest: Remote_network (address group) Service: all Action: permit Translation: NAT (VPN_connection)   В группу Remote_network внесены все адреса удаленной сети, соединение с которой происходит через VPN_connection, созданное на сервере.   Кроме того, везде настроен forwarding DNS-запросов с соответствующими суффиксами на DNS-сервер в удаленной сети: на (1) - через встроенный в Windows DNS-сервер (в самом KWF DNS forwarding отключен), на (2) - через Kerio Control.   Проблема в том, что на (1) указанная схема работает (клиент, подключенный к нему, нормально работает с ресурсами удаленной сети), а на (2) - нет: при пинге по DNS-имени оно разрешается (из чего делаем вывод, что DNS forwarding работает), но пинг не проходит. С самого (2) пинги идут. Правило, судя по логам, при пинге с клиента срабатывает, но... и всё. Пинг по ip-адресу с клиента тоже не работает. Клиент один и тот же. Оба сервера подключены к одному и тому же железному роутеру (получается NAT за NAT). Интернет-сайты с клиента через (2) пингуются. В чем может быть дело?   Если (2) подключить как клиента к (1), отключить в нем правило и DNS forwarding, то разрешение имен на клиенте, подключенном к (2) - получается, через цепочку из трех NAT, - работает. ---------- Magically yours Raistlin Всего записей: 4326 | Зарегистр. 18-04-2005 | Отправлено: 16:38 09-01-2012 | Исправлено: GCRaistlin, 16:58 09-01-2012

coder666 Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Klopikmoscow Цитата: идея хороша. но надо ломать второго админа ставить керио   Если действительно гемморойно - буду делать так     Ну ломать не надо, все одно у него чето стоит. А например при переходе с ИСЫ преимущества на лицо. Сервера быстрее работаю с керио, он меньше хавает ресурсов Всего записей: 2484 | Зарегистр. 23-03-2006 | Отправлено: 19:21 09-01-2012

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору GCRaistlin Цитата: Translation: NAT (VPN_connection) Зачем вам  NAT при общении между локальными сетями? Пропишите маршруты в первой сети ко второй сети через KWF 6.7.1, во второй к первой через KControl 7.2.2, если они не являются в своих сетях шлюзами по умолчанию. Подкрутите правила фаерволов, чтобы они не блочили пакеты из другой сетки, и вуаля. ---------- Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек Всего записей: 17284 | Зарегистр. 13-06-2007 | Отправлено: 20:05 09-01-2012

GCRaistlin Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору vlary Удаленная сеть тут вообще ни при чем. У меня в своей сети есть конфигурация (1) - рабочая, я тестирую конфигурацию (2), на которую хочу перейти. NAT мне для того, чтобы я мог с любой машины в своей сети работать с любой машиной в удаленной сети - по-моему, простое указание маршрутов (на клиенте? на роутере с KWF?) такой задачи не решит. Если я не прав, поясните, пожалуйста, этот момент поподробнее. Попробовал поставить с теми же конфигами 7.2.2 x32 на тестовую машину WinXP - работает. Но надо-то именно на Win2k8 R2 x64... ---------- Magically yours Raistlin Всего записей: 4326 | Зарегистр. 18-04-2005 | Отправлено: 20:37 09-01-2012

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору GCRaistlin Цитата: NAT мне для того, чтобы я мог с любой машины в своей сети работать с любой машиной в удаленной сети NAT - он не для этого. Для того, чтобы с любой машины в своей сети работать с любой машиной в удаленной сети, существуют GRE или VPN туннели, посредством которых роутеры связывают эти сети, если между ними нет прямой веревки. Пример. Допустим, у вас сеть 1 - 10.1.1.0/24, сеть 2 - 10.2.1.0/24, 10.1.1.1 и 10.2.1.1 соответственно сервера. Между ними через интернет прокинут  VPN, адрес которого 192.168.1.1 и 192.168.1.2 с первой и второй сторон соответственно. Первый сервер должен знать, что он попадет в сеть 2 через 192.168.1.2. Второй сервер должен знать, что он попадет в сеть 1 через 192.168.1.1. Если для хостов в первой и второй сети эти сервера являются шлюзами по умолчанию, они вообще не обязаны ничего знать.   Если нет, то хосты в сети 1 должны знать, что путь к сети 2 идет через 10.1.1.1, а хосты в сети 2 должны знать, что путь к сети 1 идет через 10.2.1.1. Вот такой подход является правильным. ---------- Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек Всего записей: 17284 | Зарегистр. 13-06-2007 | Отправлено: 21:42 09-01-2012

GCRaistlin Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору У меня сети как раз и соединены VPN-туннелями. В локальной сети (192.168.33.0/24) машина с KWF (192.168.33.1) - шлюз по умолчанию, она раздает Интернет и на ней же создано VPN-соединение. Пакеты, адресованные в удаленную сеть (192.168.0.0/24), приходят с клиента на основной шлюз и по указанному в моем первом посте правилу отправляются через VPN-соединение в удаленную сеть. Я никак не могу понять, почему здесь не нужен NAT. Роутер с KWF отправит в удаленную сеть пакет, на которой придет ответ. Как без NAT роутер узнает, на какую машину в локальной сети перенаправить ответ? Ради интереса добавил на (2) статический маршрут: 192.168.0.0 255.255.255.0 192.168.0.1 <vpn_интерфейс> Ничего... ---------- Magically yours Raistlin Всего записей: 4326 | Зарегистр. 18-04-2005 | Отправлено: 22:00 09-01-2012

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору GCRaistlin Цитата: Как без NAT роутер узнает, на какую машину в локальной сети перенаправить ответ?   В заголовке пакета "получатель" будет стоять айпи этой машины. Цитата: 192.168.0.0 255.255.255.0 192.168.0.1 <vpn_интерфейс> Это работать не будет, странно даже, что команда сработала. Должно быть что-то типа 192.168.0.0 255.255.255.0 айпи_vpn_интерфейса И с обратной стороны тоже: 192.168.33.0 255.255.255.0 айпи_vpn_интерфейса   ---------- Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек Всего записей: 17284 | Зарегистр. 13-06-2007 | Отправлено: 22:49 09-01-2012 | Исправлено: vlary, 22:51 09-01-2012

GCRaistlin Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору vlary Цитата: 192.168.0.0 255.255.255.0 айпи_vpn_интерфейса Гм... Так ведь он разный каждый раз. Можно, конечно, через скрипт его определить, но это довольно нетривиально. На самом деле, таких удаленных сетей две. И если в одной я могу, наверное, как-то зафиксировать IP-адрес, получаемый VPN-соединением, то во второй никак - она не моя.   Смотрю таблицу маршрутизации в KWF - есть там маршрут, подобный указанному вами. Поле Gateway пустое, я так понимаю, это означает, что значение шлюза для маршрута совпадает с адресом интерфейса. Создается маршрут при установке VPN-соединения, как и должно быть (ну, по моим понятиям). Однако, если убрать правило (или убрать NAT-трансляцию в правиле), то пакеты с клиентов не идут. Что-то я туплю .   Значение метрики у этого динамического маршрута - 1, у маршрута для сети 0.0.0.0 - 30.   Может, дело в том, что с обратной-то стороны маршрут не определен? Хотя почему тогда пинги в ту сеть с самого роутера без проблем идут... В удаленной сети стоит железный роутер, смотрю в его таблицу маршрутизации - сетки 192.168.33.0 там нет в принципе. Или так и должно быть? Как плохо знать что-то кусками... Если вы мне поможете разобраться в том, как установить VPN-соединение, работающее в обе стороны, буду вам очень благодарен.   Хотя мы, конечно, несколько удалились от первоначальной темы. Правильно ли, неправильно ли использовать для соединения с удаленной сетью NAT, а на старой-то системе это работает. На новой же - ни в какую. Грешу на KWF x64 - разработчики, видимо, шлифовали и шлифуют в первую очередь именно x32-версию. Например, поставил x64 7.1.2, так с ним вообще ничего не заработало - Интернет-адреса с клиентов не пинговались. ---------- Magically yours Raistlin Всего записей: 4326 | Зарегистр. 18-04-2005 | Отправлено: 23:25 09-01-2012 | Исправлено: GCRaistlin, 00:17 10-01-2012

coder666 Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Software Appliance CPU: 500 MHz Memory: 1 GB RAM Hard drive: 8 GB HDD space for OS, product, logs, and StaR data Network interface: 1 Ethernet (10/100/1000 Mb) network interface supported by the Linux kernel 2.6.30 (Majority of current NICs supported.)   На сайте керио все написано. Принципиально туда не заходим? Всего записей: 2484 | Зарегистр. 23-03-2006 | Отправлено: 14:49 10-01-2012

Maza777 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору клиенты через VPN по RDP вводя IP адрес шлюза на котором стоит Kerio Firewall попадали на другое сервер, правило для этого было     источник: подсеть клиентов   получатель: Firewall   служба: TCP 3389   Действие: ОК   Трансляция: 192.168.100.5   Сейчас требуется распараллелить работу чтобы они ходили еще на один сервер допустим через нестандартный порт     источник: подсеть клиентов   получатель: Firewall   служба: TCP 63389   Действие: ОК   Трансляция: 192.168.100.100:3389     не работает так,в RDP клиенте соответственно пишу 192.168.100.1:63389   p.s. 192.168.100.1 адрес шлюза   p.p.s. на сервере 192.168.100.100 Windows_Server 2003 R2 SP2 люди работают тоже по RDP из локальной сети и изменять настройки порта всем нельзя Всего записей: 834 | Зарегистр. 20-11-2007 | Отправлено: 14:52 10-01-2012 | Исправлено: Maza777, 15:22 10-01-2012

GCRaistlin Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Maza777 Не уловил... Вы же при этом на тот же сервер заходите, 192.168.100.100. И, если есть VPN, почему не указывать в RDP-клиенте непосредственно имя терминального сервера?   Хотя, конечно, все равно непонятно, почему не работает. Правило в начале списка? ---------- Magically yours Raistlin Всего записей: 4326 | Зарегистр. 18-04-2005 | Отправлено: 15:02 10-01-2012 | Исправлено: GCRaistlin, 15:06 10-01-2012

Maza777 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору GCRaistlin сейчас все подключения приходящие на интернет-шлюз (192.168.100.1) Керио транслируются на сервер 192.168.100.5, сделано из целей безопасности чтобы они не залезли на другие компы (сеть они нашу не видят ,а видят только смотрящий в ихнюю сторону WAN порт на Керио шлюзе). Так вот а нужно чтобы они ходили еще и на сервер 192.168.100.100 по RDP.   Для этого я сделал правило     источник: подсеть клиентов   получатель: Firewall     служба: TCP 63389     Действие: ОК   Трансляция: 192.168.100.100:3389       и не могу подключиться по RDP через порт 63389, пробовал 3390 порт  порт, результат тотже   Добавлено: поднял правило на самый верх, результата нет Всего записей: 834 | Зарегистр. 20-11-2007 | Отправлено: 15:20 10-01-2012 | Исправлено: Maza777, 15:21 10-01-2012

GCRaistlin Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Maza777 Какие-то ущербные соображения безопасности - разве нельзя, зайдя на терминальный сервер, с него уже попасть куда хочешь? Я в таких случаях доступ политиками безопасности регулирую. А правило-то срабатывает? Если лог включить? ---------- Magically yours Raistlin Всего записей: 4326 | Зарегистр. 18-04-2005 | Отправлено: 15:26 10-01-2012

wwladimir Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Maza777 Мой "любимый" уже здесь  вопрос - а что у Вас на сервере с 192.168.100.100 указано в качестве "шлюза по умолчанию" ? "Потому и не кусают  ...   У меня в  одной организации два десятка машин по RDP наружу выставлено через Керио на разных портах. Всего записей: 527 | Зарегистр. 08-11-2006 | Отправлено: 15:43 10-01-2012 | Исправлено: wwladimir, 15:47 10-01-2012

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Kerio Control (ex Kerio WinRoute Firewall)

ShriEkeR (06-10-2012 23:52): Kerio Control (ex Kerio WinRoute Firewall)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование