Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Kerio Control (ex Kerio WinRoute Firewall)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

articlebot (18-06-2020 07:17): Kerio Control (ex Kerio WinRoute Firewall)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 218 219 220 221 222 223 224 225 226 227 228 229 230 231 232 233 234 235 236 237 238 239 240 241 242 243 244 245 246 247 248 249 250 251 252 253 254 255 256 257 258 259 260 261 262 263 264 265 266 267 268 269 270 271 272 273 274 275 276 277 278 279 280 281 282 283 284 285 286 287 288 289 290 291 292 293 294 295 296 297 298 299 300

   

ShriEkeR



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору


Kerio Control (ex Kerio WinRoute Firewall) ™


Kerio Control™ является межсетевым экраном (МСЭ) корпоративного уровня, созданным специально для малого и среднего бизнеса. Надежная защита от хакерских атак, клиент-серверная VPN-технология, интегрированный Sophos Antivirus, мощные инструменты для управления доступом в Интернет на базе Kerio Control Web Filter, гибкие настройки и удобное управление: эти и многие другие уникальные особенности делают Kerio Control aka Kerio WinRoute Firewall идеальным решением для защиты Вашей сети от враждебного Интернет-окружения.
Удостоенный высоких отраслевых наград Kerio Control, разработан специально для защиты компаний от полного спектра сетевых угроз. Автоматически обновляющийся модуль защиты в Kerio Control обнаруживает и предотвращает возникающие угрозы, одновременно давая администратору сети гибкие инструменты для управления политиками доступа пользователей, полного управления полосой пропускания и QoS, детального мониторинга сети, и возможность VPN подключения с IPSec для настольных компьютеров, мобильных устройств и удаленных серверов.Kerio Control обеспечивает превосходную защиту сети, является стабильным, безопасным и, что немаловажно, простым в управлении.
Последняя версия:

Kerio Control 8.3.1 Build 2108, Released on: May 20, 2014 Release history
Последняя проверенная версия (лекарство смотрим ниже):
Kerio Control 7.0.1 Build 1098, Released on: August 04, 2010
Предыдущие, полностью рабочие версии:
Kerio Control 7.4.2 Build 5136, Released on: March 12, 2013
Скачать с оффсайта -> win32 | win64
Kerio Control 7.0.0 Build 896, Released on: June 01, 2010
Скачать с оффсайта -> win32 | win64
KWF 6
Kerio WinRoute Firewall 6.7.1 Patch 2 Build 6544, Released on: March 09, 2010
Скачать с оффсайта -> win32 | win64
Информация по KControl 8.x.x
Руководство по переходу с платформы Windows на Kerio Control Appliance

Официальная документация на Английском языке
Официальная база знаний на Русском языке
Создание VPN туннеля между KControl 8.1 и MikroTIK Router OS 6.1
 
Информация по KWF 6.x.x

C 30.04.2007 старые библиотеки внутреннего сканера McAfee не поддерживаются и автоматически не обновляются...  
Бета версии
Manual Eng (PDF)
Step-by-Step installation guide Eng (PDF)
Kerio VPN Client Manual (PDF)
Сброс пароля администратора
 
Настройка, русификация, полный русский мануал
Ключи для Kerio WinRoute Firewall
 
Использование VPN server IPsec Kerio Control 8 с IPsec клиентом - от 7KirOV7
 


F.A.Q. На Winroute.ru - ПРАВИЛЬНАЯ настройка DNS и сетевых интерфейсов!!!
 
FAQ составлен по материалам форумов "Windows FAQ" - Форум - "KWR 5.0 (Kerio Winroute 5.0)" (стр.1-93 вопр. 1-122) и "XBT Hardware BBS » Системное  
администрирование, безопасность » Winroute FAQ" - "Просьба все вопросы по Winroute задавать в этой ветке?" (стр. 1-18 вопр. 123-171)

_http://12kms.fatal.ru/_kwf.html
 
Тут одна компания полностью на русский язык перевела хелп  
Kerio WinRoute Firewall 6.0. Руководство Администратора  
Может кому надо: _http://www.internetaccessmonitor.com/rus/support/docs/winroute/
Офлайновая версия этого перевода: http://fronik.narod.ru/kwf/ (1.5Мб)
 
также много полезной информации по настройке на сайтах: ввв.xerio.kiev.ua и kerio-rus.ru


WinRoute Spy – программа анализа файлов логов популярного прокси-сервера и Internet-шлюза Winroute (версии 4.Х) и Kerio Winroute Firewall 5.Х.
Internet Access Monitor for Kerio WinRoute - программа анализа логов, составления отчётов по использованию интернет-ресурсов.
 
Внимание, KWF является корпоративным сетевым фаерволом, поэтому, в его функционал не входит и не может входить контроль приложений. Для этого пользуйтесь персональными фаерами, и не нагружайте топик лишними вопросами.
 
Kerio Control 8.6.1 решение проблемы с часовыми поясами
// текущий бэкап шапки..

Всего записей: 6382 | Зарегистр. 27-09-2004 | Отправлено: 23:49 06-10-2012 | Исправлено: dimonprodigy, 16:52 05-03-2018
Biturbo



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Парни подскажите как верно правило сделать-
есть два шлюза и требуется что бы конкретный ip выходил через конкретный шлюз
 
ниже скрин, это не так должно выглядеть?
 
https://b.radikal.ru/b19/1712/f5/772392e4be25.jpg
 
 
или это всё не через правила трафика реализуется?

Всего записей: 116 | Зарегистр. 06-01-2008 | Отправлено: 13:30 26-12-2017 | Исправлено: Biturbo, 13:46 26-12-2017
GromKiller1985



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Biturbo
посмотри предыдущую страницу темы

Всего записей: 385 | Зарегистр. 19-09-2008 | Отправлено: 16:04 26-12-2017
Biturbo



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
GromKiller1985
я видел эти сообщения и по ссылкам ходил, но не понятно всё равно

Всего записей: 116 | Зарегистр. 06-01-2008 | Отправлено: 16:26 26-12-2017
jusitnow



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый день. Господа профессионалы!
Несколько раз эта тема здесь поднималась, но я не нашел гайда как надо сделать.
Помогите понять - как правильно настроить в керио проброс портов на сервер находящийся за VPN тоннелем.  
Вот реализуемая схема.  
(конкретно хочу увидеть видео с айпи-камеры в филиале)
Туннель работает отлично - все всех видят в обе стороны.
Сервера которые находятся за Керио - тоже отлично видны из интернета.
Сервер который за туннелем отлично виден пользователям обоих сетей.
Вопрос: как настроить чтобы сервер в филиале был виден пользователям в интернете?
Заранее благодарен за конструктивные вопросы и ответы.

Всего записей: 69 | Зарегистр. 14-05-2009 | Отправлено: 16:58 28-12-2017
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здесь достаточно знать отраслевые стандарты и никакие Керио после этого не могут быть помехой.
С Керио должен пойти пинг на ваш сервер в филиале.
Трасерт в сеть 0.0.0.0/0 с вашего сервера должен пролегать через 178.70.70.70.
После этого настраиваете обычный проброс портов, публикацию. Так как проброс портов на камеру сам по себе задача с n неизвестными (там обычно не один порт, а софтина "родная", серая лошадка), то лучше для началу увидеть ее в сети 192.168.11.0/24 а затем уже переносить в филиал.
 
 
Добавлено:
Добавлю, что, если ваш Керио умеет делать маскарадинг, то есть любой запрос извне будет маскироваться под его локальный адрес (обратный NAT, Source NAT, что угодно), то пункт
Цитата:
Трасерт в сеть 0.0.0.0/0...
становится не обязательным


----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 20:09 28-12-2017
jusitnow



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вопрос сводится к тому какие правила и/или маршруты нужно выставить на Керио чтобы оно все заработало. Вопрос по камере тут не причем - там просто вещание по rtsp (одни порт - 554). Любая служба недоступна в филиале (например RDP тоже не получается прокинуть).  
Есть в правилах у керио галочка - обратный конус NAT. Но с ней тоже не работает.  
Вот и прошу помощи - как это правильно настроить?
 
В инете нашел решение для микротиков https://catbasil.livejournal.com/44028.html
Как такое же реализовать в керио?

Всего записей: 69 | Зарегистр. 14-05-2009 | Отправлено: 14:33 29-12-2017 | Исправлено: jusitnow, 15:00 29-12-2017
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
jusitnow
Это вам только кажется, что "вопрос сводится к тому, что..."
Озвученные мной предварительные условия должны быть выполнены. Без этого не заработает ни на Керио, ни на Микротике, ни на ТМГ, ни на Джунипере.
Почему? Какой смысл пробрасывать порты, если нет пинга, например. Если маршрут в интернет идет не через Керио, то тоже - коннекшна не будет.
Как такое может быть? Легко. Если на вашем сервере шлюз по умолчанию не Керио, а в головной офис просто маршрут, то трафик не пойдет. Тогда на Керио должен быть включен обратный NAT, чтобы серверу казалось, что запрос идет не из интернета и он не отвечал через свой шлюз по умолчанию. Может быть, они его конусом назвали.
Если на Керио нет маршрутов в филиал, ыот он единственный такой во всей сети, что бывает, то тоже, трафик не пойдёт. Понятно, что в этом случае не будет банального пинга, но такое тоже возможно.
Prerequisites исполните.
 
Затем банальный проброс. Из вашего первого поста складывается впечатление, что "уж этим то я владею". Раз владеете, то что тут объяснять? Я вам показываю, что причина может быть не в Керио вовсе. Причем реально вполне, пусть и многословно.

----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 16:54 29-12-2017
jusitnow



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Затем банальный проброс. Из вашего первого поста складывается впечатление, что "уж этим то я владею". Раз владеете, то что тут объяснять? Я вам показываю, что причина может быть не в Керио вовсе. Причем реально вполне, пусть и многословно.

 
Я за конструктивный диалог))
 
Но в вопросе описал - что между филиалами и серверами внутри сеток все друг друга прекрасно видят. Если нужно сказать что это включает то что они пингуют друг друга - давайте напишу отдельно:
Сервера в обоих филиалах пингуются с любого устройства из обоих филиалов. В том числе и с Керио и с Зюхеля. Вообще все друг друга пингуют в любом направлении! Туннель работает на отлично!!
 


Всего записей: 69 | Зарегистр. 14-05-2009 | Отправлено: 17:52 29-12-2017 | Исправлено: jusitnow, 17:55 29-12-2017
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Там два условия. В нашем бизнесе конструкция такая, что если не исполняется хотя бы точка из а.в.с. то ничего не работает. Вот пять знаков из шести на месте, а шестого не хватает - не работает
 
Добавлено:
В качестве поддержания диалога: достаточно просто писать "пинг с Керио идёт". Ибо у некоторых деятелей бывает так, что всё отлично работает, а на одном, всего лишь одном хосте, ммм...  route add И всё. Этого достаточно.
Во избежание телепатических коллизий лучше писать чётче. Раз уточняют, то не зря же
 
Добавлено:
Tracert 8.8.8.8 с видеосервера расставит точки над ё

----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 17:54 29-12-2017
jusitnow



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Добавлено:  
Tracert 8.8.8.8 с видеосервера расставит точки над ё

??
Не понимаю логики(((
 
Естественно трэйс пойдет через 192.168.1.10 через шлюз по умолчанию - интернет-то правафдер в филиале свой. Интернет трафик филиальный не идет через VPN и не должен

Всего записей: 69 | Зарегистр. 14-05-2009 | Отправлено: 18:15 29-12-2017
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Не понимаю логики(((  

Запрос приходит от 1.2.3.4 через Керио, а комп, "естественно" отвечает через шлюз по умолчанию.
Итог - они не видят друг друга.
Понятно?
В таких случаях внешний IP маскируется под адрес внутреннего интерфейса, в данном случае Kerio. NAT, но наоборот.
Из гугля я понял, что это не Cone. Нечто иное. Передаю слово узким специалистам, для озвучивания названия чекбокса. В ТМГ это радибуттон. Или вам, вас же не банили в гугле?

----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 18:24 29-12-2017
jusitnow



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Из гугля я понял, что это не Cone. Нечто иное. Передаю слово узким специалистам, для озвучивания названия чекбокса. В ТМГ это радибуттон. Или вам, вас же не банили в гугле?  
 

 
Есть такая галка в керио! Но и с ней не работает ((
На этом и запнулся!

Всего записей: 69 | Зарегистр. 14-05-2009 | Отправлено: 18:31 29-12-2017
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вот, маскардинг, включенный на TMG. Запросы приходят от внутреннего интерфейса. Если передвинуть в "исходный клиент", то засветится реальный IP и публикуемый сервер будет идти через свой шлюз по умолчанию.  Он у него другой.
В результате, соединение не установится
 
   
 
Добавлено:

Цитата:
Есть такая галка в керио!

И имя ей..?

----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 18:32 29-12-2017
jusitnow



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

 


Всего записей: 69 | Зарегистр. 14-05-2009 | Отправлено: 18:41 29-12-2017
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Это не то. Из вики

Цитата:
Cone NAT, Full Cone NAT — Однозначная (взаимная) трансляция между парами «внутренний адрес: внутренний порт» и «публичный адрес: публичный порт». Любой внешний хост может инициировать соединение с внутренним хостом (если это разрешено в правилах межсетевого экрана).
Оно должно быть, но недостаточно. Странно, что для керио я этого не вижу. Может у него этого нет? Даже для Брокейда нашел уже... Классически, это Source NAT. На D-Link'е так же обзывается
 
Там у вас выпадающий список...

----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 18:49 29-12-2017 | Исправлено: Paromshick, 18:49 29-12-2017
jusitnow



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Точно! Заработало если указать конкретный адрес!!

 
Спасибо огромное!!!!

Всего записей: 69 | Зарегистр. 14-05-2009 | Отправлено: 18:59 29-12-2017
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Source NAT... По русски, конечно же источник... Хоть в шапку вешай в связке с "другая подссеть", "VPN", "туннель" и т.п.

----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 19:01 29-12-2017
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
В довершение ко вчерашнему разговору, набросал картинку, где становится понятно, почему не устанавливается связь.
 
Маршрутизация - это всегда движение в оба конца. Как пример, два филиала и туннель между ними.
 
Когда хост 192.168.11.1 пингует 192.168.22.111  то на каждый пинг через туннельный маршрутизатор, приходит "понг" оттуда же (сине-зеленый маршрут).
Когда на Промышленном маршрутизаторе публикуется Вэб сервер в Головном офисе, то он отвечает хосту в интернете (7.7.7.7) через свой шлюз по умолчанию, через 192.168.11.1. Благодаря NAT связь устанавливается, 7.7.7.7 обменивается пакетами с 171.171.171.171
Когда точно так же публикуется терминальный сервер в филиале, то он, видя запрос от 7.7.7.7 ответит через свой шлюз по умолчанию, через 192.168.22.1. Тот NAT'ом сменит адрес, на 181.181.181
7.7.7.7 получив пакет от случайного адреса из интернета 181.181.181.181 его просто отбросит. А ответа от 171 так и не дождётся.
 

 
Вот и вся любовь.

----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 12:21 30-12-2017 | Исправлено: Paromshick, 12:24 30-12-2017
jusitnow



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Paromshick
 
Понятно. Спасибо еще раз.
 
Только не понятно почему Керио с настройками по умолчанию не работает - NAT же по умолчанию получается должен вместо адреса отправителя подставлять свой адрес. Может быть он какой-то другой свой адрес (например VPN адрес) подставляет который та сеть не видит. Не знаю.
 
Но теперь другая заморочь - тоже самое хочу сделать в Zyxel кинетике.
И тоже не работает - только теперь сложнее - в ГУИ нет настройки под какой адрес маскарадиться.

Пока не нашел как сделать.
Может кто знает?
 
 

Всего записей: 69 | Зарегистр. 14-05-2009 | Отправлено: 13:12 30-12-2017
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
jusitnow
Не у всех девайсов эта фича есть. Я даже задался вопросом, есть ли она в Керио. На упомянутом мной D-Link'е она встречалась мне только на дорогом девайсе, промышленного уровня (без рекламы). На мыльницах - нет.
По заданному вопросу, очевидно, что надо искать в теме по Zyxel, и, быстрее всего, на сайте производителя
 
Было бы неплохо поправить пост, где указано окончательное решение вопроса. На тот случай, если хостинг картинок съедет. Дать текст, аля (смотря в TMG) Правило публикации -- ПКМ -- Свойства -- вкладка Куда (Веб ферма) -- выставить переключатель в положение "Показывать, что запросы идут с компьютера Forefront TMG". Тогда получится практически законченный гуайд и можно дать ссылку в шапке. Вопрос регулярный.
 
Добавлено:
Если ваш Зюхель, это тот шлюз, что в филиале, то ему не нужен маскарад. Вопрос же возникает только тогда, когда публикуется ресурс, имеющий шлюз по умолчанию, отличный от устройства публикации. Причем, можно опубликовать без маскарадинга и в этом случае, но девайс в инете должен иметь статический IP. Догадались как? Прописать к нему маршрут не через default GW

----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 15:01 30-12-2017 | Исправлено: Paromshick, 15:02 30-12-2017
   

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 218 219 220 221 222 223 224 225 226 227 228 229 230 231 232 233 234 235 236 237 238 239 240 241 242 243 244 245 246 247 248 249 250 251 252 253 254 255 256 257 258 259 260 261 262 263 264 265 266 267 268 269 270 271 272 273 274 275 276 277 278 279 280 281 282 283 284 285 286 287 288 289 290 291 292 293 294 295 296 297 298 299 300

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Kerio Control (ex Kerio WinRoute Firewall)
articlebot (18-06-2020 07:17): Kerio Control (ex Kerio WinRoute Firewall)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru