Форум Kerio-rus

Вернуться   Форум Kerio-rus > Продукты > Kerio Control (бывший Winroute Firewall)

Важная информация

Ответ
 
Опции темы
Старый 14.05.2019, 17:08   #1
sirhawkwood
Навичёг
 
Аватар для sirhawkwood
 
Регистрация: 25.06.2018
Сообщений: 36
По умолчанию 9.3 керио и вкладка высокая доступность

кто нибудь уже настраивал?
интересно как оно работает.
Ну и интересный вопрос а как это чудо лицензируется? Нужен двойной комплект лицензий или нет, самое смешное GFI мне гады так и не ответили на этот вопрос, а наши ресейлеры разводят руками.
sirhawkwood вне форума   Ответить с цитированием Вверх
Старый 14.05.2019, 17:18   #2
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,663
По умолчанию Re: 9.3 керио и вкладка высокая доступность

а что пишут мануалы по этому поводу?


на сколько я понял, сделана возможность "кластеризации" шлюза
с синхронизацией настроек соответственно
но точно не могу сказать, образуют ли внутренние интерфейсы двух увязанных в "кластер" керио виртуальный общий адрес
по логике должны, на практике хз
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 14.05.2019, 17:25   #3
sirhawkwood
Навичёг
 
Аватар для sirhawkwood
 
Регистрация: 25.06.2018
Сообщений: 36
По умолчанию Re: 9.3 керио и вкладка высокая доступность

а нету мануалов, ссылки с 9.3 на помощь ведут в пустоту+)
[Для просмотра данной ссылки нужно зарегистрироваться]
собсно+))
sirhawkwood вне форума   Ответить с цитированием Вверх
Старый 14.05.2019, 17:28   #4
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,663
По умолчанию Re: 9.3 керио и вкладка высокая доступность

ну, значит берём гипервизор, пилим нанего пару контрол аплайнсов, и методом научного тыка смотрим как оно где и почему...

других вариантов у меня нет
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 15.05.2019, 01:53   #5
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,772
По умолчанию Re: 9.3 керио и вкладка высокая доступность

Цитата
Сообщение от sirhawkwood Посмотреть сообщение
самое смешное GFI мне гады так и не ответили на этот вопрос
бггг, сейчас control рекламируют на сайте GFI как "простой и понятный МЭ".
наверное, он настолько простой, что поддержка по нему отвечает только на простые вопросы...

Добавлено через 3 минуты

[Для просмотра данной ссылки нужно зарегистрироваться]
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы

Последний раз редактировалось exchar; 15.05.2019 в 01:53. Причина: Добавлено сообщение
exchar вне форума   Ответить с цитированием Вверх
Старый 15.05.2019, 09:37   #6
sirhawkwood
Навичёг
 
Аватар для sirhawkwood
 
Регистрация: 25.06.2018
Сообщений: 36
По умолчанию Re: 9.3 керио и вкладка высокая доступность

Цитата:
Сообщение от naliman Посмотреть сообщение
ну, значит берём гипервизор, пилим нанего пару контрол аплайнсов, и методом научного тыка смотрим как оно где и почему...

других вариантов у меня нет

ну это то понятно, меня больше интересует вопрос лицензирования...
sirhawkwood вне форума   Ответить с цитированием Вверх
Старый 15.05.2019, 09:42   #7
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,772
По умолчанию Re: 9.3 керио и вкладка высокая доступность

Цитата
Сообщение от sirhawkwood Посмотреть сообщение
интересует вопрос лицензирования
казалось бы, зачем я ссылку давал?...
Цитата To initiate high-availability, new and existing customers acquire and install a second, same Kerio Control appliance or virtual machine. A single software license will cover the two pieces of hardware. Customers configure the second device as a clone of the active one. Configuration settings are easy-to-do and take minutes. Once configured, the two devices connect through a synching port and all rules and routing are replicated and kept up-to-date between them.
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 15.05.2019, 11:33   #8
sirhawkwood
Навичёг
 
Аватар для sirhawkwood
 
Регистрация: 25.06.2018
Сообщений: 36
По умолчанию Re: 9.3 керио и вкладка высокая доступность

Цитата:
Сообщение от exchar Посмотреть сообщение
казалось бы, зачем я ссылку давал?...
ага прочел, буду пробовать
sirhawkwood вне форума   Ответить с цитированием Вверх
Старый 12.06.2019, 10:58   #9
Putin
Навичёг
 
Аватар для Putin
 
Регистрация: 28.09.2013
Сообщений: 32
По умолчанию Re: 9.3 керио и вкладка высокая доступность

Цитата
Сообщение от sirhawkwood Посмотреть сообщение
ага прочел, буду пробовать
Получилось ли что-нибудь ?
Как и что нужно настроить дополнительно, чтобы заработала корректно эта "высокая доступность" ? )
Вот информация на английском: [Для просмотра данной ссылки нужно зарегистрироваться]
Непонятно, что за устройство WAN и почему от него идут кабели к каждому из керио устройств ? 2 интернета должно быть или как, если провайдер даёт один интернет только, куда его ?
Putin вне форума   Ответить с цитированием Вверх
Старый 12.06.2019, 11:48   #10
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,772
По умолчанию Re: 9.3 керио и вкладка высокая доступность

Цитата:
Сообщение от Putin Посмотреть сообщение
Непонятно, что за устройство WAN и почему от него идут кабели к каждому из керио устройств ?
найди еще одно устройство такого же цвета на схеме и поймешь, что это

Цитата:
Сообщение от Putin Посмотреть сообщение
2 интернета должно быть
один (на схеме)

Цитата:
Сообщение от Putin Посмотреть сообщение
если провайдер даёт один интернет только, куда его ?
в один из портов "устройства WAN"
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 12.06.2019, 11:53   #11
Putin
Навичёг
 
Аватар для Putin
 
Регистрация: 28.09.2013
Сообщений: 32
По умолчанию Re: 9.3 керио и вкладка высокая доступность

Цитата:
Сообщение от exchar Посмотреть сообщение
найди еще одно устройство такого же цвета на схеме и поймешь, что это


один (на схеме)


в один из портов "устройства WAN"
Так объясни, что это за синяя коробка WAN ? В которую входит якобы один интернет, а выходит уже 2 кабеля с этим типа интернетом ?
Putin вне форума   Ответить с цитированием Вверх
Старый 12.06.2019, 11:57   #12
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,772
По умолчанию Re: 9.3 керио и вкладка высокая доступность

Цитата:
Сообщение от Putin Посмотреть сообщение
Так объясни, что это за синяя коробка WAN ? В которую входит якобы один интернет, а выходит уже 2 кабеля с этим типа интернетом ?
ясно...
это свитч - как и тот свитч, что изображен после керио
модель значения не имеет
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 12.06.2019, 12:15   #13
Putin
Навичёг
 
Аватар для Putin
 
Регистрация: 28.09.2013
Сообщений: 32
По умолчанию Re: 9.3 керио и вкладка высокая доступность

Цитата:
Сообщение от exchar Посмотреть сообщение
ясно...
это свитч - как и тот свитч, что изображен после керио
модель значения не имеет
Спасибо, теперь понятно!
Так значит можно интернет обычный вставить в неуправляемый свитч и потом от него уже в 2 керио и дальше по схеме и всё должно заработать разве ?
Putin вне форума   Ответить с цитированием Вверх
Старый 12.06.2019, 12:24   #14
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,772
По умолчанию Re: 9.3 керио и вкладка высокая доступность

Цитата:
Сообщение от Putin Посмотреть сообщение
Так значит можно интернет обычный вставить в неуправляемый свитч и потом от него уже в 2 керио и дальше по схеме и всё должно заработать разве ?
да, должно.
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 12.06.2019, 12:36   #15
Putin
Навичёг
 
Аватар для Putin
 
Регистрация: 28.09.2013
Сообщений: 32
По умолчанию Re: 9.3 керио и вкладка высокая доступность

Цитата:
Сообщение от exchar Посмотреть сообщение
да, должно.
А если 2 интернета надо подключить, как быть ?
2 неуправляемых свитча что ли нужны или как-то с одним управляемых можно попробовать организовать 2 интернета таким образом ? Получается, мы вместо высокой доступности добавляем промежуточные эти необязательные элементы, которые наоборот снижают доступность, т.к. могут зависнуть и всё.. (
Putin вне форума   Ответить с цитированием Вверх
Старый 12.06.2019, 13:06   #16
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,772
По умолчанию Re: 9.3 керио и вкладка высокая доступность

Цитата:
Сообщение от Putin Посмотреть сообщение
А если 2 интернета надо подключить, как быть ?
да так же
только там будет два неуправляемых свитча - по свитчу на провайдера
или два VLAN на одном управляемом
Цитата:
Сообщение от Putin Посмотреть сообщение
Получается, мы вместо высокой доступности
есть такая фигня в ИТ, называется "зона ответственности".
так вот свитч делает свою работу, а фаер - свою
и HA для фаера в этой схеме выполняется: упал мастер-фаер - тут же переконфигурировался и начал работать слейв-фаер (там вообще в плане HA под капотом ucarp, если что).
так что в зоне ответственности файерволла HA работает.
Цитата:
Сообщение от Putin Посмотреть сообщение
добавляем промежуточные эти необязательные элементы
элементы - обязательные
еще раз, ты через HA резервируешь шлюз как отдельное целое устройство
Цитата:
Сообщение от Putin Посмотреть сообщение
которые наоборот снижают доступность, т.к. могут зависнуть и всё.. (
в упомянутой статье кериотов говорится только о настройке HA для шлюза.

про резервирование всего остального естественно не сказано и ты при желании должен делать это сам.
если говорить о железных свитчах, то в больших конторах ставят кластер из двух свитчей (например, каталистов опред. моделей емнип с доп. платой) которые аналогичным образом резервируют трафик как до кластера файерволлов, так и после (vlan разные).
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 12.06.2019, 20:41   #17
Putin
Навичёг
 
Аватар для Putin
 
Регистрация: 28.09.2013
Сообщений: 32
По умолчанию Re: 9.3 керио и вкладка высокая доступность

Понятно, спасибо, будем пробовать организовать всё это, вещь необходимая и интересная от керио
Если у кого раньше получится организовать это у себя - пишите последовательность действий, делитесь опытом )

Добавлено через 5 часов 54 минуты

В общем, на стенде удалось настроить пока по 2 интерфейса: локальную сеть и сетевую для High Availability.
Результат следующий: На ведомом компе пишет Состояние: "ОК" и проверка работоспособности: "Успешно", а на ведущем - Состояние сначала тоже "ОК", а потом меняется на "Сбой (виртуальные IP-адреса не назначены)", хотя виртуальный IP адрес установлен и там и там.
Если менять местами ведущий и ведомый компьютеры, то появляется всё равно на ведущем.
Причем синхронизация проходит, если я что-то меняю на ведущем, то это же меняется и на ведомом.
Пинг до виртуального IP адреса не идет, а потом около 2с ответ приходит и следующий 1мс, затем снова 10 неответов - недоступностей узла.
В общем, что-то по идее не так, но что ? что ему еще надо-то ?

Последний раз редактировалось Putin; 12.06.2019 в 20:44. Причина: Добавлено сообщение
Putin вне форума   Ответить с цитированием Вверх
Старый 12.06.2019, 20:54   #18
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,772
По умолчанию Re: 9.3 керио и вкладка высокая доступность

Цитата:
Сообщение от Putin Посмотреть сообщение
В общем, что-то по идее не так, но что ? что ему еще надо-то ?
глянь в логе debug
1) может запилили уже отдельную галку для HA
2) поставь галку на работе интерфейсов
а вообще предполагаю, что косо настроено соединение под HA - лагает оно или еще что.
ну или керио лажает где-то.
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 12.06.2019, 21:54   #19
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,663
По умолчанию Re: 9.3 керио и вкладка высокая доступность

Цитата:
Сообщение от exchar Посмотреть сообщение
ну или керио лажает где-то.
ну или стенд на гуперви с известными косяками
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 12.06.2019, 22:27   #20
Putin
Навичёг
 
Аватар для Putin
 
Регистрация: 28.09.2013
Сообщений: 32
По умолчанию Re: 9.3 керио и вкладка высокая доступность

Цитата:
Сообщение от exchar Посмотреть сообщение
глянь в логе debug
1) может запилили уже отдельную галку для HA
2) поставь галку на работе интерфейсов
а вообще предполагаю, что косо настроено соединение под HA - лагает оно или еще что.
ну или керио лажает где-то.
Да, галочка есть уже такая - HA, уже включил её )

Какой-то полтергейст у меня, походу - неверно были выставлены интерфейсы в этой "Высокой доступности", но когда поменял местами - вообще ничего не заработало в этой High Availability//
Получается:

- "Интерфейс состояния/синхронизации" же должен быть интерфейс, который соединяет 2 керио шлюза напрямую ? А внизу с галочкой и виртуальным IP-адресом должен быть интерфейс локальной сети, верно ?

- Два керио шлюза соединять обычным патч-кордом между собой (интерфейс Sync/Status) ? Или обратной обжаткой?

- Сети (HA и LAN) должны быть разными или в принципе не важно совсем ?

Цитата:
Сообщение от naliman Посмотреть сообщение
ну или стенд на гуперви с известными косяками
У меня на стенде 2 реальные железные машины, не виртуальные. Может кстати и с сетевыми картами тогда не так Завтра поменяю на другие и как раз уже подключу дополнительную для интернет-интерфейсов.
Putin вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 02:00. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2019, vBulletin Solutions Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях