Форум Kerio-rus  

Вернуться   Форум Kerio-rus > Продукты > Kerio Control (бывший Winroute Firewall)

Ответ
 
Опции темы
Старый 12.10.2017, 10:40   #1
sheffnik
 
Регистрация: 11.10.2017
Сообщений: 4
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Kerio 9.2.3 проблемы с интернетом у клиентов

Всем здрасьте.
Сложная ситуация с Керио. Конфиг - сервер HyperV на 2016винде. Поднята виртуалки -
1)Kerio 9.2.3
2)DC+ DNS+DHCP на 2012винде.

В сервере 3 сетевые карты. - 1 -локалка 2 -провайдер1 3- провайдер2
ДНС и dhcp настроены, все в АД зарегено как и керио.
В настройках виртуалки на провайдерских сетевушках галки сняты с использовать управляющей винде. ДНС на клиентах - ip сервера AD, на самом DNS проброс на сервер провайдера и 8.8.8.8.

Как таковой авторизации или сбора статистики по посещению не нужно, просто доступ в интернет и пробросы извне на определенные ресурсы внутри сети.

Впринципе все вроде работает НО почему то компы в локалке после включения пускает в инет минут через 5 ,а некоторые через 20 , а некоторые сразу, каждый раз разные компы (примерно 20пк в домене и еще с 10 устройств вне домена(телефоны и гостевые ноуты через точку wifi).Причем телефоны ВСЕГДА сразу заходят а вот с пк проблемы, в независимости от того в домене они или нет. В то время когда не пускает шлюз(керио)с клиента НЕ пингуется . На всех пк(кроме гостевых) развернут касперский эндпоинт расширенный лицензия , накатана политика через домен которая отрубает виндовый фаерволл(ну и касперский сам его так и так вырубает) в касперском так же политика проверенная(на другом филиале на все ок, НО керио там на винде 7.4)
Отчего такой полтергейст может быть? До этого стоял 7.4 на 2008 все рабоатло как часы, если не считать постоянно пролазящих на 2008 шифровальщиков
Проброс днс настроен(как тут указано) . да и не в нем проблема, шлюза с клиентов не видно.

Частично решилось отключением антиспуфинга НО если его отключить то пока я сам с керио клиента не прозвоню(трэйсроутом) на клиенте ничего не появляется.
На утро часть заходит опять сразу, а часть может час ждать ,а может только после того как я с керио трэйсроут сделаю на клиента.а один комп вобще 20мин работает и его рубит и пока я не пингану ничего не пускает(причем обязательно нужно в инет зайти с эксплорера, и только потом там яндексбраузер начинает работать).
Если не включать прозрачный прокси то почти все ПК начинают видеть шлюз только через 15-40 минут.
На 7.4 прокси был НЕ включен .
Вот как настроено -




А так было на 7.4



При таком раскладе все вобще толко в ручном режиме работает на 9.3.

Нужно что бы клиент после включения ПК сразу мог работать в инете, БЕЗ предварительного включения експлорера(в том числе и без танцев с групповой политикой) т.к. не все в домене, и лишние телодвижения не нужны(с 7.4 то все работало напрямую)

Последний раз редактировалось sheffnik; 12.10.2017 в 11:03.
sheffnik вне форума   Ответить с цитированием Вверх
Старый 12.10.2017, 11:47   #2
exchar
Охуительный пейсатель
 
Регистрация: 21.04.2008
Сообщений: 2,519
Поблагодарили 155 раз(а) в 129 сообщениях
По умолчанию Re: Kerio 9.2.3 проблемы с интернетом у клиентов

Цитата
Сообщение от sheffnik Посмотреть сообщение
Вот как настроено
скриншоты не вижу, прикреплены некорректно похоже

Цитата
Сообщение от sheffnik Посмотреть сообщение
В то время когда не пускает шлюз(керио)с клиента НЕ пингуется.
Частично решилось отключением антиспуфинга НО если его отключить то пока я сам с керио клиента не прозвоню(трэйсроутом) на клиенте ничего не появляется.
На утро часть заходит опять сразу, а часть может час ждать ,а может только после того как я с керио трэйсроут сделаю на клиента.
на проблемном клиенте сделай arp -a
а) когда локальный интерфейс керио пингуется
б) когда он не пингуется

и сравни MAC-адреса локального интерфейса керио
а потом сравни эти маки с маками виртуальных сетевух гиперв
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 12.10.2017, 12:17   #3
sheffnik
 
Регистрация: 11.10.2017
Сообщений: 4
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Kerio 9.2.3 проблемы с интернетом у клиентов

Цитата
Сообщение от exchar Посмотреть сообщение
на проблемном клиенте сделай arp -a
а) когда локальный интерфейс керио пингуется
б) когда он не пингуется

и сравни MAC-адреса локального интерфейса керио
а потом сравни эти маки с маками виртуальных сетевух гиперв
АААА огромное спасиибо!!! Это же я уже неделю голову ломаю что да как да почему!!! а оно вон что.
Вот arp -a
1- без инета
Интерфейс: 192.168.2.1 --- 0xb
адрес в Интернете Физический адрес Тип
192.168.2.101 00-15-5d-01-70-0e динамический
192.168.2.111 00-15-5d-01-70-0b динамический
192.168.2.255 ff-ff-ff-ff-ff-ff статический
224.0.0.22 01-00-5e-00-00-16 статический
224.0.0.252 01-00-5e-00-00-fc статический
239.255.255.250 01-00-5e-7f-ff-fa статический
255.255.255.255 ff-ff-ff-ff-ff-ff статический

А вот с инетом
Интерфейс: 192.168.2.1 --- 0xb
адрес в Интернете Физический адрес Тип
192.168.2.101 00-15-5d-01-70-0e динамический
192.168.2.111 00-15-5d-01-70-09 динамический
192.168.2.255 ff-ff-ff-ff-ff-ff статический
224.0.0.22 01-00-5e-00-00-16 статический
224.0.0.252 01-00-5e-00-00-fc статический
239.255.255.250 01-00-5e-7f-ff-fa статический
239.255.255.253 01-00-5e-7f-ff-fd статический
255.255.255.255 ff-ff-ff-ff-ff-ff статический

Разные маки блин... теперь вопрос, как это исправить? Нужно в настройках виртуалки прописать жестко MAC 00-15-5d-01-70-09 ? и удаленно то это у меня не получится ... машину то выключать нужно... бэлин 125 км ехать

И как мне в Керио посмотреть мас?

UPD
Сменил мак на виртуалке( по телефону ) но в arp -a без инета все равно адрес- 00-15-5d-01-70-0b c инетом теперь 00-15-5d-01-70-10 , где это убрать??или в настройках в керио на интерфейсе переопределять мас на 00-15-5d-01-70-0b?

скрины - это ссылки на яндексдиск...

Последний раз редактировалось sheffnik; 12.10.2017 в 12:47.
sheffnik вне форума   Ответить с цитированием Вверх
Старый 12.10.2017, 13:27   #4
exchar
Охуительный пейсатель
 
Регистрация: 21.04.2008
Сообщений: 2,519
Поблагодарили 155 раз(а) в 129 сообщениях
По умолчанию Re: Kerio 9.2.3 проблемы с интернетом у клиентов

Цитата
Сообщение от sheffnik Посмотреть сообщение
или в настройках в керио на интерфейсе переопределять мас на 00-15-5d-01-70-0b?
я гиперв не пользуюсь (больше по vmware)

в настройках керио в настройках интерфейсов переопределить мак-адреса на адреса соответствующих интерфейсам виртуальных сетевух из гиперв

если мак-адреса все еще будут рандомно появляться новые (из пула гиперв), то погуглить в сторону hyper-v mac flapping
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 12.10.2017, 13:42   #5
Mr.Torture
Пейсатель професеонал
 
Аватар для Mr.Torture
 
Регистрация: 25.09.2009
Адрес: г. Партизанск
Сообщений: 1,038
Поблагодарили 50 раз(а) в 39 сообщениях
По умолчанию Re: Kerio 9.2.3 проблемы с интернетом у клиентов

Да там просто в настройках виртуальной машины можно прописать нужные маки. Только на выключенной машине делать.
__________________
Welcome to the Torture chamber...
Mr.Torture вне форума   Ответить с цитированием Вверх
Пользователь сказал cпасибо:
exchar (13.10.2017)
Старый 12.10.2017, 13:45   #6
sheffnik
 
Регистрация: 11.10.2017
Сообщений: 4
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Kerio 9.2.3 проблемы с интернетом у клиентов

Цитата:
Сообщение от Mr.Torture Посмотреть сообщение
Да там просто в настройках виртуальной машины можно прописать нужные маки. Только на выключенной машине делать.
я так и сделал, и у керио появилась новая локалка с другим уже маком, а старая неактивной стала... переопределение делаю , но мак всеравно выходит 70-10 а не 70-0b как в настройках на гипервизоре
sheffnik вне форума   Ответить с цитированием Вверх
Старый 12.10.2017, 13:50   #7
Mr.Torture
Пейсатель професеонал
 
Аватар для Mr.Torture
 
Регистрация: 25.09.2009
Адрес: г. Партизанск
Сообщений: 1,038
Поблагодарили 50 раз(а) в 39 сообщениях
По умолчанию Re: Kerio 9.2.3 проблемы с интернетом у клиентов

Что-то не так делаешь. У меня маки прописаны и всё нормально работает.
__________________
Welcome to the Torture chamber...
Mr.Torture вне форума   Ответить с цитированием Вверх
Старый 12.10.2017, 15:36   #8
exchar
Охуительный пейсатель
 
Регистрация: 21.04.2008
Сообщений: 2,519
Поблагодарили 155 раз(а) в 129 сообщениях
По умолчанию Re: Kerio 9.2.3 проблемы с интернетом у клиентов

Цитата
Сообщение от sheffnik Посмотреть сообщение
я так и сделал, и у керио появилась новая локалка с другим уже маком, а старая неактивной стала... переопределение делаю , но мак всеравно выходит 70-10 а не 70-0b как в настройках на гипервизоре
наверное, тут имеет смысл выложить пару скриншотов, иллюстрирующих эти действия

P.S. так как у меня гиперв нет, то скрины выложит кто-то другой
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 12.10.2017, 15:57   #9
sheffnik
 
Регистрация: 11.10.2017
Сообщений: 4
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Kerio 9.2.3 проблемы с интернетом у клиентов

Нашел косяк) не правильно для себя подписал адаптеры в hyperV ,перепутал локальный с внешним и ставил на внешнем статику и мак там прописывал такой же как на локальном(а там динамика так и осталась),а до этого в керио стояло на локальнои интерфейсе принудительно подставлять мак 70-0B , поэтому после загрузки керио выдал новый локальный интерфейс(гипервизор новый мак выдал(70-10) т.к. 70-0b уже в статике был вписан на интерфейсе внешнем ). Вобщем теперь на всех 3 интерфейсах стоят статические мак адреса , керио ничего не подставляет сам (он видит на локальном 70-10 адрес, какой и надо)и все вроде летает )
sheffnik вне форума   Ответить с цитированием Вверх
Старый 16.10.2017, 19:31   #10
Semen
Песака
 
Аватар для Semen
 
Регистрация: 18.10.2010
Сообщений: 77
Поблагодарили 5 раз(а) в 4 сообщениях
По умолчанию Re: Kerio 9.2.3 проблемы с интернетом у клиентов

"перепутал локальный с внешним и ставил на внешнем статику и мак там прописывал такой же как на локальном" я маки вообще в гипер-в не трогал никогда. Все и так работает
Semen вне форума   Ответить с цитированием Вверх
Старый 16.10.2017, 20:47   #11
HOG
Одменестрадор
 
Аватар для HOG
 
Регистрация: 08.03.2006
Адрес: Из лесу, вестимо...
Сообщений: 5,557
Поблагодарили 54 раз(а) в 47 сообщениях
По умолчанию Re: Kerio 9.2.3 проблемы с интернетом у клиентов

Цитата
Сообщение от exchar Посмотреть сообщение
я гиперв не пользуюсь (больше по vmware)
как-то я уже говорил - это закономерность, что если гиперв, то - проблемы.
__________________
[Для просмотра данной ссылки нужно зарегистрироваться]

керио
HOG вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 02:37. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2017, vBulletin Solutions, Inc. Перевод: zCarot

© Kerio-rus.ru
Официальный сайт группы АлисА WWW.ALISA.NET Фонарёвка: всё о фонарях