Kerio control как вылечить

Для организации контроля в локальной сети нашей организации был выбран Kerio Control Software Appliance 9.2.4. Раньше эта программа называлась Kerio WinRoute Firewall.  Рассматривать плюсы и минусы мы не будем, и почему выбран Керио, тоже, переходим сразу к делу. Программа версии 7 и выше устанавливается на голое железо без какой-либо операционной системы. В связи с этим подготовлен отдельный ПК (не виртуальная машина) со следующими параметрами:

-процессор AMD 3200+;

-ОЗУ 2 Гб;

-HDD 500Гб; (необходимо гораздо меньше)

— Сетевая карта – 2 шт.

Собираем ПК, вставляем 2 сетевых карты.

Для  установки линукс-подобной системы нужно создать загрузочный носитель – флэшку или диск. В нашем случае флэшка создана с помощью программы UNetbootin.

Скачиваем Unetbootin.

Скачиваем Kerio Control Software Appliance. (можно купить лицензию или скачивать образ с встроенным  активатором)

Объем образа  Керио не превышает 300Мб, размер флэшки соответствующий.

Вставляем флэшку в USB разъем ПК или ноут-бука.

Форматируем в FAT32 средствами Windows.

Запускаем UNetbootin и выбираем следующие настройки.

Дистрибутив – не трогаем.

Образ – Стандарт ISO, указываем путь к скаченному образу Керио.

Тип – Устройство USB, выбираем нужную флэшку. ОК.

После некоторого времени создания, загрузочная флэшка готова. Жмем выход.

Вставляем загрузочную флэшку в подготовленный ПК, включаем его и в Boot menu выбираем загрузку с USB-HDD. В начавшейся загрузке выбираем linux.

Начнется установка Kerio Control Software Appliance 9.2.4. Выбираем язык.

Читаем лицензионное соглашение.

Принимаем его, нажав F8.

Вводим код 135. Программа предупреждает о том, что жесткий диск будет отформатирован.

Ждем  пока идет установка.

Система перезагрузится.

Снова ждем.

Наконец дождались. Сообщение на экране говорит о том, что нужно в любом ПК, который подключен в одну сеть вместе с Керио перейти в браузере по написанному  адресу.

Мы пока этого делать не будем, а переходим в Конфигурацию сети в самом Керио.

Конфигурация сетевого интерфейса Ethernet. Отмечаем пробелом – Назначить статический IP-адрес.

И назначаем его.

IP-адрес: 192.168.1.250

Маска подсети: 255.255.255.0

Если до установки ПО в сетевые карты  были подключены два необходимых сетевых провода для внешней и внутренней сети, то об этом компьютере можно забыть. Я поставил его в уголок и даже забрал монитор.

Теперь в браузере того ноут-бука, в котором создавалась загрузочная флэшка, я перехожу по адресу:

https://192.168.1.250:4081/admin. Браузер может сообщить что Возникла проблема с сертификатом безопасности этого сайта. Нажимаем ниже – Продолжить открытие этого веб сайта и попадаем в мастер активации.

Анонимную статистику, конечно же, не передаем, убираем галочку.

Вводим новый пароль администратора.

Выполняем авторизацию.

Вот и всё. Здравствуй Керио.

Нужно отметить, что выбранный IP-адрес 192.168.1.250 для сетевой карты внутренней сети решено было изменить на адрес 192.168.1.1 для того, чтоб не перенастраивать много оборудования. Сеть существовала долгое время без контроля и Керио пришлось в неё добавить методом встраивания. После смены IP чтоб попасть в интерфейс нужно вводить https://192.168.1.1:4081/admin. Ниже на рисунке структурная схема подключения.

Первоначально, все функции маршрутизации и DNS выполнял модем с IP –адресом 192.168.1.1. При установке Керио модему назначили адрес 192.168.0.1 и он обращается к внешней сетевой карте Керио с адресом 192.168.0.250. Адреса в одной подсети. Внутренняя сетевая карта получила адрес, который раньше был у модема. Всё оборудование в сети со статическими IP-адресами и прописанным шлюзом (а это почти вся наша сеть) увидело новый шлюз как старый и даже,  не заподозрило подмены : )

При первом запуске Керио, мастер предлагает настроить интерфейсы. Можно настраивать не через мастера. Рассмотрим подробнее всё, что описано выше.

Во вкладке интерфейсы выбираем пункт Интернет-интерфейсы.

Придумываем название типа Внешняя сеть или Интернет, по умолчанию написано WAN. Вводим вручную данные IP адреса, маску, шлюз и DNS, всё в одной подсети с модемом. ОК.

Далее выбираем следующее подключение в пункте Доверенные/локальные интерфейсы – наша внутренняя сеть. Эти пункты в зависимости от версии Керио могут называться по другому. Придумываем имя и вносим данные как на картинке ниже. Внешняя и внутренняя сеть не могут находится в одной подсети. Это не нужно забывать. DNS от Керио. Шлюз не пишем. ОК.

Нажимаем кнопку Применить в нижней правой части экрана, настройки активируются. Проверим подключение к Интернету. Интернет работает.

Можно переходить к созданию правил трафика, фильтрации содержимого, посмотреть, кто скачивает торренты и перегружает сеть, ограничить скорость или заблокировать. Короче, Керео полноценно работает и в нем есть множество настроек. Тут каждый настраивает что кому нужно.

Рассмотрим еще один важный момент – это открытие портов. До установки Керео в модеме были проброшены порты на сервер. Так же изначально необходимые порты были открыты в самом сервере. Без этих портов спец. софт сервера не может  нормально работать. Рассмотрим открытие порта 4443.

Модем HUAWEI HG532e, заходим в него, для этого в адресной строке браузера вводим 192.168.0.1. Переходим по вкладкам Advanced—>NAT—> Port Mapping и вносим данные как на картинке ниже.

Интерфейс – наше подключение (в режиме роута кстати).

Протокол – TCP/UDP.

Remote host – ничего.

External start port/end port – 4443 (внешний порт).

Internal host – 192.168.0.250 (адрес внешней сетевой карты Керео).

Internal port – 4443 (внутренний порт).

Mapping name – любое понятное имя.

Принцип действия таков, что обращение из интернета на внешний статический IP-адрес к порту 4443 будет переадресовано к внешней сетевой карте Керио. Теперь нужно сделать так, чтоб запрос с внешней сетевой карты перенаправлялся на внутреннюю сетевую карту и далее к нашему серверу на порт 4443. Это делается с помощью создания двух правил. Первое правило разрешает доступ извне, второе правило разрешает доступ изнутри.

Создаем эти два правила на вкладке Правила трафика. Разница в пунктах источник и назначения. Служба – наш порт 4443. см. картинку выше.

В пункте Трансляция делаем настройки как на картинке ниже. Отмечаем галочкой  — Адрес назначения NAT и пишем там IP-адрес сервера назначения и нужный порт. ОК.

Нажимаем применить. Проверяем, открылся ли порт в он-лайн сервисе. Порт открыт.

Проверяем службы сервера, для которых всё это делалось – они заработали. Аналогичным способом можно открыть любой порт.

О прочих настройках Kerio Control Software Appliance возможно будет написано в других статьях.

Настройка Kerio Control Часть 2 (подключение по оптике)

Неправильное управление полосой пропускания в офисной сети (или отсутствие такого управления) приводит к ощутимым перебоям: интернет работает медленно, снижается качество голосовой и видеосвязи и т. д. Решение Kerio Control поможет правильно расставить приоритеты и гарантировать достаточную пропускную способность важному трафику.

О возможностях Kerio Control

Программное решение Kerio Control относится к продуктам класса UTM (Unified Threat Management) и обеспечивает комплектную защиту рабочих станций и серверов при работе в интернете. Решение ориентировано на корпоративные сети средних размеров и ведет родословную от хорошо известного продукта WinRoute. Слова «комплексная защита» означают, что Kerio Control состоит из множества модулей, отвечающих за разные аспекты безопасности, а именно:

• межсетевой экран;
• маршрутизатор;
• система обнаружения и предотвращения вторжений (IPS/IDS);
• антивирусная защита трафика;
• контент-фильтрация трафика;
• мониторинг и анализ активности пользователей в интернете;
• два VPN сервера – один на базе собственного протокола и второй на базе открытого стандарта IPSec VPN;
• управление полосой пропускания и поддержка QoS.

В статье мы поговорим о последнем пункте в этом перечне, но далеко не последнем по важности.

Проблемы оптимизации доступа в интернет

Рассмотрим несколько типовых сценариев.

Первый: руководителю нужен неограниченный доступ к полосе пропускания, лучше, чем у других. Кстати, необязательно руководителю – гарантированно широкая полоса потребуется серверу, который реплицирует базу с удаленным дата-центром.

Второй: менеджеры жалуются на плохую слышимость и обрывы звонков. Или платежный терминал принимает платеж по карте с третьего раза, потому что не может связаться с банком.

Третий: неожиданно упала скорость у всего офиса. Пора проверить, кто качает на работе торренты.

Все эти сценарии требуют управлять полосой пропускания, а именно определять приоритеты и обнаруживать аномальные явления. Задачи управления будут выглядеть примерно так:

• для VoIP требуется пропускная способность 10 мбит/сек, не меньше, в любое время;
• потоковые данные не должны потреблять больше 100 кбит/сек;
• гостевой трафик надо отделять от рабочего и не переключать на резервный канал в случае сбоя основного;
• привилегированный трафик важней обычного в рабочие часы.

Чтобы формализовать каждую из этих задач, нужно определить, для чего и по каким критериям мы расставляем приоритеты.

Категории потребителей трафика. Это (по возрастанию важности) гости, сотрудники, привилегированные пользователи, оборудование, требующее подключения к интернету.

Типы трафика. На первом месте онлайн-видеоконференции, телефония, передача видеосигнала, VPN, здесь полоса пропускания очень важна. На втором – обычный доступ к сайтам, файлам, почта. Самый низкий приоритет можно установить для доступа к развлекательным сайтам, шоппингу и т. д.

Время доступа. Разные приоритеты можно устанавливать для рабочих часов и нерабочих. Можно дать высокий приоритет серверу для периода репликации данных и ограничить остальных.

Правило = формализованное ограничение

Когда перечисленные критерии определены, можно перейти к правилам ограничения полосы. Поясним на примере решения Kerio для транспорта, используемого, например, на судах. Если на судне есть спутниковый канал с дорогим трафиком и узкой полосой и есть широкий канал, доступный в портах, понятно как надо расставить приоритеты. Например, так:

Собственно, это уже вполне правило в Kerio Control.

Теперь вернемся с корабля в офис и посмотрим на пример с IP-телефонией. Если полоса перегружена, это снижает качество голосовой связи, а значит приоритеты расставим так:

И это тоже три правила в Kerio Control.

Аналогично через правила решаются задачи гарантированно широкой полосы для руководства и оборудования, ограничений на гостевые подключения и т.д.

Управление полосой пропускания в Kerio Control

На панели управления Kerio Control сверху можно видеть перечень доступных интернет-интерфейсов. Например, быстрый канал и медленный. Под ним – локальные сети, например, основная и гостевая.

Теперь предстоит сопоставить локальным сетям интернет-интерфейсы, что и проделаем на вкладке «Правила трафика». Например, гостевой сети отводим свой интерфейс (самый дешевый), и гости не забивают основную офисную сеть. Здесь же настраиваем ограничения по типам трафика, например, только web-доступ для гостей и любой трафик для своих.

А теперь, когда маршрутизация интерфейсов настроена, пора расставить приоритеты по использованию полосы пропускания. Идем на вкладку Управление полосой пропускания и QoS, создаем правило для VIP-пользователей, добавляем в него заранее созданные группы Владельцы (те самые VIP-пользователи) и Оборудование (которому обязательно нужно хорошее подключение), и устанавливаем, например, резервирование 20% полосы.

Важный момент – эти 20% считаются от полосы, указанной в настройках! Здесь важно поставить не заявленную провайдером цифру, а фактическую пропускную способность.

Теперь создаем правило для критичного трафика и добавляем в него типы трафика: SIP VoIP, VPN, мгновенные сообщения и удаленный доступ.

И зарезервируем ему, например, по 3 мбит на скачивание и загрузку.

Потом создадим правило для важного трафика и включим в него такие типы трафика, как просмотр веб-страниц, почту, мультимедиа и FTP. И поставим ему ограничение на потребление не более 50% полосы, причем только в рабочие часы.

А теперь создадим правило для вредного трафика. Если при выборе типа трафика нажать в меню «Подключение, удовлетворяющее правилу содержимого», можно воспользоваться контент фильтром и выбрать соцсети, магазины, трафик, игры и т. д. Также можно ограничить P2P. Поставить им суровое ограничение 256 кбит и пусть качают.

Теперь посмотрим на гостевых пользователей. На вкладке Active Hosts нетрудно посмотреть, что происходит прямо сейчас. Вполне вероятно, что вы обнаружите гостя, накачавшего уже гигабайт и продолжающего с приличной скоростью пользоваться вашим интернетом.

Поэтому делаем правило для гостей. Например, не превышать 5% от полосы.

И еще. Как вы помните, гостей мы направляем на определенный сетевой интерфейс. Правило ограничения полосы можно настроить либо так, чтобы ограничение касалось только одного конкретного сетевого интерфейса, либо всех сетевых интерфейсов. В последнем случае, если мы поменяем интерфейс, привязанный к гостевой сети, правило продолжит действовать.

И важный момент. Правила работают в порядке расположения в списке, сверху вниз. Поэтому правила, которые отсеивают много запросов на доступ, имеет смысл ставить в начале.

В подробностях все это описано в статьях на knowledge base компании Kerio.

• Setting the speed of the link (KB 1373)
• Configuring bandwidth management (KB 1334)
• Configuring policy routing (KB 1314)
• Monitoring active hosts (KB 1593)

До и после оптимизации

До. Весь трафик проходил на равных, без приоритетов. В случае «пробки» страдает весь трафик, в том числе критически важный.

После. Важному трафику отдан приоритет. Механизмы ограничения и резервирование настраиваются по типу пользователя, типу трафика, времени.

Вместо заключения

Мы убедились, что разграничить доступ к полосе пропускания с помощью настраиваемых правил совсем несложно. Именно простоту использования своих продуктов компания Kerio считает своим важнейшим преимуществом и сохраняет на протяжении лет, несмотря на их возрастающую сложность и функциональность.