Kerio Control — это межсетевой экран с защитой от современных угроз
Firewall, VPN, защита от вторжений, контроль загружаемых файлов и управление трафиком сотрудников
Задание
Есть локальная сеть , в ней нужно организовать dhcp сервер, доступ к интернет, опубликовать сервера в интернет. Локальная сеть будет с адресацией 172.16.0.0/24
Требования
Сервер или виртуальная машина, также 2 сетевых карты.
В моем случае это виртуальная машина с 2 сетевыми интерфейсами. Первый сетевой интерфейс , в него напрямую подключен линк от провайдера , вторая сетевая карта это приватная сеть(в вашем случае скорее всего будет External network)
Установка
Скачиваем образ с официаольного сайта либо скачиваем Kerio Control 9.3.4 build 3795 по ссылке.
Я буду производить установку Kerio на виртуальную машину , для начала установки я выберу по одному интерфейсу локальной сеть, с нее и начнем установку , позже я добавлю сетевую карту с интернетом.
Начинаем установку, выбираем язык
Соглашаемся с лицензионными правилами
Защита от дурака , нам говорят что установка полность очистит диск , соглашаемся вводим 135
Установка пошла
Жмем Enter для перезагрузки
Настройка web панели Kerio Cotrol
Дожидаемся включения нашего сервера
Сразу после включения в сети заработает dhcp сервер!!!
Переходим в браузер на локальном компьютере.
После входа в Kerio на виртуальной машине добавляем сетевой интерфейс и назначаем ему внешний ip адрес
Зажимаем и перемещаем интерфейс в Интнертнет — интерфейсы — нажимаем применить
Выключаем прокси сервер, по желанию , если оставите включенным по умолчанию вы себя назначите публичным прокси без авторизации
Включаем или выключаем прокси сервер
также можно проверить через пинг подкление к интернет
на этом базовую настройку можно считать законченной. У нас уже должен работать интернет, и раздаватся dhcp.
Проброс порта 3389 через Kerio control
Windows, Windows 10, Windows 7, Windows 8, Windows Server, Windows Vista, Windows XP
- 14.11.2016
- 124 309
- 9
- 02.05.2021
- 264
- 258
- 6
- Содержание статьи
- Описание
- Решение проблем
- Ошибка 1920
- Ошибка 28201
- Комментарии к статье ( 9 шт )
- Добавить комментарий
Kerio Control VPN Client используется для подключения компьютера к серверу Kerio Control VPN. Установка и настройка клиентоской части не должна вызвать никаких проблем даже у совсем малограмотных пользователей, но если вы не уверены в своих действиях — смело ориентируйтесь на эту статью!
Описание
Скачиваем данный клиент отсюда.
- В строке «Select a product» выбираем «Kerio Control«, а затем — нужную версию (очень желательно, чтобы версии клиента и сервера совпадали), после чего нажимаем «Show files».
- В разделе «Installation packages» находим Kerio Control VPN Client под нужную версию Windows.
Скачиваем и запускаем установщик. Первым делом появится вопрос о языке установки, выбрав нужный переходим к следующему пункту.
После этого появится стандартное окно приветствия программы установки, которое можно пропустить не читая, нажав кнопку «Далее». В следующем окне программа установки спросит куда устанавливать Kerio Control VPN Client, по умолчанию устанавливая его в папку Program Files. Если нужно, то вносим изменения и нажимаем кнопку «Далее», затем , в следующем окне кнопку «Установить». Начнется установка программы.
Во время установки может возникнуть окно с предупреждением о невозможности проверить издателя устанавливаемого драйвер. Обязательно нужно нажать на кнопку «Все равно установить этот драйвер».
По окончанию установки появится окошко с соответствующим уведомлением, а так же с предложением запустить установленную программу по выходу из программы установки. Если нету причин откладывать это, то галочку следует оставить.
Запустившись, программа покажет окно с четыремя пустыми полями, которые нужно заполнить следующим образом:
- Соединение — указываем имя соединения, под которым оно будет отображаться (данное поле появилось в более новых версиях программы, в старых версиях его может не быть);
- Сервер — адрес VPN сервера, их может быть несколько;
- Пользователь — логин пользователя;
- Пароль — его пароль.
- Постоянное соединение — в случае выбора этого пункта, соединение будет устанавливаться автоматически при загрузке системы, не зависимо от авторизации пользователя.
Решение проблем
Если вы используете пробную версию Kerio Control, и получаете ошибку при соединении, то скорее всего версия вашего VPN клиента отличается от версии сервера. Попробуйте найти либо одинаковую с сервером версию, либо более старую. Например, версию 8.1.1-928 можно скачать с нашего сайта по ссылкам ниже:
Kerio Control VPN Client 8.1.1.928 (32 bit)
Kerio Control VPN Client 8.1.1.928 (64 bit)
Ошибка 1920
В определенных случаях, при установке Kerio Control VPN Client версии 9.2.4 под Windows 7 x64, может возникнуть ошибка 1920:
Error 1920. Service Kerio Control VPN Client Service (KVPNCSvc) failed to start. Verify that you have sufficient privileges to start system services.
Это связано с тем, что файл установки клиента не может установить не подписанные драйвера, необходимые для работы VPN клиента Kerio. Решается это следующим образом (согласно официальной документации):
- Отключаем антивирус и фаирволл на вашем компьютере.
- Затем необходимо полностью удалить Kerio Control VPN Client с вашего компьютера. Для полной очистки компьютера от всех следов присутствия данной программы на компьютере, возможно понадобится стороннее обеспечение, вроде бесплатной пробной версии Revo Uninstaller.
- В «Диспетчере устройств» необходимо открыть сетевые адаптеры и если среди них присутствует Kerio Virtual Network Adapter — удалить его.
- Выполняем перезагрузку компьютера.
- Скачиваем версию 9.2.3 по этой ссылке. Устанавливаем эту версию под пользователем с правами администратора.
- После установки версии 9.2.3 идем на официальный сайт за загрузкой версии 9.2.4. Скачиваем её, но не торопимся запускать.
- Открываем свойства скачанного файла, и находим в самом низу кнопку «Разблокировать», которую необходимо нажать.
- Запускаем файл установки с правами администратора, и устанавливаем программу как описано в самом начале статьи.
Ошибка 28201
Если при установке Kerio Control VPN Client вы получаете ошибку следующего содержания:
Ошибка 28201: Не удалось установить драйвер устройства VNP. Причина: CREATE. Действие: UpdateDevice. Результат: 0x80070490, unspecified error.
То её решение описано в этой статье.
Kerio Control VPN Client используется для подключения компьютера к серверу Kerio Control VPN. Установка и настройка клиентоской части не должна вызвать никаких проблем даже у совсем малограмотных пользователей, но если вы не уверены в своих действиях — смело ориентируйтесь на эту статью!
Скачиваем данный клиент отсюда:
kerio-control-vpnclient-9.4.5-8629-win64.exe
Установка:
Нажать правой кнопкой мыши по скаченному файлу и запустить его от имени администратора.
Выбрать нужный Вам язык, далее кнопка «Ок»
После распаковки установочных файлов видим окно установки программы
Жмем «далее», в следующем окне так же «далее», и последняя кнопка «Установить»
Начнется процесс установки Kerio Control VPN Client на ваш компьютер, на следующем этапе нажимаем кнопку «Готово»
Настройка подключения:
В открывшемся окне программы нужно заполнить все поля, для каждой организации они персональны
Соединение — обычно заполняется внешним IP адресом компании
Сервер — собственно сам внешний IP адрес компании
Имя пользователя — имя пользователя VPN соединения
Пароль — пароль от пользователя VPN
Если поставить галочку «Постоянное соединение», то Kerio Control VPN Client будет запускаться при старте компьютера
Где найти и как проверить
Частый вопрос пользователей, мы не можем подключиться к удаленному доступу, рекомендуем проверить соединение Kerio Control VPN Client
Для этого в меню пуск в правом нижнем углу найдите значок Kerio Control VPN Client
Если он серого цвета и на нем присутствует крестик, то подключение отсутствует, следовательно нажмите на значок и выполните соединение после удачного соединения значок станет красным
Для организации контроля в локальной сети нашей организации был выбран Kerio Control Software Appliance 9.2.4. Раньше эта программа называлась Kerio WinRoute Firewall. Рассматривать плюсы и минусы мы не будем, и почему выбран Керио, тоже, переходим сразу к делу. Программа версии 7 и выше устанавливается на голое железо без какой-либо операционной системы. В связи с этим подготовлен отдельный ПК (не виртуальная машина) со следующими параметрами:
-процессор AMD 3200+;
-ОЗУ 2 Гб;
-HDD 500Гб; (необходимо гораздо меньше)
— Сетевая карта – 2 шт.
Собираем ПК, вставляем 2 сетевых карты.
Для установки линукс-подобной системы нужно создать загрузочный носитель – флэшку или диск. В нашем случае флэшка создана с помощью программы UNetbootin.
Скачиваем Unetbootin.
Скачиваем Kerio Control Software Appliance. (можно купить лицензию или скачивать образ с встроенным активатором)
Объем образа Керио не превышает 300Мб, размер флэшки соответствующий.
Вставляем флэшку в USB разъем ПК или ноут-бука.
Форматируем в FAT32 средствами Windows.
Запускаем UNetbootin и выбираем следующие настройки.
Дистрибутив – не трогаем.
Образ – Стандарт ISO, указываем путь к скаченному образу Керио.
Тип – Устройство USB, выбираем нужную флэшку. ОК.
После некоторого времени создания, загрузочная флэшка готова. Жмем выход.
Вставляем загрузочную флэшку в подготовленный ПК, включаем его и в Boot menu выбираем загрузку с USB-HDD. В начавшейся загрузке выбираем linux.
Начнется установка Kerio Control Software Appliance 9.2.4. Выбираем язык.
Читаем лицензионное соглашение.
Принимаем его, нажав F8.
Вводим код 135. Программа предупреждает о том, что жесткий диск будет отформатирован.
Ждем пока идет установка.
Система перезагрузится.
Снова ждем.
Наконец дождались. Сообщение на экране говорит о том, что нужно в любом ПК, который подключен в одну сеть вместе с Керио перейти в браузере по написанному адресу.
Мы пока этого делать не будем, а переходим в Конфигурацию сети в самом Керио.
Конфигурация сетевого интерфейса Ethernet. Отмечаем пробелом – Назначить статический IP-адрес.
И назначаем его.
IP-адрес: 192.168.1.250
Маска подсети: 255.255.255.0
Если до установки ПО в сетевые карты были подключены два необходимых сетевых провода для внешней и внутренней сети, то об этом компьютере можно забыть. Я поставил его в уголок и даже забрал монитор.
Теперь в браузере того ноут-бука, в котором создавалась загрузочная флэшка, я перехожу по адресу:
https://192.168.1.250:4081/admin. Браузер может сообщить что Возникла проблема с сертификатом безопасности этого сайта. Нажимаем ниже – Продолжить открытие этого веб сайта и попадаем в мастер активации.
Анонимную статистику, конечно же, не передаем, убираем галочку.
Вводим новый пароль администратора.
Выполняем авторизацию.
Вот и всё. Здравствуй Керио.
Нужно отметить, что выбранный IP-адрес 192.168.1.250 для сетевой карты внутренней сети решено было изменить на адрес 192.168.1.1 для того, чтоб не перенастраивать много оборудования. Сеть существовала долгое время без контроля и Керио пришлось в неё добавить методом встраивания. После смены IP чтоб попасть в интерфейс нужно вводить https://192.168.1.1:4081/admin. Ниже на рисунке структурная схема подключения.
Первоначально, все функции маршрутизации и DNS выполнял модем с IP –адресом 192.168.1.1. При установке Керио модему назначили адрес 192.168.0.1 и он обращается к внешней сетевой карте Керио с адресом 192.168.0.250. Адреса в одной подсети. Внутренняя сетевая карта получила адрес, который раньше был у модема. Всё оборудование в сети со статическими IP-адресами и прописанным шлюзом (а это почти вся наша сеть) увидело новый шлюз как старый и даже, не заподозрило подмены : )
При первом запуске Керио, мастер предлагает настроить интерфейсы. Можно настраивать не через мастера. Рассмотрим подробнее всё, что описано выше.
Во вкладке интерфейсы выбираем пункт Интернет-интерфейсы.
Придумываем название типа Внешняя сеть или Интернет, по умолчанию написано WAN. Вводим вручную данные IP адреса, маску, шлюз и DNS, всё в одной подсети с модемом. ОК.
Далее выбираем следующее подключение в пункте Доверенные/локальные интерфейсы – наша внутренняя сеть. Эти пункты в зависимости от версии Керио могут называться по другому. Придумываем имя и вносим данные как на картинке ниже. Внешняя и внутренняя сеть не могут находится в одной подсети. Это не нужно забывать. DNS от Керио. Шлюз не пишем. ОК.
Нажимаем кнопку Применить в нижней правой части экрана, настройки активируются. Проверим подключение к Интернету. Интернет работает.
Можно переходить к созданию правил трафика, фильтрации содержимого, посмотреть, кто скачивает торренты и перегружает сеть, ограничить скорость или заблокировать. Короче, Керео полноценно работает и в нем есть множество настроек. Тут каждый настраивает что кому нужно.
Рассмотрим еще один важный момент – это открытие портов. До установки Керео в модеме были проброшены порты на сервер. Так же изначально необходимые порты были открыты в самом сервере. Без этих портов спец. софт сервера не может нормально работать. Рассмотрим открытие порта 4443.
Модем HUAWEI HG532e, заходим в него, для этого в адресной строке браузера вводим 192.168.0.1. Переходим по вкладкам Advanced—>NAT—> Port Mapping и вносим данные как на картинке ниже.
Интерфейс – наше подключение (в режиме роута кстати).
Протокол – TCP/UDP.
Remote host – ничего.
External start port/end port – 4443 (внешний порт).
Internal host – 192.168.0.250 (адрес внешней сетевой карты Керео).
Internal port – 4443 (внутренний порт).
Mapping name – любое понятное имя.
Принцип действия таков, что обращение из интернета на внешний статический IP-адрес к порту 4443 будет переадресовано к внешней сетевой карте Керио. Теперь нужно сделать так, чтоб запрос с внешней сетевой карты перенаправлялся на внутреннюю сетевую карту и далее к нашему серверу на порт 4443. Это делается с помощью создания двух правил. Первое правило разрешает доступ извне, второе правило разрешает доступ изнутри.
Создаем эти два правила на вкладке Правила трафика. Разница в пунктах источник и назначения. Служба – наш порт 4443. см. картинку выше.
В пункте Трансляция делаем настройки как на картинке ниже. Отмечаем галочкой — Адрес назначения NAT и пишем там IP-адрес сервера назначения и нужный порт. ОК.
Нажимаем применить. Проверяем, открылся ли порт в он-лайн сервисе. Порт открыт.
Проверяем службы сервера, для которых всё это делалось – они заработали. Аналогичным способом можно открыть любой порт.
О прочих настройках Kerio Control Software Appliance возможно будет написано в других статьях.
Настройка Kerio Control Часть 2 (подключение по оптике)