Контроллер домена в нашей организации появился только в конце 2016г. До этого сеть существовала без него, и без файервола Kerio Control, было полное безвластие и юзеры диктовали права админам. : ) Наконец закупили сервер Dell PowerEdge T430 и в него одной из виртуальных машин был установлен контроллер домена на ОС Windows Server 2008R2. По результатам работы 1.5 лет было выявлено, что сервер работает стабильно, к контроллеру домена нет абсолютно ни каких замечаний, а вот корневая система для виртуализации – Linux Oracle 7.3 и одна из виртуальных машин с сервером нашего главного ПО организации – МАП регулярно дает сбои. Для выявления и устранения проблемы решено было разделить виртуальные машины на реальные. Под контроллер домена был закуплен бюджетный сервер Supermicro. Об нем и пойдет повествование в этом посте.

Планировалось купить брендовый Dell PowerEdgeT30, который хорошо себя показал как сервер видеонаблюдения в нашей организации. Однако Dell почему-то не оказалось в наличии у поставщика и в коробке приехал Supermicro с примерно такими же характеристиками. Я посмотрел отзывы в интернете и пришел к выводу что Supermicro это мало раскрученный бренд, в отличие от Dell или например HP, его более низкая стоимость определяется именно этим. Время покажет насколько он надежен. Однако, всё же, если бы речь шла о сервере хранения важных данных, то я полагаю, что отказался бы от мало известной марки и вернул бы сервер поставщику, а для контроллера домена сойдет.

Характеристики сервера:

Материнская плата — X11SSL-F;

Процессор – Intel Xeon E3-1225v6 3.3GHz;

ОЗУ –DDR4 2400MHz 8Gb;

Жесткие диски – WD5003AZEX Caviar Black 500Gb – 4 шт.;

БП – 500Вт.

Корпус — CSE-732D2-500B;

ИБП – APC Back-UPS650.

Среди разъемов на сервере числятся COM, несколько USB, три сетевых порта и VGA.

Так же БП с разъемом для подключения 220В.

На передней панели кнопка включения, еще 2 USB, разъемы для наушников и индикаторы. Всё выглядит весьма простенько.

Подключаем – запускаем. Электропитание сервера нужно обязательно осуществлять через ИБП.

До установки операционной системы необходимо создать RAID массив из жестких дисков. По плану 4 HDD было закуплено под RAID10. Краткая справка.

RAID (англ. Redundant Array of Independent Disks — избыточный массив независимых дисков) — технология виртуализации данных, которая объединяет несколько дисков в логический элемент для избыточности и повышения производительности. (wiki)

RAID0 (striping — «чередование») создается для ускорения работы HDD. Несколько дисков работают параллельно, информация разбивается на блоки и записывается на диски поочередно. Диски образуют единый логический диск.

Распределение операций по чтению и записи информации между дисками повышает производительность, однако снижается надежность, так как поломка одного из дисков нарушает работу всего массива.

RAID1 (mirroring — «зеркалирование») — массив из двух (или более) дисков, являющихся полными копиями друг друга. Такая схема создается для повышения надежности, при этом на получившемся логическом диске доступна только половина пространства от общего объема всех дисков.

RAID10 (1+0) — зеркалированный массив, данные в котором записываются последовательно на несколько дисков, как в RAID0. Эта архитектура представляет собой массив типа RAID0, сегментами которого вместо отдельных дисков являются массивы RAID1. Соответственно, массив этого уровня должен содержать как минимум 4 диска и всегда чётное количество. RAID10 объединяет в себе высокую отказоустойчивость и производительность.

Для того, чтоб попасть в меню программного RAID, которым снабжен сервер, нужно после нажатия кнопки включения жать много раз клавишу DEL на клавиатуре.

Войдя в меню BIOS стрелками переходим на вкладку Advanced и выбираем пункт SATA Configuration, нажимаем Enter.

В раскрывшемся меню выбираем подпункт SATA Mode Selection и устанавливаем в нем значение RAID.

Сохраняем конфигурацию и перезагружаем сервер. Он вобщем то сам перезагрузится. Слово Reset именно это и обозначает.

После того, как сервер снова начнет включаться нужно успеть нажать комбинацию CTRL+I. Меню RAID проскакивает очень быстро.

Оказавшись в меню видим наши жесткие диски и их статус – Non-RAID Disk.

Выбираем первый пункт меню Create RAID Volume. (создать раздел RAID).

Вводим данные:

Name: Volume0 — любое понятное, можно оставить без изменения.

RAID Level:RAID10 (RAID0+1) в этом пункте из доступных оказался RAID 0+1. Это получается, что два RAID0 объединяются в один RAID1.

Такая комбинация дисков позволяет повысить скорость и отказоустойчивость системы. Более корректную работу обеспечивает RAID 1+0 (два RAID1 объединяются в RAID0), но возможность RAID 1+0 в сервере отсутствует, по этому, воспользуемся тем, что есть.

Strip Size: 64kb – размер страйпа (объем данных, записываемых за одну операцию) я оставил 64kb. Вроде, чем это значение меньше, тем лучше система работает с мелкими файлами. Поднимать значение до 128kb не стоит, желательно уменьшить его до 32 или 16kb (решено не экспериментировать).

Capaciti: 884.9Gb – емкость диска оставляем как есть. Кстати, жесткие диски выбраны WD Black 500GB, как наиболее надежные. На сервере контроллера домена Microsoft не рекомендует держать еще что-то, поэтому диски выбраны минимального объема, который был у поставщика. C уменьшением объема диска возрастает коэффициент надежности.

Выбираем последний пункт Create Volume и нажимаем Enter. Последует системное предупреждение, о том, что будут удалены все данные с диска. Соглашаемся – Y.

RAID 0+1 создан. Статус дисков изменился на Member Disk(0).

Выходим из настроек RAID  и переходим к установка операционной системы.

Для установки ОС заранее подготовлена загрузочная флэшка с Windows Server 2012. Вставляем её в разъем USB 2.0 на задней части сервера.

Перезагружаем сервер и жмем безостановочно F11.

В загрузочном меню выбираем нашу флэшку – USB DISK 2.0 PMAP.

Начинаем установку ОС.

Вводим лицензионный ключ. (я ввел 2 или 3 строчку результатов поиска гугл).

Выбираем сервер с графическим интерфейсом пользователя.

Далее возник проблемный момент. В системе не обнаружилось драйверов для HDD, а точнее для созданного массива RAID.

Начались поиски драйверов по интернету, которые длились довольно долго. Случайным образом мне подошел драйвер как на фото ниже.

Скачать драйвер можно с сайта Intel или с сайта Supermicro по маркировке материнской платы в разделе SATA. У нашего сервера мат. плата X11SSL-F, а чипсет Intel C232, но подошло что-то другое по названию.

После установки драйвера появился созданный ранее раздел с размером 884,9Гб.

Размечаем его как нам удобно. Желательно не делать системный раздел слишком большим, чтоб можно было затем с помощью AcronisTI сделать резервную копию на непредвиденный случай, 100Гб будет даже много. На прошлом сервере создаваемые образы достигали 600Гб и создавались по 6 часов.

Завершаем установку, вводим пароль администратора.

Прежде чем начинать работать с контроллером домена делаем еще некоторые настройки.

Активируем Windows Server 2012 если это не было сделано во время установки. Переименовываем ПК согласно его роли, например DCSERVER1…2 ..5 (Domain Controller) или просто DC1…5.

Активируем раздел HDD, который не видим в системе через панель администрирования.

Назначаем сетевой карте IP адрес.

Обновляем систему через автоматическое обновление актуальными обновлениями из Microsoft.

Обновляем драйвера устройств через DriverPack или как угодно иначе.

Устанавливаем антивирус и обновляем его. Для всех наших серверов была куплена лицензия KES10.

Сервер настроен, переходим к контроллеру домена.

Удаленный доступ.

Kerio Control обладает интересной функцией удаленного контроля ЛВС через привязку к сайту Kerio. Зарегистрировавшись на сайте my.kerio.com можно подключаться к фаерволу из любого места, где есть интернет и с различных устройств.  Рассмотрим как выполнить привязку.

Заходим через поисковик браузера на сайт my.kerio.com.

Заходить при регистрации нужно с ПК, который находится в локальной сети под контролем Kerio.

На странице авторизации выбираем зарегистрироваться – Register.

Заполняем учетные данные. Вводим e-mail, имя пользователя и пароль два раза. Пароль должен содержать буквы разного регистра и цифры. Нажимаем Register.

Попав в панель управления, видим сообщение, что нужно подтвердить e-mail, указанный при регистрации – подтверждаем на своей почте.

Далее нажимаем на кнопку – ADD NEW APPLIANCE – добавить новую систему.

Откроется вкладка, на которой сказано, что для добавления нашего Керио нужно зайти в его панель управления и настроить подключение.

Не закрываем эту вкладку, а в соседней вводим IP адрес, по которому расположен Kerio Control в локальной сети.

Вводим https://192.168.1.1:4081/admin

Браузер предупредит о небезопасном подключении. Выбираем – Перейти на сайт 192.168.1.1 (небезопасно).

Вводим логин и пароль от администраторской учетной записи.

Выбираем вкладку меню «Удаленные службы». Отмечаем галочку «Включить связь с MyKerio» и немного ниже нажимаем на ссылку «добавить Kerio Control».

После нажатия на ссылку откроется новая вкладка, в которой нужно указать понятное самому себе названия для сервера Керио, чтоб в случае если их несколько можно было разобраться.

Нажимаем ADD и видим, что Керио появился в списке систем.

Выбираем нашу систему, нажав на её название и видим, что открывается почти точно такая же панель управления, как и при доступе через локальную сеть.

В веб версии нет последнего пункта главного мену – статистика.

Удаление из MyKerio происходит по нажатии соответствующей кнопки.

Оповещение не электронную почту.

Рассмотрим еще несколько полезных функций. Для оперативного оповещения о происходящих событиях можно настроить отправку уведомлений на e-mail. Для этого на вкладке «Учет и контроль» добавляем в разделе «Параметры оповещения» свою электронную почту.

Так же добавляем условие из списка, при котором будет отправляться сообщение.

Причиной оповещения можно выбрать различные события, например обнаружен вирус или кто-то из пользователей ЛВС пытается зайти в социальную сеть, запрещенную правилом, или кто-то пытается скачать торрент и тп.

Оповещение – это очень удобная функция, позволяющая администраторам быстро реагировать на возникающие проблемы.

Эта страница является продолжением повествования о настройках Kerio Control. Про установку и базовые настройки можно прочитать ТУТ .

К нам в организацию наконец-то подвели оптоволоконную линию для передачи данных. По ней теперь идет часть телефонии и интернет. Рассмотрим настройки Kerio при подключении к оптическому конвертеру. Новая схема подключения на рисунке ниже.

Цифровой поток из городской АТС приходит по опто-волоконной линии в распределительный шкаф (РШ).  

В РШ конвертер преобразует сигнал из светового вида в электрический  и разделяет  на телефонию и ЛВС. В нашем случае конвертером является сетевой терминал Huawei SmartAX MA5620 2шт. К нему и ко всему остальному оборудованию серверной обязательно нужны ИБП.

Подключаем Ethernet-кабель от сетевого терминала во внешнюю сетевую карту 1 Kerio Control. Какой порт в терминале подключать должен сообщить провайдер.

Подключаем Ethernet-кабель от главного коммутатора (из которого идет вся остальная ЛВС организации) во внутреннюю сетевую карту 2 Kerio Control, см. схему.

Включаем ПК на котором установлен Kerio Control. В нашем случае настройки уже были выполнены. Если настройки не выполнены, читаем первую часть описания. Если кратко в настройках Kerio нужно указать IP адрес внутренней сетевой карты в пункте «Конфигурация сети». У нас это 192.168.1.1. Маска подсети: 255.255.255.0.

Далее, в любом ПК, который подключен к ЛВС запускаем Internet Explorer и в адресной строке вводим https://192.168.1.1:4081/admin . Браузер сообщит  о проблеме  с сертификатом безопасности этого сайта. Нажимаем ниже – Продолжить открытие этого веб сайта. Если Kerio не активирован, откроется мастер активации. В нашем случае активация уже выполнена. Авторизируемся и переходим в пункт меню Интерфейсы.

Выбираем вариант подключения брандмауэра к Интернету – Один канал связи с Интернетом.

Изменяем настройки в разделе Интернет-интерфейсы. На вкладке режима «Основной» прописываем настройки IPv4 вручную.

Все данные: внешний IP, маску, шлюз, DNS, должен предоставить провайдер.

На вкладке «PPPoE» в параметрах дозвона вводим имя пользователя и пароль из договора на предоставление услуги. ОК.

Можно запустить мастера настроек и через него сделать всё то же самое.

Далее выбираем следующее подключение в пункте «Доверенные/локальные интерфейсы» – наша внутренняя сеть. Эти пункты в зависимости от версии Kerio могут называться по-другому. Придумываем имя и вносим данные как на картинке ниже. DNS от Керио. Шлюз не пишем. ОК.

Нажимаем кнопку «Применить» в нижней правой части экрана, настройки активируются.

Проверим подключение к Интернету. Интернет работает.

Переходим в пункт «Управление полосой пропускания» и в нижней части выставляем значения скорости.

Подсказка Керио нам сообщает, что реальная скорость будет на 20% меньше заявленной в договоре.

Чтоб не заморачиваться с подсчетами выставляем значение как по тарифному плану, у нас 30Мбит/с.

Запускаем SpeedTest и смотрим реальную картину.

Скорость скачивания близка к истине, а вот загрузка немного просела. Эта полоса пропускания относится ко всем пользователям, подключенным в сеть. Возможно, что кто-то бесконтрольно что-то загружал в интернет в этот момент, или какие-то другие причины. Для ограничения скорости пользователям переходим к правилам полосы пропускания.

Нужно отметить, что после 1 (одного) ADSL модема на 150+ компьютеров оптика для нашей ЛВС оказалась спасительным Мессией и манной небесной одновременно.

Пока не внесены все пользователи, можно ограничить скорость для всех одновременно, но это неудобно. Поэтому нужно добавить пользователей ЛВС в разделе «Пользователи». Так как этого не сделано, ограничим скорость всем без разбора. Создаем новое правило – Ограничение скорости.

Трафик любой. Скорость ограничиваем по своему усмотрению и обстоятельствам. Максимальное значение устанавливать не рекомендуется. Половина или треть или даже четверть от максимальной скорости вполне подойдет. Если какой-то пользователь займет весь разрешенный канал, то всегда останется резерв для остальных. Для злостных качателей нужно создать отдельное правило и ограничивать им скорость индивидуально или по группам.

Устанавливаем скорость для скачивания и загрузки.

Интерфейсы – Все. Нажимаем применить и правило начнет действовать. Следующее правило – это торренты, которые перегружают сеть. Создаем новое правило. В разделе «Трафик» выбираем «Приложения и веб-категории» и отмечаем всё, что относится к торренту.

В пункте «Правила трафика» выбираем пиринговую сеть.

Жмем ОК.

Устанавливаем скорость скачивания и загрузка минимальной, интерфейсы – Все. Нажимаем применить и торренты нашей сети больше не страшны.

Итак, у нас есть правило, ограничивающее скорость доступа в интернет всем пользователям и ограничение скорости торрентов. Остальные ограничения например ютуба или социальных сетей выполним в разделе «Фильтрация содержимого». Однако до этого лучше немного позависать и добавить всех пользователей. Переходим в раздел меню – «Пользователи».

Для добавления пользователя нажимаем кнопку «Добавить».

Вносим имя пользователя. У нас имя в большинстве случаев соответствует имени ПК т.к. не привязан домен.

В разделе адреса привязываем IP адрес, потому что у нас в сети статическая IP адресация. Более надежно привязать MAC-адрес. Данные для привязки можно взять из ведомости ПК, которую сис. админы конечно же ведут, или из сканера сети. Нажимаем ОК.

Ну и так далее со всеми пользователями.

После этого, в пункте меню «Управление полосой пропускания» можно выбрать пользователей или группы пользователей и назначить им определенную скорость для скачивания и загрузки в интернете.

Добавляем сперва всех пользователей в список, нажав на пункт «Пользователи и группы», (отмечаем всех, ОК). Затем, удаляем из списка, нажимая красный крестик, админов, сервера, конференц-зал, руководство и прочие важные места. Устанавливаем скорость. При этом, нужно деактивировать (снять галочку) с самого первого правила, которое ограничивает трафик всем без исключения. Получится новое правило, как на картинке ниже.

Далее можно создавать список пользователе, которые много скачивают или играют в он-лайн игры и занижать им скорость, чтоб другие на жаловались на плохой интернет, как у нас было до установки Kerio очень часто.

Посмотреть кто сколько скачал можно в разделе статистика.

Другие полезные возможности Kerio Control будут рассмотрены в следующий раз.

В процессе обслуживания ЛВС произошел случай проникновения в сеть компьютерного вируса. События развивались следующим образом.

Компьютерный вирус, он же вредоносная программа, был запущен в предверье 8 марта. Краем уха была услышана история, что вирус впустили на одном из компьютеров сети, скачав и запустив исполняемый exe-файл в поздравлении. Подтвердить эту версию я не смог наверняка, но и опровержения тоже не было. IP адреса первых заразившихся были определены, но дальнейшее расследование остановилось из-за удаления логов при форматировании HDD.

Вирус назывался CloudNet.exe, какие-то его производные или он сам создавали процессы app.exe и csrss.exe. Основная вредоносность заключалась в том, что вирус удалял запущенные exe-файлы других программ, среди которых как элементарный проводник Explorer.exe или гаджеты рабочего стола, так и профессиональный софт, для восстановления которого необходимо обращаться в службу тех. поддержки разработчика.

В первые пол часа после заражения позвонили пять человек с жалобой на то, что пропали все ярлыки с рабочего стола. Попытка перезапуска проводника (Ctrl+Shift+Esc >> файл >> новая задача >> Explorer.exe) приводила снова к его отключению через пару минут. Для устранения проблемы был обновлен антивирус и запущена полная проверка.

Нужно отметить, что вирус относится скорее всего к категории netWorm потому что распространяется по сети самостоятельно и устанавливается в систему без участия пользователя. После первого заражения атакует другие компьютеры в сети по 445 порту. В разделе удаления программ панели управления на зараженном компьютере можно наблюдать (но не всегда)  среди прочих появившуюся строчку CloudNet.

Многие зараженные компьютеры были с просроченной лицензией антивируса, и отключенной защитой, или антивирус был очень старой версии, например Касперский 6.0. Так же среди заразившихся были компьютеры с неэффективным антивирусом, который пропустил вторжение. Среди антивирусов нашей сети числились Касперские разных годов выпуска, различные NOD32, несколько Avast, Avira и антивирус в брадмауэре. 90% заразившихся ПК не были внесены в домен, остальные внесенные оказались с правами администратора.

Первым забил тревогу антивирус в KerioControl. Он сообщил о подозрительном внешнем трафике и сетевых атаках. Внешний трафик для CloudNet был перекрыт правилом. Он пытался выйти на Reportsmaxis.com – та еще зараза.

Осталось пролечить зараженные компьютеры в локальной сети, что не предполагало серьезных трудностей. Лечение начали с использованием DrWeb Cureit и KVRT. Каждый из них удалял своих троянов и, таким образом, рабочий день подошел к концу, начались выходные 8 марта.

По прошествии выходных люди пришли на работу, повключали свои компьютеры и толи от перезагрузки или просто по недосмотру затаившегося вируса в каких-то ПК атака началась с новой силой. С разных сторон стали поступать сообщения об заражении. Непрекращающиеся тревоги KerioControl сообщали об всё новых и новых IP-адресах, с которых идет сетевая атака. В пролеченный вышеназванными средствами ПК не устанавливался стационарный антивирус.

Вроде бы устраненная проблема проявлялась через некоторое время снова, пропадали ярлыки, убивались процессы exe. В некоторых местах всё же удавалось поставить KIS2017 после портабельных сканеров, но таких ПК было не много. В начале третьего дня угроза начала принимать серьезные масштабы. Заразилось уже более 25 ПК, отключилось некоторое оборудование, управляемое с ПК, начал останавливаться производственный процесс организации.

Наконец было принято очевидное решение – отключить зараженные ПК от локальной сети. Сразу этого не сделали, так как не представляли, что этот червь может  распространится в подобных масштабах, так же неожиданностью оказалась просроченная лицензия антивируса на многих ПК.

После установления карантина начались поиски лекарства. DrWeb и KVRT показали свою неспособность к ликвидации вируса, хотя в процессе сканирования находили много разной заразы. Там где стоял KIS17 вирус не прошел.

В большинстве ПК обнаруживались три основных вредоносных процесса CloudNet.exe, app.exe и csrss.exe.

В диспетчере задач вредоносный процесс csrss.exe*32  со звездочкой.

Проведя некоторые поиски, определился малоизвестный портабельный сканер Emsisoft Emergency Kit, который быстро находил и обезвреживал угрозу. После этого сканера устанавливался стационарный антивирус KIS2017. Причина, по которой KIS17 не устанавливался до проверки, оказалась в процессе windefender.exe.

Этот процесс удаляется с перезагрузкой. Об удалении сообщает надпись перед запуском Windows.

С новым лекарством началась тотальная зачистка местности. В нескольких ПК были повреждены файлы Windows, в некоторых вирус не хотел сдаваться, в этих случаях пришлось отформатировать раздел С на HDD и переустановить систему. Таких ПК оказалось около 10 шт.  Зачистку проводили несколько дней. На каждом компьютере запускали три сканера по очереди. Помимо основного активного заражения были вытащены все остальные мирно сидевшие майнеры, трояны и спай-боты. В одном из ПК нашлось 2378 зараженных файлов.

Сетевые атаки прекратились. Контролировать сетевую активность в KIS17 можно в разделе «Больше функций» на главном экране. Там же можно найти список IP адресов, с которых идет атака.

Через неделю после основных действий еще с десяток ПК ловили этого трояна. Вероятно, что единичные случаи будут некоторое время возникать, пока на всех ПК не будет установлен рабочий антивирус. Проблема у нас в том, что не на всех компьютерах сети может быть установлен современный антивирус, они его «не потянут». На старых ПК был установлен ESET Smart Security4 c актуальной антивирусной базой, он с вирусом боролся, но не победил.

Avast обнаружил угрозу, но exe-шники всё равно пропали. Avira Free Ничего не обнаружил. Сервера выдержали нападение, на них был установлен Kaspersky Endpoint Security 10.

Этот случай показал, что в крупной ЛВС обязательно должен быть специалист, который следит за антивирусной защитой. Сеть приобрела некоторый иммунитет против вирусных угроз, а обслуживающий персонал приобрел полезный опыт.

Для организации контроля в локальной сети нашей организации был выбран Kerio Control Software Appliance 9.2.4. Раньше эта программа называлась Kerio WinRoute Firewall.  Рассматривать плюсы и минусы мы не будем, и почему выбран Керио, тоже, переходим сразу к делу. Программа версии 7 и выше устанавливается на голое железо без какой-либо операционной системы. В связи с этим подготовлен отдельный ПК (не виртуальная машина) со следующими параметрами:

-процессор AMD 3200+;

-ОЗУ 2 Гб;

-HDD 500Гб; (необходимо гораздо меньше)

— Сетевая карта – 2 шт.

Собираем ПК, вставляем 2 сетевых карты.

Для  установки линукс-подобной системы нужно создать загрузочный носитель – флэшку или диск. В нашем случае флэшка создана с помощью программы UNetbootin.

Скачиваем Unetbootin.

Скачиваем Kerio Control Software Appliance. (можно купить лицензию или скачивать образ с встроенным  активатором)

Объем образа  Керио не превышает 300Мб, размер флэшки соответствующий.

Вставляем флэшку в USB разъем ПК или ноут-бука.

Форматируем в FAT32 средствами Windows.

Запускаем UNetbootin и выбираем следующие настройки.

Дистрибутив – не трогаем.

Образ – Стандарт ISO, указываем путь к скаченному образу Керио.

Тип – Устройство USB, выбираем нужную флэшку. ОК.

После некоторого времени создания, загрузочная флэшка готова. Жмем выход.

Вставляем загрузочную флэшку в подготовленный ПК, включаем его и в Boot menu выбираем загрузку с USB-HDD. В начавшейся загрузке выбираем linux.

Начнется установка Kerio Control Software Appliance 9.2.4. Выбираем язык.

Читаем лицензионное соглашение.

Принимаем его, нажав F8.

Вводим код 135. Программа предупреждает о том, что жесткий диск будет отформатирован.

Ждем  пока идет установка.

Система перезагрузится.

Снова ждем.

Наконец дождались. Сообщение на экране говорит о том, что нужно в любом ПК, который подключен в одну сеть вместе с Керио перейти в браузере по написанному  адресу.

Мы пока этого делать не будем, а переходим в Конфигурацию сети в самом Керио.

Конфигурация сетевого интерфейса Ethernet. Отмечаем пробелом – Назначить статический IP-адрес.

И назначаем его.

IP-адрес: 192.168.1.250

Маска подсети: 255.255.255.0

Если до установки ПО в сетевые карты  были подключены два необходимых сетевых провода для внешней и внутренней сети, то об этом компьютере можно забыть. Я поставил его в уголок и даже забрал монитор.

Теперь в браузере того ноут-бука, в котором создавалась загрузочная флэшка, я перехожу по адресу:

https://192.168.1.250:4081/admin. Браузер может сообщить что Возникла проблема с сертификатом безопасности этого сайта. Нажимаем ниже – Продолжить открытие этого веб сайта и попадаем в мастер активации.

Анонимную статистику, конечно же, не передаем, убираем галочку.

Вводим новый пароль администратора.

Выполняем авторизацию.

Вот и всё. Здравствуй Керио.

Нужно отметить, что выбранный IP-адрес 192.168.1.250 для сетевой карты внутренней сети решено было изменить на адрес 192.168.1.1 для того, чтоб не перенастраивать много оборудования. Сеть существовала долгое время без контроля и Керио пришлось в неё добавить методом встраивания. После смены IP чтоб попасть в интерфейс нужно вводить https://192.168.1.1:4081/admin. Ниже на рисунке структурная схема подключения.

Первоначально, все функции маршрутизации и DNS выполнял модем с IP –адресом 192.168.1.1. При установке Керио модему назначили адрес 192.168.0.1 и он обращается к внешней сетевой карте Керио с адресом 192.168.0.250. Адреса в одной подсети. Внутренняя сетевая карта получила адрес, который раньше был у модема. Всё оборудование в сети со статическими IP-адресами и прописанным шлюзом (а это почти вся наша сеть) увидело новый шлюз как старый и даже,  не заподозрило подмены : )

При первом запуске Керио, мастер предлагает настроить интерфейсы. Можно настраивать не через мастера. Рассмотрим подробнее всё, что описано выше.

Во вкладке интерфейсы выбираем пункт Интернет-интерфейсы.

Придумываем название типа Внешняя сеть или Интернет, по умолчанию написано WAN. Вводим вручную данные IP адреса, маску, шлюз и DNS, всё в одной подсети с модемом. ОК.

Далее выбираем следующее подключение в пункте Доверенные/локальные интерфейсы – наша внутренняя сеть. Эти пункты в зависимости от версии Керио могут называться по другому. Придумываем имя и вносим данные как на картинке ниже. Внешняя и внутренняя сеть не могут находится в одной подсети. Это не нужно забывать. DNS от Керио. Шлюз не пишем. ОК.

Нажимаем кнопку Применить в нижней правой части экрана, настройки активируются. Проверим подключение к Интернету. Интернет работает.

Можно переходить к созданию правил трафика, фильтрации содержимого, посмотреть, кто скачивает торренты и перегружает сеть, ограничить скорость или заблокировать. Короче, Керео полноценно работает и в нем есть множество настроек. Тут каждый настраивает что кому нужно.

Рассмотрим еще один важный момент – это открытие портов. До установки Керео в модеме были проброшены порты на сервер. Так же изначально необходимые порты были открыты в самом сервере. Без этих портов спец. софт сервера не может  нормально работать. Рассмотрим открытие порта 4443.

Модем HUAWEI HG532e, заходим в него, для этого в адресной строке браузера вводим 192.168.0.1. Переходим по вкладкам Advanced—>NAT—> Port Mapping и вносим данные как на картинке ниже.

Интерфейс – наше подключение (в режиме роута кстати).

Протокол – TCP/UDP.

Remote host – ничего.

External start port/end port – 4443 (внешний порт).

Internal host – 192.168.0.250 (адрес внешней сетевой карты Керео).

Internal port – 4443 (внутренний порт).

Mapping name – любое понятное имя.

Принцип действия таков, что обращение из интернета на внешний статический IP-адрес к порту 4443 будет переадресовано к внешней сетевой карте Керио. Теперь нужно сделать так, чтоб запрос с внешней сетевой карты перенаправлялся на внутреннюю сетевую карту и далее к нашему серверу на порт 4443. Это делается с помощью создания двух правил. Первое правило разрешает доступ извне, второе правило разрешает доступ изнутри.

Создаем эти два правила на вкладке Правила трафика. Разница в пунктах источник и назначения. Служба – наш порт 4443. см. картинку выше.

В пункте Трансляция делаем настройки как на картинке ниже. Отмечаем галочкой  — Адрес назначения NAT и пишем там IP-адрес сервера назначения и нужный порт. ОК.

Нажимаем применить. Проверяем, открылся ли порт в он-лайн сервисе. Порт открыт.

Проверяем службы сервера, для которых всё это делалось – они заработали. Аналогичным способом можно открыть любой порт.

О прочих настройках Kerio Control Software Appliance возможно будет написано в других статьях.

Настройка Kerio Control Часть 2 (подключение по оптике)