Эта страница является продолжением повествования о настройках Kerio Control. Про установку и базовые настройки можно прочитать ТУТ .
К нам в организацию наконец-то подвели оптоволоконную линию для передачи данных. По ней теперь идет часть телефонии и интернет. Рассмотрим настройки Kerio при подключении к оптическому конвертеру. Новая схема подключения на рисунке ниже.
Цифровой поток из городской АТС приходит по опто-волоконной линии в распределительный шкаф (РШ). 
В РШ конвертер преобразует сигнал из светового вида в электрический и разделяет на телефонию и ЛВС. В нашем случае конвертером является сетевой терминал Huawei SmartAX MA5620 2шт. К нему и ко всему остальному оборудованию серверной обязательно нужны ИБП.
Подключаем Ethernet-кабель от сетевого терминала во внешнюю сетевую карту 1 Kerio Control. Какой порт в терминале подключать должен сообщить провайдер.
Подключаем Ethernet-кабель от главного коммутатора (из которого идет вся остальная ЛВС организации) во внутреннюю сетевую карту 2 Kerio Control, см. схему.
Включаем ПК на котором установлен Kerio Control. В нашем случае настройки уже были выполнены. Если настройки не выполнены, читаем первую часть описания. Если кратко в настройках Kerio нужно указать IP адрес внутренней сетевой карты в пункте «Конфигурация сети». У нас это 192.168.1.1. Маска подсети: 255.255.255.0.
Далее, в любом ПК, который подключен к ЛВС запускаем Internet Explorer и в адресной строке вводим https://192.168.1.1:4081/admin . Браузер сообщит о проблеме с сертификатом безопасности этого сайта. Нажимаем ниже – Продолжить открытие этого веб сайта. Если Kerio не активирован, откроется мастер активации. В нашем случае активация уже выполнена. Авторизируемся и переходим в пункт меню Интерфейсы.
Выбираем вариант подключения брандмауэра к Интернету – Один канал связи с Интернетом.
Изменяем настройки в разделе Интернет-интерфейсы. На вкладке режима «Основной» прописываем настройки IPv4 вручную.
Все данные: внешний IP, маску, шлюз, DNS, должен предоставить провайдер.
На вкладке «PPPoE» в параметрах дозвона вводим имя пользователя и пароль из договора на предоставление услуги. ОК.
Можно запустить мастера настроек и через него сделать всё то же самое.
Далее выбираем следующее подключение в пункте «Доверенные/локальные интерфейсы» – наша внутренняя сеть. Эти пункты в зависимости от версии Kerio могут называться по-другому. Придумываем имя и вносим данные как на картинке ниже. DNS от Керио. Шлюз не пишем. ОК.
Нажимаем кнопку «Применить» в нижней правой части экрана, настройки активируются.
Проверим подключение к Интернету. Интернет работает.
Переходим в пункт «Управление полосой пропускания» и в нижней части выставляем значения скорости.
Подсказка Керио нам сообщает, что реальная скорость будет на 20% меньше заявленной в договоре.
Чтоб не заморачиваться с подсчетами выставляем значение как по тарифному плану, у нас 30Мбит/с.
Запускаем SpeedTest и смотрим реальную картину.
Скорость скачивания близка к истине, а вот загрузка немного просела. Эта полоса пропускания относится ко всем пользователям, подключенным в сеть. Возможно, что кто-то бесконтрольно что-то загружал в интернет в этот момент, или какие-то другие причины. Для ограничения скорости пользователям переходим к правилам полосы пропускания.
Нужно отметить, что после 1 (одного) ADSL модема на 150+ компьютеров оптика для нашей ЛВС оказалась спасительным Мессией и манной небесной одновременно.
Пока не внесены все пользователи, можно ограничить скорость для всех одновременно, но это неудобно. Поэтому нужно добавить пользователей ЛВС в разделе «Пользователи». Так как этого не сделано, ограничим скорость всем без разбора. Создаем новое правило – Ограничение скорости.
Трафик любой. Скорость ограничиваем по своему усмотрению и обстоятельствам. Максимальное значение устанавливать не рекомендуется. Половина или треть или даже четверть от максимальной скорости вполне подойдет. Если какой-то пользователь займет весь разрешенный канал, то всегда останется резерв для остальных. Для злостных качателей нужно создать отдельное правило и ограничивать им скорость индивидуально или по группам.
Устанавливаем скорость для скачивания и загрузки.
Интерфейсы – Все. Нажимаем применить и правило начнет действовать. Следующее правило – это торренты, которые перегружают сеть. Создаем новое правило. В разделе «Трафик» выбираем «Приложения и веб-категории» и отмечаем всё, что относится к торренту.
В пункте «Правила трафика» выбираем пиринговую сеть.
Жмем ОК.
Устанавливаем скорость скачивания и загрузка минимальной, интерфейсы – Все. Нажимаем применить и торренты нашей сети больше не страшны.
Итак, у нас есть правило, ограничивающее скорость доступа в интернет всем пользователям и ограничение скорости торрентов. Остальные ограничения например ютуба или социальных сетей выполним в разделе «Фильтрация содержимого». Однако до этого лучше немного позависать и добавить всех пользователей. Переходим в раздел меню – «Пользователи».
Для добавления пользователя нажимаем кнопку «Добавить».
Вносим имя пользователя. У нас имя в большинстве случаев соответствует имени ПК т.к. не привязан домен.
В разделе адреса привязываем IP адрес, потому что у нас в сети статическая IP адресация. Более надежно привязать MAC-адрес. Данные для привязки можно взять из ведомости ПК, которую сис. админы конечно же ведут, или из сканера сети. Нажимаем ОК.
Ну и так далее со всеми пользователями.
После этого, в пункте меню «Управление полосой пропускания» можно выбрать пользователей или группы пользователей и назначить им определенную скорость для скачивания и загрузки в интернете.
Добавляем сперва всех пользователей в список, нажав на пункт «Пользователи и группы», (отмечаем всех, ОК). Затем, удаляем из списка, нажимая красный крестик, админов, сервера, конференц-зал, руководство и прочие важные места. Устанавливаем скорость. При этом, нужно деактивировать (снять галочку) с самого первого правила, которое ограничивает трафик всем без исключения. Получится новое правило, как на картинке ниже.
Далее можно создавать список пользователе, которые много скачивают или играют в он-лайн игры и занижать им скорость, чтоб другие на жаловались на плохой интернет, как у нас было до установки Kerio очень часто.
Посмотреть кто сколько скачал можно в разделе статистика.
Другие полезные возможности Kerio Control будут рассмотрены в следующий раз.
Спасибо огромное за помощь! На таких как вы держится земля! Хотелось бы связаться с автором поста для мелких разъяснений мелких вопросов по мелким настройкам! если не сложно отпишитесь на почту которую я указал :)! С наилучшими пожеланиями!
Приветствую! Спасибо за позитив. Можете задавать вопросы в комментариях или написать в обратную связь. В Керио ОЧЕНЬ много мелочей. Здесь основы, чтоб плавно войти в курс дела) Все это придет со временем в процессе эксплуатации. Еще лучше будет прочитать оригинальный мануал Керио.
Что такое вес подключения к интернету (1-100) в настройках Wan интерфейса, например есть 2 канала связи 1 5 МБит/с второй 10 Мбит/с на интерфейсе с 5ю стоит вес 10, а на инттерфейсе с 10мб стоит вес 1, спид тест показывает что интернет идет через канал с 5 Мбит/с, если увеличить вес канала с 10 Мб > чем с на канале с 5ю интернет переключится на 10 МБ/сек я правильно понимаю?
Да, регулирует через какой канал будет идти трафик.
Спасибо, нет слов!
Здравствуйте!
Возможно ли одной группе пользователей применить две разные политики полосы пропускания, например: 1) огранчение 100 kbit/s для ютюб, мультимедиа 2) для остального контента- 2 mbit/s.
Спасибо!!!
Можно попробовать так: создаем правило в разделе Управление полосой пропускания, ставим его первым, добавляем в него нужную группу или пользователя и добавляем правило контента — Ютуб. Скорость ставим 100кбс. Создаем второе правило и в него добавляем того же пользователя или группу. Скорость ставим 2Мбитс. Без конкретного контента. Получится что первым правилом скорость будет ограничиватся для Ютуб, тк оно расположено сверху и в приоритете, вторым правилом скорость будет большая для всего кроме ютуба. Ну, правда такой вариант еще не тестировался, теоретически должно заработать.
Проверили этот вариант — действительно не работает.
Спасибо за отклик. При назначении группы пользователей в обоих политиках верхняя политика имеет преимущество и перекрывает нижнюю. Времено решил таким способом, одну политику применил к группе а другую на интерфейс. Другая проблема — не работает ограничение на P2P трафик и не блокируется загрузка конкретно mTorrent. Буду признателен за советы. Спасибо еще раз
У нас в сети торренты заблокированы по фильтрации содержимого для всех пользователей. На mTorrent не обращали внимание, но вроде ни кто не качает. Может у вас лаг в самом керио, можно попробовать другую версию ПО переустановить если различные вариации фильтров не срабатывают.
Кто нибудь подскажет, как и куда добавить диапазон IP-адресов, чтобы не учитывались Квотой пользователя (при превышении чтобы были доступны)…?
Спасибо за помошь еще ждем остальные урок
Сейчас пришлось углубиться в MikroTik, по этому описания практического опыта использования Kerio Control и доп.инструкции в ближайшее время на сайте не ожидаются.
Добрый день. Такой вопрос у меня в керио есть один подсеть например 192.168.1.0 маска 255.255.254.0 и этот подсеть уже заполнен есть еще куча компов котором надо дат ip как расширит подсеть чтоб было 192.168.1.0, 192.168.2.0, 192.168.3.0 и т.д может кто не будь помочь с этим вопросом.
Быстрое решение http://www.pc360.ru/2020/10/22/увеличение-количества-компьютеров-б/
Здравствуйте, уважаемый Admin!
Керио v. 9.2.7
При смене канала связи с 5 Мб/с на 50 Мб/с не получил увеличение скорости, хотя в разделе управления полосой пропускания на интерфейсе WAN указал скорость по договору 50 и 50. Однако позже случайно заметил такое явление: при перезагрузке Керио скорость становится очень близкой к ожидаемой, а после 2-4 часов работы падает до 5. Нагрузка на процессор не превышает 0,5%, ОЗУ использовано на 25%…
Если можете, подскажите куда копать и где ковырять — бьюсь безрезультатно уже 3 недели!!!
Спасибо за ответ!
Обновите керио до актуальной версии. Посмотрите на изменение ситуации. У нас сейчас 9.3.5. Проблем не наблюдается. Отключите всех пользователей, оставьте контрольный ПК и проверьте скорость. Отключите все правила в «Управление полосой пропускания», проверьте скорость. Так же возможно что проблема в модеме или на стороне провайдера.
Спасибо за направление для исследования!
Хорошего дня!
Здравствуйте. Можете помочь пожалуйста. Я в этой сфере новенький. Раньше раюотало все ок. Мой сменщик переставил свитчи то ли убрал некоторые, теперь уай фай в офисе неккоректно работает. По лану все ок. Я на нарисовал схему как сейчас все подключено, правельно ли, можете взглянуть? Уай фай точек в офисе 3. И все они гонят, то работают минут на 5 и все отключаются. До перестановки было все нормально.
Здравствуйте, могу ли я вам отправить схему нашего подключения, можете взглянуть, правильно или нет? Ip раздается как то странно раздается, после перестановки хабов на сервере.
Прикрепите схему к комментарию, посмотрим.
так и не написали? интересно что там у них случилось с УАЙ файем после движений аппаратного сетевого оборудования?)
Скажите пожалуйста, хотим перейти но новую версию Kerio control, сейчас у нас стоит старая на windows еще 7.2.2 build 3443. вопрос в части DNS раньше у нас приходили запросы DNS на внутренний сервер(где стоял kerio виндовый, теперь получается будут приходить на внешний IP адрес с железкой, где и будет стоять новый Kerio, достаточно ли сделать в новом kerio просто полную переадресацию DNS запросов на старый сервер? что посоветуете? если есть где либо подробный разбор функционала DNS на Kerio-буду благодарен.
Переходить с Windows-кого керио давно пора. Зачем вам делать переадресацию DNS на старый сервер? Старый сервер это контроллер домена? Посмотрите про DNS в любом мануале про керио http://download.kerio.com/dwn/control/control-9.2.2-2172/kerio-control-adminguide-en-9.2.2-2172.pdf
нет, котроллер домена у нас отдельно. оставить старый сервер DNS для нас важно, там как там огромная база записей, выполнен ряд настроек для сторонних сервисов, завязанный на имя сервера, вы должны понимать что раньше DNS сервер у нас был на внешке, т.к там стоял Windows керио. теперь шлюзовым сервером будет железка керио, как нам с нее разрулить правильно DNS запросы, ведь они теперь будут приходить не на внутренний сервер, а на железку\внешний IP
ответил на почту