Kerio control ошибка при подключении к домену
Обновлено: 06.07.2024
Доброго дня!
Имеется Win Server 2003. Рабочая группа. Установлен Kerio Control/Connect.
На днях планирую ввести этот сервер в домен. Боюсь проблем с Kerio. На официальном сайте есть расширение Active Directory Extension, которое, как я понял, интегрируется со свежеподнятым AD. Проблема в том, что мой Connect использовался N-ное количество лет, и я хочу перейти к доменной структуре без потери каких-либо данных (бэкапы есть, но возиться лишний раз не хочется).
Так вот. Кто-нибудь вводил сервер с использующимся Kerio Connect в только что поднятый домен? Как поможет AD_Extension?
Как я уже говорил, у меня возникла необходимость использовать Kerio Control 7.4 beta в качестве шлюза, а вернее даже полноценного UTM.
Но т.к. без контроля трафика пользователей UTM не UTM решено было разрешить Kerio брать пользователей из домена Active Directory.
Скажу сразу, потратил я на эту процедуру времени больше чем ожидал, даже пришлось набрать Влада Радецкого, который несмотря на то что был в отпуске дал мне несколько дельных советов.
Не буду рассказывать что я читал в логах, сколько вариантов я перепробовал, а сразу покажу результат, который работает:
- Вводим сервер в домен (я использую Windows Server 2008R2 т.к. не доверяю всему, что сделано на Linux).
Я до последнего был против, и версию 7.3 я прикрутил к домену без ввода сервера из DMZ в домен, но с 7.4 так не вышло.
- В дополнительных настройках снимаем чекбокс «Использовать шифрованное подключение»:
Не знаю почему, но это помогло, хотя остальные приложения отлично используют только шифрованные соединения.
- Ну и расставляем еще 2 чекбокса (по-умолчанию оно работать не захотело):
Теперь с доменом оно работает, ничего не отваливается (как это периодически случалось у WinRoute), но для продакшен-среды я бы не советовал использовать такой вариант, лучше уже версию 7.3 или какой-то из вариантов на Linux.
UPD Переодически оно все же отваливается, вне зависимости от версии, помогает перезагрузка клиента, а если нет, то перезагрузка сервера Kerio Control.
Диагностировать это поможет лог Debug в котором нужно включить Accounting User authentication и User database:
Нормальный вид лога при удачном входе пользователя:
Нормальный вид лога при работе уже аутентифицированных пользователей либо при простое:
Спустя 3 месяца у меня было несколько успешных проетов на Kerio Cointrol, и на сегодняшний день ситуация следующая:
Используется домен на платформе Windows Server 2012 (домен и лес на уровне 2012) , Kerio Control 7.4.1 build 5051 (Virtual Applience for Hyper-V) и шифрованное подключение к домену работает:
После обновления до 8й версии шифрованное соединение также работает корректно.
Вас тоже достает, когда автор переносит топик в черновик?
понедельник, 2 сентября 2013 г.
[Из песочницы] Настройка IPsec VPN-сервера в Kerio Control и клиентского VPN-подключения (на примере ОС Windows)
Соответственно, это значительно расширило возможности продукта как для клиентских подключений — нет необходимости использовать фирменный VPN-клиент (реализованный только для отдельных ОС), а подключаться стандартными средствами операционной системы, большинство из которых (в том числе мобильные) имеют встроенную поддержку L2TP и IPsec, так и для межсерверных коммуникаций — больше нет необходимости использовать на обоих концах туннеля продукты Kerio.
Собственно настройка VPN-сервера и клиентского подключения для опытного человека не представляет проблемы, плюс на сайте производителя есть пара мануалов (в том числе и на русском), но в процессе всё же есть пара неочевидных моментов, что и подвигло на написание собственного варианта с картинками.
Текст далее в формате «скриншот с типовыми настройками» -> «пояснения», для краткости проприетарная версия VPN-сервера именуется как Kerio-VPN, L2TP и IPsec — как IPSec-VPN.
1. В WEB-консоли управления Kerio Control в разделе «Интерфейсы» проверяем, что «VPN-сервер» включен:
2. Делаем двойной клик на нём (или жмём кнопку «Правка» внизу) для его настройки:
2.1. Общие настройки и настройк IPSec VPN:
Пункты 1, 2 — ставим галочки для выбора нужной реализации VPN-сервера. Обычно задействуем обе;
Пункты 3-5 касаются способа проверки подлинности при авторизации клиента: либо с использованием сертификата, либо с использованием заранее созданного ключа (пароля).
Сервер может поддерживать как оба способа (обычно), так и какой-то один. Клиент при подключении использует какой-то один способ.
Использование сертификата требует дополнительной установки этого сертификата в операционной системе клиента, что требует бOльших усилий (а иногда и невозможно), по-этому такой способ используется редко, в основном в больших организациях, использующих службы каталогов.
Чаще используется проверка подлинности с помощью ключа (достаточно длинны и сложности);
Пункт 6 — Если Kerio Control не подключен к домену, или для авторизации на сервере VPN используются пользователи из локальной базы Kerio Control, нужно:
В примере Kerio Control подключен к домену, поэтому галочка не стоит.
2.2. Настройки Kerio-VPN:
Пункт 7 — выбираем сертификат из имеющихся в Kerio Control, используемый для проверки подлинности при подключении;
Пункт 8 — порт, прослушиваемый Kerio Control для подключения клиентов. В большинстве случаев стоит оставить стандартный — 4090;
Пункт 9 — если клиентам нужен доступ в Интернет, а не только к ресурсам локальной сети — ставим тут галочку. Так же правила трафика (см. ниже) должны разрешать такой доступ.
2.3. Настройки DNS-сервера:
Пункт 10 — определяет вариант, каким образом Kerio Control отвечает на DNS-запросы клиента:
Если ничего не менять, то по-умолчанию обычно стоят уже правильные значения.
3. В разделе «Правила трафика» проверяем правила, касающиеся VPN:
Пункты 1,2 — разрешают подключение VPN-клиентов к серверу Kerio Control по IPSec-VPN (пункт 1) и по Kerio-VPN (пункт 2).
На скриншоте приведены настройки, разрешающие подключение по любому способу;
Пункт 3 — разрешает VPN-клиентам доступ в Интернет (так же должна стоять галочка, см. выше раздел 2.2, пункт 9). Если клиент должен осуществлять доступ в Интернет «обычным» способом, через свой основной шлюз — удаляем «Клиенты VPN);
Пункт 4 — разрешает доступ VPN-клиентам к ресурсам локальной сети. Собственно, наиболее частая цель данных манипуляций.
4. В разделе „Пользователи“ проверяем права пользователей, которым нужно подключатся по VPN:
4.1. Если Kerio Control не подключен к домену, или пользователь не в домене, должна стоять галочка „Сохранить пароль в формате, совместимом с MS-CHAP v2“ (плюс галочка, см. выше раздел 2.1, пункт 6):
Так же должна стоять галочка „Пользователи могут подсоединятся через VPN“. В случае, если нужно разрешить подключение по VPN для всех пользователей Kerio Control — можно использовать „Шаблон пользователя“.
При необходимости можно назначить VPN-клиенту статический IP-адерс:
4.2. Если Kerio Control подключен к домену, для доменных пользователей — аналогично разделу 4.1, за исключением „Сохранить пароль в формате, совместимом с MS-CHAP v2“ — этой галочки там нет.
Это все минимальные настройки для функционирования VPN-сервера Kerio Control.
Так же рассмотрим настройку клиентского VPN-подключения на примере ОС Windows 7 (в остальных версиях этой ОС настройка выполняется схожим способом).
1. Открываем „Центр управления сетями и общим доступом“ — зайдя „Панели Управления“ или сделав правый клик мышью (далее — ПКМ) на значке сетевых подключений в трее:
2. В „Центре управления сетями и общим доступом“ выбираем „Настройка нового подключения к сети“:
3. В появившемся окне выбираем „Подключение к рабочему месту — Настройка телефонного или VPN-подключения к рабочему месту“, потом „Далее“:
4. Выбираем „Использовать моё подключение к Интернету (VPN)“:
5. В окне создания подключения вводим:
Пункт 2 — Указываем имя подключения: можно указывать любое, ни на что не влияет;
Пункт 3 — ставим галочку „Не подключаться сейчас. “, что бы операционная система не выполнила подключение до окончания настройки всех параметров;
6. В следующем окне вводим имя пользователя в Kerio Control, используемое для авторизации, и его пароль. Если Kerio Control входит в домен и это пользователь домена — включаем так же домен (как на скриншоте):
При необходимости ставим галочку „Запомнить пароль“.
Завершаем создание VPN-подключения кнопкой „Создать“.
7. Возвращаемся в „Центр управления сетями и общим доступом“, там выбираем „Изменение параметров адаптера“:
8. Делаем ПКМ на созданном нами подключении, выбираем „Свойства“:
9. В окне свойств подключения делаем как на скриншотах ниже:
Закладка „Параметры“:
Пункт 1 — галочка отвечает за отображение хода подключения на экране пользователя. Можно снять, можно оставить для наглядности;
Пункт 2 — галочка отвечает за отображение окна с запросом имени пользователя и пароля. Т.к. эти данные уже введены ранее (шаг 6), можно его отключить;
Пункт 3 — нужно снять эту галочку.
Настройки раздела „Параметры повторного звонка“ настраиваем по необходимости. Оптимально как на скриншоте.
Закладка „Безопасность“:
Устанавливаем настройки как на скриншоте выше. В „Дополнительных параметрах“ вводим либо ключ, либо установленный сертификат, используемые для проверки подлинности сервера — в зависимости от настроек VPN-сервера Kerio Control.
Закладка „Сеть“:
Выбираем „Протокол Интернета версии 4 (TCP/IPv4)“, жмём кнопку „Свойства“, в появившемся окне жмём кнопку „Дополнительно“, выбираем нужное состояние галочки „Использовать основной шлюз в удалённой сети“:
Нажимая „ОК“, закрываем все окна, в том числе окно свойств подключения.
10. В окне „Сетевые подключения“ делаем ПКМ на созданном нами VPN-подключении, выбираем „Подключить“ — проверяем, что подключение происходит корректно.
На этом основная настройка завершена. При необходимости создаём ярлык для этого подключения на рабочий стол пользователя.
Дополнительно: если на шаге 9 на закладке „Сеть“ вы НЕ установили галочку „Использовать основной шлюз в удалённой сети“, то для использования ресурсов удалённой локальной сети через Kerio Control нужно дополнительно настроить маршрутизацию в операционной системе:
11. В командной строке вводим:
Данная команда выводит активные сетевые маршруты и перечень сетевых интерфейсов в системе. На этом шаге определяем системный номер созданного VPN-подключения — в данном случае 20.
12. Добавляем маршрут для доступа к ресурсам удалённой локальной сети через Kerio Control (измените нужные значения сообразно своему случаю):
route -p ADD 192.168.10.0 MASK 255.255.255.0 172.26.227.1 METRIC 1 IF 20
— удалённая локальная сеть 192.168.10.0 с маской 255.255.255.0;
— 172.26.227.1 — IP-адрес VPN-сервера Kerio Control;
— METRIC — метрика (приоритет) 1, т.е. наивысшая;
— IF — номер интерфейса в системе, определённый на шаге 11 (в данном случае 20).
— p — ключ, добавляющий постоянный маршрут, сохраняющийся после перезагрузки системы (без этого ключа будет создан временный маршрут, действующий только на период текущей сессии пользователя).
Примечание: если VPN-подключение будет удалено, а потом создано снова (даже с тем же именем), то нужно удалить прежний маршрут и прописать новый, т.к. изменится номер интерфейса. Переименование подключения не меняет его номера.
Сегодня продолжим говорить об межсетевом экране Kerio Control. Если в вашей локальной сети есть контроллер домена то межсетевой экран обязательно нужно присоединить к AD. Как это сделать я уже писал в предыдущих статьях если кто не помнит или не знает ссылку на статью найдете чуть ниже. Там все очень просто и понятно, но иногда возникают проблемы и ошибки с подключением к домену. Например шлюз при попытки присоединения к домену выдает одну из ошибок ошибок ( Kerio Control не подключается к домену, kerio не удается связаться с контроллером домена, kerio control ошибка при подключении к домену) также могут появляться и другие. Давайте расскажу с чем связанна эта проблема.
Интересные статьи по теме
Присоединяем Kerio Control к Active Directory
Все достаточно проста допусти вы установил Kerio Control теперь необходимо зайти в него и перейти на вкладку Домены и аутентификация пользователей. В открывшемся окне переходим на вкладку Службы каталогов. Ставим галочку Сопоставить учетные записи пользователей и группы из службы каталогов.
Чуть ниже в поле тип службы выбираем Microsoft Active Directory а ниже вписывая имя домена. В Поле учетные записи с доступом для чтения в службе каталогов. Нужно указать, например, вашу запись если вы являетесь администратором домена или создать отдельную учетку специально для Kerio Control с права администратора.
В поле Подключение переключаем пункт на Подключиться к указанным серверам каталогов и указываем адрес контролера домена.
В принципе на этом все кликаем на Тест подключения если высветиться запись Тест подключения пройдет значить вы все сделали правильно. Для проверки может перейти в пункт Пользователи и группы там должны загрузиться все пользователе и группы которые есть у вас в доме.
Приветствую, Камрады!
Ошибка ниже:
С пользователем все нормально, подключается с другого ПК без проблем. С ноута не хочет. Перепробовал все варианты, может подскажете что еще проверить.
1. С внешки порт открыт, проверено на speed-tester, да и с других ПК нормально подключается.
2. Антивирь отключал.
3. Брендмауэр службу гасил, а так же включал, но все подключения разрешал.
4. Ставил разные версии клиента и т.д.
5. Система одинаковая у всех.
Что еще потестить? Проблема явно с ноутом но все очевидные вещи кажися проделал.
Kerio Control не подключается к домену что делать
Для начала нужно проверить а доступен ли из шлюза ваш домен для этого пропингуем его. Заходим в пункт Состояние снизу выбираем IP-Инструменты и на первой вкладке пингуем домен.
Дальше нужно проверить работоспособность вашего DNS командой DNS Lookup для этого переходим на соответствующею вкладку вводим имя домена и смотрим на результат.
Настраиваем время и пробуем снова присоединится к домену. В 90 % случаев это должно помочь но если что то не получатся пишите постараюсь всем ответить и помочь.
Если вы решили использовать Kerio Control в своей локальной сети и у вас есть AD то его обязательно нужно подключить к контроллеру домена. Это облегчить вам работу и позволить быстро настроить пользователей и группы в Kerio Control. Даже не настроить, а импортировать их из AD.
Читайте также: