Для организации контроля в локальной сети нашей организации был выбран Kerio Control Software Appliance 9.2.4. Раньше эта программа называлась Kerio WinRoute Firewall. Рассматривать плюсы и минусы мы не будем, и почему выбран Керио, тоже, переходим сразу к делу. Программа версии 7 и выше устанавливается на голое железо без какой-либо операционной системы. В связи с этим подготовлен отдельный ПК (не виртуальная машина) со следующими параметрами:
-процессор AMD 3200+;
-ОЗУ 2 Гб;
-HDD 500Гб; (необходимо гораздо меньше)
— Сетевая карта – 2 шт.
Собираем ПК, вставляем 2 сетевых карты.
Для установки линукс-подобной системы нужно создать загрузочный носитель – флэшку или диск. В нашем случае флэшка создана с помощью программы UNetbootin.
Скачиваем Kerio Control Software Appliance. (можно купить лицензию или скачивать образ с встроенным активатором)
Объем образа Керио не превышает 300Мб, размер флэшки соответствующий.
Вставляем флэшку в USB разъем ПК или ноут-бука.
Форматируем в FAT32 средствами Windows.
Запускаем UNetbootin и выбираем следующие настройки.
Дистрибутив – не трогаем.
Образ – Стандарт ISO, указываем путь к скаченному образу Керио.
Тип – Устройство USB, выбираем нужную флэшку. ОК.
После некоторого времени создания, загрузочная флэшка готова. Жмем выход.
Вставляем загрузочную флэшку в подготовленный ПК, включаем его и в Boot menu выбираем загрузку с USB-HDD. В начавшейся загрузке выбираем linux.
Начнется установка Kerio Control Software Appliance 9.2.4. Выбираем язык.
Читаем лицензионное соглашение.
Принимаем его, нажав F8. 
Вводим код 135. Программа предупреждает о том, что жесткий диск будет отформатирован.
Ждем пока идет установка.
Система перезагрузится.
Снова ждем.
Наконец дождались. Сообщение на экране говорит о том, что нужно в любом ПК, который подключен в одну сеть вместе с Керио перейти в браузере по написанному адресу.
Мы пока этого делать не будем, а переходим в Конфигурацию сети в самом Керио.
Конфигурация сетевого интерфейса Ethernet. Отмечаем пробелом – Назначить статический IP-адрес. 
И назначаем его.
IP-адрес: 192.168.1.250
Маска подсети: 255.255.255.0
Если до установки ПО в сетевые карты были подключены два необходимых сетевых провода для внешней и внутренней сети, то об этом компьютере можно забыть. Я поставил его в уголок и даже забрал монитор.
Теперь в браузере того ноут-бука, в котором создавалась загрузочная флэшка, я перехожу по адресу:
https://192.168.1.250:4081/admin. Браузер может сообщить что Возникла проблема с сертификатом безопасности этого сайта. Нажимаем ниже – Продолжить открытие этого веб сайта и попадаем в мастер активации.
Анонимную статистику, конечно же, не передаем, убираем галочку.
Вводим новый пароль администратора.
Выполняем авторизацию.
Вот и всё. Здравствуй Керио.
Нужно отметить, что выбранный IP-адрес 192.168.1.250 для сетевой карты внутренней сети решено было изменить на адрес 192.168.1.1 для того, чтоб не перенастраивать много оборудования. Сеть существовала долгое время без контроля и Керио пришлось в неё добавить методом встраивания. После смены IP чтоб попасть в интерфейс нужно вводить https://192.168.1.1:4081/admin. Ниже на рисунке структурная схема подключения.
Первоначально, все функции маршрутизации и DNS выполнял модем с IP –адресом 192.168.1.1. При установке Керио модему назначили адрес 192.168.0.1 и он обращается к внешней сетевой карте Керио с адресом 192.168.0.250. Адреса в одной подсети. Внутренняя сетевая карта получила адрес, который раньше был у модема. Всё оборудование в сети со статическими IP-адресами и прописанным шлюзом (а это почти вся наша сеть) увидело новый шлюз как старый и даже, не заподозрило подмены : )
При первом запуске Керио, мастер предлагает настроить интерфейсы. Можно настраивать не через мастера. Рассмотрим подробнее всё, что описано выше.
Во вкладке интерфейсы выбираем пункт Интернет-интерфейсы.
Придумываем название типа Внешняя сеть или Интернет, по умолчанию написано WAN. Вводим вручную данные IP адреса, маску, шлюз и DNS, всё в одной подсети с модемом. ОК.
Далее выбираем следующее подключение в пункте Доверенные/локальные интерфейсы – наша внутренняя сеть. Эти пункты в зависимости от версии Керио могут называться по другому. Придумываем имя и вносим данные как на картинке ниже. Внешняя и внутренняя сеть не могут находится в одной подсети. Это не нужно забывать. DNS от Керио. Шлюз не пишем. ОК.
Нажимаем кнопку Применить в нижней правой части экрана, настройки активируются. Проверим подключение к Интернету. Интернет работает.
Можно переходить к созданию правил трафика, фильтрации содержимого, посмотреть, кто скачивает торренты и перегружает сеть, ограничить скорость или заблокировать. Короче, Керео полноценно работает и в нем есть множество настроек. Тут каждый настраивает что кому нужно.
Рассмотрим еще один важный момент – это открытие портов. До установки Керео в модеме были проброшены порты на сервер. Так же изначально необходимые порты были открыты в самом сервере. Без этих портов спец. софт сервера не может нормально работать. Рассмотрим открытие порта 4443.
Модем HUAWEI HG532e, заходим в него, для этого в адресной строке браузера вводим 192.168.0.1. Переходим по вкладкам Advanced—>NAT—> Port Mapping и вносим данные как на картинке ниже.
Интерфейс – наше подключение (в режиме роута кстати).
Протокол – TCP/UDP.
Remote host – ничего.
External start port/end port – 4443 (внешний порт).
Internal host – 192.168.0.250 (адрес внешней сетевой карты Керео).
Internal port – 4443 (внутренний порт).
Mapping name – любое понятное имя.
Принцип действия таков, что обращение из интернета на внешний статический IP-адрес к порту 4443 будет переадресовано к внешней сетевой карте Керио. Теперь нужно сделать так, чтоб запрос с внешней сетевой карты перенаправлялся на внутреннюю сетевую карту и далее к нашему серверу на порт 4443. Это делается с помощью создания двух правил. Первое правило разрешает доступ извне, второе правило разрешает доступ изнутри.
Создаем эти два правила на вкладке Правила трафика. Разница в пунктах источник и назначения. Служба – наш порт 4443. см. картинку выше.
В пункте Трансляция делаем настройки как на картинке ниже. Отмечаем галочкой — Адрес назначения NAT и пишем там IP-адрес сервера назначения и нужный порт. ОК.
Нажимаем применить. Проверяем, открылся ли порт в он-лайн сервисе. Порт открыт.
Проверяем службы сервера, для которых всё это делалось – они заработали. Аналогичным способом можно открыть любой порт.
О прочих настройках Kerio Control Software Appliance возможно будет написано в других статьях.
Настройка Kerio Control Часть 2 (подключение по оптике)
Автор добавьте к картинкам кликабельность, сложно рассматривать некоторые. А так всё норм, помогло спасибо.
Как изменить в панели мониторинга на активных хостах Kbs на мегабиты?
Мегабиты нельзя. В правом верхнем углу где указан пользователь можно выбрать килобиты или килобайты. Если навести мышкой на скорость хостов — скорость в мегабитах.
Спасибо за объяснение, молодец
Супер
у меня при установке выводит след.ошибку:
ERROR: The installer failed to initialize. The installation cannot continue.
Detecting CD/DVD-ROM…
sda: Cruzer Blade [cannot mount iso9660]
sda: Cruzer Blade [cannot mount vfat]
Помогите пожалуйста, заранее благодарю!
Попробуйте отформатировать флэшку diskpart list disk select disk № (номер флэшки) clean. Потом diskmgmt.msc (управление дисками) ПКМ на флэшке создать простой том, через мастер далее>> далее>> отформатировать в FAT32. Потом создать загрузочную флэшку по инструкции. Если не поможет поменяйте флэшку, поменяйте дистрибутив Kerio. Если не поможет пробуйте установку с DVD или CD, это точно решит проблему.
у меня тоже вышла эта ошибка, и ваша инструкция мне помогла
Доброго, а если во время эксплуатации сервера выйдет из строя одна из сетевых карт? как быть?
В этой ситуации нужно заменить сетевую карту это очевидно. Если поломалась внешняя сетевая, то можно подключится в Керио как обычно по внутренней и восстановить настройки из резервной копии (или вручную заново вписать IP). Если поломалась сетевая со стороны внутренней сети, то настройки можно вписать в самом сервере Керио в конфигурации сети как это делалось при первом запуске.
Спасибо, Вы мой первый проводник в мир Kerio Control.
Однако. На приведенных картинках меню Керио только одна плата. Думаю было бы
неплохо для статьи подробней описать настройку обеих плат.
Об каких платах вопрос? об сетевых картах? если да, то их настройки приведены.
Помогите с подключением к пк с керио. Все установил , забил адрес моей сети , но при этом не могу подключиться к веб интерфейсу, не находит такого адреса. Айпи не пингуется , пробовал на разных пк , все так же. Сеть и подсеть одинаковые . Фаерволов нет.
Пинг должен проходить, это самое элементарное что должно быть. Возможно маски разные у ПК и у сетевой керио если не пингуется. Подключатся нужно в сетевую карту внутренней сети. Что значит сеть и подсеть одинаковые?
Я тоже по началу не мог попасть в интерфейс с локалки. Потом нажал на Удаленное администрирование и там вкл/выкл, это как-то помогло. Может и вам поможет.
Спасибо за информацию! В нашем сервере Kerio Control установлен в виртуалке. Есть какой-то разности между ними?
На ВМ мне представляется лучше. В нашей организации нет подходящего железа для виртуализации в свободном доступе, если б было мы бы тоже на виртулке развернули. Из плюсов экономия места в серверной, (лишний комп стоит), бэкап образом можно делать.
доброго времени суток. проблема не видит провайдера.
установил с флешки.
вбил локальный адрес. зашел в управление. настроил ван на статике. кабеля все видит.
захожу проверить пинг с интерфейса курио. ya.ru нет ответа, пишу ип шлюза прова — нет ответа. ип яндекса — нет ответа
что за ерунда.
п.с. канал рабочий (с ноута и роутера без проблем)
Может в Керио с правилами трафика что-то не то
Всем привет, значит ситуация такая: всё работает, нужно только купить сетевой адаптер чтобы Керио видил сетевуху, как вы знаете не все сетевые карты Керио определяет. Какие сетевые карты он распознаёт? Я знаю что с чипами Intel 1000. Посоветуйте пожалуйста. Kerio Control 9.3.5
Недавно столкнулись с похожей ситуацией. При добавлении нового интерфейса не подошел сетевой адаптер. После перебора штук 5 доступных из наличия подошел один этот Realtek RTL8111/8168/8411 PCI-E Gigabit Ethernet Adapter. Про другие подходящие адаптеры нет информации.