Проблема со связкой KSC - KES

[Bird]

Всем доброго времени суток.

Есть проблема со связкой KSC - KES.

Версии: KSC - 10.4.6000, KES - 11.0.0.6499, агенты - 10.5.1781

Есть 3 удаленных офиса объединенных VPN.

VPN построен с использованием PON, модемов HUAWEI EchoLife HG8245H и KerioControl.

KerioControl используется как маршрутизатор и фаервол, т.е. kerio держит VPN туннели между офисами и является шлюзом в интернет для каждого из офисов.

Так же имеем один внешний статичный IP для организации внешних подключений.

Сервер KSC у нас один и расположен в одном из офисов.

 

Для агентов стационарных компов (находящихся в корпоративной сети всех трех офисов) в качестве адреса сервера KSC мы указываем доменное имя сервера KSC.

С ними проблем нет.

 

Для агентов на ноутах в качестве адреса сервера KSC мы указываем внешний IP.

 

Теперь суть проблемы.

     1. Если ноуты находятся в корпоративной сети в том же офисе, где расположен сервер KSC - агенты не видят сервер KSC и ими, соответственно, невозможно управлять, политики не применяются, обновления не ставятся и т.п.

     2. Из сетей других офисов - агенты видят сервер KSC и ими можно управлять (удаленно запускать задачи и т.п.). Т.е. всё работает корректно.

     3. Из-за пределов корпоративной сети (через внешний IP) - агенты видят сервер KSC, забирают обновления, политики применяются нормально, но управлять ими с сервера невозможно. Например, запустить задачу обновления или любую другую задачу невозможно (см. рисунок в прикрепленном файле). Т.е. пиктограмма «Запустить» не активна. При этом удаленный комп с агентом и KES работают и с них сервер KSC доступен.

 

На kerio создали правило:

Источник: LAN

Назначение: наш внешний IP, протокол: TCP 13000,14000   UDP 15000

Действие: мапить пакеты на локальный IP KSC

 

где LAN – сеть того офиса, где расположен сервер KSC

 

Это было сделано для того, чтобы исправить ситуацию из п.1 (недоступность сервера KSC из офиса той же локации). Проблема решилась, но, ИМХО, это костыль.

 

А вот ситуация из п.3 остается актуальной.

 

Прошу посоветовать, как решить нашу проблему.

Облака KES прошу не предлагать

Изменено 17 января, 2019 пользователем Bird

[oit]

Версии: KSC - 10.4.6000, KES - 11.0.0.6499, агенты - 10.5.1781

это уже плохо. KSC должен быть 10.5, чтобы корректно управлял KES 11.

 

 

Если ноуты находятся в корпоративной сети в том же офисе, где расположен сервер KSC - агенты не видят сервер KSC и ими, соответственно, невозможно управлять, политики не применяются, обновления не ставятся и т.п.

а для них профиль подключения настроили в свойствах агента?

я так понимаю, что агента ставили с указанием шлюза через внешний IP-адрес?

 

 

Из-за пределов корпоративной сети (через внешний IP) - агенты видят сервер KSC, забирают обновления, политики применяются нормально, но управлять ими с сервера невозможно. Например, запустить задачу обновления или любую другую задачу невозможно (см. рисунок в прикрепленном файле). Т.е. пиктограмма «Запустить» не активна. При этом удаленный комп с агентом и KES работают и с них сервер KSC доступен.

опять же профиль подключения нужно настроить, только теперь для кспд-сети. Или наоборот, если профиль настроен, то стоит галочка использовать только для обновлений. И еще может быть проблема как раз в версионности KSC - KES

 

Покажите: свойства политики агента - Сеть - Подключения

Изменено 17 января, 2019 пользователем oit

[Bird]

Добрый день.

Большое спасибо за ответ.

 

@oit, это уже плохо. KSC должен быть 10.5, чтобы корректно управлял KES 11

Вот и я тоже об этом подумал.

 

@oit, а для них профиль подключения настроили в свойствах агента?

@oit, я так понимаю, что агента ставили с указанием шлюза через внешний IP-адрес?

Никаких доп. настроек агента не делал.

На ноутах, при инсталляции агента, указываю в качестве шлюза внешний IP.

 

@oit, опять же профиль подключения нужно настроить, только теперь для кспд-сети.

@oit, Или наоборот, если профиль настроен, то стоит галочка использовать только для обновлений.

Если честно, то я не совсем понимаю о чем Вы :|

Не могли бы Вы пояснить более подробно по настройке профилей.

Все правила у нас созданы на kerio. Я считал, что этого должно быть достаточно.

 

@oit, И еще может быть проблема как раз в версионности KSC - KES

Я, пожалуй, сначала обновлю версию KSC

 

@oit, Покажите: свойства политики агента - Сеть - Подключения

В аттаче.

Изменено 18 января, 2019 пользователем Bird

[oit]

@Bird, можно вот этот раздел почитать: https://help.kaspersky.com/ksc/sp3/ru-ru/92236.htm

А так, да: сначала необходимо провести мероприятия по обновлению KSC до 10.5 и установки патча А

Изменено 18 января, 2019 пользователем oit

[Bird]

@Bird, можно вот этот раздел почитать: https://help.kaspersky.com/ksc/sp3/ru-ru/92236.htm

А так, да: сначала необходимо провести мероприятия по обновлению KSC до 10.5 и установки патча А

Спасибо за совет.