Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.


Messages - luha

Pages: 1 2 [3] 4 5 ... 32
31
Привет. Почту и самбу это ты имеешь в виду учётные записи в АД? Сейчас они на MS сервере или на зенчале?

32
Можно конечно. Зависит от величины фирмы.

33
LDAP с того что знаю (и как понимаю эту технологию сам для себя), придуман для централизованного доступа и хранения учёток. Это значит что разные программки, сервисы и компьютеры шлют запросы на общий узел. Ну... тоесть не заливают себе копию всей таблички, а просто сверяются по протоколу. Можешь настраивать прокси на отдельном внешнем сервере, единственное надо саму прокси настроить на работу с LDAP. Даже на выбор имеешь любой прокси сервис какой захочешь. Не надо для этого настраивать слэйв.

В рамках одной машины зенчал с прокси и АД на борту точно также реализовано, разве что настройки автоматически делаются скриптами.

34
Backup у зенчала вроде как есть свой, но я когда только начинал с ним разбираться тестировал и выяснил что он неработоспособный. Поэтому резервную копию делаю через rsync по старинке.

Для одного контроллера домена естественно можно использовать несколько серверов, если надо - один мастер и остальные слейвы. Всё как и с МS серверами. Я эту функцию в частности использовал для того чтобы перекинуть конфигурацию и заменить старый контроллер. Сначала подключил к нему слейвом зенчал, среплицировал всё что было можно и потом переназначил роли, а старый выключил. Короче можно, если нужно, но сам не использую. Дело в том что в зенчале АД это один из модулей, а есть и другие, которые с этим АД через грабли подключены и в итоге имеем то что развернуть на слейве только почту или что-то ещё не получится без того чтобы гарадить тоже самое и на мастере. Дичайшая недоработка.

Модули это беда... ой беда... то они есть, то их убирают, то одним образом реализовано, то другим... а потом из-за них настройки невозможно перенести, актуализировать тоже нельзя. Подружить разные версии не всегда получается. И ещё неизбежно приходится всё допиливать самому, но это у никсов в порядке вещей.

Лучше всего не городить мастер-слейвы, а ставить независимые сервера. Почту и АД лучше всего объединять на одном сервере, а остальное можно выносить, в частности роутер и при этом к АД совершенно не обязательно подрубать. Ну и не плохо бы было учесть что время идёт, прогресс на месте не стоит. АД в классической реализации по факту это морально устаревшая технология. Майкрософт запустили азура-облако и вся эта ваша АД теперь там, десятая винда... сервисы с подпиской... всё такое.

35
Так я же написал - несколько фирм и у каждой свой домен. Это же и есть AD. А у зенчала правило - один сервер, один AD (домен).

Если про почтовые домены и странички, то их множество и каждый сервер как почтовик обслуживает много доменных зон. Странички обслуживаются на веб-серверах, там всё очень сложно, не буду описывать т.к. к теме не относится.

Внешние провайдеры разные. Сделано с целью увеличения надёжности. Тоесть специально подводили две независимые линии оптики, от совершенно разных сетей и провайдеров. Оптика приходит на две разные коробки с двумя разными электрическими линиями с двух разных электростанций даже, но на один роутер в разные сетевые карты. И это, кстати, ещё одна причина почему роутер на зенчале будет ликвидирован. Нет механизма создания кластера. На том же pfSense можно поставить два роутера и они будут синхронизироваться. Но с роутером как раз не было никогда проблем и вообще - зенчал за всё время показал себя как очень хорошая платформа. Подумывали когда-то пересесть на коммерческую версию, однако чёт там не сложилось.

Балансировку пробовал делать, но у зенчала она очень плохо реализована, на практике не применима. Сейчас жёстко прописано что почтовик выходит каждый через свой канал и IP, сервера через свои IP, пользователи через специально выделенный для них IP (чтобы вдруг не засрали почтовые IP если кто вирус подхватит) и т.д. Исторически потихоньку шлифовалось по мере необходимости и развития.

Есть у нас vlan-ы и свои станции телефонные. Собственно для них и нужны эти vlan-ы. Это вообще никаким боком к роутеру не имеет отношение и настраивалось на внутренних DNS-ах. Для роутера чтобы запретить из сети в сеть ходить или наоборот разрешить vlan-ы не нужны. Тоже самое и на смарт-свичах - там чтобы определить какие порты куда смотрять и что там ходит vlan-ы зачем строить?!

Всё крутится на железных серверах по причине высокой нагруженности. Причём часто приходится для одной задачи ставить несколько серверов. Всё зависит от нагрузки.

36
Нет никаких проблем с пробросом портов. На роутере указываешь с какой сетевой карты с какого внешнего IP какие порты куда должны пойти и всё. Я настроил как из вне с двух внешних каналов так и с внутренних сетей (у нас несколько) кто через какой IP и какой канал должен выходить в мир. У нас две входящие линии, каждая со своим пулом адресов, каждая на своей сетевой. Также несколько сетевых смотрят внутрь и у них свои подсети для нескольких независимых фирм.

Зато у каждой фирмы можно настроить их отдельный зенчал с почтой, доменом и зонами DNS. А как это прикажешь реализовывать на одной машине, которая сразу и роутер в придачу?

Сейчас занимаюсь проектированием новой структуры этой сети с поддержкой ip6. Скорее всего роутер на зенчале придётся ликвидировать т.к. он не отвечает необходимым требованиям. И опять же - внутренняя структура не страдает, почта, домены, DNS... каждый на отдельном сервере. Удобно. Потом возьмусь за модернизацию почты и по одному буду заменять или актуализировать.

37
Привет!
Лучше делить. Логично контроллер с почтой DHCP и DNS сделать отдельной машиной, а роутер с прокси и VPN отдельной. Это совершенно разные задачи и разные нагрузки которые мешают друг-другу. Если есть нужда в файловом хранилище то я бы тоже отделил. Цель - улучшение стабильности, лучшая отказоустойчивость и более простой сервис.

Пример. Почта и внутренняя сеть настроены на отдельном сервере, роутер отдельно. Актуализируем настройки роутера, в процессе применения изменений сервер может запнуться, бывает даже на минуту с потерей интернета... внутренняя сеть при этом не страдает никак. Если актуализируется домен или надо обработать почту то опять же нагрузка сервера не сказывается на работе роутера, который и так загружен VPN-ами на четырёх гигабитных каналах.

38
Ну так вот именно - из версии в версию модули то убирают, то обратно добавляют, настройки ломают, а в итоге обновить систему не представляется возможным. Бэкап настроек это вообще не понятно для чего сделано, если их вкатить можно только на идентичную во всех смыслах оболочку. Если уж надо переделать или обновить то проще с нуля разворачивать и руками сидеть калдыбашить как мамонт. Интерфейс графический? Это сделано чтобы сервер дольше грузился, жрал оперативку и больше тупил, при этом машина где-нибудь торчит без монитора/клавиатуры/мыши, управляется через вебку или консоль и вот нафиг там иксы впёрли. А потом как начинаются глюки люди мучаются с установкой старых версий т.к. разработчики же продумали такой сценарий. Нет? Как удивительно, всё же для людей, коммерческий продукт, все дела.

Про VPN и объекты. Их удалить нельзя, они там непонятно зачем вообще указываются (то что на твоём скрине). На самом деле эта настройка находится в другом месте, там где происходит объявление (рекламирование) подсетей для VPN подключений ( VPN => Servers => Advertised networks ). Но не уверен что это будет работать так как ты ожидаешь, хотя и переживать по этому поводу тоже не стоит, ведь речь идёт о доступности активных сетей, не активные априори не будут доступны и так, не важно что там в объектах.

На всякий случай ещё раз хочу заметить что жизнь течёт, всё меняется. Использовать старую версию программного обеспечения для сетевой структуры не целесообразно. Появляются новые методы, шифрования, сертификаты, протоколы и прочее. Взять тот же OpenVPN - новые версии клиента ругаются на старую конфигурацию, которую генерирует третий зенчал, а старые версии не работают на новых операционных системах и это лишь самая незначительная из проблем. Если надо для сети, для VPN, для проксей, то не трать время на старый зенчал. Это такой совет.

39
Прокси плохо работало с самого начала. Попинал немного и отключил. Фильтрую на уровне IP и портов т.к. хватает. Пересяду на pfsense и попробую с прокси ещё раз. Вообще возлагаю большие надежды на pfsense в качестве системы для роутера, даже нашлись специальные брендовые сервера под эту ось вроде таких как SuperServer 1019C-FHTN8


40
Таак... сейчас вроде осталось четыре сервера в разных местах. Версии 3.3, 3.4 и 3.5. Когда пошла 4-я линейка рыпнулся пару раз в попытках обновления с использованием копии на тестовой машине, но ничего не вышло толкового. 5-ю линейку несколько раз тестировал, прогресс в сравнении с первыми релизами есть и он заметен, но не зацепило.

41
VPN есть на версии 3.3. Работает без сбоев вроде, поэтому боюсь трогать. Сертификаты выдаёт до 2024 года. В самое ближайшее время буду этот сервер переводить на pfsense т.к. за время эксплуатации выявил кучу недоработок и разных глюков, что-то поправил, что-то проявляется при определённом положении звёзд и поправить невыходит, плюс железо старое и не тянет возрозший трафик. Такие дела.

42
Russian / Re: Zentyal 3.4 не выключается
« on: January 03, 2020, 10:02:44 am »
Глянь на https://www.pfsense.org/ , ну а ftp ручками доставишь.

43
Привет!

Конкретно зенчала не приходилось, но сталкивался на других дистрибутивах при обновлении машин. Для себя понял что заставить ядро тянуть железо про которое оно знять не знает это не наш путь. Старому ядру старое железо, иначе как минимум потеря стабильности и прочие глюки обеспечены, а нам ведь не надо бегать по три раза в день к замёрзшему от очередного пука серваку. У меня тоже долго живут 3.4 но давно уж всерьёз задумался обновлять... всётаки моральное устаревание окружения. Стартовать сегодня старыми версиями бессмысленно по разным причинам, в том числе от отсутствия поддержки, живых репозиториев и по вопросам безопасности. Опять же поддержка нового железа (шина, память, NVMe). Если очень хочется и есть весомый аргумент пинать труп то ставь на виртуалку под актуальным линём, не думаю что производительность прям сильно просядет.

Кстати раньше зенчал был куда полезнее. Во времена расцвета Win7 так вообще золото. Сегодня не то, чтобы старая версия, уже вообще никакая не нужна т.к. для каждой отдельной задачи есть лучшее решение, а у зенчала совсем плохо работает. Даже просто по активности пользователей видно что интерес упал. Видимо где-то свернули не туда.

44
Russian / Re: Не до конца понятна авторизация.
« on: September 30, 2019, 11:26:50 am »
Авторизация в любом случае происходит по паролю. IP или MAC адреса легко могут быть скомпромитированы и это никак не связано с DHCP. Сам же сервис DHCP как таковой имеет цель автоматизировать процесс настройки работы сети на стороне клиента путём передачи параметром, в которые входят не только адрес IP, но и адреса серверов имён, шлюза и прочее. IP в процессе авторизации участвует только как мера ограничения доступа.

Ну или я просто не понял что же вы на самом деле делаете и что хотите сделать.

45
Russian / Re: Не до конца понятна авторизация.
« on: September 30, 2019, 10:31:28 am »
DHCP так и должен функционировать. Это его нормальная работа, а в зенчале даже чуть усовершенствовано объектами. Единственное мне приходилось править шаблоны чтобы добавить настройки для обслуживание виланов сети телефонии - нет возможности сделать это через интерфейс зенчала. А так практически идеально.

Если не приписан конкретный IP то из выбранного диапазона выдаётся динамический. Динамические адреса не сбрасываются сразу после отключения клиента. Есть период, который можно настраивать, в течении которого адрес автоматически останется зарезервированным. Настройте побольше дней и адреса практически никогда не поменяются. Однако я бы не советовал так делать если появляются залётные устройства вроде мобильников или ноутбуков т.к. их резервация не должна быть вечной. Кроме того для контроля и описания сети принято стационарные машины, такие как сервера, настраивать на статические адреса. Ещё могу порекомендовать выбирать нестандартный номер подсети и отодвигать диапазоны статических адресов от динамических - это поможет избежать коллизий при использовании таких сервисов как VPN.

Pages: 1 2 [3] 4 5 ... 32