Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.


Messages - vovannovig

Pages: 1 [2] 3 4 5
16
Сегодня попробовал синхронизировать в SLAVE Zentyal грабли еще те,как-то работает но постоянно стало ошибки кидать...

До этого Оконный сервер хотел добавить и править на нем груповые политики,он у меня влител в домен и стал запускаться под доменной учеткой  :o
А вот ГрупПолиси хотел проверить как работает - та и не смог отключить банальный контр+алт+дел при запуске системы...

Может что криво стало тогда, но вообще граблей очень много.Наверное проще будет и лучше работать установить в виртуалке или отдельной машине WinServer Core с ролью АД по сценарию - думается мне что будет надежнее!

17
Russian / Re: Проблемы с PPTP
« on: January 15, 2013, 07:45:08 pm »
Честно сказать уже давно не обращаю на такие грабли внимания, Лентяй вообще стал одним большим конструктором после версии 1.6...

Запуск можно попробовать побороть переустановкой модуля.А вот то что не отображается это считай нормальное явление  ;D думаю многие смирились...

Скажу что в версии 3 вообще криво IDS работает, проблемы с синхронизацие каталогов, да и вообще есть подключения или нет вылавливаю только по логам(хотя тоже бывает не всегда отображает в журнале)

18
Russian / Re: openVPN
« on: January 15, 2013, 07:40:43 pm »
Доброго времени суток.
В сети провайдера (внешней сети) имеются мой Zentyal и сервер баз данных (win2003). к этому серверу подключаются пользователи из локальной сети за моим Zentyal-ом (внутренней сети), а так же несколько пользователь из внешней (все на виндоводы). Все это идет без какого либо шифрования.
Есть вариант организовать на Зенте OpenVPN сервер, а остальные будут подключатся к нему  как клиенты. VPN-канал между БД-сервером и Зентом я поднял, а дальше возникает ряд специфических вопросов.

1)как сделать так, чтоб БД-сервер при подключении к VPN всегда получал один и  тоже IP адрес? Это необходимо для настройки программы БД-клиента. Желательно, но не обязательно, чтоб все VPN-клиенты при конекте получали постоянные адреса.

2)Вопрос про сертификаты. При созданни VPN-сервера я указал конкретный клиентский сертификат. Далее все клиенты будут подключатся по одному сертификату, или каждому клиенты требуется свой сертификат?

3) Licht, А какой протокол используешь, для VPN-канала?
1-Чтобы получал один адрес а графе адреса VPN(в РРТР указывается и так один,а в OpenVPN в основном сеть т.е. /24 подправь...) указать ip/32 (Маска 32 - 1 адрес)
2-Для каждого OpenVPN  соединения надо свой,один корневой и один создавай сертификат клиента т.е. корневой один,а сертификаты клиентов у всех разные.

С маршрутизацией под окном встречал грабли в виду малых прав пользователя под которым запускается и поэтому таблицу маршрутизации автоматически не правит.Вообще все маршутизирует сервер - если указано default gateway то вообще и инет будет с сервера идти,и объявляются сети на сервере - он маршрутизирует!

19
Доброе время суток)
Помнится умоминалось об ограничениях по кол. подключений в бесплатной версии,не подскажите кто тестировал и их кол.
надо поднять около 100 тунелей...
Заранее спасибо!

20
Russian / Re: Подключение удаленных филиалов
« on: January 10, 2013, 08:32:06 am »
На сегоднешний день у всех простой интернет по ADSL - что накладывает свои ограничения в виду ассиметричности и не надежности...

Если бы были канал все упроситилось, только сделать маршрутизацию и корневой прокси сервер с NTLM аутентификацией,...  :) но пока что так...

21
Russian / Re: Подключение удаленных филиалов
« on: January 09, 2013, 01:21:16 pm »
Сам принцип я реализовывал такой на Zentyal 2.2. Думаю на 3 тоже будет работать нормально. В качестве платформы аппаратной использовалась виртуальная среда VMWare ESXi 5.0 (3.5,4.0.4.1). Тут три пути: либо на каждом сервере создать сервера OpenVPN для каждой всех филиалов, кто будет подключаться, либо ходить через какой-то централизованный концентратор, либо исходить от обстановки и использовать по возможности адреса, которые доступны. При реализации виртуальных машинок на ESXi, возникали проблемы, когда устанавливались "тулзы", то есть драйверы...тогда начинались проблемы. После удаления "тулзов" проблемы исчезали, которые касаются пропуска трафика непосредственно по OpenVPN.

Я сначала использовал концентратор с выделенным внешним адресом, так как все клиенты были за NAT. Они цеплялись к этому концентратору и через него сеть работала. Потом появились внешние адреса у всех и теперь кто как подключается зависит от того, кто админ или кому куда нужен доступ. В настоящее время в такой сети находится 9 филиалов. Сеть используется для администрирования, ну и там перекинуть чё-нить иногда или 1Сникам даём клиентиков, они там с базами копаются. Ну вот и всё, что касается самой "физики" сети.

Хранить централизованно учётные записи и выпускать в Интернет из одной точки мы не решаемся...так как у нас вся сеть построена поверх сети Интернет и делать такое смысла нет. Хотя иногда мысль возникает такая, но после каких-нибудь сбоев у провайдеров сразу быстро отпадывает : )

В общем, если инфа о нашем опыте поможет чем-нибудь, буду рад : )

Спасибо, но связывать через OpenVPN пробовали, и знаю, как работает давно. Есть вои грабли и в частности отсутствие тегированного vLan и вопрос приоритизации трафика,...

Вопрос больше относительно общей консоли, лог анализатора, общей реализации LDAP каталога... а бесплатной версии :)

Требуется реально работающий сервер каталогов и централизацией, работой по всем филиалам с минимальным кол. граблей))) а прокинуть VPN это уже не задача, это следствие;)

22
Russian / Антивирусная проверка веб трафика
« on: January 04, 2013, 12:03:51 pm »
Добрый день.
Кто-то обращал внимания что антивирус не проверяет трафик проходящий через прокси?
http://www.eicar.org/85-0-Download.html

у всех так?кто боролся и как?(clamav стоит, только завернуть SQUID? тогда после перезагрузки пологаю конфиг вернется к...)

в общем еще не смотрел, просто обнаружил что у меня и решил спросить.

P.S.> Всех с НОВМ ГОДОМ и наступающими праздниками  :)

23
Russian / Подключение удаленных филиалов
« on: December 26, 2012, 09:14:22 am »
Добрый день.
Есть желание реализовать следующую схему:
Центральный офис(WinServer AD + Zenoss + ...) и подключение районов с Zentyal на котором подняты службы проски, сети и пользователей.

Предполагается следующая работа:
-в центральном офисе все изменения вносятся в WinServer AD
-в районах Zentyal синхронизируется и позволяет или не позволяет выходить в интернет и автоматизировать рабочие места.
-реализовать общее хранилище в центральном офисе логов прокси-сервера и других служб Zentyal
-мониторить работу всего оборудования с помощью Zenoss

-VPN планируется или на отдельной железяке или поднять OpenVPN Client
-Прокси сервер должен быть прозрачным, реализовываться запреты(было бы очень удобно не только логи пересылать в центр но и настройки блокировки)


Собственно вопросы:
1)Если ли у кого-то опыт реализации данной схемы на zentyal community?
2)Корректно ли работает и как настроить синхронизацию схемы AD, а наверное лучше будет разбить на сайты и синхронизировать сайтами
3)Как реализовать пересылку логов в центральной офис и чем их лучше принимать и анализировать(подойдут статьи по теме, размышления и рекомендации)

Вот пока набирал, подумал что при такой постановке задачи будет более корректно настроить один дистрибутив в центе, а в филиалах импорт конфигурации с него ... но боюсь будут грабли с недоступностью,...

Или может не zentyal ... ( из всех его возможностей требуется лишь корректная работа сети, пользовательских служб и прозрачного прокси с реализацией централизованого конфигурирования и логирования что в общемто заложено в платную версию...)

В общем предлагаю начать полемику  ;D

24
Russian / Re: Не работает фаерво 3.0.6
« on: December 05, 2012, 04:52:38 pm »
Кто подскажет как прикрутить черный спосок адресов с автоматическим добавление туда адресов в случае обнаружения сканирования портов,ввода N кол. раз неправильного пароля...
Как это реализовано у хостеров cPanel

25
Russian / Re: Не работает фаерво 3.0.6
« on: November 22, 2012, 07:14:38 am »
IDS включил на оба интерфейса,в логах отчеты идут,на внешнем интерфейсе все порты закрыты,на внутренем ного открытых
ИДС ругается записывает в лог но не блокирует сканирующий ИП,может стоит написать в пожалания реализовать "При обнаружении сканирования портов блокировать ИП адрес на *** минут"?

26
Russian / Re: Не работает фаерво 3.0.6
« on: November 21, 2012, 04:10:59 pm »
что бы не создавать новую тему - кто подскажет почему фаервол или IDS не блокирует IP за сканирование портов?
как поправить ситуацию?

27
Russian / Re: Не работает фаерво 3.0.6
« on: November 21, 2012, 04:08:46 pm »
Разобрался,помню вроде было где-то но...
в общем для таких же не внимательных как и я - логирование фаервола по дефолту отключено!Его надо включить!
Журнад - Настройки журналов  - ставим галочку)

Всем удачи!

28
Russian / Re: Не работает фаерво 3.0.6
« on: November 21, 2012, 03:16:51 pm »
Сделал новую чистую установку,попробовал просканироать как внешний так и внутрений интерфейс.
Внешний блокирует - порты закрыты
внутрений - открытый

значит фаервол работает,но в журнале написано что "Пакетов отброшено   0" и соответственно журнал пуст.

кто сталкивался?куда копать?

29
Russian / Re: Не работает фаерво 3.0.6
« on: November 21, 2012, 01:09:06 pm »
IDS установлена и запущена и о ней есть информация в логах... а вот фаервол не работает хоть и в статусе - ОК

30
Russian / Не работает фаерво 3.0.6
« on: November 19, 2012, 10:30:30 pm »
Добрый день.
Помнится что и раньше была замечена такая беда,но раньше не заморачивался...
А суть в следующем - служба запущена,в вот в логах фаервола ничего нет,решил проверить - просканил порты и служба обнаружения вторжений фиксирует,а фаервол ничего!
Решил проверить - заблокировать свой ИП - доступ есть...
Все правила стандартные(при установке которые)
куда копать?

Pages: 1 [2] 3 4 5