Show Posts
This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.
61
German / Re: s4sync und samba verbrauchen 100% CPU
« on: January 12, 2014, 12:59:44 pm »
Also jetzt nach 2 Tagen mit dem leicht geänderten Script ( sleep(30)-->sleep(90)) habe ich genau garkeine Probleme und weder positive noch negative messbare Effekte zu verzeichnen.
Lediglich in der CPU-Auslastung sieht man es deutlich. Ich hab mal den wöchentlichen Chart der Überwachung angehängt....
Lediglich in der CPU-Auslastung sieht man es deutlich. Ich hab mal den wöchentlichen Chart der Überwachung angehängt....
62
Installation and Upgrades / Re: Gateway configuration with ADSL router
« on: January 11, 2014, 06:08:57 pm »
Basic Config
Module Network
1. external Interface (eth1)
use static IP e.g 192.168.1.2 netmask 255.255.255.0
check external
2. internal Interface (eth0)
use static IP e.g. 192.168.2.1 netmask 255.255.255.0
uncheck external
3.add Gateway
on IF eth1
IP 192.168.1.1
check standard
Module DNS
1. add Forwarder
ip 192.168.1.1
Module DHCP
1. check for eth0
Config:
standardgateway: zentyal
first Nameserver:zentyal
WINS and NTP: zentyal
2. uncheck for eth1
see also attached png
Clientconfig: use dhcp
sry, i'm german. my english is horrible
Module Network
1. external Interface (eth1)
use static IP e.g 192.168.1.2 netmask 255.255.255.0
check external
2. internal Interface (eth0)
use static IP e.g. 192.168.2.1 netmask 255.255.255.0
uncheck external
3.add Gateway
on IF eth1
IP 192.168.1.1
check standard
Module DNS
1. add Forwarder
ip 192.168.1.1
Module DHCP
1. check for eth0
Config:
standardgateway: zentyal
first Nameserver:zentyal
WINS and NTP: zentyal
2. uncheck for eth1
see also attached png
Clientconfig: use dhcp
sry, i'm german. my english is horrible
63
German / Re: Squid Proxy cache pfad
« on: January 11, 2014, 12:24:35 pm »mhm, dafür musst du (IMHO) an die zentyal config ran. das würd ich ohne entenpreis-support nedd machen
wie wärs mit hard/soft- links oder die ssd nach /$proxy zu mounten ?!
hast du LVM oder einzelne platten...
Mal einen alten Fred hochgeholt, wegen interessanten Inhalts...
Ich hatte mich vor genau der gleichen Frage gesehen und es so gelöst:
Im LVM ein Volume "Proxy" erstellt und dieses dann nach /var/spool/squid3 gemountet. Aber Vorsicht: Die Größe des Volumes muss etwa 20% größer sein, als der Wert für die Cache-Größe im GUI, sonst gibts spannende Effekte
Das gleiche kann man auch mit /var/log machen, aber da ist es schon effektiver, / auf die ssd zu verschieben und nur die /home auf der Hdd zu haben. Dann funzt auch der Energiesparmodus für die Festplatte besser.
64
German / Re: s4sync und samba verbrauchen 100% CPU
« on: January 10, 2014, 05:54:03 am »
Neugierig wie ich bin habe ich (1) mal ausprobiert. Der Effekt auf die CPU-Auslastung ist nicht wegzuleugnen. Aber am Leistungsmesser sehe ich: genau garnix. Meine Kiste liegt so bei ~30W im Leerlauf und ca. ~38W bei Volllast. Bei diesen LowPower CPU's it n.m.A. die Leistungsaufnahme der anderen verbauten Komponenten viel entscheidender.
Von (2) und (3) halt ich nicht viel: Der Prozess erstreckt sich einfach nur über einen längeren Zeitrahmen. Der Gesamtleistungsumsatz dürfte sogar höher liegen. Aber ich glaube, da ist die Diskussion müßig, weil der Digitalisierungsfehler und Eigenverbrauch meines Equipments höher liegt als die zu erwartende Einsparung
Von (2) und (3) halt ich nicht viel: Der Prozess erstreckt sich einfach nur über einen längeren Zeitrahmen. Der Gesamtleistungsumsatz dürfte sogar höher liegen. Aber ich glaube, da ist die Diskussion müßig, weil der Digitalisierungsfehler und Eigenverbrauch meines Equipments höher liegt als die zu erwartende Einsparung
65
German / Re: MySQL Datenbank im Netzwerk verfügbar machen
« on: January 09, 2014, 05:34:55 am »
Erstell mal 'nen Dienst "MYSQL" mit Port 3306.
Den dann von intern zu Zentyal freigeben.
Edit: Auf jedenfall die alle mysql-Logs durchsehen...
Den dann von intern zu Zentyal freigeben.
Edit: Auf jedenfall die alle mysql-Logs durchsehen...
66
German / Re: usb-installation
« on: January 06, 2014, 11:41:17 am »
Wenn es so einfach wäre...
Also ich kenn die Geschichte so:
Mindestens 20 frustrierende Versuche per Unetbootin, LILi usw.
Immer wird das Fehlen von Dateien bemeckert.
So gesehen bei Z3.2
Irgendwie hat es jetzt schon 2 mal kurz hintereinander mit dem Startmedienersteller im '13er Ubuntu geklappt.
Edit: Danke stm999999999. Ja, ich versuchte unetbootin bisher nur unter W7
Also ich kenn die Geschichte so:
Mindestens 20 frustrierende Versuche per Unetbootin, LILi usw.
Immer wird das Fehlen von Dateien bemeckert.
So gesehen bei Z3.2
Irgendwie hat es jetzt schon 2 mal kurz hintereinander mit dem Startmedienersteller im '13er Ubuntu geklappt.
Edit: Danke stm999999999. Ja, ich versuchte unetbootin bisher nur unter W7
67
German / Re: Zentyal - Remote administrieren
« on: January 06, 2014, 11:17:31 am »
Die Sache mit dem LDAP-Port hatte ich schonmal unter Z2.0.
Unter den Firewallregeln find ich explizit nur die allow-Regeln von intern zu Zentyal. Von extern is da nicht viel. Muß ich mal gucken.
Aber ist ein guter Hinweis. Mir war so, als hätte ich da am Ende irgendeiner Regelkette sowas wie "deny all" gehabt. Das würde ich so deuten, das alles was nicht explizit erlaubt ist, auch nicht geht.
Vom "Perimeterrouter" zu Zentyal wird jedenfalls absichtlich nur OVPN weitergeleitet.
Unter den Firewallregeln find ich explizit nur die allow-Regeln von intern zu Zentyal. Von extern is da nicht viel. Muß ich mal gucken.
Aber ist ein guter Hinweis. Mir war so, als hätte ich da am Ende irgendeiner Regelkette sowas wie "deny all" gehabt. Das würde ich so deuten, das alles was nicht explizit erlaubt ist, auch nicht geht.
Vom "Perimeterrouter" zu Zentyal wird jedenfalls absichtlich nur OVPN weitergeleitet.
68
German / Re: Zentyal - Remote administrieren
« on: January 06, 2014, 10:39:30 am »standart install zentyal...
subscription zu "zentyal cloud" 4free = dynDNS like "myservername.zentyal.me"
dann hab ich ssh zugriff übern std.-port. und sogar httpS von überall aus?! -
Muß man da nicht Port 22 und 443 nach aussen aufmachen?
Firwall abschalten bei nem (mail) server der vom inet aus erreichbar ist ist ne sehr schlechte Idee.
Wer schaltet denn die Firewall ab?
69
German / Re: Zentyal - Remote administrieren
« on: January 06, 2014, 10:36:05 am »
sry, majestix -- da komm ich jetzt nicht ganz mit.
1. Zensur: Es gibt heutzutage jede Menge Jugendliche, die ohne Internet (vermeintlich) nicht mehr leben können. Jedoch halte ich dezente Zugangsbeschränkungen bzgl. Zeiten und Inhalten für richtig. Bezüglich des redtube-desasters und der Yahoo
-Panne ist ein Contentfilter durchaus sinnvoll. Ich stehe vor allem auf zentrales AD-Blocking.
Ich freue mich, wenn Du der perfekte Vater bist. Das kann und will ich so für mich nicht in Anspruch nehmen.
2. Wann schrieb ich von Serveradministration über Handy?
Ich habe nur einen Port nach aussen offen. Über diesen läuft der VPN-Server. In erster Linie um von überall, also auch von ungesicherten Standorten, offenen WLans usw. meine Mails abzurufen.
Nebeneffekt des ganzen ist, das ich dadurch ein Look&Feel wie aus meinem heimischen Netzwerk habe. Warum darf das so nicht stehen bleiben.
Mir ist nicht ganz klar, wie ich diesen persönlichen Angiff verdient habe, aber das ist in manchen Foren wohl Standard...
1. Zensur: Es gibt heutzutage jede Menge Jugendliche, die ohne Internet (vermeintlich) nicht mehr leben können. Jedoch halte ich dezente Zugangsbeschränkungen bzgl. Zeiten und Inhalten für richtig. Bezüglich des redtube-desasters und der Yahoo
-Panne ist ein Contentfilter durchaus sinnvoll. Ich stehe vor allem auf zentrales AD-Blocking.
Ich freue mich, wenn Du der perfekte Vater bist. Das kann und will ich so für mich nicht in Anspruch nehmen.
2. Wann schrieb ich von Serveradministration über Handy?
Ich habe nur einen Port nach aussen offen. Über diesen läuft der VPN-Server. In erster Linie um von überall, also auch von ungesicherten Standorten, offenen WLans usw. meine Mails abzurufen.
Nebeneffekt des ganzen ist, das ich dadurch ein Look&Feel wie aus meinem heimischen Netzwerk habe. Warum darf das so nicht stehen bleiben.
Mir ist nicht ganz klar, wie ich diesen persönlichen Angiff verdient habe, aber das ist in manchen Foren wohl Standard...
70
German / Re: Zentyal - Remote administrieren
« on: January 06, 2014, 05:07:33 am »
Natürlich gibts Fallstricke:
1. Speedport Router
Machen kein NAT-Loopback, d.h. Zugriffe auf die WAN-Adresse sind aus dem LAN geblockt. Zum Testen unbedingt externen Anschluss benutzen.
2. Firewalls z.B. Firmennetzwerke
Wenn der Remoteport 1194 gesperrt ist, klappts nicht. Dafür haben wir aber beidseitig Zugriff (Der Angreifer sitzt im Netz
; Worstcase für Admins)
Meine Variante: Ich leite im Router Port 110 auf 1194 um. Dadurch erreiche ich meinen Server auf meinserver:110. Den Remoteport soll unser Admin mal sperren.
Diese Variante erfordert dasAnpassen des Ports im jeweiligen Clientfile (.ovpn mit beliebigem Editor)
3. Vorsicht mit der OPTION Redirect Gateway
Das gibt an Anschlüssen mit niedrigem Upload Probleme
Im Allgemeinen komt man durch Auswertung aller Logdateien aber der Ursache auf die Spur. Hauptsächlich dafür hab ich webmin auf dem Server laufen. Außerdem hab ich so bequemen Zugriff aufs Dateisystem. (an Templates rumbasteln )
Angehängt hab ich mal einen Screenshot der Serverconfig (vpn2.png) und von der GUI (vpn.png).
1. Speedport Router
Machen kein NAT-Loopback, d.h. Zugriffe auf die WAN-Adresse sind aus dem LAN geblockt. Zum Testen unbedingt externen Anschluss benutzen.
2. Firewalls z.B. Firmennetzwerke
Wenn der Remoteport 1194 gesperrt ist, klappts nicht. Dafür haben wir aber beidseitig Zugriff (Der Angreifer sitzt im Netz
; Worstcase für Admins)Meine Variante: Ich leite im Router Port 110 auf 1194 um. Dadurch erreiche ich meinen Server auf meinserver:110. Den Remoteport soll unser Admin mal sperren.
Diese Variante erfordert dasAnpassen des Ports im jeweiligen Clientfile (.ovpn mit beliebigem Editor)
3. Vorsicht mit der OPTION Redirect Gateway
Das gibt an Anschlüssen mit niedrigem Upload Probleme
Im Allgemeinen komt man durch Auswertung aller Logdateien aber der Ursache auf die Spur. Hauptsächlich dafür hab ich webmin auf dem Server laufen. Außerdem hab ich so bequemen Zugriff aufs Dateisystem. (an Templates rumbasteln
)Angehängt hab ich mal einen Screenshot der Serverconfig (vpn2.png) und von der GUI (vpn.png).
71
German / Re: Zentyal - Remote administrieren
« on: January 06, 2014, 04:44:17 am »Die Client-Zertifikate sind per Computer und nicht per User, richtig?
und ein letztes: Kann es sein, daß openvpn auf Win7 mit Admin-Rechten gestartet werden muß?
Ja und Ja
Pro Remote Client wird ein Zertifikat benötigt. Dadurch ist jeder Client im Protokoll und auf der GUI einzeln identifizierbar. Wer darauf verzichtet wählt bei Benutzerzugriff über Zertifikat: deaktiviert.
Dann genügt irgendein Zentyal-Zertifikat (hab ich nicht getetestet). Bei der Einzelzertifikatvariante wird jeder Doppelloginversuch pro Zertifikat abgewiesen.
Das mit den Adminrechten unter Windows hab ich glatt unterschlagen. Hier hat man außerdem die Wahl, OVPN als Dienst zu installieren.
Das ermöglicht den Autoconnect im Hintergrund.
Und bei VPN Clients / Liste der Clients muß nix gemacht werden?
Die VPN-Client (Zentyal-GUI) ist für die Login's gedacht, wo Zentyal den Client darstellt. Also z.B. Zentyal-Zentyal Tunnel.
72
German / Re: usb-installation
« on: January 05, 2014, 11:25:59 pm »
Ich habe bei den letzten 2 Installationen von Zentyal 3.2 und 3.3 jew. 64 bit auf eine vorh. Ubuntu13.04-Intallation zurückgeriffen. Der dortige Startmedienersteller hat mir weitergeholfen.
73
German / Re: Zentyal - Remote administrieren
« on: January 05, 2014, 10:34:51 pm »
Ich gehe hier mal von meiner Konfig aus:
Im Modul CA
1. VPN-Serverzertifikat generieren (vpn)
2. Für jeden Client ein eigenes Zertifikat erstellen (vpn.client1;vpn.client2;...)
Im Modul VPN-Server
1. neuen Eintrag in Serverliste erzeugen (home)
2. Konfiguration bearbeiten:
Protokoll TCP
Port 1194
VPN-Adresse 192.168.160.0/24
Serverzertifikat: vpn
VPN-Benutzerzugriff über Zert.: vpn
x TUN
x NAT
Network-IF angeben!
das wars hier
Änderungen übernehmen
Benutzerdateien runterladen
Typ: Windows (werden als zip angeboten)
Zertifikat des benutzers: hier dann jeweils vpn.client.. auswählen
wahlweise Installationspaket
Adresse des Servers: Dein DynDNS URL
Für Android nehme ich OpenVPN connect
Im wesentlichen sind das die Schritte.
Viel Spass
PS: ZUgriff auf Web-IF dann von remote ganz normal https://deinzentyal
auf webmin-if https://deinzentyal:10000
Bei etablierter VPN-Verbindung befindest Du Dich in deinem Netz und kannst alles machen, als wärest Du zuhause
Für mich gibt es da keinen Unterschied, denn mein Server wird "Headless" also ohne Monitor/Tatsatur betrieben.
Im Modul CA
1. VPN-Serverzertifikat generieren (vpn)
2. Für jeden Client ein eigenes Zertifikat erstellen (vpn.client1;vpn.client2;...)
Im Modul VPN-Server
1. neuen Eintrag in Serverliste erzeugen (home)
2. Konfiguration bearbeiten:
Protokoll TCP
Port 1194
VPN-Adresse 192.168.160.0/24
Serverzertifikat: vpn
VPN-Benutzerzugriff über Zert.: vpn
x TUN
x NAT
Network-IF angeben!
das wars hier
Änderungen übernehmen
Benutzerdateien runterladen
Typ: Windows (werden als zip angeboten)
Zertifikat des benutzers: hier dann jeweils vpn.client.. auswählen
wahlweise Installationspaket
Adresse des Servers: Dein DynDNS URL
Für Android nehme ich OpenVPN connect
Im wesentlichen sind das die Schritte.
Viel Spass
PS: ZUgriff auf Web-IF dann von remote ganz normal https://deinzentyal
auf webmin-if https://deinzentyal:10000
Bei etablierter VPN-Verbindung befindest Du Dich in deinem Netz und kannst alles machen, als wärest Du zuhause
Für mich gibt es da keinen Unterschied, denn mein Server wird "Headless" also ohne Monitor/Tatsatur betrieben.
74
German / Re: Zentyal - Remote administrieren
« on: January 05, 2014, 04:44:51 pm »
Ergänzend:
Auf dem Remote Client benötigt man einen
Openvpn-Client. Die Installation war bisher weder bei mir in der Firma noch auf meinen (Android) Handys problematisch.
Damit kann ich dann p. ssh, webmin oder zentyal-admin konfigurieren und erreiche ausserdem alle anderen Clients in meinem heimischen Netzwerk.
Mit dieser Lösung Tunnele ich auch problemlos aus unserem (etwas wahllos) "gefirewalltem" Firmennetz heraus .
Auf dem Remote Client benötigt man einen
Openvpn-Client. Die Installation war bisher weder bei mir in der Firma noch auf meinen (Android) Handys problematisch.
Damit kann ich dann p. ssh, webmin oder zentyal-admin konfigurieren und erreiche ausserdem alle anderen Clients in meinem heimischen Netzwerk.
Mit dieser Lösung Tunnele ich auch problemlos aus unserem (etwas wahllos) "gefirewalltem" Firmennetz heraus
.
75
German / Re: Zentyal - Remote administrieren
« on: January 05, 2014, 12:52:25 pm »
Hallo zusammen,
ich betreibe schon seit einiger Zeit einen Zentyal-Server, der mittlerweile in meinem Heimnetz auch als Gateway fungiert.
Für alle Remote-Zugriffe habe ich ds VPN-Modul konfiguriert.
Das hat folgende Vorteile, vor dem bisher gelesenen:
1. Es ist nur eine Portweiterleitung im vorgeschalteten Router-Modem nötig
2. Die VPN-Verbindung ist verschlüsselt
3. Innerhab dieses VPN finden bei mir ALLE Remotezugriffe statt also
-Administration
-Samba-Shares
-Mailverkehr
Für mich war das bisher die beste (vllt auch sicherste) Variante.
Gruß
weißnix
ich betreibe schon seit einiger Zeit einen Zentyal-Server, der mittlerweile in meinem Heimnetz auch als Gateway fungiert.
Für alle Remote-Zugriffe habe ich ds VPN-Modul konfiguriert.
Das hat folgende Vorteile, vor dem bisher gelesenen:
1. Es ist nur eine Portweiterleitung im vorgeschalteten Router-Modem nötig
2. Die VPN-Verbindung ist verschlüsselt
3. Innerhab dieses VPN finden bei mir ALLE Remotezugriffe statt also
-Administration
-Samba-Shares
-Mailverkehr
Für mich war das bisher die beste (vllt auch sicherste) Variante.
Gruß
weißnix