Messages

361

Russian / Re: Zentyal - Zentyal 3.2 Open VPN туннель.

« on: December 06, 2013, 07:24:13 am »

Для того, чтобы попытаться Вам помочь без привлечения телепатов, гадалок и прочих медиумов, будет крайне полезна информация:
1. Адресное пространство внутренних сетей филиалов
2. Таблицы маршрутизации на клиентах
3. Таблицы маршрутизации на серверах
4. Правила маршрутизации трафика для (внутренних) сетей на серверах
Для простейшей самостоятельной диагностики места некорректной настройки, крайне рекомендую провести трассировку с клиента одного филиала до узла другого филиала - в рабочем случае трассировка должна выглядеть примерно так:

Code: [Select]

C:\>tracert -d 192.168.1.10

Трассировка маршрута к 192.168.1.10 с максимальным числом прыжков 30

  1     5 ms     4 ms     4 ms  10.2.1.1
  2    17 ms    23 ms    17 ms  10.1.1.1
  3    18 ms    20 ms    21 ms  192.168.1.10

Трассировка завершена.

C:\>где 10.2.1.1 - шлюз в сети клиента, 10.1.1.1 - шлюз в удалённом филиале (VPN-интерфейс), 192.168.1.10 - хост в сети удалённого филиала.

А что касается инструкции - http://doc.zentyal.org/en/vpn.html#configuration-of-a-vpn-server-for-interconnecting-networks - не скажу, что разжёвано до каждого клика, но необходимый минимум есть.

362

Russian / Re: Proxy и HTTPS

« on: December 05, 2013, 08:09:57 am »

Вообще говоря, squid (выполняющий функцию прокси в zentyal) не умеет фильтровать контент, передаваемый по https из-за его зашифрованности.
На приведённом скриншоте бросается в глаза, что как минимум не загрузились стили - видимо, защищённая страничка mail.ru тащит стили с незащищённого сервера, не входящего в список разрешённых. Также весьма похожую картину можно наблюдать при проблемах с кэшированием стилей браузером - в этом случае спасает очистка локального кэша браузера.

И да, почитал "пробу" - не нашёл разрешения к поддоменам на mail.ru (типа r.mail.ru, rs.mail.ru, top-fwz1.mail.ru) и домену limg.imgsmail.ru, на которые в принципе ссылается страница mail.ru для загрузки стилей, картинок, рекламы и пр.
Определить необходимые ресурсы можно почитав логи прокси на момент открытия страницы - какие запросы были отвергнуты.

363

Russian / Re: LDAP Zentyal

« on: November 29, 2013, 02:50:42 pm »

На порту 389 zentyal не авторизует по служебным учётным записям - там авторизация идёт по "реальным" учёткам. Служебные учётки работают на порту 390 - об этом неоднократно писалось на англоязычном форуме и где-то в конце июня я поднимал эту тему здесь.

364

Russian / Re: проблема с dns

« on: November 27, 2013, 10:30:16 am »

Ок. Не работает ресолвинг. Продолжу по контрольному списку:
1. Имена не разрешаются на какой машине? На шлюзе (zentyal)?
2. При попытке ресолвинга на шлюзе должно выдаваться нечто такое:

Code: [Select]

adm_user@zentyal-server:~$ nslookup rt.ru
Server:         127.0.0.1
Address:        127.0.0.1#53

Non-authoritative answer:
Name:   rt.ru
Address: 109.207.14.4

adm_user@zentyal-server:~$ Если вместо 127.0.0.1 показывает DNS провайдера, значит надо запретить DHCP провайдера выдавать настройки DNS для подключения (явно указать 127.0.0.1) - скорее всего сервер пытается обратиться к DNS одного провайдера, отвечающего только своим клиентам, через подключение другого.
3. Если при попытке ресолвинга на шлюзе выдаёт нечто такое:

Code: [Select]

adm_user@zentyal-server:~$ nslookup ya.ru
Server:         127.0.0.1
Address:        127.0.0.1#53

Non-authoritative answer:
*** Can't find ya.ru: No answer

adm_user@zentyal-server:~$ значит "причастен" модуль сервера DNS - надо разбираться как решать проблему - например, как описывает mobilesfinks

365

Russian / Re: Samba sysvol и recyclebin

« on: November 27, 2013, 10:17:09 am »

Code: [Select]

Samba — пакет программ, которые позволяют обращаться к сетевым дискам и принтерам на различных операционных системах по протоколу SMB/CIFS.   мне  и надо сетевые диски, по сути это и есть NAS мне не нужен контроллер домена который мне подсовывает Zentyal

Приведённая выдержка - о проекте Samba вообще, и справедлива в первую очередь для серверов Samba до версии 4. С 4-й версии самба вобрала в себя огромное число "не своих" функций - она теперь и реестр Windows эмулирует, и DNS-сервер включает и LDAP и много чего ещё. Такое поведение обусловлено тем, что четвёртая ветка самбы эмулирует домен Active Directory, в то время как её предшественники работали на уровне домена NT4 (и ниже). Просто особенность архитектуры.
Хочется использовать файлошары без нагромождений AD - есть zentyal 2 и много других более-менее успешных проектов. Zentyal 3 решили построить на Samba 4 - воля разработчиков; о болезненности использованной четвёртой самбы на форуме высказано много мнений, и Ваше далеко не самое негативное ;-)

366

Russian / Re: Samba sysvol и recyclebin

« on: November 26, 2013, 08:28:45 am »

SAMBA 4 - это не NAS (см. http://ru.wikipedia.org/wiki/NAS ), это как раз-таки контроллер домена, со всеми вытекающими, а файл-шаринг - всего лишь одна из необходимых для этого функций. Нужен NAS - копайте в сторону FreeNAS

367

Russian / Re: Веб-интервейс roundcube недоступен

« on: November 25, 2013, 01:59:41 pm »

Вообще говоря, чтобы работать с круглокубом по ssl, необходимо выполнение нескольких условий:
1. Порт ssl (443) должен быть свободен для web-сервера (apache) - по умолчанию, на этом порту сидит админка zentyal, так что самым разумным будет сначала переместить её на другой порт (Система - Основные - TCP-порт интерфейса администрирования), после чего включить порт ssl вэб-сервера (Веб сервер - Общие настройки конфигурации - Порт SSL); при этом следует учитывать, что доступ к админке zentyal впредь придётся осуществлять по адресу https://zen-ip:7777/ (если админку перенесли на порт 7777)
2. Должны существовать сертификаты ssl (у меня они создались вроде бы сами, но нелишне убедиться в корректности их настройки ("Центр сертификации - Основные" и "Сертификаты служб")
3. Должны быть открыты порты соответствующих служб для тех сетей, откуда предполагается доступ (80 не рекомендую открывать наружу т.к. нешифрованная передача паролей чревата): Файрвол - "Тип правил" - Добавить HTTPS
4. После перезапуска должно работать.
Следует обратить особое внимание, что https://zen-ip/webmail пишется с учётом регистра - например, https://zen-ip/WebMail скажет "404: Не найден"

368

Russian / Re: Веб-интервейс roundcube недоступен

« on: November 22, 2013, 03:03:01 pm »

У Roundcube есть админка?
*Это не издёвка - я действительно о ней ничего не слышал.
**И честно говоря, не представляю, что там можно настраивать.

369

Russian / Re: Вопрос!!! Как склонировать профили фильтра Прокси???

« on: November 22, 2013, 11:06:00 am »

А не проще убрать "некоторые сайты и запреты" из этого фильтра, назначить его "другой группе", а "этой группе" назначить два запрещающих фильтра - "этот облегчённый" и "некоторые сайты и запреты"?

370

Russian / Re: Выдача DHCP по MAC'у

« on: November 22, 2013, 09:05:00 am »

Странно... у меня всё работает (и конфиг включает все объекты групп статических адресов).
А настройки точно сохранены? Просто после ручной правки конфигов, все правки "слетают" после сохранения из вэбморды...

371

Russian / Re: Прокси - решение проблем

« on: November 22, 2013, 08:55:34 am »

Предложить icq подключаться не на порт 5190, а на 80 или 443 - лет 10 назад помогало.
Или внести порт 5190 в список разрешённых на прокси.

372

Russian / Re: проблема с dns

« on: November 21, 2013, 07:46:12 am »

Чтобы не напрягать телепатические способности, хотелось бы уточнить детали:
- что значит "нет DNS"?
- какие настройки (в частности, DNS) на zentyal?
- какие модули (причастные к проблеме) установлены?

373

Russian / Re: Подскажите что за глюк Samba на пустом месте.

« on: November 14, 2013, 11:41:57 am »

В районе этой ссылки:
http://forum.zentyal.org/index.php?topic=18104.60
народ уже битый месяц "танцует странные танцы" вокруг анонимного доступа к шарам на zentyal... пока, судя по ветке, безуспешно.

374

Russian / Re: Миграция с 3.0 на 3.2

« on: November 13, 2013, 08:35:16 am »

У кого 3.2 в продакшене?
Все работает или нет?

У меня 3.2 в продакшене, но он отвечает только за авторизацию - шары лежат на FreeNAS, давно и успешно авторизующемся у zentyal.
Мне не понравилась реализация модуля samba-шар изначально, как вижу, не зря.

375

Russian / Re: Ldap адрессная книга

« on: November 12, 2013, 07:44:26 am »

К стати, для авторизации пользователя в ldap-сервере для чтения, вполне хватает указать имя пользователя как "EXAMPLE\test" вместо "полного пути" (DN), который может меняться для домена - в этом случае будет использоваться авторизация в kerberos realm.
В своей статье http://www.bubnov.su/stati/avtomaticeskaa-nastrojka-poctovogo-klienta-thunderbird-v-domene я как раз описал настройку доступа к почтовому и ldap-серверу zentyal3.
И да, порт всё же лучше использовать 389 (стандартный), но иметь ввиду, что структура данных ldap на 389 и 390 портах очень сильно отличается - это легко проверить используя любой ldap-обозреватель.