Show Posts
This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.
Pages: [1]
1
Spanish / Proxy transparente escucha en interfaces TAP
« on: July 30, 2014, 01:25:40 pm »
Buenas,
Me he dado cuenta de que una vez configurado el servicio VPN y levantado el proxy transparente escucha en esa interface. Esto es un problema si dentro de la red local tengo publicados servidores http.
¿Es posible determinar en qué interfaces escucha el proxy transparente?
La única solución que he encontrado por el momento es deshabilitar el proxy transparente y de esta forma, los roadwarriors pueden acceder a los servicios webs publicados internamente.
¿Alguna idea?
Me he dado cuenta de que una vez configurado el servicio VPN y levantado el proxy transparente escucha en esa interface. Esto es un problema si dentro de la red local tengo publicados servidores http.
¿Es posible determinar en qué interfaces escucha el proxy transparente?
La única solución que he encontrado por el momento es deshabilitar el proxy transparente y de esta forma, los roadwarriors pueden acceder a los servicios webs publicados internamente.
¿Alguna idea?
2
Installation and Upgrades / Proxy enable on TAP Interface
« on: July 30, 2014, 01:20:13 pm »
Hi there!
I've noticed that once you've configured the VPN module the transparent proxy listen at the tap interface too. That's a problem if you have yo access to internal web servers because the proxy doesn't seems to works as an inverse proxy.
I've resolved this issue just disabling the transparent proxy at all.
Is there any way to configure the proxy for no to run on TAP interfaces?
Thanks!
I've noticed that once you've configured the VPN module the transparent proxy listen at the tap interface too. That's a problem if you have yo access to internal web servers because the proxy doesn't seems to works as an inverse proxy.
I've resolved this issue just disabling the transparent proxy at all.
Is there any way to configure the proxy for no to run on TAP interfaces?
Thanks!
3
Spanish / Problemas con la resolución DNS
« on: July 28, 2014, 09:08:53 pm »
Buenas,
Tengo un servidor con Zentyal 3.5, con los paquetes de firewall, proxy, dns, usuarios y grupos y me encuentro el siguiente problema:
Si configuro el interface externo como dhcp todo funciona, es decir, tengo resolución dns desde el servidor y desde la red interna pero, si configuro el interface externo con una ip estática pierdo la resolución dns. El resto de servicios sigue funcionando, es decir, puedo hacer ping a ips de internet o acceder a servidores web usando la ip.
En ambos casos el archivo resolv.conf tiene el mismo contenido. He probado usando reenviadores y sin usarlos. He probado habilitando el proxy transparente de dns y sin él.
He probado reinstalando, actualizando los paquetes de zentyal y actualizando todos los paquetes y nada.
No hay ninguna regla en el firewall y sin embargo, cuando vuelvo a configurar el interface como dhcp vuelve a funcionar.
A alguien más le ha pasado?
Un saludo.
Tengo un servidor con Zentyal 3.5, con los paquetes de firewall, proxy, dns, usuarios y grupos y me encuentro el siguiente problema:
Si configuro el interface externo como dhcp todo funciona, es decir, tengo resolución dns desde el servidor y desde la red interna pero, si configuro el interface externo con una ip estática pierdo la resolución dns. El resto de servicios sigue funcionando, es decir, puedo hacer ping a ips de internet o acceder a servidores web usando la ip.
En ambos casos el archivo resolv.conf tiene el mismo contenido. He probado usando reenviadores y sin usarlos. He probado habilitando el proxy transparente de dns y sin él.
He probado reinstalando, actualizando los paquetes de zentyal y actualizando todos los paquetes y nada.
No hay ninguna regla en el firewall y sin embargo, cuando vuelvo a configurar el interface como dhcp vuelve a funcionar.
A alguien más le ha pasado?
Un saludo.
4
Installation and Upgrades / Strange Issue with DNS and Zentyal 3.5
« on: July 28, 2014, 09:04:55 pm »
I'm was wondering if any of you have seen this issue before.
I've installed a Zentyal 3.5 with proxy, firewall, network management and of course users'n groups.
Well, If I configure the external interface as a DHCP client if receives an ip and all works fine. I've configured the dns server with a forwarder only. With DHCP I can query dns servers using dig or nslookup from the Zentyal server or from the internal networks. But.. and here comes what is making me insane, if I configure the external network with a static ip there is no more dns resolution, no matters if I'm at the internal lan or just at the server. No dig or nslookup commands works.
Theres NO firewall rules, I can ping any ip on the internet and I can connect to web servers using their ip address but not with the fqdn.
I'm sure there's something bad in my configuration but I can't find it.
I've tried upgrading all the modules, upgrading all the packets and reinstalling with no success.
But, no matter what, if I choose DHCP instead of static ip address all works again. In both cases the resolv.conf uses the 127.0.0.1 as nameserver.
Any idea??
I've installed a Zentyal 3.5 with proxy, firewall, network management and of course users'n groups.
Well, If I configure the external interface as a DHCP client if receives an ip and all works fine. I've configured the dns server with a forwarder only. With DHCP I can query dns servers using dig or nslookup from the Zentyal server or from the internal networks. But.. and here comes what is making me insane, if I configure the external network with a static ip there is no more dns resolution, no matters if I'm at the internal lan or just at the server. No dig or nslookup commands works.
Theres NO firewall rules, I can ping any ip on the internet and I can connect to web servers using their ip address but not with the fqdn.
I'm sure there's something bad in my configuration but I can't find it.
I've tried upgrading all the modules, upgrading all the packets and reinstalling with no success.
But, no matter what, if I choose DHCP instead of static ip address all works again. In both cases the resolv.conf uses the 127.0.0.1 as nameserver.
Any idea??
5
Installation and Upgrades / Problem with dropped packets at Zentyal 3.5
« on: July 09, 2014, 09:48:46 pm »
Hi everyone!
I have the following problem with Zentyal 3.5. The network is as shown:
<-------WAN-------> 192.168.1.2/24 [ZENTYAL] 10.1.2.4/16 <-------LAN------>10.1.3.2/16[ROUTER]10.2.0.1/16<-----SUBNET----->
The problem is that I can ping Zentyal from the 10.2.0.0/16 subnet and go to internet, etc. But I can't ping any pc on the Zentyal Subnet 10.1.2.0/16.
When I take a look to the logs I see that ipsec is discarding packet:
zentyal-firewall drop IN=eth2 OUT=eth2 SRC=10.1.2.10 DST=10.2.0.10 PROTO=ICMP MARK=0x1
There's only one rule at the firewall : permit any to any.
It looks like there's no way that a packet came in and out by the same interface. It's what it looks like. If I configure a route un my pc like this: route add 10.2.0.0/12 gw 10.1.3.2 then it works perfectly. That means the traffic is not going across Zentyal.
Any idea?
I have the following problem with Zentyal 3.5. The network is as shown:
<-------WAN-------> 192.168.1.2/24 [ZENTYAL] 10.1.2.4/16 <-------LAN------>10.1.3.2/16[ROUTER]10.2.0.1/16<-----SUBNET----->
The problem is that I can ping Zentyal from the 10.2.0.0/16 subnet and go to internet, etc. But I can't ping any pc on the Zentyal Subnet 10.1.2.0/16.
When I take a look to the logs I see that ipsec is discarding packet:
zentyal-firewall drop IN=eth2 OUT=eth2 SRC=10.1.2.10 DST=10.2.0.10 PROTO=ICMP MARK=0x1
There's only one rule at the firewall : permit any to any.
It looks like there's no way that a packet came in and out by the same interface. It's what it looks like. If I configure a route un my pc like this: route add 10.2.0.0/12 gw 10.1.3.2 then it works perfectly. That means the traffic is not going across Zentyal.
Any idea?
6
Installation and Upgrades / Zentyal 3.5 Proxy extensions filter
« on: July 09, 2014, 09:40:48 pm »
Hi everyone!
I'm messed up with Zentyal 3.5. I'm migrating a 2.2 versión and there's something that I can do in 2.2 but I can't find the way to figure it out in 3.5.
In Zentyal 2.2 I can deny exe extension but, I can create a domain policy at the filter profile with "always permit" at microsoft domain. Then, users can't download exe files except from the microsoft site.
In Zentyal 3.5 I can`t do it. Once I deny the exe extension there's no more exe downloads instead you configure a domain list with the permit option.
Is that the way it works now? Is there any possibility to filter exe extension except for severals domains?
Thanks!
I'm messed up with Zentyal 3.5. I'm migrating a 2.2 versión and there's something that I can do in 2.2 but I can't find the way to figure it out in 3.5.
In Zentyal 2.2 I can deny exe extension but, I can create a domain policy at the filter profile with "always permit" at microsoft domain. Then, users can't download exe files except from the microsoft site.
In Zentyal 3.5 I can`t do it. Once I deny the exe extension there's no more exe downloads instead you configure a domain list with the permit option.
Is that the way it works now? Is there any possibility to filter exe extension except for severals domains?
Thanks!
7
Spanish / Zentyal 3.5 Proxy - Filtrado de extensiones
« on: July 09, 2014, 02:17:37 pm »
Buenas a tod@s,
¿Es posible limitar la descarga de ficheros con extensión EXE sólo a determinados dominios? En anteriores versiones era posible restringir la descarga de este tipo de archivos en el perfil default y luego podías añadir excepciones para determinados dominios marcando la opción permitir siempre.
En Zentyal 3.5 no parece existir esta opción. La idea es no permitir la descarga de ejecutables EXE excepto de determinados dominios.
¿Es posible?
Un saludo.
¿Es posible limitar la descarga de ficheros con extensión EXE sólo a determinados dominios? En anteriores versiones era posible restringir la descarga de este tipo de archivos en el perfil default y luego podías añadir excepciones para determinados dominios marcando la opción permitir siempre.
En Zentyal 3.5 no parece existir esta opción. La idea es no permitir la descarga de ejecutables EXE excepto de determinados dominios.
¿Es posible?
Un saludo.
8
Spanish / Problema con paquetes descartados en Zentyal 3.5
« on: July 07, 2014, 12:51:29 pm »
Buenas a tod@s,
Tengo la siguiente duda con Zentyal 3.5. La red es la siguiente:
<-------WAN-------> 192.168.1.2/24 [ZENTYAL] 10.1.2.4/16 <-------LAN------>10.1.3.2/16[ROUTER]10.2.0.1/16<-----SUBRED----->
El caso es el siguiente, desde un pc en la subred 10.2.0.0/16 puedo hacer ping a Zentyal y navegar por internet, etc. Sin embargo no puedo hacer ping a ningún equipo que se encuentre en la subred 10.1.2.0/16.
Cuando reviso el log del firewall veo que los paquetes están siendo descartados:
zentyal-firewall drop IN=eth2 OUT=eth2 SRC=10.1.2.10 DST=10.2.0.10 PROTO=ICMP MARK=0x1
La única regla que tengo en el firewall para redes internas es permitir todo a todo.
¿No es posible hacer que un paquete entre y salga por el mismo interface? Tiene toda la pinta de ir por ahí los tiros.
Tengo la siguiente duda con Zentyal 3.5. La red es la siguiente:
<-------WAN-------> 192.168.1.2/24 [ZENTYAL] 10.1.2.4/16 <-------LAN------>10.1.3.2/16[ROUTER]10.2.0.1/16<-----SUBRED----->
El caso es el siguiente, desde un pc en la subred 10.2.0.0/16 puedo hacer ping a Zentyal y navegar por internet, etc. Sin embargo no puedo hacer ping a ningún equipo que se encuentre en la subred 10.1.2.0/16.
Cuando reviso el log del firewall veo que los paquetes están siendo descartados:
zentyal-firewall drop IN=eth2 OUT=eth2 SRC=10.1.2.10 DST=10.2.0.10 PROTO=ICMP MARK=0x1
La única regla que tengo en el firewall para redes internas es permitir todo a todo.
¿No es posible hacer que un paquete entre y salga por el mismo interface? Tiene toda la pinta de ir por ahí los tiros.
9
Spanish / Consulta sobre interfaces WAN y direccionamiento público.
« on: June 04, 2014, 04:09:32 pm »
Saludos a todos,
Tengo la siguiente duda:
Tenemos una salida a Internet con un pool de direcciones públicas. En Zentyal añadimos esas direcciones como vitruales al interface WAN. Todas las conexiones que cruzan Zentyal hacia el exterior salen con la ip de origen de Zentyal pero... ¿podría hacer que determinados equipos de la LAN, cuando salen al exterior a través del interface WAN, salieran con una determinada ip del pool?
Por ejemplo, si tengo un Zentyal con tres interfaces, WAN, DMZ y LAN. Puedo redirigir servicios desde la WAN hacia la DMZ usando todas las ips pero cuando un servidor de la DMZ sale a Internet siempre aparece con la primera ip del rango público que se configuró en Zentyal.
Podríamos configurar en modo bridged el interface WAN y DMZ y que compartan el mismo direccionamiento lógico?
Un saludo!
Tengo la siguiente duda:
Tenemos una salida a Internet con un pool de direcciones públicas. En Zentyal añadimos esas direcciones como vitruales al interface WAN. Todas las conexiones que cruzan Zentyal hacia el exterior salen con la ip de origen de Zentyal pero... ¿podría hacer que determinados equipos de la LAN, cuando salen al exterior a través del interface WAN, salieran con una determinada ip del pool?
Por ejemplo, si tengo un Zentyal con tres interfaces, WAN, DMZ y LAN. Puedo redirigir servicios desde la WAN hacia la DMZ usando todas las ips pero cuando un servidor de la DMZ sale a Internet siempre aparece con la primera ip del rango público que se configuró en Zentyal.
Podríamos configurar en modo bridged el interface WAN y DMZ y que compartan el mismo direccionamiento lógico?
Un saludo!
10
Spanish / Algunos Registros del servicio DHCP no aparecen.
« on: February 23, 2013, 10:07:20 am »
Buenas a tod@s,
Efectivamente se trata de un BUG.
En el registro del DHCP sólo se muestran aquellas ips concedidas a clientes tras los cuales no aparece un nombre de máquina. Así pues la petición:
Feb 21 21:38:57 eBox dhcpd: DHCPREQUEST for 192.168.1.42 from 1c:75:08:1e:18:05 via eth0
Feb 21 21:38:57 eBox dhcpd: DHCPACK on 192.168.1.42 to 1c:75:08:1e:18:05 via eth0
Queda registrada mientras que las peticiones de este tipo:
Feb 21 21:38:57 eBox dhcpd: DHCPREQUEST for 192.168.1.169 from 64:e6:82:b2:72:ab (jzanellis-iPad) via eth0
Feb 21 21:38:57 eBox dhcpd: DHCPACK on 192.168.1.169 to 64:e6:82:b2:72:ab (jzanellis-iPad) via eth0
No lo hacen.
Tiene toda la pinta de que el demonio que va leyendo el syslog buscando entradas relativas al DHCP pasa por alto estas entradas.
¿Algún gurú de Zentyal es capaz de aportar una solución?
Gracias a tod@s!!
Efectivamente se trata de un BUG.
En el registro del DHCP sólo se muestran aquellas ips concedidas a clientes tras los cuales no aparece un nombre de máquina. Así pues la petición:
Feb 21 21:38:57 eBox dhcpd: DHCPREQUEST for 192.168.1.42 from 1c:75:08:1e:18:05 via eth0
Feb 21 21:38:57 eBox dhcpd: DHCPACK on 192.168.1.42 to 1c:75:08:1e:18:05 via eth0
Queda registrada mientras que las peticiones de este tipo:
Feb 21 21:38:57 eBox dhcpd: DHCPREQUEST for 192.168.1.169 from 64:e6:82:b2:72:ab (jzanellis-iPad) via eth0
Feb 21 21:38:57 eBox dhcpd: DHCPACK on 192.168.1.169 to 64:e6:82:b2:72:ab (jzanellis-iPad) via eth0
No lo hacen.
Tiene toda la pinta de que el demonio que va leyendo el syslog buscando entradas relativas al DHCP pasa por alto estas entradas.
¿Algún gurú de Zentyal es capaz de aportar una solución?
Gracias a tod@s!!
11
Spanish / Error en Consulta de registros del servicio DHCP
« on: February 20, 2013, 10:45:57 am »
Buenas,
Buceando en el foro encontré este POST: http://forum.zentyal.org/index.php/topic,3341.new.html#new
En él un usuario comenta que tiene problemas consultando los registros del servicio DHCP, en el cual NO aparecen todas las concesiones. A mi me sucede exactamente igual. A pesar de que en el syslog se muestran correctamente todas las transacciones sólo determinadas ips aparecen en los registros. No obstante, en el DashBoard aparecen todas las ips correctamente concedidas.
El equipo actualmente sólo tiene los módulos de Proxy HTTP en modo transparente y Firewall.
¿A alguno más le ocurre este problema?
La versión en la que tenemos el problema es eBox 1.2.3
Un saludo.
Buceando en el foro encontré este POST: http://forum.zentyal.org/index.php/topic,3341.new.html#new
En él un usuario comenta que tiene problemas consultando los registros del servicio DHCP, en el cual NO aparecen todas las concesiones. A mi me sucede exactamente igual. A pesar de que en el syslog se muestran correctamente todas las transacciones sólo determinadas ips aparecen en los registros. No obstante, en el DashBoard aparecen todas las ips correctamente concedidas.
El equipo actualmente sólo tiene los módulos de Proxy HTTP en modo transparente y Firewall.
¿A alguno más le ocurre este problema?
La versión en la que tenemos el problema es eBox 1.2.3
Un saludo.
12
Installation and Upgrades / Problem using Multigateways rules
« on: January 20, 2011, 09:29:51 am »
Hello,
We have a the following scene:
An ebox 1.2.3 installation with to gateways:
A.- 192.168.100.1 ADSL standar connection
B.- 192.168.200.1 ADSL simetryc connection
We also have severals subnetwork from severals branch offices wich can reach the eBox platform and can access to the web
We have no traffic balance active. But we have configurated multigateways rules as follow:
web server any traffic gateway B
mail server any traffic gateway B
any any traffic gateway A
Well it seems it works but only a the main subnetwork. I mean, any pc at the main subnetwork 192.168.0.0/24 goes to internet by the A gateway and the internet servers goes and answer by the B. But the equipments beyond the main office goes to internet by the B gateway instead of A.
The routers that connects the branch office to the main does not make NAT or nay kind of headers modification. We've have take severals traffics captures on the LAN interface of eBox and we haven't see anything suspicius.
We have take a look inside the iptables rules and all seems to be ok.(see the output below)
We have created a rule for an equipment at one of the subnetwork with no results. (192.168.7.101)
The only way to make it run is activating the traffic balance. If we do that using differents weights ( A 15 - B 1) the equipments goes to internet by the A gateway but sometime goes across B.
It seems a iptables limitation. Do you have any idea about what´s going on?
- iptables output -
Chain PREROUTING (policy ACCEPT 9351K packets, 6029M bytes)
pkts bytes target prot opt in out source destination
1872 573K CONNMARK all -- * * 0.0.0.0/0 0.0.0.0/0 CONNMARK restore
31 2571 MARK all -- * * 0.0.0.0/0 0.0.0.0/0 MARK match 0x0/0xff MAC 00:23:F8:9C:78:12 MARK set 0x1
43 3211 MARK all -- * * 0.0.0.0/0 0.0.0.0/0 MARK match 0x0/0xff MAC 00:24:C4:BC:8B:71 MARK set 0x2
0 0 MARK all -- eth2 * 192.168.7.101 0.0.0.0/0 MARK match 0x0/0xff MARK set 0x1
0 0 MARK all -- eth2 * 192.168.0.47 0.0.0.0/0 MARK match 0x0/0xff MARK set 0x2
0 0 MARK all -- eth2 * 192.168.0.42 0.0.0.0/0 MARK match 0x0/0xff MARK set 0x2
0 0 MARK all -- eth2 * 192.168.0.20 0.0.0.0/0 MARK match 0x0/0xff MARK set 0x2
1 134 MARK all -- eth2 * 192.168.0.3 0.0.0.0/0 MARK match 0x0/0xff MARK set 0x2
0 0 MARK all -- eth2 * 192.168.0.4 0.0.0.0/0 MARK match 0x0/0xff MARK set 0x2
13 1049 MARK all -- eth2 * 0.0.0.0/0 0.0.0.0/0 MARK match 0x0/0xff MARK set 0x1
5 519 MARK all -- * * 0.0.0.0/0 0.0.0.0/0 MARK match 0x0/0xff MARK set 0x1
1617 508K CONNMARK all -- * * 0.0.0.0/0 0.0.0.0/0 CONNMARK save
We have a the following scene:
An ebox 1.2.3 installation with to gateways:
A.- 192.168.100.1 ADSL standar connection
B.- 192.168.200.1 ADSL simetryc connection
We also have severals subnetwork from severals branch offices wich can reach the eBox platform and can access to the web
We have no traffic balance active. But we have configurated multigateways rules as follow:
web server any traffic gateway B
mail server any traffic gateway B
any any traffic gateway A
Well it seems it works but only a the main subnetwork. I mean, any pc at the main subnetwork 192.168.0.0/24 goes to internet by the A gateway and the internet servers goes and answer by the B. But the equipments beyond the main office goes to internet by the B gateway instead of A.
The routers that connects the branch office to the main does not make NAT or nay kind of headers modification. We've have take severals traffics captures on the LAN interface of eBox and we haven't see anything suspicius.
We have take a look inside the iptables rules and all seems to be ok.(see the output below)
We have created a rule for an equipment at one of the subnetwork with no results. (192.168.7.101)
The only way to make it run is activating the traffic balance. If we do that using differents weights ( A 15 - B 1) the equipments goes to internet by the A gateway but sometime goes across B.
It seems a iptables limitation. Do you have any idea about what´s going on?
- iptables output -
Chain PREROUTING (policy ACCEPT 9351K packets, 6029M bytes)
pkts bytes target prot opt in out source destination
1872 573K CONNMARK all -- * * 0.0.0.0/0 0.0.0.0/0 CONNMARK restore
31 2571 MARK all -- * * 0.0.0.0/0 0.0.0.0/0 MARK match 0x0/0xff MAC 00:23:F8:9C:78:12 MARK set 0x1
43 3211 MARK all -- * * 0.0.0.0/0 0.0.0.0/0 MARK match 0x0/0xff MAC 00:24:C4:BC:8B:71 MARK set 0x2
0 0 MARK all -- eth2 * 192.168.7.101 0.0.0.0/0 MARK match 0x0/0xff MARK set 0x1
0 0 MARK all -- eth2 * 192.168.0.47 0.0.0.0/0 MARK match 0x0/0xff MARK set 0x2
0 0 MARK all -- eth2 * 192.168.0.42 0.0.0.0/0 MARK match 0x0/0xff MARK set 0x2
0 0 MARK all -- eth2 * 192.168.0.20 0.0.0.0/0 MARK match 0x0/0xff MARK set 0x2
1 134 MARK all -- eth2 * 192.168.0.3 0.0.0.0/0 MARK match 0x0/0xff MARK set 0x2
0 0 MARK all -- eth2 * 192.168.0.4 0.0.0.0/0 MARK match 0x0/0xff MARK set 0x2
13 1049 MARK all -- eth2 * 0.0.0.0/0 0.0.0.0/0 MARK match 0x0/0xff MARK set 0x1
5 519 MARK all -- * * 0.0.0.0/0 0.0.0.0/0 MARK match 0x0/0xff MARK set 0x1
1617 508K CONNMARK all -- * * 0.0.0.0/0 0.0.0.0/0 CONNMARK save
Pages: [1]