Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.


Messages - njbmattos

Pages: [1]
1
Portuguese / Dificuldade com roteamento no Zentyal
« on: May 17, 2011, 03:30:14 pm »
Galera, bom dia.

Já passei por algumas supresas com o Zentyal e consegui saná-las com a ajuda do Fórum e algumas na raça mesmo.
Mas agora preciso da ajuda do Fórum na tentativa de esclarecer este cenário.

Tenho uma rede MPLS em Grupo de empresas, uma das filiais que implantei o Zentyal está interligada com a Matriz através de um circuito MPLS.
Dentro da filial tenho um router cisco IP na eth0/1 192.168.2.254/24 que possui todas as rotas para chegar na matriz ou em outras filiais.

Implantei o Zentyal da seguinte forma:

- Eth0: IP público se comunica com a Internet funcionando certinho.

- Eth1: IP privado 192.168.2.253/24 ligado ao switch, e adicionei no Zentyal todas rotas as para chegar na rede 192.168.1.0/24, 192.168.3.0/24 e 192.168.4.0/24, todas essas rotas apontam para o IP 192.168.2.254 do roteador cisco que está ligado tb no mesmo switch. Detalhe, o gateway das estações de trabalho apontam para o Zentyal 192.168.2.253/24.

Das rotas citadas acima a mais importante é a 192.168.0.1/24, pois é onde o sistema da empresa fica hospedado. Com tudo configurado, surge o problema.

De uma estação dentro da rede 192.168.2.0/24 preciso chegar até a rede 192.168.1.0/24 para acessar o sistema em um servidor. Se eu pingar desta estação que está dentro da rede 192.168.2.0/24 para o servidor na que está na rede 192.168.1.0/24 funciona certinho.

Da mesma estação dentro da rede 192.168.2.0/24 ao tentar acessar, por exemplo um serviço Terminal Services na rede 192.168.1.0/24 não estabelece a comunicação com o servidor. Se dou um telnet para o servidor que está na rede 192.168.1.0/24 na porta 3389 ele chega abrir a sessão do serviço mas não consegue estabelecer e dá erro.

Esta estação que eu estava fazendo testes na rede 192.168.2.0/24 estava com o Firewall do Windows habilitado, quando eu desabilitei funcionou, consegui chegar até o servidor na rede 192.168.1.0/24. Achei estranho, olhei as rotas na estação de trabalho e havia uma rota exclusiva que apontava para o ip do servidor na rede 192.168.1.0/24.

Habilitei o Firewall da estação novamente e reiniciei a estação. Não consegui chegar no servidor na rede 192.168.1.0/24 olhei as rotas na estação e não havia nada. Dei uma pesquisada no Google e habilitei dentro do Firewall da estação, no Protocolo ICMP: Permitir solicitação de roteador de entrada e Permitir redirecionamento. Pronto a funcionou.

Só que não posso ficar indo estação por estação habilitando o protocolo ICMP para fazer redirecionamento. Em outros cenários eu tenho o roteador + o Firewall (com outro SO opensource) e estão no mesmo switch e não foi preciso ativar ICMP para resolver o problema.

A equipe do Forúm pode me ajudar a esclarecer?

Abraços,

Att.
Nelson Mattos

2
Portuguese / Re: Bloquear ICMP (PING)
« on: May 08, 2011, 12:55:10 am »
Valeu, obrigado pelo retorno.

Att.
Nelson Mattos.

3
Portuguese / Re: TIMEOUT na interface de gerenciamento do Zentyal
« on: May 08, 2011, 12:51:14 am »
Estou acrescentando mais alguns dados para vocês analisarem. Desculpem pelo tamanho, mas preciso de ajuda urgente.

TUDO ESTAVA FUNCIONANDO,  FUI SOLICITAR UMA NAVEGACAO DEU O TIMEOUT, EM SEGUIDA TENTO PINGAR O SERVIDOR, MAS NAO RESPONDE.
NO CONSOLE DO ZENTYAL TUDO NORMAL, MAS REMOTAMENTE NAO RESPONDE.

***********************************************************************************************
AQUI ESTOU PINGANDO DA ESTACAO QUE ESTAVA ACESSANDO A INTERFACE WEB REMOTAMENTE E DERREPENTE TIMEOUT.

>ping 192.168.2.253 -t

Disparando 192.168.2.253 com 32 bytes de dados:
Esgotado o tempo limite do pedido.
Esgotado o tempo limite do pedido.
Esgotado o tempo limite do pedido.
Esgotado o tempo limite do pedido.
Esgotado o tempo limite do pedido.
Esgotado o tempo limite do pedido.
Esgotado o tempo limite do pedido.
Esgotado o tempo limite do pedido.
Esgotado o tempo limite do pedido.
Esgotado o tempo limite do pedido.
Esgotado o tempo limite do pedido.

Estatísticas do Ping para 192.168.2.253:
    Pacotes: Enviados = 44, Recebidos = 0, Perdidos = 44 (100% de
             perda),
***********************************************************************************************
>ipconfig

Configuração de IP do Windows

Adaptador Ethernet Conexão local:

   Sufixo DNS específico de conexão. . . . . . :
   Endereço IPv6 de link local . . . . . . . . : fe80::251a:3eef:f519:f113%11
   Endereço IPv4. . . . . . . .  . . . . . . . : 192.168.2.10
   Máscara de Sub-rede . . . . . . . . . . . . : 255.255.255.0
   Gateway Padrão. . . . . . . . . . . . . . . : 192.168.2.253

***********************************************************************************************

APROVEITEI E ACESSEI VIA SSH PEGUEI OS LOGS DO KERN.LOG E ELE ESTAVA DROPANDO AS REQUISIÇOES.

DROPANDO ICMP

May  7 19:08:26 gw7104 kernel: [13872.010024] ebox-firewall drop IN=eth0 OUT= MAC=00:27:19:f1:f8:22:1c:6f:65:5c:ca:48:08:00 SRC=192.168.2.10 DST=192.168.2.253 LEN=60 TOS=0x00 PREC=0x00 TTL=128 ID=27907 PROTO=ICMP TYPE=8 CODE=0 ID=1 SEQ=45338 MARK=0x1
May  7 19:08:31 gw7104 kernel: [13877.008416] ebox-firewall drop IN=eth0 OUT= MAC=00:27:19:f1:f8:22:1c:6f:65:5c:ca:48:08:00 SRC=192.168.2.10 DST=192.168.2.253 LEN=60 TOS=0x00 PREC=0x00 TTL=128 ID=27908 PROTO=ICMP TYPE=8 CODE=0 ID=1 SEQ=45339 MARK=0x1
May  7 19:08:36 gw7104 kernel: [13882.008721] ebox-firewall drop IN=eth0 OUT= MAC=00:27:19:f1:f8:22:1c:6f:65:5c:ca:48:08:00 SRC=192.168.2.10 DST=192.168.2.253 LEN=60 TOS=0x00 PREC=0x00 TTL=128 ID=27909 PROTO=ICMP TYPE=8 CODE=0 ID=1 SEQ=45340 MARK=0x1
May  7 19:09:15 gw7104 kernel: [13920.973050] ebox-firewall drop IN=eth0 OUT= MAC=00:27:19:f1:f8:22:1c:6f:65:5c:ca:48:08:00 SRC=192.168.2.10 DST=192.168.2.253 LEN=60 TOS=0x00 PREC=0x00 TTL=128 ID=27910 PROTO=ICMP TYPE=8 CODE=0 ID=1 SEQ=45341 MARK=0x1
May  7 19:10:13 gw7104 kernel: [13979.574743] ebox-firewall drop IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:1c:6f:65:5c:ca:48:08:00 SRC=192.168.2.10 DST=192.168.2.255 LEN=237 TOS=0x00 PREC=0x00 TTL=128 ID=27918 PROTO=UDP SPT=138 DPT=138 LEN=217 MARK=0x1
May  7 19:10:13 gw7104 kernel: [13979.574758] ebox-firewall drop IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:1c:6f:65:5c:ca:48:08:00 SRC=192.168.2.10 DST=192.168.2.255 LEN=237 TOS=0x00 PREC=0x00 TTL=128 ID=27918 PROTO=UDP SPT=138 DPT=138 LEN=217 MARK=0x1


DROPANDO 443

May  7 19:33:26 gw7104 kernel: [15372.913496] ebox-firewall drop IN=eth0 OUT= MAC=00:27:19:f1:f8:22:1c:6f:65:5c:ca:48:08:00 SRC=192.168.2.10 DST=192.168.2.253 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=29031 DF PROTO=TCP SPT=52763 DPT=443 WINDOW=8192 RES=0x00 SYN URGP=0 MARK=0x1
May  7 19:33:29 gw7104 kernel: [15375.914648] ebox-firewall drop IN=eth0 OUT= MAC=00:27:19:f1:f8:22:1c:6f:65:5c:ca:48:08:00 SRC=192.168.2.10 DST=192.168.2.253 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=29048 DF PROTO=TCP SPT=52763 DPT=443 WINDOW=8192 RES=0x00 SYN URGP=0 MARK=0x1
May  7 19:33:35 gw7104 kernel: [15381.914863] ebox-firewall drop IN=eth0 OUT= MAC=00:27:19:f1:f8:22:1c:6f:65:5c:ca:48:08:00 SRC=192.168.2.10 DST=192.168.2.253 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=29051 DF PROTO=TCP SPT=52763 DPT=443 WINDOW=8192 RES=0x00 SYN URGP=0 MARK=0x1

***********************************************************************************************

DETALHE IMPORTANTE:  UMA OUTRA ESTACAO AO MEU LADO QUE USO PARA TESTES, ELA CONSEGUE ACESSAR NORMALMENTE A INTERFACE REMOTA, LOGO AO REALIZAR ALGUMAS NAVEGAÇÕES, TIPO FORÇAR ALGUNS TESTES DE ACESSO, ELA TAMBÉM PERDE A CONEXAO 443 E APRESENTA TIMEOUT.

SO NAO PEGUEI OS LOGS COMO FIZ ACIMA.

***********************************************************************************************

DERREPENTE O SERVIDOR VOLTA A RESPONDER AO PING E ACESSAR A INTERFACE WEB REMOTAMENTE.

>ping 192.168.2.253 -t

Disparando 192.168.2.253 com 32 bytes de dados:
Esgotado o tempo limite do pedido.
Resposta de 192.168.2.253: bytes=32 tempo<1ms TTL=64
Resposta de 192.168.2.253: bytes=32 tempo<1ms TTL=64
Resposta de 192.168.2.253: bytes=32 tempo<1ms TTL=64
Resposta de 192.168.2.253: bytes=32 tempo<1ms TTL=64
Resposta de 192.168.2.253: bytes=32 tempo<1ms TTL=64
Resposta de 192.168.2.253: bytes=32 tempo<1ms TTL=64
Resposta de 192.168.2.253: bytes=32 tempo<1ms TTL=64

Estatísticas do Ping para 192.168.2.253:
    Pacotes: Enviados = 8, Recebidos = 7, Perdidos = 1 (12% de
             perda),
Aproximar um número redondo de vezes em milissegundos:
    Mínimo = 0ms, Máximo = 0ms, Média = 0ms
***********************************************************************************************

SE EU FORÇAR E REINICIAR ELE VOLTA OPERAR NORMALMENTE.

ABRAÇOS A TODOS.

4
Portuguese / TIMEOUT na interface de gerenciamento do Zentyal
« on: May 07, 2011, 10:28:26 pm »
Galera,

O Zentyal está apresentando tela de TIMEOUT ao acessar remotamente a Interface Gerenciamento WEB, simplesmente ocorre ao clicar nas opções disponíveis no meu CORE. Estou utilizando um Core 2 Duo, com 4 GB, HD 500 GB.
Na console esse TIMEOUT não ocorre.  O mais interessante é que não estou aplicando nada, simplesmente ao clicar em algumas opções, ele dá um delay, ai pode esperar que o TIMEOUT aparece.
Peguei uma outra estação nova do mesmo porte um Phenom X2, 4 GB, HD 500 e ocorre a mesma coisa.
A versão do meu ISO é 2.0.3.
No cosole veriquei os logs do firewall, o interessante é que ele fica dropando a 443 desta estação, e depois de um tempo ou se eu reiniciar o server, a estação pinga o servidor, e também permite acessar a Interface remotamente.
Estou utilizando os recursos de Firewall e Proxy.
Segue uma imagem em anexo do TIMEOUT.
Preciso de ajuda para sanar este problema, pois preciso colocar um servidor deste em produção.

Abraços,

Att.
Nelson Mattos




5
Galera ninguém passou por isso?

Abraços,

Att.
Nelson Mattos

6
Portuguese / Bloquear ICMP (PING) - [RESOLVIDO]
« on: April 27, 2011, 07:41:03 pm »
Galera, tudo tranquilo.

Como posso proceder para bloquear o PING em uma interface interna e externa dentro do Firewall do zentyal?

Abraços,

Att.
Nelson Mattos

7
Olá , boa tarde a todos.

Sou iniciante na ferramenta Zentyal, e não estou encontrando solução para tais bloqueios inesperados, preciso da ajuda do forum.

Baixei a versão Zentyal 2.0-3 32bit installer, logo realizei a instalação configurei as funcionalidades em servidor com os pré-requisitos + 2 NIC para testes. As duas Placas estão ligadas a  um switch e duas estações com os IPs na mesma rede para testes.

Módulos habilitados:
- zentyal-gateway;
- zentyal-infrastructure;

Cenário Real
A eth0 está como WAN (192.168.1.254) e eth1 como LAN (192.168.2.254); Em seguida ativei o squid com autenticação e regras funcionando ok; Apliquei algumas regras no firewall permitindo acesso pela WAN ao console WEB de administracão.

Com uma estação fico navegando para testar as regras, e a outra estação acessando a console WEB do zentyal aplicando mais regras.
Na estação que utilizo para navegar ao abrir e fechar o navegador várias vezes, simplesmente ela para de navegar e a estação que utilizo para aplicar as regras deixa de acessar a console Web do zentyal dando timeout.

Como procedimento básico a primeira coisa é disparar um ping e telnet para o servidor, o mesmo não responde as requisições, tomei uma iniciativa de desativar o Firewall do zentyal na console modo texto e o mesmo volta a pingar/telnet e a responder as requisições de proxy. Isso se repete aleatoriamente no decorrer dos testes.

Também já reinstalei, e inclusive realizei a instalação no modo texto. A situação se repete.

Aguardo retorno positivo do fórum.

Abraço à todos,

Att.
Nelson Mattos


Pages: [1]