Respostas no Fórum
-
Posts
-
Obs: Esse passo é para fazer a alteração do parametro: Tempo de vida IKE. Se você quiser alterar o Vida da chave ESP, a opção é: keylife ao invés de ikelifetime.
-Acesse via ssh entre no seguinte arquivo:
/etc/ipsec/ipsec.conf.tmpl
-Ache as seguintes linhas:
#if $conn.ike_lifetime
ikelifetime=${conn.ike_lifetime}h
#end if
-Comente a seguinte linha, como abaixo:
#ikelifetime=${conn.ike_lifetime}h
-Adicione a seguinte linha abaixo:
ikelifetime=24h
-No final irá ficar dessa forma:
#if $conn.ike_lifetime
#ikelifetime=${conn.ike_lifetime}h
ikelifetime=24h
#end if
-Basta restartar a vpn.
/etc/init.d/ipsec restart
Wireguard_webadmin
Sistema gratuito (Open Source) para gestão de VPN's WireGuard com uma Web interface intuitiva e fácil de usar.
Principais funcionalidades:
- Sistema de Firewall completo e flexível.
- Encaminhamento de portas
- Suporte a multi usuário com níveis diferentes de acesso
- Múltiplas instâncias do Wireguard
- Crypto key routing para configuração de VPN site-to-site
O projeto é Open Source, fácil de instalar e está disponível em wireguard_webadmin
O firewall das máquinas da sua filial pode estar barrando a conexão por se tratar de uma rede diferente da rede dela, mas você poder burlar isso fazendo o seguinte SNAT.
Firewall > Source Nat.
Origem: 192.168.1.0/24 (Rede da Matriz).
Destino: 192.168.2.0/24 (Rede da Filial).
Serviço: Qualquer.
Nat > Zona Verde – IP:192.168.2.1 (Ip do seu Endian).
Depois disso, vai funcionar.
Obs: Fazer essa regra onde o ping não está aceitando, no seu caso, na filial.
Se eu não me engano é essa linha mesmo, testa adicionar na custom do sarg e verificar depois se ele gera corretamente.
Faz o teste sem ser no de produção, faz em uma vm.
/etc/sarg/sarg.conf.tmpl
O endian recebe ip válido na rede vermelha?
Se sim, você tem que configurar esse ip no nat e depois redirecionar para o ip que você quer.
Se não, você tem que configurar o modem para fazer o nat e depois o Endian, ou colocar o ip da rede vermelha do Endian na DMZ do modem.
Qualquer dúvida, post a foto da sua regra de DNAT.
Você vai ter que fazer uma rota, informando que tudo que sair da sua rede para qualquer destino da internet, por qualquer porta, saíra pela interface que você quer. Ele não dá essa opção de trocar a interface default.
Você pode amarrar as máquinas por MAC no DHCP e criar as regras por ip no firewall ou no proxy de acordo com a liberação que você deseja, ou fazer diretamente com o MAC das máquinas nas regras de firewall ou proxy, que ele também aceita, basta mudar a opção.
@Vinicius, verifica se em “Firewall > Vpn” está ativo, se estiver você tem que liberar a regra para acessar a rede, ou então desativá-lo.
Veja se o seu Windows está recebendo as rotas que o openvpn deve criar para você conseguir acessar a rede.
Fiz a instalação do xs-tools da seguinte forma, montei o kit do XEN 6.1, acessei o diretório e fiz a instalação de um por um, pois como o SO do Endian não é reconhecido pelo pacote install.sh, foi necessário fazer dessa forma.
# rpm -ivh xe-guest-utilities-xenstore-6.1.0-1033.i386.rpm
# rpm -ivh xe-guest-utilities-6.1.0-1033.i386.rpm
Depois dei um cat no versions.rpm, peguei a linha referente ao kernel de 32bits e colei na cli:
XE_GUEST_UTILITIES_PKG_FILE_i386=’xe-guest-utilities-6.1.0-1033.i386.rpm xe-guest-utilities-xenstore-6.1.0-1033.i386.rpm’
Reinicia o firewall.
Já vem rodando por default nas placas de rede, como mostra na quarta linha.
root@laboratorio:~ # ifconfig
br0 Link encap:Ethernet HWaddr 3A:05:04:93:47:2F
inet addr:172.18.4.46 Bcast:172.18.5.255 Mask:255.255.254.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:54201 errors:0 dropped:0 overruns:0 frame:0
TX packets:8658 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:68508112 (65.3 MiB) TX bytes:1375070 (1.3 MiB)
Siga os valores abaixo, você não terá problemas de lentidão, na minha estrutura tem mais de 1000 users simultâneos e o proxy é extremamente rápido.
Simples, para resolver o problema basta mudar para “cd /var/spool/squid && rm -fr * ; …”
Sempre que faço isso, eu faço na mão, não faço por meios de scrpit e uso sim o sinal -9 sem nenhum problema.
Pergunta: Se eu der um kill -9 nessa base movimentada, deletar todos os arquivos e depois recriá-los qual seria o problema dela? Nenhum, pois não teria nada de antigo nessa base, seria tudo novo! É isso que é feito com o squid 😀
Antes de mais nada, verifique qual das pastas está com esse tamanho, se realmente é a do squid.
du -sh /var/spool/*
Eu sei bem o funcionamento do kill, uso ele ao invés de service stop, porque o service demora muito pra parar o squid e na verdade nunca usei outro sinal, há não ser o “9”, além de ser mais rápido, sempre funciona e em mais de 6 anos de Linux nunca tive problemas com ele, acho que esse problema deveria acontecer nos kernels mais antigos.
Quem quiser se aprofundar nos sinais do kill, basta fazer uma pesquisa rápida no google: sinais do kill.
cd /var/spoll/squid ; killall -9 squid ; killall -9 squid ; killall -9 squid ; rm -rf * ; squid -z ; /etc/init.d/squid start ; squid -k reconfigure ; killall -9 squid ; killall -9 squid ; killall -9 squid ; /etc/init.d/squid start
Pode jogar esses passos também dentro de um arquivo e fazer um script pra rodar automaticamente, mas prefiro fazer isso na mão só quando é necessário.
@neophsp Ele sobrescreve pelo mais antigo, raramente precisa fazer isso, mas pode ocorrer depois de algum tempo acontecer algum problema nos arquivos e ficar lento a leitura ou a escrita e com isso a navegação, por isso é importante deletar o cache, mas fazer isso todo dia é totalmente desnecessário, pois você perde a funcionalidade que ele se presta a fazer.
