Respostas no Fórum
- AutorPosts
- Eduardo SilvaParticipante
Para proxy transparente, você pode criar políticas de acesso baseadas em macaddress, ou endereços ip.
Pode montar um conjunto de políticas bem detalhado e diferenciado para cada grupo de ips/macs.Wireguard_webadmin
Sistema gratuito (Open Source) para gestão de VPN's WireGuard com uma Web interface intuitiva e fácil de usar.
Principais funcionalidades:
- Sistema de Firewall completo e flexível.
- Encaminhamento de portas
- Suporte a multi usuário com níveis diferentes de acesso
- Múltiplas instâncias do Wireguard
- Crypto key routing para configuração de VPN site-to-siteO projeto é Open Source, fácil de instalar e está disponível em wireguard_webadmin
Eduardo SilvaParticipanteOpa,
Não é uma boa prática separar redes usando apenas configurações de endereço IP.
Para solucionar esse problema, você vai precisar mexer na sua rede e a não ser que você conheça bem a rede e saiba qual o impacto que essas modificações vão ter você não deverá executar.
Se fizer um bom estudo das necessidades da sua rede e souber bem o que precisa ser acessado em cada unidade, eu sugiro adotar a seguinte ideia:
Trocar o endereço/rede do roteador corporativo ou da rede local,
Ligar este roteador em uma interface vermelha do endian
Ligar o modem da net em uma segunda interface vermelha
Ligar a rede local na interface verde do endian em uma subnet diferente do roteador e da net.
Usar o endian para controlar os acessos a internet
Observar rotas estáticas que possam ser necessárias para sistemas internos da empresa e adicionar no endian conforme necessárioSe não tiver como realizar essas alterações, creio que uma outra alternativa ‘com menos impactos’ seria:
Ligar a interface vermelha do endian diretamente no modem da net. (para o endian, use o dns do modem ou mesmo 8.8.8.8 e 8.8.4.4
A interface verde vai ficar com um endereço da sua rede local (10.31.10.x), com dhcp e dns desativado.
Você também pode configurar o firewall/outgoing traffic e bloquear todo o tráfego.Mantendo os computadores na sua rede local original (com o gateway padrão da empresa mesmo), você apenas vai precisar configurar manualmente o proxy. (sugiro usar a configuração automática de proxy setada manualmente (url exemplo: http://ip_do_endian/proxy.pac) Desta forma, se a intranet da empresa for via web, você pode adicionar estes sites na configuração de sites que não usam proxy no endian, sendo replicados automaticamente para os clientes. Quando alguém for acessar um website interno, irá pelo gateway padrão que é o seu router corporativo.
Vale lembrar que você deve criar políticas de acesso no proxy para liberar acesso apenas para computadores previamente autorizados, evitando que algum usuário configure o proxy manualmente em seu computador e saia navegando.
De qualquer forma, tome cuidado com o seu DNS, não use os dois endereços, deixe apenas o endereço do servidor de domínio.
[]’s
Eduardo SilvaParticipanteSua vpn é roteada ou está em modo bridge?
Importante observar se o endereçamento da rede local onde está o cliente não conflita com rotas ou endereços redes/endereços atribuídos pela vpn do endian.
Eduardo SilvaParticipanteEdder,
Vá em Firewall \ Ougoing Firewall, crie uma nova regra com as informações:
Protocolo: TCP
Porta: 3389
Caso queira, também pode limitar o destino para apenas endereços dos servidores autorizados.Em origem, selecione macaddress, e coloque os endereços na lista.
[]’s
Eduardo SilvaParticipanteAparentemente é um erro do Firefox
Dois exemplos:
https://support.mozilla.org/pt-BR/questions/974960
http://forums.mozillazine.org/viewtopic.php?f=38&t=2301041Verifique se está com ele atualizado e também pode tentar acessar pelo Chrome.
Se for necessário desativar algum recurso de segurança do firefox e levando em conta que o ntop é só para a rede local, você também pode tentar desativar o ssl dele.
[]’sEduardo SilvaParticipanteRealmente ai vai depender do que você está pretendendo fazer
março 11, 2015 às 11:25 am em resposta a: Endian Firewall em redes em Fibra Óptica ponto a ponto #19958Eduardo SilvaParticipanteDanilo,
As suas estações de trabalho ficam na mesma rede do mikrotik?
ex: 192.168.101.0/24?? se este é o caso, deduzo que o endian tenha o ip na rede local como 192.168.101.1 (se não for esse, de qualquer forma vou usar como exemplo)
O que está acontecendo, é mais ou menos o seguinte:
Computador 192.168.101.15 faz uma requisição para o computador 192.168.102.23
O pacote sai do host 192.168.101.15 e vai para o gateway padrão, 192.168.101.1, este reencaminha o pacote para roteador 192.168.101.4 e envia um redirect para o computador 192.168.101.15 informando que o gateway para a rede 192.168.102.0/24 é 192.168.101.4
Você pode ver na primeira imagem do link abaixo, o que eu falei sendo ilustrado
http://www.cymru.com/gillsr/documents/icmp-redirects-are-bad.htmO que acontece é que por padrão, estações de trabalho não aceitam redirects, podem ser configuradas pra isso, mas não deve!!
No link que eu citei, tem todas as justificativas de porquê não se deve usar redirects.Soluções:
– Configurar adicionar rotas estáticas nos computadores, informando que a rede 192.168.102.0/24 fica através do gateway 192.168.101.4 (isso não é nada prático e você perde totalmente o controle desta interligação, só deve ser usada em última alternativa).– Cenário ideal: Troque o range de ips do mikrotik para um endereçamento diferente da sua rede local; exemplo: 192.168.201.0/24 (pode até usar uma subnet menor se preferir).
Configure uma interface adicional no endian (azul ou laranja) nesta mesma subnet, crie rotas no endian informando que a rede 102 usa o ip do mikrotik como gateway, e crie rotas no mikrotik informando que a rede 101 fica atrás do ip do endian na rede azul.[]’s
Eduardo SilvaParticipanteBom dia Zalinsky,
O endian pede sim duas placas de rede, mas você não precisa usar duas placas reais, se você só vai acessar o endian do seu notebook, você pode instalar ele com apenas uma placa em modo ‘host-only’ associando esta a rede verde, quando conseguir entrar na web interface, não proceda com o setup inicial, apenas desligue a máquina, adicione um novo adaptador de rede em modo bridge ou nat, ligue a máquina novamente, e faça o setup inicial, se tudo der certo, essa interface nova ficará como wan.
Dependendo da plataforma de virtualização que você for utilizar, alguns ajustes podem ser necessários.
Ao adicionar uma interface em host only, acredito que você também vai precisar definir um ip estático para ela no seu notebook, com o mesmo endereçamento de rede que o endian da máquina virtual vai usar.
Cuidado para não usar uma rede que já exista, sugiro adotar uma subnet aleatória da rede 10.0.0.0/8 ex: 10.176.89.0/24[]’s
Eduardo SilvaParticipanteOlá,
Você pode interligar Matriz e Filial usando VPN (preferencialmente o OpenVPN), entretanto, o ideal seria usar subnets diferentes e rotear o tráfego entre as redes.
Criar uma bridge interligando duas unidades através de um link de internet, apesar de funcionar, iria trazer muitos problemas…. não é recomendado.
A propósito, quantos computadores você tem na filial?
Eduardo SilvaParticipantePara usar o endian com apenas uma interface de rede, você vai precisar fazer uma série de pequenos ajustes, alguns por baixo (ele não foi desenhado para funcionar assim).
Para completar o setup, use duas interfaces de rede, ligando a interface externa na sua rede local. (mas mantenha a rede vermelha numa subnet diferente da verde, nunca na mesma!)
Os ajustes necessários que me vem a cabeça agora são:
- Liberar acesso ao proxy, ao ssh e a web interface na interface vermelha
- Na interface web, adicionar nas configurações do squid a subnet que foi ligada na rede vermelha
- Não tenho certeza se o squid estará ouvindo na interface vermelha, podes conferir com o netstat -ltpn |grep squid (você estará procurando por 0.0.0.0:<porta>)
- Por via das dúvidas, quando tudo estiver funcionando, deixe a placa verde no servidor, apenas desconecte o cabo dela
- Com estas configurações, nunca exponha o endian diretamente a internet
Uma outra forma mais simples, seria de ligar o seu endian em paralelo ao firewall atual, desativando o dhcp (endian) e bloqueando o acesso através do endian em firewall\outgoing (permitindo apenas a saída do proxy).
[]’s
Eduardo SilvaParticipanteOpa, você só poderá fazer políticas de roteamento com protocolos, portas e/ou ips (origem ou destino)
[]’s
Eduardo SilvaParticipanteComo você está inserindo as rotas estáticas?
O correto é inserir elas através da interface web, desta forma elas vão ficar de forma permanente.
[]’s
março 5, 2015 às 3:31 pm em resposta a: EFW 3.0 – Balancear conexões internet ao invés de 'backup' uma da outra #19940Eduardo SilvaParticipanteA princípio você pode usar as políticas de roteamento para dividir o tráfego por protocolos, ips de origem e/ou zonas.
Se precisar de algo mais sofisticado que isso, recomendo usar um mikrotik na frente do endian gerenciando os links de internet e realizando o balanceamento.
[]’s
Eduardo SilvaParticipanteOpa,
a print, mostra a saída do df na web interface, entretanto, ela está com as linhas quebradas, e tudo pulou uma coluna para a esquerda.
Aparentemente o seu problema não está relacionado a espaço em disco.
Veja que os números com % indicam o percentual utilizado.
Eduardo SilvaParticipanteOlá Anderson,
Como o acesso está sendo feito através do Proxy, a resolução de dns é feita pelo squid, independente do que você tem no arquivo de hosts local do cliente.
Na verdade, o cliente nem precisa ter o dns funcionando, mas conseguiria continuar navegando normalmente pois o proxy que faz toda a resolução de DNS.
Na web interface do endian, tem um menu que permite cadastrar entradas estáticas de DNS que eu acredito que deva resolver o seu problema (observar que isso vai valer para a rede local inteira).
Se eu não me engano fica em Network \ Hosts (Não tenho um endian a mão aqui)?
[]’s
- AutorPosts