Respostas no Fórum
- AutorPosts
- Paulo CostaParticipante
Qual versão e os ususarios estão gravados a onde (por exemplo AD M$).
Abs,
Wireguard_webadmin
Sistema gratuito (Open Source) para gestão de VPN's WireGuard com uma Web interface intuitiva e fácil de usar.
Principais funcionalidades:
- Sistema de Firewall completo e flexível.
- Encaminhamento de portas
- Suporte a multi usuário com níveis diferentes de acesso
- Múltiplas instâncias do Wireguard
- Crypto key routing para configuração de VPN site-to-siteO projeto é Open Source, fácil de instalar e está disponível em wireguard_webadmin
Paulo CostaParticipanteVou detalhar mais os graficos de Incoming e Outgoing aparcem em um laptop que estou usando, mas na minha estação não mostra. Alguem sabe o que pode estar ocorendo ??
Olhem as imagens imagens,
http://imageshack.us/photo/my-images/46/desktopmx.jpg/
http://imageshack.us/photo/my-images/607/toshf.jpg/
Abs
Paulo CostaParticipanteVeja no arquivo mensage se precisa fazer algo, eu passei por isso no caso do amvis no smtp o mensagem informou até o comando que era no meu caso sa-update ou sa-upgrade(não me lembro qual).
Abs,
Paulo CostaParticipanteou associe o mac a um IP dentro de sua range de IP, as maquinas sem necessidade ficam com DHCP automático e as especiais com IP amarrado ao MAC.
Paulo CostaParticipanteOutra sugestão se não tiver problema com a segurança de acesso, por que não usar o grupo usuarios do dominio, no meu ambiente funciona sem problema de troca de grupos.
Abs,
janeiro 12, 2012 às 12:15 pm em resposta a: Endian Firewall: Corrigindo o problema ao aplicar as configurações do proxy. #8505Paulo CostaParticipantePessoal,
Fiz um novo roteiro para autenticação do PROXY HTTP no AD WINDOWS 2003 SERVER usando autenticação Windows Active Directory (NTLM).
Acerto de bug´s – Antes de qualquer coisa troque baixe a correção do bug de tela estática já abordado no tutorial – http://endian.eth0.com.br/topic/endian-firewall-corrigindo-o-problema-ao-aplicar-as-configuracoes-do-proxy .
Link para a baixar a correção : http://bugs.endian.it/view.php?id=2676&nbn=14.
Substitua os arquivos no caminho abaixo, mais antes faça um backup dos arquivos originais:
/usr/lib/python2.4/site-packages/endian/status/notifications.py (no endian a extensão desse Arquivo é pyc renomeie o novo)
/home/httpd/html/include/servicesubscriber.js
Passos a serem seguidos:
1º – No menu Services – atualize o servidor Time Server com o IP do servidor PDC do seu AD e mande sincronizar. Motivo o Endian usa o SAMBA como gateway para a validação do AD e a diferença entre o horário do Endian e do AD não pode passar de 3 minutos(se a minha cabeça não esta falhando).
2º – No menu PROXY – DNS – ABA DNS Routing tem que cadastrado o Domínio e no name server coloque o IP
3º- No menu PROXY – HTTP – ABA Autenticação – Vá para o combo Choose Authentication Method e mude para Windows Active Directory (NTLM) e verifique os parametros abaixo:
Parte Authentication settings
Aba autenticação
Authentication Realm * = colocar o seu domínio completo no AD (exemplo: empresa.corp)
Number of Authentication Children * = 20
Authentication cache TTL (in minutes) * = 60
Number of different ips per user * = 0
User / IP cache TTL (in minutes) * = 0
NTLM specific settings
Domainname of AD server * = empresa(nome simples – o mesmo texto que vem na tela de login)
PDC hostname of AD server * = Nome do seu servidor PDC
BDC hostname of AD server = Nome do seu servidor BDC(caso exista)
PDC ip address of AD server * = IP do seu servidor PDC
BDC ip address of AD server = IP do seu servidor BDC
Aperte o botão SAVE e depois aperte o botão Join AD domain
Na nova tela coloque um usuário que tenha direito de pesquisa no AD( eu usei o admin) e sua senha aperte o botão Join ADS. Se Ok mostrara a mensagem :
Successfully joined domain.
Agora vem o pulo do gato,use um acesso ssl (eu uso o putty) para abrir uma conexão root no endian ou vá para a console.
Execute os seguintes comandos :
chgrp squid /var/cache/samba/winbindd_privileged
chmod 750 /var/cache/samba/winbindd_privileged
Motivo : O Endian não esta aplicando esses direitos.
Agora é só criar as políticas de acesso como no exemplo abaixo:
Source tag = ANY
Destinatio TAG = ANY
Authentication = Group based
Allowed Group = usuarios do dominio(esse campo é um combo com todos os seus grupos cadastrados no AD)
Access policy = Allow access
Filter Profile = Default Profile
Policy Status Rule – aplicada
Apertar o botão update Policy e aplique no proxy.
Mais um ponto se alguém quiser trocar a tela de advertência do ENDIAN pois ela não tem muito impacto por uma chamativa feita em HTML o caminho é o seguinte /usr/share/dansguardian/languages;dentro desse diretório tem varias pastas com os idiomas que o Endian aceita, troque o arquivo template.html no idioma usado por vc( eu apelei, troquei no EN, Português e PTBR resumindo barba, cabelo e bigode).
Abs a todos.
Paulo CostaParticipanteVeja tem que seguir todos os passos independente de se achar que não tem necessidade como o time server(NTP) e o DNS ROUTING. Não tive tempo de analizar como essa versão faz a autenticação mais me parece que ela usa o SAMBA(so foi é esse o motivo do NTP).
E a autenticação é NTLM, na versão 2.2 eu uso a LDAP.
A minha versão 2.4.1 ainda esta em homologação, pois tenho varias particularidades.
Abs,
Paulo CostaParticipanteRodolpho, vc. seguiu o manual “Conectar Endian Firewall AD 2003.docx” (tem um link aqui no forum) e atualizou os bug da versão 2.4.1(são 3 arquivos), tem que funcionar tudo no modo proxy transparente. Eu tenho o w2003 r2 com o ultimo SP e esta tudo ok.
Abs,
Paulo CostaParticipanteCardoso,
Ontem eu fiz um Source NAT apontando toda a minha rede Exemplo abaixo:
Source Destination Service NAT to
192.168.221.0/24 IPSEC <ANY> 192.168.221.1
A zebro foi que o Endian deu um dump e parou.
Abs,
Paulo CostaParticipanteEsqueci de comentar a outra ponta é um firewall FortiGate(equialeme a um check point) e quem gerou a Pre-Shared foram eles.
Paulo CostaParticipanteVocê pode usar a pre-shared key, não é um certificado mais garante o Tunnel.
Hoje eu tenho em produção uma VPN IPSEC usando pre-shared key, e sem problema algum de autenticação e com o TUNNEL UP, o meu problema é como foi implentado o outro lado.
post no forum : Novo Problema para montar uma VPN IPSEC).
Se eu abrir um putty no endian pingar o outro servidor no cliente VPN funciona tudo sem problema.
Abs,
Paulo CostaParticipanteRonaldo,
Não entendi, e por favor me ajude, fiquei esse ultimo mes em cima da equipe por causa da DLL, ela agora esta OK (foi feita em .NET e acessada no DELPHI como .COM).
Vou dar um exemplo com ip´s ficticios.
Minha ponta – IP publico : 178.21.181.35 – firewall rede interna – 192.168.248.1/32
Outra ponta – NNNN.com.be(uso nome) – rede – 10.255.0.10/32
Minha estação – 192.168.55.46
Redes internas – 192.168.248.N/24; 192.168.55.n/24, 192.168.0.n/24, 192.168.1.n/24.
Hoje as redes se falam entre si sem problemas, o meu problema é toda a solicitação de acesso ao webserver externo ser feita atraves do IP 192.168.248.1.
Abs,
Paulo CostaParticipanteRonaldo,
Esse é o grande problema, vamos por partes.
A minha aplicação em em DELPHI5(exe para cadas estação ou cliente terminal server), o outro lado he um servidor webserver.
Para tes acesso as informações deste webserver estou fazendo uma DLL em C para ser compilada no EXE, assim o Delphi passa as informações para a DLL e recebe a resposta do web que pode ser 1 x 1 ou 1 x N(coisa linda).
Viu o meu problema, cada estação solicita a informação ao webserver, resumindo toda a minha rede.
Eu me lembro de ter visto algo do tipo:
Todo qualquer endereço era convertido( um tipo de NAT) para um unico e esse faz a comunicação ao servidor de aplicação e o retorno é feito normalmente(nunca teste só li e achei interesante, só que perdi o link deste artigo), só não me lembro em que condição e como é feito, tenho que pesquisar.
Abs,
Paulo CostaParticipanteO caminho das pedras:
Proxy >> http >> HTTP proxy: Policy >> Access Policy
Source Type = Network/IP
Destination Type = Domain
Insert Source Network/IP´s = 192.168.0.0/255.255.0.0 ( no meu caso todas as minhas redes)
Insert Domains (one per line) * = na caixa coloque >> windowsupdate.com
Authentication = Disables
O restante é habilitar a restrição de horario no meu caso é de 2 a domingo das 00:00 as 24:00
Paulo CostaParticipanteNo meu caso eu tenho o ZIMBRA (correio, Chat e um tipo de sharpoint) integrado ao AD sem problema algum.
- AutorPosts