Respostas no Fórum
- Posts
Wireguard_webadmin
Sistema gratuito (Open Source) para gestão de VPN's WireGuard com uma Web interface intuitiva e fácil de usar.
Principais funcionalidades:
- Sistema de Firewall completo e flexível.
- Encaminhamento de portas
- Suporte a multi usuário com níveis diferentes de acesso
- Múltiplas instâncias do Wireguard
- Crypto key routing para configuração de VPN site-to-siteO projeto é Open Source, fácil de instalar e está disponível em wireguard_webadmin
Vou detalhar mais os graficos de Incoming e Outgoing aparcem em um laptop que estou usando, mas na minha estação não mostra. Alguem sabe o que pode estar ocorendo ??
Olhem as imagens imagens,
http://imageshack.us/photo/my-images/46/desktopmx.jpg/
http://imageshack.us/photo/my-images/607/toshf.jpg/
Abs
Veja no arquivo mensage se precisa fazer algo, eu passei por isso no caso do amvis no smtp o mensagem informou até o comando que era no meu caso sa-update ou sa-upgrade(não me lembro qual).
Abs,
ou associe o mac a um IP dentro de sua range de IP, as maquinas sem necessidade ficam com DHCP automático e as especiais com IP amarrado ao MAC.
Outra sugestão se não tiver problema com a segurança de acesso, por que não usar o grupo usuarios do dominio, no meu ambiente funciona sem problema de troca de grupos.
Abs,
Pessoal,
Fiz um novo roteiro para autenticação do PROXY HTTP no AD WINDOWS 2003 SERVER usando autenticação Windows Active Directory (NTLM).
Acerto de bug´s – Antes de qualquer coisa troque baixe a correção do bug de tela estática já abordado no tutorial – http://endian.eth0.com.br/topic/endian-firewall-corrigindo-o-problema-ao-aplicar-as-configuracoes-do-proxy .
Link para a baixar a correção : http://bugs.endian.it/view.php?id=2676&nbn=14.
Substitua os arquivos no caminho abaixo, mais antes faça um backup dos arquivos originais:
/usr/lib/python2.4/site-packages/endian/status/notifications.py (no endian a extensão desse Arquivo é pyc renomeie o novo)
/home/httpd/html/include/servicesubscriber.js
Passos a serem seguidos:
1º – No menu Services – atualize o servidor Time Server com o IP do servidor PDC do seu AD e mande sincronizar. Motivo o Endian usa o SAMBA como gateway para a validação do AD e a diferença entre o horário do Endian e do AD não pode passar de 3 minutos(se a minha cabeça não esta falhando).
2º – No menu PROXY – DNS – ABA DNS Routing tem que cadastrado o Domínio e no name server coloque o IP
3º- No menu PROXY – HTTP – ABA Autenticação – Vá para o combo Choose Authentication Method e mude para Windows Active Directory (NTLM) e verifique os parametros abaixo:
Parte Authentication settings
Aba autenticação
Authentication Realm * = colocar o seu domínio completo no AD (exemplo: empresa.corp)
Number of Authentication Children * = 20
Authentication cache TTL (in minutes) * = 60
Number of different ips per user * = 0
User / IP cache TTL (in minutes) * = 0
NTLM specific settings
Domainname of AD server * = empresa(nome simples – o mesmo texto que vem na tela de login)
PDC hostname of AD server * = Nome do seu servidor PDC
BDC hostname of AD server = Nome do seu servidor BDC(caso exista)
PDC ip address of AD server * = IP do seu servidor PDC
BDC ip address of AD server = IP do seu servidor BDC
Aperte o botão SAVE e depois aperte o botão Join AD domain
Na nova tela coloque um usuário que tenha direito de pesquisa no AD( eu usei o admin) e sua senha aperte o botão Join ADS. Se Ok mostrara a mensagem :
Successfully joined domain.
Agora vem o pulo do gato,use um acesso ssl (eu uso o putty) para abrir uma conexão root no endian ou vá para a console.
Execute os seguintes comandos :
chgrp squid /var/cache/samba/winbindd_privileged
chmod 750 /var/cache/samba/winbindd_privileged
Motivo : O Endian não esta aplicando esses direitos.
Agora é só criar as políticas de acesso como no exemplo abaixo:
Source tag = ANY
Destinatio TAG = ANY
Authentication = Group based
Allowed Group = usuarios do dominio(esse campo é um combo com todos os seus grupos cadastrados no AD)
Access policy = Allow access
Filter Profile = Default Profile
Policy Status Rule – aplicada
Apertar o botão update Policy e aplique no proxy.
Mais um ponto se alguém quiser trocar a tela de advertência do ENDIAN pois ela não tem muito impacto por uma chamativa feita em HTML o caminho é o seguinte /usr/share/dansguardian/languages;dentro desse diretório tem varias pastas com os idiomas que o Endian aceita, troque o arquivo template.html no idioma usado por vc( eu apelei, troquei no EN, Português e PTBR resumindo barba, cabelo e bigode).
Abs a todos.
Veja tem que seguir todos os passos independente de se achar que não tem necessidade como o time server(NTP) e o DNS ROUTING. Não tive tempo de analizar como essa versão faz a autenticação mais me parece que ela usa o SAMBA(so foi é esse o motivo do NTP).
E a autenticação é NTLM, na versão 2.2 eu uso a LDAP.
A minha versão 2.4.1 ainda esta em homologação, pois tenho varias particularidades.
Abs,
Rodolpho, vc. seguiu o manual “Conectar Endian Firewall AD 2003.docx” (tem um link aqui no forum) e atualizou os bug da versão 2.4.1(são 3 arquivos), tem que funcionar tudo no modo proxy transparente. Eu tenho o w2003 r2 com o ultimo SP e esta tudo ok.
Abs,
Cardoso,
Ontem eu fiz um Source NAT apontando toda a minha rede Exemplo abaixo:
Source Destination Service NAT to
192.168.221.0/24 IPSEC <ANY> 192.168.221.1
A zebro foi que o Endian deu um dump e parou.
Abs,
Esqueci de comentar a outra ponta é um firewall FortiGate(equialeme a um check point) e quem gerou a Pre-Shared foram eles.
Você pode usar a pre-shared key, não é um certificado mais garante o Tunnel.
Hoje eu tenho em produção uma VPN IPSEC usando pre-shared key, e sem problema algum de autenticação e com o TUNNEL UP, o meu problema é como foi implentado o outro lado.
post no forum : Novo Problema para montar uma VPN IPSEC).
Se eu abrir um putty no endian pingar o outro servidor no cliente VPN funciona tudo sem problema.
Abs,
Ronaldo,
Não entendi, e por favor me ajude, fiquei esse ultimo mes em cima da equipe por causa da DLL, ela agora esta OK (foi feita em .NET e acessada no DELPHI como .COM).
Vou dar um exemplo com ip´s ficticios.
Minha ponta – IP publico : 178.21.181.35 – firewall rede interna – 192.168.248.1/32
Outra ponta – NNNN.com.be(uso nome) – rede – 10.255.0.10/32
Minha estação – 192.168.55.46
Redes internas – 192.168.248.N/24; 192.168.55.n/24, 192.168.0.n/24, 192.168.1.n/24.
Hoje as redes se falam entre si sem problemas, o meu problema é toda a solicitação de acesso ao webserver externo ser feita atraves do IP 192.168.248.1.
Abs,
Ronaldo,
Esse é o grande problema, vamos por partes.
A minha aplicação em em DELPHI5(exe para cadas estação ou cliente terminal server), o outro lado he um servidor webserver.
Para tes acesso as informações deste webserver estou fazendo uma DLL em C para ser compilada no EXE, assim o Delphi passa as informações para a DLL e recebe a resposta do web que pode ser 1 x 1 ou 1 x N(coisa linda).
Viu o meu problema, cada estação solicita a informação ao webserver, resumindo toda a minha rede.
Eu me lembro de ter visto algo do tipo:
Todo qualquer endereço era convertido( um tipo de NAT) para um unico e esse faz a comunicação ao servidor de aplicação e o retorno é feito normalmente(nunca teste só li e achei interesante, só que perdi o link deste artigo), só não me lembro em que condição e como é feito, tenho que pesquisar.
Abs,
O caminho das pedras:
Proxy >> http >> HTTP proxy: Policy >> Access Policy
Source Type = Network/IP
Destination Type = Domain
Insert Source Network/IP´s = 192.168.0.0/255.255.0.0 ( no meu caso todas as minhas redes)
Insert Domains (one per line) * = na caixa coloque >> windowsupdate.com
Authentication = Disables
O restante é habilitar a restrição de horario no meu caso é de 2 a domingo das 00:00 as 24:00
