Zentyal (старое eBox) - администрирование корпоративной сети

[kurtsvl]

Доброе время суток. Использую Ebox в качестве VPN сервера. Загрузил клиентский пакет на удалённые машины (клиенты WinXP) и они расположены в другом городе. Подскажите плиз как мне в будущем, когда срок сертификатов закончится обновить их на этих удалённых машинах не выезжая на место? По глупости создал корневой сертификат на год, ну и соответственно остальные так же. Я так понимаю что если сейчас обновить главный сертификат то все остальные автоматом будут в списке отозванных и соответственно упадёт VPN.

только вчера ставил 2 клиента openvpn на удаленных машинах в другом городе ,использовать можно любую прогу для удаленного управления типа RADMIN но его не советую,потенциальная дырка ,рекомендую и сам использую  TeamViewer .
TeamViever,OpenVPN и новые сертификаты  скинул клиенту  по почте и позвонил попросил чтоб запустили TeamViewer,сказали код и пароль  ,дальше дело техники(ловлю себя на мысли что скидывать cертификаты по мылу не совсем правильно  )

для автозапуска openvpn подправь реестр ,а то юзеры существа тяжелые ,и их мозг лучше не перегружать

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
создай параметр "openvpn-gui"
со значением "C:\\Program Files\\OpenVPN\\bin\\openvpn-gui.exe --connect client.ovpn"   (внимание имя проги и сертификата свои забей !!)

[nickasya]

kurtsvl, ну сам и и пользуйся тимвьювером для замены сертификатов. Иначе не получится, сертификат надо ручками вставлять.

Создай новые сертификаты, вытащи из Zential новый пакет и через тимвьювер настрой.

[Neksi]

Настроил DHCP:

(Нажмите, чтобы показать/скрыть)

Диапазоны DHCP
IP-адрес интерфейса:    192.168.10.10
Подсеть:    192.168.10.0/24
Доступный диапазон:    192.168.10.1 - 192.168.10.254

А он мне, на рабочем столе в статусах модуля пишет:
Служба разрешена, но не запущена и кнопка "запустить". Нажимаю "запустить", обновляется окно, но ноль эмоций.
Подскажите пожалуйста, что делать. Почему служба может незапускаться, где посмотреть.
Ubuntu поставил первый раз

Проверь стоит ли галочка на модуле статус - должно запустится
возможно с ребута

[nickasya]

Neksi, тоже самое хотел посоветовать.

kurtsvl, еще бы конфиг DHCP  сервера глянуть.

[brunder]

Доброе время суток. Использую Ebox в качестве VPN сервера. Загрузил клиентский пакет на удалённые машины (клиенты WinXP) и они расположены в другом городе. Подскажите плиз как мне в будущем, когда срок сертификатов закончится обновить их на этих удалённых машинах не выезжая на место? По глупости создал корневой сертификат на год, ну и соответственно остальные так же. Я так понимаю что если сейчас обновить главный сертификат то все остальные автоматом будут в списке отозванных и соответственно упадёт VPN.

только вчера ставил 2 клиента openvpn на удаленных машинах в другом городе ,использовать можно любую прогу для удаленного управления типа RADMIN но его не советую,потенциальная дырка ,рекомендую и сам использую  TeamViewer .
TeamViever,OpenVPN и новые сертификаты  скинул клиенту  по почте и позвонил попросил чтоб запустили TeamViewer,сказали код и пароль  ,дальше дело техники(ловлю себя на мысли что скидывать cертификаты по мылу не совсем правильно  )

для автозапуска openvpn подправь реестр ,а то юзеры существа тяжелые ,и их мозг лучше не перегружать

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
создай параметр "openvpn-gui"
со значением "C:\\Program Files\\OpenVPN\\bin\\openvpn-gui.exe --connect client.ovpn"   (внимание имя проги и сертификата свои забей !!)

я и пользуюсь TeamViewer. Спасибо за совет :-) но фишка в том что единственный путь к этим удалённым машинам и есть VPN. (вообщем они подключены через модем ADSL к региональному инету и им доступен тока мой сервак)

[nickasya]

(Нажмите, чтобы показать/скрыть)

Доброе время суток. Использую Ebox в качестве VPN сервера. Загрузил клиентский пакет на удалённые машины (клиенты WinXP) и они расположены в другом городе. Подскажите плиз как мне в будущем, когда срок сертификатов закончится обновить их на этих удалённых машинах не выезжая на место? По глупости создал корневой сертификат на год, ну и соответственно остальные так же. Я так понимаю что если сейчас обновить главный сертификат то все остальные автоматом будут в списке отозванных и соответственно упадёт VPN.

только вчера ставил 2 клиента openvpn на удаленных машинах в другом городе ,использовать можно любую прогу для удаленного управления типа RADMIN но его не советую,потенциальная дырка ,рекомендую и сам использую  TeamViewer .
TeamViever,OpenVPN и новые сертификаты  скинул клиенту  по почте и позвонил попросил чтоб запустили TeamViewer,сказали код и пароль  ,дальше дело техники(ловлю себя на мысли что скидывать cертификаты по мылу не совсем правильно  )

для автозапуска openvpn подправь реестр ,а то юзеры существа тяжелые ,и их мозг лучше не перегружать

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
создай параметр "openvpn-gui"
со значением "C:\\Program Files\\OpenVPN\\bin\\openvpn-gui.exe --connect client.ovpn"   (внимание имя проги и сертификата свои забей !!)

Достаточно просто поставить службу OpenVPn на автозапуск. я так делал.

[brunder]

служба запущена с запуском проблем нет. я о том что когда на сервере обновлю сертификаты клиенты не смогут приконектиться
Пользователь решил продолжить мысль 18 Февраля 2011, 09:27:19:а есть вариант например на сервере создать инфу о клиентах и они при коннекте стягивали нужные сертификаты?

[nickasya]

Автор: brunder

а есть вариант например на сервере создать инфу о клиентах и они при коннекте стягивали нужные сертификаты?

К чему усложнять, настрой заново , создай сертификаты на длительный срок, и забудешь.

[brunder]

машин подключено уже около сотни :-) это время займёт много до окончания сертификатов ещё чуть меньше года может что нибудь придумаю

[kurtsvl]

цитата "  но фишка в том что единственный путь к этим удалённым машинам и есть VPN. (вообщем они подключены через модем ADSL к региональному инету и им доступен тока мой сервак"  честно говоря не совсем понимаю как такое может быть,они получается сидят за фаером который режет все кроме твоего vpn?.ну тогда пока сертификаты действительны сядь на виндовую тачку в той же локали где vpn сервак  ,если такой возможности нет ,настрой на ней openvpn с тем же vpnсерваком,и через  rdp  ( mstsc  ) попробуй,введи vpn  ip клиента в адресе ,ваще ниче ставить не надо,тока у клиентов подключение разрешить rdp(если тамошние юзеры осилят) .там сертификаты поменяй на новые ,правда если ошибёшся  vpn пропадет второго раза не будет.
 можно ещо новые сертификаты им по почте скинуть вместе с инструкцией как их заменить,но они могут не справится в столь простых действиях
а   можно ещо батник написать котрый сертификаты поменяет,его  по мылу послать вместе с сертификатами и попросить клиента его запустить.

Пользователь решил продолжить мысль 18 Февраля 2011, 10:40:06:

Для nickasya
Raid1 под систему делаешь при установке, выделяешь 200-500 Мb под /boot в формате ext2 или ext3
С оставшимся пространством делай что хочешь
RAID5 хорошо использовать под /home, а под систему RAID1, можно из 3-х дисков
ссылку на инструкцию давал

Для kurtsvl
Судя по адресам C и D предпологаю, что между интернетом и сервером стоит какой-то роутер
Если это так, то проверь видит ли он адрес D
d <--> internet ?

Neksi очень признателен вам за то что вы откликнулись на мoй вопрос,пробегал тут с утра ,по собственной запаренности  ,да действительно вы правы между zentyal и интернетом стоит 4 портовый мопед,я его не нарисовал чтоб не усложнять,
короче сначало ни <c> ни <d> не пинговались с компа воткнутого в свободное гнездо мопеда,начал сначала грешить на шнур,потом на то что в мопеде  не разрешено прождение пакетов между портами ,оказалось что zentyal не отвечает на пинги с внешних интерфейсов пока в правилах фаера(external networks--->zentyal) принудительно не задать правило разрешающее это) ,после этого пинги пошли как на <c> так и на <d> ещо раз благодарю за внимание надеюсь услышать какую нибудь вашу версию

[brunder]

цитата "  но фишка в том что единственный путь к этим удалённым машинам и есть VPN. (вообщем они подключены через модем ADSL к региональному инету и им доступен тока мой сервак"  честно говоря не совсем понимаю как такое может быть,они получается сидят за фаером который режет все кроме твоего vpn?.ну тогда пока сертификаты действительны сядь на виндовую тачку в той же локали где vpn сервак  ,если такой возможности нет ,настрой на ней openvpn с тем же vpnсерваком,и через  rdp  ( mstsc  ) попробуй,введи vpn  ip клиента в адресе ,ваще ниче ставить не надо,тока у клиентов подключение разрешить rdp(если тамошние юзеры осилят) .там сертификаты поменяй на новые ,правда если ошибёшся  vpn пропадет второго раза не будет.
 можно ещо новые сертификаты им по почте скинуть вместе с инструкцией как их заменить,но они могут не справится в столь простых действиях
а   можно ещо батник написать котрый сертификаты поменяет,его  по мылу послать вместе с сертификатами и попросить клиента его запустить.

ну в смысле есть у ВолгиТ услуга региональный инет, и мой сервак находиться в их сетке а как там всё режется я не знаю :-)
да уж сделал себе задачу :-) ну ладно буду что нибудь пробовать :-)

[pump]

Neksi, тоже самое хотел посоветовать.

kurtsvl, еще бы конфиг DHCP  сервера глянуть.

Я не знаю, какой DHCP использует Zentyal, я выкладываю конфиг от DHCP3 который находится </etc/dhcp3/dhcpd.conf>

(Нажмите, чтобы показать/скрыть)

# DHCP server is authoritative for all networks
authoritative;

# extra options
# RFC3442 routes
option rfc3442-classless-static-routes code 121 = array of integer 8;
# MS routes
option ms-classless-static-routes code 249 = array of integer 8;

pid-file-name "/var/run/dhcp3-server/dhcpd.pid";

ddns-update-style none;



default-lease-time 1800;
max-lease-time 7200;

Насколько я понимаю он пустой.
На панели <Статус модуля> напротив <DHCP> стоит галочка.

[kurtsvl]

         ,после этого пинги пошли как на <c> так и на <d> ещо раз благодарю за внимание надеюсь услышать какую нибудь вашу версию

если шнур в интернет один, то зачем D
что бы не возиться с правилами в роутере делай правила A->C и B->C

в сети 3 компа с банк клиентами,которые каждый вяжутся с банковским серваком через pptp   http://ru.wikipedia.org/wiki/PPTP
,  zentyal не корректно работает с проходящим через него насквозь туннелем такого типа  ,ответы сервера банка приходят не на ip компа с банк клиентом  а на ip интерфейса zentyal через который проходит туннель,а если бы все получилось то каждый  банк  клиент ходил бы на сервак  через свой шлюз и соответственно свой внешний интерфейс,и осталось бы только перенаправление сделать с соответствующего интерфейса на своего клиента

может это какой нить специфичный глюк ?,ща качаю zentyal 2.0.3 попробую в виртуалку зарядить

(Нажмите, чтобы показать/скрыть)

root@ubuntu:~# ifconfig
eth0      Link encap:Ethernet  HWaddr 00:50:fc:e2:ac:a4  
          inet addr:192.168.3.235  Bcast:192.168.3.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:4413630 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3971806 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:3776962448 (3.7 GB)  TX bytes:965686223 (965.6 MB)
          Interrupt:16 Base address:0xc000

eth0:236  Link encap:Ethernet  HWaddr 00:50:fc:e2:ac:a4  
          inet addr:192.168.3.236  Bcast:192.168.3.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          Interrupt:16 Base address:0xc000

eth1      Link encap:Ethernet  HWaddr 00:0e:2e:5f:5f:83  
          inet addr:192.168.1.235  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::20e:2eff:fe5f:5f83/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1482898 errors:0 dropped:0 overruns:0 frame:0
          TX packets:977779 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:618808229 (618.8 MB)  TX bytes:193808867 (193.8 MB)
          Interrupt:17 Base address:0xc400

eth1:136  Link encap:Ethernet  HWaddr 00:0e:2e:5f:5f:83  
          inet addr:192.168.1.236  Bcast:192.168.1.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          Interrupt:17 Base address:0xc400

eth1:1237 Link encap:Ethernet  HWaddr 00:0e:2e:5f:5f:83  
          inet addr:192.168.1.237  Bcast:192.168.1.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          Interrupt:17 Base address:0xc400

eth2      Link encap:Ethernet  HWaddr 00:e0:4c:d7:d5:ea  
          inet addr:192.168.0.77  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::2e0:4cff:fed7:d5ea/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:6286790 errors:0 dropped:0 overruns:0 frame:0
          TX packets:7063484 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:2388243964 (2.3 GB)  TX bytes:939807320 (939.8 MB)
          Interrupt:23

eth2:076  Link encap:Ethernet  HWaddr 00:e0:4c:d7:d5:ea  
          inet addr:192.168.0.76  Bcast:192.168.0.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          Interrupt:23

eth2:fo2  Link encap:Ethernet  HWaddr 00:e0:4c:d7:d5:ea  
          inet addr:192.168.2.77  Bcast:192.168.2.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          Interrupt:23

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:32432893 errors:0 dropped:0 overruns:0 frame:0
          TX packets:32432893 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:2314430808 (2.3 GB)  TX bytes:2314430808 (2.3 GB)

tap0      Link encap:Ethernet  HWaddr 4e:1d:1c:0a:22:95  
          inet addr:192.168.60.1  Bcast:192.168.60.255  Mask:255.255.255.0
          inet6 addr: fe80::4c1d:1cff:fe0a:2295/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:17813 errors:0 dropped:0 overruns:0 frame:0
          TX packets:25170 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:1188737 (1.1 MB)  TX bytes:2548491 (2.5 MB)

tap1      Link encap:Ethernet  HWaddr ca:97:a5:2f:c2:fe  
          inet addr:192.168.61.1  Bcast:192.168.61.255  Mask:255.255.255.0
          inet6 addr: fe80::c897:a5ff:fe2f:c2fe/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:11050 errors:0 dropped:0 overruns:0 frame:0
          TX packets:14419 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:930403 (930.4 KB)  TX bytes:3728640 (3.7 MB)

root@ubuntu:~#

в спойлере реальный ifconfig в котором eth2  и eth2:076 это <a> и <b> .
а eth1 и eth1:1237  <c> и <d> . смотрим пост #941 кто не в теме

(Нажмите, чтобы показать/скрыть)

root@ubuntu:~# netstat -n -r
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
192.168.0.76    192.168.1.237   255.255.255.255 UGH       0 0          0 eth1
192.168.3.0     0.0.0.0         255.255.255.0   U         0 0          0 eth0
192.168.2.0     0.0.0.0         255.255.255.0   U         0 0          0 eth2
192.168.1.0     0.0.0.0         255.255.255.0   U         0 0          0 eth1
192.168.0.0     0.0.0.0         255.255.255.0   U         0 0          0 eth2
192.168.60.0    0.0.0.0         255.255.255.0   U         0 0          0 tap0
192.168.61.0    0.0.0.0         255.255.255.0   U         0 0          0 tap1
root@ubuntu:~#

root@ubuntu:/etc/network# more interfaces
auto lo eth0 eth0:236 eth1 eth1:1237 eth1:136 eth2 eth2:076 eth2:fo2

iface lo inet loopback
iface eth0 inet static
   address 192.168.3.235
   netmask 255.255.255.0
   broadcast 192.168.3.255
   gateway 192.168.3.1

iface eth0:236 inet static
   address 192.168.3.236
   netmask 255.255.255.0
   broadcast 192.168.3.255

iface eth1 inet static
   address 192.168.1.235
   netmask 255.255.255.0
   broadcast 192.168.1.255

iface eth1:1237 inet static
   address 192.168.1.237
   netmask 255.255.255.0
   broadcast 192.168.1.255

iface eth1:136 inet static
   address 192.168.1.236
   netmask 255.255.255.0
   broadcast 192.168.1.255

iface eth2 inet static
   address 192.168.0.77
   netmask 255.255.255.0
   broadcast 192.168.0.255

iface eth2:076 inet static
   address 192.168.0.76
   netmask 255.255.255.0
   broadcast 192.168.0.255

iface eth2:fo2 inet static
   address 192.168.2.77
   netmask 255.255.255.0
   broadcast 192.168.2.255

root@ubuntu:/etc/network#



 

а это таблица маршрутизации и файл /etc/network/interfaces

сетевуха eth0 это ещо одна дорога в интерет,не нарисовал чтоб не усложнять,она здесь не при делах(собсно zentyal и выбрал за его способность делить траффик между 2 подключениями и функцию wan failover)
из глюков заметил что не получается изолировать сети интерфейсов eth2 и eth2:fo2  хотя правило делал как здесь  
https://forum.ubuntu.ru/index.php?topic=14041.345    пост #354
  
 и ещё как изменить ту страницу(никак не могу найти где она хранится) которую zentyal выводит при попытке зайти на запрещенные сайты ,хочу на русском сделать,большими красными буквами там написать для особо тупых НЕЛЬЗЯ !,ибо звери звонят c претензией  что у них "интернетов" нет когда в мой мир на mail.ru и одоклассники  попасть не могут.

[Serjio74]

Доброго дня! Стоит Zentyal 2.0.3. Намедни сконфигурил под себя squid.conf (поставил sams2 и открыл порт 8443). Все работает, все крутиться! И тут электричество отрубилось, сервак перегрузился и squid.conf стал прежним как до конфигуриравания. Лано, еще раз исправил, ради интереса ребут, блин и опять откатывается. Также потом выснил что при каком-нибудь исправлении в вэбморде в HTTPproxy также все затирает, что я дописал ручками. Как сделать чтобы он не трогал мои записи?

[Neksi]

Zentyal использует ebox-squid и содержимое обнавляет на основании темплейта
/usr/share/ebox/stubs/squid/squid.conf.mas
пробуй править его, только аккуратно и предварительно сделай копию
в случае чего поможет:
apt-get purge ebox-squid
apt-get install ebox-squid

PS. Если sams2 заработает расскажи как управляешь правами пользователей (через sams2 или Zentyal)

PS. Пробуй lightsquid - рекомендуют на форуме zentyal
      http://forum.zentyal.org/index.php?topic=6006.msg24805#msg24805