Re: [Sysadmins] Проблемма при подключении к уд аленному VPN серверу
Serge writes: В сообщении от Sunday 16 September 2007 17:33:39 Maxim Tyurin написал(а): Denis Medvedev пишет: К сожалению, VPN ipsec и NAT не очень дружат. См. http://www.ccc.ru/magazine/depot/01_03/read.html?web.htm А кто-нибудь расскажет как вообще настраивать ipsec NAT на сервере? На серверах. Вообще-то ipsec не совместим с nat и вместе не работают. Можно покалечить ipsec и сделать инкапсуляцию в udp. Делается параметром nat_traversal=yes в openswan. Но так должны работать оба конца туннеля. P.S. Если от nat никак не избавиться легче использовать что-то вроде openvpn и не морочить себе голову. я вообще не использую в своем случае ipsec. я посредством NAT подключаюсь с машин (WinXP) из локальной сети к VPN серверу, находящийся в инете Для win VPN это pptp -- With Best Regards, Maxim Tyurin JID:[EMAIL PROTECTED] ___ / _ )__ _ ___ ___ _ / _ / // / _ \/ _ `/ _ `/ __/ // (_- //\_,_/_//_/\_, /\_,_/_/ \_,_/___/ /___/ ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Проблемма при подключении к уд аленному VPN серверу
Serge writes: В сообщении от Sunday 16 September 2007 13:55:12 Alexey Borovskoy написал(а): * Воскресенье 16 сентября 2007 LIO Здравствуйте. 16.09.2007 14:07 Serge wrote: S Здравствуйте! S Есть роутер, смотрящий в локалку (интерфейс eth0) и в (интернет eth1) S Сервер поднят на ALT Linux Master 2.4 + update S ... S На роутере сделал NAT (SNAT) для локальной сети: 172.26.18.0/24 S... S У кого какие есть мысли? Мысль: Разрешено только одно подключение к VPN серверу. или ip_gre надо заворачивать в udp. типа nat traversal. не понял, если можно здесь по подробней (как именно) В openswan уже давно включен nat патч. Нужен openswan на обоих концах туннеля. И в конфиге параметр nat_traversal=yes Более подробно расписано в соответствующем README в тарболе openswan. -- With Best Regards, Maxim Tyurin JID:[EMAIL PROTECTED] ___ / _ )__ _ ___ ___ _ / _ / // / _ \/ _ `/ _ `/ __/ // (_- //\_,_/_//_/\_, /\_,_/_/ \_,_/___/ /___/ ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Проблемма при подключении к уд аленному VPN серверу
On 2007-09-17 08:46:52 +0300, Serge wrote: S В сообщении от Sunday 16 September 2007 17:33:39 Maxim Tyurin написал(а): S Denis Medvedev пишет: S К сожалению, VPN ipsec и NAT не очень дружат. См. S http://www.ccc.ru/magazine/depot/01_03/read.html?web.htm S А кто-нибудь расскажет как вообще настраивать ipsec S NAT на сервере? S S На серверах. Вообще-то ipsec не совместим с nat и вместе не работают. S Можно покалечить ipsec и сделать инкапсуляцию в udp. S Делается параметром nat_traversal=yes в openswan. S Но так должны работать оба конца туннеля. S S S P.S. Если от nat никак не избавиться легче использовать что-то вроде S openvpn и не морочить себе голову. S я вообще не использую в своем случае ipsec. S я посредством NAT подключаюсь с машин (WinXP) из локальной сети к VPN серверу, S находящийся в инете Я для такой задачи использую openvpn и забыл о проблемах -- Regards, Alexander ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Проблемма при подключении к уд аленному VPN серверу
В сообщении от Monday 17 September 2007 10:13:45 Maxim Tyurin написал(а): Serge writes: В сообщении от Sunday 16 September 2007 17:33:39 Maxim Tyurin написал(а): Denis Medvedev пишет: К сожалению, VPN ipsec и NAT не очень дружат. См. http://www.ccc.ru/magazine/depot/01_03/read.html?web.htm А кто-нибудь расскажет как вообще настраивать ipsec NAT на сервере? На серверах. Вообще-то ipsec не совместим с nat и вместе не работают. Можно покалечить ipsec и сделать инкапсуляцию в udp. Делается параметром nat_traversal=yes в openswan. Но так должны работать оба конца туннеля. P.S. Если от nat никак не избавиться легче использовать что-то вроде openvpn и не морочить себе голову. я вообще не использую в своем случае ipsec. я посредством NAT подключаюсь с машин (WinXP) из локальной сети к VPN серверу, находящийся в инете Для win VPN это pptp как правильно я понял, нужно на роутере произвести соединение с удаленным VPN сервером посредством pptp и полученное соединение nat-ить правильно? ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Проблемма при подключении к уд аленному VPN серверу
Serge writes: В сообщении от Monday 17 September 2007 10:13:45 Maxim Tyurin написал(а): Serge writes: В сообщении от Sunday 16 September 2007 17:33:39 Maxim Tyurin написал(а): Denis Medvedev пишет: К сожалению, VPN ipsec и NAT не очень дружат. См. http://www.ccc.ru/magazine/depot/01_03/read.html?web.htm А кто-нибудь расскажет как вообще настраивать ipsec NAT на сервере? На серверах. Вообще-то ipsec не совместим с nat и вместе не работают. Можно покалечить ipsec и сделать инкапсуляцию в udp. Делается параметром nat_traversal=yes в openswan. Но так должны работать оба конца туннеля. P.S. Если от nat никак не избавиться легче использовать что-то вроде openvpn и не морочить себе голову. я вообще не использую в своем случае ipsec. я посредством NAT подключаюсь с машин (WinXP) из локальной сети к VPN серверу, находящийся в инете Для win VPN это pptp как правильно я понял, нужно на роутере произвести соединение с удаленным VPN сервером посредством pptp и полученное соединение nat-ить правильно? Поднимать на роутере pptp туннель. И раздавать его для машин в локалке. Можно через nat. -- With Best Regards, Maxim Tyurin JID:[EMAIL PROTECTED] ___ / _ )__ _ ___ ___ _ / _ / // / _ \/ _ `/ _ `/ __/ // (_- //\_,_/_//_/\_, /\_,_/_/ \_,_/___/ /___/ ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
[Sysadmins] Сертификация по классу 1-Г
Здравствуйте! Для работы с персональными данными нужна сертификация по классу 1-Г. Из разговора с представителем Ками-Север выяснилось, что кроме сертифицированной операционной системы нужно еще устанавливать электронный замок Соболь PCI-2U, который блокирует загрузку с любых накопителей кроме HDD. На шлюзе нужен замок + ПО + сертификация уже по другому классу. Были ли прецеденты сертификации сеть/клиенты/сервер/шлюз не под Windows? -- С уважением, Дворников Михаил. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Сертификация по классу 1-Г
Дворников М.В. пишет: Здравствуйте! Для работы с персональными данными нужна сертификация по классу 1-Г. Из разговора с представителем Ками-Север выяснилось, что кроме сертифицированной операционной системы нужно еще устанавливать электронный замок Соболь PCI-2U, который блокирует загрузку с любых накопителей кроме HDD. На шлюзе нужен замок + ПО + сертификация уже по другому классу. Были ли прецеденты сертификации сеть/клиенты/сервер/шлюз не под Windows? Естественно были - всё МО работает (должно работать) на сертифицированном оборудовании и ПО. Вместо Соболя, видимо, можно использовать Аккорд. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
[Sysadmins] Postfixadmin and Office Server 4
Вопрос: кто-либо ставил/работает с postfixadmin на 4 бранче? Что надо доустановить? Если не по теме вопрос, ответьте в личку пожалуйста. -- С уважением, Андрей Новосёлов. Registered linux user 282220 Mail: ksynolog_at_ukr.net JID : gnostik_at_jabber.ru ICQ UIN 162278208 ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] etcnet
On Thursday 13 September 2007, Andrew Kornilov wrote: В общем, нашел проблему: 26: [EMAIL PROTECTED]: BROADCAST,MULTICAST,UP,LOWER_UP mtu 1500 qdisc noqueue Сделать раздел limitations может быть и написать список запрещённых названий интерфейсов ? -- С уважением, Сергей [EMAIL PROTECTED] ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] tune2fs
Здравствуйте. 12.09.2007 18:41 LIO wrote: TB А как наиболее правильно настроить проверки файловой системы чтобы с TB одной стороны не приходилось бегать к серверу когда он при перезагрузке TB находит ошибки, чтобы запустить там fsck. А с другой стороны, чтобы и TB ошибки на диске не возникали и своевременно отстреливались? Может, перейти на ext3? -- Binary yours, LIO ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] tune2fs
12 сентября 2007 г. Timur Batyrshin написал: А как наиболее правильно настроить проверки файловой системы чтобы с одной стороны не приходилось бегать к серверу когда он при перезагрузке находит ошибки, чтобы запустить там fsck. А с другой стороны, чтобы и ошибки на диске не возникали и своевременно отстреливались? Думаю, поставить IP-KVM с консолью. :) -- ABATAPA ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] tune2fs
Здравствуйте LIO В сообщении от Понедельник 17 сентября 2007 LIO написал(a): Может, перейти на ext3? Проверка ext3 проходит быстрее, но не отменяет возможность появления запроса на fsck при включении компа. -- А ещё говорят так (fortune): С уважением Хихин Руслан signature.asc Description: This is a digitally signed message part. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Сертификация по классу 1-Г
Здравствуйте Дворников М.В. В сообщении от Понедельник 17 сентября 2007 Дворников М.В. написал(a): Anton Farygin пишет: Примерный список действий опишите. Находите контору, которая занимается сертификацией, заключаете с ней договор и платите деньги. Дальше они сами подскажут что надо делать. -- А ещё говорят так (fortune): One of the pleasures of reading old letters is the knowledge that they need no answer. -- George Gordon, Lord Byron С уважением Хихин Руслан signature.asc Description: This is a digitally signed message part. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Postfixadmin and Office Server 4
On Mon, 17 Sep 2007 14:00:20 +0300 Андрей Новосёлов wrote: Вопрос: кто-либо ставил/работает с postfixadmin на 4 бранче? Что надо доустановить? Если не по теме вопрос, ответьте в личку пожалуйста. Лицензия PostfixAdmin - не свободная. Есть форк, OpenVISPAdmin, под MPL. У меня есть (почти) готовая сборка, с почти готовой инструкцией по установке. И планы довести её до Sisyphus до конца месяца. Если интересно текущее состояние - то ftp://ftp.ossg.ru/APT.OSSG/SRPMS.OSSG/ova-0.97-alt0.2.cvs20070811.src.rpm ftp://ftp.ossg.ru/APT.OSSG/noarch/RPMS.OSSG/ova-0.97-alt0.2.cvs20070811.noarch.rpm ftp://ftp.ossg.ru/APT.OSSG/noarch/RPMS.OSSG/ova-php4-0.97-alt0.2.cvs20070811.noarch.rpm ftp://ftp.ossg.ru/APT.OSSG/noarch/RPMS.OSSG/ova-php5-0.97-alt0.2.cvs20070811.noarch.rpm Инструкция в /usr/share/doc/ova-0.97/sample-config/README.ALT, пошаговая, но особо без пояснительного текста. Поднималось в отдельных VPS, на связке postfix + dovecot + amavisd + policyd + MySQL. Работает вполне нормально. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins