ClarkConnect (неофициальная поддержка от VPF)

[VPF]

Столкнулся с неожиданной проблемой. Небольшой виндовый домен на w2k, Кларк - шлюз по умолчанию. Есть еще ISA, держит другой канал, тоже указан как шлюз, но строкой ниже. IP раздаёт основной домен-контроллер по DHCP, 2 DNS-сервера, соответственно основной и дополнительный DC.
Дык клиентские машины не могут разрешать имена интернета. ping ya.ru - хост неизвестен.
Блин, полез в литературу, думал, проблема в настройках DNS . В теории адреса клиентская машина разрешает следующим образом: если имя не содержит точки - значит идет обращение к машине внутри сети, решается запросом к DNS-серверу, опять же внутри сети. Ежели наоборот, имя точку содержит, разрешение имени идет через шлюз по умолчанию. Клиентская машина сначала ищет имя и кеш, затем запрос в DNS, затем в WINS(если разрешен), после чего широковещательный запрос по сети.
При использовании ISA таких вопросов, естественно, не возникало, поскольку там есть ISA-клиент, а в настройках сервера можно указать, как разрешать имена конкретным приложениям, например аське и зы бату и пр...
Если в настройках выставить Кларк как первый DNS-сервер - проблем с разрешением имен интернета нет, но возникает дополнительная нагрузка на сеть за счет широковещательных запросов, потому как DNS в кларке не содержит сведений о компах внутри сети.
Проблема не касается приложений, которым можно чётко определить шлюз, порт и аутентификацию.
Может, я чего не догоняю? VPF, а как у Вас с этим решилось?

Честно говоря, не понял, какие именно проблемы имеют место быть?

У меня схема несколько отличается. Домен работает на W2003 и там же работает ДНС и АД. На клиентских ПК и на шлюзе CC первым ДНС указан W2003, а вторым - СС.

А имена ПК можно прописать на CC
Menu -> Network -> Hosts

[berDrug]

VPF, еще раз спасибо. Проблема была в настройках DNS-сервера, точнее в зоне прямого просмотра DNS имеелась зона «.». Решена после прочтения статьи http://support.microsoft.com/kb/291382/ru.
Кларк снова рулит.

[VPF]

Хочу и я обратиться к пользователям CC.

Я использую версию Office Edition.
Для временного запрета отдельным пользователям доступа к интернету (прокси) я использую

Код: Выделить всё

/etc/dansguardian/banneduserlist

а для доступа к интернету без ограничений

Код: Выделить всё

/etc/dansguardian/exceptionuserlist

На моём сервере это отлично работает.

Но у меня есть клиент, которому я установил версию Enterprise Edition.
У них кол-во ПК и пользователей не превышает 10, поэтому и выбрали данную версию.
Клиент попросил внести 2-х пользователей в список полного доступа.
И вот тут оказалось, что данный механизм на том сервере не работает.

Поскольку версия Enterprise Edition основана на Community Edition, то прошу проверить пользователей указанных версий, работают ли у вас списки запрета и разрешения, указанные выше?

[berDrug]

Community Edition. Списки разрешения не работают. Проверено.

[VPF]

Community Edition. Списки разрешения не работают. Проверено.

На всякий случай уточняю: рестарт сервиса не забыл сделать после внесения изменений?

Код: Выделить всё

/etc/init.d/dansguardian restart

[berDrug]

На всякий случай уточняю: рестарт сервиса не забыл сделать после внесения изменений?

Нет, не забыл...
Разрешения тестировал еще пару недель назад...

[VPF]

На всякий случай уточняю: рестарт сервиса не забыл сделать после внесения изменений?

Нет, не забыл...
Разрешения тестировал еще пару недель назад...

Получается, что Office Edition самая удачная версия. Без этих функций мне было бы сложно управлять пользователями.
Ладно Community Edition, но для Enterprise Edition это большой минус.
Посмотрим, может быть в последней версии 4.2 добавят возможность управления пользователями, поскольку такая информация была. Придётся подождать около месяца до полной ясности в этом вопросе.

[berDrug]

Версия ClarkConnect 4.2 - Alpha #1 - August 23, 2007 - оказывается, уже доступна для скачивания...
Больше всего порадовало включение
- Content filter group support
- Microsft Active Directory support for the web proxy / content filter

Это есть гуд...

[Suleiman]

Помогите настроить сбор почты с mail ru.
Что надо писать в строке "Сервер" и в строке "Папка" в настройках профиля удаленного почтовика?
У меня при попытке получить почту пишет:
Сбор почты: Cannot connect to the remote mail server: Can't open mailbox {http://mail.ru:110/pop3}: invalid remote specification
Кто сталкивался?
З.Ы. Кларк настроен как стандалоне, через IPCop, ни прокси ни фаер на кларке не включены, отправляется почта нормально, получатся не хочет. Порты 25 и 110 открыты на прямую на шлюзе.

[VPF]

Помогите настроить сбор почты с mail ru.
Что надо писать в строке "Сервер" и в строке "Папка" в настройках профиля удаленного почтовика?
У меня при попытке получить почту пишет:
Сбор почты: Cannot connect to the remote mail server: Can't open mailbox {http://mail.ru:110/pop3}: invalid remote specification
Кто сталкивался?
З.Ы. Кларк настроен как стандалоне, через IPCop, ни прокси ни фаер на кларке не включены, отправляется почта нормально, получатся не хочет. Порты 25 и 110 открыты на прямую на шлюзе.

Мне кажется, что IPCop лишний в вашей схеме.
Надо было вместо него настроить CC как gateway и всё необходимое запускать на нём.

Теперь о проблеме.
Что за строка "Папка"?
Не вижу такой в настройках...
Настройка производится через
Menu -> Software -> Maildrop

Пример настроек:
Server: pop.mail.ru (надо указать точное имя или ip)
Protocol: pop
Username: xxxx (укажите логин к удалённому почтовому ящику)
Password: zzzz (укажите пароль к удалённому почтовому ящику)
Local User: aaa (укажите логин того пользователя, которому будет передаваться полученная с этого ящика почта. Пользователь должен быть зарегистрирован на сервере СС как постовый пользователь)
Keep On Server: (если поставить галочку, то вся почта на удалённом ящике будет сохраняться)
Active: (нужно поставить галочку, чтобы это задание было активным)

Если же проблема остаётся, то необходимо разбираться с настройками IPCop и авторизацией на удалённом почтовом сервере.

[Suleiman]

Спасибо, заработало!
Чего то я протупил, удаленный сервер указывал mail.ru а не pop.mail.ru
И еще поменял протокол с "POP" на "POP, no TLS" иначе не фурычит.
P.S. Не нашел у себя: Menu -> Software -> Maildrop
Я настраиваю Horde, а там навигация в настройках по другому(вроде).

[VPF]

Спасибо, заработало!
Чего то я протупил, удаленный сервер указывал mail.ru а не pop.mail.ru
И еще поменял протокол с "POP" на "POP, no TLS" иначе не фурычит.
P.S. Не нашел у себя: Menu -> Software -> Maildrop
Я настраиваю Horde, а там навигация в настройках по другому(вроде).

Надо было пояснить, что нужна настройка из Horde.

Основной вариант забора почты настраивается через maildrop (так они назвали Fetchmail).
Чтобы это было доступно, необходимо сначала установить пакет maildrop.
Просто он изначально не установлен в системе.

[Suleiman]

Здравствуйте, а не могли бы Вы немного рассказать о вкладках "Antispam", "Antispam-Dspam", нужно ли их включать?
К сожалению с антиспамовыми системами не работал ни когда.
Да, и за maildrop спасибо, установил настроил! Правда пришлось с прокси повозится, не мог зарегестрировать систему, оказалось используется порт 433. После открытия порта все прошло.

[VPF]

Здравствуйте, а не могли бы Вы немного рассказать о вкладках "Antispam", "Antispam-Dspam", нужно ли их включать?
К сожалению с антиспамовыми системами не работал ни когда.
Да, и за maildrop спасибо, установил настроил! Правда пришлось с прокси повозится, не мог зарегестрировать систему, оказалось используется порт 433. После открытия порта все прошло.

Не понял про порт 433.
Какой службой он используется?
Для взаимодействия удалённых серверов и служб ClarkConnect с вашим сервером используется сервис
WebServices Web Services TCP 1875
необходимо добавить это правило через
Network -> Incoming

Антиспамовые и антивирусные службы необходимо включить.
Настройки там очень простые.
Свой скриншот я прилагаю.

Но, если ваш сервер работает как полноценный почтовый сервер со своим доменом и самостоятельно принимает почту от других серверов, то для настоящей защиты необходимо добавить код в конфиг Postfix. Код я публиковал в одном из ответов (смотрите выше).

[Suleiman]

- Не понял про порт 433.
- Какой службой он используется?
Все просто, выше я писал что у меня работает IPCop почти два года(и менять его не хочу, т.к. устраивает),
сейчас решил настроить мэйлсервер и FTP, вот и настраиваю "кларк". Т.к. в нем нет возможности настроить его через прокси(а на IPCop DMZ не настроен) приходится рулить фаерволом на шлюзе(IPCop), и на нем пришлось открыть 443 порт для возможности регистрации и обновления с сайта кларка.
P.S. в принципе можно было бы настроить и полноценный дистр линукса для этих задач, но учитывая то, какая машина для этого используется, это было бы смешно!
P.P.S. У меня шлюз работает на машине "цюрикс 366, RAM 64mb HDD 4Gb" на 32 человека.

[apso]

Сейчас полностью переделываю сеть на 15 машин, обратил внимание на CC, жалко что приходится отказываться от СС в качестве шлюза т.к. в бесплатной версии нет DMZ а он нужен, зато собираюсь поставить СС как внутренный samba сервер, сервер печати.
но есть проблема: ставить внутри сети почтовик неправильно, но хочется авторизацию по ldap для всех сервисов, вопрос можно ли будет объеденить два компа на CC один в DMZ другой внутри сети на котором будет база ldap?

[VPF]

Сейчас полностью переделываю сеть на 15 машин, обратил внимание на CC, жалко что приходится отказываться от СС в качестве шлюза т.к. в бесплатной версии нет DMZ а он нужен, зато собираюсь поставить СС как внутренный samba сервер, сервер печати.
но есть проблема: ставить внутри сети почтовик неправильно, но хочется авторизацию по ldap для всех сервисов, вопрос можно ли будет объеденить два компа на CC один в DMZ другой внутри сети на котором будет база ldap?

Всё же не совсем понятно, зачем нужны два сервера?

Почтовый сервер можно установить в локальной сети, а на шлюзе сделать проброс портов для почтовика. У меня таким образом работал мой первый почтовый сервер на Mandrake.

Только у бесплатной версии CC есть ограничение на почтовые ящики - не более 10.

[nix3]

Внесу и я свои пять копеек.
Кларк опробовал еще в версии 3.2 на VMware. Но когда пришло время устанавливать вживую, появился 4.1.
С тех пор стоит уже около 4х месяцев бесплатная версия. Ни одного глюка не замечено. Очень удобная система.
Прекрасно работает Bind, обслуживает реальный внешний домен.
В качестве почтовика работает Kerio, привычка.
Все управление практически ведется через Webmin и Ssh.

Вобщем я очень доволен. Сейчас поставил такую же сборку в другом месте. Думаю не зря. Тут пользователей 80. Здесь до этого стоял 2х процессорный сервак (1Гб, SCSI) под виндой и керио файрволом (не подумайте - лицензия). Все через какое-то время начинало с жуткими тормозами работать. Сейчас машинка под систему представляет из себя 3й пень 1,3 GHz, 2 SCSI в зеркале и 512Mb.

Сподвигла на такую перестановку именно первая проба. Тормозов никаких, да и железо не сильно новое (Celeron 1,2Ghz, 256 Mb) на 25 пользователей. Скорость возросла в разы. При всем при этом на машине работает почтовик, веб сервер, фтп (для узкого круга =)

Пакеты в большей степени использовал от 8-9го RedHat и 4й Fedora Core.

Да, может это и не важно, но я тут видел вопросы, в качестве генератора отчетов раотает SARG.

[apso]

Сейчас полностью переделываю сеть на 15 машин, обратил внимание на CC, жалко что приходится отказываться от СС в качестве шлюза т.к. в бесплатной версии нет DMZ а он нужен, зато собираюсь поставить СС как внутренный samba сервер, сервер печати.
но есть проблема: ставить внутри сети почтовик неправильно, но хочется авторизацию по ldap для всех сервисов, вопрос можно ли будет объеденить два компа на CC один в DMZ другой внутри сети на котором будет база ldap?

Всё же не совсем понятно, зачем нужны два сервера?

Почтовый сервер можно установить в локальной сети, а на шлюзе сделать проброс портов для почтовика. У меня таким образом работал мой первый почтовый сервер на Mandrake.

Только у бесплатной версии CC есть ограничение на почтовые ящики - не более 10.

понятно что можно порты пробросить но это не безопасно, если взломают почтовик который во внутренней сети будет то могут и в сеть залезть , руководству на безопасность ничего не жалко, как раз переношу web сайт в офис с хостинга поэтому выделили отдельный компьютер под web на него же и хочу поставить почтовик в DMZ вроде классическая схема разве нет?

да 10 ящиков конечно в притык но пока хватит

все таки что с LDAP или так нереально соеденить?


PS. в качеcтве маршрутизатора выбрал monowall но это уже отдельная тема.

[VPF]

понятно что можно порты пробросить но это не безопасно, если взломают почтовик который во внутренней сети будет то могут и в сеть залезть , руководству на безопасность ничего не жалко, как раз переношу web сайт в офис с хостинга поэтому выделили отдельный компьютер под web на него же и хочу поставить почтовик в DMZ вроде классическая схема разве нет?

да 10 ящиков конечно в притык но пока хватит

все таки что с LDAP или так нереально соеденить?
PS. в качеcтве маршрутизатора выбрал monowall но это уже отдельная тема.

Вот вы говорите, что денег на безопасность готовы выделить.
Зачем тогда всё усложнять?

Купите одну коммерческую версию CC Office, в которой нет ограничений по почтовым ящикам. Этот сервер будет у вас и шлюзом и прокси и почтовиком и т.д. Стоимость его - от 2 т.р. в год (окончательная сумма зависит от кол-ва выбранных платных сервисов и уровня техподдержки).

А для сайта возьмите бесплатную версию СС и разместите его в DMZ.

Я тоже собираюсь перенести сайт к себе и для этого как раз планирую ввести ещё один сервер с бесплатным СС и разместить его в DMZ.

[nix3]

Добавлю еще пару строк. (Речь о бесплатной версии 4.1)
Сегодня опробовал соединение двух офисов по VPN, все работает.
Появится время, попробую проверить, создав трастовые отношения доменов.

[apso]

понятно что можно порты пробросить но это не безопасно, если взломают почтовик который во внутренней сети будет то могут и в сеть залезть , руководству на безопасность ничего не жалко, как раз переношу web сайт в офис с хостинга поэтому выделили отдельный компьютер под web на него же и хочу поставить почтовик в DMZ вроде классическая схема разве нет?

да 10 ящиков конечно в притык но пока хватит

все таки что с LDAP или так нереально соеденить?
PS. в качеcтве маршрутизатора выбрал monowall но это уже отдельная тема.

Вот вы говорите, что денег на безопасность готовы выделить.
Зачем тогда всё усложнять?

Купите одну коммерческую версию CC Office, в которой нет ограничений по почтовым ящикам. Этот сервер будет у вас и шлюзом и прокси и почтовиком и т.д. Стоимость его - от 2 т.р. в год (окончательная сумма зависит от кол-ва выбранных платных сервисов и уровня техподдержки).

А для сайта возьмите бесплатную версию СС и разместите его в DMZ.

Я тоже собираюсь перенести сайт к себе и для этого как раз планирую ввести ещё один сервер с бесплатным СС и разместить его в DMZ.

нужно подумать. опасно валить все сервисы на одну машину тем более что под сервера выделено три машины (P3, P4 и P4), сегодня настроил шлюз на monowall, одна машинка освободилась буду завтра на неё СС ставить пока бесплатную версию, посмотрю, опробую, там видно будет почта и сайт пока на хостинге.
наверное двух СС у меня все таки не будет нужно хотябы один дистр полновесный ставить.
насчет усложнения: дело в том что существует еще внутренняя прога учета на PHP&MySQL можно ее конечно на СС поставить, но пока не решил, там все с этими сервисами стандартно, ничего не урезано? используются нетрадиционные модули PHP.

[VPF]

нужно подумать. опасно валить все сервисы на одну машину тем более что под сервера выделено три машины (P3, P4 и P4), сегодня настроил шлюз на monowall, одна машинка освободилась буду завтра на неё СС ставить пока бесплатную версию, посмотрю, опробую, там видно будет почта и сайт пока на хостинге.
наверное двух СС у меня все таки не будет нужно хотябы один дистр полновесный ставить.
насчет усложнения: дело в том что существует еще внутренняя прога учета на PHP&MySQL можно ее конечно на СС поставить, но пока не решил, там все с этими сервисами стандартно, ничего не урезано? используются нетрадиционные модули PHP.

Для сети из 15 машин ставить 3 сетевых сервера - это расточительство.
У меня СС (P3-933) обслуживает 35 машин. Он является шлюзом + защита от атак + прокси с фильтрацией + почтовый сервер с антиспамом и антивирусом. Вот он у меня действительно работает на пределе, поскольку только отвергает спама более 2 тысяч писем в день. Собираюсь как раз помощнее выделить под него машину (P4 2,66 или 2,8 ГГц и ОЗУ 1-2 ГГб). За безопасность я не волнуюсь, СС себя защищает на все 100%. За год эксплуатации не было ни одной проблемы. Хотя попытки вторжения фиксируются и блокируются десятками ежедневно.
Да, чуть не забыл, уже неделю как мы подключили ещё один интернет-канал. У нас был ADSL (но всего 512 Кбит) и мы ещё подключили радио-канал WiMAX (средняя скорость 1,5 Мбит). Так СС управляет обеими и балансирует нагрузку.

Что касается использования специализированных самописных программ на СС - ничего не могу сказать, но в целях сохранения целостности и безопасности - не советую.

[apso]

нужно подумать. опасно валить все сервисы на одну машину тем более что под сервера выделено три машины (P3, P4 и P4), сегодня настроил шлюз на monowall, одна машинка освободилась буду завтра на неё СС ставить пока бесплатную версию, посмотрю, опробую, там видно будет почта и сайт пока на хостинге.
наверное двух СС у меня все таки не будет нужно хотябы один дистр полновесный ставить.
насчет усложнения: дело в том что существует еще внутренняя прога учета на PHP&MySQL можно ее конечно на СС поставить, но пока не решил, там все с этими сервисами стандартно, ничего не урезано? используются нетрадиционные модули PHP.

Для сети из 15 машин ставить 3 сетевых сервера - это расточительство.
У меня СС (P3-933) обслуживает 35 машин. Он является шлюзом + защита от атак + прокси с фильтрацией + почтовый сервер с антиспамом и антивирусом. Вот он у меня действительно работает на пределе, поскольку только отвергает спама более 2 тысяч писем в день. Собираюсь как раз помощнее выделить под него машину (P4 2,66 или 2,8 ГГц и ОЗУ 1-2 ГГб). За безопасность я не волнуюсь, СС себя защищает на все 100%. За год эксплуатации не было ни одной проблемы. Хотя попытки вторжения фиксируются и блокируются десятками ежедневно.
Да, чуть не забыл, уже неделю как мы подключили ещё один интернет-канал. У нас был ADSL (но всего 512 Кбит) и мы ещё подключили радио-канал WiMAX (средняя скорость 1,5 Мбит). Так СС управляет обеими и балансирует нагрузку.

Что касается использования специализированных самописных программ на СС - ничего не могу сказать, но в целях сохранения целостности и безопасности - не советую.

я имел ввиду не под СС программу, она на PHP написана, ведь в СС есть web сервер туда и поставить.

три машины это необходимость: внутренний сервер обслуживает домен с профилями пользователей, файл сервер, бекап данных с рабочих станций, интранет сайт, php приложение, mysql , работают сразу несколько пользователей, активно работает GD библиотека, сейчас это все на винде хочу перевести на СС.
вторая машина будет использоваться под веб и может быть под почтовый сервер, на сайте пользователи будут генерировать объемный PDF с изображениями, для почты нужен будет антивирус и антиспам. наверное будет под Fedora, эти две машины P4 1GB, шлюз же по моему убеждению должен оставаться шлюзом для него выделена машина P3, там squid, vpn с шифрованием для удаленного подключения офиса.

сеть может расширятся все нужно предусмотреть, сейчас офигительная нагрузка на mysql приложение на PHP совершенно не оптимизировано за одну загрузку странички около 50 запросов.
канал сейчас будет стрим безлим 2 MB резерв тоже хотелось но других каналов с белыми IP нет

[VPF]

три машины это необходимость: внутренний сервер обслуживает домен с профилями пользователей, файл сервер, бекап данных с рабочих станций, интранет сайт, php приложение, mysql , работают сразу несколько пользователей, активно работает GD библиотека, сейчас это все на винде хочу перевести на СС.

СС хотите сделать контроллером домена для сети Windows?
Если всё получится, то не забудьте рассказать потом.
Всё собирался попробовать его в этой роли в одной из небольших фирм, но руки не доходят.

В СС наиболее сильная часть - это защита от вторжений, прокси с фильтрацией и почтовый сервер с антиспамом и антивирусом. Эффективность использования его, как платформы для своих задач будет такая же как и любого другого серверного дистрибутива.

[gangan1018]

Как через Community Edition 4.1 пустил Н323 трафик в локалку

1. Установил Community Edition 4.1
2. Зарегистрировал и установил все обновления
3. Установил пакеты cc-multiwan-4.1-36.i386.rpm и cc-firewall-dmz-4.1-30.i386.rpm из Office Edition 4.1
4. В настройках Firewoll-a появились 1-to-1 NAT и Multi- WAN
5. Через 1-to-1 NAT сделал Трансляцию и подмену адреса
6. /etc/init.d/firewall restart
7. И все отлично работает второй месяц

[VPF]

Как через Community Edition 4.1 пустил Н323 трафик в локалку

1. Установил Community Edition 4.1
2. Зарегистрировал и установил все обновления
3. Установил пакеты cc-multiwan-4.1-36.i386.rpm и cc-firewall-dmz-4.1-30.i386.rpm из Office Edition 4.1
4. В настройках Firewoll-a появились 1-to-1 NAT и Multi- WAN
5. Через 1-to-1 NAT сделал Трансляцию и подмену адреса
6. /etc/init.d/firewall restart
7. И все отлично работает второй месяц

Русский метод?
Это, конечно, замечательно... но это незаконо
Понятно, что пакеты будут работать, но, ещё раз повторюсь, - нехорошо это...
Да и на форуме запрещается публиковать незаконные методы.

PS. Я когда первый раз пытался оплатить СС карточкой, то возникли проблемы. Обратился с вопросом к ним, мол помогите разобраться. Так вот мне ответили, что много попыток из России обманных, поэтому перестраховываются. Я подтвердил свои данные и вопрос был снят. Мне не очень нравится, когда мне не доверяют только потому, что я из России, но основания для этого есть...
Пора изменить свои взгляды на некоторые вещи и стараться жить по общепринятым нормам.

[bokr30]

Вот сталкнулся с такой проблемой :
в версии 4.1
почему при включении прозрачного прокси такие проблемы ?

[VPF]

Вот сталкнулся с такой проблемой :
в версии 4.1
почему при включении прозрачного прокси такие проблемы ?

Попробуй выполнить из консоли:

Код: Выделить всё

/etc/init.d/dansguardian stop
/etc/init.d/squid restart
/etc/init.d/dansguardian start

[apso]

VPF, впечатлен возможностями СС по управлению пользователями, очень удобно, главное что авторизация получается единой, предварительно решил ставить так: на маршрутизатор (P3) СС сервисы: firewall, DNCP,VPN,SSH,mail сервер, прозрачный proxy, ldap. на внутренний сервак CC (samba PDC, backup, cups, для внутренней программы apache и Mysql), в DMZ WEB и FTP сервак на fedora 6.

если получится соеденить внтурненний сервак к ldap на шлюзе то будет вообще замечательно.
только боюсь за производительность маршрутизатора на P3.
вопрос: антивирусный и антиспам модуль являются бесплатными и/или имеют какие то ограничения, их отдельно нужно ставить или уже в комплекте?