Beiträge von ffischer

Hallo,
also ich hab gestern mal via VMWare einen W2k Srv aufgesetzt.
Domain eingerichtet und alles dann die efw Eingerichtet.

Proxy => Auth => Windows => Domain und Host angegeben und Username mit PW
Proxy selber aktiviert und auf "mit Auth" auf grün gespeichert.

die EFW sagte mal zu mir das alles ok ist und er die Einstellungen gespeichert hat, ich bekam die Meldung

Zitat

host is nit configured as a member server. IS authetification active on at least one zone?

Jedoch kann ich noch nicht testen ob die Auth auch dann klappt wen man im Inet surfen möchten aufgrund der VMWare Netzes war dieses noch nicht möglich.

Es gibt noch die Möglichkeit via LDAP hier zu hab ich n Doc gefunden ist zwar IPCOP aber efw war ja mal IPCOP
http://advproxy.net/ldapads.html

gruß

Hallo,
bisher noch nicht versucht.

Werd aber heute abend mal das ganze versuchen auf einem Test System mal sehen ob das klappt.

gruß

Hallo,

und hier meine Lösung die bei mir nun funktioniert hat.

Zertifikat herunterladen mit WindSCP ==>

/etc/httpd/server.crt

IE öffnen => Extras => Internetoptionen => Inhalte => Zertifikate => Importieren => Zertifikat von der EFW angeben
Wichtig: Beim Import darauf achten das das Zertifikat in den Zertifaktsspeicher Vertrauenswürdige Stammzertifizierungsstellen importiert wird.

Damit der Fehler nicht mehr auftaucht jetzt aber nicht über

https://IP_ADRESSE:10443

sondern über den DNS Namen der EFW zugreifen.

https://efw-1227533320.localdomain:10443

Sollte das ganze nicht klappen und der DNS Name nicht aufgelöst werden, so konnte ich mir damit helfen das ich einen Eintrag
in der hosts getätigt habe die unter

c:\windows\system32\drivers\etc\

liegt. In meinem Fall sah der Eintrag wie folgt aus.

192.168.99.2	efw-1227533320.localdomain

gruß Frank

Hallo Willkommen an Board,

das einzigste was ich bisher geschafft habe dieses Zertifikat im Firefox zu Importieren.
Dort funktionierte es auch ohne Probleme.

Ich denke, also sicher bin ich mir nicht daher nur eine Vermutung.
Glaube das das Zertifikat falsch erstellt wird dem Firefox dann beim "klick" auf Erlauben trozdem funktioniert, jedoch der IE
das einfach nicht akzeptiert.

Aber ich arbeite daran, und schau mir das bei Gelegenheit an vll. ist die Lösung ja einfach.

gruß Frank

Hallo,

dein Provider sagt zu dir das du eine Feste IP Adresse auf der Roten Seite angeben muss hast du auch ne passende Subnet Adresse bekommen? Es wird also keine IP Automatisch bei jeder Einwahl bezogen, den Provider kenn ich nicht, lediglich die deutschen 1und1,t-com, freenet usw die mit PPTP u.a. arbeiten können bei ISDN over PPTP wurde immer bei der Einwahl eine IP Adresse und alles vergeben.

Ich konnte bei mir die Einstellungen ändern, ohne einer Meldung.
Eingerichtet wie siehe Screenshot

gruß

Hallo,

5 Netzwerkkarten?
Meine eigenen Erfahrungen waren bisher wenn man bei 4 Karten noch eine hinzufügt, steht diese dann Rot zur Verfügung als Redundanz für einen ISP.
Aber bisher hab ich es noch nicht groß probiert die Einstellungen so zu verändern das man noch ein Netz hinzufügen kann z.B. "lila"

Lässt sich aber sicherlich bewerkställigen jedoch nicht über die Admin WebGUI.

gruß

Hallo Andreas,

dazu hats hier schon einen Thread https://www.efw-forum.de/www/forum/view…=29&start=0
da steht auch eine Lösung wie man die Gruppen richtig anlegen kann.
Es ist ein Bug da hast schon recht

gruß

Kannst die explizieten Fragen ja noch mals stellen.
vll. hat noch jemand anders eine passende idee.

Ja dann am Client eine statische Route,
wenn dann VPN Session getrennt ist hat der Client pech gehabt.
Das würde auch noch gehen.

hm,
der Client soll also nur über die VPN Session eine Verbindung aufbauen und wenn die getrennt wird sperren.

also glaube man müsste ein Script schreiben der die Verbindung überprüft und dann wenn die VPN Verb. getrennt wird
eine Regel erstellt der den Client sperrt.
Jedoch wie man so ein Script schreibt bin ich grad überfragt.
Das wäre so eine Möglichkeit wie man das ggf. Lösen könnte

Hallo,
wie meinst du das mit:

Zitat

Lässt sich die Endian auch so einstellen, dass bei Unterbrechung
der VPN Verbindung jeglicher traffic geblockt wird?

?

Hallo,
und hast du dir das Win SCP angesehen?
Damit kannst du sachen auf die EFW kopieren und auch Dateien bearbeiten.
Später brauchst du auch SSH Zugang mit Putty das Doc gibts auch bei den Downloads.

Hallo Andreas,

du kannst gern mal versuchen den MC zu installieren aufgrund der Abhängigkeiten geht das nicht.
Und Kernel Sourcen installieren auf die Firewall neeee lieber ned

Hallo,
ok lässt sich machen.
Schreibs am WE jetzt mal zusammen.
Schau dir schon mal das Doc im Download an EFW und WinSCP.

gruß

Ja du kannst ein Zertifikat hochladen,
das wäre dann bei Gateway2gateway innerhalb bei VPN im Admin GUI,
oder du gibst die Client Config so an wie du sie dort hast das kannst du ja auch direkt hochladen und auch die ganzen Zertifikate die auf der Webseite von http://ivacy.com/en/doc/user/setup/winxp_openvpn sind.

Später dann die Verbindung per Console initiieren.

Hallo,
ja OpenVPN ist gleich egal ob du eine efw hast
oder einen client oder ein anderes Gerät mit OpenVPN Verbinden möchtest.
Was versuchst du den genau? Ein paar Infos mehr wären sicherlich hilfreich.

gruß

Hallo,
hier mal vorab die Info:

Zitat

Bei der Installation wird zwar die gewünsche IP abgefragt, aber nicht, für welche Schnittstelle. Deshalb die MAC-Adressen vorher aufschreiben.

Das ist immer die erste Netzwerkkarte im System, (je nach Erkennungsreihenfolge)
z.B.
Hast du 4PCI Karten eingebaut ist die oberste von allen "GRÜN" da meist so meine bisherigen Erkentnisse für Installationen PCI 0,1,2,3 erkannt werden

Du kannst aber später alle Netzwerkkarten als grün,rot,blau,orange ansprechen. Dieses geschieht bei der "Netzwerkonfiguration"

Zitat

Das Kennwort für root wird nicht angenommen.

Also den fehler konnte ich bisher noch nicht feststellen.

Zitat

Berechtigungsgruppen werden nicht angenommen.

Meinst du die für Proxy?

einfach den kompletten Inhalt
unter /var/efw/proxy/auth/ncsa löschen.


alle Einträge in der GUI verschwinden und man kann neue Anlegen die dann auch Funktionieren. 


Allerdings nur extended und standart und restricted diese können seperat nicht konfiguriert werden.

Dies wurde schon im BugTraker aufgenommen: http://bugs.endian.com/view.php?id=1318

Das geht schon allerdings kannst du die einzelnen Gruppen nicht konfigurieren da fehlt was,
in der Endian Appliance selber klappt das perfekt nur nicht in der Community Version.

Wie kann man zusätzliche Software installieren, wie z.B. den mc?

Für den Midnight Commander fehlen dir einige Biblioteken, du kannst sie nachträglich installieren, mit den dev tools allerdings ist es dann keine Firewall mehr, da du dann Sourcen auf dieser hast welche wiederum das ganze unsicher gestalten.
Nutz doch einfach WinSCP oder brauchst du was bestimmtes?

gruß Frank

Hallo Andreas,

supi freut mich.
Werd das bei gelegenheit zusammenschreiben und als Dokument bei den HowTo´s reingepackt

Frank

Hallo,

sorry bissl spät drann

also wenn ich mich nicht irre:

Firewallregeln Port 80 und 443 von GRÜN nach ==> ROT = SPERREN( DENY )
Wenn auch kein FTP erlaubt sein soll kannst du den auch sperren und über Proxy laufen lassen, ist aber meist ned so der renner.
Proxy aktivieren im aktiven Modus ohne Auth. erlaubte Ports 80 und 443 usw... FTP für Brwowser

Danach sollte, ohne Client Config mit Proxy Settings kein Client Zugriff möglich sein ( so test hier )

gruß
sagst mir dann bescheid obs auch bei dir klappte
Frank

Edit: Die empfohlenen Ports zur Sperrung sind: 80,81,443,3128,6588,8000,8080,8181

also sehr effektiv ist es den Proxy Transparent zu nehmen, so meine Erfahrungen bisher.

ist etwas fummel arbeit, die Einstellungen so tätigen, das nur der Verkehr über den Proxy geht,
schreibe das mal zusammen und Poste es hier.