» Ideco Internet Control Server 2.5

3lastman

Цитата:

поддержка работает несмотря на то что не могут дать вразумительных ответов

красиво сказал =)
и я с тобой полностью согласен

обращался в поддержку по ICQ, спрашивал как настроить Ideco на колокейшене, ответы получил не в тему, такое чувство что человек в предмете слабо разбирается...

закончили на том, что на вопрос "КАК" получил ответ "ДА" =)
может у них там Джамшут подержкама красивий деляет:

Цитата:

Я (13:11:51 24/03/2009)
1) у меня на сервере всего 1 ип и он белый, к примеру 212.1.1.1
2) чтобы запустить ICS я вставлю еще 1 сетевую карту, но нет смысла втыкать в нее кабель потому что хаб только 1
3) клиенты из других сетей (глобальных!) заходят на мой впн через 212.1.1.1, получают адреса из пула 10.0.0.0/24, и ходят в мир через впн-канал, т.е. ICS натит 10.0.0.0/24 через 212.1.1.1

теперь вопросы: как для этого настоить IdecoICS, сколько и каких интерфейсов сконфигурить, адрес 212.1.1.1 вешать на внутренний или внешний?

Support2.ideco (13:15:02 24/03/2009)
При таком раскладе всё без проблем будет работать.

У меня в упор не видит при установке набортную сетевуху PCI-E. Может кто сталкивался? Подскажите пожалуйста как решить
Заранее спасибо

dib этот продукт полностью Линуховый? Чет я нормального описания не нашел.

Цитата:

У меня в упор не видит при установке набортную сетевуху PCI-E. Может кто сталкивался? Подскажите пожалуйста как решить
Заранее спасибо

Обратиться в суппорт, указав модель сетевухи, они сейчас быстро новые драйвера добавляют. А версия, кстати, 3.0? в ней поддержка оборудования побольше будет.
Кроме того, можете посмотреть есть ли ваша карта здесь:
http://www.ideco-software.ru/forum/default.aspx?g=posts&t=2378


Цитата:

dib этот продукт полностью Линуховый? Чет я нормального описания не нашел.

Да, полностью на Linux

Народ, помогите пожалуйста, может кто сталкивался. Мне треба создать правило для файервола. Запрещающего все кроме почты, я скомбинировал его из трех правил, запрет всего кроме айсикю и двух правил по запрещению входящей и исходящей почты. В нужных местах вместо запретить поставил разрешить, скомбинировал их всех в одно правило, получилось что то вроде запретить все-> разрешить исходящую-> разрешить входящюю, но почему то правило либо вообще не работает то есть запрещает все, либо разрешает только входящюю либо разрешает только исходящую в зависимости от порядка исполнения. Может кто то сможет мне написать готовое правило работающее для запрета всего кроме почты? заранее благодарен. у меня идека 2.8 817k

MaryMan
Делаешь в группе (пользовательского файервола) правило "Запрет всего кроме почты", там три правила:
1. Разрешить входящий трафик, порты: 110,995,143,993 (можно только первые два)
2. Разрешить исходящий трафик, порты: 25
3. запретить все.
source, destination везде ANY.

если версия активирована не кейгеном, рекомендую обновить билд

Ну у меня она пока вообще не активированна, я буду продлять триал потом, думаешь сама версия глючит? я пробовал так и так, всегда рабоает только что то одно(

Цитата:

я пробовал так и так, всегда рабоает только что то одно(

т.е. в ОДНОМ правиле сделал так как я написал и оно не работает?
Можешь скриншот выложить настроек этого правила - возможно все-таки где-то ошибка, т.к. у меня эта версия работала безупречно.

Коллеги. Не так давно начал тестирование данного решения. До этого использовал Novell Security Manager. В процессе тестирование столкнулся с рядом вопросов.

1. Очень не стабильно происходит соединение по VPN из локальной сети на внешние сервера (проверяю параллельно из другой сетки - все нормально)
2. Каким образом можно предоставить доступ нескольким компьютерам без какой-либо авторизации (скажем у меня открытая точка доступа WiFi и выдавать каждому логин и пароль не удобно)
3. Каким образом можно использовать шаблон "Реальные IP адреса для серверов"?

DIoriev
А какую версию тестируете? 3.0 или 2.5?

Цитата:

1. Очень не стабильно происходит соединение по VPN из локальной сети на внешние сервера (проверяю параллельно из другой сетки - все нормально)

Устанавливать (или обновлять) нужно с командой setuppptp.
В чем нестабильность заключается? Потеря пакета или рассоединение? Можно попробовать до последнего билда обновиться, в случае версии 3.0.

Цитата:

2. Каким образом можно предоставить доступ нескольким компьютерам без какой-либо авторизации (скажем у меня открытая точка доступа WiFi и выдавать каждому логин и пароль не удобно)

Без авторизации можно раздавать интернет по ip, например, создав таких пользователей.

Цитата:

3. Каким образом можно использовать шаблон "Реальные IP адреса для серверов"?

а зачем использовать шаблон? он дан для примера.
просто для серверов с реальными ip адресами поставить им этот адрес и убрать галочку isNAT.

pptp - проблема в том, что компьютеры из локальной сети после стадии проверки пароля подключаются ко внешним VPN серверам через раз.
Входящие VPN на этот сервер снаружи вываливается в ошибку связи PPTP (также после стадии проверки пароля)

Необходимо не создавая пользователей, просто выпустить подсеть в интернет. Как быть с серверами, если им нужен интернет, на каждый сервер заводить пользователя?



Добавлено:
И как быть с мобильными пользователями, которым нужен интернет в локальной сети без всякой авторизации, а из внешней сети им нужен VPN для доступа к локальной сети?

Речь идет о версии 2.5.

Добавлено:
Добавил правило в firewall, всех из локальной сетки пускать через NAT. Теперь не могу понять как настроить DNS, т.к. связь работает только по IP адресам.

Есть ли что-нибудь типа DNS-proxy?

Добавлено:
Можно ли в файерволе одновременно делать NAT и source и destination?

Цитата:

подключаются ко внешним VPN серверам через раз.

Нужно смотреть что в логах, я с таким поведением Ideco не сталкивался. Триал уже как-то продляли? Может с этим связано.


Цитата:

Необходимо не создавая пользователей, просто выпустить подсеть в интернет.

Это невозможно, только по-пользователям. Такова идеалогия продукта, т.к. это биллинг - нужно чтобы за каждый байтик интернета был конкретный ответственный.


Цитата:

Как быть с серверами, если им нужен интернет, на каждый сервер заводить пользователя?

Да, заводить.

Цитата:

Есть ли что-нибудь типа DNS-proxy?

Есть кеширующий DNS-сервер.

Цитата:

И как быть с мобильными пользователями, которым нужен интернет в локальной сети без всякой авторизации, а из внешней сети им нужен VPN для доступа к локальной сети?

Все просто - сделать авторизацию ip+mac для них. Включить в лок. консоли прокси ARP, а у пользователей - галочку "разрешить удаленный доступ из Интернет". Тогда при подключении по VPN из вне они будут полноценно присутствовать во внутренней сети, даже со своими IP.

japastavil ics 2.5.9 vse vroe narmalno rabotaet. no vremja ot vremeni i-net u polzovatelei nagluxo zameraet, posle disconnect-connect vse snovo rabotaet, inagda i eto ne pomagaet,

Цитата:

Цитата:

Необходимо не создавая пользователей, просто выпустить подсеть в интернет.


Это невозможно, только по-пользователям. Такова идеалогия продукта, т.к. это биллинг - нужно чтобы за каждый байтик интернета был конкретный ответственный.

Насколько я понял у IDECO есть отдельная система, специально заточенная для билинга, но данная система не позиционируется как только биллинг. Как вариант сделал пул для тупого NAT.

Как работает proxy-сервер, просто кэширует и все? Есть ли возможность контентного доступа, возможно ли ограничить сайты по маске?

Как максимально обезопасить пользователя в локальной сети от "внутренних угроз" (имеется в ввиду от возможности подмены MAC или IP адреса)? Как быть если надо разрешить доступ пользователей только к определенным сайтам?

Как сделать переадрисацию входящего траффика в зависимости от сервиса, скажем порт 3389 идет на один внутренний IP, а 4389 на другой?

Цитата:

vremja ot vremeni i-net u polzovatelei nagluxo zameraet

Нужно смотреть в логах (ALL), скорее всего там есть строки с psd_drop или virus_drop, первое означает что используется p2p (или Skype), второе что работают вирусы
Это из-за того что включено (можно отключить в лок. консоли) ограничение на кол-во сессий от клиента и от сети. Можно увеличить там кол-во сессий (по-умолчанию 150, для p2p лучше увеличить в 10 раз).


Цитата:

Как работает proxy-сервер, просто кэширует и все? Есть ли возможность контентного доступа, возможно ли ограничить сайты по маске?

В Ideco 3.0 есть встроенный контент-фильтр с автоматически обновляемыми правилами (14 категорий). Можно добавлять и свои запрещенные сайты или маски.
В 2.5 можно ограничивать с помощью файервола (он по-словам тоже фильтрует). Но большой список слов в файерволе вызовет огромную загрузку процессора.
Я делал проще - отключал авто-конфигурирования squid-а, и делал acl-списки запретных сайтов (кстати, могу поделиться - баннеры, порно (его постоянно обновляю), знакомства-соц. сети). Впрочем, с переходом на версию 3.0 актуальность это потеряло - там списки на порядок больше.


Цитата:

Как максимально обезопасить пользователя в локальной сети от "внутренних угроз" (имеется в ввиду от возможности подмены MAC или IP адреса)? Как быть если надо разрешить доступ пользователей только к определенным сайтам?

От подмены ip+mac-а обезапасить может только сетевое оборудования с возможностью привязки мака к определенному порту. Но есть же др. способы авторизации: ip+agent или ip+авторизация через веб, VPN (это еще и от сниферов поможет).


Цитата:

Как сделать переадрисацию входящего траффика в зависимости от сервиса, скажем порт 3389 идет на один внутренний IP, а 4389 на другой?

по-аналогии, как это здесь рассказано.
http://forum.ru-board.com/topic.cgi?forum=8&topic=21822#lt
просто создаешь столько правил переадресации сколько нужно, каждое для своего порта.

А 3 (третью) версию кто-нибудь пробовал уже в живую? Не хочется опять превращать рабочую сетку в полигон для испытаний.

И у меня ни как не получается авторизоваться по VPN, используя аутентификацию Windows AD. Пользователи добавились, но на проверке пароля - вылетает. Сейчас думаю нужно ли включать домен входа при настройке VPN подключения?

Цитата:

Цитата:подключаются ко внешним VPN серверам через раз.

Я с описанной проблемой на Ideco сталкваюсь причем весьма часто.
Варианты:
1. Не хватает канала
2. Провайер, который выпускает - режет GRE.
3. Не стабильно работает пропуск GRE пакетов на самой Ideco.

Как вариант попробуй перезагрузить в режиме pptp (при старте системы).

DIoriev

Цитата:

2. Каким образом можно предоставить доступ нескольким компьютерам без какой-либо авторизации (скажем у меня открытая точка доступа WiFi и выдавать каждому логин и пароль не удобно)

Точка должна раздавать, эта функция практически во всех есть, а пользователь будет один для Ideco - сама точка без разницы с каким типом авторизации будет подключаться к Ideco. И соответственно железяка должна быть настроена именно как "точка доступа", а не ретранслятор\мост. Если ретранслятор\мост (а именно так у вас и есть если вы на идеко через нее попадаете) - вы и будете получать прямой канал до Ideco со всеми вытекающими обстоятельствами - запроса авторизации при подключени к интернету.

Если по простому: ТОЧКА в Вашем случае - считайте простой "свич", а тупые свичи инет давать не умеют. За свичем всегда должно что-то быть. роутер, маршрутизатор, сервер с этими функциями - хрень которая авторизует.
Если железка настроена как "точка доступа" - она и будет этим раздавальщиком инета для других. Сама же будет инет брать с идеки как единственный пользователь. Тупо и банально просто.

Если ретранслятор/мост все же необходим, то вариантов 2:
1. Ставить еще одну точку
2. Колдовать с DHCP на идеко - как вариант. Создать группу с N кол.-вом пользователей которых хотите выпустить, авторизацию поставить по IP+Mac (Mac не определять и не указывать), в DHCP выставить все настройки какие должны клиенты получать при подключении соответственно в группе которую создали. Но в этом случае у вас будет лишняя нагрузка на сервак. Единственный плюс - контроль каждого соединения.

Вобщем все зависит от ваших рук. А вообще, сначала немного теорию надо изучить как, что и для чего работает в сети...

Цитата:

Я с описанной проблемой на Ideco сталкваюсь причем весьма часто.
Варианты:
1. Не хватает канала
2. Провайер, который выпускает - режет GRE.
3. Не стабильно работает пропуск GRE пакетов на самой Ideco.

У меня сомнения толь в Ideco, т.к. для этих целей раньше использовал подобный шлюз от Astaro (astaro.com) и таких проблем вообще ни разу не было.


Цитата:

Вобщем все зависит от ваших рук. А вообще, сначала немного теорию надо изучить как, что и для чего работает в сети...

Это само-собой, но я еще раз повторяю, что сейчас занимаюсь поиском альтернативы шлюзам, которые использую в настоящее время (по ряду объективных причин). Ideco - первый шлюз который попался мне под руки. Радует цена и возможность подключения к провайдеру по VPN, но очень не хочется отказываться от тех функций, которые использую.

Самой важной осталась задача - как всем пользователям сети (которые есть в базе и которых нет) дать доступ к нескольким внешним ресурсам.

DIoriev

Цитата:

У меня сомнения толь в Ideco, т.к. для этих целей раньше использовал подобный шлюз от Astaro (astaro.com) и таких проблем вообще ни разу не было.

Никто не говорит, что это не из-за Ideco. Как вариант - проверить 3 способ и попробывать обновиться до последних версий (на счет 3 ничего сказать не могу, не использую).

Цитата:

Самой важной осталась задача - как всем пользователям сети (которые есть в базе и которых нет) дать доступ к нескольким внешним ресурсам.

Которые есть в базе это не проблема, а вот которых нет.... Можете поставить как вариант для тех, которых не хотите заводить в базу, любой роутер. Идека нарисована как биллинг, а не просто "раздавальщик инета" и соответственно ничего не должно пропасть. А в случае если "просто дать" и ничего вообще не контролировать, то идека нафиг не нужна.

Вы напишите каких именно пользователей вам надо зацепить. Чем они физически попадают в сеть - Ethernet, Wi-Fi или еще как-то.

Ребят всемдоброго времени суток!
Опишу в кратце по поводу идеки
У меня локальная сеть на 60 юзеров(кол-во пользователей постоянно увеличивается), стоит идеко 2.5.8 817к(вроде такая) лицензия сгенерирована кейгеном, идека работает как часики уже более 1 года, настроил заточил под себя, вроде проблем нет
Но переодически стал замечать что загрузка ЦП достгает пиковый значений от 80-100%
Это соответственно меня будоражет, поставил идеку 3.0 для тестирования, ну пока юзал вроде понравилась больше чем предыдущая, вот хотелось бы ее протетировать уже с кейгеном
тогда бы и посмотрели?! А вообще пишут хоть на 3 кейген?

Цитата:

А вообще пишут хоть на 3 кейген?

Такие вещи обсуждаются только тут
http://forum.ru-board.com/topic.cgi?forum=35&bm=1&topic=28656&start=1820

Доброго времечка!

Поставил на тест идеко 2.5.9
есть несколько проблем:
1. При работе через ICS Manager постоянно выкидывает ошибку про устаревшую демо-версию. в пункте "пользователи" не разворачиваются группы и не создаются новые.
2. локалку в и-нет сервак не пропускает ни в какую даже меня(использую ICS Manager и авторизация админа через VPN, никак не активировал еще. триал кароче)

Цитата:

Поставил на тест идеко 2.5.9

Какой билд?

Цитата:

Доброго времечка!
Поставил на тест идеко 2.5.9
есть несколько проблем:
1. При работе через ICS Manager постоянно выкидывает ошибку про устаревшую демо-версию. в пункте "пользователи" не разворачиваются группы и не создаются новые.
2. локалку в и-нет сервак не пропускает ни в какую даже меня(использую ICS Manager и авторизация админа через VPN, никак не активировал еще. триал кароче)

То же самое происходит, но версия 2.5.8 (817k). Из Винды всё вычистил, а всё-равно тоже самое. Пока ничем не вылечил.

Цитата:

Поставил на тест идеко 2.5.9


Какой билд?

821 билд, хотя я понимаю что тут дело не в билде(((

А как работает 2.5.9 (build 826g)
с DVB картой ST-4200 не пробывал никто?

чего то офф сайт не пашет 3.0.2 114 билд появился..

Цитата:

чего то офф сайт не пашет 3.0.2 114 билд появился..

Уже пашет, и более того, появилась версия 3.1.0

В данную бета версию входят все изменения Ideco ICS 3.0.2, а так же:

* Добавлены Антивирус Касперского для проверки веб и почтового трафика
* Добавлен Антиспам Касперского
* Веб-интерфейс: реструктуризация, создание модуля Безопасность
* Веб-интерфейс: добавлены карты оплаты
* Веб-интерфейс: повышение удобства использования

Антиспам Касперского нужно будет посмотреть внимательней Др.Веб иногда случается пропускает спам пачками.

Цитата:

А 3 (третью) версию кто-нибудь пробовал уже в живую? Не хочется опять превращать рабочую сетку в полигон для испытаний.

Использую уже месяц, с 3.0.1 до 3.1.
Поначалу не понравилась ощутимо медленная работа веб-интерфейса. Но в версии 3.1 его видимо окончательно доработали, и необходимость в ICS Manager-е теперь практически не возникает, все действительно удобно отовсюду делать через веб. Удобно стало, что можно там-же перезапускать отдельные сервисы. Правда допустим прокси перезапускается похоже полным стопом-стартом, а не reconfigure, поэтому не быстро.

Очень понравился контент-фильтр, ради него собственно и делал обновление. Реально сокращает расходы на трафик (порядка 20% за месяц вышло, на 120 пользователях). И практически полностью решает проблему с порно (до этого у меня был собственный список блокированных сайтов, приходилось его часто вручную обновлять, и все равно некоторые находили новые сайты, сейчас же заблокировано ~202000 порно-сайтов, редко кто находит что-то еще).
Также с 3.1 нагрузка на процессор сервера упала, с 30-40% при обычной работе, до 10-20%, видимо оптимизировали шейперы в файерволе (они у меня активно юзаются).

Остальные функции, авторизация, dns, и прочие работают как и раньше в 2.5, так что их и не замечаешь. Вроде бы быстрее стал переключать на резервный канал, но может показалось.

Появилась бесплатная версия Ideco ICS 3.0 для домашнего использования (на 5 подключений):
http://www.ideco-software.ru/products/free_home_edition.aspx?l=126
Веб, DNS, фтп-сервер, прокси (с фильтрами, которыми можно детям порнуху закрыть и баннеры), почтовый сервер (если кому-то охота делать дома собственный) - в принципе неплохо получается, особенно для обучения основам nix.