Lançado Endian Firewall 2.3
Hoje a equipe do Endian anunciou o lançamento da versão 2.3 dos Appliances e do Endian Firewall Community. Esta nova versão incluí vários recursos novos e recursos que antes estavam disponíveis apenas para usuários Enterprise.
Endian 2.3 Lançado
Os principais recursos novos são:
* Dashboard
A página principal foi substituída por um dashboard com estatísticas sobre o sistema e serviços, também foram adicionados gráficos de tráfego em tempo real.
* HTTP proxy com controle de conteúdo por usuário ou grupo
O proxy HTTP agora tem uma nova interface que adiciona a possibilidade de criar controle de conteúdo por usuário ou grupo.
* Intrusion Prevention
As regras do snort agora podem ser configuradas, também é possível bloquear pacotes e logar tentativas de invasão.
* Remodelagem do “Port Forwarding”
Ná versão 2.3 agora é possível redirecionar portas a partir de qualquer zona.
Redirecionamento de portas sem NAT agora também é suportado
* Quality of Service
O módulo de Traffic Shapping foi substituído por um módulo completo de QoS.
* Notificações por email
É possível enviar notificações por email automaticamente para eventos pré-definidos.
* SNMP
Adicionado suporte ao protocolo SNMP.
Traduzido na integra de: http://blog.endian.com/2009/10/27/171/
Download em: http://www.endian.com/en/community/download/
Posts Relacionados:
You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.
Já baixei, e estou testando para colocar em produção logo!
Tive um problema no servidor que hospedava o meu 2.2 e precisei fazer uma nova instalação meio que na correria, acabei instalando o 2.3 rc1 e em alguns dias saiu a versão final. Que chato, ainda não consegui tempo para passar para a 2.3 final.
Então aguarde a 2.3.1, pois encontrei muitos bugs nessa versão.
Ygor este não é um comentário construtivo.
Eu ainda estou utilizando a versão RC1 e estou satisfeito, o único “bug” que apareceu foi a partição /var/log ter sido definida com muito pouco espaço, e este já está corrigido na versão final.
Não vejo nenhum bug que impeça a utilização do Endian 2.3. que diga-se de passagem, está bem estável.
[]’s
Meu comentario não veio ara ser construtivo, e sim informativo!
Não se usa uma versão RC em ambiente de produção, ainda mais algo que acabou de ser lannçado.
Basta acesar o bug tracker do Endian e verificar que mais de 15 erros serios já foram reportados.
Apenas uma diaca, aguardem a versão 2.3.1, será mais estavel!
Abs
Ygor a versão 2.3 stable (já não é mais RC desde a abertura deste post) está bem estável e pode ser utilizada em ambiente de produção.
Inclusive a equipe do endian já está despachando os appliances com a versão 2.3.
Quanto a questão de bugs, depois de uma olhada rápida, não encontrei nada alarmante no bugtracker. A propósito, todo o software “stable” tem bugs ativos (basta visitar os bugtrackers de outros projetos), até o Windows tem bugs
Apenas complementando a informação abaixo, para quem acha que esses erros não sao importantes, instalem a versão 2.3
- 0002064: [Other Services] It is not possible to add a QOS device / 500 Internal error – due to a DataSource issue (peter) – acknowledged.
- 0002171: [Endian Firewall] Backup doesn’t work – confirmed.
Quem acha que isso é um problema, como eu, aguarde a versão 2.3
Abs
Issue
0002064 – Product version: enterprise-2.3-beta2 e não comunity-2.3-stable
Se ler os comentários das pessoas embaixo vai ver que este erro acontece com o endian em outras linguagens. e outras pessoas tentaram reproduzir o problema sem sucesso.
0002171 – Apesar do product version não estar preenchido, o usuário afirma que é o beta4 “upgradeado” para a versão rc1!! e não o comunity-2.3-stable
Testei os dois bugs das versões BETA (antes do RC) e as duas funções funcionaram perfeitamente no meu endian 2.3
Você pode perfeitamente continuar com a versão 2.2, não tenho nada contra isso, mas não diga que a versão 2.3 não é estável.
O Endian 2.3 é estável e pode ser utilizado em ambiente de produção sem preocupações!
Olá Eduardo Silva,
Migrei hoje meu servidor EFW 2.2 para o 2.3 final. tudo tranquilo, adorei as novas funcionalidades, estou apenas com dois probleminhas:1º tenho dois link de Internet GVT 15M e Velox 1M, uso o GVT como primário e o velox como uplink1. Criei na Opção REDE, interfaces, create uplink e configurei para quando o GVT falhar acessar pelo Velox, só que pelos teste que fiz desconectando o link GVT ele não passa acessar pelo Velox.
2º É no proxy, na versão 2.2 eu tinha a opção de escolher determinados Ip´s a não passar pelo filtro de conteúdo, no 2.3 não encontrei está opção.
Desculpe-me desde já antecipo meus agradecimentos.
Ademir
1) Você marcou “if this uplink fails activate…”?
Experimente marcar também “Check if these hosts are reachable” e colocar um ou dois endereços ali (ex: google.com e terra.com.br).
2) Em proxy\http\configuration\bypass transparent proxy\utilize a opção “Bypass transparent proxy from SUBNET/IP/MAC”
[]’s
Olá Eduardo marquei sim “if this uplink fails activate” só não tinha feito a 2ª opção, farei uns testes e referente ao proxy foi nessa opção mesmo que usei não sei se ele leva um tempo p/ alicar, de qualquer vou dá um aolhada com calma nesta semana e Postarei aqui.
Muito obrigado!!
Ademir, como ficou? conseguiu fazer funcionar?
Olá Eduardo estive ausente, referente ao failover não funcionou, quando eu desconecto o link principal (GVT) o link de backup (Velox) não funciona e depois de 10 minutos perco a conexão da rede interna ao EFW.
Ademir,
É muito estranho a rede local perder conexão com o Endian quando o failover é ativado. Após os 10 minutos que você mencionou as estações da LAN não conseguem mais pingar o endian?
Como estão configurados os modems adsl? Como bridge ou como router? Se algum estiver como bridge, tente configurar como router e com ips estáticos na inferface RED, acredito que os problemas devam diminuir.
A minha opinião é que você deve começar investigando as rotas inseridas pelo sistema de failover, provavelmente tem alguma rota sendo inserida incorretamente e bagunçando a conectividade do firewall.
Quando você reconecta os links as estações voltam a pingar o endian?
[]’s
Olá Eduardo, os modems estão como router e os ip´s estão stático, e sim após conectar o uplink principal a rede volta ao normal. Irei analizar as rotas inseridas.
Obrigado!
Eduardo:
Ainda com assunto failover do endian, conseguir identificar o problema, é o proxy pois quando o link principal cai o firewall muda a rota funciona blz nele só não nos terminais, mas ao desativar o proxy deixando só no NAT funciona. É necessária fazer alguma alteração manual no proxy para que venha a funcionar?
Desde já antecipo meus agradecimentos.
Ademir,
Você possuí rotas estáticas ou alguma personalização no Endian ou no squid?
Muito estranho este problema,
Experimente reinicializar o squid para verificar se o problema permanece após o failover ser acionado.
Verifique também nos logs do squid access.log e cache.log se existe alguma mensagem suspeita.
[]’s
O que eu mais gostei foi o dashboard, achei muito legal a ideia de tirar isso de outros firewalls de nivel empresarial, como Sonicwall e WatchGuard
Achei apenas a parte de PFW um pouco confusa, mais nada que uma leitura no manual não resolva
Abs
Eduardo será que vc pode me ajuda eu baixei nova versão endian 2.3 final, nao to conseguido fazer acesso externo por ele já quando usava 2.2 fazia muito facil tem como vc me ajuda nisso.
poderia manda algum meio de contato com vc msn, skype etc….
Grato.
Felix Neto
Felix,
A melhor forma (e mais segura)para realizar o acesso externo do endian, é utilizando a VPN (disponível no próprio endian). Configure uma conta de VPN e você poderá administrar o seu endian remotamente com segurança.
Quanto ao meu contato, eu não sou um “Helpdesk”, mantenho o blog por hobby
só respondo pedidos de ajuda por aqui.
[]’s
eduardo eu vou ser sincero com vc nao todo pedido nesse novo endian principalmente ja parte firewall para libera acesso externo teria como vc me ensinar configura vpn ?….
Felix,
Para configurar uma VPN vá em VPN\OpenVPN Server\Server configuration e marque: OpenVPN server enabled
Após isto, vá em accounts e crie uma nova conta de usuário.
Para configurar o cliente de VPN baixe o cliente “openvpn” e gere a configuração de acordo com as instruções disponíveis no KB do endian em:
http://kb.endian.com/entry/12/
http://kb.endian.com/entry/11/
[]’s
1 – Encontrei uma problema/bug nos testes da versão final 2.3.0, quando tento alterar ou excluir um ACCESS POLICY no PROXY HTTP não funciona, será que estou fazendo alguma coisa errada???
2 – Como faço para bloquear todos os Sites e depois liberar alguns para um determinado IP e outros para outro determinado IP ???
Deste já agradeço a atenção
Marcos
1- Qual a mensagem de erro que aparece? Estranho, excluir uma access policy deveria ser transparente. Tentou clicar no v que tem ao lado da regra para desabilita-la temporariamente?
2- Devo sugerir para utilizar proxy autenticado, é mais garantido, entretanto, para realizar o que você precisa, sugiro:
a) Crie uma access policy com o Source Type: IP e defina os ips que estarão nesta política. Em Destination type insira Domain e a lista de domínios liberados com um . na frente. Ex:
.google.com e não google.com
b) crie outra access policy para o segundo grupo de ips com a lista de domínios liberados.
c) crie uma access policy com a sua range de ips completa (ex: 192.168.1.0/24), e em domain insira ** (ao menos era isto na versão 2.2, ainda preciso verificar) em “access policy” troque para Deny Access. (Lembre-se que esta regra deve ser a última da lista).
[]’s
Sugestão para o Endian, Kernel x64, para suporte a mais de 4Gb de memória, ou então incluirem o pacote do Make para que possamos compilar um Kernel mais personalizado, inclusive com suporte a PPC pois são otimas maquinas para esse função, até hoje não vi melhores
A parte do Kernel 64 bits é muito facil para eles fazerem, já estou ate portando uma parte da configuração do endian 2.3 x32 > x64 e devo levar uns 6 meses para fazer, pois não tenho tempo disponivel. Se alguem quiser ajudar fala ai
Abs
Olá Eduardo,
Parabéns pelo Blog e obrigado por responder essas perguntas pois muitas delas traz a resposta que estamos procurando, gostaria muito se possível esclarecer uma dúvida de uma integração entre o Win2008 – AD e o Endian, ele sempre retorna como fail ao clicar em join domain coloco tudo certinho tanto que vou lhe passar abaixo tudo que faço e ainda assim ele continua dando erro.
Server AD WIN2008 STD – SRV.TESTE.local
IP: 192.168.0.10
Em Networks, edit hosts clico em add host vou e coloco o Host IP adress: 192.168.0.10, Host Name:SRV, Domain Name: TESTE, add Host
Em Proxy, DNS, DNS Routing clico em add new custom nameserver for a domain, em Domain:TESTE, NAME Server:192.168.0.10 ou TESTE (já coloquei os dois), add e depois save changes and restart
Ainda em Proxy vou em HTTP, Configuration coloco em Green como not transparente, vou em Authentication escolho NTLM, authentication realm:TESTE.local, Domain Name for AD Server:TESTE, PDC Name for AD Server:SRV, PDC IP adress for AD Server:192.168.0.10, BDC Name for AD Server:SRV, BDC IP adress for AD Server:192.168.0.10.
Clico em Save depois vou em join domain, digito em user administrador e a senha quando clico em join ele da uma mensagem de fail to join domain.
O Domínio esta funcinando perfeitamente pois consigo logar normalmente com uma outra estação de teste, já até desativei o firewall do windows pra ver se era ele e nada. Pode me me ajudar???
Olá Alemão, não tinha hora pior para você fazer esta pergunta? hehehehe você não tem idéia do tamanho do sapo que estou engolindo neste momento (acho que tem alguém que vai ficar feliz em ler isso
) hahahaha (piada interna, só eu achei graça 
)
O Endian 2.3 tem um
bugque impede que o proxy autentique em um AD usando NTLMVocê pode:
- esperar um patch
- tentar realizar os procedimentos citados aqui: http://efwsupport.com/index.php?topic=1015.msg2438
- Tentar autenticar no domínio utilizando LDAP ao invés de NTLM
Bugtracker: 0002333
Espero ter ajudado de alguma forma
ps: tenho curiosidade em saber qual opção você adotou/escolheu e se conseguiu ou não.
[]’s
Bom depois de todas as tentativas frustadas segue uma frase de um dos desenvolvedores:
- quick workaround for the moment is to use ldap with w2k domains
Alemão,
Utilizar o protocolo LDAP é um bom workaround. O resultado final é quase o mesmo.
[]’s
Não entendi como fazer um forward nessa nova versão!???
Marcelo,
Também não entendi a sua pergunta. Pode ser um pouco mais claro?
Com a versão 2.3 emails para gmail não estão saindo. Está me dizendo que o gmail não suporta tls (sei que utilizo na minha empresa). Como faço para solucionar esse problema?
Tiago,
Seu problema não ficou bem claro. O que você está tentando fazer?
Por favor, seja mais descritivo. Tente fornecer também logs, mensagens de erro, programas envolvidos, etc…
Quanto mais informações enviadas, mais fácil fica para ajuda-lo.
[]’s
Na versão anterior ia em “firewall”, “Port Forward/NAT” e em “Port Forward” criava as regras de encaminhamento para rede local. Agora em “firewall”, “Port Forward/NAT” não tem mais “Port Forward” mas sim, “Destination NAT”. Já estou tentando muito fazer um redirecionamento para um endereço interno na porta 80 por exemplo, mas não funciona.
Olá Marcelo,
O Port Forward agora é o “Destination NAT” (nome correto). Clique em “Add a new destination NAT rule” para adicionar uma nova regra.
É importante lembrar que o modem deve ter o forward das portas para o ip externo do endian, e que normalmente conexões com IP dinâmico tem a porta 80 bloqueada.
Caso ainda não consiga, tire uma screenshot do redirecionamento da porta que você fez lembrando de omitir os campos onde aparece o seu ip real.
[]’s
É ai mesmo que estou indo, crio a regra, mas não funciona. Li a Ajuda mas não esclareceu muito!
Quanto a porta 80 é um exemplo. e no meu caso é um speedy busines.
Não sei como te enviar o print.
Mas só pra saber. Você conseguiu fazer algun redirecionamento?
Envie a screenshot para um serviço público de hospedagem, como por exemplo: imageshack.us
Depois informe o link da mesma.
Oi Eduardo, esotu junco com o Marcelo nesse problema! Você tem como enviar um print de uma regra criada para exemplo?
Literalmente junto, mesmo IP, mesmo navegador, mesmo cookie, só mudou de email e nome.
[]’s
sim, trabalhamos junto! Algum problema?
Nenhum problema, apenas não é necessário duplicar comentários, eu leio todos, e normalmente respondo também respondo a todos.
[]’s
Estamos querento trocar para o 2.3 mas estamos fazendo uma validação primeiro. E até agora esta tudo ok. Só falta conseguir fazer o redidirecionamento.
Bira,
Envie a screenshot da sua regra redirecionamento, vendo o que vocês estão fazendo me permite ajudar melhor.
[]’s
aqui vai meu screenshot do meu endian 3 link
http://connecting-info.com.br/images/endian.jpg
http://connecting-info.com.br/images/endian2.jpg
http://connecting-info.com.br/images/endian3.jpg
preciso de ajuda para redirecionado de portas
my help eduado
Gente,
Instalei o 2.3.0 mas, só consigo me logar nele pelo shell. Não reponde a ping e não responde nada pela interface web.
Alguém pode me dar uma luz quanto a isso? esqueci de alguma coisa?
Agradeço imensamente desde já.
Felix, desculpe a demora em responder, mas andei bem atrapalhado.
Verificando as suas screenshots, vi que você criou as regras de redirecionamento de portas em “destination nat, source nat e incoming routed traffic”.
Você só deve criar a regra em “Destination Nat”. Delete as outras entradas pois são para outros fins.
Analisando a sua regra de “Destination NAT”, pude perceber que existe um erro na sua criação. No campo “target” você não irá colocar o ip do servidor de destino, e sim o IP da sua interface red! Pode ainda trocar o target para a opção “Any Uplink” por exemplo e todo o tráfego que chegar da internet para no seu firewall destinado a porta 8080 será redirecionado para o servidor que está na DMZ.
[]’s
Essa versão 2.3 aceita link de internet 3G da vivo? Vou precisar em breve de 2 links (hoje tenho 1), sendo que ficaria o Link de 12 megas da NET e um de “backup” através de modem 3G da vivo, de modo que o principal perca o sinal o outro mentenha a internet.
Obs.: Modem USB 3G vivo.
Olá Thiago,
O Endian 2.3 aceita modems 3G USB. A grande questão é a marca do modem que você estará utilizando. Antes de adquirir o modem, sugiro que faça uma boa pesquisa no google sobre compatibilidade do modelo com Linux.
[]’s
Olá,
Eu tenho tentado incansavelmente colocar o endian para enxergar o dominio e realizar autenticação porém nao tive sucesso ate agora.
Tenho um servidor de rede com windows 2003. Sempre que tento coloca-lo no dominio ele dá falha.
Alguem poderia me dar uma luz nessa situação ?
Abs!
Vinicius,
Respondi uma pergunta semelhante a esta neste mesmo post a alguns dias atrás. Leia os comentários anteriores para obter a resposta por completo
[]’s
Eduardo,
Analisei cada resposta de cada um acima e fiz tudo o que sugeriram, mas não consegui resolver o problema.
No meu caso, ele não está mais dando nenhum erro específico, porém agora ele aparece a msg “Failed to join domain: Invalid configuration and configuration modification was not requested”
Se puder me dar mais uma ajuda eu te agradeço.
Eduardo,
Fiz tudo o que mandava no link http://efwsupport.com/index.php?topic=1015.0 mas mesmo assim nao tive sucesso.
Agora recebo a msg “Failed to join domain: failed to find DC for domain DOMINIO” e não enxergo nenhum usuario ou grupo pra criação das policy
Tem alguma ideia ?
abs!
Vinícius, o ntlm não está funcionando corretamente na versão 2.3. Utilize o protocolo LDAP para autenticar no AD.
[]’s
Cheguei a dar uma olhada sobre isso mesmo e desde ontem que vim tentando autenticar com o protocolo LDAP mas bateram algumas dúvidas em relação a configuração.
Teria como eu falar com vc por skype, msn, etc ??
abs!
Eu cheguei a dar uma olhada sobre isso mesmo desde ontem, mas tive algumas dúvidas em relação a configuração com LDAP.
Teria como eu falar com voce por skype, msn, etc ??
abs!
Vinícius,
Eu apenas tiro dúvidas através do blog. Outras formas de contato são apenas para coisas pessoais e/ou profissionais.
Verifique na documentação do Endian sobre autenticação através do protocolo LDAP.
Um ótimo lugar para começar é http://docs.endian.com/archive/2.1/ (um pouco defasada mas ajuda bastante).
[]’s
Ok Eduardo. Eu estava exatamente com essa documentação aqui aberta.
Mas me tire mais uma dúvida por favor. Quando eu realizo a autenticação com o LDAP. Eu ainda preciso fazer o “AD Join” ou não é necessário ? Ele reconhece os usuarios e grupos mesmo sem essa ligação com o dominio ?
abs
Eduardo,
Nas configurações do LDAP eu coloco o seguinte:
LDAP server: 10.3.223.3
LDAP type: Active Directory Server
Bind DN settings:cn=users,dc=dominio,dc=br
Bind DN Username:cn=administrador,dc=dominio,dc=br
Bind DN password: ******
user objectClass: person
group objectClass: group
Tem algo que eu esteja colocando errado e precise mudar ?
Abs!
Vinicius,
A fica difícil saber se os campos que você preencheu estão corretos sem conhecer o seu AD.
De qualquer forma, me parece que a opção: “Bind DN settings:” está incorreta, acredito que deva ficar apenas dc=dominio,dc=br
Experimente instalar o cliente ldap em um CentOS e configura-lo com os mesmos valores que você utilizou no endian. Tente realizar um “ldapsearch -x” para verificar se você consegue consultar o seu AD.
[]’s
Eduardo, não consegui fazer a regra de encaminhamento até agora, é possível você colocar um print de como deve ser essa regra?
Li as dica dada ao felix, mas não funcionou.
Bira,
Se a regra foi criada da forma que eu falei, então ela está correta. Experimente utilizar o tcpdump no seu endian para observar o que acontece durante uma tentativa de conexão.
Eu escrevi um pequeno tutorial sobre tcpdump e outras ferramentas neste post.
Voce também pode postar uma nova screenshot da sua regra alterada que eu verificarei se ela está correta.
[]’s
Certo Eduardo, verificarei o modem 3G se é compatível antes de comprar. Só uma dúvida, a minha NET ficará assim:
1º link (principal) – NET 12 mb
2º link (backup) – VIVO 3G 1mb
Assim, o link principal é o da NET, se ela cair o 2º link assume a internet (é bem mais lento, mas só para não ficar sem internet). Voltando o 1º link a funcionar, ele “assume” o papel de conexão principal sozinho?
Grato pela ajuda mais uma vez Eduardo. Abraço.
Obs.: Ainda não consegui resolver a questão da VPN, se for o caso, como vamos implementar o 2º link, vou instalar a nova versão e configurar a VPN novamente.
Olá Thiago,
Sim o Endian faz a troca de links automaticamente. Quando o primeiro link volta a funcionar ele também retorna para este.
Quanto a vpn, você realizou os testes que eu falei?
Galera consegui fazer autenticar com NTLM.
pelos testes estão funcando legal.
To sem tempo agora pra mostrar como é.
mandem um e-mail pra me lembrar.
vlws
Edit: email removido para proteger dados pessoais
Rafael,
Sinta-se a vontade para enviar comentários com as dicas que você tem. Sendo pertinente, posso inclusive coloca-las nos posts principais (citando o autor, no caso você.) Já fiz isto com outros comentários que possuíam dicas valiosas.
vlw por ter excluido meu post
Rafael,
Preste atenção ao enviar um comentário para este blog, assim que você envia um comentário pela primeira vez, você recebe um aviso informando que o seu comentário irá para a fila de moderação e só aparecerá publicamente após ter sido aprovado.
Este é um dos recursos utilizados para evitar SPAM nos comentários, recebo uma carga bem elevada de SPAM nos comentários diariamente, entretanto você pode observar que não passa nada, apenas o que foi aprovado e o que passou pela verificação do akismet. O próximo comentário que você enviar, será publicado automaticamente, pois o meu blog reconhecerá o seu navegador por um cookie (biscoito), desta forma ele saberá que você provavelmente é um humano, afinal já teve um comentário publicado!
Eu não excluí o seu post, apenas não aprovei ele
Detalhe, eu não aprovei o seu post pois estou viajando pelo meio da Africa e internet por aqui é uma coisa meio difícil de encontrar! Apenas hoje eu consegui entrar no blog para responder todos os comentários pendentes.
[]’s
fuuuuuuu
foi mau
:S
Uhmm legal 1ª vez que posto em blog nao sabia como funcionava esses esquemas, até achei que tinha excluido por causa do email.
só postei pq vi que tem uma galera com dificuldade,
Mais ainda nao tive tempo de fazer um tuto,
to acabando a facul essa semana, dai vai ser tranquilo.
E viva o endian firewall 2.3
Rafael,
Eu consegui autenticar o ENDIAN no DOMINIO mas não consigo fazer ele obedecer as regras dos filtros. Alguma dica?
Eduardo:
Ademir,
Você possuí rotas estáticas ou alguma personalização no Endian ou no squid?
Muito estranho este problema,
Experimente reinicializar o squid para verificar se o problema permanece após o failover ser acionado.
Verifique também nos logs do squid access.log e cache.log se existe alguma mensagem suspeita.
Respondendo a sua pergunta eu não tenho nenhuma rota stática nem personalização no endian ou squid.
Ficarei antento nos logs e postarei novamente.
Obrigado!
Ola pessoal me ajudem estou com problemas na configuração do proxy a blacklist não funciona… alguem pode me explicar como fazer?
Em proxy, access policy…. crie uma policy com o “Destination type” marcado para “Domain” e na lista de domínios, insira estes com um ponto na frente (um domínio por linha) ex:
.facebook.com
.orkut.com
.hi5.com
Em access policy coloque “Deny Access” e em position coloque “First Position”.
[]’s
Olá!
Estou com problemas, uso dois link´s, um GVT 10Mb como principal e um Onda 4Mb secundario.
O problemas é que a conexão oscila muito, parece que o firewall se perde por alguns instantes.
Alguem pode me dar uma dica de onde deve ser o problema? ainda estou usando a versão 2.2.
Obrigado!
Seu ambiente e bem parecido com o meu e mesmo acontecia comigo nessa nova verão, voltei para antiga enquanto realizo testes com o novo NSA da Soniucwall.
Percebi que essa falha está relacionada com o outgoing firewall, pois quando é desativado as quedas param.
Ygor,
Desativar o outgoing firewall torna o endian quase que inútil, segundo o Marcelo, o problema dele é o link instável e não o “Outgoing firewall”…. Que detalhe: Não afeta o link.
Se o link dele está caindo com muita frequência, este problema deve ser corrigido diretamente com a operadora e não contornado.
Sinceramente eu não sei qual o seu problema, mas você só vem aqui no meu blog falar mal do endian, e o pior é que por diversas vezes são comentários infundados, não encontro nenhum comentário seu positivo. Que coisa chata isso… Meu trabalho aqui é voluntário, meu blog não gera renda(não é esse o meu objetivo), só despesas e consome o meu tempo. Procure um blog sobre o Sonicwall ou sobre outras soluções e vá postar por lá.
Posso ter soado meio rude, mas estou para te dizer isso a muito tempo.
Adeus!
Marcelo, procure solucionar o problema da oscilação do seu link, qualquer alternativa de failover (não só o endian) precisa de uns instantes para se dar conta que o link foi abaixo e precisa de alguns instantes para fazer a troca, caso contrário, você poderia ter trocas desnecessárias. Abra um chamado com a GVT e solicite a verificação do seu link.
[]’s
Boa Tarde Eduardo,
Estou implantando um endian community aqui na empresa onde trabalho, no entanto estou com uma dúvida com relação a balanceamento de link e roteamento no endian. Para ser sincero, estou pensando em como fazer e talvez você por já utilizar poderá me auxiliar.
Explicando:
Trabalhamos com monitoramento de imagens, que por sinal é famigerado por link, então contratamos dois links de adsl convencional de 100MB’s e tenho também um link de internet frame relay com Ip válido, que onde utilizo vários serviços de recepção de dados por ip (centrais de alarme gprs e ethernet em clientes), qual a minha intenção, manter o link com ip válido, para os servidores, para que eu receba com segurança os dados, e as outras redes sairem com rota para as adsl’s de 100mb.. e sim nestes dois links eu gostaria de colocar um balanceamento.
Desculpa se não consegui ser muito claro, mas tentei ser o mais breve possível.
Muito obrigado, e parabéns pelo fórum.
Olá Silvio,
Desculpe a demora em responder, mas tirei férias do serviço e também acabei me afastando do blog.
O Endian não faz load balance entre os seus links, ele apenas mantem o segundo link como failover, no caso de queda do primeiro link, a troca é feita automaticamente.
De qualquer forma, você pode configurar o seu frame relay como link secundário e a dsl como link primário, desta forma, todo o seu acesso para a internet será através da adsl, mas qualquer acesso de entrada com destino ao seu link frame relay, permanecerá funcionando normalmente.
[]’s
Olá Eduardo, como foi de fim de ano? Espero que tudo bem.
Bem, não resolvi a questão da VPN e meu irmão tá doido da vida de ter de ficar até mais tarde no escritório, no horário de verão não é tão ruim, o pior e sair a noite e ser assaltado, tendo a VPN ele chega na casa dele, toma banho e faz o trabalho depois.
Bem, vou instalar a nova versão e ir direto na VPN, se resolver blz. Penso ainda em colocar aquele 2 link (emergência), caso o primeiro venha falhar.
O modem utilizado no segundo link (que não será o principal) é um USB HSDPA ZTE MF100 (plano VIVO), será que é compatível com o Endian? Outra coisa, caindo o primeiro link, o segundo assume a internet, voltando o primeiro este voltará ao papel de principal? Pergunto isso pois o VIVO tem limite de download, então será eventualmente e em caso de emergência. Lembrando que o link principal é NET e chega a ficar mais de 60 dias sem cair uma vez.
Depois eu posto aqui se deu certo a VPN.
Abraço.
Olá Thiago!
Final de ano foi ótimo, tirei férias e fui para o Brasil ver a família e os amigos daí. Infelizmente as férias já acabaram e agora voltei para o meu cantinho do mundo
E o teu final de ano como foi?
Bem, respondendo as tuas dúvidas:
- VPN: Cara, dá uma olhada nos testes que eu te pedi pra fazer das outras vezes, até agora tu não me mandou os resultados!
- Modem 3g: Que eu saiba este modelo deveria funcionar no endian, mas eu nunca configurei um modem destes e não tenho material para testar por aqui, então não tenho como ajudar muito. Se fizeres, agradeço um feedback.
- failover: O principio do failover é exatamente este, quando o link primário cai, passa pro secundário, quando o primário volta a funcionar, o endian desfaz a troca, usando o failover apenas enquanto o link principal estiver offline.
[]’s
Puxa, pelo visto a função de 2 links nesta nova versão está dando “pau”???
Thiago, a função de failover funciona, qual o problema que você está encontrando?
Eduardo,
Não sei se vc ta lembrado dos problemas que eu tive a um tempo atrás. Bem, eu resolvi aquele problema levantando um novo servidor com windows 2008 e tudo estava indo bem até agora.
Eu consegui colocar o endian no dominio, consegui enxergar os usuarios e os grupos, consegui criar as policy… Mas quando eu abro o navegador na maquina cliente pra testar, ele não passa da tela de autenticação. Eu coloco o login e a senha e ele não passa.
Alguém tem alguma ideia do que pode ser esse problema ?
Agradeço!
Vinicius, já não tinha ficado funcionando daquela vez?
O que acontece quando você coloca o usuário e a senha? Aparece novamente a autenticação? Se for isso, tem alguma coisa errada na sua configuração…
Olá Eduardo, passei bem também de fim de ano, tirei 10 dias de férias, desliguei os 3 servidores (menos um que roda XP que é o CFTV da empresa) e nem mexi em nada… Esse FDS vou fazer o teste então, havia até esquecido.
Quanto ao modem, vou testar ele para ver, se funfar eu posto aqui. Procurei no site do Endian, mas não encontrei relação de modem USB compatíveis.
Sobre os 2 links, li algo de uma amigo acima, e disse ter problema de instabilidade na versão 2.3 (se eu entendi direito).
Precisa de algo portátil e acabei comprando um Netbook da Asus, chegou hj e vou instalar um Debian nele, já está particionado mesmo, maravilha, será o divertimento do FDS, rsrsrsrs.
Dois cliente viram o Endian no escritório e ficaram muito interessado (estavam tendo “problemas com a internet na empresa”), conclusão, instalei 2 servidores (de graça é claro, são clientes do escritório) e indiquei seu blog, pois tem muita coisa de configuração e tal, inclusive comentei que o meu está funcionando graça as suas dicas, resumindo, mais 2 servidores endian no planeta.
Apareço.
Bom FDS. Abraço…
Apareço por aqui.
Olá Thiago!
Quando você fizer aqueles testes, me envie os resultados pelo blog, se mesmo assim não conseguir resolver, eu posso te dar uma “mãozinha”, se quiser eu dou uma olhadela no seu Endian para tentar resolver este problema. Sei como é chato ter um problema que precisa ser resolvido e por um motivo ou por outro não conseguir resolver.
Quanto ao Netbook, este é um ótimo aliado, pequeno, leve e elimina a necessidade de carregar o notebook principal para todo o lado.
Se o seu disco for SSD dê uma olhada neste tópico: Otimizando o uso de discos SSD em Netbooks
Dê uma olhada também no Dropbox, é ótimo para backup e também para manter seus arquivos em sincronia entre vários computadores.
Quanto a versão do Endian, a 2.3 é estável e pode ser usada em ambiente de produção, não justifica ficar com a 2.2.
[]’s
Fala Eduardo, estou de volta dessa vez pra ficar.
Estive envolvido em alguns projetos e um deles e ser revenda no Brasil da Endian.
Um abraço meu amigo,o Blog esta bombando, vou tentar ajudar com o que aprendi por aqui com voce.
Olá Anderson,
Bem vindo de volta! Desejo-te boa sorte nesta empreitada
Se precisar de algo, estou por aqui.
[]’s
Olá Eduardo,
Desculpe a demora, eu estava viajando.
Bom, daquela vez eu meio que desisti porque preferi fazer um outro servidor de dominio do zero pois achava que era problema do servidor(era mesmo).
Mas em relação a esse problema da autenticação, é exatamente isso que vc disse, eu coloco usuario e senha e em seguida aparece a tela novamente de autenticação.
Tem idéia do que pode estar errado na configuração ?
Obrigado!
Vinicius,
Você fez os testes que eu havia solicitado anteriormente? Quanto ao seu endian, encontrou alguma mensagem de erro nos logs?
Quanto a questão da configuração, eu acredito que seja mais ou menos o que conversamos no outro comentário, leia novamente e repasse ela.
[]’s
Olá Eduardo, show de bola a comunidade… Esse FDS eu quero ver se faço o teste que você mencionou, é que está faltando tempo mesmo, e o pessoal usa a NET, to vendo que o jeito será trazer o servidor para minha casa e configurar ele aqui.
Tenha uma ótima semana. Abraço…
Fala Thiago!
Fico no aguardo dos teus testes, vamos dar um ponto final nisso
[]’s
Olá Eduardo, tudo bem?
Primeiramente parabéns pelo blog. Vi na página do Endian de suporte o link do seu blog como forum do Endian em Português.
Enfim, percebi que a versão 2.3 tem vários bugs. Mas todos corrigidos conforme noticias em outros fóruns. Essas correções estão disponíveis através dessas instruções após ter feito um cadastro no endian.
Mas infelizmente pelo que vi a versão Community não está dispinivel. Isso é verdade? Não tem como atualizar a versão Community através desse procedimento abaixo?
Abraços
Rubão
#################################################
Welcome to the Endian Community
Your email is validated and your account is active
Now follow these 5 steps to keep your Endian Firewall Community up to date:
1. Enable SSH access on your firewall
2. Open your favorite SSH terminal and connect to the firewall (On Windows you may use putty)
3. If your Endian Firewall Community is older than version 2.2 please run
root@efw-2:~ # rpm -ivh http://updates.endian.org/upgrade.rpm
4. Run the efw-upgrade script
root@efw-2:~ # efw-upgrade
Please choose the appropriate channel for your environment and hit [ENTER]:
1) Production (stable releases)
2) Development (bleeding edge)
1
Please enter your username and hit [ENTER]:
e-mail@email.com(tem que cadastrar no endian)
5. Life is too short to be serious! Become our fan on Facebook and have some fun!
Enjoy!
Your Endian Team
#################################################
Rubão, o que não era (ou ainda não é possível), é realizar a atualização do endian 2.2 para o 2.3 (Tenho que confirmar isso, mas que eu saiba permanece impossível).
As atualizações do endian 2.3 devem funcionar normalmente. De qualquer forma, você pode usar o 2.3 sem maiores preocupações, se encontrar um bug/problema (não vejo na crítico) me avise e te ajudo a encontrar um workaround.
[]’s
Boa tarde, Eduardo
Meu amigo eu estou tentando migra para a versao 23 do Endian, porem estava vendo que alguns coisas foram modificadas.
A parte de liberar um mac pelo mac sem restricao eu nao conseguir fazer usando proxy transparente.
Coloquei o mac da maquina na opcao “Bypass transparent proxy from SUBNET/IP/MAC” mais nao conseguir navegar sem restricao.
eu uso a versao 2.2 ela eu consigo fazer isto facilmente.
Se voce poder ajudar eu lhe agradeco.
Alex,
Além de colocar o MAC(ou IP) no bypass, você também precisa ir no outgoing firewall e liberar o MAC(ou IP) para acessar a porta 80 tcp.
Cuidado na hora de criar esta regra para não liberar outros computadores indevidamente.
[]’s
Olá Eduardo, bem to acabando de condigurar o endian 2.3 aqui na empresa. Pensei, “…vou instalar o 2.3 e ver se a VPN funciona, se der o mesmo problema aí parto para os teste que o Eduardo mencionou…”. Chegando na minha casa vou testar.
Na versão 2.2 eu lembri que editei um arquivo via SSH para liberar o conectividade social (da Caixa Econômica Federal), savo engano eu fiz isso:
editar o arquivo /etc/rc.d/rc.firewall
alterar a linha
/sbin/iptables -t nat -A PREROUTING -j SQUID
para
/sbin/iptables -t nat -A PREROUTING -d ! 200.201.174.0/24 -p tcp –dport 80 -j SQUID
qualquer pacote para 200.201.174.0/24 (ip da Caixa) na porta 80 NÃO será redirecionado para o proxy do endian.
Mas procurei a linha mencionada e não encontrei, será que algo mudou nessa versão 2.3?
Posto aqui sobre a VPN. Abraço.
Thiago,
Ao invés de adicionar isto manualmente no firewall, adicione na interface web do endian
Direto em proxy\Bypass transparent proxy, vá na opção “Bypass transparent proxy to SUBNET/IP ” (observar o “to” e o “from”!)
Insira neste campo o range de IPs da Caixa. O efeito é o mesmo e você não precisará modificar o firewall por baixo.
[]’s
Ah, esqueci de algo importante, além de realizar o bypass do squid, você também precisará liberar acesso a este range de ips no outgoing firewall, na porta tcp/80.
[]’s
Bem, a função de envio de cópia de a-mail oculta não funcionou, configurei tudo parecido com a versão 2.2. A versão 2.3 tem alguma coisa nova, preciso configurar a parte “SMTP HELO”???
O seu proxy de emails está funcionando corretamente? Observe o maillog do endian e os headers das mensagens enviadas, verifique se efetivamente passaram pelo endian.
[]’s
Sim, o e-mail chega ao destinatário, o que não chega é a cópia oculta. Vou verificar.
Eduardo, devo postar na comunidade? Ou pode ser aqui no blog. Demorou para eu receber a senha, mas recebi.
Agora habilitando em PROXY>> SMTP>> TRASNPARENT MOD (GREEN) = aí nem para o destinatário chega. Na versão 2.2 estava habilitado o modo “transparent” para GREEN.
Na versão 2.3 aparece para RED tb, que está Inactive.
Quanto a VPN,bem, não há tentativa de conexão.
Devo criar a regra em firewall em “OUTGOING TRAFFIC”? em “VPN FIREWALL”? ou em SYSTEM ACCESS”?
Eduardo, a regra do Conectividade Social funcionou blz (esse Conectividade Social da CEF é um “problema”, além de quase nunca funcionar quando vc precisa), obrigado mais uma vez.
Sobre o painel inicial do Endian, que mostra “%” o sua da CPU, memória, etc, ficou show…
Abraço.
Resolvido o problema da cópia do e-mail. Reconfigurei tudo novamente e funcionou.
Thiago,
Desculpe por te deixar no “vácuo” aqui no blog, mas eu ando tão atarefado ultimamente que não me liguei dos novos comentários aqui
Também estou investindo meu
escassotempo livre no forum da comunidade do endian e acabei esquecendo de verificar o blog hehehe.que bom que conseguiu solucionar o problema do BCC.
[]’s
Olá,
Recentemente assumi a administração da rede aqui na empresa e fiquei com a tardefa de colocar o endian para funcionar pois estava parado até então.
Gostaria de uma ajuda da galera nessa situação.
Bom, eu estou com um problema para colocar autenticação direto pelo AD. Eu consegui colocar ele no dominio usando NTLM, consegui enxergar os usuarios e os grupos. Mas quando abro o navegador e tento acessar algum site, ele me pede autenticação e não funciona nem se eu colocar o login e senha certos, acho ainda que ele nem deveria pedir essa autenticação no navegador né ?
Alguém já passou por esse problema ou sabe como resolve ?
[]’s
Roberto,
Experimente postar a sua dúvida no forum da comunidade brasileira de Endian fw.
http://endian.eth0.com.br
[]’s
Olá, vi que há muitas pessoas aqui que já usam o Endian né? Eu tentei alguns dias atrás e tive problemas com o LDAP+PROXY+ACL´s pois em todas as páginas que eu entrava eu recebia um “Connection reset by peer”, mesmo limpando todos os caches.
Vi também que já devem ter algumas correções e alguns patches, poderia me dizer como é que eu atualizo estas correções. Já tentei pelo modo de cadastrar pelo site e usar o comando no SSH mas diz que nao há nada para minha versão.
Obrigado,
Estevan Stracke
Existe alguma forma de fazer regras de firewall baseado no FQDN de um determinado host ? tento por exemplo origem minha rede (VERDE) para ns1.dominio.com.br(DESTINO) o endian nao resolve o ip do ns1.dominio.com.br nas regras, mais se eu setar manualmente via iptables na CHAIN customforward ou custom NAT funciona, alguem sabe como usar o nome do host ao inves do ip? digo isso pois preciso fazer regras para hosts dinamicos como no-ip e dyndns.
Instalei o Endian, fui no FIREWALL =>Destination NAT
coloquei :
Acess from=qualquer
Target = Sinal main=ip:192.168.0.3
Filter Policy=ALLOW
Servico= HTTP TCP 80
Translete to:
IP NAT
Insert ip = 100.100.100.2 Port= 80
Cliquei em criar REGRA e nada, não consigo acessar o servidor web de fora…
NO ISASERVER funciona, oque pode ser?
Schuch,
Escrevi um pequeno guia para redirecionamento de portas no Endian.
Verifique o post: http://endian.eth0.com.br/topic/redirecionamento-de-portas-no-endian-23
[]’s
Redireciona qualquer outra porta menos a 80.
Provavelmente o seu provedor de internet bloqueia a porta 80. (ou o seu router tem alguma regra específica para ela).
[]’s