есть сервер с большим диском, там включено шифрование, у одной группы людей подключены одни папки, у другой группы, другие папки, сервера нужны чтобы всегда быть на связи, больше ни для чего.
у заинтересованных сотрудников подключены папки которые синкакются в прямом эфире.
в общем, все просто.
А расскажите как вы его используете, какой тариф и т.д.
Интересно как вы построили «экосистему» на resilio sync. Правильно я понимаю что у вас задействован и ваш сервер/nas, персональный компьютер/ноутбук и мобильное устройство. Как все это уживается в единой системе?
У Microsoft была какая-то тулза, которая показывает логи в читабельном виде, но давно не сталкивался уже и не помню.
Хотя у нас было самописное решение на IIS + ASP + MSSQL в которое складывались логи аудита
Делал не по этой инструкции, но всё также. Единственное что непонятно, совпадает ли у вас внутренняя подсеть с той, которую раздаёте VPN пользователям. У меня совпадает. Т.е. на bridge раздаётся 192.168.1.0/24 и впн пользователям назначаю из неё же
Внутренние ресурсы доступны, но только по IP. А вот с виндовой группой беда — не видно в ней никого. Вроде бы названия групп совпадают на всех внутренних ПК и на ПК подключающемся по удалёнке
Есть мысли как это исправить?
Здравствуйте, уже не знаю, ответите ли Вы мне, но я пробовал настраивать DNS и DHCP в сязке, как у Вас. Но по-видимому или у Вас не точности в настройке или я что-то делаю не так. В общем по Вашей статье у меня ничего не работает. Вот конфиги, чтобы не быть голосовном.
Файл /etc/bind/named.conf.options
cat /etc/bind/named.conf.options
options {
directory "/var/cache/bind";
// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113
// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.
// forwarders {
// 0.0.0.0;
// };
forwarders {
8.8.8.8;
};
//========================================================================
// If BIND logs error messages about the root key being expired,
// you will need to update your keys. See https://www.isc.org/bind-keys
//========================================================================
dnssec-validation auto;
auth-nxdomain no; # conform to RFC1035
// listen-on port 53 { any;};
listen-on {
127.0.0.1;
192.168.10.1;
};
listen-on-v6 { any; };
};
Файл /etc/bind/named.conf.local
cat /etc/bind/named.conf.local
//
// Do any local configuration here
//
logging {
channel bind_debug.log {
file "/var/log/bind_debug.log";
severity debug 3;
};
};
key DHCP_UPDATER {
algorithm HMAC-MD5.SIG-ALG.REG.INT;
secret "HeEBYWgNK7trRwma6TIDxQ==";
};
zone "lkmpikt.lan" IN {
type master;
file "/var/lib/bind/forward.db";
allow-update { key DHCP_UPDATER; };
};
zone "10.168.192.in-addr.arpa" {
type master;
file "/var/lib/bind/reverse.db";
allow-update { key DHCP_UPDATER; };
};
// Consider adding the 1918 zones here, if they are not used in your
// organization
//include "/etc/bind/zones.rfc1918";
Файл /var/lib/bind/forward.db
cat /var/lib/bind/forward.db
$ORIGIN .
$TTL 86400 ; 1 day
lkmpikt.lan. IN SOA base.lkmpikt.lan. root.lkmpikt.lan. (
2018091901 ; serial
10800 ; refresh (3 hours)
3600 ; retry (1 hour)
604800 ; expire (1 week)
86400 ; minimum (1 day)
)
IN NS base.lkmpikt.lan.
A 192.168.10.1
localhost IN A 127.0.0.1
base IN A 192.168.10.1
proxy1 IN A 192.168.10.1
proxy2 IN A 192.168.10.1
proxy3 IN A 192.168.10.1
proxy4 IN A 192.168.10.1
Файл /var/lib/bind/reverse.db
cat /var/lib/bind/reverse.db
$TTL 86400
10.168.192.in-addr.arpa. IN SOA base.lkmpikt.lan. root.lkmpikt.lan. (
2018091901
10800
3600
604800
3600
)
IN NS base.lkmpikt.lan.
1 IN PTR lkmpikt.lan.
1 IN PTR base.lkmpikt.lan.
1 IN PTR proxy1.lkmpikt.lan.
1 IN PTR proxy2.lkmpikt.lan.
1 IN PTR proxy3.lkmpikt.lan.
1 IN PTR proxy4.lkmpikt.lan.
Файл /etc/network/interfaces
cat /etc/network/interfaces
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
source /etc/network/interfaces.d/*
# The loopback network interface
auto lo
iface lo inet loopback
# The primary network interface
auto enp2s0
iface enp2s0 inet dhcp
auto ens1
iface ens1 inet static
address 192.168.10.1
netmask 255.255.255.0
dns-search lkmpikt.lan
dns-nameservers 127.0.0.1
auto ens1:0
iface ens1:0 inet static
address 192.168.20.1
netmask 255.255.255.0
auto ens1:1
iface ens1:1 inet static
address 192.168.30.1
netmask 255.255.255.0
auto ens1:2
iface ens1:2 inet static
address 192.168.40.1
netmask 255.255.255.0
post-up /etc/nat
Файл /etc/resolv.conf
cat /etc/resolv.conf
# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
# DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
domain lkmpikt.lan
search lkmpikt.lan
nameserver 127.0.0.1
nameserver 192.168.1.1
nameserver 127.0.0.1
search lkmpikt.lan
Файл /etc/resolvconf/resolv.conf.d/head
cat /etc/resolvconf/resolv.conf.d/head
# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
# DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
domain lkmpikt.lan
search lkmpikt.lan
nameserver 127.0.0.1
Ну и напоследок файл iptables
cat /etc/nat
#!/bin/sh
#Включаем форвардинг пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward
# Очищающие правила
iptables -F
iptables -t nat -F
iptables -X
iptables -t nat -X
# Разрешаем траффик на lo
iptables -A INPUT -i lo -j ACCEPT
# Разрешаем доступ из внутренней сети наружу
iptables -A FORWARD -i ens1 -o enp2s0 -j ACCEPT
iptables -A FORWARD -i ens1:0 -o enp2s0 -j ACCEPT
iptables -A FORWARD -i ens1:1 -o enp2s0 -j ACCEPT
iptables -A FORWARD -i ens1:2 -o enp2s0 -j ACCEPT
# Включаем NAT
iptables -t nat -A POSTROUTING -o enp2s0 -s 192.168.10.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -o enp2s0 -s 192.168.20.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -o enp2s0 -s 192.168.30.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -o enp2s0 -s 192.168.40.0/24 -j MASQUERADE
# Разрешаем ответы из внутренней сети
iptables -A FORWARD -i enp2s0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Запрещаем доступ снаружи во внутреннюю сеть
iptables -A FORWARD -i enp2s0 -o ens1 -j REJECT
iptables -A FORWARD -i enp2s0 -o ens1:0 -j REJECT
iptables -A FORWARD -i enp2s0 -o ens1:1 -j REJECT
iptables -A FORWARD -i enp2s0 -o ens1:2 -j REJECT
# Заворачиваем http на прокси
iptables -t nat -A PREROUTING -i ens1 ! -d 192.168.10.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to-destination 192.168.10.1:3127
iptables -t nat -A PREROUTING -i ens1:0 ! -d 192.168.20.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to-destination 192.168.10.1:3128
iptables -t nat -A PREROUTING -i ens1:1 ! -d 192.168.30.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to-destination 192.168.10.1:3129
iptables -t nat -A PREROUTING -i ens1:2 ! -d 192.168.40.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to-destination 192.168.10.1:3140
Проверка работоспособности:
dig base
dig base
; <<>> DiG 9.10.3-P4-Ubuntu <<>> base
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56517
;; flags: qr aa rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;base. IN A
;; ANSWER SECTION:
base. 0 IN A 192.168.1.188
;; Query time: 0 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Wed Sep 19 10:07:49 MSK 2018
;; MSG SIZE rcvd: 38
Здравствуйте.
У вас какой провайдер, возможно параметр DHCP клиента добавлять и не нужно, в Москве, точно не нужно!
Раз от маршрутизатора пакеты доходят внешних адресов, значит подключение работает нормально, остается разрешить маршрутизацию пакетов из локальной сети во вешнюю, настроив NAT, проверьте настройки согласно пункту Настройка локальной сети
у заинтересованных сотрудников подключены папки которые синкакются в прямом эфире.
в общем, все просто.
Интересно как вы построили «экосистему» на resilio sync. Правильно я понимаю что у вас задействован и ваш сервер/nas, персональный компьютер/ноутбук и мобильное устройство. Как все это уживается в единой системе?
Ну это же несколько другое…
Как порт mapping тут поможет?
Хотя у нас было самописное решение на IIS + ASP + MSSQL в которое складывались логи аудита
Для протокола SIP нужно сделать пробос портов (port mapping)
Кто и когда, создал или удалил файл или папку?
Т.е в читабельном виде?
Как быть в этом случае? Как сбросить соединения?
Внутренние ресурсы доступны, но только по IP. А вот с виндовой группой беда — не видно в ней никого. Вроде бы названия групп совпадают на всех внутренних ПК и на ПК подключающемся по удалёнке
Есть мысли как это исправить?
Файл /etc/bind/named.conf.options
Файл /etc/bind/named.conf.local
Файл /var/lib/bind/forward.db
Файл /var/lib/bind/reverse.db
Файл /etc/network/interfaces
Файл /etc/resolv.conf
Файл /etc/resolvconf/resolv.conf.d/head
Ну и напоследок файл iptables
Проверка работоспособности:
dig base
dig base.lkmpikt.lan
dig lkmpikt.lan
nslookup base
nslookup base.lkmpikt.lan
nslookup lkmpikt.lan
Вот держите: Настройка IPTV на MikroTik ( IPTV + MikroTik + Beeline )
У вас какой провайдер, возможно параметр DHCP клиента добавлять и не нужно, в Москве, точно не нужно!
Раз от маршрутизатора пакеты доходят внешних адресов, значит подключение работает нормально, остается разрешить маршрутизацию пакетов из локальной сети во вешнюю, настроив NAT, проверьте настройки согласно пункту Настройка локальной сети