squid + BM

Обсуждение технических вопросов по продуктам Novell

squid + BM

Сообщение Танин Виктор » 13 янв 2005, 13:07

Есть NW 6.5 сервер локальных ресурсов,
прокси NW 6.5 + BM 3.8
Хочу установить linux прокси со squid, кот. будет parent для прокси под НВ. авторизацию, кеширование и allow/deny в интернет оставить BM, а squid'у поручить резать канал, правила ограничений к ресурсам, логи хождения по сайтам
на текущий момент получилось сделать linux parent'ом для BM, но вот в логах squid пишется ip прокси с ВМ. как сделать, чтоб в лог попадали учётные записи пользователей NDS?
Аватара пользователя
Танин Виктор
 
Сообщения: 141
Зарегистрирован: 03 фев 2004, 04:36
Откуда: Владивосток

Сообщение Константин Ошмян » 13 янв 2005, 13:43

Боюсь, что так не получится. Откуда в такой конфигурации Сквиду знать про пользователей NDS (и вообще про NDS)? К нему-то обращается всего лишь один конкретный пользователь - BM (с одного конкретного IP-адреса); про то, что тот, в свою очередь, обслуживает запросы ещё целой "толпы" клиентов - Squid-у неведомо.
Последний раз редактировалось Константин Ошмян 13 янв 2005, 16:04, всего редактировалось 1 раз.
Аватара пользователя
Константин Ошмян
 
Сообщения: 991
Зарегистрирован: 13 авг 2002, 21:36
Откуда: Рига

Сообщение Дмитрий Иванов » 13 янв 2005, 15:43

Пользуясь названием темы задам и я вопрос.
Структура такая же: Главный офис - squid (parent), наш офис - BM37sp3. C некоторой периодичностью (где-то раз в 30минут по 5 шт или более) на консоли начинают сыпаться сообщения: ICP Parent not reachable. .
Squid, сам по себе, в этот момент работает нормально (по крайней мере по HTTP), если работать через него - все ок. А через бордер, в эти моменты, наблюдаются подтормаживания.
В настройках BM значится: ICP Port - 3130, Type - Parent, Priority - 1. Сквидовского админа, пока не могу заставить проверить настройки. (хотя если бы что-то было на свиде не так, то ICP Parent был бы не доступен всегда, а не раз в 30 (в среднем) мин на протяжении 30 сек (или я не прав? На сквиде ни чего специально не настраивалось, но я в нем не спец...)). Конечно, можно оставить все как есть, типа ICP тока для доступа к сквидовскому кэшу нужен, но уж очень не нравяться консольная ругань (уже в логах ошибку какую можно струдом отыскать среди этих ICP-parent'ов) и притормаживания. Вот и вопрос: у кого что не так, у бордюра или сквида?
Аватара пользователя
Дмитрий Иванов
 
Сообщения: 250
Зарегистрирован: 01 мар 2004, 17:16
Откуда: Минск

Сообщение Сергей.М. » 13 янв 2005, 16:03

Дмитрий Иванов писал(а):Пользуясь названием темы задам и я вопрос.
Структура такая же: Главный офис - squid (parent), наш офис - BM37sp3. C некоторой периодичностью (где-то раз в 30минут по 5 шт или более) на консоли начинают сыпаться сообщения: ICP Parent not reachable. .
Squid, сам по себе, в этот момент работает нормально (по крайней мере по HTTP), если работать через него - все ок. А через бордер, в эти моменты, наблюдаются подтормаживания.
В настройках BM значится: ICP Port - 3130, Type - Parent, Priority - 1. Сквидовского админа, пока не могу заставить проверить настройки. (хотя если бы что-то было на свиде не так, то ICP Parent был бы не доступен всегда, а не раз в 30 (в среднем) мин на протяжении 30 сек (или я не прав? На сквиде ни чего специально не настраивалось, но я в нем не спец...)). Конечно, можно оставить все как есть, типа ICP тока для доступа к сквидовскому кэшу нужен, но уж очень не нравяться консольная ругань (уже в логах ошибку какую можно струдом отыскать среди этих ICP-parent'ов) и притормаживания. Вот и вопрос: у кого что не так, у бордюра или сквида?


На кальмаре ниче не надо настраивать... скорее всего либо ВМ подгружен, либо ICP пакеты теряются, и соответственно ВМ не видит родителя.... посмотрите на юниксе tcpdump'ом что в этот моент происходит, приходят-уходят ли ICP пакеты.
Аватара пользователя
Сергей.М.
 
Сообщения: 189
Зарегистрирован: 06 июн 2002, 08:14

Re: squid + BM

Сообщение Михаил Григорьев » 13 янв 2005, 19:04

Танин Виктор писал(а):Есть NW 6.5 сервер локальных ресурсов,
прокси NW 6.5 + BM 3.8
Хочу установить linux прокси со squid, кот. будет parent для прокси под НВ. авторизацию, кеширование и allow/deny в интернет оставить BM, а squid'у поручить резать канал, правила ограничений к ресурсам, логи хождения по сайтам
на текущий момент получилось сделать linux parent'ом для BM, но вот в логах squid пишется ip прокси с ВМ. как сделать, чтоб в лог попадали учётные записи пользователей NDS?


Вообще не представляю зачем тут BM то нужен, если только SSO и все на BM юзить, acl'ки и на сквиде можно писать, и тарфик резать и рекламу и банеры и статистику считать и т.д и т.п. Вот тока лимиты на сквиде фиг сделаешь нормально, на это есть другое решение, связка FreeRADIUS+MPD+LDAP+Squid в дополнении получаем кучу плюсов.
Аватара пользователя
Михаил Григорьев
 
Сообщения: 1462
Зарегистрирован: 04 июн 2002, 12:22
Откуда: Челябинск

Сообщение Танин Виктор » 14 янв 2005, 05:06

Вообще не представляю зачем тут BM то нужен, если только SSO и все на BM юзить...


ВМ нужен именно для SSO. Пользователи сети разные по уровню подготовки, поэтому хотелось бы, чтоб они регистрировались в сети и получали все сервисы, не вводя логин/пароль повторно где-нибудь.

связка FreeRADIUS+MPD+LDAP+Squid в дополнении получаем кучу плюсов


можно подробнее?
Аватара пользователя
Танин Виктор
 
Сообщения: 141
Зарегистрирован: 03 фев 2004, 04:36
Откуда: Владивосток

про связку эту

Сообщение skoltogyan » 14 янв 2005, 10:53

связка то рабочая.. вот только от броузер к сквиду имя и пароль пользователя открытыи текстом идут, в отличии от решения новелл (sso)
skoltogyan
 
Сообщения: 2037
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

Re: про связку эту

Сообщение Михаил Григорьев » 14 янв 2005, 14:49

skoltogyan писал(а):связка то рабочая.. вот только от броузер к сквиду имя и пароль пользователя открытыи текстом идут, в отличии от решения новелл (sso)


Хочу вас разочаровать, но пароли в ЭТОМ решении шифрованые - MS-CHAP (40, 56, 128 bit) или L2TP, более того, весь трафик идущий от клиента к серверу тоже шифруется. На сквиде в этом решении даже нет авторизации. Для проверки паролей используется Radius, а вот одно из ключевых мест в схеме это MPD - Multi-link PPP daemon for FreeBSD, база пользователей это OpenLDAP, хотя и NWLDAP можно без проблем использовать если напильником кое что подработать, статистика в PostgreSQL кладёентся и показывается NVStat for *nix

Теперь про SSO, аналог его есть, это домен, а если стоит домен на Samba то можно юзить доменный вход, вошел в домен, а дальше при установке VPN соединения ставим в свойствах галку "Включать домен входа в Windows" и усё...
Обращаю внимание на то что пароль вводится только 1 раз, при входе в домен NT (а домен на Samb'е стоит)

Так что есть аналог SSO... :)
Аватара пользователя
Михаил Григорьев
 
Сообщения: 1462
Зарегистрирован: 04 июн 2002, 12:22
Откуда: Челябинск

Михаил, подробне пож.

Сообщение skoltogyan » 14 янв 2005, 15:03

Михаил, если есть возможность = подробнее РАССКАЖИТЕ про это
skoltogyan
 
Сообщения: 2037
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

Re: Михаил, подробне пож.

Сообщение Михаил Григорьев » 14 янв 2005, 17:26

skoltogyan писал(а):Михаил, если есть возможность = подробнее РАССКАЖИТЕ про это


Да ту вроде все итак понятно:

Есть FreeBSD 5.2.1 (5.3), на ней стоят Squid, FreeRADIUS, PostgreSQL, MPD и еще мелочь всякая.
Вкраце по MPD (на нем реализован VPN сервер), MPD обращается к FreeRADIUS (есть 2 вида запросов: authentication и accounting) На запрос authentication MPD отдаёт FreeRADIUS'у определённые данные (логин, пароль и т.д.), RADIUS отвечает да или нет и еще отдает MPD некоторые данные (например Framed-IP-Address), на основании чего MPD либо разрешает конект либо нет. На запрос accounting RADIUS'у отдается инфа, какая читаем доку.
Далее... данные от радиуса перд-ся MPD, а тот отдает их клиенту (это IP адрес, маска и т.д.)

Примечание: пароли от клиента к MPD летят в виде NTHash и RADIUS в зависимости от настроек сравнивает их с анологичными (из LDAP например)

После установки VPN тунеля по нему гоняем что нам нужно.

Пример сетки:

ИНЕТ<---->ADSL<----->FreeBSD <----->SWITCH<---->PC1......PCn

На Free стоит естественно DHCP, DNS, реальные данные такие:
SubNet: 192.168.100.0/24
GW: 192.168.100.1
DNS: 192.168.100.1
VPN Server: 192.168.100.1
VPN SubNet: 192.168.201.0/24
VPN Server: 192.168.201.1

На FreeBSD настроен соответствующим образом маскарад.
Сквид принимает запросы только из сетки 192.168.201.0/24

Radius берёт данные из OpenLDAP, так же как и Samba

Локальных пользователей нет, на FreeBSD стоит PAM_LDAP и NSS_LDAP, все юзера живут в OpenLDAP

RADIUS настроен так что выдаёт конкретному юзеро конкретный и постоянный IP из диапозона 192.168.201.10/24-192.168.201.100/24
Потому как этот IP светится в логах Squid и по нему можно сопоставить какой юзер сколько накачал и откуда.
Есть 2 вида статистики, по VPN, она ведётся RADIUS'ом и кладется в базу PostgreSQL и статистика по прокси-серверу Squid, она тоже в PostgreSQL сливается, почтовая статистика нас особо не интересует.
RADIUS считает все, абсолютно, и http трафик и почтовый и пинги наружу, все, абсолютно. Если нужно считать все виды трафика берём ipcad и вперёд.

Что еще то сказать, вроде все, есть куча мелочей и подводных камней, многие пытались такую связку сделать, получилось у немногих.

Мы потратили на сиё дело больше полугода и до сих пор накручиваем функционал, сейчас например делаем квоты на трафик. А то некоторые юзера по гигу качают а средст автоматического отключения при привышении порога нет, а ох как нужно.
Пишем веб-интерфейс для рулением OpenLDAP (добавл. редактиров. удаление юзеров, админья самбы и т.д.)

Вобщем вкраце вот и все.... Если решение кого то заинтересовало и вы решите его использовать то мы срадостью этим займемся :) Настроим, покажем и расскажем всё и вся....
Аватара пользователя
Михаил Григорьев
 
Сообщения: 1462
Зарегистрирован: 04 июн 2002, 12:22
Откуда: Челябинск

А...

Сообщение skoltogyan » 14 янв 2005, 17:36

Я подобное ковырял в таком виде.
На Linux: pptpd+radius (в радиусе связка):
user+password --------- IP
ppp - настроен на шифрование

На станции: соотественно VPN (шифрование пароля и данных)

И уж на базе этого чуда можна в SQUID на базе IP строить ACL.

До того, что-бы настроить radius лезть к LDAP - недоходил.

Вопрос, как решается такое, в вашем случае:
1. Если у Вас будет 400 пользователей.. Как вы им тогда будите раздавать инет
(какую подсеть будите использовать) ?

2. Вы пробовали настроить, что-бы лезло к LDAP из eDir ?
skoltogyan
 
Сообщения: 2037
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

Re: А...

Сообщение Михаил Григорьев » 14 янв 2005, 18:28

skoltogyan писал(а):Вопрос, как решается такое, в вашем случае:
1. Если у Вас будет 400 пользователей.. Как вы им тогда будите раздавать инет (какую подсеть будите использовать)?


Варианта 2:
1. Сеть 10.1.0.0/16 или 10.2.0.0/16 (класс B)
2. Делаем 2 подсети или 10 класса С

2-й вариан не очень на самом деле, а первый само то.

skoltogyan писал(а):2. Вы пробовали настроить, что-бы лезло к LDAP из eDir ?


Авторизация Squid на Novell LDAP (eDir) настраивается за 30 минут. Решение простое до безобразия, Андрей Фисенко может подтвердить, я ему рассказывал как такое делается.

Решение чтобы юзера заходили на FreeBSD (FTP, SSH) с проверкой паролей через Novell LDAP настраивается за 1 час. Такое я лично не делал, НО есть знакомые которые далали.

Если всё клонится к тому чтобы Samba и RADIUS обращились к Novell LDAP то и это можно сделать, придется конечно же расширять схему NDS (добавлять кучу новых аттрибутов и т.д.)
Говорю абсолютно серьёзно что такое можно сделать. Просто нам не ставили такую задачу вот мы и не делали. Поставят - сделаем.
Аватара пользователя
Михаил Григорьев
 
Сообщения: 1462
Зарегистрирован: 04 июн 2002, 12:22
Откуда: Челябинск

... это

Сообщение skoltogyan » 14 янв 2005, 18:40

про squid+ldap это рабоатет. : )
Вы улыбнетесь. .......

Ну и остальное...
Я спрашивал именно про то, что-бы в ВАШЕМ использовании

MSVPN ------>pptp--radius--LDAP

Что-бы радиус лез к LDAP на новелл. РЕАЛЬНО пробывали, или только читали как это делать ?

И по поводу ответа, мол
вариант 1(адреса тип: 10.4.0.0/255.255.0.0 )
и
вариант 2...(fдве сетки /255.255.255.0)

Если Вариант 1:, то поддерживает-ли pptp демон , что у Вас установлен 400 соединений ? Имею ввиду тот, что сиспользуется сейчас.. может он при запуске пишет,типа..100 allowed connections... И его надо было пересолбирать что-ьы увеличить ?
Если вариант2: то как вы настраивате на одном сервер 2 pptp демона на одном и на одном IP ?? .. Ведь-если их подымать на разны IP, то тогда прийдется части станций прописывать другой сервер VPN.. т.е. неединообразно...
Вот с этим случаем некопали ?
skoltogyan
 
Сообщения: 2037
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

Re: ... это

Сообщение Михаил Григорьев » 14 янв 2005, 20:11

skoltogyan писал(а):про squid+ldap это рабоатет. : )
Вы улыбнетесь........


:lol:

skoltogyan писал(а):Ну и остальное...
Я спрашивал именно про то, что-бы в ВАШЕМ использовании
MSVPN ------>pptp--radius--LDAP
Что-бы радиус лез к LDAP на новелл. РЕАЛЬНО пробывали, или только читали как это делать ?


Реально НЕ пробовал и даже НЕ читал, НО сделать можно, 100%

skoltogyan писал(а):И по поводу ответа, мол
вариант 1(адреса тип: 10.4.0.0/255.255.0.0 )
и
вариант 2...(две сетки /255.255.255.0)

Если Вариант 1:, то поддерживает-ли pptp демон , что у Вас установлен 400 соединений ? Имею ввиду тот, что сиспользуется сейчас.. может он при запуске пишет,типа..100 allowed connections... И его надо было пересолбирать что-ьы увеличить ?
Если вариант2: то как вы настраивате на одном сервер 2 pptp демона на одном и на одном IP ?? .. Ведь-если их подымать на разны IP, то тогда прийдется части станций прописывать другой сервер VPN.. т.е. неединообразно...
Вот с этим случаем некопали ?


Если честно то не копали, у нас пока 70 соединений и больше не прогнозируется.
Ограничение на 100 конектов действительно есть, но и есть патчь который его снимает.

Про вариант 2: 2 демона естественно не получится запустить, и не надо этого. 1 демон и хоть N подсетей.

Но нафига 2 подсети типа 192.168.201.0/24 и 192.168.202.0/24 в каждом не более 254 юзеров когда можно взять сеть 10.0.0.0/16 и не мучаемся.
Так что хоть 600 юзеров....
Аватара пользователя
Михаил Григорьев
 
Сообщения: 1462
Зарегистрирован: 04 июн 2002, 12:22
Откуда: Челябинск

а какие были соображения

Сообщение skoltogyan » 15 янв 2005, 10:56

а какие были соображения, что непривязывали к LDAP on eDir вышу связку ?
skoltogyan
 
Сообщения: 2037
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

След.

Вернуться в Novell

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 65

cron