iPrint webpage, NW65SP7 и IE6

[Dimerson]

Craig Johnson писал, что мол должны сделать, но я не видел чтобы выкладывали Overlay.

У меня он есть, поэтому и вопрос. У меня один бордюр 3.8, другой 3.9, надо их сравнять, т.к. в таком виде неудобно. Там в readme было про виртуализацию, т.е. мне видится что под линухом можно будет запускать бордера под xen. В линукс часть функционала перенесли (Access manager), а часть нет, а продукт хороший (по мне только в качестве прокси, т.к. vpn в нем дохлый), поэтому видими и появляются такие оверлеи.

VPN точно никакой ? Он же вроде полноценный IPSec ...
Я подумывал его юзать для VPN клиентов ...

А в чем дохлость ?

Он глючный как незнамо что. keep alive не работает никак ваще, приходится ping -t делать, чтоб пинговался внутренний хост, vpn клиент под линукс - набор сделай сам незнаю как. Когда делашь stopvpn на консоли - сервак с вероятностью 50% виснет. Даже Крейг не знает почему. Дальше продложать?
Одна cisco asa 5505 вполне решат проблемы vpn доступа для 25 человек. При желании (оч.большом) к ней прикручивается радиус. vpn клиенты циски под любую винту и любой линукс. Скорость ipsec туннеля на порядок выше. Так что бордер для меня это очень хорошая прокся. как с проксей с ним проблем нет вообще.

А там оно чистый IPSEC или GRE over IPSEC?

У циски на чистом ipsec тоже нет кипаливов = он поднимается первым пакетом (но быстро).

Сделаешь GRE over IPSEC и на GRE туннеле keepalive можно установить.

Не хотелось вот городить еще и клиентские впн на стороннем железе ..
хотя наврное заюзать RADIUS.NLM при этом получится.

А зачем ему стопвпн ? Оно не умеет перечитывать конфиги ?

[alexp_mac]

Craig Johnson писал, что мол должны сделать, но я не видел чтобы выкладывали Overlay.

У меня он есть, поэтому и вопрос. У меня один бордюр 3.8, другой 3.9, надо их сравнять, т.к. в таком виде неудобно. Там в readme было про виртуализацию, т.е. мне видится что под линухом можно будет запускать бордера под xen. В линукс часть функционала перенесли (Access manager), а часть нет, а продукт хороший (по мне только в качестве прокси, т.к. vpn в нем дохлый), поэтому видими и появляются такие оверлеи.

VPN точно никакой ? Он же вроде полноценный IPSec ...
Я подумывал его юзать для VPN клиентов ...

А в чем дохлость ?

Он глючный как незнамо что. keep alive не работает никак ваще, приходится ping -t делать, чтоб пинговался внутренний хост, vpn клиент под линукс - набор сделай сам незнаю как. Когда делашь stopvpn на консоли - сервак с вероятностью 50% виснет. Даже Крейг не знает почему. Дальше продложать?
Одна cisco asa 5505 вполне решат проблемы vpn доступа для 25 человек. При желании (оч.большом) к ней прикручивается радиус. vpn клиенты циски под любую винту и любой линукс. Скорость ipsec туннеля на порядок выше. Так что бордер для меня это очень хорошая прокся. как с проксей с ним проблем нет вообще.

А там оно чистый IPSEC или GRE over IPSEC?

У циски на чистом ipsec тоже нет кипаливов = он поднимается первым пакетом (но быстро).

Сделаешь GRE over IPSEC и на GRE туннеле keepalive можно установить.

Не хотелось вот городить еще и клиентские впн на стороннем железе ..
хотя наврное заюзать RADIUS.NLM при этом получится.

А зачем ему стопвпн ? Оно не умеет перечитывать конфиги ?

Грубо говоря не умеет. Добавил пользователя, а его не аутентифицирует. Есть различные ухищрения, которые позволяют свести необходимость перезагрузки vpn к минимуму. А про keеp alive, ну по-любому в бордере глюки, ping -t спасает. У меня сейчас только одна задача: скрестить cisco acs с edir. Пока на это нет времени, но думаю, что задача выполнимая. radius.nlm труп - новель его не подд
ерживает - везде пишет идите на freeradius. Да, и в логах vpn видеть proposal mismatch как-то не радует, никто ессно ответить почему такое, не может. Опять-таки, кто-ж знает, что перед установкой vpn клиента бордера, надо проверить версию NMAS, стоящую на компе, т.к. в последнем nw клиенте, она новая, а в бордеровском клиенте, старая. Соответственно имеем неработающий vpn клиент, с сообщениями об отсутствующих dll.
Подводя итог могу сказать, что да конечно бордюрный vpn работает, но с кучей примочек и глюков, поэтому мне проще использовать железку от циски.

[Dimerson]

Если честно то для тунелей до удаленных офисов я тоже не бордюр заюзал а сделал на рутерах (аццкий винегрет из CISCO 3825,2851,2811,1841,871,1721,1751 . А про впн сервер для клиентов я еще думаю

[Boris Morozov]

в редми по установке VPN клиента, и нету каши из разнообразных версий клиента, то все там работает. Последний клиент ставим с NMAS, VPN без NMAS и все работает. Насчет Keep-Alive честно говоря проблем не замечал. Самое главное RIP фильтры настроить, чтоб не образовывались петли маршрутизации и правильно адресацию расписать. Единственная у меня лично проблема это файрволы. Слишком там всего много в IKE задействовано, а главное еще спецпротоколы, которые ни TCP ни UDP. Тяжело проталкиваются, особенно, если VPN сервер не имеет прямого интерфейса в инет.

[alexp_mac]

в редми по установке VPN клиента, и нету каши из разнообразных версий клиента, то все там работает. Последний клиент ставим с NMAS, VPN без NMAS и все работает. Насчет Keep-Alive честно говоря проблем не замечал. Самое главное RIP фильтры настроить, чтоб не образовывались петли маршрутизации и правильно адресацию расписать. Единственная у меня лично проблема это файрволы. Слишком там всего много в IKE задействовано, а главное еще спецпротоколы, которые ни TCP ни UDP. Тяжело проталкиваются, особенно, если VPN сервер не имеет прямого интерфейса в инет.

Ну да ну да, тупой юзер ридми не читает. rip у меня запрещен везде, так что никаких петель. А фильтры это не проблема. Но я все-таки утверждаю, что софтовое решение, оно и есть софтовое решение, особенно когда сервак с vpn ребутать надо
Так что ищу тех, кто делал связку cisco acs->ldap

[alexp_mac]

Если честно то для тунелей до удаленных офисов я тоже не бордюр заюзал а сделал на рутерах (аццкий винегрет из CISCO 3825,2851,2811,1841,871,1721,1751 . А про впн сервер для клиентов я еще думаю

И правильно сделал, а то проекспарится сертификат, на котором vpn s2s живет, вот тогда мало не покажется. У меня такое было, тем более, что индусы сделали, что по умолчанию он на 2 года действует.

[Sergant]

Коллеги, если старая проблема с ипринтом в ИЕ6 для кого-то еще актуальна - есть решение. Судя по всему, исправлена и проблема с кодировками.

Кстати, имелся в виду "iPrint Update to NetWare 6.5 Support Pack 7 iprntnw65sp7b" ( http://download.novell.com/Download?bui ... QQ9fMHax0~ ) или как ?

[Иван Левшин aka Ivan L.]

Посмотреть смогу только в среду, всех патчей я не упомню. Я говорил про патченный файл iprint.js, в котором просто поправили кодировки и скрипт проверки наличия клиента ( как-то так). Раньше не смогу - вчера разбили вхлам машину, завтра еду разбираться к гибдунам. Очень надеюсь в среду быть на месте - так что напоминалки приветствуются.

[alexp_mac]

Посмотреть смогу только в среду, всех патчей я не упомню. Я говорил про патченный файл iprint.js, в котором просто поправили кодировки и скрипт проверки наличия клиента ( как-то так). Раньше не смогу - вчера разбили вхлам машину, завтра еду разбираться к гибдунам. Очень надеюсь в среду быть на месте - так что напоминалки приветствуются.

Reminder!