Есть ли у кого-нибудь BM39 в продуктивной работе ?

[Dimerson]

У меня доживает BM37 - приглядываюсь к BM39 ибо NAM4 неизвестно когда и что будет из себя представлять.

Вопроса всего два.

1)
Первый почти и не вопрос - я так понял что VPN клиент от Novell Inc
даже в режиме certificate (без нмас) хочет (разрешенный входящий траффик на сервер) помимо
ESP
IKE
IKE под NAT (NAT travesal)

еще и 353 UDP Port для некоего KeepAlive ?
Без него коннект поднимается но быстро падает.

(если не использую NMAS то 353 TCP не нужен



2) А что у него с аудитом - хоть он и может делать Indexed лог который можно смотреть в NWADMIN , SSL CONNECT записи отображаемые так содержат мусор ( похоже это не вылечено со времен 37)
и к тому же через NWADMIN можно просмотреть лишь Audit Log - Access Control log пустой (

Причем в EXTENDED log строка CONNECT на порт 443 тоже содержит мусор - пример :
с Firefox
-------------------------------
6 [16/Dec/2008:15:24:57 +0600] 192.168.100.254 CONNECT www.somehost.com:443 HTTP/1.1 ">©8бжЃҐ%SёЙ4“Ћ§iЊЕk¬q’xщЈ‘IGйЮmй“tяьџП‰7І‘3Њ·“сjМyъи‡ю}NПљWњ(¶ѕ®ХЖяЩ b/ћ,УН–їЉ\¤ЛQЧHi\ћФЫЮкб2Hn¤ИА" admin.TEST
-------------------------------
с IE:
-------------------------------
6 [16/Dec/2008:15:30:36 +0600] 192.168.100.254 CONNECT www.somehost.com:443 HTTP/1.0 "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30; .NET CLR 3.0.04506.648; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)" admin.TEST
6 [16/Dec/2008:15:30:51 +0600] 192.168.100.254 CONNECT www.somehost.com:443 HTTP/1.0 "YЃhh>HTTP COMMONДwSle; MЫХDєцI3PSСЭ 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.507E €`'@ ЂO0АЁdЙАЁdю06.30; .NET CLR 3.0.04506.648; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)" admin.TEST
-------------------------------
Как быть - использовать COMMON/EXTENDED логи или использовать Novell Audit . И если это Novell Audit то насколько это юзабельно ?

В общем не есть ли BM39 MoneyLost ? И вообще как жить дальше ?

;o)

UPD. Гадит в INDEXED/EXTENDED логи - в COMMON логах мусора нет
(видимо никто кроме коммон логов ничего не юзает).

[skoltogyan]

у меня только как VPN-сервер и только в C2S режиме.[/code]

[Dimerson]

и как впечатления от C2S VPN ?

я на коленке посестил вроде работает.

Иногда не хочет одновременно логиниться в NW одновременно с VPN логином но тут тестовый сервер и нет нормального DNS и SLP (логин к серверу по private ip посему).

сам vpn вроде не падает.

тестил в режиме NMAS и Certificate (PSK имхо это не совсем управляемое решение).

думаю что Certificate более секурно (и к тому же на 1 TCP порт меньше наружу открывать).

опять же если только прикрутить к NMAS еще и eToken'ы на стороне клиента.

P.S. Детская болезнь TCP stateful filters уже излечена ?

я на 3.7 нахлебался с ними и 1 держу посему на 3.7 2 правила по-Крейгу (для TCP):
на исходящий
на входящиу с ASK Bit fltering=ON.

[Dimerson]

Вот еще какой момент.

COMMON лог SOCKS5 сервера (есть аппликухи которые только соксифицируются) ненастраиваемый - работает через debuglog.nlm
и живет в sys:\etc\gwcomm.log (ни тебе ротации но чего такого)
похоже остается только делать ночью unload ipxipgw, ротейтить логи скармливать анализатору и запускать ipxipgw (по крону).

Опять же в 3.7 например коммон лог сокса не работает без indexed (!!!! ужас ).