Zentyal Als Gateway: Die Perfekte Einrichtung - Seite 2

3.3. Failover

Zentyal Server kann Failover bei Gateways durchführen. Wenn eines der Gateways ausfällt, wird dies erkannt und der Verkehr wird über das andere geleitet. Dies garantiert eine ausgewogene Internetverbindung (es sei denn, beide Verbindungen fallen gleichzeitig aus).

Um das Failover zu konfigurieren, muss das Ereignismodul aktiviert sein (im Modulstatus). Sie müssen auch WAN-Failover im Abschnitt Ereignisse aktivieren. Schließlich sollten Sie Regeln für die Konnektivitätsprüfung hinzufügen. Das Failover-Ereignis wird diese verwenden, um den Status der defekten Verbindung zu erkennen (Netzwerk -> WAN-Failover):

Ein Ping zum Gateway überprüft, ob das Gateway aktiv ist, nicht die Internetverbindung selbst. Ein Ping zu einem externen Host testet ebenfalls die Konnektivität auf schnelle Weise. Der DNS-Resolutionstest ist etwas langsamer, überprüft jedoch auch die DNS-Auflösung, und der letzte, die HTTP-Anfrage, führt eine vollständige Anfrage an eine Webseite durch. Es ist umfassender, aber auch langsamer.

Mit dieser Konfiguration wird Zentyal alle 30 Sekunden 8.8.8.8 anpingen. Wenn zwei oder mehr Pings für ein Gateway fehlschlagen, wird es deaktiviert. Wenn das Gateway sich erholt, wird es wieder aktiviert. Keines dieser Ereignisse wird die Konnektivität der Endbenutzer beeinträchtigen. Es ist wichtig, die richtige Zeit zwischen den Tests einzustellen und die maximalen Testdauerzeiten zu berechnen. In diesem Fall haben wir sechs Pings x zwei Gateways, die in weniger als 30 Sekunden durchgeführt werden sollten.

3.4. Grundlegende Infrastruktur

Um eine grundlegende Infrastruktur für das interne Netzwerk bereitzustellen, müssen Sie die DNS- und DHCP-Module über den Abschnitt Softwareverwaltung -> Zentyal-Komponenten installieren.

Jetzt müssen Sie diese Komponenten im Modulstatus aktivieren. DNS wird als Caching-Server fungieren, sodass Sie Netzwerk -> DNS auf 127.0.0.1 konfigurieren können, damit Zentyal es verwendet (wenn Sie mehr als einen DNS-Server einrichten, sollte 127.0.0.1 der erste sein):

DHCP kann ebenfalls konfiguriert werden, um im internen Netzwerk zu dienen: Es wird die Clients automatisch so konfigurieren, dass sie Zentyal als Gateway und DNS verwenden. Sie müssen nur einen Standardbereich von IPs hinzufügen, den Sie für die Clients wünschen, in diesem Fall 10.0.0.20-10.0.100:

4. Firewall

An diesem Punkt haben Sie ein funktionierendes Netzwerk mit allen notwendigen grundlegenden Netzwerk-Infrastrukturen. Jetzt werfen wir einen Blick auf die Firewall von Zentyal und wie man sie konfiguriert.

Zentyal ist standardmäßig sicher, die Standardfirewall wendet strenge Regeln auf die externen Schnittstellen an und erlaubt ausgehenden Verkehr aus dem internen LAN. Sie finden die konfigurierten Regeln in Firewall -> Paketfilter:

• Filterregeln von internen Netzwerken zu Zentyal
• Filterregeln für interne Netzwerke
• Filterregeln für den Verkehr, der von Zentyal ausgeht
• Filterregeln von externen Netzwerken zu Zentyal
• Filterregeln von externen Netzwerken zu internen Netzwerken
• Regeln, die von Zentyal-Diensten hinzugefügt wurden (Erweitert)

Alle diese Tabellen verbieten standardmäßig Verbindungen. Wenn Sie eine bestimmte Art von Verbindung zulassen möchten, müssen Sie eine neue Regel dafür erstellen (Regeln werden in der Reihenfolge angewendet). Hier sind einige gängige Beispiele:

Erlaube internen Clients, einige Dienste außer LDAP zu nutzen:

Erlaube allen Verkehr von Clients zum Internet:

5. HTTP-Proxy

Der letzte Schritt dieses Tutorials ist die Einrichtung des HTTP-Proxys. Der HTTP-Proxy von Zentyal wird die Webnavigation der Benutzer zwischenspeichern, wodurch die Bandbreitennutzung erheblich reduziert wird, und er wird auch Inhalte filtern, indem er verbotene Seiten oder Inhaltstypen nicht zulässt.

Von HTTP-Proxy -> Allgemein können Sie den HTTP-Proxy als transparent konfigurieren, sodass die Browser der Clients nicht neu konfiguriert werden müssen. HTTP-Anfragen (Port 80) werden automatisch über den Proxy umgeleitet. Sie können auch die Cache-Größe je nach Ihrer Hardware und Nutzung erhöhen.

Schließlich können Sie eine URL zu den Cache-Ausnahmen hinzufügen, sodass der Proxy sie niemals zwischenspeichert. Dies ist nützlich, wenn Sie immer auf die Webseite in ihrer neuesten Version zugreifen müssen.

Die Einstellung Filter als Standardrichtlinie zwingt die Anfrage, durch den Inhaltsfilter zu gehen. Jetzt können Sie es so konfigurieren, dass es Ihre gewünschten Seiten erlaubt oder verbietet. Im Menü HTTP-Proxy -> Filterprofile finden Sie definierte Filterprofile. Sie können das Standardprofil konfigurieren, das für alle Benutzer gilt.

Darüber hinaus können Sie hier die Schwelle des Inhaltsfilters konfigurieren und Listen von verbotenen Domains hinzufügen. Wenn Sie auch das Antivirenmodul installieren, wird der Proxy es verwenden, um Virusdownloads zu filtern.

Wie Sie sehen können, haben Sie facebook.com blockiert (nur als Beispiel), aber beachten Sie, dass der HTTP-Proxy nur HTTP auf Port 80 filtert. In diesem Fall können die Benutzer weiterhin die HTTPS-Version der Seite erreichen, also erstellen wir auch eine Firewall-Regel, die diesen Verkehr blockiert. Sie benötigen ein Objekt (Menü Objekte), das den Adresspool von facebook.com enthält:

Wenn es nicht existiert, erstellen Sie auch einen neuen Dienst, um den gewünschten Verkehr zuzuordnen. In diesem Fall HTTPS (TCP mit Zielport 443):

Schließlich können Sie die Firewall-Regel für interne Netzwerke hinzufügen, die den Verkehr blockiert, der Ihrem neuen Objekt und Dienst als Ziel entspricht:

6. Fazit

Wir haben den Zentyal Server vollständig als Gateway mit Lastenausgleich, Failover und HTTP-Proxy-Cache konfiguriert. Zentyal wird auch für die grundlegende Infrastruktur zuständig sein, die DHCP und DNS bereitstellt.

Über

Zentyal, der Linux Small Business Server, bietet kleinen und mittelständischen Unternehmen eine erschwingliche und benutzerfreundliche Netzwerk-Infrastruktur auf Unternehmensniveau. Durch die Verwendung des Zentyal-Servers können KMUs die Zuverlässigkeit und Sicherheit ihres Computernetzwerks verbessern und ihre IT-Investitionen sowie Betriebskosten senken. Die Entwicklung des Zentyal-Servers begann Anfang 2004 und derzeit ist er die Open-Source-Alternative zum Windows Small Business Server. Zentyal ist ein All-in-One-Server, der als Netzwerk-Gateway, Unified Threat Manager (UTM), Office-Server, Infrastruktur-Manager, Unified Communications Server oder eine Kombination davon fungieren kann. Der Zentyal-Server wird in kleinen und mittelständischen Unternehmen unabhängig von Sektor, Branche oder Standort sowie in der öffentlichen Verwaltung oder im Bildungssektor weit verbreitet eingesetzt. Es wird geschätzt, dass es weltweit über 50.000 aktive Zentyal-Installationen gibt.

Der Autor, Carlos Pérez-Aradros Herce (auch bekannt als exekias), arbeitet als Entwickler für Zentyal Server und Zentyal Cloud.