Ich möchte für unser Unternehmen eine Art drahtlosen Besucherzugang einrichten, unsere Internetverbindungen laufen jedoch alle über einen externen Proxy.
Nachdem ich viele Stunden damit verschwendet habe, Besuchern zu erklären, wie sie die Proxy-Einstellungen vornehmen, bevor sie eine Verbindung zum Internet herstellen können, denke ich, dass es an der Zeit ist, nach einer Lösung zu suchen, die aus Sicht des Endbenutzers etwas einfacher ist.
Meine ursprüngliche Idee war, dass ich einfach einen WAP kaufen könnte, mit dem ich den Proxy-Server auswählen kann, aber in Wirklichkeit scheint dies eine ziemlich seltene oder teure Option zu sein (ich habe bereits Erfahrung mit einem ZyAIR G-4100 für etwas Ähnliches, aber dieser war ziemlich unzuverlässig).
Nach einiger Recherche scheint die beliebteste Antwort die Einrichtung eines transparenten Proxys mit einer Ubuntu-Box zu sein, auf der zwischen Modem und Switch Squid läuft.
Klingt das nach der vernünftigsten Idee oder mache ich die Sache zu kompliziert?
Bearbeiten Ich habe vergessen zu erwähnen, dass mein anderes Problem darin besteht, dass ich auch aus dem Router ausgesperrt bin und daher nicht mit der Erstellung separater Subnetze herumspielen kann, die den Proxy umgehen.
Antwort1
Ich bin mir ganz sicher, dass ich Ihren Aufbau verstehe, aber wenn Sie Ihren Besuchern lediglich Internetzugang gewähren möchten (und es Ihnen egal ist, ob sie überhaupt einen Proxy verwenden), warum fügen Sie dann nicht einfach ein weiteres Bein zu Ihrer Edge-Firewall/Ihrem Edge-Router hinzu (vorausgesetzt, er/sie kann das) und binden den WLAN-Router in dieses Bein ein und routen/filtern entsprechend?
Edge firewall/router: drop src 192.168.2.0 dst 192.168.1.0
[ eth0 LAN:192.168.2.1/24 | eth1 Guest:192.168.2.1/24, running DHCP for this network]
| |
| |
| |
{your LAN} [wi-fi bridged router (plugged into switch ports, not WAN;DHCP
disabled)]
Antwort2
Sie könnten sich SmoothWall, Endian und andere ähnliche „Bedrohungsmanagement“-Systeme ansehen, bei denen es sich im Grunde genommen um vollwertige, Nix-basierte Firewalls mit integrierten transparenten Proxys (hauptsächlich Web und E-Mail) handelt.
Antwort3
Wenn es Ihnen egal ist, ob Besucher den Proxy nutzen, müssen Sie lediglich eine Ausnahme zu der Regel hinzufügen, die den Datenverkehr über Port 80 blockiert. Erstellen Sie ein VLAN für das Gastnetzwerk und lassen Sie den Datenverkehr aus diesem IP-Bereich über Port 80 auf der internen Schnittstelle Ihrer Firewall zu. (oder außerhalb, wenn Sie ihn dort blockiert haben.)
Antwort4
Wenn Ihnen die Integrität Ihres Netzwerks wichtig ist, lassen Sie keine Gäste darauf zugreifen. Stellen Sie ein alternatives, durch eine Firewall geschütztes Netzwerk bereit, wie von @gravyface beschrieben.
Die beliebteste Antwort scheint die Einrichtung eines transparenten Proxys zu sein ... mit Squid
Nein, das wird Ihr Problem nicht lösen. Wenn Sie dies als transparenten Proxy einrichten, kann sich niemand mit einer Site verbinden, die SSL verwendet, ohne eine Warnung wegen eines fehlerhaften SSL-Zertifikats zu erhalten, das vom Zertifikat Ihres Proxys erstellt wurde. Und MITM zu verwenden bzw. sie zu bitten, Ihr CA-Zertifikat auf ihrem Computer zu installieren, ist keine Lösung.
aber ich bin auch aus dem Router ausgesperrt
Dann haben Sie keine Kontrolle über Ihr Netzwerk und sollten entweder nicht versuchen, Systeme auf diese Weise bereitzustellen, oder Sie sollten Ihren Anbieter wechseln.