Estoy considerando configurar algún tipo de acceso inalámbrico para visitantes para nuestra empresa; sin embargo, todas nuestras conexiones a Internet se ejecutan a través de un proxy externo.
Después de muchas horas perdidas explicando a los visitantes cómo ingresar la configuración del proxy antes de que puedan conectarse a la web, creo que es hora de buscar una solución que sea un poco más simple desde el punto de vista del usuario final.
Mi idea inicial era que podría comprar un WAP que me permitiera seleccionar el servidor proxy, pero en realidad esta parece ser una opción bastante rara o costosa (he tenido experiencia previa usando un ZyAIR G-4100 para algo similar, pero esto fue bastante poco confiable)
Según un poco de investigación, la respuesta más popular parece ser configurar un proxy transparente usando una caja de Ubuntu que ejecuta Squid entre el módem y el conmutador.
¿Suena como la idea más sensata o estoy complicando demasiado las cosas?
Editar Olvidé mencionar que mi otro problema es que también estoy bloqueado del enrutador, por lo que no puedo crear subredes separadas que omitan el proxy.
Respuesta1
Estoy completamente seguro de que entiendo su diseño, pero si solo desea brindarles a sus visitantes acceso a Internet (y no les importa si usan un proxy), ¿por qué no simplemente agregar otra pata a su firewall/enrutador perimetral (suponiendo que puede hacer eso) y conectar el enrutador wi-fi a ese tramo y enrutar/filtrar en consecuencia?
Edge firewall/router: drop src 192.168.2.0 dst 192.168.1.0
[ eth0 LAN:192.168.2.1/24 | eth1 Guest:192.168.2.1/24, running DHCP for this network]
| |
| |
| |
{your LAN} [wi-fi bridged router (plugged into switch ports, not WAN;DHCP
disabled)]
Respuesta2
Podría echar un vistazo a SmoothWall, Endian y otros sistemas similares de "gestión de amenazas" que son básicamente firewalls completos basados en nix con servidores proxy transparentes integrados (principalmente web y correo electrónico).
Respuesta3
Si no le importa si los visitantes pasan por el proxy, todo lo que tiene que hacer es agregar una excepción a la regla que bloquea el tráfico del puerto 80. Cree una VLAN para la red de invitados y permita que el tráfico de ese rango de IP utilice el puerto 80 en la interfaz interna de su firewall. (o afuera si lo bloqueaste allí)
Respuesta4
Si le importa la integridad de su red, no permita que los invitados se conecten a ella. Aprovisione una red alternativa con firewall como lo describe @gravyface
la respuesta más popular parece ser configurar un proxy transparente... ejecutando squid
No, eso no va a resolver tu problema. Si configura esto como un proxy transparente, nadie podrá conectarse a ningún sitio utilizando SSL sin hacer clic en una advertencia de SSL incorrecta creada por el certificado de su proxy. Y usar MITM/pedirles que instalen su certificado CA en su computadora no es una solución.
pero también estoy bloqueado del enrutador
Entonces usted no tiene el control de su red y no debería intentar implementar sistemas de esta manera o debería cambiar de proveedor.