Estou pensando em configurar algum tipo de acesso sem fio para visitantes em nossa empresa, no entanto, todas as nossas conexões de Internet são executadas por meio de um proxy externo.
Depois de muitas horas perdidas explicando aos visitantes como inserir as configurações de proxy antes que eles possam se conectar à web, sinto que é hora de procurar uma solução que seja um pouco mais simples do ponto de vista do usuário final.
Minha ideia inicial era que eu poderia simplesmente comprar um WAP que me permitisse selecionar o servidor proxy, mas na realidade esta parece ser uma opção bastante rara ou cara (tive experiência anterior usando um ZyAIR G-4100 para algo semelhante, mas isso foi bastante pouco confiável)
A partir de um pouco de pesquisa, a resposta mais popular parece ser a configuração de um proxy transparente usando uma caixa Ubuntu executando o Squid entre o modem e o switch.
Isso parece a ideia mais sensata ou estou complicando demais as coisas?
Editar Esqueci de mencionar que meu outro problema é que também estou bloqueado no roteador, por isso não consigo brincar com a criação de sub-redes separadas que ignoram o proxy.
Responder1
Tenho certeza absoluta de que entendo seu layout, mas se você deseja apenas fornecer aos seus visitantes acesso à Internet (e não se importa se eles usam um proxy), por que não adicionar outra perna ao seu firewall/roteador de borda (assumindo ele pode fazer isso) e conectar o roteador wi-fi a essa perna e rotear/filtrar adequadamente?
Edge firewall/router: drop src 192.168.2.0 dst 192.168.1.0
[ eth0 LAN:192.168.2.1/24 | eth1 Guest:192.168.2.1/24, running DHCP for this network]
| |
| |
| |
{your LAN} [wi-fi bridged router (plugged into switch ports, not WAN;DHCP
disabled)]
Responder2
Você pode dar uma olhada em SmoothWall, Endian e outros sistemas similares de "gerenciamento de ameaças" que são basicamente firewalls completos baseados em nix com proxies transparentes integrados (principalmente web e e-mail).
Responder3
Se você não se importa se os visitantes passam pelo proxy, basta adicionar uma exceção à regra que bloqueia o tráfego da porta 80. Crie uma VLAN para a rede convidada e permita que o tráfego desse intervalo de IP use a porta 80 na interface interna do seu firewall. (ou fora se você bloqueou lá)
Responder4
Se você se preocupa com a integridade da sua rede, não permita que convidados se conectem a ela. Provisione uma rede alternativa com firewall conforme descrito por @gravyface
a resposta mais popular parece ser configurar um proxy transparente...executando o squid
Não, isso não vai resolver o seu problema. Se você configurar isso como um proxy transparente, ninguém será capaz de se conectar a qualquer site usando SSL sem clicar em um aviso de SSL incorreto criado pelo certificado em seu proxy. E usar o MITM/pedir que instalem seu certificado CA em seus computadores não é uma solução.
mas também estou bloqueado no roteador
Então você não está no controle de sua rede e não deveria tentar implantar sistemas dessa maneira ou deveria mudar de provedor.