Я рассматриваю возможность организации гостевого беспроводного доступа для нашей компании, однако все наши интернет-соединения проходят через внешний прокси-сервер.
После многих часов, потраченных впустую на объяснение посетителям, как вводить настройки прокси-сервера, прежде чем они смогут подключиться к Интернету, я чувствую, что пришло время рассмотреть решение, которое было бы немного более простым с точки зрения конечного пользователя.
Моя первоначальная идея заключалась в том, что я мог бы просто купить WAP, который позволит мне выбирать прокси-сервер, но на самом деле это кажется довольно редким или дорогим вариантом (у меня был предыдущий опыт использования ZyAIR G-4100 для чего-то похожего, но он был довольно ненадежным).
После небольшого исследования выяснилось, что наиболее популярным ответом является настройка прозрачного прокси-сервера с использованием Ubuntu-бокса с запущенным Squid между модемом и коммутатором.
Это кажется вам самой разумной идеей или я слишком все усложняю?
Редактировать Забыл упомянуть, что моя другая проблема заключается в том, что я также заблокирован от маршрутизатора, поэтому не могу экспериментировать с созданием отдельных подсетей, которые обходят прокси-сервер.
решение1
Я полностью уверен, что понимаю вашу схему, но если вы просто хотите предоставить своим посетителям доступ в Интернет (и вас вообще не волнует, используют ли они прокси-сервер), почему бы просто не добавить еще одну ветку к вашему пограничному брандмауэру/маршрутизатору (предполагая, что он может это сделать) и не подключить маршрутизатор Wi-Fi к этой ветке и не настроить соответствующую маршрутизацию/фильтрацию?
Edge firewall/router: drop src 192.168.2.0 dst 192.168.1.0
[ eth0 LAN:192.168.2.1/24 | eth1 Guest:192.168.2.1/24, running DHCP for this network]
| |
| |
| |
{your LAN} [wi-fi bridged router (plugged into switch ports, not WAN;DHCP
disabled)]
решение2
Вы можете взглянуть на SmoothWall, Endian и другие подобные системы «управления угрозами», которые по сути являются полноценными межсетевыми экранами на базе Nix со встроенными прозрачными прокси-серверами (в основном веб-серверами и электронной почтой).
решение3
Если вас не волнует, будут ли посетители проходить через прокси-сервер, все, что вам нужно сделать, это добавить исключение в правило, которое блокирует трафик порта 80. Создайте VLAN для гостевой сети и разрешите трафику из этого диапазона IP-адресов использовать порт 80 на внутреннем интерфейсе вашего брандмауэра (или внешнем, если вы заблокировали его там).
решение4
Если вы заботитесь о целостности своей сети, не позволяйте гостям подключаться к ней. Создайте альтернативную сеть с брандмауэром, как описано @gravyface
наиболее популярным ответом, похоже, будет настройка прозрачного прокси... запуск Squid
Нет, это не решит вашу проблему. Если вы настроите его как прозрачный прокси, то никто не сможет подключиться к любому сайту, использующему SSL, не нажав на предупреждение о плохом ssl, созданное сертификатом на вашем прокси. И использование MITM / просьба установить ваш сертификат CA на их компьютер не является решением.
но я также заблокирован от маршрутизатора
В таком случае вы не контролируете свою сеть и вам либо не следует пытаться развертывать системы таким образом, либо следует сменить провайдера.