Lokales Netz schützen! Aber wie?

Dieses Thema im Forum "Internet, lokale Netzwerke und Wireless Lan" wurde erstellt von kallemaus, 20.04.2007.

  1. #1 kallemaus, 20.04.2007
    kallemaus

    kallemaus Grünschnabel

    Dabei seit:
    20.04.2007
    Beiträge:
    5
    Zustimmungen:
    0
    Hallo Leute,
    ich habe folgendes Problem: Wir haben in der Universität ein Netzwerk auf dem Zeichensaal und sind übereine Standleitung ans Internet angebunden. Bisher konnte jeder, der sich mit seinem PC in die Buchse gesteckt hat, ins Internet. Dies soll nun unterbunden werden, da unser Rechenzentrum das so vorgibt.

    In unserem Netzwerk befinden sich ein Server (Athlon Xp 3000+,Samba, kennwort geschützt) und das Gateway (800Mhz,515 MB Ram).

    Meine momentane Idee ist ein pppoe Server, welcher auf dem Gateway installiert wird und dann ins Internet routet, aber diesen hab ich bisher nicht zum laufen bekommen. Warum auch immer.

    Mit pptp hab ichs auch versucht, aber ich hab das Gefühl, dass der poptop-server unter linux nicht richtig rund läuft.

    OpenVPN wäre sicher nicht die schlechteste lösung. Aber dazu müsste ich das VPN vor das gesamte netz setzen und nicht nur vor das Gateway. Soweit ich weiß, nimmt der aktive openvpn-client keine unverschlüsselten verbindungen an. Ich hätte es aber schon gern so, dass ich Server und Internet gleichzeitig erreichen kann. Aber ich weiß nicht, ob die 800Mhz dafür ausreichen...wir sind in etwa 50 clients und der Server hat ein hohes Datenaufkommen, sollte also im Idealfall unverschlüsselt bleiben. Der ist ja durch Kennwort gesichert.

    Einen Proxyserver hatte ich auch schon mal in Betracht gezogen. Aber dazu müsste man im Client immer die Einstellungen ändern, was gerade bei den Notebookusern etwas umständlich sein sollte. Außerdem haben wir in unseren Reihen auch WOW spieler (ja bei uns in der UNI darf auch gespielt werden) und ich wieß nicht, wie das mit dem Proxy funktioniert.

    802.1X kommt nicht in Frage, weil wir noch billigswitches haben, die nicht gemanaged sind.

    Mac-Adressenfilter kann ja leider heute jeder umgehen.

    Was würdet ihr mir raten? Die lösung soll möglichst einfach zu bedienen sein (für clients), da wir (maschinenbauer) nicht unbedingt alle die größten it-profis sind.

    Vielen Dank schonmal für eure Antworten und viele Grüße aus Hannover
    Karl
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 SkydiverBS, 20.04.2007
    SkydiverBS

    SkydiverBS Tripel-As

    Dabei seit:
    15.01.2005
    Beiträge:
    207
    Zustimmungen:
    0
    Ort:
    Freising
    Hallo Karl!

    Wenn ich dich richtig verstanden habe, sollen sich die Benutzer also erst authentifizieren (z.B. mit Passwort) bevor sie ins Internet dürfen.

    IMHO wäre das in eurer Situation wohl am einfachsten mit einem Proxy und einer Technik namens Captive Portal zu realisieren. Dabei kann ein Client keine Internet-Verbindung aufbauen solange er sich nicht bei dem Proxy angemeldet hat. Eine Liste entsprechender Software gibt es auf http://wiki.personaltelco.net/index.cgi/PortalSoftware.

    Ich selbst verwende m0n0wall, eine Firewall Software auf Basis von FreeBSD. Das wäre für dich vielleicht auch eine Überlegung wert, da es recht einfach über die Weboberfläche zu konfigurieren ist. Du kannst es entweder auf einem der unterstützen Embedded Systeme z.B. von Soekris (ich habe das net4801, welches nicht ganz billig aber sehr stromsparend und relativ einfach einzurichten ist) oder auf einem (ausgemustertem) Standard-PC installieren.

    Das muss nicht sein. Es gibt den sogenannten transparenten Proxy, der so heißt weil die Anfrage des Clients über den Proxy umgeleitet wird und er üblicherweiße nichts davon mitbekommt.

    Sollte kein Problem sein da der Proxy ja nur für das HTTP-Protokoll und für die initiale Authentifizierung verwendet werden soll. Da würde eher eine Firewall Probleme machen.

    Hoffe das hilft dir weiter!

    Gruß,
    Philip
     
  4. #3 kallemaus, 20.04.2007
    Zuletzt bearbeitet: 20.04.2007
    kallemaus

    kallemaus Grünschnabel

    Dabei seit:
    20.04.2007
    Beiträge:
    5
    Zustimmungen:
    0
    Hmm. Das hört sich schon mal gut an. Ich dachte jedoch immer, dass man mit transparenten Proxyservern keine Autorisierung vornehmen kann!

    Ich hab mir hier jetzt ein Testgateway hingestellt und kann theoretisch das mal testen! Momentan läuft da noch Fedora drauf, wegen dem pppoe-server, aberwenn ich den n ich weiter zum laufen kriege, dann wird der gekillt...

    danke für die antwort,
    gruß karl
    .
    .
    .
    EDIT (autom. Beitragszusammenführung) :
    .

    Also, ich werd wohl mal die Monowall testen...hab zwar noch nie mit BSD gearbeitet, aber anscheinend ist das nicht so schlimm, da ich ja alles über das Frontend machen kann. Ich zieh das jetzt hier auf unser Gateway drauf...wärme, lärm und strom sind hier zweitrangig...haben genug davon ;) und alle rechner stehen in nem eigenen raum....
     
  5. rikola

    rikola Foren Gott

    Dabei seit:
    23.08.2005
    Beiträge:
    2.133
    Zustimmungen:
    0
    Damit alle einfach ins Netzwerk koennen, muss doch am Gateway ein dhcp-server laufen, oder nicht? Ist der notwendig?
    Wenn nicht, setz doch das ip-forwarding, routing so, dass nur bekannte IP-Adressen weitergeleitet werden. ginge das?
     
  6. #5 Keruskerfürst, 20.04.2007
    Zuletzt bearbeitet: 20.04.2007
    Keruskerfürst

    Keruskerfürst Kaiser

    Dabei seit:
    12.02.2006
    Beiträge:
    1.366
    Zustimmungen:
    0
    Da muß man dann herausfinden, welche Ports durch WOW benutzt werden. Oft ist es so, daß dynamisch Ports belegt werden. Siehe: http://www.iana.org/assignments/port-numbers

    Ein anderer Vorschlag für den Router/Firewall ist: Gentoo im IP-Tables.
     
  7. #6 kallemaus, 20.04.2007
    Zuletzt bearbeitet: 18.08.2008
    kallemaus

    kallemaus Grünschnabel

    Dabei seit:
    20.04.2007
    Beiträge:
    5
    Zustimmungen:
    0
    Hallo liebe Leute!!!

    Ich melde mich hier gerade über mein neues Monowall gateway!

    Die sache war wirklich sehr einfach einzurichten und Funktioniert einwandfrei!!!!

    Schön wäre jetzt nur noch eine Funktion für Load Balancing, da wir über 10 IPs a 6Mbit verfügen.

    In jedem Fall danke ich SkydiverBS für die schnelle hilfe! Die Wall geht wirklich ausgezeichnet.
    Jetzt werde ich bei Gelegenheit einen Radiusserver aufsetzen und dann dort die Benutzer ablegen, so dass die Kennwörter auch für den Fileserver gehen.

    Ich wünsche euch noch einen schönen Abend.

    Viele grüße aus der Uni Hannover,
    K.D
     
  8. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
Thema:

Lokales Netz schützen! Aber wie?

Die Seite wird geladen...

Lokales Netz schützen! Aber wie? - Ähnliche Themen

  1. Debian 7.6 kein lokales Netz

    Debian 7.6 kein lokales Netz: [solved] Debian 7.6 kein lokales Netz Hallo zusammen! Schon lange kein solches Problem gehabt. Ich bekommen einfach keinen Zugriff auf das...
  2. Lokales Netzwerk einrichten... Anleitung ohne 3 Kapitel bla blub?

    Lokales Netzwerk einrichten... Anleitung ohne 3 Kapitel bla blub?: Also iwie Verzweifle ich gerade, das Windows Netzwerk wird angezeigt aber einhängen geht nicht. ich habs schon mit den iptables und der smb.conf...
  3. lokales Netzwerk: wie nadeloehr finden?

    lokales Netzwerk: wie nadeloehr finden?: Hallo, wir haben ein kleines lokales Linux-Netzwerk mit NFS und NIS-Authentifizierung. Zur Zeit starten v.a. KDE-Programme nicht mehr von...
  4. Bind DNS für lokales Netz einrichten

    Bind DNS für lokales Netz einrichten: Hallo, möchte einen Bind9 Server einrichten um die Namen der Clientcomputer im Netzwerk aufzulösen. Nun is meine Frage in der Zonefile muss man...
  5. Lokales Spiegeln auf Netzwerklaufwerk

    Lokales Spiegeln auf Netzwerklaufwerk: Hi, wir haben einen Steuerrechner, auf dem Daten in ein (lokales) Verzeichnis geschrieben werden. Anstatt rsync per cronjob laufen zu lassen,...