9
Proxy über WLAN-Router LINKSYS WRT54G bekannt geben?
Hallo,
wir haben in unserem Schulnetzwerk für die Regulierung des Internetzugangs einen Proxyserver laufen. Nun haben wir mit dem LINKSYS WRT54G ein Wlan mit DHCP installiert. Die angeschlossenen Laptops benötigen aber weiterhin in den Verbindungseinstellungen des Browsers die Angabe der Proxyadresse und des Ports. Wie kann ich es erreichen, dass in den Laptops keinerlei Einstellungen von Nöten sind und die Laptops dennoch die Proxyadresse für den Internetzugang nutzen?
Gruß und Danke,
cheefchris
P.S. Hier Screenshots des Browsermenüs:
wir haben in unserem Schulnetzwerk für die Regulierung des Internetzugangs einen Proxyserver laufen. Nun haben wir mit dem LINKSYS WRT54G ein Wlan mit DHCP installiert. Die angeschlossenen Laptops benötigen aber weiterhin in den Verbindungseinstellungen des Browsers die Angabe der Proxyadresse und des Ports. Wie kann ich es erreichen, dass in den Laptops keinerlei Einstellungen von Nöten sind und die Laptops dennoch die Proxyadresse für den Internetzugang nutzen?
Gruß und Danke,
cheefchris
P.S. Hier Screenshots des Browsermenüs:
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 96010
Url: https://administrator.de/contentid/96010
Printed on: April 23, 2024 at 08:04 o'clock
9 Comments
Latest comment
Hallo,
über DHCP werden nur TCP/IP-Parameter übergeben, aber KEINE Software-Einstellungen.
Du könntest dir evtl. mit dem Trick behelfen, das du über DHCP die IP-Adresse des Proxy als Default Gateway an die Clients weitergibst und am Proxy selbst die IP-Einstellungen statisch konfigurierst (mit dem Router als Default Gateway).
mfg
Harald
über DHCP werden nur TCP/IP-Parameter übergeben, aber KEINE Software-Einstellungen.
Du könntest dir evtl. mit dem Trick behelfen, das du über DHCP die IP-Adresse des Proxy als Default Gateway an die Clients weitergibst und am Proxy selbst die IP-Einstellungen statisch konfigurierst (mit dem Router als Default Gateway).
mfg
Harald
Hallo,
Danke für die Antwort. Ich habe es mit der Variante Standard-Gateway auch schon probiert, aber leider nicht hinbekommen. Direkt bei den DHCP-Einstellungen des Routers kann ich gar kein Gateway eingeben (Bild 2). Mit dem erweiterten Routing in Bild 3 hat es auch nicht geklappt. Der Proxyserver selbst hat eine feste IP, wie auch alle anderen kabelgebundenen Rechner im Netzwerk. Nur halt der Wlan-Router, der ebenfalls am Switch hängt, hat DHCP.
Wie machen das denn Firmen, die feste IPs haben und nur das WLAN per DHCP für ihre Mitarbeiter laufen lassen. Es muss doch eine Möglichkeit geben, die Laptops per WLAN ohne irgendwelche Einstellungen laufen zu lassen?. Ich habe mal was von einem transparenten Proxy gelesen, aber weiß jetzt nicht, was das bedeutet.
Gruß,
cheefchris
Danke für die Antwort. Ich habe es mit der Variante Standard-Gateway auch schon probiert, aber leider nicht hinbekommen. Direkt bei den DHCP-Einstellungen des Routers kann ich gar kein Gateway eingeben (Bild 2). Mit dem erweiterten Routing in Bild 3 hat es auch nicht geklappt. Der Proxyserver selbst hat eine feste IP, wie auch alle anderen kabelgebundenen Rechner im Netzwerk. Nur halt der Wlan-Router, der ebenfalls am Switch hängt, hat DHCP.
Wie machen das denn Firmen, die feste IPs haben und nur das WLAN per DHCP für ihre Mitarbeiter laufen lassen. Es muss doch eine Möglichkeit geben, die Laptops per WLAN ohne irgendwelche Einstellungen laufen zu lassen?. Ich habe mal was von einem transparenten Proxy gelesen, aber weiß jetzt nicht, was das bedeutet.
Gruß,
cheefchris
Das ist in der Tat nur über einen transparenten Proxy zu lösen und NICHT über DHCP !! Technisch ist das nicht machbar ! So machen das im übrigen auch Firmen !
Vermutlich setzt ihr in der Schule als Proxy auch den sehr weitverbreiteten Squid ein:
http://www.squid-cache.org/
bzw.
http://www.squid-handbuch.de/hb/
Es ist recht einfach den als transparenten Proxy aufzusetzen, der dann dein Problem im Handumdrehen löst !
Wie das genau geht kannst du z.B. hier nachlesen:
http://www.proesdorf.de/linux/squid_conf.php
(Letzter Absatz "Squid" als Transparenter HTTP-Proxy" !)
Vermutlich setzt ihr in der Schule als Proxy auch den sehr weitverbreiteten Squid ein:
http://www.squid-cache.org/
bzw.
http://www.squid-handbuch.de/hb/
Es ist recht einfach den als transparenten Proxy aufzusetzen, der dann dein Problem im Handumdrehen löst !
Wie das genau geht kannst du z.B. hier nachlesen:
http://www.proesdorf.de/linux/squid_conf.php
(Letzter Absatz "Squid" als Transparenter HTTP-Proxy" !)
Hallo aqui,
danke für den Hinweis. Ich werde dem mal nachgehen.
Gruß,
cheefchris
danke für den Hinweis. Ich werde dem mal nachgehen.
Gruß,
cheefchris
hallo, wollt ihr den accesspoint nur als brigde betreiben (also umsetzung von wlan auf lan) ?
dann gibt dem accesspoint einfach als "internet IP" eine addresse aus dem schulnetz und lokal irgendeine andere (als gateway die gleiche wie die lokale)......
dann können die browsereinstellungen so behalten wie sie derzeit sind!
dann gibt dem accesspoint einfach als "internet IP" eine addresse aus dem schulnetz und lokal irgendeine andere (als gateway die gleiche wie die lokale)......
dann können die browsereinstellungen so behalten wie sie derzeit sind!
Darum gehts ihm aber nicht. Wenn man seinen Thread richtig versteht möchte er NUR und ausschliesslich den WLAN Clients die statische Konfiguration des Proxy Servers im Browser ersparen. Vermutlich weil diese mobil in mehreren Netzen unterwegs sind.
Das geht dann nur mit einem transparenten Proxy !
Es gäbe aber ggf. eine Ausnahme bzw. einen einfachen Workaround für ihn um es umzusetzen:
Dafür müsste man aber sein Netz etwas genauer kennen was er ja leider versäumt uns hier mitzuteilen...
Wenn der Proxy eine one armed Verbindung im Netz hat, also einfach nur als Gerät an einem Switch hängt und NICHT genau zwischen Router und Netzwerk, dann gibt es eine quick and dirty Lösung:
So müssen dann alle lokalen Benutzer einen Proxy eintragen um surfen zu können, die WLAN Benutzer aber nicht, denn sie gehen direkt über den Router !
Nachteil der Lösung:
Findige Schüler die clever im Networking sind könnten sich lokal IP Adressen aus dem WLAN Bereich vergeben und umschiffen so diesen Trick !
Dabei kann es dann zu IP Doppelungen kommen !
Wie verhindert man diesen Nachteil:
Wenn man statt eines Accesspoints oder statt den WLAN Router als normalen AP zu betreiben wie [HIER(Alternative-3)] genau beschrieben einen WLAN Router OHNE integriertes DSL Modem verwendet. Also einen WLAN Router mit einem Ethernet Port für das WAN/DSL den man genau an diesen Port mit dem lokalen Netz und einer statischen IP Adresse aus diesem Netz verbindet ! Der o.a. verwendete Linksys WRT54 ist also genau das richtige Gerät für dieses Szenario !!
Das WLAN arbeitet dann in einem anderen IP Netz und wird dann komplett per NAT auf das lokale Netzwerk umgesetzt (DSL Port). Ferner kann der WLAN Router dann auch autark vom Schulnetz IP Adressen vergeben und hat wenn auch eine minimale Sicherheit durch die NAT Firewall zum Schulnetz falls Schüler mit dem Verschlüsselungspasswort allzu leichtfertig umgehen !
Jetzt kann man die Accessliste am Internet Router erheblich verkleinern und muss nur noch lediglich die lokale IP Adresse des WLAN Routers und die des Proxys im lokalen Netz für TCP 80 und TCP 443 freigeben.
Damit schränkt man dann die Möglichkeiten der "Adressbetrüger" erheblich ein und hat dann aber genau den gewünschten Effekt das WLAN Nutzer frei surfen können ohne Proxy, lokale Nutzer aber zwangsweise mit Proxy !!!
Ganz absichern kann man sich aber nicht gegen die Benutzung der statischen IPs von Proxy und Router, dafür hat man aber das gewünschte Verhalten ohne großen Zusatzaufwand problemlos umgesetzt !
Die praktische Umsetzung in die Tat sähe dann so aus:
Das geht dann nur mit einem transparenten Proxy !
Es gäbe aber ggf. eine Ausnahme bzw. einen einfachen Workaround für ihn um es umzusetzen:
Dafür müsste man aber sein Netz etwas genauer kennen was er ja leider versäumt uns hier mitzuteilen...
Wenn der Proxy eine one armed Verbindung im Netz hat, also einfach nur als Gerät an einem Switch hängt und NICHT genau zwischen Router und Netzwerk, dann gibt es eine quick and dirty Lösung:
- Auf dem Router eine Accessliste konfigurieren und dort nur die Proxy IP Adresse mit Port TCP 80 und TCP 443 durchlassen und einen Block von IP Adressen, die man per DHCP auf dem WLAN verteilt
- Alle anderen IPs mit Traffic für TCP 80 und 443 blocken.
So müssen dann alle lokalen Benutzer einen Proxy eintragen um surfen zu können, die WLAN Benutzer aber nicht, denn sie gehen direkt über den Router !
Nachteil der Lösung:
Findige Schüler die clever im Networking sind könnten sich lokal IP Adressen aus dem WLAN Bereich vergeben und umschiffen so diesen Trick !
Dabei kann es dann zu IP Doppelungen kommen !
Wie verhindert man diesen Nachteil:
Wenn man statt eines Accesspoints oder statt den WLAN Router als normalen AP zu betreiben wie [HIER(Alternative-3)] genau beschrieben einen WLAN Router OHNE integriertes DSL Modem verwendet. Also einen WLAN Router mit einem Ethernet Port für das WAN/DSL den man genau an diesen Port mit dem lokalen Netz und einer statischen IP Adresse aus diesem Netz verbindet ! Der o.a. verwendete Linksys WRT54 ist also genau das richtige Gerät für dieses Szenario !!
Das WLAN arbeitet dann in einem anderen IP Netz und wird dann komplett per NAT auf das lokale Netzwerk umgesetzt (DSL Port). Ferner kann der WLAN Router dann auch autark vom Schulnetz IP Adressen vergeben und hat wenn auch eine minimale Sicherheit durch die NAT Firewall zum Schulnetz falls Schüler mit dem Verschlüsselungspasswort allzu leichtfertig umgehen !
Jetzt kann man die Accessliste am Internet Router erheblich verkleinern und muss nur noch lediglich die lokale IP Adresse des WLAN Routers und die des Proxys im lokalen Netz für TCP 80 und TCP 443 freigeben.
Damit schränkt man dann die Möglichkeiten der "Adressbetrüger" erheblich ein und hat dann aber genau den gewünschten Effekt das WLAN Nutzer frei surfen können ohne Proxy, lokale Nutzer aber zwangsweise mit Proxy !!!
Ganz absichern kann man sich aber nicht gegen die Benutzung der statischen IPs von Proxy und Router, dafür hat man aber das gewünschte Verhalten ohne großen Zusatzaufwand problemlos umgesetzt !
Die praktische Umsetzung in die Tat sähe dann so aus:
Hallo,
danke AQUI für die ausführlichen Informationen. Leider kann ich das Problem nun auf die schnelle nicht lösen, ich werde mir eure Informationen aber aufheben und versuchen, mich damit in nächster Zeit auseinander zu setzten. Ich muss irgendwie versuchen, einen transparenten Proxy zur Verfügung zu stellen.
Also danke nochmal für die Hilfe. Den Beitrag werde ich erst mal als gelöst markieren.
Gruß,
cheefchris
danke AQUI für die ausführlichen Informationen. Leider kann ich das Problem nun auf die schnelle nicht lösen, ich werde mir eure Informationen aber aufheben und versuchen, mich damit in nächster Zeit auseinander zu setzten. Ich muss irgendwie versuchen, einen transparenten Proxy zur Verfügung zu stellen.
Also danke nochmal für die Hilfe. Den Beitrag werde ich erst mal als gelöst markieren.
Gruß,
cheefchris
Nur nochmal zur Klarstellung:
Für das Szenario was oben mit den ACLs vorgestellt ist benötigst du KEINEN transparenten Proxy, das funktioniert auch mit einem normalen Proxy wie du ja auch aus der Zeichnung unschwer erkennen kannst !
Für das Szenario was oben mit den ACLs vorgestellt ist benötigst du KEINEN transparenten Proxy, das funktioniert auch mit einem normalen Proxy wie du ja auch aus der Zeichnung unschwer erkennen kannst !
