2
Proxy bzw. Routing des Internets für bestimmt Clients
Hallo zusammen,
ich habe ein dummes Problem, bei dem es eigentlich eine Lösung geben sollte, ich komm aber nicht darauf.
Ich habe ein Netzwerk mit einem Server. Ich habe zwei Arten von Clients:
- Clients die sich nur im Intranet aufhalten dürfen
- Clients die auch ins Internet dürfen.
Linux-Server mit DHCP, Squid, DNS vorhanden.
Internet über UMTS-Stick.
Ich möchte die Clients, die im Internet surfen dürfen, via MAC-Adresse "freigeben" können.
Der Rest soll auf einer lokalen Seite landen, egal, welche Adresse er eingibt.
Sinn dahinter:
- WLAN (Offen)
- Intranet darf jeder besuchen
- Internet nur ausgewählte Personen
- Verbindet sich ein Client mit dem WLAN und ruft eine URL auf, soll er automatisch das Intranet angezeigt bekommen.
--> Daher kann ich z.B. nicht sagen, dass ich die DHCP-Adresse nur über eine freigeschaltete MAC vergebe. Es soll ja jeder eine Adresse vom Server bekommen und im Intrantet surfen.
--> Ich hab keinen Zugriff auf die Clients (Proxy-Eintrag im Brwoser etc.)
Die Idee war, das über einen transparent Proxy zu machen, aber wie filter ich die Clients anhand der MAC-Adresse?
Proxy-Auth finde ich unpraktisch, da muss ich dann Zugangsdaten verteilen.
Vielleicht hab ich nur einen Knoten im Hirn, aber ich komm nicht drauf, wie man das machen könnte.
Danke schonmal.
Grüße,
Sebastian
ich habe ein dummes Problem, bei dem es eigentlich eine Lösung geben sollte, ich komm aber nicht darauf.
Ich habe ein Netzwerk mit einem Server. Ich habe zwei Arten von Clients:
- Clients die sich nur im Intranet aufhalten dürfen
- Clients die auch ins Internet dürfen.
Linux-Server mit DHCP, Squid, DNS vorhanden.
Internet über UMTS-Stick.
Ich möchte die Clients, die im Internet surfen dürfen, via MAC-Adresse "freigeben" können.
Der Rest soll auf einer lokalen Seite landen, egal, welche Adresse er eingibt.
Sinn dahinter:
- WLAN (Offen)
- Intranet darf jeder besuchen
- Internet nur ausgewählte Personen
- Verbindet sich ein Client mit dem WLAN und ruft eine URL auf, soll er automatisch das Intranet angezeigt bekommen.
--> Daher kann ich z.B. nicht sagen, dass ich die DHCP-Adresse nur über eine freigeschaltete MAC vergebe. Es soll ja jeder eine Adresse vom Server bekommen und im Intrantet surfen.
--> Ich hab keinen Zugriff auf die Clients (Proxy-Eintrag im Brwoser etc.)
Die Idee war, das über einen transparent Proxy zu machen, aber wie filter ich die Clients anhand der MAC-Adresse?
Proxy-Auth finde ich unpraktisch, da muss ich dann Zugangsdaten verteilen.
Vielleicht hab ich nur einen Knoten im Hirn, aber ich komm nicht drauf, wie man das machen könnte.
Danke schonmal.
Grüße,
Sebastian
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 181503
Url: https://administrator.de/contentid/181503
Printed on: April 19, 2024 at 01:04 o'clock
2 Comments
Latest comment
Squid ist ein gangbarer Weg aber etwas aufwendig, führt aber zum Ziel.
Alternativ könnte man das auch mit einem Captive Portal lösen:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
bzw.
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Für die Leute die Internet dürfen kannst du deren Mac Adresse in die Ausnahmeliste des Portals eintragen, die können dann problemlos dadrüber ins Internet ohne Authentisierung bzw. Blocking.
Für alle anderen blockiert dann das Captive Portal den Internet Zugang bei dem du dann gleich eine automatische HTTP Redirection eintragen kannst auf den Intranet Server. So landen diese User immer am Intranet Server.
Zusätzlich könntest du optional sofern es für dich Sinn macht, diesen Usern, wenn sie doch dringend mal ins Internet müssten, auch über das Portal mit einem Einmal Passwort (Voucher) z.B. einmalig feste 15 Minuten Zugriff zuteilen. Nach diesen 15 Minuten verfällt dann das temporäre Passwort und er ist wieder gesperrt. (Die Zeit ist konfigurierbar)
Das wäre noch ein Goodie obendrauf was man nützen könnte.
Über das WebGUI des Firewall CPs kannst du dann ganz einfach per Mausklick die Mac Adresse derer die dürfen zufügen oder wegnehmen.
Damit wäre das mit minimalem HW Aufwand relativ einfach und schnell gelöst.
Alternativ könnte man das auch mit einem Captive Portal lösen:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
bzw.
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Für die Leute die Internet dürfen kannst du deren Mac Adresse in die Ausnahmeliste des Portals eintragen, die können dann problemlos dadrüber ins Internet ohne Authentisierung bzw. Blocking.
Für alle anderen blockiert dann das Captive Portal den Internet Zugang bei dem du dann gleich eine automatische HTTP Redirection eintragen kannst auf den Intranet Server. So landen diese User immer am Intranet Server.
Zusätzlich könntest du optional sofern es für dich Sinn macht, diesen Usern, wenn sie doch dringend mal ins Internet müssten, auch über das Portal mit einem Einmal Passwort (Voucher) z.B. einmalig feste 15 Minuten Zugriff zuteilen. Nach diesen 15 Minuten verfällt dann das temporäre Passwort und er ist wieder gesperrt. (Die Zeit ist konfigurierbar)
Das wäre noch ein Goodie obendrauf was man nützen könnte.
Über das WebGUI des Firewall CPs kannst du dann ganz einfach per Mausklick die Mac Adresse derer die dürfen zufügen oder wegnehmen.
Damit wäre das mit minimalem HW Aufwand relativ einfach und schnell gelöst.
Geniale Idee!
So mach ich's!
DANKE!
So mach ich's!
DANKE!
