Wi-Fi в офисе с логами доступа и авторизацией пользователей в AD?
Доброго времени.
Большое начальство требует покрыть офис вай-фай сетью, для доступа в сеть интернет с их личных телефонов/планшетов/лаптопов. Сами они конечно же говорят, что нужно купить зуксель кинетик, поставить у секретаря да будет счастье.
Мне такой вариант конечно же не нравится - я хочу организовать доступ так, чтобы каждый чих был отражен в логах, плюс не хочется вести отдельную базу пользователей когда есть АД. Речь идет пока что об одной точке доступа, без роуминга (но мне опять же хочется сделать решение с запасом для реализации этого самого роуминга в будущем).
Из оборудования есть пара микротиков, из софта сквид с настроенной нтмл авторизацией, ну и домен на вин2012р2. Как всё это связать в целую рабочую систему? Что поднять, что закупить?
учитывая что пол дела сделано половина ПО и железа есть, можно посмотреть в сторону авторизации радиусом пользователей из домена на самих точках. Для этого:
1. Поднимаем роль Network Policy Server на любой виртуалке из домена, добавляете в него нужные политики, и клиентов радиуса (по айпишникам добавляете точки). Эти настройки гуглятся или вычисляются
2. На точках Микротик - поднимаете авторизацию WPA2-E по логин паролю.
3. На них же делаете редирект для HTTP трафика на squid - тем самым переключаете всё в режим прозрачного прокси
4. На сквиде настраиваете сбор статистики.
Всё будет работать безопаснее и гибче чем вариант с Керио, и чище с точки зрения лицензий. Но с настройкой придётся повозиться.
Я думал над этим вариантом, он мне очень нравится. Но меня смущает пункт 3 - как с точки зрения сквида будет выглядеть запрос от клиента? Будет приходить запрос от микротика или же микротик не будет изменять заголовки пакетов и просто прокинет запрос от пользователя к сквиду?
huziahmetov: в принципе - сквид в этой схеме даже лишний, он нужен только для сбора статистика. Если она нужна обязательно - то на машине со сквидом нужно настроить маршрутизацию, а сквид сделать прозрачным прокси, тогда для клиента эта машина может стать шлюзом по-умолчанию (или трафик на неё могут маршрутизировать точки) и тогда настройка на точках не требуется, а с трафиком всё будет ок так как это уже совсем классическая прозрачная прокся.
huziahmetov: плюсом, используя маркировку трафика, на проксю можно будет направлять только нужный трафф, не заворачивая на сквидовый узел всё подряд. Это и сквид разгрузит и гибкости опять же добавит
Евгений Быченко: В том то и дело что на данный момент используется байсик и нтмл авторизация на сквиде, а в таком режиме прозрачный режим не поддерживается. Но я не думаю что это проблема - на смартфонах должна работать бейсик авторизация с ручным вводом логина и пароля.
Спасибо, буду пробовать
huziahmetov: если нужно просто ограничение доступа - то вполне хватит WPA2-Enterprise по логину паролю и надёжно и нативно большинством поддерживается.
Готовое решение - Kerio Control. Он и учетки из AD берет, и логи ведет, и политиками управляет. Неплохой комбайн.
Деревенский роуминг - настроить на точках одинаковый SSID. Не-деревенский обычно означает покупку проприетарного решения (точки и контроллер) одного из вендоров.
Итого, вы выделяете сервер с двумя сетевыми картами, одну - "в мир", вторую - к точке, ставите на него Kerio, а на точке выключаете все (DNS, DHCP, NAT) - просто оставляете мост WiFi-Ethernet.
Понял вас, спасибо. Вариант.
Но он мне не очень нравится, так как это покупка керио, когда есть сквид. плюс покупка винды под этот керио... Не люблю винду на маршрутизаторах и прокси серверах :) Назову это решение планом В
huziahmetov: последний керио не нужно ставить на винду (он уже давно только Virtual APP), ну и покупать его тоже не обязательно... Но это так, к слову. =)
Простой
Простой
