Стоит ли использовать pptp в локальной сети для учета трафика и раздачи прав доступа?
Ситуация на данный момент такая. Сущессвует ЛВС из 200+ машин. На данный момент выход в интернет логируется и разграничивается за счет ip адресов машин. Но данный подход не совсем верен, так как за одной машиной могут работать несколько пользователей в разное время(используя свою учетку AD). Имеется оборудование Mikrotik а за ним прозрачный squid для фильтрации и кеширования..
Есть идея организовывать от каждой виндовой машиный стандартными средствами pptp туннель до mikrotik и таким образом идентифицировать конкретного пользователя, и дальше уже каждому пользователю присваивать нужные политики доступа в сеть (на squid).
Вопрос в общем то вот в чем. Не кажется ли данный подход некоторым "оверхедом", когда имеется уже работающая гигабитная ЛВС для внутренних нужд, и отдельно от каждой машины еще и туннель поднимать для доступа в интернет. У меня есть небольшие сомнения, кажется, что "масло маслянное".
Ну и еще один интерфейс на машине клиента. Со стороны роутера - только выгода. Можно вести любой учет на любого пользователя, а также выставлять политики. Может, кто-то уже подобное реализовывал и может описать плюсы и минусы. Я вижу много плюсов в данном подходе, но смущает доп. тунели от каждоый машины до роутера.
Заранее благодарен за адекватные ответы и ваши отзывы, на основе опыта, о реализации данной схемы.
Держать 200 тунелей - нужна мощная железяка и всё равно будут разные проблемы.
Лучше авторизировать по АД + радиус (NPS роль в виндовс серверах)
У меня был похожий кейс, решил я его так:
1. Микротик был шлюзом для всего трафика, были политики и тыды.
2. Часть трафика, в том числе http, https заворачивались на squid
3. На сквиде (cборка pfsense) была авторизация через виндовую реализацию Raduis - роль NPS, плюс всякие резалки контента, антивирус и прочее
4. У сквида был шлюз - микротик, который пускал трафик дальше.
Т.е. сквид не был как бы посередение между клиентами и микротиком, а был "сбоку"и трафик я туда заворачивал, так и проще и управляемее и сквид если что перезапустить можно.
То есть я так понимаю, что было прозрачное проксирование на сквиде настроено ? Как тогда проходила авторизация ? Сквид в прозрачном режиме же не поддерживает авторизацию по логиную\паролю, к примеру, а только по айпи.
Не совсем, я использовал скрипты автоматической авторизации (но что-то сейчас их не могу нагулить). Ну то есть, сразу после логина запускалось GPO которое открывало в фоне браузер, а там уже ntlm + squid. Получалось, что сразу после логина пользователь уже был авторизирован.
Т.е. сквид работал как прозрачный прокси уже после авторизации. Я думаю, что если что можно разобраться как настроить, но вот так вот в лоб уже не помню нюансы - реализовывал шесть лет назад =)
PPTP внутри одной локалки - криво. Запутаетесь с кучей туннелей. Смотрите лучше в сторону radiusа и windowsовских аттрибутов. Либо выставляйте шлюз на windows с использованием какого-нибудь kerio - при шейпинге будут учитываться аккаунт пользователя
Средний
