Új hozzászólás Aktív témák
-
#10234
quailstorm
nagyúr
sanzi89
#10233
quailstorm
nagyúr
válasz
sanzi89
#10233
üzenetére
Nagyon messzi vagyok a rendszergazdától, de közel az iskolához.
3-4-8-25 év múlva tedd fel a kérdést, ha a közhálós netet tényleg upgradelik.
Korai ez még...Felmerülő problémák: nem elég az IP. Nálunk a sok hülyegyerek benyomva hagyta a WiFi-t, hadd fogyasszon, nem számít. Az felment a helyi nyílt hálóra, amin természetesen semmit se tud csinálni, és nem maradt IP az iskolai gépeknek... (najó, ez nem igaz, a belső levelezést el tudta érni webfelülettel böngészőből, de csak azt)
Azóta jelszó van.LDAP és Proxy megy nálunk. Van tanári és diák fiók, meg admin. Diák WiFi-n meg se tudott mukkanni, csak tanár, de az bármivel. Visszaélésre adott jogot, amíg nyílt volt a WiFi.
Beállíthatsz MAC cím szűrést, meg házirendet arra, amit szeretnél, de nem tudom, akarod-e azt az adminisztrációs káoszt, amit a te általad felvázolt rendszer szigorúsága megkövetel.
Mert én nem szeretnék 30 ingyenfészbukkért nyáladzó gyereket se fogadni, nem, hogy 300-at.Aztán meg szépen lerohadna az egész infrastruktúra. Láttam már ilyet, kb semmire se tudnák használni. Egyszerre több száz eszközt az átlag iskolai legalja minőségű eszközök nem tudnak kiszolgálni. Sokszor még az egyszerű kábeles igényeket se (nálunk).
Arra semmi ötletem sincs, hogy szeparálnád el a netelőfizetést egy AP-val.
Amúgy milyen iskola ez? Mert ha általános/gimi, akkor hót fölösleges az egész. Csak konfliktusforrás, sokkal több bajod lenne, nekik meg elterelné a maradék figyelmüket is.
Ott a számtech terem. Aki valami értelmeset akar csinálni, úgyis felmegy szünetben. 30 gép 950 főre ilyen célra még sok is. Kb. 10-15 használja naponta.[ Szerkesztve ]
-
qisqaqas
senior tag
válasz
sanzi89
#10233
üzenetére
Routergépet tennék be, onnan meg mehetne a net, megfelelő szűrésekkel stbvel. Központi managelés kb meg is van oldva. Az osztaná a címeket DHCP-n és kész(akkora tartományból amekkorából nem szégyellsz.). A kimenő gigás kábelt meg swichekkel és AP-kal szétdobod. Lenne egy nagy nyílt wifi, de a connectionok a routeren már úgy táncolnak ahogy te fütyülsz. Órák alatt pl a facebook.com elérést simán tilthatod ha úgy látod jónak(vagy úgy jön a felsőbb ukáz). Adminisztráció sem kell ide, adott VLANba szedve simán el tudod szeparálni mindentől ha egyátalán nem dedikáltan lesz az a routergép odatéve. NATolt hálón meg te lehetsz az atyaúristen.
Én így csinálnám.
Még pár gondolat: Ha a tanerő akar wifizni akkor felejtsék el hogy mobilról vagy innenonnan eléregetik a belsős gépeket. Rendes kábel, hitelesítéssel. Ne becsüld alá a Pattanásos Ödönkéket. A NATolt háló mögötti forgalmat meg őrizzed megfelé DHCP loggal együtt, évre visszamenőleg.
[ Szerkesztve ]
CMstorm QF TK eladó || Nem jó a keyboardod? Építs -> http://prohardver.hu/tema/igy_epitsd_a_billentyuzeted/ || Jolla!
-
Tamy
senior tag
válasz
sanzi89
#10233
üzenetére
Én is valami hasonlót tervezek megvalósítani, akartam is segítségért kuncsorogni itt, csak gondoltam előbb még próbálkozok kicsit, de ha már így felmerült a téma leírom én mit szeretnék:
Örök probléma, hogy a diákok megtudják a wifi jelszót. Mac cím alapján megoldhatnám, hogy csak a belsős gépeken legyen net, de gyakran jönnek külsősök is, akiknek kell a net, az meg nem hiányzik, hogy mindig hozzám fussanak ilyesmikkel (a kód miatt persze így is megtalálnak). Szóval az az alap elgondolás, hogy a routerek switch módba kerülnek (nat, dhcp off), és egy proxy szerveren keresztül mennének a netre. Alapból csak egy szűrt net lenne, a belsős gépek viszont mehetnének korlátlanul. Mivel sokféle eszközről van szó (laptop, tablet, mobil; Win Xp-től 8.1-en, Ubuntun át Androidig minden) transzparens proxyval kellene megoldani a történetet.
Először a Zentyal-al próbáltam megoldani, viszont az transzparens módban nem igazán tud https-t szűrni. Ez mondjuk még megoldható úgy, hogy tűzfallal tiltok mindent, http megy proxyn keresztül, https meg csak úgy, hogy tűzfal kivétellel felveszek pár google ip-t, másra nagyon nincs szüksége a külsősöknek, vagy max. hozzáadok még pár ip-t. Jó lenne viszont megoldani, hogy a külsős gépek ne láthassák a belsős gépeket. Próbáltam úgy beállítani a dhcp-t, hogy más alhálóba tegye az idegen eszközöket, mint a statikus címmel rendelkezőket, de egyelőre nem sikerült megvalósítani.
Nézegettem a pfsense megoldását is, nagy előnye, hogy tud https-t is szűrni, bár a tanusítványával volt valami gubanc, talán a Chrome nem fogadta el, most nem emlékszem pontosan. A másik, hogy ezen nem igazán sikerül kiigazodnom, még azt sem tudtam beállítani, hogy kikre vonatkozzon a proxy szűrés. És persze itt is el kellene különíteni az idegen gépeket.
Egész életemben azon gondolkodtam, hogy kéne valamit dolgoznom. Ezért aztán a végén nem is maradt rá időm.
Új hozzászólás Aktív témák
kraftxld- CASIO órák kedvelők topicja!
- Kertészet, mezőgazdaság topik
- AMD Ryzen 9 / 7 / 5 / 3 3***(X) "Zen 2" (AM4)
- iPhone topik
- Sorozatok
- Diablo 3
- Villanyszerelés
- Kerékpárosok, bringások ide!
- Újabb Samsungok telepíthetik a Galaxy AI-t
- bb0t: Gyilkos szénhidrátok, avagy hogyan fogytam önsanyargatás nélkül 16 kg-ot
- További aktív témák...
Állásajánlatok
Cég: Promenade Publishing House Kft.
Város: Budapest
Cég: Ozeki Kft.
Város: Debrecen