Lokales Netz schützen! Aber wie?

[kallemaus]

Hallo Leute,
ich habe folgendes Problem: Wir haben in der Universität ein Netzwerk auf dem Zeichensaal und sind übereine Standleitung ans Internet angebunden. Bisher konnte jeder, der sich mit seinem PC in die Buchse gesteckt hat, ins Internet. Dies soll nun unterbunden werden, da unser Rechenzentrum das so vorgibt.

In unserem Netzwerk befinden sich ein Server (Athlon Xp 3000+,Samba, kennwort geschützt) und das Gateway (800Mhz,515 MB Ram).

Meine momentane Idee ist ein pppoe Server, welcher auf dem Gateway installiert wird und dann ins Internet routet, aber diesen hab ich bisher nicht zum laufen bekommen. Warum auch immer.

Mit pptp hab ichs auch versucht, aber ich hab das Gefühl, dass der poptop-server unter linux nicht richtig rund läuft.

OpenVPN wäre sicher nicht die schlechteste lösung. Aber dazu müsste ich das VPN vor das gesamte netz setzen und nicht nur vor das Gateway. Soweit ich weiß, nimmt der aktive openvpn-client keine unverschlüsselten verbindungen an. Ich hätte es aber schon gern so, dass ich Server und Internet gleichzeitig erreichen kann. Aber ich weiß nicht, ob die 800Mhz dafür ausreichen...wir sind in etwa 50 clients und der Server hat ein hohes Datenaufkommen, sollte also im Idealfall unverschlüsselt bleiben. Der ist ja durch Kennwort gesichert.

Einen Proxyserver hatte ich auch schon mal in Betracht gezogen. Aber dazu müsste man im Client immer die Einstellungen ändern, was gerade bei den Notebookusern etwas umständlich sein sollte. Außerdem haben wir in unseren Reihen auch WOW spieler (ja bei uns in der UNI darf auch gespielt werden) und ich wieß nicht, wie das mit dem Proxy funktioniert.

802.1X kommt nicht in Frage, weil wir noch billigswitches haben, die nicht gemanaged sind.

Mac-Adressenfilter kann ja leider heute jeder umgehen.

Was würdet ihr mir raten? Die lösung soll möglichst einfach zu bedienen sein (für clients), da wir (maschinenbauer) nicht unbedingt alle die größten it-profis sind.

Vielen Dank schonmal für eure Antworten und viele Grüße aus Hannover
Karl

 

[SkydiverBS]

Hallo Karl!

Wenn ich dich richtig verstanden habe, sollen sich die Benutzer also erst authentifizieren (z.B. mit Passwort) bevor sie ins Internet dürfen.

IMHO wäre das in eurer Situation wohl am einfachsten mit einem Proxy und einer Technik namens Captive Portal zu realisieren. Dabei kann ein Client keine Internet-Verbindung aufbauen solange er sich nicht bei dem Proxy angemeldet hat. Eine Liste entsprechender Software gibt es auf http://wiki.personaltelco.net/index.cgi/PortalSoftware.

Ich selbst verwende m0n0wall, eine Firewall Software auf Basis von FreeBSD. Das wäre für dich vielleicht auch eine Überlegung wert, da es recht einfach über die Weboberfläche zu konfigurieren ist. Du kannst es entweder auf einem der unterstützen Embedded Systeme z.B. von Soekris (ich habe das net4801, welches nicht ganz billig aber sehr stromsparend und relativ einfach einzurichten ist) oder auf einem (ausgemustertem) Standard-PC installieren.

Einen Proxyserver hatte ich auch schon mal in Betracht gezogen. Aber dazu müsste man im Client immer die Einstellungen ändern, was gerade bei den Notebookusern etwas umständlich sein sollte.

Das muss nicht sein. Es gibt den sogenannten transparenten Proxy, der so heißt weil die Anfrage des Clients über den Proxy umgeleitet wird und er üblicherweiße nichts davon mitbekommt.

Außerdem haben wir in unseren Reihen auch WOW spieler (ja bei uns in der UNI darf auch gespielt werden) und ich wieß nicht, wie das mit dem Proxy funktioniert.

Sollte kein Problem sein da der Proxy ja nur für das HTTP-Protokoll und für die initiale Authentifizierung verwendet werden soll. Da würde eher eine Firewall Probleme machen.

Hoffe das hilft dir weiter!

Gruß,
Philip

 

[kallemaus]

Hmm. Das hört sich schon mal gut an. Ich dachte jedoch immer, dass man mit transparenten Proxyservern keine Autorisierung vornehmen kann!

Ich hab mir hier jetzt ein Testgateway hingestellt und kann theoretisch das mal testen! Momentan läuft da noch Fedora drauf, wegen dem pppoe-server, aberwenn ich den n ich weiter zum laufen kriege, dann wird der gekillt...

danke für die antwort,
gruß karl
.
.
.
EDIT (autom. Beitragszusammenführung) :
.
Also, ich werd wohl mal die Monowall testen...hab zwar noch nie mit BSD gearbeitet, aber anscheinend ist das nicht so schlimm, da ich ja alles über das Frontend machen kann. Ich zieh das jetzt hier auf unser Gateway drauf...wärme, lärm und strom sind hier zweitrangig...haben genug davon und alle rechner stehen in nem eigenen raum....

 

[rikola]

Damit alle einfach ins Netzwerk koennen, muss doch am Gateway ein dhcp-server laufen, oder nicht? Ist der notwendig?
Wenn nicht, setz doch das ip-forwarding, routing so, dass nur bekannte IP-Adressen weitergeleitet werden. ginge das?

 

[Keruskerfürst]

Sollte kein Problem sein da der Proxy ja nur für das HTTP-Protokoll und für die initiale Authentifizierung verwendet werden soll. Da würde eher eine Firewall Probleme machen.

Da muß man dann herausfinden, welche Ports durch WOW benutzt werden. Oft ist es so, daß dynamisch Ports belegt werden. Siehe: http://www.iana.org/assignments/port-numbers

Ein anderer Vorschlag für den Router/Firewall ist: Gentoo im IP-Tables.

 

[kallemaus]

Hallo liebe Leute!!!

Ich melde mich hier gerade über mein neues Monowall gateway!

Die sache war wirklich sehr einfach einzurichten und Funktioniert einwandfrei!!!!

Schön wäre jetzt nur noch eine Funktion für Load Balancing, da wir über 10 IPs a 6Mbit verfügen.

In jedem Fall danke ich SkydiverBS für die schnelle hilfe! Die Wall geht wirklich ausgezeichnet.
Jetzt werde ich bei Gelegenheit einen Radiusserver aufsetzen und dann dort die Benutzer ablegen, so dass die Kennwörter auch für den Fileserver gehen.

Ich wünsche euch noch einen schönen Abend.

Viele grüße aus der Uni Hannover,
K.D