Nastavenie WIFI pripojenia v sieti s PROXY serverom

[lhator2]

Dobrý deň somtu sice nový ale vo svete počítačov a sieti už nejaky ten pátek som kedže už dlhší čas pracujem na jednej strednej škole ako administrátor siete a správca počítačov a kancelárskej techniky inovujeme stale technologie kedže škola zakupila niekolko wifi rutrov značky ASUS presny model vam napišem v dalšej správe kedže si ho z hlavy nepamätám chceli sme aj s kolegom vytvoriť pristupove bodi pre žiakov aj učitelov.
Problem je nasledovný na škole mame dva servery je na nich vytvorená domena a obydva bežia subežne je na nich nastavena aj migrácia nastaveni a udajov a uživatelských učtov. Pripojene je poskitované širokopasmovim pripojenim s konektom cca 20Mb/s je spracované jedným rootrom zyxel kde je nastavene pre menej problémov a riešení firewal na určite zakazane stránky (sex, porno atd.) za ním nasleduje jeden zo serverov ktorý zdiela internet do celej domeny na tomto serveri beži aj proxy ktoré je potrebne na večie zabespečenie.
Problém nastáva v tedy ked chceme pripojiť wifi ruter do siete už za serverom.
Kedže na serveri beži proxy internet je kvoli určitým potrebám presmerovaný na iný port ako je 80 lenže rooter si s tým nevie poradiť jedine ako to funguje je že rooter je využitý ako switch. Ma nastavene napevno IP a pridelene povolenei pridelovať WIFI klientom iba obmedzený počet ip adries cca 20 kedže celá sieť funguje na statických IP kvoli vyhnutiu sa kolizii v sieti aj odsledovaniu povodcov porblémov.
Takže moja predstava je nasledovná len sa k nej neviem dako prepracovať pre ilustráciu budem použivať port proxi 1000 , chcely by sme to amť spravene nasledovne kable zo siete pichnutý do wan konektora nie do lan ale možno aj lan podla toho čo bude lepšie (vobec nám nejde o konfiguraciu alebo pristup na ruter) takže do wan by bol pripojeny kable zo siete kde je pritomny internet ale na porte 1000 . v rootri bohvie čo spraviť aby na AP wifi časti rootru bol net pristupny na klasickom porte 80 kvoli jednoduchšiemu pripajani klientov pretože teraz aby sa niekto mohol pripojiť je potrebne nastaviť proxi server a aj port a to napriklad v mobilných telefonoch vo všetkých nejde najme s tým portom maju tie fony problém . Klienti nebudu mať pristup na zdielane zložky v sieti tonám vyhovuje proste aby to fungovalo ako verejne pripojenie len na učel pripojenia sa na internet.
Takže ak ma niekto nejake nápady alebo skusenosti popriapde postupi bol by somrád keby ste pomohli
S pozdravom Majky:)

[lhator2]

PS: ospravedlnujem sa za pravopis a nejake preklepi ale pomali zaspávam dnes toho bolo na mna moc

[SurrendeR]

no znie to zlozito...

ak ti ide cisto o to aby mali useri na wifi pripojenie cisto na net (s obmedzeniami routru cez ktory ide net) tak by to mohlo fungovat cez DHCP. Teda pokial chces aby hostia co chcu ist iba na net mali dyn. ip. DHCP samozrejme treba nastavit/vytvorit na serveri. Pekne si tam nastavis rozsah dyn. IP a aj s rezervaciami (ak potrebujes).
dalsia vec, uzivatelia na wifi by mali potom default GW nastaveny router co ide priamo do netu.
takymto sposobom by to mohlo fungovat. Tym ze obidu proxy (ak nevadi). Tym padom by mohli mat pristupy aj na shares.

[lhator2]

Takže takto som rád že prvá reakcia ale ako vidimmusim postupne doplnať info a postupne určite vykrištalizujeme riešenie Wifi ma byť iba ako internetovy pristupový bod čiže kvoli bezpečosti udajom v shared zložkach by nemali mať k nemu prístup takže najlepšie by bolo pichnuť zo siete ktorá už beži na proxy kabel do van nastaviť van nieje problem aby sa pripojil a potom dalej použiť dhcp ktore je v rootri aby onprideloval ip klientom wifi čiže klient by nemusel nič nastavovať a v podstate by s amohlo pripojiť 254 ludi.
Najradšej by som to mal spravené takto ked sa na to pozriem obrazne malo by to fungovať ako klasice pripojenie k internetu pre domácnosť s tým že naš server s proxy je internetovy provajder a wifi roter je klient internetu ktorý dalej chce zdielať net
Ono v podstate aj toto zvládam prolém je len s tým portom ktorý neviem ako mame spraviť aby ho prerábalo z priklad 1000 ktorý jenastavený v proxy serveri na 80 ktorž použiva bežni klient na prenos html a podobne.

S pozdravom Majky

[galen]

mozno blbost, ale...
zakazat bezny port 80/8080 *router/wifiAP*, na klientoch *stanice a pod.* vynutit nastavenie proxy (interna vyhlaska/mail pre vsetkych, ze ak chcu v skole aby im siel internet, je nutne nastavit proxy na IP:port v browseri + ukazka nastavenia v zakladnych browseroch)

PS: a nebude rozumnejsie preskocit do 10.x.y.z podsiete, aby ste mohli pripojit aj viac ludi ako 254? ci ste mala skola, a nie kazdy tam ma notebook+wifiTelefon

[SurrendeR]

stale mi nejde do hlavy preco musi ist ta wifi na proxi.
Ak ti ide cisto o bezpecnost udajov ktore su na serveri, tak tam by mohlo postacit bezna policy v AD.
bezny uzivatel co sa da na wifi a neprihlasi sa, nebude mat pristup k sharom ale net by mu siel...

alebo racej napis do bodov ake mas poziadavky, nemusis rozpisovat, len napis strucne poziadaky, na riesenie sa musi prist

[lhator2]

Takže prečo musi isť wifi cez proxy no pretože ine internetové pripojenie nieje poskitovatel internetu ma regnutu jednu mac adresu a pristup na jeden komp čo je server no a ten aby mohol dalej zdielať net musí mať dve sietové takže cely trafick ide cez ten jeden server kvoli software ktorý sa použiva na výučbu aj aktualizáciu a hromadne licencie a najme kvoli zabespečeniu siete musí byť na serveri proxy ktory zdiela net do celej siete školy.
meniť a prekopávať celú sieť kvoli wifi rootru sa mi moc nechce kedže su to už od minulého týždna 3 servery a više 110 klientov v sieti všetci maju staticku ip aby nedochadzalo ku konfliktom v sieti a aj aby sa dal odsledovať prípadny záškodnik.
Na dvoch serveroch beží windows server 2003 ktoré si navzajommiguju data a od minuleho týždna pribudol jeden server z os windows server 2008 r2 na podporu klientov ktori boli updatovaný najskro hadwarovo a potom softverovo na windows 7 na ktore škola dostala multilicenciu

Druhy dotaz no nápad s tým mailom je slušný ale riešil by iba polovicu problému nakolko največší problem je vlastne s mobilmi a inimi moblinimi zariadeniami wifi ktoré nebežia na platforme windows a nemaju možnosť nastaviť najme port.

Ešte raz laicky potrebujem spraviť iba to aby na vstupe do rootru bol internet pritomny na porte priklad 3030 v rutri ho pretransformovalo a dhcp priradil klientovi na wifi ip a net mu vyzdielal na port 80 čiže iba taky transform z portu 3030 na port 80
PS: to pridelovanie ip aj pripojenie klientov funguje skusili sme to zariadenia sa v pohdoe pripojili len nešiel net pretože stale bol pristupny až po zadani portu 3030

[SurrendeR]

Pripojene je poskitované širokopasmovim pripojenim s konektom cca 20Mb/s je spracované jedným rootrom zyxel kde je nastavene pre menej problémov a riešení firewal na určite zakazane stránky (sex, porno atd.) za ním nasleduje jeden zo serverov ktorý zdiela internet do celej domeny na tomto serveri beži aj proxy ktoré je potrebne na večie zabespečenie.

Klienti nebudu mať pristup na zdielane zložky v sieti tonám vyhovuje proste aby to fungovalo ako verejne pripojenie len na učel pripojenia sa na internet.

ak to chces tak ako to pises, tak staci hodit za ten zyxcel wifi AP a wifi klienti bezia na nete bez pripojenia do domeny bez proxy a bez pristupov na shares.
to ze mas zaregistrovanu MAC , tak tu mac mas zrejme na tom zyxcel routri naklonovanu, cize vsetko za nim je jedno aku ma MAC
takze wifi router jednoducho pripoj k tomu Zyxcel routru nastavit, a malo by byt po probleme.

ALEBO? potrebujes aby WIFI klienti mali pristup do domeny, cize nic z toho co je v druhej citacii neplati?

[lhator2]

Aj to je riešenie rozmýšlal som už nad tým ale po porade z vedením vyplninulo že pripojenei na net musi byť pod dozorom a musia byť odfiltorvané niektoré zakazané stránky ako je porno a podobne.
Dalšia vec je zixel rooter a wifi rooter su od seba dosť daleko a na natahovanie dalšieho kábla je to dosť pracne a komplikuje to riešenie.
Prístup do domeny nieje vobec potrebný aj ked by to nebolo naškodu pre notebooky učitelov ale nieje to nevyhnutné.

Takže z dvovodu takýchto obmedzení a aj možnosti obmedziť trafick na wifi klientoch kvoli predideniu pretaženie sieti pri download veciach je potrebne aby bol ten wifi bod napichnutý za proxi na lokalnej sieti

niečo som už bádal na nete ale niesom si istý forwarding funkcia a potom funkcia NAT niečo s toho by to mohlo rieišť či sa mýlim?