Problema complesso

[misterx]

ciao,
ho il seguente scenario: rete LAN con server DHCP + server di dominio + proxy. La navigazione per i computer sotto dominio avviene impostando attraverso un proxy, per quelli NON sotto dominio e che non hanno indirizzo ip fisso, esiste un secondo proxy server di tipo trasparent.

Quello che vorrei evitare è fornire agli utenti NON sotto dominio la password wi-fi per connettersi ad internet ma creare invece un sistema che:
1) consenta di connettersi senza autenticazione ad internet ma solo alcuni computer, quindi no autenticazione CAPTIVE PORTAL

2) richieda invece, solitamente sono cilienti, username e password a tempo si CAPTIVE PORTAL.

Spero di essere stato sufficientemente chiaro

[marcosx86]

Ciao misterx

Allora, una cosa, hai un fw giusto? Potresti fare una cosa del genere. Visto che il DHCP viene utilizzato solo per gli utenti NON sotto dominio, come gw metti il fw, e sul fw fai le regole di navigazione, se vuoi che solo alcuni computer possano navigare puoi utilizzare il filtro per mac address e far navigare soltanto alcuni inibendo di fatto la navigazione agli altri.
Potrebbe essere un'idea?

[misterx]

Ciao misterx

Allora, una cosa, hai un fw giusto? Potresti fare una cosa del genere. Visto che il DHCP viene utilizzato solo per gli utenti NON sotto dominio, come gw metti il fw, e sul fw fai le regole di navigazione, se vuoi che solo alcuni computer possano navigare puoi utilizzare il filtro per mac address e far navigare soltanto alcuni inibendo di fatto la navigazione agli altri.
Potrebbe essere un'idea?

ciao,
grazie per il tuo intervento.

Nel modo da te suggerito garantirei la navigazione agli utenti abitudinari che sono quelli che usando dhcp e sono fuori dal dominio; ma per quelli saltuari?
Dovrei aggiungere e togliere ogni volta il loro mac address sul firewall.

Mi chiedevo se esiste una regola su Zeroshell che è uno dei proxy che sto usando, dove specificare:
se ti si presenta questo mac address nn chiedere la password, in caso contrario chiedila.

[marcosx86]

Sì, oppure ancora potresti semplicemente mettere un guestgate wifi , non so se hai mai avuto modo di utilizzarli, sono degli hotspot praticamente,che puoi usare per far collegare appunto dei guest mantenendoli su una rete separata, nella gestione del guestgate imposti una password di navigazione e puoi aggiungere anche i mac address dei pc che devono navigare direttamente senza immettere la password.

A quel punto cosa succede, i client che hai inserito nel filtro del mac address si collegano e navigano, agli altri invece quando aprono il browser gli viene fuori la finestra del guestgate per mettere la password, una volta inserita navigano.
Pensandoci un attimo penso sia la soluzione più immediata.



Per quanto riguarda Zeroshell io purtroppo non sono in grado di aiutarti.

[misterx]

Sì, oppure ancora potresti semplicemente mettere un guestgate wifi , non so se hai mai avuto modo di utilizzarli, sono degli hotspot praticamente,che puoi usare per far collegare appunto dei guest mantenendoli su una rete separata, nella gestione del guestgate imposti una password di navigazione e puoi aggiungere anche i mac address dei pc che devono navigare direttamente senza immettere la password.

A quel punto cosa succede, i client che hai inserito nel filtro del mac address si collegano e navigano, agli altri invece quando aprono il browser gli viene fuori la finestra del guestgate per mettere la password, una volta inserita navigano.
Pensandoci un attimo penso sia la soluzione più immediata.



Per quanto riguarda Zeroshell io purtroppo non sono in grado di aiutarti.

quello che ho messo in grassetto è veramente interessante.
Quindi riuscirei a mascherare la mia LAN giusto?

Problema: gli stessi access point vengo usati dagli utenti abituali NON sotto dominio e che usano DHCP per una loro comodità, solitamente sono i PC portatili. Per questi dovrei dare anche la possibilità di vedere la mia LAN mentre invece ai consulenti saltuari no; per questi vorrei redirigerli verso il captive portal in modo che vengano autenticati con uno username e password a tempo.

[marcosx86]

Sto pensando ma nel modo che ti ho detto, quindi utilizzando il guestgate, non c'è il modo di farlo agire in maniera diversa a seconda del guest collegato, nel senso, gli si può dire che alcuni pc possono navigare diretti mentre gli altri vengono diretti verso il captive portal, però alla fine di fatto tutti questi sono nella stessa rete, non so se mi spiego.
Altrimenti alla brutte, mettere un guestgate la cui rete è diversa dalla tua, da far utilizzare SOLO ai clienti che non devono vedere la tua rete e che per navigare vengono diretti verso il captive portal, mentre per gli altri che devono vedere la tua rete mettere un ap qualsiasi.