IPCop-Forum.de

www.ipcop-forum.de


IPCop-Community
CL-Systems
Home Home   Doku Doku   Links Links   Downloads Downloads
UnIPCop Der (Un)IPCop   IFS IPCop-ForumSpy
CopTime CopTime   Galerie IPCop-Galerie   IPCop Userkarte Userkarte
Aktuelle Zeit: 25.04.2018, 08:33

Alle Zeiten sind UTC+02:00




Ein neues Thema erstellen  Auf das Thema antworten  [ 6 Beiträge ] 
Autor Nachricht
BeitragVerfasst: 01.12.2015, 15:12 
Offline
Deputy Superintendent
Themenstarter
Deputy Superintendent
Benutzeravatar

Registriert: 19.08.2007
Beiträge: 357
Wohnort: Bayern / Oberfranken / Bad Berneck
Halo zusammen,

an einem aktueleln IPCOP welchen ich heute in einer Schule installiert habe gibt es noch ein kleines Problem.
Zum Aufbau: 1 Netzwerkkarte für ROT, eine Netzwerkkarte für GRÜN ( Verwaltung 192.168.75.1 ) 1 Netzwerkkarte für BLAU ( Schüler 192.168.0.1)
Das Verwaltungs Netzwerk ist noch nicht in Betrieb genommen.

Das blaue Netzwerk habe ich so konfiguriert dass die Schüler direkt ohne dass ich die Rechner freigeben muss, ins Internet kommen. BLAU = GRÜN
Im blauen Netwzerk habe ich den WebProxy auf transparent gestellt. URL Filter aktiviert, Blacklist aktualisiert, siehe da alles funktioniert problemlos.

Jetzt ist es aber so dass im Schülernetzwerk auch immer wieder mal Jugendsozialarbeiter sitzen mit vom Amt gestellten Notebooks ( DHCP Clients ).
Diese Geräte sollen direkten Internetzugang bekommen, ohne Proxy ohne URL Filter. Diese Notebooks müssen einen VPN ( IPSEC ) ins Amt hin aufbauen.
Des Weiteren sitzen im Schülernetzwerk logischerweise auch Lehrer. Hier werden teilweise auch Notebooks verwendet.

Ich möchte nun gerne einstellen dass eben diese speziellen Geräte KEINEN Filtermechanismus nutzen. Hierzu kann ich diese Geräte entweder via IP oder MAC im WEBPROXY rausnehmen. der URL Filter greift jedoch trotzdem. Im URL Filter kann ich zwar eine IP Adresse zulassen, hilft mir nur nix bei Geräten die mitgebracht werden.

Welche Möglichkeiten habe ich um dies zu ermöglichen? Hat wer nen guten Tipp?

vg Michael

P.S. in dieser Schule gibt es keinen Domaincontroller, nur einfache Arbeitsgruppenstruktur. Kein Server, nur eine NAS

_________________
Gruß Michael


Nach oben
   
BeitragVerfasst: 01.12.2015, 20:45 
Offline
Deputy Commissioner
Deputy Commissioner
Benutzeravatar

Registriert: 23.09.2007
Beiträge: 1081
Wohnort: an der Oder
Ich verstehe nicht, warum der URL-Filter greift, wenn die Jugendsozialarbeiter per VPN-Tunnel mit dem Amt verbunden sind. Der Proxy sollte das gar nicht mitbekommen.

_________________
Immer mit der Ruhe, alles wird gut...

BildBildBild
Mein erster Post im Forum.


Nach oben
   
BeitragVerfasst: 02.12.2015, 10:31 
Offline
Deputy Superintendent
Themenstarter
Deputy Superintendent
Benutzeravatar

Registriert: 19.08.2007
Beiträge: 357
Wohnort: Bayern / Oberfranken / Bad Berneck
Hallo RadioCarbon,

die JuSo's waren nur ein Beispiel. Jedoch können die derzeit nichtmal den VPN Tunnel aufbauen, hängt evtl. mit dem transparenten Proxy zusammen.
Es geht grundsätzlich drum wie ich für bestimmte Geräte den URL Filter UND Proxy umgehen kann damit diese Geräte / Benutzer dann keinerlei Einschränkungen wie z.b. Facebook, Onlinebanking, Amazon usw. haben.

Kann ich irgendwelche Firewall Regeln definieren damit gewisse Geräte 100% freien Zugang haben?

Danke für Tipps...

Gruß Micha

_________________
Gruß Michael


Nach oben
   
BeitragVerfasst: 02.12.2015, 22:32 
Offline
Deputy Commissioner
Deputy Commissioner
Benutzeravatar

Registriert: 23.09.2007
Beiträge: 1081
Wohnort: an der Oder
Vergib bei diesen Geräten anhand der MAC-Adresse per DHCP immer die gleiche IP. Dann beim URL-Filter diese IP als ungefilterte IP eintragen. Das musst du dann leider für jeden Client einzeln machen.

Schon mal über einen Radius-Server nachgedacht?

Was mich etwas verwirrt, ist die Sache mit dem nicht aufbaubaren VPN-Tunnel. Meines Wissens legt man die Verbindung nicht auf Port 80. Lasse mich aber gern eines besseren belehren. Hast du eventuell in der Firewall irgend etwas entsprechendes eingerichtet?

_________________
Immer mit der Ruhe, alles wird gut...

BildBildBild
Mein erster Post im Forum.


Nach oben
   
BeitragVerfasst: 03.12.2015, 14:37 
Offline
Deputy Commissioner
Deputy Commissioner

Registriert: 09.06.2006
Beiträge: 800
Takvorian hat geschrieben:
Hallo RadioCarbon,

die JuSo's waren nur ein Beispiel. Jedoch können die derzeit nichtmal den VPN Tunnel aufbauen, hängt evtl. mit dem transparenten Proxy zusammen.

nur wenn der Tunnelersteller ein "Superschlauer" war und "firewallfriendly" den Zugang auf Port 80 gelegt hat

Zitat:
Es geht grundsätzlich drum wie ich für bestimmte Geräte den URL Filter UND Proxy umgehen kann damit diese Geräte / Benutzer dann keinerlei Einschränkungen wie z.b. Facebook, Onlinebanking, Amazon usw. haben.

Kann ich irgendwelche Firewall Regeln definieren damit gewisse Geräte 100% freien Zugang haben?
Danke für Tipps...
Gruß Micha

na ja.. dafür müsstest du die MAC-ID von allen Rechnern haben, Gäste, getauschte Rechner usw. fallen aus!
Du kannst, IIRR, Rechner definieren für welche die Regeln nicht gelten...
Du kannst aber auch (?) ein extra Wlan machen, das den AP mit zeitlich begrenzten Tickets versorgt.
Ein ganze Menge deiner (Konfigurations)Probleme kannst durch Auswerten deiner Logs lösen! Da sollte stehen: wer wo warum abgewiesen wurde.

Ansonsten... Fordern können alles Alles- Realisieren wirst du es nicht können . Zumalö Firewalls sehr empfindlich auf Denkfehler reagieren -> zu die die Liebe und sehe in den Logs nach, ob wirklich alles funktioniert, wie es geplant ist.

Fred

ps: ... Webproxy funktioniert problemlos.. was konnt der transparente Mode nicht..war das was mit https ..oder irre ich mich nur...


Nach oben
   
BeitragVerfasst: 09.01.2016, 21:55 
Offline
IPCop-Entwickler, Site-Moderator, IPCop-Supporter 2006, 2007, 2008 und 2009
IPCop-Entwickler, Site-Moderator, IPCop-Supporter 2006, 2007, 2008 und 2009
Benutzeravatar

Registriert: 26.06.2005
Beiträge: 19149
Wohnort: LDK | Hessen
ymfred hat geschrieben:
ps: ... Webproxy funktioniert problemlos.. was konnt der transparente Mode nicht..war das was mit https ..oder irre ich mich nur...

Du irrst dich nicht.

_________________
/* Gruß weizen_42 */

Bild
| IPCop Doku | IPCop Galerie | IPCop Uptime | Ärger vermeiden |


Nach oben
   
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen  Auf das Thema antworten  [ 6 Beiträge ] 

Alle Zeiten sind UTC+02:00


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast


Du darfst keine neuen Themen in diesem Forum erstellen.
Du darfst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge in diesem Forum nicht ändern.
Du darfst deine Beiträge in diesem Forum nicht löschen.

Suche nach:
Gehe zu Forum:  
Powered by phpBB® Forum Software © phpBB Limited
Deutsche Übersetzung durch phpBB.de