Jak lépe navrhnout síť - proxy

[Martin Dvořák]

V naší práci máme ve skutečnosti tento stav:

a)
- klienti v LAN síti přistupují k intranetu a k internetu, intranet mají přístupný přes naši proxy, která slouži k autentifikaci pro další nadřazenou proxy v jiné síti nadřazené organizace
- klienti mají v prohlížečích nastavenu tuto proxy + výjimky pro 10.* z důvodu přístupu na naše lokální webové služby. Na našem proxy serveru jsou požadované intranetové adresy řešeny pomocí DNS názvů.

b)
- máme několik vzdálených pracovišť, které mají vlastního ISP, jejich PC jsou připojeny k VPN koncentrátoru (mini PC Alix), kterým se připojují do naší sítě
- jejich PC mají rovněž v prohlížečích zadaný náš proxy server

A nyní mám dotazy:

Nevýhoda a) i b) je v tom, že je nutné každému PC explicitně zadávat proxy + výjimku do prohlížeče. Lze to udělat tak, aby se do prohlížeče nemuselo zadávat nic? Tedy např. transparentní proxy + nějak vyřešit výjimku pro 10.* ?

U situace b) dochází k tomu, že veškerý provoz jde k nám, tj. i požadavky do internetu nejdou přes lokálního ISP ven, ale k nám. To je sice dobré pro případné sledování/filtrování provozu, nicméně to není úplně prioritou, tudíž bychom upřednostnili rozdělení provozu do internetu přes lokálního ISP a intranet přes nás. Jak to technicky zajistit? Můj předpoklad je, že je nutné se opět zbavit řešení nastavení proxy v prohlížečích a někde mezi VPN koncentrátorem a PC vyřešit rozdělení provozu a případnou lokání transparentní proxy.

Děkuji předem za rady.

[Reklama]

[webmaster]

wpad

[petr0707]

Jedná se o Windows nebo Linux? My jsem ve firmě měli pro přístup do internetu udělanou bránu pomocí serveru na linuxu. Na tomto serveru byl mimo jiné firewall ale hlavně dns server, který měl upravené zony, tzn pokud někdo ze sítě chtěl jít do internetu tak musel existovat záznam v interní dns na serveru který odkazoval na interní ip adresu požadovaného intranetového webu. Intranet část byla na dalších serverech v lokální síti nebo v síti propojených vpn. Výhoda toho byla že pokud se někdo připojil do lokální sítě dostal přiřazenou ip adresu z dhcp bránou (serverem viz výše) a dostal také přiřazeny dns servery tzn dostal se i na intranet. měli jsme také na serveru v dhcp nastavený rozsah ip adres pro hosty (ti se na intranet nedostali) a rozsah pro zaměstnance ti měli přístupný intranet. Toto bylo řešeno na firewallu.

[Filip Jirsák]

Konfiguraci prohlížeče zajistíte pomocí WPAD (přes DHCP nebo DNS). Prohlížeč si pak z uvedené adresy stáhne Proxy auto-config –JavaScriptový soubor s funkcí FindProxyForURL, která dostane jako parametry URL a hostname, a vrátí způsob,  jak má prohlížeč pokračovat (zda má použít přímé spojení nebo proxy server, a který proxy server). U vzdálených pracovišť tedy v tomto souboru rozhodnete, zda má jít prohlížeč přímo (přes vzdáleného ISP) a nebo  přes váš proxy server.

[AgentK]

Je právě otázka jestli všechen provoz jde teď k vám do centrály. Jde tam jen to, co poslušně reflektuje nastavení proxy. Neposlušný zbytek se zahodí někde na pobočkovém routeru, nebo kde?

Obecně:
Určitě to jde udělat bez nastavení proxy, transparentně. To můžeš postavit sám na linuxu v kvalitě odpovídající Tvým schopnostem síťaře a securiťáka. Výsledek může být celkem dobrý, ale podporu zajišťuješ ty (se vším všudy).

Nebo jsou na to firewally vendorů, kteří se tím zabývají. Taková řešení umí i redundanci, SSO, atd. Takové řešení by pak mohlo nahradit i tu VPN krabičku.

Musíš taky zajistit, aby se všechen provoz dostal přes VPN k vám, nebo každou pobočku vybavit firewallem vlastním.

Nejde tu asi napsat nějaký univerzální návod jak postupovat, ale přemýšlej nad tím nejen jak to postavit, ale jak to udržovat, a jak to případně vyměnit když něco odejde (včetně Tebe).

-K-

[Reklama]

[Martin Dvořák]

Je právě otázka jestli všechen provoz jde teď k vám do centrály. Jde tam jen to, co poslušně reflektuje nastavení proxy. Neposlušný zbytek se zahodí někde na pobočkovém routeru, nebo kde?

Teď jde na vzd. pracovištích díky nastavení proxy v prohlížeči (krom těch sítí 10.*) vše k nám a tam se to i zahazuje.

[Martin Dvořák]

Konfiguraci prohlížeče zajistíte pomocí WPAD (přes DHCP nebo DNS). Prohlížeč si pak z uvedené adresy stáhne Proxy auto-config –JavaScriptový soubor s funkcí FindProxyForURL, která dostane jako parametry URL a hostname, a vrátí způsob,  jak má prohlížeč pokračovat (zda má použít přímé spojení nebo proxy server, a který proxy server). U vzdálených pracovišť tedy v tomto souboru rozhodnete, zda má jít prohlížeč přímo (přes vzdáleného ISP) a nebo  přes váš proxy server.

Ok, děkuji za nasměrování, zkusím se podívat jaké jsou tam možnosti konfigurace.

[AgentK]

Je právě otázka jestli všechen provoz jde teď k vám do centrály. Jde tam jen to, co poslušně reflektuje nastavení proxy. Neposlušný zbytek se zahodí někde na pobočkovém routeru, nebo kde?

Teď jde na vzd. pracovištích díky nastavení proxy v prohlížeči (krom těch sítí 10.*) vše k nám a tam se to i zahazuje.

O.K.  WPAD je cesta nejmenšího odporu a bude to fungovat.
Já jsem původně otázku pochopil trochu víc obecně (ve smyslu "co s tím, současný stav nevyhovuje"). Tak sorry. ;-)

[Martin Dvořák]

O.K.  WPAD je cesta nejmenšího odporu a bude to fungovat.
Já jsem původně otázku pochopil trochu víc obecně (ve smyslu "co s tím, současný stav nevyhovuje"). Tak sorry. ;-)

Ano, nevyhovuje, což je rozvedeno v pův. otázce. Problémy jsou v zásadě dva, přičemž dle popisu WPAD schopností by se tím měly vyřešit v podstatě oba.