Proxy Configurazione

[BoNoVoX]

Secondo Voi, ? possibile una configurazione simile?

Router 1 e router2 sono in vpn,  nella sede del router 2 ? installato il proxy che controlla la navigazione e fa uscire sia le macchine di router 1 sia le macchine di router 2 verso internet.

Essendo la banda limitata, ? possibile far uscire le macchine collegate al router 1 tramite la sua adsl ma allo stesso tempo far controllare i siti dal proxy?

Non so se sono stato chiaro

[thedog75]

rtr1----------vpn---------rtr2
  |                                   |
  |                                   |
  |                                   |
adsl                                   \
                                          \
                                           |
                                           |
                                         proxy - - -modem adsl - - -  internet

? cos?? ho afferrato?

[BoNoVoX]

diciamo di si, solo che io voglio che ci sia il controllo proxy centrale, ma allo stesso tempo che per uscire su internet si usi la propria adsl e non quella della sede principale.

[name29]

diciamo di si, solo che io voglio che ci sia il controllo proxy centrale, ma allo stesso tempo che per uscire su internet si usi la propria adsl e non quella della sede principale.

Penso proprio che non si possa fare ...

[M@XiM]

Il quesito è interessante...io invece credo che si possa fare una cosa del genere..ricalca il meccanismo con il quale avviene l'autenticazione centrallizata degli hotspot wi-fi...
Lo stesso servizio fon dovrebbe agire alla stregua: autenticazione su DB centrale e poi navigazione a carico della rete a cui è connesso l'hotspot....
Diciamo che attraverso VPN otteresti solo la policy utente e poi ottenute le credenziali  la connessione diverrebbe a carico di un gateway locale...

[name29]

Il quesito ? interessante...io invece credo che si possa fare una cosa del genere..ricalca il meccanismo con il quale avviene l'autenticazione centrallizata degli hotspot wi-fi...
Lo stesso servizio fon dovrebbe agire alla stregua: autenticazione su DB centrale e poi navigazione a carico della rete a cui ? connesso l'hotspot....
Diciamo che attraverso VPN otteresti solo la policy utente e poi ottenute le credenziali  la connessione diverrebbe a carico di un gateway locale...

ma non si tratta di autenticare ma di filtrare i siti web visitati.....

se si trattasse di autenticazione allora si!

[M@XiM]

Il quesito ? interessante...io invece credo che si possa fare una cosa del genere..ricalca il meccanismo con il quale avviene l'autenticazione centrallizata degli hotspot wi-fi...
Lo stesso servizio fon dovrebbe agire alla stregua: autenticazione su DB centrale e poi navigazione a carico della rete a cui ? connesso l'hotspot....
Diciamo che attraverso VPN otteresti solo la policy utente e poi ottenute le credenziali  la connessione diverrebbe a carico di un gateway locale...

ma non si tratta di autenticare ma di filtrare i siti web visitati.....

se si trattasse di autenticazione allora si!

Nel momento in cui autentichi un utente puoi associargli una serie di restrizioni , quindi  demandare ad un gateway con funzione proxy il filtraggio delle azioni di quell'utente in funzione della policy ricevuta...

[name29]

Il quesito ? interessante...io invece credo che si possa fare una cosa del genere..ricalca il meccanismo con il quale avviene l'autenticazione centrallizata degli hotspot wi-fi...
Lo stesso servizio fon dovrebbe agire alla stregua: autenticazione su DB centrale e poi navigazione a carico della rete a cui ? connesso l'hotspot....
Diciamo che attraverso VPN otteresti solo la policy utente e poi ottenute le credenziali  la connessione diverrebbe a carico di un gateway locale...

ma non si tratta di autenticare ma di filtrare i siti web visitati.....

se si trattasse di autenticazione allora si!

Nel momento in cui autentichi un utente puoi associargli una serie di restrizioni , quindi  demandare ad un gateway con funzione proxy il filtraggio delle azioni di quell'utente in funzione della policy ricevuta...

Si ma:


proxy -> router 1-> internet  -> router 2 -> computer

Se Computer usa il proxy automaticamente usa internet da router 1 e non da router 2 .... in questo modo 1/2 della banda di router1 viene sprecata ...

[M@XiM]

Il quesito è interessante...io invece credo che si possa fare una cosa del genere..ricalca il meccanismo con il quale avviene l'autenticazione centrallizata degli hotspot wi-fi...
Lo stesso servizio fon dovrebbe agire alla stregua: autenticazione su DB centrale e poi navigazione a carico della rete a cui è connesso l'hotspot....
Diciamo che attraverso VPN otteresti solo la policy utente e poi ottenute le credenziali  la connessione diverrebbe a carico di un gateway locale...

ma non si tratta di autenticare ma di filtrare i siti web visitati.....

se si trattasse di autenticazione allora si!

Nel momento in cui autentichi un utente puoi associargli una serie di restrizioni , quindi  demandare ad un gateway con funzione proxy il filtraggio delle azioni di quell'utente in funzione della policy ricevuta...

Si ma:


proxy -> router 1-> internet  -> router 2 -> computer

Se Computer usa il proxy automaticamente usa internet da router 1 e non da router 2 .... in questo modo 1/2 della banda di router1 viene sprecata ...

 "ComputerX" --Router2-------->VPN<----------Router1-PC (database)
                       |
                    PC Proxy

Computer X ottiene autenticazione e quindi può navigare attraverso Proxy collegato a Router2...
Ovviamente Router1 ed annesso Pc serviranno solo per autenticare i client....tutto rigorosamente IMHO

P.S.: Si potrebbe spostare la discussione in una seziona a maggiore visibilità ..? 

[name29]

Ma lo schema che ha descritto bonovox ( a meno , da quanto ne ho capito io ) ? cosi:


Rete 1                        ->                                                                 Rete 2
Server Proxy/filtro       -> Router 1 <-> Internet <-> Router 2 <-     Computer X
Server Autenticazione ->   VPN       <--------------------> VPN 

BonoVox chideva :
Posso fare in modo che   Computer X di Rete 2 Possa andare su internet usando le restrizioni del proxy ma usando  internet di router 2 e non di Router 1 ?

Secondo me , la risposta ? no .
Quello che vuole realizzare Bonovox sarebbe una spece di :

Computer X richiede una pagina web.
Router 1 chiede a proxy le la richiesta ? legale ( cio? router1 deve soddisfare la richiesta di Computer X)
Se si:
Computer X ? autorizzato a scaricare la pagina

Se no:
a Computer X viene mandata una pagina di errore

[BoNoVoX]

Esatto ? proprio quello che intendo.
L'argomento ? molto interessante, ditemi in che sezione volete spostarlo e sar? fatto.

La morale ? che la macchina periferica deve essee controllata da un proxy centralizzato ma per uscire poi deve usare la sua linea verso internet e non passare in von verso l'altro router per poi uscire dal proxy. ( configurazione attuale ma che spreca banda inutilmente )

[M@XiM]

Esatto ? proprio quello che intendo.
L'argomento ? molto interessante, ditemi in che sezione volete spostarlo e sar? fatto.

La morale ? che la macchina periferica deve essee controllata da un proxy centralizzato ma per uscire poi deve usare la sua linea verso internet e non passare in von verso l'altro router per poi uscire dal proxy. ( configurazione attuale ma che spreca banda inutilmente )

Purtroppo lo formattazione della pagina non rende merito allo schema sopra elencato da name29...ma ricapitolando:

Vorresti che i client del router1 fossero soggetti alle restrizioni del proxy collegato al router2 e che nel navigare utilizzassero la banda del router1.
Come dicevo a name29, IMHO, la soluzione sarebbe  ottenere (per tutti i PC client connessi ad R1) le policy utente dal proxy connesso a R2 e poi demandare le restrizioni ad un gateway-proxy su R1 ...la VPN servirebbe solo per collegare i due router per ottenere le policy degli utenti collegati ad R1....
Ovviamente tutti gli utenti connessi ad R2 navigherebbero tramite il proxy connesso a quest'ultimo e quindi usufruirebbero della sua banda..
In questo modo avresti un PC su R2  che smista le credenziali degli utenti e consente la navigazione di questi ultimi attraverso la banda dei router a cui essi sono collegati...Eventuali LOG di navigazione verrebbero prodotti sui gateway locali e magari periodicamente inviati tramite sempre tramite VPN al PC delle credenziali....
Se invece vuoi un controllo proxy in realtime  sulla navigazione anche per i client che provengono da un router in WAN  allora ti occorre una banda mostruosa su R2...
Possiamo prendere lo schema di Fon come riferimento...
Progetto interessante, su LinuX...?



In merito allo spostamento...procedi come pi? ritieni opportuno..

[BoNoVoX]

Servirebbe una sezione dedicata non saprei dove postarlo.

Il problema ? proprio quello di evitare la banda mostruosa sul principale.

Attualmente sto usando un sistema ibrido del tipo:
Con un plugin di firefox decido quali siti possono andare su internet in locale ( quelli istituzionali ) invece nel momento in cui si chiamano siti differenti si passa dal proxy centrale.
Purtroppo questa situazione non mi ispira al 100%.
Mi risulta impossibile fare un proxy per ogni sede, vanificherebbe il lavoro fatto.
Sto studiano il problema vediamo come fare.

[name29]

Esatto ? proprio quello che intendo.
L'argomento ? molto interessante, ditemi in che sezione volete spostarlo e sar? fatto.

La morale ? che la macchina periferica deve essee controllata da un proxy centralizzato ma per uscire poi deve usare la sua linea verso internet e non passare in von verso l'altro router per poi uscire dal proxy. ( configurazione attuale ma che spreca banda inutilmente )

Purtroppo lo formattazione della pagina non rende merito allo schema sopra elencato da name29...ma ricapitolando:

Vorresti che i client del router1 fossero soggetti alle restrizioni del proxy collegato al router2 e che nel navigare utilizzassero la banda del router1.
Come dicevo a name29, IMHO, la soluzione sarebbe  ottenere (per tutti i PC client connessi ad R1) le policy utente dal proxy connesso a R2 e poi demandare le restrizioni ad un gateway-proxy su R1 ...la VPN servirebbe solo per collegare i due router per ottenere le policy degli utenti collegati ad R1....
Ovviamente tutti gli utenti connessi ad R2 navigherebbero tramite il proxy connesso a quest'ultimo e quindi usufruirebbero della sua banda..
In questo modo avresti un PC su R2  che smista le credenziali degli utenti e consente la navigazione di questi ultimi attraverso la banda dei router a cui essi sono collegati...Eventuali LOG di navigazione verrebbero prodotti sui gateway locali e magari periodicamente inviati tramite sempre tramite VPN al PC delle credenziali....
Se invece vuoi un controllo proxy in realtime  sulla navigazione anche per i client che provengono da un router in WAN  allora ti occorre una banda mostruosa su R2...
Possiamo prendere lo schema di Fon come riferimento...
Progetto interessante, su LinuX...?



In merito allo spostamento...procedi come pi? ritieni opportuno..

Si, ma bisognerebbe aggiungere un gateway-router.

Quello che dici secondo me si fa con due squid e un mysql ...

[M@XiM]

Diciamo che con vecchio trashware si potrebbero sostituire i due router con due PC-modem che integrino tutto l'occorrente ....questi Pc potrebbero fungere da router-gateway-proxy-database....

Quello che dici secondo me si fa con due squid e un mysql ...

pensavo anche a Radius...io un po' di prove le farei volentieri...

Se spostassimo il post nella sezione generale...?