Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

gestione client su 3 sedi

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
tech$



Registrato: 15/06/14 15:37
Messaggi: 19

MessaggioInviato: Sab Mag 16, 2015 6:52 pm    Oggetto: gestione client su 3 sedi Rispondi citando

Buonasera a tutti, comincio ad esporre il mio problema dicendo che ho già usato ZS assieme a ZT per un captive portal presso un albergo il quale è quasi un anno che funziona egregiamente. Complimenti come sempre. La mia esigenza é quella di avere un chiarimento su una configurazione da effettuare. La situazione é la seguente, ho circa 20 client (pc win8.1) dislocati su 3 sedi dove su ognuna dispongo di ip statico ed avrei a disposizione 3 firewall, una delle sedi è la sede principale dove dovrebbe risiedere il server ZS che dovrebbe limitare l accesso ad internet solo ad alcuni siti consentiti. La mia domanda è questa, voi come gestireste i client remoti? Che tipo di vpn usereste? Come si potrebbero configurare i client affinché si connettano automaticamente all avvio verso il server? Questa sarebbe la linea generale se qualcuno volesse aiutarmi darò ulteriori informazioni più dettagliate. Grazie mille
Top
Profilo Invia messaggio privato
ziotibia81



Registrato: 14/10/09 13:08
Messaggi: 89

MessaggioInviato: Mar Mag 19, 2015 5:51 pm    Oggetto: Rispondi citando

Spiega con più precisione cosa ti serve come "connessione" sui client remoti?

Comunque la configurazione più ovvia è un ZS in ogni sede e creare vairie VPN LAN-TO-LAN
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 767

MessaggioInviato: Mar Mag 19, 2015 8:51 pm    Oggetto: Rispondi citando

Come dice ziotibia81, qualche info in piu' sarebbe utile... Wink
Anche perchè, se vuoi far passare tutto il traffico delle 2 sedi remote dalla sede principale, credo ci voglia una fibra 100/100, l'upload della sede principale diventerebbe il dowload 'globale' per le 2 sedi remote...
Un idea al volo, potrebbe essere...sede principale con 2 vpn L2L , poi dipende se vuoi fare una full mesh o hub and spoke, es con hub and spoke, VPN00, UDP 1195, 10.1.1.1/30, peer 10.1.1.2/30 (HQ -branch1)
VPN01, UDP 1196, 10.1.1.5/30, peer 10.1.1.6/30 (HQ -branch2)
Nella sede remota1, abiliti il netbalancer,come gateway usi il principale e aggiungi come secondo gateway 10.1.1.1, poi crei una regola di balancing in cui imposti tale gateway per un determinato tipo di traffico (es. source ip addresses o input interface), volendo, in forward droppi lo stesso tipo di traffico se tenta di uscire dal gateway principale (cosi' facendo però, se andasse giu' la linea nella sede principale, con conseguente caduta della vpn, i client dichiarati prima non navigherebbero, ....dipende comunque da cosa si vuole fare...)
Stessa cosa per la sede remota2, ma con gateway 10.1.1.5...
Static routes per reti remote su sede principale, o nat sulle vpn remote, se non interessa visibilità L3...
Top
Profilo Invia messaggio privato
tech$



Registrato: 15/06/14 15:37
Messaggi: 19

MessaggioInviato: Mer Mag 20, 2015 10:48 am    Oggetto: Rispondi citando

grazie per l'attenzione ragazzi! allora, cerchero' di essere piu' chiaro possibile, la situazione è questa, dovrei poter inibire l'accesso ad internet da parte dei client eccetto per alcuni siti consentiti a dei client dislocati in queste 2 sedi separate rispetto la sede centrale dove dovrebbe risiedere ZS, la mia intenzione sarebbe quella soltanto di uasare ZS per filtrare il traffico ed usare le singole adsl delle sedi per la navigazione dei client ( per la maggiore sono pc win 8.1 ed alcuni tablet android), solo che non riesco a pensare un metodo funzionante per ovviare il problema, in pratica l'obbiettivo sarebbe questo: ZS che funga da "supervisore" e che i client usino le adsl delle sedi per la navigazione dei siti consentiti. avevo pensato di usare openvpn, ma ho dubbi a riguardo, sopratutto su come fare connettere all'avvio automaticamente i client, e sicuro avrei problemi con i tablet... ragazzi grazie mille per la vostra disponobilita'.
Top
Profilo Invia messaggio privato
ziotibia81



Registrato: 14/10/09 13:08
Messaggi: 89

MessaggioInviato: Mer Mag 20, 2015 11:17 am    Oggetto: Rispondi citando

Non puoi usare ZS per filtrare dalla sede principale usado poi per navigare sui siti consentiti le ADSL delle sedi remote. O meglio accrocchiando varie configurazioni si potrebbe anche fare ma non ha molto senso....

Anche perchè comunque il traffico, per essere filtrato, deve passare per forza attraverso ZS. Facendo un esempio banale, terra terra: se un client in sede remota deve scaricare un file, il dowload avviene sulla sede principale (usando la banda in download della sede principale), poi viene girato come traffico in upload dalla sede principale alla sede remota (usando banda di upload della sede principale) e in fine avviene il download dalla sede remota usando la banda delle sede remota.

La velocità massima ottenibile sarebbe data dall'upload della sede principale diviso per le sedi remote.

Devi usare un ZS per ogni sede per filtrare....

Se il tuo problema è mettere un pc per ZS su ogni sede potresti usare degli aggeggi tipo questi:

http://www.koala.it/it/koala-fw4l.htm
http://www.koala.it/it/koala-epc.htm
http://www.koala.it/it/n33.htm
http://www.koala.it/it/nanopc.htm
Top
Profilo Invia messaggio privato
tech$



Registrato: 15/06/14 15:37
Messaggi: 19

MessaggioInviato: Mer Mag 20, 2015 1:10 pm    Oggetto: Rispondi citando

Grazie per la risposta, stavo pensando a questo punto una soluzione per le 2 sedi remote, visto che in entrambe vi sono solo 3 pc e 3 tablet, ed un portatile, potrei creare una macchina virtuale in entrambi i portatili delle 2 sedi e su quella principale userei il server fisico visto che li ho 10 pc e circa altrettanti tablet, che ne pensate? Potrebbe essere una soluzione? Grazie mille!
Top
Profilo Invia messaggio privato
wind



Registrato: 01/11/12 09:51
Messaggi: 116

MessaggioInviato: Mer Mag 20, 2015 1:52 pm    Oggetto: Rispondi citando

Se vuoi un consiglio, fatti un miniPc con le schede madri J1900 e un Hd....

hanno già 2 schede di rete....

Il costo finito è sotto i 170€ (l'una)....

e fanno tutto loro...

My 2 cents
Top
Profilo Invia messaggio privato
ziotibia81



Registrato: 14/10/09 13:08
Messaggi: 89

MessaggioInviato: Mer Mag 20, 2015 2:04 pm    Oggetto: Rispondi citando

La soluzione macchine virtuali, in questo caso, non mi piace molto.

Sarebbe sempre meglio avere una configurazione tipo:

switch rete --> Scheda rete 00 ZS
router xDSL --> Scheda rete 01 ZS

in modo da tenere fisicamente isolato il router. Altrimenti uno cambia le impostazioni di rete sul PC e baypassa ZS. Facendo così, poi, ti semplifichi la vita se un domani ti serviranno delle VPN L2L perchè così non devi configurare rotte statiche aggiuntive sui client.

Altrimenti, usando la VM, dovresti montare 2 schede di rete sul pc HOST e replicare una configurazione simile. Ovvio che se per qualche motivo viene messa in pausa la VM non funziona più nulla.
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 767

MessaggioInviato: Mer Mag 20, 2015 6:28 pm    Oggetto: Rispondi citando

Se l'obbiettivo è quello di far navigare i clients delle sedi remote solo su alcuni siti consentiti, forse il modo piu' rapido è quello di registrasi a opendns (la vip costa 19.95$/anno) ed abilitare la 'whitelist only', dove dichiarerai i domini consentiti, tutto il resto verrà negato.... sul router/fw crei poche regole per negare ai clients l'utilizzo di DNS diversi da opendns ( qualcuno un pò piu' 'smart' degli altri potrebbe però sapere l'ip di un determinato sito e digitare quello nella barra degli indirizzi....)
ciao
Top
Profilo Invia messaggio privato
tech$



Registrato: 15/06/14 15:37
Messaggi: 19

MessaggioInviato: Gio Mag 21, 2015 9:39 am    Oggetto: Rispondi citando

grazie mille per l'attenzione ragazzi, allora a pensarci bene, sono d'accordo per il fatto della macchina virtuale, effettivamente avrei potuto rendere i pc account limitati in modo da non permettere modifiche alla configurazione, ma con i client android risulterei vulnerabile alle modifiche, ho sempre usato opnedns, ma non sono mai andato in fondo per vedere cosa offre il servizio a pagamento, mi viene da pensare pero' che se per esempio un client ha potenzialita' di "admin" ma di fatto usa opendns, navighera' soltanto sulla lista dei domini consentiti? sbaglio? credo che forse si dovrebbe adottare la configurazione fisica come suggeriva zioobia81. pensadoci, mi viene in mente che potrei usare openwrt per le sedi remote e zs sulla principale, potrebbe essere una soluzione? grazie ragazzi per i preziosi consigli, mi state dando una "mano" molto importante!
Top
Profilo Invia messaggio privato
ziotibia81



Registrato: 14/10/09 13:08
Messaggi: 89

MessaggioInviato: Gio Mag 21, 2015 4:24 pm    Oggetto: Rispondi citando

...mi sa che un router su cui installare openwrt ed un pc embedded su cui mettere ZS ti costa più o meno uguale....

Quindi io ti consiglio pc embedded+zs almeno così hai una installazione standardizzata dappertutto.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it