שרת אינטרנט

[MaD-d0g]

שרת אינטרנט

שלום לכולם אני מעוניין להרים שרת אינטרנט שיכלול בתוכו אקטיב דירקטורי. הכוונה היא, שרק משתמשים עם הרשאות יוכלו להכנס לשרת ולגשת לאינטרנט. (אם משתמש נכנס במצב של workgroup הוא עדיין יוכל לגשת לאינטרנט דרך IP. את זה אני מעוניין למנוע) הבעיה היא... שיש לי כמה קווי ADSL ולא אחד. אז צריך לעשות מעין gateway hopping בין כל המודמים. ככה העומס (בתאוריה) יכול להתחלק.

 

[MaD-d0g]

הקפצה

 

[אביעד אב]

מממ

לא הבנתי את הקשר בין החלק הראשון של ההודעה לחלק השני שמתחיל עם "הבעיה היא"....

 

[עדיג78]

בעיות במינוח

היי שרת אינטרנט לא מאפשר (או חוסם) משתמשים לגשת לאינטרנט שרת אינטרנט הוא בסך הכל פלטפורמה שעליו אפשר להלביש אתרי אינטרנט. אם אתה מחפש דרך למנוע מאנשים לגלוש באינטרנט, אתה מחפש סוג של פרוקסי אם אתה מחפש דרך להגדיר הרשאות עבור אתר אינטרנט שקיים בארגון שלך, אתה מחפש דרך שאתר האינטרנט (ולא השרת) יבצעו זיהוי משתמש מול AD. יכול גם להיות שאתה מחפש RRAS או RADIUS... פרטים נוספים, או אפילו מעין סיפור מקרה (בשפה פשוטה, אנחנו כבר נתרגם את זה למונחים מקצועיים) של המצב הקיים והדרישה לשינוי, יוכלו לעזור לנו לעזור לך.

 

[ezaton]

מימוש פשוט - ISA

לא שאני אוהב אותו, אבל ב- ISA, אם הוא מעביר דרכו את כל התעבורה, ניתן בהחלט לקבוע מי יכול ומי לא יכול לעבור, איך ולאן.

 

[עדיג78]

ISA עושה בין היתר גם פרוקסי

והיתרון הגדול שלו שהוא מתממשק מצוין עם AD. ISA החדש זה פיירוול לכל דבר, בהחלט בסטנדרטים הגבוהים בשוק

 

[aerox]

צודק!!!

 

[MaD-d0g]

בדיוק

זה פרוקסי. אם עד עכשיו היה לי (למשל) סוויץ' שעל פורט אחד מחובר מודם ADSL ובשאר הפורטים היו מחוברים מחשבים... אז כל אחד יכל לחבר מחשב, לתת כתובת IP ב subnet ולהשת מש ברשת. אני מעוניין שמשתמש יצטרך להזדהות ולהכנס לדומיין ורק אז תהיה לו גישה לאינטרנט. ככה שבמקום שיהיה לי סוויץ' שמחובר אליו מודם ומחשבים, יהיה לי למעשה סוויץ' שמתחברים אליו רק מחשבים, הוא מתחבר לפרוקסי. והפרוקסי יתחבר (בעוד כרטיס רשת) למודם ADSL וידע למי לתת גישה ולמי לא... מבין

 

[עדיג78]

proxy it is

אתה צריך להרים פרוקסי ISA SERVER לצורך הענין, לחבר אותו ל AD הקיים שלך, והכי חשוב לשים אותו ראשון ברשת (כלומר, כרטיס אחד שלו מחובר ל ADSL והשני לסויץ' זה לא תמיד פשוט להקמה, דבר איתי במייל, אעזור לך יותר

 

[antidot]

------>

אתה צריך לעשות כאן הפרדה מסויימת לכמה נושאים: 1) מחשבים לא מאושרים שמתחברים לרשת ומקבלים גישה ברמת IP למשאבי רשת. הפתרון במקרה זה הוא מימוש של IPSec (לחייב IPSec בגישה למשאבי רשת) או מימוש של 802.1x (דורש ציוד שתומך בזה) 2) הרשאות של משתמשים לטובת גישה לאינטרנט. כאן, כפי שכבר צויין, הפתרון בד"כ מגיע בצורת proxy (למרות שניתן לממש גם עם 802.1x, שיוך לVLAN-ים שונים ואוטנטיקציה בעזרת PKI או PEAP/LEAP ) פתרון פרוקסי די נפוץ הוא באמת ISA, אבל גם ניתן לממש בעזרת squid שיודע לבצע NTLM authentication לתת הרשאות לפי זה.

 

[MaD-d0g]

אנטי ועדיג,

כנראה ש ISA זה בדיוק מה שאני צריך... מישהו מכיר מדריך טוב להתחלה

עכשיו... נגיד והצלחתי לקבוע שרק המשתמשים המזוהיים יכולים לגשת לרשת החיצונית. זה רק חלק מהפתרון שלי. יש לי יותר ממודם אחד, יש לי כמה. ואני מעונין לקבוע מעין Load balance שאומר שכל בקשת get תשלח ממודם (gateway) אחר (כדי לחלק את הרוחב פס) לפרוקסי יש 2 כרטיסי רשת הראשון מתחבר לסוויץ' שאליו מתחברים מחשבים השני מתחבר לסוויץ' שאילו מתחברים מודמים של ADSL. אני מעוניין שאחרי האימות, כל פעם הוא ישתמש במודם אחר. האם זה אפשרי

 

[בעז 21]

אני גם יודע את הפתרון אבל

אתה רוצה רק את העזרה של אנטי ועדיג.. אז שכח מזה

 

[עדיג78]

קח את זה, זה שלך

 

[MaD-d0g]

../images/Emo3.gif ../images/Emo6.gif

 

[עדיג78]

נשמע שיש לך פתרון מורכב

תוכל להוסיך שרטוט של הרשת? יש לך מספר קוי ADSL ליציאה לאינטרנט???? מי עושה לך חיוג? למה אין לך ראוטר אחד וקו אחד? נשמע שתכנון הרשת שלך מסורבל, אלא אם יש לכך דרישות ספציפיות (מה שנשמע שלא, כי אתה מעוניין ב LB) , אפשר ממש לפשט את התהליך. מכאן, או דרך אימייל, אם תתן פרטים נוספים על מבנה הרשת, נוכל לעזור לך לבנות פתרון

 

[MaD-d0g]

תגובה

מצורף סרטוט של הרשת במקום ה SW של ה LAN יכולים להיות מספר ריכוזי תקשורת (כי מן הסתם יש יותר מ 4 מחשבים) הפרוקסי הוא IBM @SERVER xSeries 335 המריץ 2003 Server המודמים הם מסוג ECI 312 או RTA 1320 שמקונפגים כראוטר ומחייגים בעצמם. לכל אחד יש כתובת IP שונה. (דהה) התכנון עצמו לא משהו... אבל אלו האילוצים... ברור שעדיף קו אחד מהיר יותר מכמה קווים יותר איטיים. אבל בוא נגרום לזה לעבוד ככה

כמובן שאם מישהו יוריד קובץ גדול דרך מנהל ההורדה של windows ולא דרך תוכנה שיודעת לחלק הוא יעמיס על מודם... אבל אין מה לעשות... זה מספיק מובן

 

[עדיג78]

תשובה כללית עם הסתייגות

קודם ההסתייגות: הפתרונות שאני נותן פה הם על רגל אחת, קח אותן כעוד חוות דעת או כעצה, אני לא יודע את כל מבנה הרשת והאילוצים שלך, ולכן אני נותן פה פתרון על סמך מה שאני יודע. אם אתה רוצה שהשרת חלונות יעשה Load balancing, תן לו לחייג במקום המודמים, זה טיפה מסובך אבל אפשר להגדיר מי מהמודמים עדיף וכן הלאה. אם כל המודמים מחייגים לאותו מקום, וספק האינטרנט תומך, אפשר לגרום לשרת חלונות, אם חייג כמה במקביל, להתייחס אליהם כאל קו אחד רחב. כמובן שזה המקום של הפרוקסי סרבר (נגיד ISA) , על השרת IBM. המלצה: למרות ששרת חלונות יודע לעשות את זה, לא הייתי מעמיס את זה עליו אלא: --- מחפש ראוטר עם מספר יציאות WAN (למשל mh-4000 של פלאנט עם שתי יציאות ADSL), שיידע לחלק את המתח בין המודמים, וייתן נקודת יציאה אחת לאינטרנט --או---- --- בכל זאת עובר לקו ADSL אחד פס רחב. הם לא כאלה יקרים כיום (וזה ייצא יותר זול מארבעה קוים)

 

[MaD-d0g]

--->

אוקיי... ברור שעדיף חשבון אחד גדול או ראוטר שתומך. אבל בוא ננסה להסתדר בלי זה... מה יעזור לי לתת למערכת ההפעלה לחייג

עדיין כבר שהחיבור יהיה קיים... מה שאני רוצה לדעת, אם הפרוקסי יודע לנתב פעם דרך IP אחד ופעם דרך IP אחר... ואיך בדיוק לקנפג את הסיפור של ה ISA... איך להתחיל

 

[עדיג78]

שאלות העוזרות להבנה

מי מחלק כתובות IP לתחנות כיום? מה ה default gateway בכל תחנה? מה ה default gateway בשרת ה IBM. אני מכוון לנקודה הבאה: כמו שזה נשמע, ה IBM שלך מוגדר היום כראוטר, (ציינת שכל מה שיש עליו זה 2003 סרבר ואין עליו תוכנת פרוקסי), ולכן, כל המחשבים יוצאים דרכו לאינטרנט. אבל איך הוא יוצא לאינטרנט והאם הוא בכלל עושה שימוש בארבעת הקוים? או שמוגדר לו default gateway אחד ? תעשה tracert מכמה מחשבים, ומהשרת, לדעתי תגלה שאתה תמיד יוצא דרך אותו חיבור לאינטרנט, ותמיד זה אותו אחד. אתה יכול להגיד לשרת חלונות שיהיה דינמי ויבחר את ה gateway שלו, אבל רק על פי קדימות (אם אחד נופל, תשתמש בשני וכו'), אין ממש אפשרות להשתמש בארבעת הקוים בשביל ליצור רוחב פס גדול לדעתי. לגבי ISA SERVER , זה מוצר של מיקרוסופט שעולה הרבה כסף (ואנו יודעים לתת אותו בשיטת תמחור חודשית) , תוריד מהאינטרנט evaluation , תתקין ותשחק עם זה.

 

[MaD-d0g]

המצב כרגע הוא שיש לי Wingate על

השרת והוא הפרוקסי. הגדרתי שתעבורת WWW תהיה דרך מספר gateway's שונים ותהיה ברוטציה. שזה בדיוק מה שאני צריך... אבל חסר לי כאן האימות של האקטיב דירקטורי. וזה נאמר לי שלא ניתן לעשות