MikroTik - LAN és Internet csak PPTP-n legyen

Hálózatok általános

Üdvözlet!

Azt szeretnénk megvalósítani egy iskolában, hogy az internet csak PPTP-kapcsolódás után legyen elérhető a gépekről, mivel egy-pár tanuló megpróbálkozott már a tanári gépen keresztül nyomtatni a hálózati nyomtatóra...

Az a lényeg, hogy a hálózaton csak egyes gépekhez (tehát ne mindhez) kelljen ilyen csatlakozás.
Csatlakozás nélkül a gépekről SEMMI, csatlakozás után pedig MINDEN (internet és helyi háló) elérhető legyen.

PPTP szervert már felhúztam a MikroTik-ünkre, üzemel is megfelelően. (ezen leírás alapján készítettem)

Másik ok, amit először elfelejtettem írni:
Így legalább monitorozhatnánk azt, hogy a kollégák milyen oldalakat nyitnak meg. :-)

Köszi.
Donatus

  • 6441 megtekintés

( mr shadow v | 2013. 01. 24., cs – 18:59 )

vlan képes switch nem játszik? egyszerűbb lenne :)
--
"'The time has come,' the Walrus said"

Szerintem a lan elérés korlátozása így nem fog menni - ahhoz, hogy a LAN-on csücsülő többi gépet se érjék el, L2-ben kell szeparálnod. Illetve ez így teljesen nem igaz, HA meg tudod oldani azt, hogy a korlátozott gépek csak egy meghatározott hardvercímmel rendelkező másikkal (pptp szerver) állhassanak szóba. (Helyben szűrni a bejövő forgalmat, Linuxon szerintem a "-m mac --mac-source..." talán érdekes lehet, Windows-on nem tudom, hogy van-e ilyesmi, akár kifelé, akár befelé irányra ).

( mauzi v | 2013. 01. 24., cs – 19:15 )

> ... mivel egy-pár tanuló megpróbálkozott már a tanári gépen keresztül nyomtatni a hálózati nyomtatóra

Hát, öööö, fura egy megoldás ezt PPTP kapcsolattal megoldani. A hálózati nyomtatók szoktak tudni authentikációt, IP címre korlátozást, ésatöbbi...

Autentifikáció persze, csak pont a lényeg, hogy a tanári gépeken, minden nyomtatás előtt meg nem fogunk jelszavazni.

Példa:
A gyerek fentmaradt a teremben, mert "fáj a feje". Kollega nem lépett ki a gépen, gyerek próbálkozik nyomtatni, lent meg lesnek a tanáriban, hogy megint ki a fene nyomtat... (nyilván nem a házi feladatot nyomtatta a kölyök)

IP cím korlátozás természetesen van, csak a tanári gépek nyomtathatnak.

PPTP kapcsolat lenne a legkézenfekvőbb, mert oda még a hülye is tud csatlakozni a csili-vili Windows 7 alatt, feltéve, ha nem felejti el a felhasználónevét és jelszavát.

Donatus

:DD::DDD:D:D
Ne most komolyan ROTFL:)
"A gyerek fentmaradt a teremben, mert "fáj a feje". Kollega nem lépett ki a gépen, gyerek próbálkozik nyomtatni, lent meg lesnek a tanáriban, hogy megint ki a fene nyomtat... (nyilván nem a házi feladatot nyomtatta a kölyök)"
Nincs lockscreen beallitva?De szerintem is biztos PPTP való erre.OMG:)

Ha van értelmes megjegyzésed, ne tartsd magadban! :-)

A mi infrastruktúránkat (általános iskola lévén) úgy képzeld el, hogy van 15 db interaktív tábla, 13 db tábla mellett DELL Inspiron 15R, TIOP pályázati pénzen vásárolt laptop van Windows 7-tel, SMART Notebook 11 szoftver, MS Office 2007. Egyik gépen sincs jelszavas védelem, nem is lesz, mert a rajztanár nem fogja tudni megjegyezni.

A maradék 2 gép szintén TIOP-os, ugyanilyen szoftverek, ugyanilyen (semmilyen) jelszavas védelem.

Ha nem PPTP, akkor mégis mi? :-)

Donatus

Off:Mondjuk akkor valami olyasmi mint Androidon hogy lockscreenre egy pattern amit a tanár rajzolhat is egérrel.Ilyenre gondolokMintha régebben találtam volna ilyen progit.

ON:Hálózat monitorozásra pl egy Tplink csodát amit egy Gargoyle firmware-rel megtudja ezt tenni neked.
Esetleg beállítassz egy nyomtató szervert amiben rákell böknöd arra hogy nah most nyomtasd ki.Magyarul mintha kilenne kapcsolva nyomtató addig maga szerver gyűjti nyomtatandó dolgokat majd te manuálisan vagy valamilyen módszerrel.Megkérdezed kedves felhasználót hogy Pista mi ez a sok pornó kép mikor csak fekete fehérben tudjuk nyomtatni őket.:)

Per definitem kötelezővé kell tenni a gépeken a jelszavas felhasználókat _és_ a kötelező jelszócserét. Aki nem tudja megjegyezni, az nem jegyzi meg - és nem használja. Jelszóházirend beállít, aztán lehet pampogni, hogy nem megy - az 1-2-4-8-2*k tábla csoki után meg fogja jegyezni ("k" az elfelejtett jelszó miatti jelszócserék száma)

Elmagyarázhatod bármilyen nyomatékosan, attól még a felvetés fenn fog állni (az első 2 hétben az esetek 50%-ában, majd később 95%-ban :( )
Komolyabb hálózati nyomtatók képesek mailboxba nyomtatni, majd onnan magán a nyomtatón pin kóddal nyomtatni - persze, ha nem ilyen komolyabb gép áll rendelkezésre, akkor bukta :(
PPTP-t azért sem tartanám jó megoldásnak, mert onnantól kezdve a hálózat bármely elemei közti teljes kommunikációt szerencsétlen MikroTik-en hajtod át, nem biztos, hogy túl hatékony lesz :(

Sajnos vannak bizonyos igények, amiket némi beruházás nélkül nem lehet megoldani. (Tudom, költségvetési intézménynél minden drága, a Te munkádat (sz.pásodat) kivéve) :(

Ezeknek az interaktív táblás csodáknak a pontos szoftverét, működését ugyan nem ismerem, de ha alapvetően windózon futnak, esetleg valami smart kártyás/USB tokenes lock rendszert applikálni rájuk? Tanár viszi magával a kártyát, kölyök meg nem nyúl a tanári géphez, aztán pont.

OFF
Végső esetben láttam már olyat is nem egy helyen, hogy az asztalos oldotta meg a problémát - a gépnek kulccsal zárható szekrényke, aztán a gyerek szintén ne piszkálja!
ON

Egyébként pedig:

1. lépés: authentikáció. OpenLDAP, eDirectory, Active Directory, prosztó Samba TDB fájllal, mitbánomén. A címtárban legyen hozzárendelve, hogy Pista tanár úr nyomtathat, Jóska kölök meg nem.

2. lépés: session kezelés, hogy júzernek elég legyen egyszer belépni, aztán meg dolga végeztével kilépni.

3. lépés: hálózati nyomtatót/queue managert úgy beállítani, hogy a megfelelően beléptetett/sessionnel/kerberos tickettel/mitbánomén mivel rendelkező júzertől elfogadja a job-ot, mástól meg nem.

Ehhez tök jó a Tesco/TP-Link/akármilyen hálózati környezet, csak legyen egy rendesen felkonfigurált szervernek látszó tárgy, vagy virtuális gép valahol a hálóban...

( hg2ebh | 2013. 01. 25., p – 11:38 )

Hasonló iskolai rendszert egy barátom már készített, de nem PPTP-vel.
Volt egy központi linux gép, egy egyszerű PHP-s weboldalon lehetett kattintani, hogy egy-egy gépre ad-e internetet, a mikrotik routereket API-n keresztül vezérelte.
Ha érdekel, akkor írj magánban és összehozlak vele.

( kalebris | 2013. 01. 25., p – 13:06 )

SEMMI alatt a nem a helyi lanon levo dolgokat erted? Ha egy gep eleri a LANon levo PPTP vegpontot akkor eleri a LANon levo osszes tobbi eszkozt is hacsak nem configolsz helyi tuzfalat, hogy csak a pptp-t tudja a gep kikuldeni az adott ip-re.