Kollégiumi hálózat reload

Hálózatok általános

Adott egy Linux iptable és shell scriptekre alapuló átláthatatlan rendszer amit most muszáj lenne kibővíteni, de egy agyrém.
Feladatok:
-DNS
-DHCP
-Forgalom figyelése kliensenként
-Adott forgalom után szankciók(csak feltöltési adatmennyiség után kell szankciót alkalmazni, szolgáltatói előírás)
-Tűzfal funkciók
-Több hálózat kialakulása

Amit szeretnénk:
-egy /24es publik IP cim tartomány kezelése
-Egy NAT a belső eszközöknek
-Regisztrációhoz kötött hálózat
-Vendég hálózat

A jelenlegi rendszer úgy működik, hogy alapból mindenki "bünti" IPt kap, és egy Captive Portalon ha belép, a regisztrálást követően a rendszergazdai aktiválás után a DHCP onnantól más hálózatból oszt neki IP-t.

A terv, hogy nulláról felépíteni ezt a rendszert, elsősorban a pFsensre gondoltunk, hogy azzal csinálnák meg.

Várom az ötleteket, hogy pFsense-el ezt meg tudjuk-e oldani, vagy használjunk valami mást?

  • 2172 megtekintés

( Huncraft v | 2017. 06. 30., p – 15:48 )

Nem teljesen a kérdésedre válasz, de biztos, hogy pont ezt akarjátok implementálni? A "DHCP onnantól más hálózatból oszt neki IP-t" nekem elég gyenge megoldásnak tűnik, mivel ha statikus IP-re állítja az illető a gépét nyomban képes is megkerülni az egész megoldást (és ha a gépe folyamatosan megy, akkor a DHCP ugyan azt az IP-t nem is fogja még egyszer kiosztani másnak se).
Sokkal értelmesebben hangzana, ha minden hálózaton lévő IP alapból tiltva lenne, és csak a reggelt userek IP-jei kerülnének bele egy approved láncba (ezt mondjuk végezhetné egy script). pfSense alatt meg ha jól rémlik akkor penalty box-al megoldható a forgalom korlátozás is)
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

( Mik v | 2017. 06. 30., p – 16:13 )

Nem simerem a pFsense minden funkcióját fejből, de ha fogadnom kellene out-of-the-box nem fog tudni mindent. A végén ugyanúgy lesz benne egy csomó saját script.

Mi használjuk több helyen is iskolai/kollégiumi hálózatban
- vezetékes (tantermi, kollégiumi, tanári ) kliensek
- WiFi kliensek (nem homogén AP-k, Cisco, TP-Link hostapd-vel)

Előtte FW ( DHCP, route, IPS )
Managelhető eszközök, jellemzően Cisco catalystok
AD-ből tud auth-olni, minden kliens egy webes felületen auth-ol első csatlakozáskor, ez alapján bekerül megfelelő VLAN-ban.

400-500 klienst gond nélkül kezel. (nagyrészük jellemzően WiFi-n)

Megbízható, jól kezelhető, de csak akkor ha egy strukturált, szegmentál hálótatot össze tudsz rakni egyedül!

( zeller | 2017. 06. 30., p – 18:09 )

Ha drótos a hálózat, és kellően okosak a switchek, akkor lehet trükközni két vlan-nal+mac filter minden portra - a port alapból a Captive portálos vlan-ba lóg bele, user feldugja a gépét, kap ip-t (a vlan-ból csak a captive portál:443 legyen elérhető (https)), user regisztrál, a dhcp-szerverből látszik a hw cím, a switcheken körbenéz egy script, hogy hol látja az adott eszközt, elrakja a reg. igény mellé, aztán amikor rábök az admin, hogy "go", akkor az adott portra ráhúz egy filtert, plusz átbillenti a megfelelő vlan-ba.

( uid_20269 | 2017. 06. 30., p – 18:47 )

Én használok pfSense-t proxy-ként. Ha akarsz szűrsz rajta SquidGuard-al.
Wireless-azonosításra ott a FreeRadius.
Lightsquid-del tudod mérni a forgalmat gépenként.
Tud felhasználónévvel/jelszóval azonosítani a proxy.
Traffic shaper funciója is van.
Tűzfalazás, Bind, DHCP naná hogy alap.
Szerintem kapásból tudna mindent, amit szeretnél, sőt..
--
God bless you, Captain Hindsight..

( Kronosz v | 2017. 06. 30., p – 19:52 )

subs...

Ha majd meglesz az új struktúra, egy step-by-step howto-s beszámolót kérhetek/kérhetünk? Sokan sokat tanulhatnának belőle.

( kisg v | 2017. 06. 30., p – 21:37 )

RADIUS nem opció?

Ha nem authentikál az eszköz, akkor beledobódik egy Guest VLAN-ba, ahol hozzáfér az infókhoz, hogy hogyan állítsa be a gépét. Ha meg sikeresen authentikál, akkor átdobódik másik VLAN-ba. És ugyanez működik Wifin is, bár Wifi felett, ha már biztonság van, akkor menjen VPN.

( gattila | 2017. 07. 02., v – 00:57 )

Sziasztok!

Én egy kollégiumban dolgozom másodállásban. Szerintem elég jól működik nálunk a rendszer, összefoglalom a lényeget.

Adott két lakóépület, A és B. Mind a két épület öt szintes. Szintenként van lány és fiú szárny. Ezekhez tartozik egy egy switch. Tehát szintenként két switch és két vlan. (Fiú, Lány)

Mivel szintenként 52 szoba van és maximum hárman lakhatnak egy szobában, ezért meg tudtuk csinálni, hogy egy adott eszköz IP-jéről meg tudjuk mondani, melyik szobában van az eszköz.

----------------------------------------------------------------------------------------------------------------------------------
-------------------- A épület ---------------------------------------------------------------- B épület -------------------------
_______Fiú szárny______________Lány szárny__________________Fiú szárny______________Lány szárny_____
----------------------------------------------------------------------------------------------------------------------------------
--_____10.11.41.X_______ -_____10.11.42.X______--____--_____10.12.41.X________-_____10.12.42.X_____--
----------------------------------------------------------------------------------------------------------------------------------
----------------------------------------------------------------------------------------------------------------------------------
--_____10.11.31.X_______ -_____10.11.32.X______--____--_____10.12.31.X________-_____10.12.32.X_____--
----------------------------------------------------------------------------------------------------------------------------------
----------------------------------------------------------------------------------------------------------------------------------
--_____10.11.21.X_______ -_____10.11.22.X______--____--_____10.12.21.X________-_____10.12.22.X_____--
----------------------------------------------------------------------------------------------------------------------------------
----------------------------------------------------------------------------------------------------------------------------------
--_____10.11.11.X_______ -_____10.11.12.X______--____--_____10.12.11.X________-_____10.12.12.X_____--
----------------------------------------------------------------------------------------------------------------------------------
----------------------------------------------------------------------------------------------------------------------------------
--_____10.11.1.X________ -_____10.11.2.X_______--____--_____10.12.1.X_________-_____10.12.2.X______--
----------------------------------------------------------------------------------------------------------------------------------

Az IP-k első 8 bit-je adott. A következő 8 bit határozza meg az épületet. A harmadik taktus nagyobb helyiértékű karaktere megadja az emeletet (Földszint = "0"), a kissebb helyiérték a szárnyat.
Az "X" helyén a szobaszám áll. Amennyiben már van valakinek igénylése a szobából, akkor hozzáadunk százat. (Pl: B317-es szoba három lakóval: 10.12.31.17,10.12.31.117,10.12.31.217)
Abban az esetben, ha valaki nem regisztrált eszközt dug be, akkor a DHCP egy olyan poolból oszt ip-t, ahonnan csak a neptunt érik el.

Nézzük a vasakat:

Van egy Cisco ASA tűzfalként, egy Cisco 36XX core switch ként, két fizikai vas a hypervisor-nak, egy nas és 20 db switch a szinteken.

A két vas teljesen redundáns. Fut rajtuk mail, dhcp, dns, stb és egy webszerver. Minden félszintre, vlan-ra (szárnyra) van allokálva egy külső IP. Így 21 szoba (kb 30 user) van egy átjárón.

A rendszer működésének lényege:

A webszerveren elérhető egy előző rendszergazda által PHP-ben írt oldal. Ezen az oldalon beregisztrálhatnak a hallgatók. Ez lényegében annyit jelent, hogy eltároljuk egy sql táblában a nevüket, szobaszámukat, neptun kódjukat, e-mail címüket, jelszavukat.
Regisztráció után beléphetnek az oldalon, ahol kezelhetik az eszközeiket. Alapvetően nincs eszközük, de rögtön hozzá is adhatnak egyet. Az eszköz hozzáadásánál a gép MAC-jét kiolvassa az oldal, így rá van kényszerítve arra, hogy azzal regisztráljon, amit használni akar. Az IP-t is generáljuk neki a fenti szabályok alapján.
Az eszköz adatai bekerülnek egy másik táblába, (mac, ip, kért hosztnév, timestamp-ek, neptun kód). Az oldal lényegében csak az adatbázist frissíti a friss adatokkal. Nekünk még vannak admin funkcióink: Keresés, listázás, át és kiköltöztetés stb.

A varázslat ott megy végbe, hogy 5 percente lefut néhány cronjob, amelyek megnézik, hogy van-e változás a táblákban és ha van, akkor az egyik generál egy DHCP és egy DNS konfig fájlt az új adatok alapján és Rsync-el bemásolja a dhcp, illetve DNS szerver megfelelő mappájába. Az egyik script belép a core switch-be és megváltoztatja a configot. (Policy based routing)
Az ASA elmenti minden csomagnak a fejlécét. Így később visszakereshető a belső IP, amennyiben hatósági megkeresés van. Számolja az adatforgalmat is. Ezeket kiiratjuk egy fájlba 5 percenként és nagiosgraph-al csinálunk belőle grafikonokat. A hallgatókat áttereljük másik vlan-ba, amennyiben elértek heti X GB-ot "csúszó ablak" szerűen. Tehát mindíg az elmúlt hét napot nézzük percre pontosan.
A korlátozott VLAN ban alacsonyabb a sebesség és lényegében csak a 80,443, smtp, imap van nyitva.

A legjobb az egészben az, hogy nem kell foglalkoznunk a regisztációval, be ki kapcsolással, kiköltöztetéssel, mert a gondnokságnak adtunk hozzáférést ezekhez. Így amikor kifizeti valaki az internetet és a gondnokságon aktiválják, akkor max 5 percen belül kap rendes IP-t a user. Tudják szerkeszteni a mac-et is, így nekünk csak a valódi problémákkal kell foglalkoznunk.

Így is sok lett, de rengeteg mindent kihagytam. Keress nyugodtan, ha érdekel mélyebben.