AbcLinuxu:/ Poradna / Linuxová poradna / Přístup k internetu proti jménu a heslu na serveru

Štítky: Apache, Bash, bezpečnost, BSD, Cron, databáze, Debian, DHCP, distribuce, firewally, FTP, hardware, Internet, iptables, KDE, kernel, LAN, LDAP, Linux, MySQL, OpenBSD, OpenVPN, patch, PCI, PDF, PHP, PPP, PPTP, programování, prohlížeče, proxy, RAM, sběrnice, shelly, sítě, SQUID, SSH, SSL, stahování, šifrování, textové editory, Vim, wget, Windows

Dotaz: Přístup k internetu proti jménu a heslu na serveru

15.2.2006 22:20 LFCIB | skóre: 19 | blog: LFCIB | /home/lfcib
Přístup k internetu proti jménu a heslu na serveru

Přečteno: 5830×

Odpovědět | Admin

Přeji dobrý den, mám x uživatelů internetu za Linux serverem s NATem. Chtěl bych zařídit autentizaci uživatele před připojením k internetu. Jedná se o veškerý provoz, takže proxy jméno a heslo nechci. Chtěl bych aby to bylo závislé pouze na jménu a heslu co svému uživateli přidělím. Také aby autentizace byla šifrovaná. Takže si představuji princip tento: na serveru poběží např. Apache s SSL, PHP a nějakou databází. Uživatel by nemohl na internet, dokud by se nepřihlásil na mé stránce na serveru. Když by se přihlásil, povolil by se mu na firewallu nebo někde přístup s určitou rychlostí na určitou dobu. Všechny parametry asociované s uživatelským jménem by byly někde v databázi. Existuje nějaký takový hotový systém na principu co jsem naznačil? Šlo by to nějak udělat přes OpenVPN(místo apache+ssl+php+db)? Možná že se vám to bude zdát jako šílenost co si tu vymýšlím a že by bylo jednodušší všechno napevno nastavit v IPTABLES, ale tento návrh by byl jistě bezpečnější, navíc kdyby už.jméno bylo vázáno na MAC a IP zároveň. Asi jsem snílek. Děkuji za odpovědi LFCIB

-=:L:i:N:u:X:=-<=>-=:4:e:V:e:R:=- Vyhovuje mi Debian GNU/Linux

Nástroje: Začni sledovat (4) ?

Odpovědi

15.2.2006 22:45 Marek Pasovsky | skóre: 32
Rozbalit Rozbalit vše Re: Přístup k internetu proti jménu a heslu na serveru

Mam matny pocit, ze magicke sluvko by melo byt dashboard to sice obvykle resi jen surfovani, no dalo by se to urcite lehce "upravit" aby to fungovalo dle popsanych potreb.

Marek

If you don't understand or are scared by any of the above ask your parents or an adult to help you.

15.2.2006 22:47 Lukáš Rýdlo | skóre: 18 | blog: Silný kafe | Brno
Rozbalit Rozbalit vše Re: Přístup k internetu proti jménu a heslu na serveru

No neco takoveho urcite existuje, protoze napr. ve www.mzk.cz nebo u nas na www.fi.muni.cz se tak jak popisujes autentizuju pri pristupu na net pres wifi. Dokud se neprihlasim, nedostanu se za AP. Na FI to resi pres nejaky CGI skript. Funguje to tak, ze dokud vracim do urciteho timeoutu ping, jsem prihlaseny. Ale jak ten skript funguje nevim. Asi to bude komplexnejsi nastroj. Muzes skusit kontaktovat nase adminy, jestli nebudou ochotni ti poradit (unix[na]fi[tecka]muni[tecka]cz), ale pokud nejsi student, nevim jestli budou ochotni se s tebou bavit. BTW. tu adresu nemas ode mne, ale nasel sis ji na netu ;-)

A az to vyresis, napis zapis do blogu. Taky by mne zajimalo na jakym principu to funguje.

θηριον ειμι

15.2.2006 23:07 Marek Vágner
Rozbalit Rozbalit vše Re: Přístup k internetu proti jménu a heslu na serveru

Hledej magická slůvka captive portal ;) Pro rychlou implementaci doporučuji použít minidistribuci m0n0wall. Něco podobného je i v komerčním StarOS.

16.2.2006 00:25 jiri.b | skóre: 30 | blog: jirib
Rozbalit Rozbalit vše Re: Přístup k internetu proti jménu a heslu na serveru

dle OpenVPN Howto by to slo :) pohledej, nekde dole okolo autorizace a PAM a skriptu...

Rovnez to jde jestli pouzijes OpenBSD jako gateway a pouzit authpf, pohledej na openbsd.org manualovou stranku - to prida pravidla do firewallu podle tveho prani. Proste se user logne pomoci ssh na gateway a to mu pomoci specialniho shellu/carymaryfuk prida pravidla do fw.

ps: nezapomen nejaky feedback az to nastavis tu zpatky postnout :)

jirib

16.2.2006 06:21 anon123 | skóre: 35 | blog: ganomi
Rozbalit Rozbalit vše Re: Přístup k internetu proti jménu a heslu na serveru

Proc na to jdes tak slozite. Kazdy uzivatel uz ma heslo. Tak pak muzes zakazat, ze ten nebo tamten uzivatel ma nebo nema pristup.

16.2.2006 06:24 anon123 | skóre: 35 | blog: ganomi
Rozbalit Rozbalit vše Re: Přístup k internetu proti jménu a heslu na serveru

Na win serveru je to jednoduche, udelas group policy a namiris na falesnou proxy.

V linuxu nevim. Ale rad bych se dozvedel.

16.2.2006 07:19 LFCIB | skóre: 19 | blog: LFCIB | /home/lfcib
Rozbalit Rozbalit vše Re: Přístup k internetu proti jménu a heslu na serveru

Zdravím, žádná jména a hesla nikde přidělena nejsou a do nastavení stanic (kde předpokládám libovolný operační systém) vůbec nechci zasahovat, nebo nevím jak jste to myslel. Všechno chci řídit centrálně. Na serveru mi běží Linux a na windows nemám nejmenší pomyšlení. Děkuji ovšem za Vaši snahu.

Dále děkuji všem co mi odpověděli, o dashboardu jsem našel nějaké informace, ale nikde řešení co by se blížilo mojí představě, m0n0wall vyzkouším jako první a napíšu co a jak to umí a jestli je to ten správný krok pro tuto potřebu. Dále vyzkouším openVPN, ale odrazuje mne nutnost klienta VPN na stanicích. Pokud by tato řešení krachla z důvodu nevhodnosti (což si nemyslím), podívám se na zoubek openBSD, jak mi bylo porazeno. Zjistím-li však jaké řešení je komplexně vhodnější, napíšu jak jsem dopadl. Že by se to nakonec nepovedlo u Linuxu nepředpokládám. :-)

Pokud rozchodím jakékoliv řešení, napíšu sem návod.

Všem zatím děkuji a zdravím vás

LFCIB

-=:L:i:N:u:X:=-<=>-=:4:e:V:e:R:=- Vyhovuje mi Debian GNU/Linux

16.2.2006 08:03 anon123 | skóre: 35 | blog: ganomi
Rozbalit Rozbalit vše Re: Přístup k internetu proti jménu a heslu na serveru

Ani jsem vam Windows nenabizel. Jen jsem napsal jak se to dela. Chcete neco ridit centralne a nemate pocitace v domene na PDC? Do stanic zasahovat nemusite (muze bezel lokalni admin), jen ten kdo se muze prihlasit do domeny ma pristup na internet a navic kazdy bude mit vlastni heslo. I na Linuxu se tak asi dela.

Jinak nevim jak jinak se veci rici centralne, nez z PDC a domena.

OpenVPN na toto? To je asi blby napad.

Mozna by nebylo spatne napsat na jaky ucel to bude? Jestli sit v podniku, nebo nekde jinde. Jak budete menit hesla? Jak rychle se muze heslo kompromitovat? Jak rychle utnout od internetu jednoho uzivatele ale druhe nechat bezet bez obtezovani zadavat nove heslo?

16.2.2006 08:08 anon123 | skóre: 35 | blog: ganomi
Rozbalit Rozbalit vše Re: Přístup k internetu proti jménu a heslu na serveru

Ta proxy je proste asi nejlepsi reseni.

16.2.2006 08:14 LFCIB | skóre: 19 | blog: LFCIB | /home/lfcib
Rozbalit Rozbalit vše Re: Přístup k internetu proti jménu a heslu na serveru

Proxy nee neni, psal jsem, že to chci pro celkový provoz. Nechci například Squid a jeho autentizaci. Navíc to potřebuji šifrovaně. LFCIB

-=:L:i:N:u:X:=-<=>-=:4:e:V:e:R:=- Vyhovuje mi Debian GNU/Linux

16.2.2006 07:45 Ja.
Rozbalit Rozbalit vše Re: Přístup k internetu proti jménu a heslu na serveru

Mel bych dalsi magicke sluvko. Je jim Radius server (napr. freeradius). Myslim, ze by to melo jit (totiz...to je to co radius vlastne dela :-)

)

druha moznost: Apache a stranky by udelat sly, pokud by ten apache byl napr. na Linux routeru, ktery je branou z LAN. Podle IPcka ze ktereho se uzivatel prihlasil atd. bys upravil iptables tak, aby ho ve smeru forward neblokovaly. Za dve hodiny bys mu to treba zase zakazal...

ALe ten radius tohle vsechno dela asi taky

16.2.2006 07:52 LFCIB | skóre: 19 | blog: LFCIB | /home/lfcib
Rozbalit Rozbalit vše Re: Přístup k internetu proti jménu a heslu na serveru

Díky, o RADIUSu vím, myslel jsem ale, že je to jen na wifi. Děkuji za tip, ověřím to.

LFCIB

-=:L:i:N:u:X:=-<=>-=:4:e:V:e:R:=- Vyhovuje mi Debian GNU/Linux

16.2.2006 08:04 anon123 | skóre: 35 | blog: ganomi
Rozbalit Rozbalit vše Re: Přístup k internetu proti jménu a heslu na serveru

A IPcka budou staticky? To je vrazda.

16.2.2006 08:12 LFCIB | skóre: 19 | blog: LFCIB | /home/lfcib
Rozbalit Rozbalit vše Re: Přístup k internetu proti jménu a heslu na serveru

Omluva - nenapsal jsem, že stanice jsou uživatelé internetu, který jim prodávám. Tím se snad celý charakter požadovaného řešení vysvětluje. Nechtěl bych používat řešení s LDAP a Radiusem i když by se to dobudoucna mohlo hodit i pro wifi, chci to řídit centrálně a nevidim v tom problem, že by to technicky nešlo, jen hledam pokud možno nejjednodušší řešení co je pokud možno hotové. S ip na pevno se nepočítá, nevidim nikde bariéru použít dhcp.

Děkuji za reakce

LFCIB

-=:L:i:N:u:X:=-<=>-=:4:e:V:e:R:=- Vyhovuje mi Debian GNU/Linux

16.2.2006 17:48 Jirka | skóre: 36
Rozbalit Rozbalit vše Re: Přístup k internetu proti jménu a heslu na serveru

Predpokladam, ze asi pouzije staticke dhcp.

12.8.2006 20:34 LFCIB | skóre: 19 | blog: LFCIB | /home/lfcib
Rozbalit Rozbalit vše Re: Přístup k internetu proti jménu a heslu na serveru

Dobrý den, nyní je pro mě znovu aktuální tato záležitost. Hlavně pro připojení přes WiFi. Přemýšlel jsem jak to udělat co nejjednodušeji. Žádám o zkritizování a nahození všech možných negativ mého návrhu.

Na bráně do internetu, což je Linuxový serveřík který zajišťuje shaping atd, by byl Apache + PHP přístupný pouze přes SSL, běžela by tam MySQL db kde budou jména a hesla svázaná na IP adresu. Implicitně bude zakázán forward do Internetu. Uživatel si otevře stránku a zadá přihlašovací údaje. Server ověří jestli je požadavek ze správné IP adresy souhlasící k uživatelskému jménu a heslu, a jestli ano, přidá do iptables pravidlo povolující forward. Poté se každý den brzy ráno spustí přes Cron script, který zakáže forward pro všechny a zároveň vytáhne z ARP tabulky všechny IP adresy co za poslední dobu komunikovaly na daném rozhraní a pro ty pravidlo ihned zase povolí (pro případ že by někdo přes noc něco stahoval). Každý den by musel uživatel aktivovat své připojení. Jednoduše by měl uložené údaje v prohlížeči a mohl by si na svém účtu nastavit startovací stránku na kterou bude přesměrován ihned po odkliknutí přihlášení. Pokud uživatel zadá své údaje na jiném PC s jinou IP, tak mu to zaprvé nepůjde a za druhé mě to upozorní.

Vidí v tom někdo nějaké nedostatky, co jsem nedomyslel?

Děkuji

LFCIB

-=:L:i:N:u:X:=-<=>-=:4:e:V:e:R:=- Vyhovuje mi Debian GNU/Linux

13.8.2006 09:54 artec | skóre: 24
Rozbalit Rozbalit vše Re: Přístup k internetu proti jménu a heslu na serveru

Ano, to neni spatny zpusob, podobne reseni ma hodne wifi ISP.

Ja bych to jeste trochu zdokonalil z inspirace jednoho prispevku vyse. Urcite bych nepouzival staticke IP adresy, ale resil bych autentizaci proti MAC adrese. Po prihlaseni bych pouze pridelenou IP svazal s MAC.

Takze:

Na igw by byl Linux s Apache, php, mysql, ssl. V databazi by bylo: login, password, user MAC a popripade i rychlost.

Implicitne bude zakazany forward do internetu, jakykoliv pozadavek na port 80 bude nasmerovan na port 80 lokalniho serveru s linuxem. Po zadani uzivatelskeho jmena a hesla by doslo k overeni jeho MAC adresy. Pokud by vse souhlasilo, tak by doslo k pridani pravidel: A to zaroven jak do IPtables, tak zaroven i do cronu. V iptables by byl povolen forward. V cronu by bylo, ze se (napriklad) kazdych 5 minut provede na danou IP adresu 5 pingu, kdyz ani jeden neprojde, tak vsechno, co se stalo pri prihlasni smaz.

Na vytvoreni by to nebylo ani slozite, si myslim.

Artec

13.8.2006 16:05 LFCIB | skóre: 19 | blog: LFCIB | /home/lfcib
Rozbalit Rozbalit vše Re: Přístup k internetu proti jménu a heslu na serveru

Dobrý den, děkuji za reakci. S MAC adresami bych to rád svázal a bylo by to jistě ještě lepší řešení, ale. Mám jedno "ale" a to je určitá topologie. Mám jeden server jako igw a nejradši bych odtamtud řídil všechen shaping a ověřování uživatelů, kvůli jednoduché správě. Server má několik síťovek a jedna z nich do netu. Na zbylých síťovkách budou připojeny jiné servery kde budou PCI WiFi karty, na nich připojeni WiFi klienti, kteří mohou a nemusí mít za sebou síť(příklad připojení celeho baráku jedním WiFi klientem a po baráku kabel). Takže se to bude všude možně routovat, tzn. MAC adresy nebudu moci obhospodařovat z centrálního serveru, protože jak je známo přes router MAC pc za ním(bez nějakého ošéfování klonováním) neprojde. Otázka je, zdali to řídit vše na igw nebo to mít na každém serveru duplicitně (což nechci). Co doporučujete? Otázka je jak v tomto případě aplikovat DHCP což by mi hodně ulehčilo v případě jakýchkoli změn.

Ke zneužití přihlášeného účtu by došlo v případě, že si majitel účtu vypne pc a narušitel si nastaví jeho ip adresu, bude mít povolen forward, protože ten dle mého řešení bude aktivní do rána, a ráno systém zjistí že stahuje a nechá ho dále dokud nepřijde oprávněný majitel a nezapne počítač - pak nevím co se stane, komu z nich to půjde a komu ne. Jak píšete, že bych pingal na pc uživatele, to by znamenalo otravovat ho klidně několikrát denně s přihlašováním(třeba si vypne a zapne pc) a zvýšenou zátěž na sití(což nevidím jako největší problém nyní ale do budoucna). Jde to do kolize s komfortem pro uživatele, ale bylo by to odolnější vůči narušitelům to je pravda.

Pokud je tu někdo poskytovatel, mohl by mi prosím napsat jaké řešení používá a jaká to má uskalí?

Děkuji

LFCIB

-=:L:i:N:u:X:=-<=>-=:4:e:V:e:R:=- Vyhovuje mi Debian GNU/Linux

13.8.2006 16:12 Zdeněk Burda | skóre: 61 | blog: Zdendův blog | Praha
Rozbalit Rozbalit vše Re: Přístup k internetu proti jménu a heslu na serveru

A co donutit uživatele aby nechávali otevřený browser a v něm nechat běžet jednoduchou aplikaci v javascriptu, která bude komunikovat se serverem?

Uživatel se přihlásí, naskočí mu malé okénko které bude obsahovat tuto aplikaci a když ho zavře nebo odpojí od sítě, aplikace přestane komunikovat se serverem a daná session pro uživatele bude ukončena a na serveru bud zakázán přístup ven.

Má to výhody i v tom, že je tak možné zasílat zprávy uživatelům o tom kolik zrovna stáhli dat a podobně.

-- Nezdar není hanbou, hanbou je strach z pokusu.

13.8.2006 16:27 LFCIB | skóre: 19 | blog: LFCIB | /home/lfcib
Rozbalit Rozbalit vše Re: Přístup k internetu proti jménu a heslu na serveru

Přeji dobrý den.

A co donutit uživatele

To je asi největší problém, technicky si to dovedu představit, myslím si ale, že by to dost obtěžovalo uživatele. Na starších počítačích by to znamenalo mít v paměti prohlížeč, nebo další panel. Ale nápad to není špatnej, jen bych chtěl, aby se to moc nelišilo od toho na co jsou lidi zvyklí a bylo to rychlé a jednorázové.

Napadá mě také řešení pomocí ssh. Udělat nějakého zástupce na kliknutí, tím by se automaticky spustit klient ssh a připojil k serveru(tam by měl každý uživatel třeba klasický Linuxový účet) který ho automaticky ověří, po připojení by se nespustil bash, ale přímo script/program, který by povolil forward pro tu IP adresu. Pak si dovedu představit ověřování aktivity uživatele i několikrát denně a podle toho zakázat forward, a to ověřováním z ARP tabulky, ušetřím tak síti od pingů a nejsem limitován funkčností pingu. Co na to říkáte?

Díky

LFCIB

-=:L:i:N:u:X:=-<=>-=:4:e:V:e:R:=- Vyhovuje mi Debian GNU/Linux

13.8.2006 18:12 artec | skóre: 24
Rozbalit Rozbalit vše Re: Přístup k internetu proti jménu a heslu na serveru

OK, pokud se tedy jedna o rozlehlou sit, tak je overovani podle MAC nerealne. Nemohl jsem tusit, jakou mate topologii site. Pri navrhu jsem predpokladal, ze mate 1 igw, a k ni pripojenych nekolik transparentnich wifi v rezimu AP. Na ne se potom napojuji klienti, co jedna wifi, to jeden klient.

Pokud jsou ale na siti nejake netransparentni prvky (napr ovis 1120AP v rezimu klient), tak overovani podle MAC selhava, protoze jsou vsichni klienti (treba celej panelak) videt za 1 MAC adresou.

Jak jsem popisoval v prispevku vyse navrhovane reseni, tak by bylo pro toto pouziti naprosto nevhodne. Reseni s otevrenym oknem a javascriptem od Zdenka Burdy je nejcastejsi pouzivane reseni u wifi ISP, videl jsem to mockrat.

Ma to ovsem svoje ale:

- Jedno otevrene okno zatezuje pc

- klientum se sekne IE a za chvili se musi opet prihlasit

- stava se na ne prilis kvalitnich linkach, ze se stranka s javascriptem neobnovi -> opet nove prihlaseni

V tomto pripade je nejelegantnejsi reseni z meho pohledu pomoci VPN. Fungovalo by to asi takto: Jeden server linux jako igw, na nem pobezi PPTP, DHCP, sharping. DHCP prideluje IP vsem prvkum site bez rozdilu z nejakeho neverejneho rozsahu (napriklad 10.0.x.x). Tyto IP by nemely pristup za server. Kazdy klient by mel svuj login a pass. Klient by vytvoril PPTP spojeni na server s linuxem (napr. 10.0.0.1) a dostal by od serveru jinou IP (napr. z jineho rozsahu, verejnou), se kterou by mel potom pristup do netu. Klient by mel teda pristup za igw pouze pokud by mel funkci pptp spojeni. PPTP je implementovano v zakladu jiz od win95, takze nikdo nemusi nic doinstalovávat. Nastaveni u klientu je velmi jednoduche a muze byt popsano napr. na serveru (10.0.0.1), kam se dostanou vsichni, kdyz nemaji PPTP spojeni, v tom pripade by jakykoliv pozadavek na port 80 vedl na server 10.0.0.1.

Artec

13.8.2006 22:17 LFCIB | skóre: 19 | blog: LFCIB | /home/lfcib
Rozbalit Rozbalit vše Re: Přístup k internetu proti jménu a heslu na serveru

To vypadá dobře. Takže na igw stačí zprovoznit pouze PPTP a můžu s tím zacházet jako s virtuální sítí? Hledal jsem o tom více a našel jsem něco o openVP. Je na to nutné openVPN? Doporučujete toto řešení? A jak to vidíte s hardwarem? Zatím mi tam běží Celeron 700, 256RAM. Je to stejně náročné jako normální způsob, nebo ty PPTP spojení nějak více zatěžují server?

Díky, každopádně minimálně vyzkouším tuto možnost.

LFCIB

-=:L:i:N:u:X:=-<=>-=:4:e:V:e:R:=- Vyhovuje mi Debian GNU/Linux

14.8.2006 13:37 artec | skóre: 24
Rozbalit Rozbalit vše Re: Přístup k internetu proti jménu a heslu na serveru

Navrhoval jsem, ze by bylo VPN realizovano prostrednictvim protokolu PPTP. Jako PPTP-server byste mohl napriklad pouzit znamy poptop, vyuziva protokolu ppp. Pro autentizaci byste pouzil asi microsoftí MSCHAPv2.

Myslim, ze toto reseni by bylo hodne odolne proti pripadnym narusitelum, pro klienty zase pohodlne reseni, pro win2000 a XP staci, aby si stahli a spustili vami vytvoreny konfiguracni soubor, ktery jim pripojeni nastaví samo a zadaji pouze jmeno a heslo a "jakoby vytoci pripojeni".

S hw nevim, ja si zkousel pptp pouze z cvicnych duvodu pred nekolika roky mezi 4mi PC, na tom se zatizeni sledovat nedalo.

Artec

14.8.2006 13:48 jurasek | skóre: 10
Rozbalit Rozbalit vše Re: Přístup k internetu proti jménu a heslu na serveru

Doporucuji pouzit VPN PPTP, ktera je ve windows nativni. Na linuxu zkonfigurujete poptop. Pokud nebudete zapinat sifrovani provozu /hesla je prenasi sifrovane i v nesifrovanem modu/ a zapnete MSCHAP2 bude vse OK. Na stare 166MHz MMX 64MB ram jsem mel cca 20 lidi naraz a zadny problem.

14.8.2006 15:06 LFCIB | skóre: 19 | blog: LFCIB | /home/lfcib
Rozbalit Rozbalit vše Re: Přístup k internetu proti jménu a heslu na serveru

Děkuji pánové, vypadá to, že je to přesně to, co hledám. Vyzkouším to v praxi a dám vědět jestli/jak to šlape.

Zatím díky, přeji hezký den.

PS: Ještě jedna technická miniotázečka, znamená to, že když bude počítačová síť za WiFi klientem a dva počítače spolu budou chtít komunikovat /hrát hru/ tak to vše poteče přes VPN nebo je možno využít zároveň i skutečný rozsah adres, po síťovkách napřímo?

Díky

LFCIB

-=:L:i:N:u:X:=-<=>-=:4:e:V:e:R:=- Vyhovuje mi Debian GNU/Linux

16.8.2006 10:06 podlesh | skóre: 38 | Freiburg im Breisgau
Rozbalit Rozbalit vše Re: Přístup k internetu proti jménu a heslu na serveru

Mé zkušenosti s PPTP (pod windows) jsou takové, že OpenVPN je jednodušší a bezproblémové.

Pravda je, že já se zabýval zcela jiným modelem ("road warrior").

16.8.2006 15:41 LFCIB | skóre: 19 | blog: LFCIB | /home/lfcib
Rozbalit Rozbalit vše Re: Přístup k internetu proti jménu a heslu na serveru

Mohl byste prosím napsat na jaké problémy s PPTP jste konkrétně narazil? Abych měl představu co mě případně čeká. openVPN neznám, ale není to pro mou potřebu poskytovat internet trochu luxusní řešení? také aby server do netu utáhl všechny tunely od klientů(pohled do budoucna). Poraďte tedy jaké řešení je vhodnější, aby nespotřebovalo moc kapacity linky k serveru a utáhlo více tunelů k serveru.

openVPN nebo PPTP?

Co kdo používáte, kolik lidí visí na jednom stroji a jaká je hw konfigurace toho stroje a jaké datové toky proudí v tunelech. A jaká čísla padnou ve Sportce :-D

Děkuji

LFCIB

-=:L:i:N:u:X:=-<=>-=:4:e:V:e:R:=- Vyhovuje mi Debian GNU/Linux

15.8.2006 12:34 Pavel Stárek | skóre: 43 | blog: Tady bloguju já :-) | Kolín
Rozbalit Rozbalit vše Re: Přístup k internetu proti jménu a heslu na serveru

Poté se každý den brzy ráno spustí přes Cron script, který zakáže forward pro všechny a zároveň vytáhne z ARP tabulky všechny IP adresy co za poslední dobu komunikovaly na daném rozhraní a pro ty pravidlo ihned zase povolí (pro případ že by někdo přes noc něco stahoval).

No nevím, školy nemám, ale lepší by bylo pro ty aktivní (pokud zrovna stahují) nedělat nic, prostě jsou připojení tak ať si stahují. Nevidím důvod aby se jim rozpadlo spojení například s ftp serverem v 98% hotového stahování, protože ne všichni používají například wget nebo d4x (a jim podobné nástroje).

Kdo chce, hledá způsob; kdo nechce, hledá důvod.

16.8.2006 15:43 LFCIB | skóre: 19 | blog: LFCIB | /home/lfcib
Rozbalit Rozbalit vše Re: Přístup k internetu proti jménu a heslu na serveru

Souhlasím

Díky za postřeh, musí se to dobře celé promyslet...

-=:L:i:N:u:X:=-<=>-=:4:e:V:e:R:=- Vyhovuje mi Debian GNU/Linux

14.8.2006 15:51 Bronislav Klapuch | skóre: 8
Rozbalit Rozbalit vše Re: Přístup k internetu proti jménu a heslu na serveru

Promiňte, ale řešení přístupu pomocí autentifikace browserem se mi zdá z pohledu klienta a v konečném důsledku i provozovatele dost divoké. Nemůžete přece předpokládat, že každý klient používá desktopovou stanici, co když zrovna provádí síťovou instalaci, co když stahuje mail, co když požívá IP telefonii... Tyhle co když uživatele pořádně omezují, a pokud nemáte nějaké řešení, je tady problém. V konečném důsledku se systém stává v zájmu "bezpečnosti" komplikovaným a vy nestačíte obsluhovat klienty, kteří si s tímto systémem nebudou vědět rady. Pokud se jedná o wifi, použil bych nějaké lepší šifrování (WPA).

14.8.2006 16:18 LFCIB | skóre: 19 | blog: LFCIB | /home/lfcib
Rozbalit Rozbalit vše Re: Přístup k internetu proti jménu a heslu na serveru

Přeji dobrý den, díky za reakci. Když si přečtete příspěvky dále, tuto možnost s prohlížečem jsem pro reálné nasazení zavrhl. Jedná se o řešení pro síť skládající se z různých technologií, kde je prilárním cílem eliminovat slabá místa těchto technologií, zejména WiFi a zajistit ochranu před zneužíváním internetové konektivity natušitelem. To znamená, že je požadavek zamezit přístupu k internetu nepovolaným, ať už se mi někde připojí ke switchi, nebo proniknou skrze šifrování co využívá WiFi.

Díky

LFCIB

-=:L:i:N:u:X:=-<=>-=:4:e:V:e:R:=- Vyhovuje mi Debian GNU/Linux

14.8.2006 20:51 LFCIB | skóre: 19 | blog: LFCIB | /home/lfcib
Rozbalit Rozbalit vše Re: Přístup k internetu proti jménu a heslu na serveru

Dobrý večer, tak jsem vyzkoušel poptop a nastavil dle návodu na poptop.org, návod pro Debian, mam Debian Sarge. Nastavil jsem přístup a připojení z Windows XP - které má nejvíce mých klientů. Vyplním jméno a heslo a připojuji se, vyskočí chyba, že řídící protokol linky PPP byl ukončen a konec. Pokud zadám schválně chybné heslo tak mi to vypíše že jsem zadal špatné přihlašovací údaje takže ta autentizace asi funguje. Je potřeba nějak speciálně nastavovat iptables? Povolil jsem vše na eth rozhraní pro spojení a pak vytvořené rozhraní ppp0(+). zapnul jsem debug log,takže přikládám, je z toho patrné, že se to spojí ale nezačnou probíhat data, tak to spadne. žádné informace jsem o tom nenašel.

Co se ukáže ve Windows

Registrace počítače do sítě
Chyba 734 - řídící protokol linky PPP byl ukončen

Co se ukáže v logu /var/log/messages

Aug 14 20:47:55 localhost pppd[9913]: Plugin /usr/lib/pptpd/pptpd-logwtmp.so loaded.
Aug 14 20:47:55 localhost pppd[9913]: pptpd-logwtmp: $Version$
Aug 14 20:47:55 localhost pppd[9913]: pppd 2.4.3 started by root, uid 0
Aug 14 20:47:55 localhost pppd[9913]: Using interface ppp0
Aug 14 20:47:55 localhost pppd[9913]: Connect: ppp0 <--> /dev/pts/1
Aug 14 20:47:55 localhost pppd[9913]: Connection terminated.
Aug 14 20:47:55 localhost pppd[9913]: Connect time 0.0 minutes.
Aug 14 20:47:55 localhost pppd[9913]: Sent 0 bytes, received 0 bytes.
Aug 14 20:47:56 localhost pppd[9913]: Exit.

Není v tom nějaký jednoduchý háček?

Děkuji

LFCIB

-=:L:i:N:u:X:=-<=>-=:4:e:V:e:R:=- Vyhovuje mi Debian GNU/Linux

15.8.2006 11:31 secido | skóre: 27
Rozbalit Rozbalit vše Re: Přístup k internetu proti jménu a heslu na serveru

Co tak skusit standardne pptpd?

15.8.2006 11:35 LFCIB | skóre: 19 | blog: LFCIB | /home/lfcib
Rozbalit Rozbalit vše Re: Přístup k internetu proti jménu a heslu na serveru

Dobrý den, tomu nerozumím, vždyť to je pptpd.

apt-get install pptpd

LFCIB

-=:L:i:N:u:X:=-<=>-=:4:e:V:e:R:=- Vyhovuje mi Debian GNU/Linux

15.8.2006 13:02 jurasek | skóre: 10
Rozbalit Rozbalit vše Re: Přístup k internetu proti jménu a heslu na serveru

Dobry den. Jak to mate s nastavenim sifrovani ? Ma vas poptop podporu pro sifrovani ? Pokud ne zkuste podle tohoto navodu, obr. 11 zakazat sifrovani klientove z tech widli. http://www.osu.cz/cit/dokumenty/vpn.pdf . Dejte vedet, kdyztak budeme patrat dale. Pokud to nebude stale ono, poslete mi mail a ja Vam poslu funkcni konfiguraky poptopu.

15.8.2006 21:22 LFCIB | skóre: 19 | blog: LFCIB | /home/lfcib
Rozbalit Rozbalit vše Re: Přístup k internetu proti jménu a heslu na serveru

Dobrý večer, tak jsem zkusil vypnout šifrování v MS Windows a stále stejný problém. Vytáhl jsem ještě log z syslogu a zjistil jsem že je to šifrování nastavené i v configu pptpd, takže jsem ho zakomentoval a už jsem se připojil(+ vypnuté šifrování na klientu v MS Windows jak jste mi poradil). Zkusim to otestovat, jestli je to použitelné. Také zkusím jestli odchytím heslo při autentizaci. Cílem je samozřejmě rozchodit i šifrování ale to až na konec až se rozhodnu definitivně pro toto řešení. Prozadím děkuji zúčastněným. Určitě sem ještě napíšu jak to šlape a na co jsem narazil. S přátelským pozdravem LFCIB

gw:/etc/init.d# cat /var/log/syslog | grep 21:00
Aug 15 21:00:01 localhost /USR/SBIN/CRON[20812]: (root) CMD (if [ -x /usr/bin/mrtg ] && [ -r /etc/mrtg.cfg ]; then env LANG=C /usr/bin/mrtg /etc/mrtg.cfg >> /var/log/mrtg/mrtg.log 2>&1; fi)
Aug 15 21:00:01 localhost /USR/SBIN/CRON[20813]: (netmrg) CMD (/usr/bin/netmrg_cron.sh)
Aug 15 21:00:28 localhost pptpd[11044]: warning: /etc/hosts.allow, line 13: missing ":" separator
Aug 15 21:00:28 localhost pptpd[20828]: CTRL: Client 89.102.204.59 control connection started
Aug 15 21:00:28 localhost pptpd[20828]: CTRL: Starting call (launching pppd, opening GRE)
Aug 15 21:00:28 localhost pppd[20829]: Plugin /usr/lib/pptpd/pptpd-logwtmp.so loaded.
Aug 15 21:00:28 localhost pppd[20829]: pptpd-logwtmp: $Version$
Aug 15 21:00:28 localhost pppd[20829]: pppd 2.4.3 started by root, uid 0
Aug 15 21:00:28 localhost pppd[20829]: using channel 46
Aug 15 21:00:28 localhost pppd[20829]: Using interface ppp0
Aug 15 21:00:28 localhost pppd[20829]: Connect: ppp0 (--> /dev/pts/1
Aug 15 21:00:28 localhost pppd[20829]: sent [LCP ConfReq id=0x1 (asyncmap 0x0> (auth chap MS-v2> (magic 0x2d19cd64> (pcomp> (accomp>]
Aug 15 21:00:28 localhost pptpd[20828]: GRE: Bad checksum from pppd.
Aug 15 21:00:28 localhost pppd[20829]: rcvd [LCP ConfReq id=0x0 (mru 1400> (magic 0x251c07d9> (pcomp> (accomp>]
Aug 15 21:00:28 localhost pppd[20829]: sent [LCP ConfAck id=0x0 (mru 1400> (magic 0x251c07d9> (pcomp> (accomp>]
Aug 15 21:00:28 localhost pppd[20829]: rcvd [LCP ConfAck id=0x1 (asyncmap 0x0> (auth chap MS-v2> (magic 0x2d19cd64> (pcomp> (accomp>]
Aug 15 21:00:28 localhost pppd[20829]: sent [LCP EchoReq id=0x0 magic=0x2d19cd64]
Aug 15 21:00:28 localhost pppd[20829]: sent [CHAP Challenge id=0xbb (3441759fcfa42e18bf54a6f6d697e32d>, name = "pptpd"]
Aug 15 21:00:28 localhost pptpd[20828]: CTRL: Ignored a SET LINK INFO packet with real ACCMs!
Aug 15 21:00:28 localhost pppd[20829]: rcvd [LCP EchoRep id=0x0 magic=0x251c07d9]
Aug 15 21:00:28 localhost pppd[20829]: rcvd [CHAP Response id=0xbb (6a644239a863ae3a860b3fdddc1da3cc0000000000000000f7127afaaa210acfe652ea08ac85efb4c6703e5f42feeed000>, name = "hovno"]
Aug 15 21:00:28 localhost pppd[20829]: sent [CHAP Success id=0xbb "S=E8D7A0383C746CFEDB05B436795973F17C144443 M=Access granted"]
Aug 15 21:00:28 localhost pppd[20829]: MPPE required, but kernel has no support.
Aug 15 21:00:28 localhost pppd[20829]: sent [LCP TermReq id=0x2 "MPPE required but not available"]
Aug 15 21:00:28 localhost pppd[20829]: rcvd [CCP ConfReq id=0x1 (mppe +H -M -S -L -D -C>]
Aug 15 21:00:28 localhost pppd[20829]: Discarded non-LCP packet when LCP not open
Aug 15 21:00:28 localhost pppd[20829]: rcvd [IPCP ConfReq id=0x2 (addr 0.0.0.0> (ms-dns1 0.0.0.0> (ms-wins 0.0.0.0> (ms-dns3 0.0.0.0> (ms-wins 0.0.0.0>]
Aug 15 21:00:28 localhost pppd[20829]: Discarded non-LCP packet when LCP not open
Aug 15 21:00:28 localhost pppd[20829]: rcvd [LCP TermAck id=0x2 "MPPE required but not available"]
Aug 15 21:00:28 localhost pppd[20829]: Connection terminated.
Aug 15 21:00:28 localhost pppd[20829]: Connect time 0.0 minutes.
Aug 15 21:00:28 localhost pppd[20829]: Sent 0 bytes, received 0 bytes.
Aug 15 21:00:28 localhost pptpd[20828]: CTRL: Reaping child PPP[20829]
Aug 15 21:00:28 localhost pppd[20829]: Exit.
Aug 15 21:00:29 localhost pptpd[20828]: CTRL: Client 89.102.204.59 control connection finished
gw:/etc/init.d#

-=:L:i:N:u:X:=-<=>-=:4:e:V:e:R:=- Vyhovuje mi Debian GNU/Linux

16.8.2006 09:27 jurasek | skóre: 10
Rozbalit Rozbalit vše Re: Přístup k internetu proti jménu a heslu na serveru

Dobry den
Tento radek rika ze se pokousite zapnout sifrovani. K tomu ale potrebujete mit patch do jadra, ktery umoznuje MPPE /Microsoft Point-To-Point Encryption Protocol/.http://mppe-mppc.alphacron.de/ V jadrech od tusim 2.6.14 uz je podpora bez patche.
Aug 15 21:00:28 localhost pppd[20829]: MPPE required, but kernel has no support.

15.8.2006 15:47 artec | skóre: 24
Rozbalit Rozbalit vše Re: Přístup k internetu proti jménu a heslu na serveru

mam pocit, ze pptpd zapisuje i do /var/log/syslog, tam by mohlo byt vic info. K autentizaci pouzijte pouze ms chapv2.

Pokud se jedna o dotaz vyse, tak pokud se budou hraci spojovat pres ip adresy pridelene pres dhcp, tak by se meli spojit. (ve win by snad melo zustat nastaveni routovani spravne i po pripojeni vpn)

28.5.2008 13:55 maWek
Rozbalit Rozbalit vše Re: Přístup k internetu proti jménu a heslu na serveru

Zdravim panove, IMHO na tu primou komunikaci mezi klienty pozor. Napriklad kdyz si jeden koumes v siti zridi napr. DC++ server, ostatni se pripoji na jeho (ve vasi siti) vnitrni IP a zacnou nezrizene komunikovat. Treba i timhle pocitat. Omezovat pocet moznych vzajemnych spojeni klientu, aplikovat QOS i pro komunikaci klient-klient. IMHO bych to spis resil tak, ze na vyzadani by dostali bud verejnou IP, nebo alespon forwardovany port ze spolecne verejne.

Založit nové vlákno • Nahoru

Tiskni Sdílej: