[uanog] =?utf-8?Q?=D0=BE=D1=84=D1=96=D1=81=D0=BD=D0=B0_=D0=BC=D0=B5=D1=80=D0=B5=D0=B6=D0=B5=D0=B2=D0=B0_=D0=86=D0=A2-=D1=96=D0=BD=D1=84=D1=80=D0=B0=D1=81=D1=82=D1=80=D1=83=D0=BA=D1=82=D1=83=D1=80=D0=B0_?=- як правильно?

Fri Aug 20 09:52:48 EEST 2021

З VPN server я би зробив так: на усіх портах включаємо _тільки_ Інтернет і підключаємо усі компи. Для доступу до офісної мережі кожний користувач запускає ВПН клієнт. Бонуси: не потрібно міняти мак адреси і ти готовий до наступного локдауну.

Прінтери, камери і таке інше треба підключити до окремого (або окремих) вланів з ACLs на кожному з них

Максим
On 19 Aug 2021, 07:37 +0200, Oleh Hrynchuk <oleh.hrynchuk at gmail.com>, wrote:
>
>
> > ср, 18 серп. 2021 о 22:19 Maksym Tulyuk <maksym at tulyuk.com> пише:
> > > Привіт!
> > >
> > > Твоя задача ідеально вписуєтся в 802.1х, але якщо світчі не вміють, то я би створював web формочку, яка запускає скрипти що включают чи виключают порти.
> > >
> >
> > та знаю, що 802.1х вирішував би питання... не вміють світчі його :(
> >
> > > В тебе VPN server є?
> > >
> >
> > Угу. на базі ocserv docker (a la Cisco AnyConnect)
> >
> >
> > > Максим
> > > On 18 Aug 2021, 06:12 +0200, Oleh Hrynchuk <oleh.hrynchuk at gmail.com>, wrote:
> > > > Всім доброго дня.
> > > >
> > > > А як зараз елеґантно вирішують стандартну задачу MAC-based filtering при підключенні до офісної LAN? Щоби ніякий гість не втикнувся своїм лептопом у вільну ethernet-розетку на офісі. Якщо хоче - нехай юзає WiFi для доступу в Інтернет, але ресурси офісної сітки для нього мють бути закриті
> > > >
> > > > Вихідні дані:
> > > > 1. Port based VLANs на кількох світчах Mikrotik CSS326-24G-2S+RM (на жаль не вміють 802.1x)
> > > > 2. Mikrotik hex S (iGS760) "router on stick", що розрулює усі ці VLANs. На нього заходить також шнурок від ISP
> > > > 3. На цьому ж роутері для кожної VLAN свій DHCP-server з окремим DHCP pool
> > > > 4. До деяких портів CSS326 підключені "wifi-мильниці" TP-Link та ZyXEL.
> > > > 5. Цих "мильниць" штук 5-6. Всі в режимі роутерів. Отримують свої WAN ІР-адреси по static DHCP з роутера hex S. І роздають WiFi для тих, хто фізично не може дотягнутися до ethernet-розеток. Ну і надають також свої ethernet-порти для підключення до офісної LAN
> > > >
> > > > Що хочу:
> > > >
> > > > 1. Виділити WiFi в окрему VLAN і від"єднати її від офісної "робочої" мережі. Залишити цю "WiFi VLAN" виключно для доступу guests в Internet. "Робоча" офісна LAN має бути виключно на ethernet.
> > > > 2. Фільтрувати доступ до LAN по MAC-адресах клієнтів. Список усіх МАС-адрес робочих станцій наших офісних працівників вже зібрав
> > > > 3. Було би дуже добре мати якийсь свій офісний LDAP-сервак з усією інформацією про юзерів, групи, права доступу, і звідти брати усю інформацію при спробах юзерів отримати якийсь ІТ-сервіс
> > > >
> > > >
> > > > Як тут правильно все зробити?
> > > > На гадку спадає OpenLDAP з інформацією про юзерів-групи + FreeRadius, до якого звертатиметься hex S router при видачі IP-адрес end users.
> > > > Типу:
> > > > EndUser --> router DHCP --> FreeRadius --> OpenLDAP і відповідь в зворотному порядку.
> > > >
> > > > --
> > > > Regards,
> > > > /oleh hrynchuk
> > > > _______________________________________________
> > > > uanog mailing list
> > > > uanog at uanog.kiev.ua
> > > > https://mailman.uanog.kiev.ua/mailman/listinfo/uanog
> > > _______________________________________________
> > > uanog mailing list
> > > uanog at uanog.kiev.ua
> > > https://mailman.uanog.kiev.ua/mailman/listinfo/uanog
>
>
> --
> Regards,
> /oleh hrynchuk
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.uanog.kiev.ua/pipermail/uanog/attachments/20210820/d1174b0e/attachment-0001.html>