אהלן,

(כתבתי בסעיפים, מקווה שיהיה ברור)

פרטים טכניים של הסביבת עבודה (מעבדה): 4 מכונות וירטואליות המחוברת ברשת וירטואלית פרטית. (שרת AD DS Windows 2008 R2 , שלושה לקוחות עם Win 7 Ultimate המחוברות לדומיין).

מה אני מנסה לעשות: לבנות רשת פרטית עם חיבור לאינטרנט על בסיס הרשאות משתמש.

מה חשבתי לעשות: במקום לחבר ראוטר לרשת הפנימית (ככה זה היה במצב הקיים ולא יכולתי לעשות בקרה נוחה על השימוש באינטרנט), לחבר מודם אינטרנט ישירות לשרת ולנהל דרכו את החיבורים.

איפה נתקעתי: חיברתי ל-Win2008 גישה לאינטרנט באמצעות כרטיס רשת נוסף. הקמתי שרת NAT על ה-WIN2008 והתעבורה עוברת דרכו ללקוחות (הלקוחות עם ה-Win7 מקבלים אינטרנט אוטומאטית עם החיבור לדומיין).

הבעיה שאני לא מצליח להגביל את הקישוריות לאינטרנט על בסיס יוזר וכל אחד שמחובר לדומיין יכול להתחבר לאינטרנט חופשי. התקנתי גם NPS וניסיתי דרך ה-Policy להגביל אך ללא הצלחה (אולי לא עשיתי את זה נכון?)

אשמח אם תוכלו בבקשה להסביר לי איך אני יכול להגביל בכל זאת את הגישה לאינטרנט (כל שיטה נוחה תתקבל בברכה).

תודה רבה.

נערך 2013 בדצמבר 511 שנים על-ידי Satlan

מה הכוונה שלך בלהגביל את הגישה לאינטרנט:

להגביל נפח

להגביל שעות

להגביל כתובות לגלישה

תסביר

להגביל שימוש. אני מעוניין שיוזר X יקבל קישור לאינטרנט, יוזר Y לא.

אתה צריך RAS ולא רק NAT. תחשוב איך ספקי אינטרנט מנהלים חיבור של לקוחות קצה.

הקמתי את ה-NAT בעזרת RAS אך בחרתי רק באופציית NAT. לפי המתודה שלך (מעניין מאוד אגב), תקן אותי אם אני טועה, אני צריך להתקין VPN וגם NAT ?

--

לא, חשבתי על זה, אין היגיון במה שאמרתי. כן יש RAS מותקן, השאלה איך אני קובע את החוקים מי יכול להשתמש בזה (ממש נראה שPOLICY דרך ה-NAS זו הדרך, אבל אני לא מבין איך זה אמור להראות)

נערך 2013 בדצמבר 511 שנים על-ידי Satlan

בדיוק כמו שאתה מספק גישה לרשת שלך עם רעיון של VPN, אתה גם יכול לספק גישה לרשת האינטרנט.

ככה בדיוק עובד ISP, רק שהRAS שלו עובד על אימות RADIUS. מה שאתה רוצה להשיג זה בדיוק מה שחברת הISP עושה.

המתמשים "יחייגו" אליך ואתה תאמת אותם מול AD DS במקום RADIUS. אחרי authentication אתה תקבע את ה authorization (כמו למשל חברות בקבוצה של AD) ובכך המערכת תדע למי לתת "לצאת החוצה".

תודה על התשובה.

קצת הסבכתי בקנפוג של ה-RADIUS ובביצוע authentication. אם יש לך קישור למדריך רלוונטי אשמח. אין דרך לעשות את זה ללא שימוש בחייגן?משהו כמו לתת לכל היוזרים בgroup policy מסויים certificate שמותקן להם ביוזר וככה השרת ידע לזהות מי יכול ומי לא?

איך המשתמשים יקבלו גישה ללא יצירת תעלה או שער לאותה רשת?

תחשוב שוב על הדרך בה לקוחות קצה מקבלים גישה לרשת אחרת ולא משנה איזה דרך איזה טכנולוגיה.

ושוב, מדובר פה מתן גישה פר משתמש לsession.

במקום לתת גישה לLAN אתה נותן גישה לWAN.

אני מבין מה שאתה אומר. אבל בפועל כשהרשת מחוברת וה-NAT פועל בעזרת RAS, אז כל אחד המחובר לשרת מקבל tunnel אוטומאטית. למה אני לא יכול לקבוע כלל שאומר שמחשב לא מקבל כתובת מה-NAT אם הוא לא נמצא תחת GROUP כלשהו?

זה לא tunnel אלא directly connected route. זה כמו שתגיד שיש tunnel בין המחשב שלך לנתב בבית.

לעומת זאת, מודם שמתחבר לPOP של ספק שרותי תשתית WAN או ספק שירותי ISP אכן נכנס לתוך tunnel. יש לך גם את שלושת שלבי הAAA בדרך.

אתה לא יכול לייצר session על בסיס אימות שהוא כניסה לפרופיל משתמש במערכת הפעלה. בטח לא עם הסט כלים של Windows server.

תנסה רגע לחשוב בעצמך איך היית ממש משהו כזה.

מתוחכם, הבנתי, תודה.

שורה תחתונה, בראיה מגבוהה, אני צריך לבטל את ה-NAT ולהזין את המודם אינטרנט כRADIUS CLIENT, ולאחר מכן ליצור authentication בעזרת חייגן מכל משתמש ?

אתה לא צריך RADIUS. נתתי דוגמא של RADIUS כ authentication provider אצל ISP.

במקרה שלך, כל לקוחות הקצה הם יישויות מסוג משתמש בתוך הAD שלך.

נערך 2013 בדצמבר 611 שנים על-ידי multicore

אוקי, תוכל בבקשה להסביר לי מה הדרך לעשות את זה? גם בכותרות יהיה אחלה..

תודה רבה על כל ההסברים והסבלנות.

נערך 2013 בדצמבר 611 שנים על-ידי Satlan

תחפש בגוגל Internet access via windows server ras. כבר עכשיו ראיתי, בסלולרי, הרבה מאמרים טכניים שמייקרוסופט פירסמו.

מעולה, תודה רבה. אתחיל לקרוא בקרוב. אם יהיו שאלות בהמשך אעלה אותן לשרשור הזה.