הגבלת מחשבים מלגשת לקישור NAT ב-AD DS - טכנולוגיית מידע - IT - HWzone פורומים
עבור לתוכן
  • צור חשבון

הגבלת מחשבים מלגשת לקישור NAT ב-AD DS


Satlan

Recommended Posts

אהלן,

(כתבתי בסעיפים, מקווה שיהיה ברור)

פרטים טכניים של הסביבת עבודה (מעבדה): 4 מכונות וירטואליות המחוברת ברשת וירטואלית פרטית. (שרת AD DS 2008 R2 , שלושה לקוחות עם Win 7 Ultimate המחוברות לדומיין).

מה אני מנסה לעשות: לבנות רשת פרטית עם חיבור לאינטרנט על בסיס הרשאות משתמש.

מה חשבתי לעשות: במקום לחבר ראוטר לרשת הפנימית (ככה זה היה במצב הקיים ולא יכולתי לעשות בקרה נוחה על השימוש באינטרנט), לחבר מודם ישירות לשרת ולנהל דרכו את החיבורים.

איפה נתקעתי: חיברתי ל-Win2008 גישה לאינטרנט באמצעות כרטיס רשת נוסף. הקמתי שרת NAT על ה-WIN2008 והתעבורה עוברת דרכו ללקוחות (הלקוחות עם ה-Win7 מקבלים אוטומאטית עם החיבור לדומיין).

הבעיה שאני לא מצליח להגביל את הקישוריות לאינטרנט על בסיס יוזר וכל אחד שמחובר לדומיין יכול להתחבר לאינטרנט חופשי. התקנתי גם NPS וניסיתי דרך ה-Policy להגביל אך ללא הצלחה (אולי לא עשיתי את זה נכון?)

אשמח אם תוכלו בבקשה להסביר לי איך אני יכול להגביל בכל זאת את הגישה לאינטרנט (כל שיטה נוחה תתקבל בברכה).

תודה רבה.

קישור לתוכן
שתף באתרים אחרים

הקמתי את ה-NAT בעזרת RAS אך בחרתי רק באופציית NAT. לפי המתודה שלך (מעניין מאוד אגב), תקן אותי אם אני טועה, אני צריך להתקין וגם NAT ?

--

לא, חשבתי על זה, אין היגיון במה שאמרתי. כן יש RAS מותקן, השאלה איך אני קובע את החוקים מי יכול להשתמש בזה (ממש נראה שPOLICY דרך ה-NAS זו הדרך, אבל אני לא מבין איך זה אמור להראות)

קישור לתוכן
שתף באתרים אחרים

בדיוק כמו שאתה מספק גישה לרשת שלך עם רעיון של , אתה גם יכול לספק גישה לרשת האינטרנט.

ככה בדיוק עובד ISP, רק שהRAS שלו עובד על אימות RADIUS. מה שאתה רוצה להשיג זה בדיוק מה שחברת הISP עושה.

המתמשים "יחייגו" אליך ואתה תאמת אותם מול AD DS במקום RADIUS. אחרי authentication אתה תקבע את ה authorization (כמו למשל חברות בקבוצה של AD) ובכך המערכת תדע למי לתת "לצאת החוצה".

קישור לתוכן
שתף באתרים אחרים

תודה על התשובה.

קצת הסבכתי בקנפוג של ה-RADIUS ובביצוע authentication. אם יש לך קישור למדריך רלוונטי אשמח. אין דרך לעשות את זה ללא שימוש בחייגן?משהו כמו לתת לכל היוזרים בgroup policy מסויים certificate שמותקן להם ביוזר וככה השרת ידע לזהות מי יכול ומי לא?

קישור לתוכן
שתף באתרים אחרים

איך המשתמשים יקבלו גישה ללא יצירת תעלה או שער לאותה רשת?

תחשוב שוב על הדרך בה לקוחות קצה מקבלים גישה לרשת אחרת ולא משנה איזה דרך איזה .

ושוב, מדובר פה מתן גישה פר משתמש לsession.

במקום לתת גישה לLAN אתה נותן גישה לWAN.

קישור לתוכן
שתף באתרים אחרים

אני מבין מה שאתה אומר. אבל בפועל כשהרשת מחוברת וה-NAT פועל בעזרת RAS, אז כל אחד המחובר לשרת מקבל tunnel אוטומאטית. למה אני לא יכול לקבוע כלל שאומר שמחשב לא מקבל כתובת מה-NAT אם הוא לא נמצא תחת GROUP כלשהו?

קישור לתוכן
שתף באתרים אחרים

זה לא tunnel אלא directly connected route. זה כמו שתגיד שיש tunnel בין המחשב שלך לנתב בבית.

לעומת זאת, מודם שמתחבר לPOP של ספק שרותי תשתית WAN או ספק שירותי ISP אכן נכנס לתוך tunnel. יש לך גם את שלושת שלבי הAAA בדרך.

אתה לא יכול לייצר session על בסיס אימות שהוא כניסה לפרופיל משתמש במערכת הפעלה. בטח לא עם הסט כלים של server.

תנסה רגע לחשוב בעצמך איך היית ממש משהו כזה.

קישור לתוכן
שתף באתרים אחרים

ארכיון

דיון זה הועבר לארכיון ולא ניתן להוסיף בו תגובות חדשות.

×
  • צור חדש...