hallo forum,

ich habe ein "kleines" problem bei der planung/realisierung eines netzes.
dazu etwas ascii-art

i-net
|
|
debian
|
|
switch
| | | |___PC
| | |_______PC2
| |____________PC3
|______________________PC4
usw

das aus meiner sicht eigentliche problem liegt darin das ich die nutzer an den einzelnen geräten möglichst sicher und zuverlassig an dem debian-router anmelden sollen um ÜBERHAUPT eine verbindung zum netz, bzw den zugang zum i-net zu bekommen.
das einzige was mir bisher dazu eingefallen ist das es ein i-net provider ja eigentlich so in der art auch machen müsste. und die nutzen ja, dsl sei dank, PPPoE :-)

ich bin für jeden tip der mir weiter hilft dankbar

PS: vorschläge wie nach der MAC der clienten zu gehen erscheinen mir unsinnig, da es nicht nur um 10 oder 20 rechner geht die ans netz sollen.

hast du schon an einen proxy gedacht? wäre eine überlegung wert...

ansonsten warum müssen die sich so dringend identifizieren? ist das lokale netz nicht vertrauenswürdig?

greetz

ja, an einen Proxy habe ich bereits gedacht, nur müsste man dann evtl damit leben das die user des netzes alle ihre mails usw per web-interface beim betreiber abholen müssten und man alles andere per iptables verbeitet.
das ist aber genau der punkt mit dem ich nicht "leben kann" ;)

es soll für die nutzer ein netz werden in dem sie nach der verbindung zum router/ server tun und lassen können was sie wollen, sowohl intern als auch im www. eben nur mit der einschränkung das alles was nach drausen geht durch den router muss und man dort einen gültigen account haben muss um weiter zu kommen.

die nutzer identifizierung brauche ich um dem verursachten trafic dem einzelnem user zu zu ordnen und entsprechend der menge zu behandeln. ( abschalten, ports drossen oder ähnliches << nur eben nicht für das ganze LAN sondern für einzelne nutzer )

Daher ist es nicht grad sehr klug denk ich mal das ganze über IP's oder MAC's zu machen, denn nichts ist schneller geändert ;)





ansonsten warum müssen die sich so dringend identifizieren? ist das lokale netz nicht vertrauenswürdig?
kannst du in einem netz mit mehr als 10, 20, 30 oder mehr usern immer jedem trauen ? also mir wär das zu gewagt

eine idee wäre es die in verschiedene subnetze zu hauen... somit hat jede "partei" ein eigenes netz, welches über den router verbunden wird...
wenn die dann was falsch einstellen, dann funktioniert des netz nicht mehr richtig... wäre schonmal ein indiz dafür wenn einer pfuscht...
wie des mit der anmeldung funktioniert, weiß ich nicht so ganz..
1. ppp scheidet da meines wissens nach aus, weil des ein layer 2 protocol ist... (was ja im LAN die MAC ist ;))
2. vpn technisch ist des vielleicht zu viel aufwand...
3. aber nach der MAC filtern wäre nicht schlecht, darfst halt keine neuen zulassen, sondern nur bekannte... und nicht jeder hat das wissen seine mac zu ändern...
4. layer 7 switching wäre auch noch etwas, aber des ist wirklich sehr viel aufwand und da läuft dann einiges nicht mehr...
5. bei deinem aufbau wird dann z.b. ICQ beim dateiempfang rumspacken, weil der router ja nicht weiß an welchen icq-client er es schicken muss...

greetz

ich hatte auch schon die überlegung angestellt den DHCP auf die MAC adressen ein zu stellen, nur man braucht leider nicht sehr viel wissen um die MAC zu ändern [1], das ist das was mich stört.

mir wäre es halt am liebsten wenn jeder benutzer ein passwort bekommt mit dem er sich an der maschine die den router darstellt anmelden muss um zugang zum internet erhalten.

vpn werd ich mir mal ansehen, denn der aufwand bei der ganzen sache ist eigentlich relativ egal, solange es nur zeit beansprucht und kein geld :-)


MfG Peter

[1] http://www.google.de/search?hl=de&q=mac+adresse+f%C3%A4lschen&btnG=Suche&meta=lr%3Dlang_de

hab hier nen netten link gefunden ;)
http://pronix.de/pronix-935.html

hab hier nen netten link gefunden ;)
http://pronix.de/pronix-935.html

guten morgen,

vielen dank für den link. hast du das mit der trafficanalyse schon mal versucht?
denn das ist der eigentliche grund weswegen ich die user nicht nur nach IP bzw MAC identifizieren wollte ;)

ich habe ein "kleines" problem bei der planung/realisierung eines netzes.

das aus meiner sicht eigentliche problem liegt darin das ich die nutzer an den einzelnen geräten möglichst sicher und zuverlassig an dem debian-router anmelden sollen um ÜBERHAUPT eine verbindung zum netz, bzw den zugang zum i-net zu bekommen.

ich bin für jeden tip der mir weiter hilft dankbar

es soll für die nutzer ein netz werden in dem sie nach der verbindung zum router/ server tun und lassen können was sie wollen, sowohl intern als auch im www. eben nur mit der einschränkung das alles was nach drausen geht durch den router muss und man dort einen gültigen account haben muss um weiter zu kommen.

die nutzer identifizierung brauche ich um dem verursachten trafic dem einzelnem user zu zu ordnen und entsprechend der menge zu behandeln. ( abschalten, ports drossen oder ähnliches << nur eben nicht für das ganze LAN sondern für einzelne nutzer )

Da gibt es eine sehr einfache Antwort:
Dante (http://www.inet.no/dante/)

cu/2 iae