Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Jedna mreza, 2 proxy-ja

[es] :: Enterprise Networking :: Jedna mreza, 2 proxy-ja

[ Pregleda: 3144 | Odgovora: 13 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

skyforever
bg

Član broj: 85533
Poruke: 72
*.cpe.vektor.net.



Profil

icon Jedna mreza, 2 proxy-ja20.06.2011. u 19:33 - pre 155 meseci
Zdravo svima!

Imam jedan interesantan problem... bar se meni cini, posto to jos nisam pokusao.
Imam mrezu koja izlazi na Internet preko proxy-ja. U jednom objektu se nalazi modem, sa tog modema na L2 upravljivi switch, a onda citava mreza izlazi na Internet preko jednog proxy-ja.

Da li mogu i sta mi je od opreme potrebno da omogucim da deo portova sa switch-a ide na jedan proxy, a drugi deo na drugi proxy?

Hvala!
 
Odgovor na temu

Aleksandar Đokić

Član broj: 13478
Poruke: 4793
*.dynamic.isp.telekom.rs.



+638 Profil

icon Re: Jedna mreza, 2 proxy-ja20.06.2011. u 20:18 - pre 155 meseci
pa izmenis podesavanja za proxy :)

ako je transparent u pitanju redirektujes na drugu adresu
 
Odgovor na temu

skyforever
bg

Član broj: 85533
Poruke: 72
*.cpe.vektor.net.



Profil

icon Re: Jedna mreza, 2 proxy-ja20.06.2011. u 20:22 - pre 155 meseci
Iskreno, nisam ni pomislio da bi moglo da bude tako jednostavno :)

I jeste logicno...moram da probam. Nisam siguran da je transparent, ali provericu.
 
Odgovor na temu

skyforever
bg

Član broj: 85533
Poruke: 72
*.cpe.vektor.net.



Profil

icon Re: Jedna mreza, 2 proxy-ja20.06.2011. u 20:27 - pre 155 meseci
Mislim da ipak nije tako jednostavno... provericu sutra, pa pisem ponovo :)
 
Odgovor na temu

gogo82

Član broj: 228454
Poruke: 118



+8 Profil

icon Re: Jedna mreza, 2 proxy-ja21.06.2011. u 13:58 - pre 155 meseci
Pretpostavljam da je u pitanju HTTP proxy ... tj, da u web browser-e korisnika upisujes IP adresu proxy servera.

Najbolje rjesenje je, u tom slucaju, da se u neki DNS server (moze da se podigne u na nekoj obicnoj win masini), postavi FQDN proxy servera (npr proxy.tvojdomen.com) i da se na to DNS ime setuju IP adrese oba servera. Podesi se round robin (osobina DNS servera da za svaki upit za FQDN ime proxy.tvojdomen.com daje drugu IP adresu proxy servera i tako naizmjenicno.

Na taj nacin sec postici ravnomjerno opterecenje oba proxy servera.

Jedino u web browser-ima korisnika, sad umjeso IP adrese upisujes FQDN ime proxy.tvojdomen.com.
Pozdrav!
Gogo82
 
Odgovor na temu

skyforever
bg

Član broj: 85533
Poruke: 72
*.cpe.vektor.net.



Profil

icon Re: Jedna mreza, 2 proxy-ja21.06.2011. u 18:43 - pre 155 meseci
Ok, to je jasno. Medjutim, ja hocu da mi jedan korisnik uvek ide na jedan proxy, a drugi na drugi. Nije poenta da rasteretim proxy server, vec da na taj nacin povecam zastitu. One korisnike kojima "ne verujem" hocu da saljem na jedan proxy, a one koji su dugo u firmi, na drugi proxy.

I da, radi se o http proxy-ju.

Mozda nisam dao previse informacija, ali nisam ja podesavao proxy. To je vec odradjeno. Do mene dolazi modem, on je naravno povezan na switch (L2-upravljivi). Na tom istom switch-u su i ostali racunari. Kako sada stvari stoje, da bih razdvojio mrezu na dva proxy-ja, morao bih da imam 2 modema i 2 switch-a. U sustini, dve mreze. Hocu da nadjem resenje za to "iza modema" i da pristup proxy-ju kontrolisem samo konfigurisanjem proxy-ja u pretrazivacu.
 
Odgovor na temu

yellow pinky
Niš

Član broj: 28354
Poruke: 193
*.dynamic.isp.telekom.rs.



+13 Profil

icon Re: Jedna mreza, 2 proxy-ja22.06.2011. u 11:38 - pre 155 meseci
Nisi naveo koju opremu imaš pa ću probati na slepo.

1. Ako switch podržava VLANove a nije potrebno da se svi računari vide međusobno, i ne postoji mogućnost interVLAN rutinga podeli mrežu na 2 VLANa , i u svakom VLANu postavi po jedan proxy server kao default gatewazy koji bi bili povezani na ruter (modem).

2. Ako je potrebno da se svi vide međusobno i da budu u istom subnetu , poveži 2 proxija na switch a računarima kojima "ne veruješ" kao default gateway stavi adresu jednog od ta 2 proxija. Onima kojima "veruješ" kao defaultni gateway stavi adresu drugog proxija.

Prvom metodom izbegavaš mogućnost da korisnici sami promene defaultni gateway ka onome koji ima veći izbor internet odredišta (pod uslovom da nekom polisom nisi zabranio menjanje mrežnih parametara).
 
Odgovor na temu

skyforever
bg

Član broj: 85533
Poruke: 72
*.cpe.vektor.net.



Profil

icon Re: Jedna mreza, 2 proxy-ja22.06.2011. u 13:19 - pre 155 meseci

Switch podrzava VLAN-ove, tako da ova prva opcija dolazi u obzir. Mislim da je to to. Moram da probam, ali to ne mogu danas, pa cu javiti kako je proslo :)

Hvala svima!
 
Odgovor na temu

gogo82

Član broj: 228454
Poruke: 118



+8 Profil

icon Re: Jedna mreza, 2 proxy-ja24.07.2011. u 08:07 - pre 154 meseci
Citat:
skyforever: Ok, to je jasno. Medjutim, ja hocu da mi jedan korisnik uvek ide na jedan proxy, a drugi na drugi. Nije poenta da rasteretim proxy server, vec da na taj nacin povecam zastitu. One korisnike kojima "ne verujem" hocu da saljem na jedan proxy, a one koji su dugo u firmi, na drugi proxy.

I da, radi se o http proxy-ju.

Mozda nisam dao previse informacija, ali nisam ja podesavao proxy. To je vec odradjeno. Do mene dolazi modem, on je naravno povezan na switch (L2-upravljivi). Na tom istom switch-u su i ostali racunari. Kako sada stvari stoje, da bih razdvojio mrezu na dva proxy-ja, morao bih da imam 2 modema i 2 switch-a. U sustini, dve mreze. Hocu da nadjem resenje za to "iza modema" i da pristup proxy-ju kontrolisem samo konfigurisanjem proxy-ja u pretrazivacu.


OK. Pala mi je na pamet još jedna mogućnost ...

Znači korisnici su s obzirom na svoja prava i privilegija na sistemu podeljeni u 2 grupe i ti imaš dva proxy servera, jedna grupa korisnika treba da koristi jedan proxy server a druga grupa drugi.

Ako u svojoj mreži poseduješ domeski kontroler, možeš da uradiš sledeće:
1. na domenskom kontroleru kreiraš dvije grupe korisnika (možeš i 2 OU - organization unit na Active Directory)
2. korisničke računare dodaješ u grupe u zavisnosti od njihovih privilegija
3. na Active Directory postoji mogućnost da se za svaku grupu odredi koji proxy će da koristi i ta podešavanja se automatski primenjuju kad se korisnici uluguju na svoje radne stanice. Na njihove web browser-e se sutomatski setuju podešavanja za proxy.

Jedini nedostatak ovog rešenja je što se podeđavanja za proxy automatski setuju samo za Windows Internet Explorer browser-a, dok se za druge browsere moraju ipak ručno podešavati proxy-ji.

Ovakvo rešenje je implementirano u mojoj firmi (firma ima skoro 2400 radnika na preko 20 lokacija).
Korisnici su raspoređeni u grupe na AD uskladu sa svojim privilegijama.

Ako te zanima detaljnije rešenje mogu da ti pošaljem preko pp, samo mi javi.
Pozdrav!
Gogo82
 
Odgovor na temu

yolja624

Član broj: 9380
Poruke: 1856



+643 Profil

icon Re: Jedna mreza, 2 proxy-ja24.07.2011. u 09:04 - pre 154 meseci
Mislim da to moze jednostavnije i efektnije da se napravi.
Kupis mikrotik router i na njemu napravis sva podesavanja koja su ti potrebna za izlazak na NET. Mozes da podjelis korisnike kako god zelis...
 
Odgovor na temu

gogo82

Član broj: 228454
Poruke: 118



+8 Profil

icon Re: Jedna mreza, 2 proxy-ja24.07.2011. u 16:00 - pre 154 meseci
Citat:
yolja624: Mislim da to moze jednostavnije i efektnije da se napravi.
Kupis mikrotik router i na njemu napravis sva podesavanja koja su ti potrebna za izlazak na NET. Mozes da podjelis korisnike kako god zelis...


Nemam nekih iskustava sa MikroTik-om, ali sam predhodno resenje naveo pod uslovom da ćovek već u svojoj mreži ima neki server i na njemu windows serverski OS, dakle bez potrebe da se bilo šta kupuje.

U sluicaju da postoje neka finasijska sredstva, moze da se kupi Cisco ASA firewall i WebSense servera koji osim sto moze da igra ulogu proxy-ja u svim mogicim scenarijima Cisco ASA u kombinaciji sa WebSense moze da radi i HTTP URL filtering i sl. Takodje Cisco ASA moze da se ponasa i kao VPN koncentrator pa tako masimalno opravdava ulozeni novac.

Ispod su linkovi na kojima mozes nesto vise da saznas o ovome:
http://www.cisco.com/en/US/pro..._example09186a008088517b.shtml


Osim toga, ovo sa Active Directory je veoma skalabilno i fleksibilno resenje .... npr u slucaju dodavanja novih korisnika, sav posao je da se doticni doda u odredeju grupu na AD, nema dodatnih podesavanja i sl.


Pozdrav!
Gogo82
 
Odgovor na temu

yolja624

Član broj: 9380
Poruke: 1856



+643 Profil

icon Re: Jedna mreza, 2 proxy-ja24.07.2011. u 16:42 - pre 154 meseci
Ni ja nemam neka iskustva sa AD, ali mi se cini da je pomalo komplikovano. Pretpostavljam da si ti probao na AD sve to, i ako ti kazes da je to ok, ja vjerujem i postujem.
Alternativni prijedlog je MT. Dovoljno fleksibilno i kosta 35 EUR (rb750). Nudi puno toga, i mnogo jeftinije od cisco rjesenja.

Dodavanje novih korisnika veoma jednostavno. Dobar nacin je, recimo, da podjelis mrezu na dva pod opsega. Tako bi jedan opseg koristio jedan proxy, drugi opseg drugi proxy.
Kad dodje novi korisnik, skontas koji mu zelis proxy da zadas. Onda mu odredis ip iz odgovarajuceg opsega da bi bio na odredjenom proxy i to je to.

BTW, hvala na linku, zanimljivo stivo.
 
Odgovor na temu

gogo82

Član broj: 228454
Poruke: 118



+8 Profil

icon Re: Jedna mreza, 2 proxy-ja25.07.2011. u 21:38 - pre 154 meseci
Citat:
yolja624: Ni ja nemam neka iskustva sa AD, ali mi se cini da je pomalo komplikovano. Pretpostavljam da si ti probao na AD sve to, i ako ti kazes da je to ok, ja vjerujem i postujem.


Kao sto sam rekao radim u firmi sa preko 2300 zaposlenih i takav sistem proxy/AD lepo funkcionise ....


Citat:
yolja624:
Kad dodje novi korisnik, skontas koji mu zelis proxy da zadas. Onda mu odredis ip iz odgovarajuceg opsega da bi bio na odredjenom proxy i to je to.

BTW, hvala na linku, zanimljivo stivo.


Upravo na ovo sam mislio kad sam rekao da je kombinacija AD/Proxy jednostavna .. Naime, kad se jednom kreiraju grupe na AD i neka grupa se podesi da koristi odredjeni proxy, sav posao oko dodavanja novih korisnika je da se korisnik ubaci i odredjenu grupu. Ovo resenje je nezavisno od adresnoh opsega koji se koristi, neyavisno je i od lokacije korisnika (kod mene u firmi korisnici koji korsite proxy su u drugom gradu udaljenom i po 500-600 kilometara od lokacije gde se nalazi AD i proxy.

Istina, pocetno podesavanje ovog sistema je zahteva nesto vise znanja i rada ... ali se zato kasnije sve svodi na dodavanje novih usera u podrayumevanu grupu. Jednostavno da ne moye biti jednostavnije ...
Pozdrav!
Gogo82
 
Odgovor na temu

yolja624

Član broj: 9380
Poruke: 1856



+643 Profil

icon Re: Jedna mreza, 2 proxy-ja26.07.2011. u 11:13 - pre 154 meseci
Uh, sa toliko zaposlenih AD je zaista jedino logicno rjesenje. Jeste da si se "pomucio" oko dizanja AD, ali nakon zavrsenog posla, dodavanje novih korisnika i administracija je znacajno laksa.

Mene samo buni to sto kod pokretaca teme nisam uocio da ima vec podignut AD u svojoj mrezi. Mozda sam to previdio. Ali ako nema AD, onda ne vidim smisao da ga dize samo zbog 2 proxy-a. Na stranu sto postoje softveri koji ne rade dobro u domenskom okruzenju, pa bi mu to stvaralo dodatne probleme. Iz njegovog opisa mreze vidim samo da ima jedan upravljivi L2 switch i 2 WAN?

Zato sam i predlozio rjesenje koje radi bez ikakvih dodatnih podesavanja kod korisnika, nema setovanja browsera. Samo podjelis ip na 2 grupe (trusted i untrusted), podesis prava jednih i drugih i to je to. Korisnik samo treba da ima podesavanje mreze na automatic a o izboru proxy brine router na osnovu IP adrese koju im ranije odredis u skladu sa potrebama. I korisnici nece ni znati da idu preko proxy-a. A lako moze da se sprijeci da korisnik sam ukucava IP adresu pa time da bira proxy pod kojim izlazi. Ili da sprijecis da tvojoj mrezi pridje "neautorizovani racunar".

Sto se tice izbora proxy, moze da se koristi onaj sa MT, da podignes squid na nekoj svojoj masini, ili mozes da koristis neki vanjski proxy.
Mogucnosti su zaista siroke. Korisne su load balancing / failover kad vec ima 2 WAN, pa traffic shaping... sve za 35 EUR i malo cimanja da se podesi. I naravno, jednom kad se podesi, dodavanje novih (l)uzera je kranje jednostavno, kao i na domain okruzenju.
 
Odgovor na temu

[es] :: Enterprise Networking :: Jedna mreza, 2 proxy-ja

[ Pregleda: 3144 | Odgovora: 13 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.