Форум системных администраторов

IT => Windows => Тема начата: asrael от 06 октября 2015, 11:15:15

Название: Разный интернет для разных пользователей
Отправлено: asrael от 06 октября 2015, 11:15:15
Всем привет!
Ситуация такая. В локальной сети есть два шлюза интернета. Есть ли возможность для разных пользователей сделать разный интернет? Например, когда человек заходит под своим именем/паролем - один интернет, а когда под гостем - другой. Сеть с WinServ2012r2.
Название: Разный интернет для разных пользователей
Отправлено: 6wings от 06 октября 2015, 11:28:40
сделать простые скрипты для разных логинов, задающие разные гейты. В скриптах всего по одной команде по образцу:
route -p change 0.0.0.0 mask 0.0.0.0 192.168.0.х

Название: Разный интернет для разных пользователей
Отправлено: airdwarf от 06 октября 2015, 11:28:52
802.1х, q, radius


Updated: 06 October 2015, 11:31:13

сделать простые скрипты для разных логинов, задающие разные гейты
боюсь, ничего у вас не выйдет.
Название: Разный интернет для разных пользователей
Отправлено: Triangle от 06 октября 2015, 11:37:49
А если две зоны в DHCP и играть разрешением выдачи адреса от MAC? А... посмотрел... это от пользователя хотите вязать, ну прокси с агентом и авторизацией.
Название: Разный интернет для разных пользователей
Отправлено: 6wings от 06 октября 2015, 11:38:07
боюсь, ничего у вас не выйдет.
Это почему ж?
Оно у меня давно работает, но для других целей - для ручного переключения гейтов "на лету" на любом компе.
Правда, везде под админом.
Название: Разный интернет для разных пользователей
Отправлено: Triangle от 06 октября 2015, 11:39:33
Off-Topic:
Правда, везде под админом.
Щас Вас будут бить, возможно даже ногами...  :spiteful:
Название: Разный интернет для разных пользователей
Отправлено: 6wings от 06 октября 2015, 11:41:25
Off-Topic:
Правда, везде под админом.
Щас Вас будут бить, возможно даже ногами...  :spiteful:

Не выйдет - этот админ на всех компах я лично ))
Название: Разный интернет для разных пользователей
Отправлено: asrael от 06 октября 2015, 11:41:27
Цитировать
сделать простые скрипты для разных логинов, задающие разные гейты. В скриптах всего по одной команде по образцу:
route -p change 0.0.0.0 mask 0.0.0.0 192.168.0.х
А можно поподробнее?


Цитировать
А если две зоны в DHCP и играть разрешением выдачи адреса от MAC?[/size]

нужно, чтоб всё работало независимо от компьютера
Название: Разный интернет для разных пользователей
Отправлено: 6wings от 06 октября 2015, 11:44:12
А можно поподробнее?
Извините, но куда уж подробнее?
Всего одна команда.
Название: Разный интернет для разных пользователей
Отправлено: asrael от 06 октября 2015, 11:45:48
Цитировать
Извините, но куда уж подробнее?
Всего одна команда.
где эти скрипты должны выполняться?
Название: Разный интернет для разных пользователей
Отправлено: 6wings от 06 октября 2015, 12:00:18
где эти скрипты должны выполняться?
например, в папках Startup заводите шорткат (ярлык) и прямо внутри него пишете эту команду. Даже скрипта не надо.
Есть и более изощренные методы. Например, прописать скрипт в Политиках. Там можно задать и от какого пользователя он будет выполняться (от админа).
Название: Разный интернет для разных пользователей
Отправлено: airdwarf от 06 октября 2015, 12:01:19

боюсь, ничего у вас не выйдет.
Это почему ж?
Оно у меня давно работает, но для других целей - для ручного переключения гейтов "на лету" на любом компе.
Правда, везде под админом.

Вот-вот.
Название: Разный интернет для разных пользователей
Отправлено: asrael от 07 октября 2015, 12:24:52
например, в папках Startup заводите шорткат (ярлык) и прямо внутри него пишете эту команду. Даже скрипта не надо.
Есть и более изощренные методы. Например, прописать скрипт в Политиках. Там можно задать и от какого пользователя он будет выполняться (от админа).
так не пойдет. у меня 400+ компьютеров. надоест всем файлики пихать. хочется как-то централизованно.
Название: Разный интернет для разных пользователей
Отправлено: Retif от 07 октября 2015, 12:32:47
надоест всем файлики пихать. хочется как-то централизованно.
Надоест это один вопрос, а вот то, что это будет выполняться под повышенными правами - совсем уже другое дело. Плохой вариант, в общем.


Updated: 07 October 2015, 12:33:24

А кстати, для чего это так задумано, разные интернеты для разных пользователей?
Название: Разный интернет для разных пользователей
Отправлено: shs от 07 октября 2015, 12:44:30
что это будет выполняться под повышенными правами - совсем уже другое дело. Плохой вариант, в общем.
ну, этого можно избежать при помощи проксирования выполнения этой команды:
1) планировщик с нужной периодичностью опрашивает некий флаг (например наличие некоего файла в заданой папке) и в случае его наличия запускает привилегированную команду.
2) при входе пользователя создается соответствующий флаг (например, файл), который должен будет замечен заданием планировщика
Название: Разный интернет для разных пользователей
Отправлено: 6wings от 07 октября 2015, 13:07:59
не вижу никаких проблем с безопасностью при автоматическом запуске команды route с правами Администратора. Пользователь-неадминистратор всё равно к ней прямого доступа не имеет.
Название: Разный интернет для разных пользователей
Отправлено: asrael от 07 октября 2015, 13:57:34
А кстати, для чего это так задумано, разные интернеты для разных пользователей?
у нас образовательная организация, поэтому прокуратура денно и нощно бдит, чтоб детишки в школьных интернетах кой-чего не нашли. приходится трафик фильтровать. а фильтр режет всё, что захочет. для остальных пользователей это крайне неудобно. вот и появилась мысль - заходишь под паролем - весь интернет твой, заходишь под гостем - фильтруем. и хочется, чтоб работало централизованно и в не зависимости от машины. кучу всего уже перечитал - ничего дельного не нашел. даже не могу понять, в какую сторону хоть копать.  :dash:




Updated: 07 October 2015, 13:59:31

не вижу никаких проблем с безопасностью при автоматическом запуске команды route с правами Администратора. Пользователь-неадминистратор всё равно к ней прямого доступа не имеет.
думаю, что этот вариант имеет место быть, но если компьютеров немного
Название: Разный интернет для разных пользователей
Отправлено: Retif от 07 октября 2015, 14:03:46
у нас образовательная организация, поэтому прокуратура денно и нощно бдит, чтоб детишки в школьных интернетах кой-чего не нашли. приходится трафик фильтровать. а фильтр режет всё, что захочет. для остальных пользователей это крайне неудобно. вот и появилась мысль - заходишь под паролем - весь интернет твой, заходишь под гостем - фильтруем. и хочется, чтоб работало централизованно и в не зависимости от машины. кучу всего уже перечитал - ничего дельного не нашел. даже не могу понять, в какую сторону хоть копать. 
Не понял тогда, а зачем для этого разные интернеты?  ??? Что у вас на шлюзе? Для гостей тех же, чем фильтруете?
Название: Разный интернет для разных пользователей
Отправлено: risc от 07 октября 2015, 14:08:02
в роли прокси кто? на tmg можно сделать группы и фильтровать по группам, естественно интегрировал tmg с ад. второй вариант, пользователей раскинуть по разным оу, на оу накатить политики в которых прописать нужный прокси для данной группы. но для фильтрации трафика ставить два прокси, "неправильно", имхо
Название: Разный интернет для разных пользователей
Отправлено: 6wings от 07 октября 2015, 14:27:36
думаю, что этот вариант имеет место быть, но если компьютеров немного
а какие еще варианты автоматического назначения/переключения гейтов существуют? Если вы хотите работать с разными шлюзами, то извольте менять гейтвей в сетевых настройках данного компьютера. Проще, чем одной единственной командой - не получится.
Если же вы рассчитываете, что сможете менять роутинг чем-то извне данного компьютера, то очень сильно сомневаюсь, что найдётся средство для ВНЕШНЕГО анализа того, кто залогинен на каждом конкретном компе для изменения направления трафика.
Название: Разный интернет для разных пользователей
Отправлено: asrael от 08 октября 2015, 10:37:25
Не понял тогда, а зачем для этого разные интернеты?   Что у вас на шлюзе? Для гостей тех же, чем фильтруете?
в роли фильтра стоит на отдельной машине с двумя сетевыми картами ИнтернетЦензор, программа так себе, но рекомендована высшими начальниками, поэтому никуда не деться. Интернет-то по факту один, только для гостей (читай, для учеников) он должен фильтроваться.
в роли прокси кто? на tmg можно сделать группы и фильтровать по группам, естественно интегрировал tmg с ад. второй вариант, пользователей раскинуть по разным оу, на оу накатить политики в которых прописать нужный прокси для данной группы. но для фильтрации трафика ставить два прокси, "неправильно", имхо
я себе тоже это через политики представлял. два прокси и не нужно. нужно только разные адреса шлюзов. для учителей и администрации нужен нормальный интернет.

Если же вы рассчитываете, что сможете менять роутинг чем-то извне данного компьютера, то очень сильно сомневаюсь, что найдётся средство для ВНЕШНЕГО анализа того, кто залогинен на каждом конкретном компе для изменения направления трафика.
ну блин, хрен знает. я помню, был я в какой-то организации, где что-то подобное организовали. зашел под простым пользователем - доступ только к внутренней сети, к почте на яндексе и поисковику. зашел под админом - полный доступ. к сожалению, тогда меня этот вопрос не интересовал и как это у них сделано было я не спрашивал. но, думаю, что через прокси.
Название: Разный интернет для разных пользователей
Отправлено: 6wings от 08 октября 2015, 10:53:55
был я в какой-то организации, где что-то подобное организовали. зашел под простым пользователем - доступ только к внутренней сети, к почте на яндексе и поисковику. зашел под админом - полный доступ
Почему Вы решили, что это рулится ИЗВНЕ, а не на каждом компьютере по отдельности?
К тому же, на отдельных компьютерах такой доступ можно организовать не только с разными гейтами, но и при помощи Родительского Контроля, который, собственно, под это и заточен.
Название: Разный интернет для разных пользователей
Отправлено: asrael от 08 октября 2015, 11:08:04
был я в какой-то организации, где что-то подобное организовали. зашел под простым пользователем - доступ только к внутренней сети, к почте на яндексе и поисковику. зашел под админом - полный доступ
Почему Вы решили, что это рулится ИЗВНЕ, а не на каждом компьютере по отдельности?
К тому же, на отдельных компьютерах такой доступ можно организовать не только с разными гейтами, но и при помощи Родительского Контроля, который, собственно, под это и заточен.
не, это было централизованно, я уверен. там был сервер, только не на винде, а на линухе и прокси был - это точно. короче, нет смысла про это спорить. почему-то, я думаю, что в такой хрени, как Windows Server должен быть какой-то вариант. или тот же tmg, тоже где-то видел, что его используют, но пока не разбирался. вон и risc, про него упоминает. пойду изучать.
Название: Разный интернет для разных пользователей
Отправлено: Retif от 08 октября 2015, 11:12:33
asrael, ну TMG-то без проблем, только во-первых, он уже не продается, к сожалению, во-вторых, если у вас именно ИнтернетЦензор рекомендован, нужно их как-то скрестить, а тут мне уже сомнительно, что это получится. Хотя смотреть конечно надо.
Название: Разный интернет для разных пользователей
Отправлено: 6wings от 08 октября 2015, 11:36:16
кстати, насчёт безопасности - я бы сделал так: при загрузке Windows дефолтом на автомате прописывал "усеченный" гейт, а при доверенных "админских" логинах автоматом (или вручную - одним кликом на шорткат) переключал на нормальный.
Название: Разный интернет для разных пользователей
Отправлено: asrael от 08 октября 2015, 11:44:22
asrael, ну TMG-то без проблем, только во-первых, он уже не продается, к сожалению, во-вторых, если у вас именно ИнтернетЦензор рекомендован, нужно их как-то скрестить, а тут мне уже сомнительно, что это получится. Хотя смотреть конечно надо.
так он стоит на отдельной машине, так что я думаю, проблем с этим не будет, хотя, хрен его знает.
кстати, насчёт безопасности - я бы сделал так: при загрузке Windows дефолтом на автомате прописывал "усеченный" гейт, а при доверенных "админских" логинах автоматом (или вручную) переключал на нормальный.
так в этом случае, если знаешь нужный гейт, его можно и поменять. или тогда ограниченную учетку делать. но есть некоторые программы, которые без админских программ не будут работать. а вот с групповыми политиками таких проблем, как я понимаю,  не было бы. AD, вроде не даст изменить шлюз.
Название: Разный интернет для разных пользователей
Отправлено: 6wings от 08 октября 2015, 11:56:21
или тогда ограниченную учетку делать. но есть некоторые программы, которые без админских программ не будут работать
речь же изначально шла, насколько я помню, о 2-х типах логинов: админском и гостевом.
Или я что-то пропустил?
Название: Разный интернет для разных пользователей
Отправлено: asrael от 08 октября 2015, 12:47:28
речь же изначально шла, насколько я помню, о 2-х типах логинов: админском и гостевом.
Или я что-то пропустил?
эмм.. наверное, я не так объяснил. я имел ввиду, что для каждого конкретного пользователя сети нужно определить уровень доступа в сеть независимо от того места, где он в эту сеть входит. пообщался сейчас с одним человеком, который администрировал сеть в одном госучереждении. говорит, что можно это через AD сделать. осталось найти, как.
Название: Разный интернет для разных пользователей
Отправлено: Retif от 08 октября 2015, 12:55:11
я имел ввиду, что для каждого конкретного пользователя сети нужно определить уровень доступа в сеть независимо от того места, где он в эту сеть входит.
Ну для такой задачи разные шлюзы какая-то плохая идея, как я уже выше говорил. Просто нужен софт на шлюз, который умеет ставить ограничения по грппам пользователей, типа того же тмг.
Название: Разный интернет для разных пользователей
Отправлено: ds0m от 08 октября 2015, 13:16:46
Как вариант совсем колхозного решения с одним шлюзом:
1) Один приходящий провод с двумя адресами.
2) Раскидываем адреса на разные интерфейсы.
3) Один фильтруем хоть у себя софтово, хоть на публичных сервисах типа яндекса, скайднс и отдаем шлюзу, второй отдаем напрямую.
4) На шлюзе в зависимости от принадлежности пользователя/компьютера/сегмента сети - предоставляем соответсвующий интерфейс для выхода в сеть.
Название: Разный интернет для разных пользователей
Отправлено: asrael от 09 октября 2015, 11:09:13
Ну для такой задачи разные шлюзы какая-то плохая идея, как я уже выше говорил. Просто нужен софт на шлюз, который умеет ставить ограничения по грппам пользователей, типа того же тмг.
это и понятно, что идея плохая. просто, это первое, что пришло в голову. вот с софтом-то и проблема.
ладно, ребята, спасибо всем! направление понял, буду изучать, как будет результат, отпишусь.
Название: Разный интернет для разных пользователей
Отправлено: Retif от 09 октября 2015, 11:16:18
Kerio Control еще можно посмотреть, как вариант.