classic.ISPforum.cz

Ahojte.
Do jednej skoly kde dodavame konektivitu gratis sa nam stal jeden problemik. Firma co tam robi spravu siete nejakym nedopatrenim spustila na jednom pc DHCP server a este ktomu vpn koncentrator.

Cez prazdniny ako budu jarne mame v plane prerabat v tejto skole wifiny. budeme menit aj switche z toho dovodu ze tam su nemanazovatelne a bez poe.
Moja otazka znie ako by ste to vy zabezpecili ? aby sa taketo nieco neopakovalo ?
Ako zabranit napr. studentom co si donesu vlastny notebook, ked vytiahnut lan s pc a daju do svojho aby im nesiel net ?
Je nuntne pouzit nejaky MAC filter alebo ist do komplikovanejsieho riesenia napr. radius ? alebo pppoe ? ale ako docielit aby zase nemuseli sa stale prihlasovat ?

Za kazdu radu vam vopred Ďakujem
Michal

Managenovatelné switche umí zabránit použití DHCP serveru mezi porty a definovat z kterého portu bude DHCP akceptováno. Na registraci povolených klientů je nejjednodušší rezervovat jim dle MAC adresy IP Adresu v DHCP a tu povolit na firewallu. Pokud si tam něco strčí dostanou volnou IP, ale nepůjde NET. Můžou, ale podvrhnout MAC, nebo si dát IP napevno.

Tak u ip napevno by jim to slo jen po lokale, ale na serveru se da udelat ze pouze ip v dhcp pujdou do arp tabulky, ostatni budou ignorovany

robil som na škole 8 rokov a v podstate stačilo:
1.čo učebňa to samostatná VLAN- ak sa niečo spravilo problém zostal obmedzený na 1 učebňu a nerozpadla sa ti polka siete
2. switche čo podporujú DHCP sooping a hlavne loop protect, slučka bola problém častejšie ako podvrhnuté dhcp.
3. Na routery a VLAN nastavené ARP=reply-only a statický záznam v DHCP

toto odbúralo spoľahlivo 99% problémov, ak sa sem tam za uhorský rok niekto pripojil s podvrhnutou MAC jednoducho som si to zistil pomocou host name v DHCP, spravil bububu vylúčením a už sa to neopakovalo.

Pokud switch bude podporovat dhcp snooping a ip source guard, tak ani rucni IP nepomuze. Jen rezervujes MAC+IP na DHCP serveru.

a do toho si ještě započítejte arp spoofing oblíbený mezi dětmi s android telefony.

hapi píše:a do toho si ještě započítejte arp spoofing oblíbený mezi dětmi s android telefony.

Coz z velke casti prave resi IP Source Guard. Ale ma i sve nevyhody ...

Ja to mam resene takto: na siti nachzenej server s AD. Studenti i ucitele se do site prihlasuji pres jmeno a heslo. Na zaklade toho dostanou ip z dane VLANy. Gateway pak resi opravneni kdo ma kam pristup. Zaroven gateway zerezava pristupy na weby napr s pornem, drogama, nasilim a pod. Stejne tak jsou blokovane vpn. Datova zasuvka ktera jeni obsazena tak neni v patch panelu ani zapojena. Pravdou je ze pocitacu pripojenych kabelem je minimum. Asi 3. Ostatni zarizeni na lanu jsou napr tiskarny a pod. Tedy veci ktere nemaji pristup do netu.

Prave AD sa chcem vyhnut, nakolko licencie na toto nie su v rozpocte.
Preto zvazujem inu alternativu.napr radius, alebo nieco pod..
Na blokovanie stranok je druhom projekte. To schvaluje obec balik penazi pre danu skolu, na najblizsom zastupitelstve.

iTomB píše:Pokud switch bude podporovat dhcp snooping a ip source guard, tak ani rucni IP nepomuze. Jen rezervujes MAC+IP na DHCP serveru.

S týmto tak nejak povediac ratam, dane switche to maju co sme nakupili.

Cena licence AD pro skoly bude uplne nejaka smesna castka...

Bez AD si školu neviem predstaviť, veď tie počítače budú po pár týždňoch nefunkčné.... A co užívateľské účty pre každého študenta?
Win server sa dá kúpiť so zľavou pre školstvo a CAL licencie (aj win upgrade pre PC) poskytuje/val ministerstvo zdarma cez generálnu zmluvu s Microsoftom

Noxus28 píše:Bez AD si školu neviem predstaviť, veď tie počítače budú po pár týždňoch nefunkčné.... A co užívateľské účty pre každého študenta?
Win server sa dá kúpiť so zľavou pre školstvo a CAL licencie (aj win upgrade pre PC) poskytuje/val ministerstvo zdarma cez generálnu zmluvu s Microsoftom

Na tento rok este nie je platna co mam posledne info.
POlka pc je v edicii HOME a to do domeny nedostanem. To je tak ked sa kupuju pc podla ceny

Zmluva umožňuje upgrade na Enterprise/Pro a ľubovolný Win, stačí že má počítač akúkoľvek nálepku OEM, COA atď
Podľa portálu je prístup k licenciám stále aktívny...

Noxus28 píše:Zmluva umožňuje upgrade na Enterprise/Pro a ľubovolný Win, stačí že má počítač akúkoľvek nálepku OEM, COA atď
Podľa portálu je prístup k licenciám stále aktívny...

Predpokladam, ze toto plati na SK a ne v CR, je to tak?
Řešil jsem na podzim podobnou situaci - pulka PC ve skole s Home a nacenit pripojeni k AD. Doporucili mi jako nejlevnejsi reseni koupit tento produkt na kazdy PC s Win Home (cca 2000,- Kc) - https://eshop.100mega.cz/ms-windows-10- ... 42745.html

ak som to správne pochopil, je to ZŠ. Takže zas to netreba preháňať s tými opatreniami a robiť si život zložitejší.

Wireless si rozdel na viac častí podľa oprávnení...tak aby sa z tej študentskej nedal robiť bordel. hotovo...MK a lepšie swište to poriešia.