22
Automatische Weiterleitung von Websiteanfragen im lokalen Netz
Guten Abend zusammen,
ich suche schon eine Weile nach dem richtigen Ansatz und jetzt hoffe ich auf euch:
Ich habe hier einen Windows Server 2003. Dieser stellt eine Infoseite mit Konfigurationseinstellungen bereit, die automatisch allen angezeigt werden soll, wenn diese über den eingebauten DHCP Server dieses Servers eine IP zugewiesen bekommen. Die Idee ist, dass Sie beim Ansurfen einer beliebigen Adresse immer auf diese infoseite umgeleitet werden und nicht ins Internet gelangen, bevor sie nicht die richtigen Einstellungen vorgenommen haben.
Später soll diese Seite ein Formular enthalten, in das der Anwender Daten einträgt, woraufhin dem Computer durch einen Admin die richtige IP zugewiesen wird.
Leider geht es nicht so wie ich es mir gedacht hatte über den DNS. Habt Ihr einen Tipp für mich?
Einen schönen Abend noch und Danke.
freizeit-techie
ich suche schon eine Weile nach dem richtigen Ansatz und jetzt hoffe ich auf euch:
Ich habe hier einen Windows Server 2003. Dieser stellt eine Infoseite mit Konfigurationseinstellungen bereit, die automatisch allen angezeigt werden soll, wenn diese über den eingebauten DHCP Server dieses Servers eine IP zugewiesen bekommen. Die Idee ist, dass Sie beim Ansurfen einer beliebigen Adresse immer auf diese infoseite umgeleitet werden und nicht ins Internet gelangen, bevor sie nicht die richtigen Einstellungen vorgenommen haben.
Später soll diese Seite ein Formular enthalten, in das der Anwender Daten einträgt, woraufhin dem Computer durch einen Admin die richtige IP zugewiesen wird.
Leider geht es nicht so wie ich es mir gedacht hatte über den DNS. Habt Ihr einen Tipp für mich?
Einen schönen Abend noch und Danke.
freizeit-techie
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 208559
Url: https://administrator.de/contentid/208559
Ausgedruckt am: 22.11.2024 um 19:11 Uhr
22 Kommentare
Neuester Kommentar
Hallo freizeit-techie,
was du brauchst, ist so etwas wie ein Captive Portal. Die Frage ist dann nur, wie du die entsprechenden Einstellungen abfragen möchtest (Um was für Einstellungen handelt es sich dabei überhaupt?). Gerade die Sache mit der IP wird sich meines Wissens nach nur sehr schwer oder gar nicht umsetzen lassen. Um auf dieses Captive Portal zu kommen muss der Client ja schon eine IP Adresse haben. Ihn allerdings dann im Nachhinein zu überreden eine andere zu nehmen bevor sein DHCP Lease ausläuft...ist glaub ich nicht möglich.
Eine Möglichkeit das ganze zumindest teilweise Umzusetzen wäre wohl NAC. Dies einzurichten, Bedarf aber einer menge Aufwand und entsprechende Hardware.
Aber warten wir mal ab was die anderen Experten hier sagen
Gruß
bronkz
was du brauchst, ist so etwas wie ein Captive Portal. Die Frage ist dann nur, wie du die entsprechenden Einstellungen abfragen möchtest (Um was für Einstellungen handelt es sich dabei überhaupt?). Gerade die Sache mit der IP wird sich meines Wissens nach nur sehr schwer oder gar nicht umsetzen lassen. Um auf dieses Captive Portal zu kommen muss der Client ja schon eine IP Adresse haben. Ihn allerdings dann im Nachhinein zu überreden eine andere zu nehmen bevor sein DHCP Lease ausläuft...ist glaub ich nicht möglich.
Eine Möglichkeit das ganze zumindest teilweise Umzusetzen wäre wohl NAC. Dies einzurichten, Bedarf aber einer menge Aufwand und entsprechende Hardware.
Aber warten wir mal ab was die anderen Experten hier sagen
Gruß
bronkz
Hallo techie,
vielleicht kann dir dieser Beitrag weiterhelfen: WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Durch das Login hättest du ja die Gelegenheit, vorher die gewünschte Seite anzuzeigen...
VG
vielleicht kann dir dieser Beitrag weiterhelfen: WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Durch das Login hättest du ja die Gelegenheit, vorher die gewünschte Seite anzuzeigen...
VG
Hallo,
Gruß,
Peter
Zitat von @freizeit-techie:
allen angezeigt werden soll, wenn diese über den eingebauten DHCP Server dieses Servers eine IP zugewiesen bekommen.
Verstehe ich dich richtig? Die Anwender starten einen PC, dieser bekommt durch DHCP eine IP zugewiesen und dann sollen diese auf den PC automatisch eine Infoseite dargeboten bekommen wo drin steht was diese Anwedner dann Einzustellen haben damit später ein Admin die richtigen Werte in der netzwerkkarte konfiguriert? ist das so richtig?allen angezeigt werden soll, wenn diese über den eingebauten DHCP Server dieses Servers eine IP zugewiesen bekommen.
Leider geht es nicht so wie ich es mir gedacht
Jo.hatte über den DNS.
Was soll da tun?Habt Ihr einen Tipp für mich?
Auch wenns nur für mich ist, aber Verstehen tu ich dein Konzept überhaupt nicht geschweige dort einen Anwendungsfall erkennen.freizeit-techie
Sollte das der Grund seinGruß,
Peter
Hallo ihr beiden,
schon mal danke für die schnelle Reaktion.
@bronkz:
Für den Moment würde es mir insofern schon reichen, dass auf der Infoseite steht, was für eine IP der Anwender verwenden soll und eine Anleitung zum selbsteinstellen. So würde zumindest mal das Problem mit dem DHCP-Lease umgangen.
@BirdyB:
das ist zwar ein guter Gedanke, aber wenn ich das richtig verstanden habe, dann kommt die Anmeldeseite jedesmal, oder? Das ist leider keine Option für die Umsetzung.
Das mit dem Captive Portal liest sich so, als währe es genau die richtige Richtung. Ich brauche so etwas allerdings ohne Authentifizierung.
Es geht ja in keiner weise darum, den Usern den Zugriff auf das Netz zu versperren, sondern nur darum jedem einzelnen die für ihn passenden Einstellungen mitzuteilen.
(Am liebsten hätte ich das dann zwar später mal komplett über den DHCP, aber das ist für die nächste Zeit erstmal nicht geplant, da auf diesem Weg ja alle etwas an ihrer Netzwerkeinstellung ändern müssten. Deshalb ersteinmal die Infoseite, damit es selbst eingetragen werden kann.)
Gibt es eine möglichkeit so etwas mit Win 2003 umzusetzen?
Was vielleicht in diesem Zusammenhang noch wichtig ist, der Server ist nicht als Gateway eingebunden, er hängt mit seiner Netzwerkkarte wie alle anderen Clients auch an einem der Switches, über welchen auch die Internetanbindung realisiert ist.
Grüße freizeit-techie
EDIT:
Hallo Peter,
ja das hast du richtig verstanden.
Die Idee mit dem DNS war, ihn so einzustellen, dass er einfach auf alle Anfragen auf die Infoseite verweist. Aber entweder kann man das im Windows DNS Sever nicht einstellen, ode ich finde die Funktion einfach nicht. Für die richtige Verwendung des Internets werden dann voll funktionsfähige DNS-Server auf der Infoseite genannt.
Den Anwendungsfall versuche ich gerne noch mal ein bisschen zu spezifizieren:
Die Anwender bekommen durch ein Vergabeverfahren eine IP zugewiesen, welche verwendet werden muss.
Die Indoseite zeigt ihm dann die für den neuen Computer relevanten Infos an, sodass er im Idealfall seinen Computer selbst konfigurieren kann.
schon mal danke für die schnelle Reaktion.
@bronkz:
Für den Moment würde es mir insofern schon reichen, dass auf der Infoseite steht, was für eine IP der Anwender verwenden soll und eine Anleitung zum selbsteinstellen. So würde zumindest mal das Problem mit dem DHCP-Lease umgangen.
@BirdyB:
das ist zwar ein guter Gedanke, aber wenn ich das richtig verstanden habe, dann kommt die Anmeldeseite jedesmal, oder? Das ist leider keine Option für die Umsetzung.
Das mit dem Captive Portal liest sich so, als währe es genau die richtige Richtung. Ich brauche so etwas allerdings ohne Authentifizierung.
Es geht ja in keiner weise darum, den Usern den Zugriff auf das Netz zu versperren, sondern nur darum jedem einzelnen die für ihn passenden Einstellungen mitzuteilen.
(Am liebsten hätte ich das dann zwar später mal komplett über den DHCP, aber das ist für die nächste Zeit erstmal nicht geplant, da auf diesem Weg ja alle etwas an ihrer Netzwerkeinstellung ändern müssten. Deshalb ersteinmal die Infoseite, damit es selbst eingetragen werden kann.)
Gibt es eine möglichkeit so etwas mit Win 2003 umzusetzen?
Was vielleicht in diesem Zusammenhang noch wichtig ist, der Server ist nicht als Gateway eingebunden, er hängt mit seiner Netzwerkkarte wie alle anderen Clients auch an einem der Switches, über welchen auch die Internetanbindung realisiert ist.
Grüße freizeit-techie
EDIT:
Hallo Peter,
ja das hast du richtig verstanden.
Die Idee mit dem DNS war, ihn so einzustellen, dass er einfach auf alle Anfragen auf die Infoseite verweist. Aber entweder kann man das im Windows DNS Sever nicht einstellen, ode ich finde die Funktion einfach nicht. Für die richtige Verwendung des Internets werden dann voll funktionsfähige DNS-Server auf der Infoseite genannt.
Den Anwendungsfall versuche ich gerne noch mal ein bisschen zu spezifizieren:
Die Anwender bekommen durch ein Vergabeverfahren eine IP zugewiesen, welche verwendet werden muss.
Die Indoseite zeigt ihm dann die für den neuen Computer relevanten Infos an, sodass er im Idealfall seinen Computer selbst konfigurieren kann.
Es geht ja in keiner weise darum, den Usern den Zugriff auf das Netz zu versperren, sondern nur darum jedem einzelnen die für
ihn passenden Einstellungen mitzuteilen.
(Am liebsten hätte ich das dann zwar später mal komplett über den DHCP, aber das ist für die nächste Zeit
erstmal nicht geplant, da auf diesem Weg ja alle etwas an ihrer Netzwerkeinstellung ändern müssten. Deshalb ersteinmal
die Infoseite, damit es selbst eingetragen werden kann.)
ihn passenden Einstellungen mitzuteilen.
(Am liebsten hätte ich das dann zwar später mal komplett über den DHCP, aber das ist für die nächste Zeit
erstmal nicht geplant, da auf diesem Weg ja alle etwas an ihrer Netzwerkeinstellung ändern müssten. Deshalb ersteinmal
die Infoseite, damit es selbst eingetragen werden kann.)
Und warum sollen die Benutzer ihre IP-Adressen selbst einstellen? Einfach überall auf DHCP umstellen und dann die ganzen Einstellungen per DHCP-Server verteilen... Wenn bestimmte Computer bestimmte Adressen haben sollen, kannst du ja im DHCP eine Reservierung hinterlegen.
Hallo,
Bitte kläre uns auf was da für ein zeichentrickfilm bei euch abläuft.
Gruß,
Peter
Zitat von @freizeit-techie:
dass auf der Infoseite steht, was für eine IP der Anwender verwenden soll und eine Anleitung zum selbsteinstellen.
Wie meinst du es ein Rechner auf etwas Zugreifen kann bzw. Information erhalten kann wenn dieser Rechner mit niemanden Kommunizieren kann? wie soll das deiner meinung nach vonstatten gehen?dass auf der Infoseite steht, was für eine IP der Anwender verwenden soll und eine Anleitung zum selbsteinstellen.
aber wenn ich das richtig verstanden habe, dann kommt die Anmeldeseite jedesmal, oder?
Sinn und Zweck eines Captive Portals.Das mit dem Captive Portal liest sich so, als währe es genau die richtige Richtung. Ich brauche so etwas allerdings ohne Authentifizierung.
Dann braucht es kein Captove Portal.den Usern den Zugriff auf das Netz zu versperren,
Aha.sondern nur darum jedem einzelnen die für ihn passenden Einstellungen mitzuteilen.
Warum sind die noch nicht Eingetragen bzw. Konfiguriert bevor ein Anwender dran losgelassen wird?da auf diesem Weg ja alle etwas an ihrer Netzwerkeinstellung ändern müssten.
Bitte erkläre uns deine Weisheit was hier bei Nutzen von DHCP für den einen Rechner dann zwingend an den nicht DHCP teilnehmenden Rechner zwingend geändert werden muss?Deshalb ersteinmal die Infoseite, damit es selbst eingetragen werden kann.
Kleb ein Zettel am Bildschirm.Gibt es eine möglichkeit so etwas mit Win 2003 umzusetzen?
Wenn wir Verstanden haben was du tatsächlich erreichen willst, es uns aber aus Datenschutzgründen nicht sagen darfst, dann sage ich mal: "Ja, es geht auch mit einem Windows Serverv 2003 OS".Was vielleicht in diesem Zusammenhang noch wichtig ist, der Server ist nicht als Gateway eingebunden,
Nein, das ist tatsächlich eher nicht wichtig.er hängt mit seiner Netzwerkkarte wie alle anderen Clients auch an einem der Switches
Und kann sich bestimmt mit diesen anderen Clients unterhalten, oder? Wir sagen Kommunizieren dazu und das setzt in fast allen LANs heutzutage TCP/IP und zugewisene IP Adressen voraus. Deine Rechner haben kein IP, also keine Kommunikation und somit kann der Rechner Monitor kein Infozettel zeigen sondern du musst diesen Infozettel in papierform mit Tesaband dran pappen.Bitte kläre uns auf was da für ein zeichentrickfilm bei euch abläuft.
Gruß,
Peter
Die Umstellung auf komplett DHCP ist langfristig auch der Plan.
Das Problem ist, dass jeder Anwender seinen eigenen Rechner mitbringt und ich deshalb die MAC-addresse nicht kenne um eine Reservierung zu hinterlegen. Deshalb die Überlegung ich erstelle einen DHCP der IP-Adressen aus dem Bereich 192.*.*.* vergibt und nur den Zugriff auf die Infoseite ermöglicht. Fürs erste soll der Anwender dann hier seine Daten sehen uns selbst einstellen. Später sollte dann durch die Eintragung der MAC in ein Formular durch den User die Reservierung im DHCP vom Admin vorgenommen werden könen (Zugriff auf das Internet nur aus dem Bereich 172.*.*.*)
Das ist aber jetzt noch nicht möglich, da noch nicht die finale Infrastruktur installiert wurde.
Das Problem ist, dass jeder Anwender seinen eigenen Rechner mitbringt und ich deshalb die MAC-addresse nicht kenne um eine Reservierung zu hinterlegen. Deshalb die Überlegung ich erstelle einen DHCP der IP-Adressen aus dem Bereich 192.*.*.* vergibt und nur den Zugriff auf die Infoseite ermöglicht. Fürs erste soll der Anwender dann hier seine Daten sehen uns selbst einstellen. Später sollte dann durch die Eintragung der MAC in ein Formular durch den User die Reservierung im DHCP vom Admin vorgenommen werden könen (Zugriff auf das Internet nur aus dem Bereich 172.*.*.*)
Das ist aber jetzt noch nicht möglich, da noch nicht die finale Infrastruktur installiert wurde.
Und warum sollen die Clients dann nicht direkt schon eine dynamische IP-Adresse aus dem 172.*.*.*-Pool bekommen?
Ansonsten könntest du einen DNS so konfigurieren, dass alle Anfragen auf deinen Webserver laufen und für die 192er-Leases dann diese DNS-Adresse verteilen.
Ansonsten könntest du einen DNS so konfigurieren, dass alle Anfragen auf deinen Webserver laufen und für die 192er-Leases dann diese DNS-Adresse verteilen.
Hallo,
OK. Völliger Blödsinn. Sorry.
- bei erneutem Rechnerstart
- bei aufruf von IPConfig /release und IPConfig /renew
- bei Ausführen eines vorher definiertej tasks der eine Batch mit obigen Code ausführt
Bei nur einer dieser Varianten braucht der Anwender das Recht Netzwerkeinstellungen zu ändern, ansonsten reichen Benutzertechte.
Soll die IP auch im laufenden Arbeitsprozess wie z.B. gerade beim FIBU Buchen passieren oder wann?
habt ihr eine Domäne sprich Active Directory? Ja? Dann muss der DNS eh der DNS eures AD sein.
Und wie bitte schön stellt ihr denn sicher das die Anwender auch nur diese zugewiesene IPs und DNS-Server verwenden?
Was soll da ein DHCP nicht können?
Gruß,
Peter
OK. Völliger Blödsinn. Sorry.
Die Idee mit dem DNS war, ihn so einzustellen, dass er einfach auf alle Anfragen auf die Infoseite verweist
das wird icht über DNS abgefackelt. DNDS hat eine andere aufgabe und Funktion. Das nennt sich Proxy Server mit / ohne Captive Portal wenn überhaupt. Es gibt auch den Transparenten Proxy.man das im Windows DNS Sever nicht einstellen
Werde dir klar darüber was ein DNS (Domain Name Server) ist und wie dessen Funktion dann aussieht. Dann verstehst du die Einstellungen eines DNS (Servers).Internets werden dann voll funktionsfähige DNS-Server auf der Infoseite genannt.
Gibt es in eurem Hause auch nicht funktionsfähige DNS (Server)?Die Anwender bekommen durch ein Vergabeverfahren eine IP zugewiesen`
Der Anwender bekommt eine IP und nicht der Rechner? Geht der Anwender ohne Rechner ins Netz? beist der auf den LAN Stecker um Google zu hören? ?!?welche verwendet werden muss.
OK. Unterschiedliche Anwender (Benutzer = der Mensch vor dem Hilfsmittel PC) sollen nur ganz bestimmte DNS-Server nutzen? Was bitte soll dies verhindern, einschränken, erlauben, besser oder schlechter machen?Die Indoseite zeigt ihm dann die für den neuen Computer relevanten Infos an, sodass er im Idealfall seinen Computer selbst konfigurieren kann.
Wenn der It also bekannt ist welche Person nach einem Vergabeverfahren welche Einstellungen haben sollen, wieso werden die Daten dann nicht im DHCP eingepfelgt (DHCP kann auch geskriptet werden) und der anwedner erhält diese- bei erneutem Rechnerstart
- bei aufruf von IPConfig /release und IPConfig /renew
- bei Ausführen eines vorher definiertej tasks der eine Batch mit obigen Code ausführt
Bei nur einer dieser Varianten braucht der Anwender das Recht Netzwerkeinstellungen zu ändern, ansonsten reichen Benutzertechte.
Soll die IP auch im laufenden Arbeitsprozess wie z.B. gerade beim FIBU Buchen passieren oder wann?
habt ihr eine Domäne sprich Active Directory? Ja? Dann muss der DNS eh der DNS eures AD sein.
Und wie bitte schön stellt ihr denn sicher das die Anwender auch nur diese zugewiesene IPs und DNS-Server verwenden?
Was soll da ein DHCP nicht können?
Gruß,
Peter
Warum sind die noch nicht Eingetragen bzw. Konfiguriert bevor ein Anwender dran losgelassen wird?
Der User bringt den Rechner mit. Niemand sieht den Computer, bevor der Anwender das Netzwerkkabel einsteckt. Das ganze dient dazu, dem User mitzuteilen was er einstellen muss um das Internet zu nutzen. Im Moment steckt er sein Netzwerkkabel an und nichts passiert, was dazu führt, das der Anwender dann bei der IT-Betreuung auf der Matte steht und böse nachfragt wieso denn das Internet nicht geht.Deine Rechner haben kein IP, also keine Kommunikation
Das ist mir klar, deswegen ja der DHCP für eine erste IP-Addresse. Da ich aber nicht weiß wer denn da am anderen Ende der Leitung hängt, darf er erstaml nicht ins Internet. Deshalb der Ansatz mit dem anderen Addressbereich. Sobald man weiß wer das Ist, darf er ins Netz.
Ansonsten könntest du einen DNS so konfigurieren, dass alle Anfragen auf deinen Webserver laufen und für die 192er-Leases dann diese DNS-Adresse verteilen.
Das war die Idee, welche ja nicht so funktioniert hat wie gedacht. Ich habe einen DNS installiert, welcher *nur* für den 192er Bereich arbeiten sollte.
Für alle anderen habe ich extra einen DNS laufen.
Gedacht war:
- neuer Computer wird angesteckt
- temporäre Adresse wird zugewiesen
- Nutzer öffnet den Browser und er bekommt eine Infoseite angezeigt, welche ihm das weitere Vorgehen beschreibt.
- User macht die angegeben Einstellungen
- User hat seine endgültige IP und die normalen DNS-Server-->Zugriff auf das Internet
Der Anwender sieht die Seite nie wieder, da ja alles richtig konfiguriert ist.
Steckt er einen neuen Computer an, dann sieht er die Seite eben wieder.
Der Anwender bekommt eine IP und nicht der Rechner? Geht der Anwender ohne Rechner ins Netz? beist der auf den LAN Stecker um Google zu hören? ?!?
Um es deutlich zu sagen, ich habe zu keiner Zeit Zugriff auf den Rechner, dieser ist Privateigentum des Users.Gibt es in eurem Hause auch nicht funktionsfähige DNS (Server)?
Nein, mit nicht funktionieren war gemeint, dass ich einen DNS betreibe für den temporären Bereich, welcher immer wenn man fragt: "Hallo DNS, welche IP hat google?" oder bing, oder, oder, oder... mit der IP für die Infoseite reagiert. Für den regulären Betrieb stehen normal arbeitende DNS Server zur Verfügung.Soll die IP auch im laufenden Arbeitsprozess wie z.B. gerade beim FIBU Buchen passieren oder wann?
Nein, es geht nur um eine Einmalige Sache, die IP-Zuordnung ändert sich erst wieder, wenn der User keinen Physischen Zugriff mehr auf das Netzwerk hatUnterschiedliche Anwender (Benutzer = der Mensch vor dem Hilfsmittel PC) sollen nur ganz bestimmte DNS-Server nutzen?
Nein, für alle die gleichen. Nur das Temporäre Netzt sollte einen DNS bekommen, der immer die selbe Addresse zurückliefert und deshalb unabhängig ob der User jetzt google oder Spiegel online will immer die Infoseite angezeigt wird.habt ihr eine Domäne
Nein.Wenn der It also bekannt ist welche Person nach einem Vergabeverfahren welche Einstellungen haben sollen, wieso werden die Daten dann nicht im DHCP eingepfelgt
Weil der DHCP mit dem Namen nichts anfangen kann. Dieser wird erst beim Anchließen an das Netz mit einem Rechner und damit einer IP verknüpft.Und wie bitte schön stellt ihr denn sicher das die Anwender auch nur diese zugewiesene IPs und DNS-Server verwenden?
ob derjenige die vorgegebenen DNS-Server nutzt oder nicht ist egal, er kann auch den googlepublic dns nutzen wenn er will, dann kann er halt manche Dienste nicht nutzen welche nur lokal aufgelöst werden.Die IT wird über einen wechsel der IP / Mac Kombination informiert. Wenn er eine Andere IP als 172.* verwendet, dann kommt er gar nicht über die vorgeschaltete Firewall ins Netz.
Nocheinmal zur Klarstellung: es geht nicht darum dem User irgendwas vorzuschreiben, sondern einfach nur das ganze so unkompliziert und schnell wie möglich für den User zu gestallten. Auf diese Weise kann er zu jeder tages oder Nachtzeit einen Rechner anschließen und wenn dieser nicht korrekt konfiguriert wurde, dann bekommt er die richtigen Einstellungen gezeigt und kann sofort ins Netz.
Zitat von @freizeit-techie:
> Warum sind die noch nicht Eingetragen bzw. Konfiguriert bevor ein Anwender dran losgelassen wird?
Der User bringt den Rechner mit. Niemand sieht den Computer, bevor der Anwender das Netzwerkkabel einsteckt. Das ganze dient dazu,
dem User mitzuteilen was er einstellen muss um das Internet zu nutzen. Im Moment steckt er sein Netzwerkkabel an und nichts
passiert, was dazu führt, das der Anwender dann bei der IT-Betreuung auf der Matte steht und böse nachfragt wieso denn
das Internet nicht geht.
> Deine Rechner haben kein IP, also keine Kommunikation
Das ist mir klar, deswegen ja der DHCP für eine erste IP-Addresse. Da ich aber nicht weiß wer denn da am anderen Ende
der Leitung hängt, darf er erstaml nicht ins Internet. Deshalb der Ansatz mit dem anderen Addressbereich. Sobald man
weiß wer das Ist, darf er ins Netz.
Aber: Wenn jeder, der sich ins LAN einstöpselt dann die richtigen Einstellungen sieht, weißt du ja auch nicht, wer am anderen Ende der Leitung hängt... Da könnte ja auch jeder kommen... (Ausser, dass man manuell tun muss, was sonst DHCP erledigt) Da wäre es doch eher eine Lösung bei den einzelnen Benutzern dann die MAC-Adressen abzufragen und dann darüber den Zugriff zu steuern.> Warum sind die noch nicht Eingetragen bzw. Konfiguriert bevor ein Anwender dran losgelassen wird?
Der User bringt den Rechner mit. Niemand sieht den Computer, bevor der Anwender das Netzwerkkabel einsteckt. Das ganze dient dazu,
dem User mitzuteilen was er einstellen muss um das Internet zu nutzen. Im Moment steckt er sein Netzwerkkabel an und nichts
passiert, was dazu führt, das der Anwender dann bei der IT-Betreuung auf der Matte steht und böse nachfragt wieso denn
das Internet nicht geht.
> Deine Rechner haben kein IP, also keine Kommunikation
Das ist mir klar, deswegen ja der DHCP für eine erste IP-Addresse. Da ich aber nicht weiß wer denn da am anderen Ende
der Leitung hängt, darf er erstaml nicht ins Internet. Deshalb der Ansatz mit dem anderen Addressbereich. Sobald man
weiß wer das Ist, darf er ins Netz.
Mir ist da der Sicherheitsaspekt irgendwie schleierhaft...
Nocheinmal zur Klarstellung: es geht nicht darum dem User irgendwas vorzuschreiben, sondern einfach nur das ganze so unkompliziert
und schnell wie möglich für den User zu gestallten. Auf diese Weise kann er zu jeder tages oder Nachtzeit einen Rechner
anschließen und wenn dieser nicht korrekt konfiguriert wurde, dann bekommt er die richtigen Einstellungen gezeigt und kann
sofort ins Netz.
und schnell wie möglich für den User zu gestallten. Auf diese Weise kann er zu jeder tages oder Nachtzeit einen Rechner
anschließen und wenn dieser nicht korrekt konfiguriert wurde, dann bekommt er die richtigen Einstellungen gezeigt und kann
sofort ins Netz.
Aber das unkomplizierteste und schnellste für den User ist doch, wenn er einfach automatisch die richtigen Einstellungen über DHCP bekommt, ohne dass er überhaupt etwas dazu tun muss.
Das ist richtig. Jeder der anstöpselt bekommt die Infos zu sehen. Das abfragen der einzelnen MAC ist ja für einen zweiten Schritt vorgesehen. Aber für die neuen Rechner muss es eben gleich die Möglichkeit geben ins Internet zu gelangen. Bis das alles Aufgebaut ist dauert es noch eine Weile deshalb schrieb ich ja:
Später soll diese Seite ein Formular enthalten, in das der Anwender Daten einträgt, woraufhin dem Computer durch einen Admin die richtige IP zugewiesen wird.
Es handelt sich hier erstmal um eine Übergangslösung.Aber das unkomplizierteste und schnellste für den User ist doch, wenn er einfach automatisch die richtigen Einstellungen über DHCP bekommt, ohne dass er überhaupt etwas dazu tun muss.
Das ist richtig, aber wenn ich dem User eine bestimmte IP zuteilen soll, aber im vorfeld keine Mac Addresse bekomme, dann kann ich ihm ja nicht von vorneherein die richtig IP zuteilen lassen. Und da war die Überlegung eben, ihn dieses eine mal diese EIngabe abzuverlangen.
Brauchen die Rechner, die die Benutzer mitbringen denn unbedingt immer dieselbe IP? Bzw.: Wenn du eine Leasedauer von - sagen wir mal - 30 Tagen hast, dann bekommt der Client einmalig aus dem Pool eine IP zugewiesen und -sofern er innerhalb dieser 30 Tage wieder im Netz ist- immer die selbe...
Also lass doch allen Benutzern erstmal per DHCP die normalen Einstellungen zuweisen, frage in der Zwischenzeit die MAC-Adressen ab (egal ob per Mail oder Webformular oder wasauchimmer) und wenn du alle Rechner beisammen hast, kannst du die Konfig ja so ändern, dass nur noch die bekannten MAC-Adressen ins Netz kommen.
Also lass doch allen Benutzern erstmal per DHCP die normalen Einstellungen zuweisen, frage in der Zwischenzeit die MAC-Adressen ab (egal ob per Mail oder Webformular oder wasauchimmer) und wenn du alle Rechner beisammen hast, kannst du die Konfig ja so ändern, dass nur noch die bekannten MAC-Adressen ins Netz kommen.
Leider ändern sich viele Rechner im 6 Monats Rhytmus, andere sind 1,5 bis 2 Jahre da. Und die Rechner sollen gleich von Anfang an nur mit der richtigen IP ins Internet kommen. Vom Prinzip her wäre es egal, wenn sie mit einer anderen IP im lokalen Netz unterwegs sind, nur sie müssen um ins Internet zu kommen eine IP aus dem Bereich 172.* von den Reservierungen für besondere Netzwerkhardware (Server, Gateways...) mal abgesehen, sind aber nur so viele Ips verfügbar wie es auch User gibt, also dass mal erstmal drauflossurfen lässt ist nicht möglich, dann könnte der dessen IP es ist nicht ins Netz, wenn er seinen Rechner korrekt konfiguriert hat.
Hallo,
Und das geht eben ohne einer Kommunikation nicht. Das ist also ein NoGo.
Und das geht Tagsüber wie auch Nachts ohne das jemand Hand anlegen muss.
Wer kein DHCP nutzen kann weil er irgendeine Feste IP nicht ändern kann, euch aber nicht an sein Eigentum dran lässt, was ist mit dem? Und der kommt Freitag Nachts um 3 Uhr ins Büro?
Warum ein eigenes Netz. Da ist mir das Thema Sicheheit dann ollkommen wurscht. Die MAC brauchst du nur um säter der Statsanwaltschaft klar zu machen das ihr eben kein rechtsradikalismus oder pornographie versendet habt. Wenn das nicht ist, brauchst du auch keien MAC. Ausserdem, wer sagt das diese Person auch diese Person ist? Dürft ihr die Personalausweissdaten Notieren / Kopieren? Hier sind noch ganz andere fragen am rande zu klären die dir nur ein Anwalt deines Vetrausens beantworten kann und darf.
Ich würde hier auch noch nicht mal mein Internetzugang da über einen Router zur Verfügung stellen. Einen eigenen Zugang um mein Firmennetz am laufen zu halten.
Ihr seit euch bewusst das ihr dort als ISP auftretet und euch daher ganz massiv und ganz schnell Ärger einhandelt, vom Datenschutz mal ganz zu schweigen, oder?
Wenn die MAC nur dazu diente ihm ine IP ze geben (nicht notieren oder der Person zuzuweisen zwecks Straftverfolgung), dann eigens Netz (Nein, selbst VLAN wäre mir für mein Firmennetz hier zu unsicher), DHCP mit kurzer Leasedauer, Proxy mit Captive Portal wobei Benutzername / Passwort auch für alle gleich sein könnte, und gut ist.
Feinheiten wie länge der Leasedauer, was ist wenn der Anender sich mit seiner Feundin vergnügt und sein PC in ein Energiesparmodus geht (und dadurch die Inet verbindung gekappt wird d.h. Session verloren), er Patchkabel aus versehen gekappt hat (Session verloren) usw. Dazu fehlen uns aber alle Vorgaben un d vor allem alle Hintergründe und anforderungen eines solchen undurchdachten Szenario und dessen Umsetzung.
Gruß,
Peter
Und das geht eben ohne einer Kommunikation nicht. Das ist also ein NoGo.
Bis das alles Aufgebaut ist dauert es noch eine Weile deshalb schrieb ich ja:
Und trotzdem ist ein DHCP hier das korrekte und einzig sinnvollste.Es handelt sich hier erstmal um eine Übergangslösung.
Auch eine Übergangslösung muss wenn nözig gewisse Schritte einhalten.Das ist richtig, aber wenn ich dem User eine bestimmte IP zuteilen
A: Warum ist das überhaupt nötig? Willst du wirklich für dir unbekannte Rechner fier reservierungen später im DHCP machen? Warum? ÖLass den DHCP die IP selbst vergeb. Stell kurze Leasezeiten (2 Std?) ein und gut ist. Willst du die IP wegen evtl. Strafverfplgung einem bestimmten Benutzer / rechner zuordnen? NoGo. Viel der Anwender kennen die MAC gar nicht geschweige wo die steht bzw. wie diese daran kommen um Sie dir sagen zu können. Bei BYORechner hast du eh ganz andere Probleme. manche habe feste Ps drin und keine berechtigung dies zu Ändern geschweige das passende PW. Wat Nu? Ihr wollt an fremden Eigentum Einstellungen verändern? NoGo. Ihr habt keine Information darüber was auf diesen rechner alles sein Wesen bzw. unwesen treibt. Die will ich nocht nicht mal in mein temporäres Netz drin haben. Die kommen in ein eigens Netz, ohne irgendeine Verbindung zum meinen Netz. Nada. Nichts. NoGo. Die haben eigene Hardware (Switche, DNS und DHCP und Router) und sind mit Neon Lila farbene Patchkabel gepatcht. Auch die Dosen wo der Anwender sich anpappt sind nicht mit meinen Firmennetz verbunden. Eigene Geräte = Eigenes Netz. Der DHCP vergibt die IP. Die MAC hat der dann im Log. Die MAC des Anwenders sowie seinen namen bekommen ich durch meinen proxy wo er sich Anmelden muss (User/Passwort kann vollkommen willkürlich sein). Dort hole ich mir auch noch zur Kontrolle seine MAC und alles ab in einer Datenbank. Fertisch.Und das geht Tagsüber wie auch Nachts ohne das jemand Hand anlegen muss.
Wer kein DHCP nutzen kann weil er irgendeine Feste IP nicht ändern kann, euch aber nicht an sein Eigentum dran lässt, was ist mit dem? Und der kommt Freitag Nachts um 3 Uhr ins Büro?
Warum ein eigenes Netz. Da ist mir das Thema Sicheheit dann ollkommen wurscht. Die MAC brauchst du nur um säter der Statsanwaltschaft klar zu machen das ihr eben kein rechtsradikalismus oder pornographie versendet habt. Wenn das nicht ist, brauchst du auch keien MAC. Ausserdem, wer sagt das diese Person auch diese Person ist? Dürft ihr die Personalausweissdaten Notieren / Kopieren? Hier sind noch ganz andere fragen am rande zu klären die dir nur ein Anwalt deines Vetrausens beantworten kann und darf.
Ich würde hier auch noch nicht mal mein Internetzugang da über einen Router zur Verfügung stellen. Einen eigenen Zugang um mein Firmennetz am laufen zu halten.
Ihr seit euch bewusst das ihr dort als ISP auftretet und euch daher ganz massiv und ganz schnell Ärger einhandelt, vom Datenschutz mal ganz zu schweigen, oder?
Wenn die MAC nur dazu diente ihm ine IP ze geben (nicht notieren oder der Person zuzuweisen zwecks Straftverfolgung), dann eigens Netz (Nein, selbst VLAN wäre mir für mein Firmennetz hier zu unsicher), DHCP mit kurzer Leasedauer, Proxy mit Captive Portal wobei Benutzername / Passwort auch für alle gleich sein könnte, und gut ist.
Feinheiten wie länge der Leasedauer, was ist wenn der Anender sich mit seiner Feundin vergnügt und sein PC in ein Energiesparmodus geht (und dadurch die Inet verbindung gekappt wird d.h. Session verloren), er Patchkabel aus versehen gekappt hat (Session verloren) usw. Dazu fehlen uns aber alle Vorgaben un d vor allem alle Hintergründe und anforderungen eines solchen undurchdachten Szenario und dessen Umsetzung.
Gruß,
Peter
Hallo,
Gruß,
freizeit-techie
Viel der Anwender kennen die MAC gar nicht geschweige wo die steht bzw. wie diese daran kommen um Sie dir sagen zu können.
genau darum soll ja die Infoseite geschalten werden. Mit einer bebilderten Anleitung kann ja jeder die benötigten Infos finden. Ihr wollt an fremden Eigentum Einstellungen verändern?
Nein, der User nimmt die Einstellungen selbst vor. Und wenn er auf seinem privaten Rechner die Einstellungen nicht verändern darf, dann hat er wohl was flasch gemacht. alles sein Wesen bzw. unwesen treibt
geht uns ja auch nichts an, ist ja schließlich ein PrivatrechnerDie kommen in ein eigens Netz
Wir reden hier die ganze Zeit von dem eigenen Netz, welches vollständig von jedwedem anderen Netz getrennt ist.Die MAC brauchst du nur um säter der Statsanwaltschaft klar zu machen das ihr eben kein rechtsradikalismus oder pornographie versendet habt.
genau darum geht es, um nichts anderes. Wie weiter oben schon geschrieben:Die IT wird über einen wechsel der IP / Mac Kombination informiert.
ist die erfassung der Mac bereits umgesetzt.Dazu fehlen uns aber alle Vorgaben un d vor allem alle Hintergründe und anforderungen eines solchen undurchdachten Szenario und dessen Umsetzung.
Das Szenario ist alles andere als undurchdacht, ich kann hier nur nicht viel weiter ins Detail gehen.Gruß,
freizeit-techie
Hallo freizeit-techie,
wenn du aus Datenschutz (oder sonstigen, wohl trivialeren ) Gründen nicht mehr ins Detail gehen kannst, lass es dir von einem Systemhaus deines Vertrauens machen. I.d.R arbeitet Admin nicht sonderlich gut, wenn Admin nicht weiss, was das eigentliche Ziel sein soll.
Ich würde hier in dem Fall, so wie du es zwar nie sagst, aber wohl hinterrücks meinst eine kleine UTM hinstellen. Die loggt entsprechend der Einstellungen, sichert ab, verteilt die entsprechenden Dienste (DHCP, DNS) und spielt transparenter Proxy, was die Settings überflüssig macht.
Beste Grüße,
Christian
certified IT
wenn du aus Datenschutz (oder sonstigen, wohl trivialeren ) Gründen nicht mehr ins Detail gehen kannst, lass es dir von einem Systemhaus deines Vertrauens machen. I.d.R arbeitet Admin nicht sonderlich gut, wenn Admin nicht weiss, was das eigentliche Ziel sein soll.
Ich würde hier in dem Fall, so wie du es zwar nie sagst, aber wohl hinterrücks meinst eine kleine UTM hinstellen. Die loggt entsprechend der Einstellungen, sichert ab, verteilt die entsprechenden Dienste (DHCP, DNS) und spielt transparenter Proxy, was die Settings überflüssig macht.
Beste Grüße,
Christian
certified IT
Hi
Also ich verstehe zwar den Zweck dieser Geschichte nicht so wirklich aber ich würde mir einen Switch zulegen der eine Netzzuweisung anhand der Mac Adresse unterstützt. Wird ein Rechner angesteckt den ich nicht kenne kommt er in Netz B alle Mac adressen die ich kenne kommen in Netz A.
So hinter den switch stelle ich eine Firewall die Netz B mitteilt Egal welche IP du eingibst sie wird auf Webserver 1 mit deiner Komischen seite umgeleitet. bedeutet egal was der DNS zurückliefert die Firewall leitet alles auf Webserver 1
Auf diesem stellst du dann deine Einstellungen bereit.
Ein eingreifen der IT ist aber trotzdem erforderlich der User muss zumindest die Anleitung durchgehen und der IT die MAC Adresse mitteilen per Telefon und die IT muss dem Switch sagen die MAC gehört jetzt zu Netz A.
Wenn dann der Rechner neu gestartet wird bekommt er eine IP von Netz A zugeweisen oder er muss sie wie beschrieben selbst einstellen.
!!! WIE BEREITS GESCHRIEBEN IST DAS ALLERDINGS ALLES NICHT DIE RICHTIGE VORGEHENSWEISE !!
Du weisst nicht welche Rechner du dir da ins Netzwerk holst daher wirst du sehr bald Probleme haben.
Da würde ich eher Laptops Kaufen oder Tabletts und diese so einrichten das sie über WLAN und UMTS in das Firmennetz können und diese den Benutzern mitgeben als das die ihre Privat PCs anschleppen.
LG Andy
Also ich verstehe zwar den Zweck dieser Geschichte nicht so wirklich aber ich würde mir einen Switch zulegen der eine Netzzuweisung anhand der Mac Adresse unterstützt. Wird ein Rechner angesteckt den ich nicht kenne kommt er in Netz B alle Mac adressen die ich kenne kommen in Netz A.
So hinter den switch stelle ich eine Firewall die Netz B mitteilt Egal welche IP du eingibst sie wird auf Webserver 1 mit deiner Komischen seite umgeleitet. bedeutet egal was der DNS zurückliefert die Firewall leitet alles auf Webserver 1
Auf diesem stellst du dann deine Einstellungen bereit.
Ein eingreifen der IT ist aber trotzdem erforderlich der User muss zumindest die Anleitung durchgehen und der IT die MAC Adresse mitteilen per Telefon und die IT muss dem Switch sagen die MAC gehört jetzt zu Netz A.
Wenn dann der Rechner neu gestartet wird bekommt er eine IP von Netz A zugeweisen oder er muss sie wie beschrieben selbst einstellen.
!!! WIE BEREITS GESCHRIEBEN IST DAS ALLERDINGS ALLES NICHT DIE RICHTIGE VORGEHENSWEISE !!
Du weisst nicht welche Rechner du dir da ins Netzwerk holst daher wirst du sehr bald Probleme haben.
Da würde ich eher Laptops Kaufen oder Tabletts und diese so einrichten das sie über WLAN und UMTS in das Firmennetz können und diese den Benutzern mitgeben als das die ihre Privat PCs anschleppen.
LG Andy
Hallo,
habe das Thema nur überflogen. Aber mal davon ab das dein Vorhaben funktioniert und fremde Rechner eine Infoseite mit Konfigurationsmuster erhalten, wie willst du doppelte IP-Adressen etc. vermeiden?
Das Stichwort "Captive Portal" kam ja auch schon auf. Hier wünschst du aber keine Authentifizierung, was aber weniger Arbeit machen würde als ständig die Konfiguration zu ändern. Denn wenn euer User zu Hause andere IP-Adressen nutzt, DHCP etc. muss er jedes Mal seine Adressen ändern. Bei dem CP registriert er sich einmal und kann sich dann dauerhaft auf diesem Portal einloggen. Vorher sieht er nur die Informationsseite, nach Installation kann er problemlos ins Internet.
MAC-Adressen sind dann relativ unwichtig, denn bei Fragen reicht es ja, wenn man weiß welcher Benutzer es war.
Gruß
habe das Thema nur überflogen. Aber mal davon ab das dein Vorhaben funktioniert und fremde Rechner eine Infoseite mit Konfigurationsmuster erhalten, wie willst du doppelte IP-Adressen etc. vermeiden?
Das Stichwort "Captive Portal" kam ja auch schon auf. Hier wünschst du aber keine Authentifizierung, was aber weniger Arbeit machen würde als ständig die Konfiguration zu ändern. Denn wenn euer User zu Hause andere IP-Adressen nutzt, DHCP etc. muss er jedes Mal seine Adressen ändern. Bei dem CP registriert er sich einmal und kann sich dann dauerhaft auf diesem Portal einloggen. Vorher sieht er nur die Informationsseite, nach Installation kann er problemlos ins Internet.
MAC-Adressen sind dann relativ unwichtig, denn bei Fragen reicht es ja, wenn man weiß welcher Benutzer es war.
Gruß
Hallo zusammen,
endlich schaffe ich es wieder hier rein zu schauen.
Da gebe ich dir Recht, für ein Firmennetz ist das sicher richtig, aber es geht hier um ein Wohnheim, in dem Die User ja mit Ihren privaten Rechnern arbeiten sollen und wollen. Richtig, ich habe keinen Einfluss auf diese Rechner. es ist aber nicht anders möglich.
Das stimmt, in der aktuellen Konfiguratioon lässt sich das nicht vermeiden, die Idee ist, das der User im Moment nur seine IP angezeigt bekommt. Später mit DHCP sit das dann ja kein Problem mehr.
Andere Idee:
Angenommen ich verteile über den DHCP die IP des Servers als Gateway, müsste ich dann nicht einfach sämtlichen Traffic für Port 80, der aus dem temporären Netz kommt, von der Firewall auf den Webserver umleiten können?
Gruß
endlich schaffe ich es wieder hier rein zu schauen.
Du weisst nicht welche Rechner du dir da ins Netzwerk holst daher wirst du sehr bald Probleme haben.
Da würde ich eher Laptops Kaufen oder Tabletts und diese so einrichten das sie über WLAN und UMTS in das Firmennetz können und diese den Benutzern mitgeben als das die ihre Privat PCs anschleppen.
Da würde ich eher Laptops Kaufen oder Tabletts und diese so einrichten das sie über WLAN und UMTS in das Firmennetz können und diese den Benutzern mitgeben als das die ihre Privat PCs anschleppen.
Da gebe ich dir Recht, für ein Firmennetz ist das sicher richtig, aber es geht hier um ein Wohnheim, in dem Die User ja mit Ihren privaten Rechnern arbeiten sollen und wollen. Richtig, ich habe keinen Einfluss auf diese Rechner. es ist aber nicht anders möglich.
wie willst du doppelte IP-Adressen etc. vermeiden?
Das stimmt, in der aktuellen Konfiguratioon lässt sich das nicht vermeiden, die Idee ist, das der User im Moment nur seine IP angezeigt bekommt. Später mit DHCP sit das dann ja kein Problem mehr.
Andere Idee:
Angenommen ich verteile über den DHCP die IP des Servers als Gateway, müsste ich dann nicht einfach sämtlichen Traffic für Port 80, der aus dem temporären Netz kommt, von der Firewall auf den Webserver umleiten können?
Gruß
Zitat von @freizeit-techie:
Andere Idee:
Angenommen ich verteile über den DHCP die IP des Servers als Gateway, müsste ich dann nicht einfach sämtlichen
Traffic für Port 80, der aus dem temporären Netz kommt, von der Firewall auf den Webserver umleiten können?
Andere Idee:
Angenommen ich verteile über den DHCP die IP des Servers als Gateway, müsste ich dann nicht einfach sämtlichen
Traffic für Port 80, der aus dem temporären Netz kommt, von der Firewall auf den Webserver umleiten können?
Hi
Ja Richtig genau das habe ich oben bereits geschrieben. Du musst nur 2 verschiedene Netze machen und kannst das mit einer Firewall dann einfach lösen.
Der DHCP ist dann hald nur für Netz B verfügbar.
zb. mit einer Fortigate 40c
Du kannst dann auch gleich den Traffic auf Viren scannen und die ausgehenden Mails Scannen bzw. die eingehenden. Du kannst Webseiten die nicht besucht werden sollen sperren usw. usw.
http://www.fortinet.com/products/fortigate/40C.html
Als Webserver kannst du einen günstigen PC oder auch eine NAS verwenden.
Eine NAS hat den vorteil das man sie auch gleich als Datenablage nutzen kann und das sie kaum Strom braucht.
LG Andy
