Internetfreigabe für Clients im Lan

Hi,
also ich würde einen Proxy installieren. Somit kannst du genau festlegen wer wan wo was machen darf. Dazu noch Ports sperren, wie z.B. eMule. ISA wäre dafür das Richtige. Das im Verbund mit AD -> Supersache!! Kommt halt drauf an, wie groß dein Netz ist bzw. wie viele Benutzer. Wenn es insgesamt nur 20 Leute sind, ist ISA übertrieben. Da wäre AllgeroSurf preiswerter. Kann natürlich auch weniger. Kann aber genauso im AD eingebunden -> also Berechtigungen auf AD Benutzer/Gruppen geben.


Gruß
Dani

Aber es gibnt nur einen DHCP und nur ein Subnetz? Soll heissen die Rechner haben
als 1. drei Stellen Ihrer IP alle das gleiche eingetragen? Zum Beispiel 192.168.0.*
oder 192.168.1.* oder so ähnlich ...

Dann kannst Du einfach im DHCP das Standard Gateway mitübertragen, unter Gateway bzw. Standard Gateway trägst Du dann den Proxy ein.

Hallo,

wäre es nicht einfacher dies durch GPO´s in der AD zu steuern ?

Organisationseinheit (ohne Internet) -> rechte Maustaste -> Eigenschaften
"ganz rechter Reiter" Gruppenrichtlinien
Neu -> Name eingeben
Bearbeiten
unter Benutzereinstellungen
Administrative Vorlagen
"Internet Eigenschaften" (weiss jetzt grad nicht wie das genau heisst)

Naja, wenn man einen DHCP Server hat, braucht man eigentlich sowas nicht über GPOs
zu realisieren. Dafür ist DHCP ja da

Man könnte halt auf jedem Subnetz ein Gateway / Router installieren, der dann an das Hauptgateway weiterleitet. Das sollte mit kaskadierten (hintereinandergeschalteten) Jana Servern möglich sein.

Es hängt davon ab wieviel Gruppen (Subnetze) du hast. Nach deiner vagen Beschreibung vermute ich mal das du mit mehreren Layer 3 IP Netzwerken auf einer Layer 2 Struktur (Switch) arbeitest. Generell ein schlechtes Design für IP, funktioniert aber.
Je nachdem wieviel Gruppen (Subnetze) du hast macht es Sinn einen Server mit je einem Netzwerkbein in diese Segmente zu bringen und auf diesem Server dann einen Proxy für alle bzw. DHCP Server für alle laufen zu lassen. Das setzt aber voraus das du einen VLAN fähigen Switch hast und diese IP Sugnetze separieren kannst. Bei einem Mischbetrieb mit unterschedlichen IP Netzen auf einem Layer 2 Switch ist sowas nicht möglich. Hier müsstest du dann mit Loopback Adressen o.ä. auf einem server arbeiten.. Fazit: Fürchterliches Gefrickel !
Nachteil dieser Server Lösung: Ohne den Server/Proxy funktioniert deine Adressvergabe und dein Internetzugang nicht. Alles hängt also an einer Maschine, begrenzte Anzahl von Subnetzen (max. ca. 5) Vorteil: Du kannst zentral den Internet Zugang relativ komfortabel steuern, DHCP mit auf der Maschine ohne externe Aplikation. Realisierbar relativ preiswert mit Linux und Squid Proxy wenn du eine alte Maschine über hast.
Wenn du mehrere Gruppen (Subnetze) hast ist in jedem Falle ein einfacher stackable Layer 3 Switch die stressfreieste Lösung. Du setzt alle deine Gruppen in separate VLANs, routest die über den Switch und schliesst dort einen kleinen DSL-Router an fürs Internet.
Einfach zu konfigurieren und zu realisieren. Die Proxy Lösung kannst du auch immer noch nutzen in so einem Konzept.

Ich vermute du hast oben einen Dreckfuhler gemacht denn in den VLANs müssen deine unterschiedliche Subnetze (Gruppen bei dir..) abgebildet sein. 192.168.x.0 ist ein RFC 1918 Class C Netz also mit 24 Bit Subnetzmaske. So sollte es aussehen
:
192.168.1.X VLAN 1
192.168.2.X VLAN 2
192.168.3.X VLAN 3 usw.

Deinem Topologie Bild folgend muss nur der Switch 3 ein Layer 3 fähiger Switch sein, denn du kannst deine VLANs transparent und portbasierend über dein gesamtes Netz mit 802.1q Trunks ( VLAN tagged Trunks, das können alle Switches ausser Consumer Switches ala Longshine usw.) auf den Switch 3 ziehen. Hier definierst du deine Layer 3 Interfaces und routest zentral zwischen den VLANs bzw. Gruppen. Ein sehr gängiges Switching Szenario.
Hier ist dann auch eine Zugriffssteuerung mit Access Listen möglich z.B. HTTP nur für VLAN 2, FTP verboten für VLAN 3, Server X darf gar nicht ins Internet, usw.
Du hast Recht das DHCP nicht routebar ist aber alle Layer 3 fähigen Switches bieten eine sogenannte Helper Funktion, mit der du BootP Requests (DHCP Requests) dediziert in ein oder mehrere Segmente (Subnetze) forwarden kannst. Der Switch indiziert dabei diese Packete, so das dein zentraler DHCP Server weiss in welches Subnetz er seine Antwort schicken muss. Du musst lediglich auf dem DHCP Server die weiteren Subnetze definieren mehr nicht.
Deine Internet Router könntest du sogar in ein separates DMZ VLAN bringen um dies vom Produktivnetz noch weiter abzuschotten z.B. aus Sicherheitsgründen.