10
Internetverkehr über Server leiten
Hallo zusammen,
wir sind ein recht kleines Büro mit 3 Mitarbeitern. Da gelegentlich auch Kunden, Lieferanten, Consulter, etc. bei uns sind und über unser WLAN ins Internet gehen, möchte ich nun gerne den gesamten Internetverkehr "absichern", indem dieser über einen gesonderten Server geleitet wird.
Bedeutet also:
Alle Endgeräte, ob nun Smartphone, Tablet, Windows-PC, MacBook, ..., sollen nicht mehr direkt über unsere FritzBox ins Internet gehen, sondern es soll ein Server zwischengeschaltet werden, über den der gesamte Internetverkehr umgeleitet wird.
Aktuelle Situation:
Endgerät (WLAN) > FritzBox > Internet
Gewünschte Situation:
Endgerät WLAN > Server > FritzBox > Internet
Sämtliche besuchten Internetseiten sowie das jeweils auslösende Endgerät sollen geloggt werden, um nachvollziehen zu können, ob unsere Besucher ggf. Seiten besuchen, die nicht ganz "legal" sind. Sprich: Werden Pornos etc. geladen oder illegale Streamingdienste genutzt? Dies möchte ich einfach nur zur möglichen strafrechtlichen Absicherung. Es geht also nicht etwa darum, die Mitarbeiter auszuspionieren.
Die Endgeräte sollen auch weiterhin wie bisher über WLAN ins Internet gehen können.
Unser Internetanbieter ist Unitymedia (KabelBW), der Router ist eine FritzBox 6490. Zusätzlich sind zur Vergrößerung der WLAN Reichweite eine FritzBox 7590 sowie ein FRITZ!WLAN Repeater N/G im Mesh eingerichtet.
Bei den Endgeräten in unserem Büro handelt es sich um:
- iPhone
- iPad
- MacBook
- Windows 10 Laptops
Unsere Besucher haben in der Regel Windows-Laptops.
Ach ja: Der Server soll dann natürlich auch mit Virenscanner und idealerweise auch Firewall ausgestattet werden, um die Sicherheit im Netzwerk allgemein zu erhöhen. Außerdem will ich dieses dann auch zur Speicherung interner Daten inkl. Backup-Funktion nutzen.
Außerdem haben wir einen Onlineshop, den ich gerne auf JTL WaWi umstellen möchte. JTL WaWi soll dann auch auf dem Server laufen und die Mitarbeiter sollen dann via Client über WLAN auf die JTL Datenbank zugreifen können.
Ich selbst habe bislang leider überhaupt keine Erfahrung, wie ich dies bewerkstelligen kann, welche Hardware und welche Softwareich dafür mindestens benötige und wie ich diese einrichten muss. Daher wäre ich Euch sehr dankbar für Unterstützung. Ich hatte zwar vor einigen Jahren durchaus schon mal einen eigenen Apache als FTP- und HTTP-Server eingerichtet. Ich denke aber, dieses Thema geht doch ein ganzen Stück tiefer in die Materie.
Viele Grüße,
Bodo
wir sind ein recht kleines Büro mit 3 Mitarbeitern. Da gelegentlich auch Kunden, Lieferanten, Consulter, etc. bei uns sind und über unser WLAN ins Internet gehen, möchte ich nun gerne den gesamten Internetverkehr "absichern", indem dieser über einen gesonderten Server geleitet wird.
Bedeutet also:
Alle Endgeräte, ob nun Smartphone, Tablet, Windows-PC, MacBook, ..., sollen nicht mehr direkt über unsere FritzBox ins Internet gehen, sondern es soll ein Server zwischengeschaltet werden, über den der gesamte Internetverkehr umgeleitet wird.
Aktuelle Situation:
Endgerät (WLAN) > FritzBox > Internet
Gewünschte Situation:
Endgerät WLAN > Server > FritzBox > Internet
Sämtliche besuchten Internetseiten sowie das jeweils auslösende Endgerät sollen geloggt werden, um nachvollziehen zu können, ob unsere Besucher ggf. Seiten besuchen, die nicht ganz "legal" sind. Sprich: Werden Pornos etc. geladen oder illegale Streamingdienste genutzt? Dies möchte ich einfach nur zur möglichen strafrechtlichen Absicherung. Es geht also nicht etwa darum, die Mitarbeiter auszuspionieren.
Die Endgeräte sollen auch weiterhin wie bisher über WLAN ins Internet gehen können.
Unser Internetanbieter ist Unitymedia (KabelBW), der Router ist eine FritzBox 6490. Zusätzlich sind zur Vergrößerung der WLAN Reichweite eine FritzBox 7590 sowie ein FRITZ!WLAN Repeater N/G im Mesh eingerichtet.
Bei den Endgeräten in unserem Büro handelt es sich um:
- iPhone
- iPad
- MacBook
- Windows 10 Laptops
Unsere Besucher haben in der Regel Windows-Laptops.
Ach ja: Der Server soll dann natürlich auch mit Virenscanner und idealerweise auch Firewall ausgestattet werden, um die Sicherheit im Netzwerk allgemein zu erhöhen. Außerdem will ich dieses dann auch zur Speicherung interner Daten inkl. Backup-Funktion nutzen.
Außerdem haben wir einen Onlineshop, den ich gerne auf JTL WaWi umstellen möchte. JTL WaWi soll dann auch auf dem Server laufen und die Mitarbeiter sollen dann via Client über WLAN auf die JTL Datenbank zugreifen können.
Ich selbst habe bislang leider überhaupt keine Erfahrung, wie ich dies bewerkstelligen kann, welche Hardware und welche Softwareich dafür mindestens benötige und wie ich diese einrichten muss. Daher wäre ich Euch sehr dankbar für Unterstützung. Ich hatte zwar vor einigen Jahren durchaus schon mal einen eigenen Apache als FTP- und HTTP-Server eingerichtet. Ich denke aber, dieses Thema geht doch ein ganzen Stück tiefer in die Materie.
Viele Grüße,
Bodo
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 509415
Url: https://administrator.de/contentid/509415
Printed on: April 19, 2024 at 13:04 o'clock
10 Comments
Latest comment
Moin,
Einfache Variante: Nimm das Gastnetz der Fritzbox udn einen raspberry Pi als Proxy.
Komplexere Variante: Aquis Anleitung WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion) durchackern und implementieren.
lks
Einfache Variante: Nimm das Gastnetz der Fritzbox udn einen raspberry Pi als Proxy.
Komplexere Variante: Aquis Anleitung WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion) durchackern und implementieren.
lks
Hi
was du suchst ist grundsätzlich ein Proxy. Der macht solche Dinge. Squid ist da so ein Kandidat.
Heutzutage verwendet man für sowas allerdings meistens eine NextGen Firewall die hier als Transparent-Proxy arbeitet.
Aber wenn du von sowas keine Ahnung hast, hol dir einen Dienstleister deines Vertrauens ins Boot. Das sind teilweise nicht ganz triviale Dinge.
was du suchst ist grundsätzlich ein Proxy. Der macht solche Dinge. Squid ist da so ein Kandidat.
Heutzutage verwendet man für sowas allerdings meistens eine NextGen Firewall die hier als Transparent-Proxy arbeitet.
Aber wenn du von sowas keine Ahnung hast, hol dir einen Dienstleister deines Vertrauens ins Boot. Das sind teilweise nicht ganz triviale Dinge.
Hallo,
grundsätzlich suchst du nach nem Proxy.
Squid würde ich hier als Platzhirsch bezeichnen.
Apache kann aber auch als Proxy arbeiten.
Bei HTTPS was heute ja normal ist, müsstest du aber die Zertifikatskette aufbrechen umd das ganze Scannen zu können. Um dann aber keine Warnmeldungen bei den Clients zu bekommen müsstest du hier dann selber ein Zertifikat Installieren.
Übrigens bei einer vernünftigen Firewall währ sowas schon eingebaut.
Dann ist's sehr ungut "Fremde" Personen in dein Firmennetz zu lassen.
Somit dein ganzen Konzept kannst du eigentlich in die Tonne werfen.
grundsätzlich suchst du nach nem Proxy.
Squid würde ich hier als Platzhirsch bezeichnen.
Apache kann aber auch als Proxy arbeiten.
Bei HTTPS was heute ja normal ist, müsstest du aber die Zertifikatskette aufbrechen umd das ganze Scannen zu können. Um dann aber keine Warnmeldungen bei den Clients zu bekommen müsstest du hier dann selber ein Zertifikat Installieren.
Übrigens bei einer vernünftigen Firewall währ sowas schon eingebaut.
Dann ist's sehr ungut "Fremde" Personen in dein Firmennetz zu lassen.
Somit dein ganzen Konzept kannst du eigentlich in die Tonne werfen.
Zitat von @SeaStorm:
Hi
was du suchst ist grundsätzlich ein Proxy. Der macht solche Dinge. Squid ist da so ein Kandidat.
Hi
was du suchst ist grundsätzlich ein Proxy. Der macht solche Dinge. Squid ist da so ein Kandidat.
Ein Proxy alleine reicht nicht. Er muß auch die Gäste von seinem eigenen LAN/WLAN trennen, wenn er sichergehen will.
lks
Richtig. Ich muss die "Gäste" von den Internen trennen können. Gerade die Consulter müssen auch mal auf unser System zugreifen können. Da bringt mir das Gastnetzwerk der FritzBox leider nichts. Ich werde mir das mit dem "Squid" mal anschauen.
Zitat von @anboro:
Richtig. Ich muss die "Gäste" von den Internen trennen können. Gerade die Consulter müssen auch mal auf unser System zugreifen können.
Sorry, aber du wiedersprichst dich gerade selbst. Und es ist auch nicht möglich und auch ein Proxy hilft dir dabei nicht.Richtig. Ich muss die "Gäste" von den Internen trennen können. Gerade die Consulter müssen auch mal auf unser System zugreifen können.
Wenn du trennst ist der Zugriff nicht mehr möglich, ohne jetzt das ganze ausufern zu lassen.
Somit wenn du es richtig machst können die Consulter nicht mal auf euer System.
Warum soll das nicht funktionieren? Ich muss doch wohl bestimmten Leuten auch bestimmte Rechte zuweisen können, indem ich Consulter auf bestimmte Verzeichnisse auf dem Server und das Internet zugreifen dürfen, Interne dürfen auf ALLE Daten und das Internet zugreifen, Lieferanten hingegen zum Beispiel nur auf das Internet aber nicht auf die Daten.
Kurz und bündig sollte es doch also eigentlich ein kleines Firmennetzwerk sein. Da gibt es doch die Möglichkeit, bestimmten Usern auch bestimmte Rechte zuzuweisen.
Kurz und bündig sollte es doch also eigentlich ein kleines Firmennetzwerk sein. Da gibt es doch die Möglichkeit, bestimmten Usern auch bestimmte Rechte zuzuweisen.
Meiner Meinung nach wäre das ein Fall für mehrere VLANs und entsprechende SSIDs.
Da kann man dann die entsprechenden Berechtigungen vergeben oder ggf. mit Radius-Auth arbeiten.
Da kann man dann die entsprechenden Berechtigungen vergeben oder ggf. mit Radius-Auth arbeiten.
Zitat von @anboro:
Warum soll das nicht funktionieren? Ich muss doch wohl bestimmten Leuten auch bestimmte Rechte zuweisen können, indem ich Consulter auf bestimmte Verzeichnisse auf dem Server und das Internet zugreifen dürfen, Interne dürfen auf ALLE Daten und das Internet zugreifen, Lieferanten hingegen zum Beispiel nur auf das Internet aber nicht auf die Daten.
Kurz und bündig sollte es doch also eigentlich ein kleines Firmennetzwerk sein. Da gibt es doch die Möglichkeit, bestimmten Usern auch bestimmte Rechte zuzuweisen.
Warum soll das nicht funktionieren? Ich muss doch wohl bestimmten Leuten auch bestimmte Rechte zuweisen können, indem ich Consulter auf bestimmte Verzeichnisse auf dem Server und das Internet zugreifen dürfen, Interne dürfen auf ALLE Daten und das Internet zugreifen, Lieferanten hingegen zum Beispiel nur auf das Internet aber nicht auf die Daten.
Kurz und bündig sollte es doch also eigentlich ein kleines Firmennetzwerk sein. Da gibt es doch die Möglichkeit, bestimmten Usern auch bestimmte Rechte zuzuweisen.
Moin,
Wie ich schon schrieb:
Installiere eine captive-Portal mit getrenntem LAN/WLAN für Gäste. Das geht mit der obengennaten Anleitung mit der pfsense ohen weiteres. Dann kannst Du in der pfsense auch regulieren, wer auf Euer netz auf den Server darf und wer nur ins Internet darf. Allerdings entnehme ich Deiner frageweise, daß Du damit überfordert bist. Du solltest daher einen Dienstleister holen, der das für Dich macht.
Es muß nicht unbedingt die pfsense sein, es gibt genug hersteller wie zyxel, Symantec, watchguard, etc. die auch fertige Appliances dafür anbieten.
lks
Zitat von @anboro:
Warum soll das nicht funktionieren? Ich muss doch wohl bestimmten Leuten auch bestimmte Rechte zuweisen können, indem ich Consulter auf bestimmte Verzeichnisse auf dem Server und das Internet zugreifen dürfen, Interne dürfen auf ALLE Daten und das Internet zugreifen, Lieferanten hingegen zum Beispiel nur auf das Internet aber nicht auf die Daten.
Kurz und bündig sollte es doch also eigentlich ein kleines Firmennetzwerk sein. Da gibt es doch die Möglichkeit, bestimmten Usern auch bestimmte Rechte zuzuweisen.
Fremdgeräte haben im Firmennetzwerk i.d.R. nichts zu suchen. Und ich kann mir auch nicht vorstellen, dass alle internen Mitarbeiter auf ALLE Daten des Unternehmens zugreifen dürfen. Spätestens bei Personaldaten ist Schluss!Warum soll das nicht funktionieren? Ich muss doch wohl bestimmten Leuten auch bestimmte Rechte zuweisen können, indem ich Consulter auf bestimmte Verzeichnisse auf dem Server und das Internet zugreifen dürfen, Interne dürfen auf ALLE Daten und das Internet zugreifen, Lieferanten hingegen zum Beispiel nur auf das Internet aber nicht auf die Daten.
Kurz und bündig sollte es doch also eigentlich ein kleines Firmennetzwerk sein. Da gibt es doch die Möglichkeit, bestimmten Usern auch bestimmte Rechte zuzuweisen.
Wenn Du so etwas wie von Dir angedacht realisieren willst, solltest Du Euren Consultants einen eigenen speziellen Rechner- und Benutzerzugang zur Verfügung stellen. Es wir dann von einem externen Mitarbeiter über Eure Infrastruktur gearbeitet. Dementsprechend kann dann auch das Logging erfolgen.
Wir hatten so etwas seinerzeit per VPN und RDP realisiert. Der Consultant wählt sich mit seinen Zugangsdaten per VPN in das Firmennetzwerk und kann sich anschließend per RDP mit seinem Servicedesktop verbinden. Hier kann er dann seine Arbeiten erledigen.
