Montar rede de sistema publico

[eudes.amarelo87]

Desculpem se ja existe algum topico sobre esse assunto, se tiver por favor me indiquem.
Desculpem se postei no lugar errado.

Estou planejando uma implantação de servico em um orgao publico institucional onde não é permitido o acesso a redes sociais e conteudo pornografico/adulto, e eventualmente podera ser necessario gerar um relatorio de acesso de cada usuario, lembrando que o orgão é institucional e todos os usuarios ja estao cientes das normas e restricoes.

Necessidade:
1. Preciso montar uma rede que sera suprida por 4 links balanceados, qual a melhor forma de balance pra isso?
2. A autenticação tem que ser por Hotspot.
3. Tenho que implantar uma forma de cache.
4. Preciso montar um sistema com firewall que bloqueie o acesso a sites de relacionamento, rede social, conteudo adulto/pornografico.
5. Preciso de um sistema para gerar um relatorio eventual de cada usuario.

Duvida:
É Possivel montar um ballance de 2 links, com uma mikrotik, e usar uma unica maquina como um servidor pra fazer a autenticação hotspot, cache, proxy com firewall? alguem pode me dar umas dicas sobre isso? Se alguem se interessar em me ajudar a implantar consigo pagar alguma gratificação $$

Obrigado.

[eudes.amarelo87]

Planejamento_1.0.doc

Dependendo da carga desses link's, esqueça a RB750G para PCC, use pelo menos uma RB450G!

[1] https://under-linux.org/showthread.php?t=171322



Ao meu ver, a melhor forma de se fazer um controle de acesso é usando proxy, usando "acl's" de bloqueio por domínio e palavras, usando os métodos "url_regex" e "dstdom". Há poucos dias postei aqui meu "squid.conf" com controle por palavras!
Planejamento_1.0.doc
[1] http://paste.ubuntu.com/7095374/



Pode usar o Sarg para monitorar, mas se deseja trabalhar com Webproxy em paralelo com o Squid, já não sei como ficaria os relatórios, quero acompanhar!

[1] http://www.vivaolinux.com.br/dica/In...arg-no-Ubuntu/



O Squid faz cache, mas não sei se chega ao patamar de um Thundercache ou Speedr da vida!

http://ubuntuforum-br.org/index.php?topic=86246.0



Como vai usar uma RB só pra balance, use outra para autenticação! Fica a seu critério o hardware da RB de acordo com a quantidade de clientes!

No que eu puder ajudar melhor, estou aqui presente!

Ola amigo, muito obrigado pela ajuda, ja consegui planejar uma estrutura basica para a rede, segue em anexo o diagrama, vc pode analisar pra ver se ta ok? será que eu consigo utilizar o Sarg mesmo em paralelo com o mk do hotspot?
Planejamento_1.0.doc

[eudes.amarelo87]

Planejamento_1.0.doc

Ola amigo, muito obrigado pela ajuda, ja consegui planejar uma estrutura basica para a rede, segue em anexo o diagrama, vc pode analisar pra ver se ta ok? será que eu consigo utilizar o Sarg mesmo em paralelo com o mk do hotspot?
Planejamento_1.0.doc
Planejamento_1.0.doc

Amigo, seu diagrama não chegou aqui!

Nunca usei o Sarg em paralelo com o Mikrotik, podemos trabalhar nessa juntos!

Amigo aki o anexo >>Planejamento_1.0.doc<<
Me passa algum contato seu pra gente poder discutir mais esse assunto

E se eu colocasse uma unica maquina para autenticar os usuarios, para web-proxy, para cache e para monitorar? seriam necessarios apenas duas placas de rede, creio eu.
att

[felipeandrade55]

Eu faria o seguinte:

Rb 2011UiAS-RM > Balanceamento dos links
Servidor Core I5 8Gb, 2xHd500 > Com pfSense (Controle de sites, cache, controle de velocidade, hotspot, relatórios)

Explicação:

Para balanceamento use a Rb2011, este modelo em especial é montável em rack o que facilita a organização, e fica preparado para futuros upgrades pois tem muitas portas e pode balancear outros link adicionais no futuro.

Quanto a Controle de sites, cache, controle de velocidade, hotspot, relatórios... Aconselho fortemente o pfSense, é uma ferramente muito estável que roda em FreeBSD e possui Squid, SARG e outros mais, inclusive Captive Portal (Equivalente ao hotspot do mikrotik). Não recomendo usar uma Rb para aglomerar todos estes serviços pois ela não vai aguentar tão bem quanto um computador, e o pfSense foi desenvolvido justamente para isso, além do mais é muito fácil de configurar, mais fácil até que montar um servidor linux e instalar tudo na mão, você configura tudo pela interface WEB que é muito intuitiva. Vale a pena estudar esta ferramenta.

[alexrock]

A experiência que tenho:
Proxy manual na rede adm, autenticado, senão vc perde o relatorio dos https, além de que sempre alguns aspones vão poder acessar redes sociais, enquanto os outros não. Desativa o NAT de preferência.
Rede visitantes para quem vai usar temporariamente a conexão, com hotspot, totalmente separada da rede interna, pois alguns Androids não suportam proxy e da dor de cabeça ficar configurando isso.
Hotspot dá merda em rede local, com impressoras, compartilhamentos, etc (pelo menos o do RouterOs). Não use hotspot com recursos compartilhados.
Da pra segmentar isso com Vlan e VAP, fica show.

[eudes.amarelo87]

Eu faria o seguinte:

Rb 2011UiAS-RM > Balanceamento dos links
Servidor Core I5 8Gb, 2xHd500 > Com pfSense (Controle de sites, cache, controle de velocidade, hotspot, relatórios)

Explicação:

Para balanceamento use a Rb2011, este modelo em especial é montável em rack o que facilita a organização, e fica preparado para futuros upgrades pois tem muitas portas e pode balancear outros link adicionais no futuro.

Quanto a Controle de sites, cache, controle de velocidade, hotspot, relatórios... Aconselho fortemente o pfSense, é uma ferramente muito estável que roda em FreeBSD e possui Squid, SARG e outros mais, inclusive Captive Portal (Equivalente ao hotspot do mikrotik). Não recomendo usar uma Rb para aglomerar todos estes serviços pois ela não vai aguentar tão bem quanto um computador, e o pfSense foi desenvolvido justamente para isso, além do mais é muito fácil de configurar, mais fácil até que montar um servidor linux e instalar tudo na mão, você configura tudo pela interface WEB que é muito intuitiva. Vale a pena estudar esta ferramenta.

Ola amigo, nunca tinha ouvido falar sobre essa ferramenta, vou pesquisar mais sobre ela, pelo que ja vi, parece ser interessante...

Estou disponível no Facebook (natalia.bernardes.3382) ou pelo Skype (raramente, rsrs, mas vou dar um jeito de entrar (bernardes.arthur1)).

Ok amigo, ja lhe enviei solicitação no Facebook

A experiência que tenho:
Proxy manual na rede adm, autenticado, senão vc perde o relatorio dos https, além de que sempre alguns aspones vão poder acessar redes sociais, enquanto os outros não. Desativa o NAT de preferência.
Rede visitantes para quem vai usar temporariamente a conexão, com hotspot, totalmente separada da rede interna, pois alguns Androids não suportam proxy e da dor de cabeça ficar configurando isso.
Hotspot dá merda em rede local, com impressoras, compartilhamentos, etc (pelo menos o do RouterOs). Não use hotspot com recursos compartilhados.
Da pra segmentar isso com Vlan e VAP, fica show.

Ola amigo, dificilmente algum dispositivo externo acessar a rede, sera mais especificamente computadores internos fixos, e a questao de compartilhamento de impressoras e arquivos, uma vez ja vi um sistema onde usava-se hotspot para navegação externa, mas a interna funcionava normalmente, oq pode ser isso??
att

[felipeandrade55]

Ola amigo, nunca tinha ouvido falar sobre essa ferramenta, vou pesquisar mais sobre ela, pelo que ja vi, parece ser interessante...



Ok amigo, ja lhe enviei solicitação no Facebook



Ola amigo, dificilmente algum dispositivo externo acessar a rede, sera mais especificamente computadores internos fixos, e a questao de compartilhamento de impressoras e arquivos, uma vez ja vi um sistema onde usava-se hotspot para navegação externa, mas a interna funcionava normalmente, oq pode ser isso??
att

O problema com impressora é o seguinte, podem ser dois problemas, um é o usuário tentar imprimir em uma impressora de rede sem antes se conectar ao hotspot, pois antes do login, o usuario fica bloqueado para acessar a rede, consecutivamente também não acessa a impressora. Segundo que é necessário colocar o ip da impressora como bypassed, para que ela não tenha que se autenticar.

[eudes.amarelo87]

O problema com impressora é o seguinte, podem ser dois problemas, um é o usuário tentar imprimir em uma impressora de rede sem antes se conectar ao hotspot, pois antes do login, o usuario fica bloqueado para acessar a rede, consecutivamente também não acessa a impressora. Segundo que é necessário colocar o ip da impressora como bypassed, para que ela não tenha que se autenticar.

Sim sim amigo, estava vendo sobre isso agorinha a pouco, ja vou baixar o PFsense e por pra rodar em uma maquininha aqui pra ver como ele se comporta, se vou dar conta de operar o bicho, kkkk, em questao da maquina, vc poderia me indicar os componentes pra montar uma, com um bom custo/beneficio??

[felipeandrade55]

Sim sim amigo, estava vendo sobre isso agorinha a pouco, ja vou baixar o PFsense e por pra rodar em uma maquininha aqui pra ver como ele se comporta, se vou dar conta de operar o bicho, kkkk, em questao da maquina, vc poderia me indicar os componentes pra montar uma, com um bom custo/beneficio??

Vai de i5 com uns 8gb de memória pra dar um gás do cache. pfSense faz verificação de vírus também, filtrando a navegação dos clientes, mas consome mais recursos, dai você dimensiona da forma que achar melhor, sempre deixando uns 20% a mais do que você precisa, pra se ter uma margem de segurança.

[eudes.amarelo87]

Vai de i5 com uns 8gb de memória pra dar um gás do cache. pfSense faz verificação de vírus também, filtrando a navegação dos clientes, mas consome mais recursos, dai você dimensiona da forma que achar melhor, sempre deixando uns 20% a mais do que você precisa, pra se ter uma margem de segurança.

Ok amigo, estava planejando mais ou menos esse combo, vc tem experiencia com pfsense?
att

- - - Atualizado - - -

Vai de i5 com uns 8gb de memória pra dar um gás do cache. pfSense faz verificação de vírus também, filtrando a navegação dos clientes, mas consome mais recursos, dai você dimensiona da forma que achar melhor, sempre deixando uns 20% a mais do que você precisa, pra se ter uma margem de segurança.

Ok amigo, estava planejando mais ou menos esse combo, vc tem experiencia com pfsense?
att

[felipeandrade55]

Ok amigo, estava planejando mais ou menos esse combo, vc tem experiencia com pfsense?
att

- - - Atualizado - - -



Ok amigo, estava planejando mais ou menos esse combo, vc tem experiencia com pfsense?
att

Amigo, tenho uma certa experiência sim, a algum tempo não uso mais, pois na minha realidade, não foi possível continuar com ele, vou te explicar. Todos meus clientes que eu precisei filtrar o conteúdo de navegação, tinham mais de 1 link e então a solução seria colocar o Mikrotik como gateway e o pfSense em paralelo, mas o pfSense não foi projetado para isto, e colocando ele em paralelo, não obtive os resultados esperados, não consegui faze-lo funcionar, funciona somente como Gateway, ele pode fazer o balanceamento dos links para mim, e praticamente tudo que o mikrotik faz, mas por ter muito mais experiência com mikrotik, eu não abro mão de te-lo como gateway. Por este motivo não mais trabalhei com pfSense, mas recomendo muito, é uma excelente solução, só não consegui adequar a minha topologia em paralelo, dai tive que usar CentOS+Squid. Porém no seu caso que ele pode ser o gateway da rede, vai ficar perfeito! Até peço aos amigos do fórum que caso alguém consiga usar pfSense em paralelo, compartilhar a solução com a comunidade.

[eudes.amarelo87]

Amigo, tenho uma certa experiência sim, a algum tempo não uso mais, pois na minha realidade, não foi possível continuar com ele, vou te explicar. Todos meus clientes que eu precisei filtrar o conteúdo de navegação, tinham mais de 1 link e então a solução seria colocar o Mikrotik como gateway e o pfSense em paralelo, mas o pfSense não foi projetado para isto, e colocando ele em paralelo, não obtive os resultados esperados, não consegui faze-lo funcionar, funciona somente como Gateway, ele pode fazer o balanceamento dos links para mim, e praticamente tudo que o mikrotik faz, mas por ter muito mais experiência com mikrotik, eu não abro mão de te-lo como gateway. Por este motivo não mais trabalhei com pfSense, mas recomendo muito, é uma excelente solução, só não consegui adequar a minha topologia em paralelo, dai tive que usar CentOS+Squid. Porém no seu caso que ele pode ser o gateway da rede, vai ficar perfeito! Até peço aos amigos do fórum que caso alguém consiga usar pfSense em paralelo, compartilhar a solução com a comunidade.

Amigo, ja instalei o PFSense, so que estou com problemas, não to conseguindo operar o captive portal, e nao consigo achar nada que me resolva o problema, eu preciso que minha autenticação seja feita por usuario e senha, como faço isso? pra mim não serve por vouchers,
att

[felipeandrade55]

Amigo, você consegue fazer das duas formas, veja se o link abaixo te ajuda. Poste seus resultados, sua dúvida pode ser a de muitos...
http://www.pfsense-br.org/blog/2012/...ortal-voucher/

[deson00]

Veja este sistema https://www.bylltec.com.br/ vc pode fazer tudo que precisa, filtro de conteudo, balanceamento, cache, hotspot e muito mais tudo com mikrotik.
Faça cadastro e passeie pelos menus e veja se te agrada.
https://www.bylltec.com.br/

[eudes.amarelo87]

Amigo, você consegue fazer das duas formas, veja se o link abaixo te ajuda. Poste seus resultados, sua dúvida pode ser a de muitos...
http://www.pfsense-br.org/blog/2012/...ortal-voucher/

sim amigo, ja vi esse video, so que esse tipo de autenticação nao serve pro meu cenario, preciso de um com usuario e senha mesmo, tipo o endereço de email da pessoa e uma senha, e que eu tbm consiga limitar a banda e salvar logs desse usuario, como posso fazer isso?
att

Veja este sistema https://www.bylltec.com.br/ vc pode fazer tudo que precisa, filtro de conteudo, balanceamento, cache, hotspot e muito mais tudo com mikrotik.
Faça cadastro e passeie pelos menus e veja se te agrada.
https://www.bylltec.com.br/

Sim amigo, interessante, mas busco por uma ferramenta de preferencia gratuita
att