Registro por usuario de acceso a Internet

Permítanme preámbulo esto diciendo que tengo un poco de una extraña networking.

Enrutador LAN 1: 10.0.0.254/24, Internet a través de DSL el 10.0.0.254. Enrutador LAN 2: 172.16.2.254/24, puerta de enlace pnetworkingeterminada: 10.0.0.254 (LAN 2 es un enlace privado a otra location, que utiliza nuestro feed para Internet)

El router en LAN 2 desafortunadamente NAT todo el tráfico de 172.16.2.0/24. No puedo cambiar este enrutador – NAT no se puede deshabilitar.

Suponiendo que el único enrutador que tengo el control es LAN 1 (es una caja linux): ¿Cómo puedo registrar el uso (destino IP + Puerto) contra un usuario? Solía ​​asociar a los usuarios por la dirección MAC, pero con este otro enrutador ahora el MAC original será oscurecido – de igual manera la dirección IP original se pierde.

No he visto ninguna evidencia que la autentificación 802.1X trabaja en cualquier cosa less la capa de la networking, así que también parece estar hacia fuera.

La única opción que me queda es usar un proxy SOCKS y requerir que todos los clientes se configuren para usarlo, sin embargo eso también tiene sus trampas (soporte limitado al cliente, solo maneja TCP y UDP, aumenta la utilización de la CPU en el enrutador).

¿Hay algo que me haya perdido? ¿Cómo puedo abordar este problema?

2 Solutions collect form web for “Registro por usuario de acceso a Internet”

Este es un problema difícil.

La mejor solución sería replace el enrutador LAN2 con algo que realmente tiene un grado de control de gestión. Si no puedes inhabilitar NAT hay probablemente otros lugares que este ranurador cae cortocircuito. Sin embargo, mi corazonada es que usted no puede substituir este ranurador con algo más apropiado para las razones políticas (de otra manera usted lo habría hecho ya …).

Mi primera sugerencia sería poner un proxy Squid en algún lugar y utilizar ese logging para el acceso a Internet por usuario. El mejor lugar para ponerlo sería en LAN1, pero entonces todo el tráfico web de clientes en LAN2 aparecerá como originario de la LAN2 Router cortesía de NAT. Usted podría colocarlo abajo del enrutador LAN2, pero entonces usted tendrá que portar fowrard con su NAT así que los clientes de LAN1 pueden alcanzarlo. Hacer esto es algo feo.

Otra idea sería confiar en algo como Netflow, SFlow o RMON si su infraestructura de conmutación en LAN2 (y LAN1) lo admite. Simplemente envíe los puertos adecuados a través de su enrutador LAN2 y coloque su colector de flujo en LAN1. Desafortunadamente, el análisis de flujo es en gran parte Layer-7 inconsciente así que mientras que usted podrá medir statistics del tráfico, del uso y del contador usted no conseguirá los detalles HTTP-céntricos que un proxy de la tela proporcionaría. Todavía podría ser mejor que nada.

Parece que las herramientas de networking típicas no funcionarán en este escenario. Incluso websense utiliza un agente DC para asignar un IP a una count de usuario para la transparencia. Sin un identificador único (mac o IP) para cada cliente creo que estás en path que tendrás que hacerlos autenticar a través de proxy.

  • Copiar files a través de la networking
  • Windows 7 RC1 x64 ya no se conecta a los resources compartidos de networking con contraseña?
  • Ierrs en la interfaz de networking - Pfsense / Freebsd
  • ¿Cómo reenviar el puerto 80 a otro puerto de la samemachine?
  • SPAN / Uso de puerto espejado
  • Cómo encontrar el process que utiliza la mayoría de ancho de banda
  • cómo get información snmp de tráfico de interfaz para routers (cisco, zte, huawei ...)?
  • Cómo medir latencia usando wireshark
  • configuration de la networking
  • Redirección de tráfico en el enrutador
  • Cambio de acceso de usuario limitado a la subnetworking de networking
  • ¿Puedo usar un cable de fibra óptica LC-SC con una NIC 10G que sólo menciona el soporte para cables LC-LC?
  • ¿Es posible configurar un servidor DHCP sólo para localhost?
  • El linux y los temas del servidor de Windows, como ubuntu, centos, apache, nginx, debian y consejos de red.