کنترل اینترنت کاربران بدون تداخل با شبکه داخلی

**IT_Pro** · 2012-06-07, 01:11 AM

سلام دوستان عزیز، خسته نباشید.

من برای یک موسسه، یک LAN ساده به صورت ورک گروپ راه اندازی کردم و در حال حاضر سرویس اشتراک پرینتر و فایل در شبکه فعال هست. همچنین کاربران با قرار دادن آیپی مودم به عنوان گیت وی، از اینترنت استفاده می کنند.

حالا تصمیم گرفته شده که سرویس اینترنت محدود بشه و فقط سایت های مورد نیاز هر کاربر، برای اون کاربر باز بشه و بقیه سایت ها مسدود باشن. (مشکلی روی این قسمت ندارم)

( برای این کار یه روتربرد rb750 گرفتم، اما فعلا دارم از RouterOS استفاده میکنم تا پس از گرفتن نتیجه قطعی، روی روتربرد پیاده اش کنم. تعداد کاربران فعلا خیلی کمه و امکان تهیه سرور وجود نداره. )

روی همین RouterOS امکانات مورد نیاز رو به صورت آزمایشی راه اندازی کردم، اما مشکلم روی داشتن موارد زیر در کنار هم هست. ضمنا قراره مودم به پورت اول میکروتیک و سویچ به پورت دوم اون وصل بشه.

من میخوام که:

1) کاربران از DHCP میکروتیک از رنج 192.168.1.0 آیپی اتوماتیک بگیرن و در قسمت Networks ویندوز همدیگه رو ببینن و فایل به اشتراک بذارن و از پرینتر Share شده استفاده کنن، ولی اینترنت نداشته باشن.

2) بدون کوچکترین اختلال در مورد اول، با استفاده از کانکشن pppoe یا شبکه خصوصی مجازی به روتربرد کانکت بشن و از رنج 10.0.0.0 آیپی بگیرن و از اینترنت استفاده کنن.

متاسفانه وقتی PPPOE سرور رو فعال میکنم، کاربران شبکه با کانکت شدن، دیگه دسترسی به پرینتر و فایل های share شده ندارن.
وقتی هم که شبکه خصوصی مجازی رو فعال میکنم، کاربران بدون کانکت شدن، اینترنت نامحدود دارند ولی با کانکت شدن، شبکه داخلی مختل میشه و خبری از پرینتر و فایل های Share شده نیست و پینگ اینترنتشون هم packet loss داره!

سوالم اینه که چطور تنظیمات رو انجام بدم که با کانکت شدن به اینترنت، عملکرد شبکه محلی مختل نشه و اینکه با شرایط ذکر شده، استفاده از سرور PPPOE پیشنهاد میشه یا سرور شبکه خصوصی مجازی؟! (به دلایلی نمیخوام از hotspot برای اشتراک اینترنت استفاده کنم)

(روی نحوه راه اندازی سرور pppoe و شبکه خصوصی مجازی، یا محدود کردن اینترنت مشکلی ندارم.)

این هم عرض کنم که کاربران محل ثابتی ندارند و هر کاربر ممکنه روی هر سیستمی بشینه و کار کنه و نمیشه از مک آدرس کمک گرفت.

ببخشید که سرتون رو به درد آوردم.

پیشاپیش از راهنماییتون ممنونم.

در پناه حق.

**IT_Pro** · 2012-06-07, 11:10 PM

اگر دوستان منو راهنمایی کنند ممنون میشم.

**ICT-M** · 2012-06-08, 09:25 AM

دوست من ، بنا بر دانش اندک خودم که همینجا اعتراف میکنم خودمم درحال یادگیری میکروتیک هستم ولی این سولوشن شما رو میشه با ویندوز حل کرد ، به این صورت که یک ISA نصب میکنید و بعد با 3تا کارت شبکه ، یکی برای 192 یکی برای اینترنت و یکی دیگر هم برای 10 ،بعد شما اولین رول که می نویسید باید دسترسی فول خود ISA به اینترنت بدین و بعد هم یک رول دیگری برای دسترسی فقط VPN Users به اینترنت بدین، و روی همون سرورتون هم با راه اندازی سرویس Routing and Remote Access می تونید از پروتکل های Dynamic مثل RIP استفاده کنید که فقط کافیه NIC هاتون را Add کنید یعنی صرفاً برای راه اندازیش نیاز به دانش اشراف داشتن به این قضیه نداره و تموم این مشکلاتی که گفتین حل میشه ، البته میدونم شماا رفتین صراغ میکروتیک ولی دوست من ، همیشه راه های کم هزینه تری هم وجود دارد که معمولا به عنوان اسباب بازی بهش نگاه میکنن ولی خودم از همین روتر نرم افزاری توی یک جایی استفاده کردم و برای تقریباً 200تا کاربر به راحتی جواب میداد، منم نمی خوام بگم از روتر سخت افزاری بهتره ولی در کنار یک متخصص میتونم بگم پا به پای سیسکو جلو میره !

**al1p0ur** · 2012-06-08, 10:16 AM

نوشته اصلی توسط IT_Pro

سلام دوستان عزیز، خسته نباشید.

من برای یک موسسه، یک LAN ساده به صورت ورک گروپ راه اندازی کردم و در حال حاضر سرویس اشتراک پرینتر و فایل در شبکه فعال هست. همچنین کاربران با قرار دادن آیپی مودم به عنوان گیت وی، از اینترنت استفاده می کنند.

حالا تصمیم گرفته شده که سرویس اینترنت محدود بشه و فقط سایت های مورد نیاز هر کاربر، برای اون کاربر باز بشه و بقیه سایت ها مسدود باشن. (مشکلی روی این قسمت ندارم)

( برای این کار یه روتربرد rb750 گرفتم، اما فعلا دارم از RouterOS استفاده میکنم تا پس از گرفتن نتیجه قطعی، روی روتربرد پیاده اش کنم. تعداد کاربران فعلا خیلی کمه و امکان تهیه سرور وجود نداره. )

...

فایل سرور و پرینت سرور رو چطور share کردید ؟ با اسم ؟! مثلا از طریق همونnetwork که گفتید ؟
اینطوری بعد از ppoe زدن ، اون سرور توسط نام قابل دیدن نیست .
ip سرور فایل و پرینتر رو تو DHCP میکروتیک رزرو کن یا Exclude کن و دستی بده ، که همیشه یه Ip داشته باشن .
شما فایل و پرینت سرور رو با Ip به اشتراک بذار .
بقیه کار ها رو هم که خودت بلدی .

**IT_Pro** · 2012-06-08, 11:05 PM

نوشته اصلی توسط ICT-M

دوست من ، بنا بر دانش اندک خودم که همینجا اعتراف میکنم خودمم درحال یادگیری میکروتیک هستم ولی این سولوشن شما رو میشه با ویندوز حل کرد ، به این صورت که یک ISA نصب میکنید و بعد با 3تا کارت شبکه ، یکی برای 192 یکی برای اینترنت و یکی دیگر هم برای 10 ،بعد شما اولین رول که می نویسید باید دسترسی فول خود ISA به اینترنت بدین و بعد هم یک رول دیگری برای دسترسی فقط VPN Users به اینترنت بدین، و روی همون سرورتون هم با راه اندازی سرویس Routing and Remote Access می تونید از پروتکل های Dynamic مثل RIP استفاده کنید که فقط کافیه NIC هاتون را Add کنید یعنی صرفاً برای راه اندازیش نیاز به دانش اشراف داشتن به این قضیه نداره و تموم این مشکلاتی که گفتین حل میشه ، البته میدونم شماا رفتین صراغ میکروتیک ولی دوست من ، همیشه راه های کم هزینه تری هم وجود دارد که معمولا به عنوان اسباب بازی بهش نگاه میکنن ولی خودم از همین روتر نرم افزاری توی یک جایی استفاده کردم و برای تقریباً 200تا کاربر به راحتی جواب میداد، منم نمی خوام بگم از روتر سخت افزاری بهتره ولی در کنار یک متخصص میتونم بگم پا به پای سیسکو جلو میره !

ممنون دوست عزیز، اما متاسفانه به هیچ وجه امکان تهیه سرور براشون مقدور نیست، هم از لحاظ هزینه، هم از لحاظ نگهداری و پشتیبانی، و همچنین از لحاظ زیرساخت (از جمله برق اضطراری) و ... .

نوشته اصلی توسط al1p0ur

فایل سرور و پرینت سرور رو چطور share کردید ؟ با اسم ؟! مثلا از طریق همونnetwork که گفتید ؟
اینطوری بعد از ppoe زدن ، اون سرور توسط نام قابل دیدن نیست .
ip سرور فایل و پرینتر رو تو DHCP میکروتیک رزرو کن یا Exclude کن و دستی بده ، که همیشه یه Ip داشته باشن .
شما فایل و پرینت سرور رو با Ip به اشتراک بذار .
بقیه کار ها رو هم که خودت بلدی .

از راهنمایی شما هم ممنونم.

شبکه به صورت ورک گروپ هست و فایل سرور در نظر گرفته نشده. هر سیستمی یک فولدر رو به اشتراک گذاشته و برای share کردن فایل ها، کاربرش اون ها رو در این فولدر میذاره و بقیه هم میتونن در این فولدر فایل بریزن. دسترسی از طریق همون نتورک هست.

پرینتر هم روی یکی از سیستم های شبکه هست که share شده.

امکانش نیست که آیپی ثابت بدم! چون یوزرها ممکنه هر زمانی روی یکی از این سیستم ها بشینن و کار کنن و از طرفی برای محدود کردن سایت های مجاز، برای هر یوزر یه آیپی ثابت (از رنج آیپی مشخص شده) تعیین کردم و از طریق فایروال، محدودیت ها رو روی آیپی ها گذاشتم! تا طرف با یوزرش که کانکت میشه، بدون توجه به اینکه روی کدوم کامپیوتر نشسته، محدودیت براش اعمال بشه.

میشه به جای سرویس PPPOE ، از شبکه خصوصی مجازی استفاده کنم؟ (در این صورت مشکلی که پایین تر از مورد 2 در پست اول گفتم رو چطور حل کنم؟)

اصلا با میکروتیک و شبکه موجود، میشه به روش دیگری به کاربران با شرایط گفته شده اینترنت داد، بدون اینکه اشتراک فایل و پرینتر مختل بشه؟!

ببخشید که سرتون رو درد آوردم.
از توجهتون خیلی ممنونم.

**al1p0ur** · 2012-06-09, 06:45 AM

نوشته اصلی توسط IT_Pro

شبکه به صورت ورک گروپ هست و فایل سرور در نظر گرفته نشده. هر سیستمی یک فولدر رو به اشتراک گذاشته و برای share کردن فایل ها، کاربرش اون ها رو در این فولدر میذاره و بقیه هم میتونن در این فولدر فایل بریزن. دسترسی از طریق همون نتورک هست.

پرینتر هم روی یکی از سیستم های شبکه هست که share شده.

امکانش نیست که آیپی ثابت بدم! چون یوزرها ممکنه هر زمانی روی یکی از این سیستم ها بشینن و کار کنن و از طرفی برای محدود کردن سایت های مجاز، برای هر یوزر یه آیپی ثابت (از رنج آیپی مشخص شده) تعیین کردم و از طریق فایروال، محدودیت ها رو روی آیپی ها گذاشتم! تا طرف با یوزرش که کانکت میشه، بدون توجه به اینکه روی کدوم کامپیوتر نشسته، محدودیت براش اعمال بشه.

میشه به جای سرویس PPPOE ، از شبکه خصوصی مجازی استفاده کنم؟ (در این صورت مشکلی که پایین تر از مورد 2 در پست اول گفتم رو چطور حل کنم؟)

اصلا با میکروتیک و شبکه موجود، میشه به روش دیگری به کاربران با شرایط گفته شده اینترنت داد، بدون اینکه اشتراک فایل و پرینتر مختل بشه؟!

ببخشید که سرتون رو درد آوردم.
از توجهتون خیلی ممنونم.

دوست عزیز ، مسئله شما مسئله سخت و یا پیچیده و خاصی نیست !
نمیدونم چرا اینقدر میپیچونیدش !!!

با این شرایط به مشکل میخورید، بهتره یا همه فولدر ها رو روی یک کلاینت بسازید (فایل سرور) یا به کلاینت ها Ip ثابت بدید و فولدرها رو به جای استفاده از network place ، با استفاده از ip به اشتراک بگذارید .
شما خودت جواب خودت رو دادی که

موفق باشید

**IT_Pro** · 2012-06-09, 07:57 AM

نوشته اصلی توسط al1p0ur

دوست عزیز ، مسئله شما مسئله سخت و یا پیچیده و خاصی نیست !
نمیدونم چرا اینقدر میپیچونیدش !!!

با این شرایط به مشکل میخورید، بهتره یا همه فولدر ها رو روی یک کلاینت بسازید (فایل سرور) یا به کلاینت ها Ip ثابت بدید و فولدرها رو به جای استفاده از network place ، با استفاده از ip به اشتراک بگذارید .
شما خودت جواب خودت رو دادی که

موفق باشید

باز هم از لطف و توجه شما ممنونم.

اما متاسفانه همونطور که عرض کردم امکان در نظر گرفتن سرور وجود نداره و از طرفی دیگه هیچ سیستمی هم مداوم و منظم روشن نیست که بخوان فایل ها رو روی اون ذخیره و share کنن.

راستش علاوه بر my network places، سعی کردم با آیپی (هم آیپی اولیه DHCP و هم IP که بعد از لاگین کردن میگیرن) به فایل ها دسترسی داشته باشم، اما نشد! حتی سیستم ها همدیگه رو پینگ نمیکنن!

میرم ببینم چکار میتونم بکنم.

با تشکر.

**IT_Pro** · 2012-06-10, 12:28 AM

خوشبختانه نتیجه گرفتم!

چون برای تست اشتراک فایل، ویندوز دم دست نداشتم، از دو تا ویندوز سرور 2003 صفر کیلومتر نصب شده در vmware استفاده میکردم که تنظیماتش انجام نشده بود.

شکر خدا حتی پس از کانکت شدن با pppoe هم میشد به فایل ها دسترسی داشت، حتی با اسم ویندوزها! با آیپی هم تست کردم و شد.

از توجه دوستان ممنونم، به ویژه جناب al1p0ur عزیز.

اگر سوالی بود باز مزاحم میشم.

موضوع: کنترل اینترنت کاربران بدون تداخل با شبکه داخلی

پیوند

ابزارهای موضوع

نمایش

کنترل اینترنت کاربران بدون تداخل با شبکه داخلی

کلمات کلیدی در جستجوها:

کنترل اینترنت کاربران

کنترل شبکه داخلی

کنترل اینترنت با میکروتیک

کنترل کاربران شبکه

کنترل اینترنت کاربران در شبکه

مدیریت اینترنت در شبکه

راه های محدود کردن حق اینترنت کاربران

چگونگی کنترل کاربران شبکه

كنترل اينترنت كاربران

کنترل اینترنت در میکروتیک

چگونه دو پورت میکروتیک هم را پینگ می کنند

شیرکردن پرینتر بر روی کلاینت ها

محدود کردن اینترنت برای client در روی شبکه

کنترل کاربران اینترنت در شبکه

اشتراک اینترنت route and remote access

كنترل كاربران شبكه

برچسب برای این موضوع

مجوز های ارسال و ویرایش