Advies nodig over transparent proxy opzet

Tweakers,

Ik heb een idee in mijn hoofd, maar de uitwerking blijkt nog niet helemaal soepel te lopen. Wellicht dat jullie nog wat tips of advies kunnen geven.

Ik heb thuis twee internet verbindingen die aangesloten zijn op een load balancerer (TP-link TL-ER5120). Na de LB zijn er verscheidene access points (verbonden op de lan poort van de LB) die het draadloze netwerk distribueren via de DHCP server van de LB. Aan één van de lan poorten van de LB hangt ook een Centos bak
(capaciteit genoeg en 2 lan poorten)
Het WIFI netwerk is openbaar toegankelijk.

Er is dus een lokaal netwerk dat toegankelijk is voor iedereen, maar als ze naar buiten willen moet er geautoriseerd(op basis van MAC adres) en eventueel betaald worden. Dit zou moeten gebeuren via een captive portal.

Mijn idee:
Om clients te kunnen autoriseren en toegang te kunnen geven aan het internet wil ik Squid gaan gebruiken in transparent modus. Autorisatie door Squid wil ik gaan doen via PHP (makkelijke connectie naar DB en naar bijvoorbeeld Ideal betalingen). Maar ik strand nu al bij het feit ik de LB niet zo in kan stellen (of ik weet niet hoe?) dat ik al het verkeer naar de Squid kan laten doorsluizen. Is dit überhaupt mogelijk en hoe zit dit met https?
De proxy werkt (poort 3128) als ik deze gewoon in de browser instel bij clients , maar is verder nog niet volledig ingesteld.

Verder is dit de eerste keer dat ik zoiets probeer dus ik neem aan dat ik hardware, software oplossingen of instellingen over het hoofd zie.

Bedankt!

ik neig er inderdaad steeds meer naar toe, omdat pfSense standaard al een captive portal heeft. ik weet alleen niet hoe dit zit met aansluiten op de LB.

zoiets:
LB ---> [eth0 --> pfsense --> eth1] --> switch --> AP ?
Welk systeem gaat dan de dhcp server draaien? LB of pfSense?

Nog even in schema vorm:



Is dit een mogelijkheid?

jacovn schreef op zaterdag 22 juni 2013 @ 21:09:
[...]

Tja, maar of je de juiste antwoorden krijgt is maar afwachten

Ik heb een celeron systeem gebouwd (msi C847MS-E33) met pci-e 2.0x16 en pci2.0x1 en 2 x pci sloten.
Deze omdat hij maar 27 watt gebruikt met een pci-e 2x gigethernet kaart die ik nog had liggen.

Ik wil intern meerder vlans via wifi om mijn dochter achter een transparante proxy en webfilters te zetten.
Dat zijn dan squid en danceguardian.
Zelf wil ik een open wifi verbinding, en ik wil voor gasten een captive portal opzetten met een bandbreedte beperking.

Verder denk ik nog een blocker voor sommige landen en wat logging waar de sessie heen gaan/van komen.

Zal nog wel wat moiete kosten om alles aan de praat te krigen.

Ja dat denk ik ook wel ja. Wel een slim idee om je dochter achter een proxy te zetten :-)

Je maakt jou prive netwerk nog ingewikkelder dan mijn business netwerk haha. Maar wat ik lees in de documentatie en hier op het forum moet pfsense hier geen problemen mee hebben. Ik moet hem eerst maar eens aan de praat krijgen op de server. Hij vind namelijk de RAID 1 schijven niet.

ItsValium schreef op zondag 23 juni 2013 @ 11:29:
pfSense is ideaal voor dit soort zaken. Ik gebruik het ook in echt grote omgevingen en sta er nog altijd van versteld wat je allemaal op een relatief low-budget doosje kan draaien. LB, captive portal en proxy met jouw toekomstige 4 WAN aansluiting mag geen enkel probleem zijn voor zelfs de meest budget pfSense machine die je kan bouwen. Kijk eens naar een supermicro server met bijvoorbeeld het X9SCI-LN4F (4gbit nic's onboard) moederbordje, een xeon E3-1220 en 2*4/8 GB RAM eventueel met nog een extra dual/quadport pcie intel gbit nic en een SSD (64gb is plenty) en je hebt echt een forse bak om al wat je wil op te draaien. En dan spreek je over minder dan 1000 euro hardware.

Echter om alles goed in te stellen moet je wel blijven proberen Het grote voordeel is natuurlijk dat je alles centraal hebt draaien en kan beheren met een vrij makkelijk te gebruiken webinterface, als je éénmaal de in's en out's ervan leert kennen.

Goed om te weten. De server is er al. Een HP ProLiant ML310e Gen8 Server met 4x 500gb in Raid 1(2x). Deze is wellicht te zwaar, maar het zou maar zo kunnen dat er 200 gebruikers straks online zijn. Voor een mooi prijsje kunnen dus dat scheelde.