Proxy-server og bærbare maskiner på reise

[MrNutcase]

Har en liten utfordring, når det gjelder bruk av proxy-server på bærbare maskiner.

 

I nettverket vårt har vi en proxy/webfilter-server, som er tildelt alle domenebrukerne via GPO. Brukerne kan ikke forandre denne innstillingen i Internet Explorer, og blir 'tvunget' gjennom proxyen. Dette gjelder både stasjonære og bærbare maskiner.

 

I innstillingene har vi lagt inn unntak for VPN, slik at brukerne kan nå et webgrensesnitt for VPN, koble seg til og fortsette å surfe når proxy er tilgjengelig gjennom VPN-oppkoblingen. Dette er fremgangsmåten når brukerne har hjemmekontor f.eks der man kobler seg direkte til et trådløst nett.

 

Problemstillingen er som følger:

Når en bruker tar med seg sin bærbare maskin på reise vil man gjerne bruke internett når man er på flyplass, hotell osv.

 

Ofte fungerer det slik at det trådløse nettet er åpent, men man kjøper 'internett-tid', og må registrere seg på en portal med en eller annen form for tilgangskode før man kan surfe videre.

 

Problemet er at Internet Explorer er låst mot proxy, og dermed kan man ikke nå denne portalen når ikke proxy er tilgjengelig. Det blir en slags ond sirkel. Proxy-serveren blir jo ikke tilgjengelig før man er på nett med VPN, og man er ikke på nett før man har har fått gå videre fra portalen til hotellet/flyplassen/. Noen som fremdeles henger med?

 

 

 

Noen som har vært borti liknende problemstilling?

[DeadManWalking]

Hva er poenget med proxy-serveren?

Det raskeste er jo bare å fjerne hele proxy-opplegget på bærbare maskiner.

(Vist det kun handler om å hindre bruk av facebook i arbeidstiden vil vel en egen DNS server gjøre jobben?)

Endret 9. desember 2009 av Algific

[MrNutcase]

Hva er poenget med proxy-serveren?

Det raskeste er jo bare å fjerne hele proxy-opplegget på bærbare maskiner.

(Vist det kun handler om å hindre bruk av facebook i arbeidstiden vil vel en egen DNS server gjøre jobben?)

 

Proxyen blir nok værende, også for bærebare maskiner.

 

Jeg er mer interessert i noe sånt som dette. Proxy auto-config

 

Tenkte å høre om noen har prøvd denne metoden, før jeg eventuelt begynner å eksperimentere litt.

[NikkaYoichi]

Er det ikke like greit å la brukerne få muligheten til å slå av proxyen? De vil jo ikke kunne bruke bedriftens nett uten proxy, men man hindrer dem samtidig ikke i å bruke andre nett.

 

Når de så logger på hjemme så vil ikke maskinen finne policyen og dermed ikke få problemer med proxyen.

[DeadManWalking]

Og IKT ansvarlige rundt om lurer på hvorfor ansatte tar "kontroll" over sine egne maskiner...... Lykke til. Jeg støtter stort sett begrensninger vist de fungerer i praksis. Noe det åpenbart ikke gjør her.

Endret 9. desember 2009 av Algific

[CrZy_T]

Hvis dere kun bruker IE, så kan dere jo se på WPAD.

[xcomiii]

Helt enig med mange her, det øker ikke sikkerheten nevneverdig, men øker heller sjangsen for at noen luringer gjør hva som helst for å komme seg rundt problemet. Dessuten er proxy noe gammeldags, var mest aktuelt før når båndbredde var et problem. Nok et eksempel på misforstått sikkerhet.

 

Uansett, en dårlig løsning dersom sikkerhet/kontroll er formålet. Terminal servere/Citrix dekker ofte dette behovet. Auto-Proxy fungerer helt sømløst kun når nettverket har lagt inn diverse DNS og DHCP records/options, noe som ikke er tilfelle på hotell/flyplasser, ergo er du like langt.

 

Windows7 har støtte for direkte VPN tilkobling uten VPN klient, men da må du inn med IPv6 og Win2008R2 på nettverket ditt.

 

Eller utstyre alle bærbare med 3G tilkobling.

[CrZy_T]

Uansett, en dårlig løsning dersom sikkerhet/kontroll er formålet. Terminal servere/Citrix dekker ofte dette behovet. Auto-Proxy fungerer helt sømløst kun når nettverket har lagt inn diverse DNS og DHCP records/options, noe som ikke er tilfelle på hotell/flyplasser, ergo er du like langt.

 

Nei, men når den da ikke finner WPAD-info så skal den vel faile over på direkte tilkobling og dermed fungerer på hotell/flyplasser?

[MrNutcase]

Tydelig et tema som engasjerer dette her

 

Har nå eksperimentert litt med proxy.pac fil lokalt på maskinen, som konfigurerer IE til å bruke proxy når man har IP fra et bestemt subnet, mens den går direkte på nett hvis man ikke har IP fra dette subnettet.

 

Det vil i praksis si at bærbare maskiner bruker proxy når de er innomhus, mens man tillater direkte oppkobling når de er hjemme/på reise i et annet subnett, uten at man trenger å slå av/på noe manuelt.

[Blårens]

Si meg er det bare Internet explorer som er låst til proxy?

Du kan jo prøve Firefox portable?

 

Jeg lider også under samme greia.. VPN =/

Derfor jeg kjøpte meg en stor datasekk (på bedriftens regning seff) å tok med meg min private laptop også. Da har jeg mulighet til å surfe fritt når jeg er på reise

Endret 10. desember 2009 av MongoMan

[Zerge]

Hvorfor kjøre manuelt proxyoppsett på klientene i første omgang ?! Det fungerer knirkefritt å benytte seg av en transparent proxy på bedriftsnettet. Hensikten er å ikke la klientmaskinene se proxien, men all trafikk routes gjennom den i en hensiktsmessig brannmur. På den måten er klientene helt åpne for å kunne benytte seg av andre nett der de måtte befinne seg, og hvis de kobler seg opp via VPN kan trafikken videre gå gjennom bedriftens proxy.

[tyldum]

Hva er poenget med proxy-serveren?

Det raskeste er jo bare å fjerne hele proxy-opplegget på bærbare maskiner.

(Vist det kun handler om å hindre bruk av facebook i arbeidstiden vil vel en egen DNS server gjøre jobben?)

 

Proxyen blir nok værende, også for bærebare maskiner.

 

Jeg er mer interessert i noe sånt som dette. Proxy auto-config

 

Tenkte å høre om noen har prøvd denne metoden, før jeg eventuelt begynner å eksperimentere litt.

 

Brukt dette med hell en rekke ganger. Bedre løsning enn transparent proxy (som brekker en haug med sider, spesielt hallveis dårlige webapplikasjoner bedrifter ofte er utsatt for).

Med å bruke en PAC-fil kan du lage god logikk på unntak. F.eks kan du fortelle klienten om å koble direkte hvis den ikke befinner seg i en av IP-rangene til bedriften.

En annen mulighet er å legge til en 'direct' som last resort, så kan brukerne surfe også dersom proxy er nede.