WLAN Accesspoint der seinen Clients das Internet über einen Proxyserver weist

[4eversr]

Hi,

kurze Frage: Wir haben in der Firma einen SQUID-Proxyserver, ohne dessen "Eintrag" in den Internetoptionen kommt niemand ins Internet. - Das ist gut so und gewollt.

Nun bekommen wir einige dutzend IPADs die alle eingerichtet werden wollen, dazu haben wir temporär einen 3COM WLAN-Accesspoint aufgebaut, der per DHCP Adressen an die IPADs vergibt, so dass wir die IPADs zum Beispiel schon mit lokalen Servern (z.B. 172.16.50.2 ist der Mailserver) im Netz ankoppeln können (die später einmal über VPN erreichbar werden). - Das Blöde ist nur, die IPADs kommen so noch nicht direkt ins Internet, sondern es müssen bei jedem einzelnen Gerät die ganzen Proxysettings händisch eingetragen werden. - Meine Idee war jetzt, diese ganzen nötigen Settings irgendwie schon im Bereich des WLAN-Accesspoints einzutragen, oder einen anderen PC davorzuschalten der die Proxy-Settings kennt, so das auf den IPADs selbst der Proxy nicht eingetragen werden muss (und die gar nicht mitbekommen, dass es einen gibt). - Eine kurze Internetrecherche brachte mich aber nicht wesentlich weiter. (Ich hätte auch noch eine Fritz!Box 7390, vielleicht lässt sich da mit Freetz was zaubern).

Meine Wunschvorstellung:

-> Proyserver hat fest 191.0.0.230:3128 und ist von normalen Clients des 172.16.50.0er Netz zu erreichen (IST-Zustand)

-> SOLL-Zustand: WLAN-Accesspoint hat selbst z.B. die IP 172.16.50.200, hat als DNS z.B. 172.16.50.1 (wie jeder Rechner im Firmennetzwerk) und verteilt per DHCP auch passende 172.16.50.180 bis 190 Adressen. (Das restliche Firmennetzwerk nutzt kein DHCP, alles feste Adressen) - Der Accesspoint selbst kennt den Proxy 191.0.0.230 und kommt über den auch ins Netz, diesen Internetzugang reicht er an die Clients durch.

-> Die Clients bekommen eine Adresse wie z.B. 172.16.50.181 und kommen über den Accesspoint ins Internet ohne selbst zu wissen, dass es einen Proxy-Server gibt. - Aber sie erreichen trotzdem auch die lokalen Server im Firmennetz wie z.B. 172.16.50.2 - Da sehe ich die Schwierigkeit...

-> Ist sowas möglich ?

[lupo49]

Hört nicht gut an. Das verkompliziert die Netzwerkkonfiguration nur auf unnötige Weise. (Du könntest aber generell einen DHCP-Server bereitstellen für alle Clients - Reservierungen für die statischen IP-Adresse einrichten - und in den DHCP-Optionen die Verteilung der Proxy-Einstellungen über eine wpad.dat laufen lassen.)

Wenn es sich um einige dutzend iPads handelt, dann benötigt ihr auch eine Verwaltungssoftware dafür. Wie viele sind es genau? Habt ihr bereits eine Software dafür?

Um zeitnah eine Abhilfe zu schaffen, würde ich eine *.mobileconfig-Datei erstellen, die das WLAN-Profil mit den zugehörigen Proxy-Einstellungen definiert und diese Datei dann per Mail an die iPads verteilen. Dort reicht dann ein Öffnen des Mail-Anhangs (*.mobileconfig) um das Profil zu installieren.

Wenn der Proxy eine Authentifizierung verlangt bei den iPads, dann werden sich die Mitarbeiter bei dir bedanken. Das iOS besitzt den Bug, dass es sich die Authentifizierungsdaten bei HTTPS-Verbindungen nicht merkt und sehr häufig den Authentifizierungsdialog wieder anzeigt, sodass die Anwender jedes Mal aufs neue Ihre Daten eingeben müssen (https://discussions.apple.com/thread/3457661?start=0&tstart=0).

Bearbeitet 16. Dezember 2012 von lupo49

[4eversr]

Ja, wir haben bereits eine professionelle over-the-air Verwaltungssoftware dafür, die auf dem Lotus Notes Traveller aufsetzt... - Aber bereits zum installieren der Verwaltungssoftware/die Startkonfiguration/Zertifikate/VPN usw. wäre es toll die IPADs kurz auf die oben aufgeführte Weise einrichten zu können (Ganz ohne Itunes ) - Dazu müssen die IPADs halt kurzzeitig in beiden Welten unterwegs sein, einmal Verbindung zum lokalen Notes-Server im Netzwerk, aber einmal auch Verbindung ins Internet für Apple-Kram (Registrierung)... - Wenn der Traveller erstmal läuft kriegen die Devices automatisch alle Firmenrichtlinien/VPN usw.

Am Ende werden wir wohl ca. 70-80 Apple Devices damit verwalten, was auch kein Thema ist. - Aber die Erstkonfiguration dauert halt unnötig lange und wäre ein Kinderspiel, wenn man den Devices den Proxy-Internetzugang durchreichen könnte.

- Über die wpad.dat bin ich bei meiner Recherche auch schon gestoßen, habe aber gelesen das alle Apple Devices damit nix anfangen können !? (also neben IOS auch Mac OSx nicht) - Wenn dem nicht so sein sollte, wäre die Einrichtung eines solchen DHCP Servers sicherlich ein Kinderspiel. - Der Proxy benötigt keine Authentifizierung.

Bearbeitet 16. Dezember 2012 von 4eversr

[lupo49]

Nachtrag: Die *.mobileconfig kann natürlich auch per HTTP abgerufen werden. Es ist demnach kein Mail-Konto auf dem iPad notwendig.