Доброго времени суток.

На предприятии создаются несколько удалённых точек с компьютерами (Win10) и доступом через 4G модем (Huawei) в интернет и к 1с.

Все 4G модемы подключаются на урезанные тарифные планы с лимитированным трафиком.

Стоит задача отслеживания посещений пользователем различных сайтов, чтобы в случае перерасхода трафика пользователь не мог спрыгнуть с ответственности.

Собственно необходимы лишь отчёты по выбранным периодам типа "Дата/Время/Адрес/Трафик".

Подскажите пожалуйста программу для этих целей:
как можно меньше занимающую места на диске;
желательно незаметную для пользователя;
в идеале бесплатную.

Безлимитные тарифные планы 4G пожалуйста не советуйте.
Также очень прошу не советовать Гугл, т.к. убил уже целый день на поиск и настройку таких программ, но так ни одна и не подошла: некоторые считают трафик только Interner Explorer-а; некоторые логгируют всё, но только не трафик; некоторые слишком перегружены лишними неотключаемыми функциями или потребляют слишком много системных ресурсов; многие блокируются напрочь как вирусы.

Идеально подходила программка BitTally, однако она напрочь отказалась видеть сетевой адаптер, создаваемый в системе при подключении 4G модема.

Очень прошу посоветовать что-то из Вашего личного опыта.

Заранее благодарю за помощь.

пользователь спрыгнет "не я был за компьютером", надо что то типа прокси с авторизацией. Подсчет трафика только покажет за что наказывать, а не кого

https://3proxy.ru/?l=RU
3proxy 0.8.10 Вышел 25 июня 2017.
живы еще

Для начала заменить 4Г-модемы на 4Г-роутеры

Тогда любая программа подойдет - мониторить вайфай

Traffic Inspector збс раньше был.

(0) Хорошо - пользователь стартует TOR (ни установка, ни админ права не нужны) - что дальше?

(6) Думаю, что там, где хотят считать трафик по сайтам, есть белый список ПО

(7) Там, где есть белый список ПО - не задают вопросы из (0).

(2)
3proxy я так понимаю прописывается в настройках конкретного браузера ? а если юзверь запустит свой portable браузер ?
Прокси бы прокатил при том же ADSL, где жёстко можно прописать шлюз и ДНС. На 4G все адреса задаются модемом.

(3)
увы, замена оборудования невозможна

(5)
пробовал, статистики так и не дождался, зато получил постоянные 60% забитого процессора и кучу ненужных компонентов, оставшихся в системе даже после его полного удаления

(6)
маловероятно, но возможно, от этого никак не защитимся

(7)
увы, нету, т.к. могут сказать, что им нужен доступ к очень многим сайтам именно по работе, такой список нереально будет отслеживать

(9) в настройках он прописывается чтобы смочь выйти наружу. Не прописал - не вышел. Возможно пойдет блайнд прокси https://3proxy.ru/plugins/?l=RU

(9) ПО - это программное обеспечение. Ограничение на его установку и использование, никак не влияет на список сайтов, на которые можно заходить с разрешённого пользователю конкретного браузера.

Может поставить прокси сервер на компьютеры, а всем остальным программам запретить брандмауэром выход в сеть, иначе чем через него.

(9) "но возможно, от этого никак не защитимся" - Защищается на раз запретом запуска. А точнее разрешением запуска только определённого ПО. Всё, что не разрешено - запрещено.

я когда-то squid+sams использовал

(10)
можно прописать его в рабочем браузере, но никто не мешает пользователю запустить свой браузер

(11)
пользователь опять же сможет в брандмауэре открыть себе всё, что угодно. Тогда нужно будет делать уже отдельные учётки без прав администрирования, а это уже повлечёт за собой проблемы с запуском тех же батников под ограниченной учётной записью.

(12)
сегодня им нужно одно, завтра другое, точек со временем будет тьма, и админить это станет адом

(13)
windows 10

(14) Если у пользователя есть права администратора, то он сможет сделать всё, что угодно.
Брандмауэр может управляться групповыми политиками, чтобы их обойти потребуются специальные знания.
Зачем пользователям запускать батники? Это прерогатива администраторов.

(15)
батники на приёмку накладных в учётную систему, выгрузку чеков и создание резервных копий базы данных

"сегодня им нужно одно, завтра другое, точек со временем будет тьма, и админить это станет адом "
Варианты: групповые политики, урезание прав, черный список сайтов(фишки, видео, соцсети). Если заморочиться, то собственный VPN-сервер с единым маршрутизатором в интернет с настраиваемыми черными списками в зависимости от роста трафика на нецелевые сайты.

(16) Обычно исполняются планировщиком. Всегда находятся в доверенном для запуска месте и не доступном рядовым пользователям.
(17) Идея VPN с единым центром фильтрации и протоколирования мне нравится.

(17)
было бы это всё в одной VPN сети - проблемы бы не было, а так каждая точка сам себе хозяин, увы, только так

(19) 4Г свисток прямо в компьютер или через роутер?

(20)
напрямую

(18) Не доступном на запись месте.
(19) Можно поставить на местах VPN-клиенты и мимо них запретить выход в сеть.
Некоторые провайдеры имеют специальную услугу VPN, с меньшей ценой / большей скоростью, но только в пределах организации, купившей себе N рабочих мест, соединённых в единую сеть.

"увы, замена оборудования невозможна"
Купить роутеры с поддержкой ваших модемов и возможностью учета трафика.

(0) У нас Kerio Control используется. Он и режет и считает, и шлюз и файервол, и по пользователям настраивается и так и эдак, и с AD интегрируется.

(20) я проверю вечером перехват 3прокси трафика на локальном интерфейсе. Но если есть админские права, достаточно сарафанного радио и 1го на всю компанию "хорошего знакомого"

internet access monitor

(22) К слову да, МТС организует VPN сети по запросу, да и с мегафоном вроде можно договориться.
Корпоративный тариф и обсуждать с менеджером это всё.

(27) Да можно и самому на базе опенвпна развернуть и весь трафик через центр пропускать. А в центре уже статистику вести.

Мне интересно куда воткнут этот усб модем. В комп юзера или в какое то оборудование, сервер?

(27)
ответили, что организовывают VPN только для структур МВД )

(29)
в комп юзера

>Тогда нужно будет делать уже отдельные учётки без прав администрирования,

у вас еще юзеры и одмины на компах?

красота какая...

весь отдел IT под ж.пу ногой

Я бы на месте юзера принес с собой планшет, воткнул свисток туда, когда приспичит, и не знал бы горя и печали )

(33) лучше после испытательного срока такое делать, чтоб хотя бы за 2 месяца зарплату получить)

(32)
ну у Вас там может и IT отделы, а у нас тут "один за всех, и все на одного" :)
за зарплату ... не, не буду говорить сколько, со смеху помрёте )

(33)
кстати да, идея классная, вообще никакого контроля тогда )

(35) раз нравится, тогда намекните им, запретите, чтоб точно сделали, огромная экономия же, была же волна BYOD вроде, брин ё оувн девайс

Ну тогда свисток нужно "правильный".
Сейчас 4G свистки продаются с внутренней OS, которой в основном через web управляют. Вроде там можно правила в фаерволе сделать. Допустим, что бы можно было только до сервера впн достучатся. А дальше все легко.

(0) дешевле безлимитные тарифы сделать на трудноадминистрируемых распределенных точках, чем вкрячивать централизованный или распределенный софт-прокси с аналитическим функционалом.

если все-таки надо рвать гланды через задний сфинктер, то смотри на софт класса winroute, traffic inspector. В свое время намучались и с "бесплатными" версиями оных, и с платными   и т.п.

чем меньше знает админ, тем больше платит компания, обычно так

(14) >пользователь опять же сможет в брандмауэре открыть себе всё, что угодно

Точно так же он сможет и отключить вашу "незаметную для пользователя" следящую программу. Если есть права админа, все эти игры в кошки-мышки бесполезны.

И вообще, ваши цели и задачи противоречивы.

>чтобы в случае перерасхода трафика пользователь не мог спрыгнуть с ответственности.
>им нужен доступ к очень многим сайтам именно по работе, такой список нереально будет отслеживать
>каждая точка сам себе хозяин

Что вы намерены делать в случае перерасхода? Долго спорить с каждым пользователем по каждому посещенному сайту? Так он вам докажет, что это было нужно для работы.

Просто установите лимит и всё. Всё, что сверх лимита, оплачивается из собственного кармана.

(37) это все хоум-версии, они работают с узким классом задач и как правило кое-как

(37)
4G свистки с внутренней OS и есть, называется прошивка HiLink. Но есть один неприятный нюанс: прошивку мы меняем на DashBoard из-за того, что на HiLink не работает услуга от МТС "Статическое имя" (нужно для доступа к точке через Radmin)

(38)
сейчас прикидываю цены безлимитов, но есть опасность в том, что со временем возможно всё равно запросят, кто куда и сколько нашарился

(39)
лимит есть и сейчас, но в случае перелимита пользователя нужно ткнуть носом, куда ушёл трафик, и если это окажется youtube.com, то вопрос будет сразу закрыт

(41) Да пофиг, Youtube или ВК. Что угодно, но за свой счет. на корп. тарифах есть такая услуга разделения счета на "рабочее" и "личное". Поговорите с МТС.

(41) Ну тогда легко все решается через опенвпн. Ну и статическое имя с опенвпн уже не нужно.

+ (43) Просто нужно немного будет разобраться с опенвпн.
На свистке все блокируем кроме опенвпн, на компе опенвпн клиента ставим.

(44) Он админить не хочет. Это и правда будет геморрой.

(43) зачем опенвпн? это удел тех у кого нет оборудования или доступа к нему. Статика нужна только в центре звезды
(41) http://www.litemanager.ru/ и статика не нужна

(46) Как ты до центра звезды трафик доведешь из точки умник.

(47) стандартным впн виндовым

(48) Во первых он не факт что пролезет модем. Обычно GRE залочен у опсосов.
Во вторых опенвпн можно установить службой, а за стандартным виндовым впн нужно следить. Как отвалится, поднимать руками или скриптом.
В третьих через опенвпн можно рулить маршрутами на клиенте и с хитровывернутыми сетями виндовый впн не поможет. придется писать отдельные скрипты для разруливания.

(49) мне вот пофиг, что опенвпн, что не опен. Но лишняя прокладка без необходимости это минус. Пихать везде опенвпн и ГРЕ это поветрие какое то? Если в Вашей личной задаче нужны хитрозавернутые маршруты ну делайте. Автору впн вообще не уперся.

(50) А по другому трафик, в его варианте, не посчитать.

(51) галка "установить основной шлюз из впн" все сделает

(0) "подключаются на урезанные тарифные планы с лимитированным трафиком." - зря вы это затеяли, ой зряя ...

Это (52) не стыкуется с "Автору впн вообще не уперся."

(54) как то да, ну и бг с ним. Можно конечно без впн, типа убунта и симлесс рдп, но это изврат

Продолжение истории хождения по мукам.

От МТС добились таки создания для нас закрытой сети VPN и присвоения 4G модемам статических внутренних IP-адресов без доступа в Интернет. Это решило проблему отслеживания трафика.

Однако всё оказалось не так гладко: на планшет с Windows 10 программа Mobile Partner от МТС встала и завелась без проблем, а вот при установке модема и программы на центральную точку доступа под управлением Windows Server 2008 R2 на сервере благополучно умерла 1с, отказавшись даже запускаться и сразу закрывавшаяся с ошибкой, к тому же умерли все RDP сеансы с внезапной ошибкой проверки подлинности. Самое обидное, что проблемы остались даже после полного удаления Mobile Partner с сервера.

Сервер-то удалось поднять из копии, но что делать далее, остаётся загадкой. Есть ещё вспомогательный сервер под Windows 2003, но боюсь, что его может постичь та же участь.

MTC такой МТС.

Если этот Mobile Partner нужен только для того, чтобы подключаться/отключаться, то это может сделать rasdial.

Кстати, Гугл подсказывает, что он не от МТС, а от самого Huawei.

(56) а тебе выше не об этом говорили? изобретатели сельскохозяйственных инструментов, балин.
Вместо того чтобы простыми методами решить задачу (в том числе и управленческую) айти начинает множить проблемы

(56) так не надо делать, они из роутинга делают развязку на ярославке, воткните в роутер обычный и пробросьте порты. И лучше взять китайца типа ДЛинк ТПлинк, чтоб не умный был

(59)
какой из вариантов, предложенных выше, Вы имеете ввиду ?

(60)
т.е. взять 4G-роутер, в него воткнуть модем, а роутер в сервер ? и в таком подключении Mobile Partner будет не нужен ?

(0) А Win10 Pro будет? А то весь трафик она и выжрет...

(35) Все проще. Трафик кончился? Сотрудники точки скидываются на оплату опции добавления трафика :) А дальше уже коллектив все сделает.

(62)
Win 10 обновлена, служба обновления отключена, файл Hosts подкорректирован

(63)
а потом сотрудник скажет: ничего не знаю, никуда не лазил )

В файле хост пропишите жестко куда можно ходить и все делов то.

(64) Да пускай говорит все что угодно. Трафик кончился - работа стоит - премии не будет. Там коллектив быстро порядок установит.

(61) типа да, модем в роутер. Давно в свистки не вляпывался, гляньте роуте принт на вин10 со свистком

(67)
это при подключенном модеме

http://i95.fastpic.ru/big/2017/1004/06/c6793a2858a700cc9596017ca3ed7706.png

IP-адрес, присвоенный МТС - 172.18.31.1

(68) красиво, это с услугой локальная сеть? гейтвей странно присвоен и у вас весь трафик завернут в локалку свистков, т.е. будет двойная оплата трафика 1 клиент сервер, и 2 сервер инет.
На сервере будете роутер ставить или чинить 1с + свисток?

(69)
это услуга VPN - закрытая сеть без доступа в Интернет.
на сервере модем с увеличенным проплаченным трафиком, на точках трафика меньше.
по поводу роутера пока не знаю, попробую свисток ещё с Windows 2003 подружить.

(70) на 2003 есть физический адаптер активный кроме свистка,

(71)
да, локальная сетка

(72) вот там и гляньте если не страшно роутинг без свистка и с ним

(70) А для чего на сервере модем? Заведите туда обычный кабель выделенный от мтс.

Увы, на Windows 2003 модем также не взлетел: Mobile Partner установился без проблем, однако 4 устройства так и остались в диспетчере неопознанными. Попытка указать им дрова вручную успехом не увенчалась.

(74)
Выделенный кабель от МТС завести на сервер оказалось также невозможно. У МТС нет в нашем здании никакой разводки.

Последняя надежда остаётся на 4G роутер.

Только подскажите, кто знает, сумеет ли роутер работать с модемом на прошивке Dashboard без установленной программы Mobile Partner, с которой собственно и устанавливались драйвера модема и создавался профиль подключения к VPN ?

поставь впн.
https://www.softether.org/
Настрой там приватную сеть, заблокируй доступ к интернету или только через прокси.

я только так и работаю а то эти rdp и веб клиенты не надежны.

Там можно поставить клиента который автоматом будет подключаться к впн. Трафик можно кстати посмотреть в личном кабинете провайдера, и сравнить его с подключениями к впн.

(76)
К сожалению поздно, уже организовали VPN от МТС.
Теперь осталось только определиться с роутером, который умеет работать с 4G модемом прошивки Dashboard в закрытой сети VPN.

(0)TinyProxy ставишь. только нужно чтобы у людей небыло админских права. ато они эту программу отключат.

(78)
про прокси и прочие программы слежения уже речь не идёт, сейчас проблема - 4G модем.

(79)жалко, что BitTally не работает, очень нравится, может разработчикам написать, добавят возможность работы с 4G-модемами?

Форумчане, помогите кто может, уже мозг сломал себе.

Купили роутер DLink DIR-815/AC.
Поставил на него последнюю прошивку.
4G модем роутер увидел, соединение поднял.
Пытаюсь пинговать на IP, выданный МТС-ом на эту симку - глухо, как в танке.
Уже что только не пробовал.
Вставляешь этот же 4G в ноутбук, и свой собственный выданный МТС-ом IP он прекрасно пингует.

Сейчас роутер подключён на обычный стационарник на вторую сетевую плату.

http://i93.fastpic.ru/big/2017/1018/1a/b2c439fff02a85ff553c0614fa29521a.jpg

http://i91.fastpic.ru/big/2017/1018/ff/42353965cc11bed7a00302e239917aff.jpg

http://i93.fastpic.ru/big/2017/1018/8f/f3b1e9333f0331c384e251f79ddef08f.jpg

http://i89.fastpic.ru/big/2017/1018/87/9ec20a77513abfe520eb0337dea2e487.jpg

должен увидеться IP адрес от МТС 172.18.31.1
но даже в route print его нет

(83) Так он (это маршрут) у тебя в роутере, а не на локальной машине. Покажи маршруты в роутере с подключенным модемом.

(84)

http://i91.fastpic.ru/big/2017/1019/7b/fe5b73db5d8f14275183bec8c579597b.jpg

это таблица автоматической маршрутизации роутера
там есть адрес 172.18.31.1, хотя на этом 4G модеме должен быть как раз 172.18.31.2

вручную больше никакие маршруты в роутере не вводились

(85) IP адреса выданные роутеру еще покажи

(86)
это где именно посмотреть можно ?

Посмотрел по настройкам роутера, свой IP адрес он определяет нормально: на интерфейсе LTE видит 172.18.31.2
в разделе PING также проходят пакеты на 172.18.31.1 (второй 4G модем)

осталось каким-то образом заставить его видеть сетевой интерфейс 192.168.0.1, подключенный от роутера к компьютеру