bolug bonner linux user group
news about wissen files archive hilfe suchen  

 

archive :: SchAN-User

druckfassung

SchAN-User

Re: [Schan-user] Fragen zu Proxy in mehreren Subnetzen ...

To: schan-user@xxxxxxxxxxxxxxxxx
Subject: Re: [Schan-user] Fragen zu Proxy in mehreren Subnetzen ...
From: hhullen@xxxxxxxxxxxx (Helmut Hullen)
Date: 09 Dec 2012 14:43:00 +0100
Hallo, Pitt,

Du meintest am 09.12.12:

> Unser Arktur hat 3 Netzwerkkarten:
> Die erste bedient das Subnetz 192.168.178.0/24, in dem sich neben dem
> Arktur lediglich der VDSL-Router, hier eine Fritzbox (3270) und ein
> AdminPC tummeln.

> Die zweite Netzwerkkarte bedient das SuS-Subnetz 192.168.0.0/24, in
> dem sich bisher eigentlich alle PC, also neben den ganzen
> SuS-Rechnern auch die PCs der Smartboards, des Lehrerzimmers und
> anderer Fachräume tummeln. Es gibt in der Bibliothek PC-Inseln, in
> denen SuS in Freiblöcken und Pausen oder in Gruppenarbeitsphasen
> selbstständig arbeiten. Seit kurzem hängt in diesem Subnetz auch ein
> WAP (WLAN-Access-Point) über den die SuS mit ihren Smartphones und
> Tablets/Net- & Notebooks über unseren Proxy ins Web dürfen.

Das wird schnell eng.
Bei der CIDR-Maske "/24" sind max. 2^8 IP-Adressen frei, faktisch ist  
die Obergrenze bei etwa 200.
Die ist bei privaten Smartphones rasch erreicht.

> All das wird nun etwas eng. Und, eigentlich sollten die Lehrer in
> ihrem Fach-/unterricht ohne Schutzfilter arbeiten dürfen. Das geht,
> da man bestimmte PCs vom Squidguard durchlassen darf.

Das läuft auf ABM hinaus.
"squidGuard" reagiert faktisch nur auf IP-Adressen (wenn er auch auf  
Usernamen reagieren soll, dann muss sich jeder User zum Surfen bei Squid  
"authentifizieren").

Ist bei "squid" genauso. In beiden Fällen kannst Du zwar eine Liste mit  
bekannten IP-Adressen führen (lassen), von denen aus mehr erlaubt ist.  
Aber bei privaten Geräten läuft auch das auf ABM hinaus.

> Dennoch muss auch auf diesen Rechnern der Proxy, also Arktur,
> konfiguriert sein. Schwierig wird es, wenn LuL dann im Unterricht mit
> ihren eigenen PCs/Tabletts arbeiten wollen, da ich deren MAC gar nicht
> erst wissen möchte, geschweige denn, sie im Squidguard einpflegen will
> ... (Brrr, NEIN)

Eben ...

> Drei Dinge fallen auf:
> 1. Andoit-Phones/Tabletts lassen sich scheinbar ohne "rooting" nicht
> zur Authentifizierung am Proxy konfigurieren. Windows und IOS können
> das problemlos.
> 2. Der WAP ist schnell zu, da Arktur als DHCP für fremde MACs nur
> 40-50 IP- Adressen anbietet und die SuS einfach alle hier rüber in
> Web wollen. Das ist auch für die Leistung des WAP schon zuviel, er
> dient auch nur als Überbrückung, bis im Haushalt etwas "dickeres"
> kommt ... (Dennoch werden wir da einen gewissen "Engpass" lassen
> wollen) 3. Der Proxy macht in vielen Bereichen Probleme, die ich nur
> wegadministrieren kann, wenn es schuleigene PCs sind. Es gibt
> Programme und Windows-Versionen, die sich nicht überreden lassen, den
> Proxy zu akzeptieren. (Windows selbst macht ja schon Mucken, wenn es
> nicht auf seinen eigenen Explorer-Eintrag schauen möchte, aber selbst
> ein "winhttp" akzeptiert es nicht immer :-(. Hier punktet übrigens
> das iPad III eindeutig

> B) Ideen und Fragen:
> 1.) Macht es Sinn, Arktur vom etwas zu engen 192.168.-Subnetz auf ein
> 10.- Subnetz umzustellen oder eher komplett neu aufzusetzen? Was
> müsste ich dabei alles umkonfigurieren?

Was am ehesten funktionieren sollte (auf jeden Fall theoretisch ...):
weitere Netzwerkkarte, z.B. im Netz 192.168.16.0/28.
Die reicht dann von 192.168.16.1 bis 192.168.31.254, also für etwa 4000  
IP-Adressen.

Die erste Netzwerkkarte (192.168.0.0/24) wird so benutzt, dass nur für  
sie per DHCP quasi feste IP-Adressen (auf MAC-Basis) vergeben werden.  
Und dann kann für bestimmte Maschinen ("Lehrer-Rechner") mehr erlaubt  
werden.

Wer sich über die zweite Karte einloggt, der arbeitet mit reduzierten  
Rechten.

> C) Zukunft & Lizenzen:
> Wir nutzen bei den Clients immer noch das für 2014 abgekündigte
> WinXPpro mit einer Volumenlizenz. Das funktioniert zusammen mit Rembo
> prächtig.

> Aber, da Rembo uns keine weiteren Lizenzen mehr verkaufen möchte,
> denke ich entweder über den Biss in den Sauren Apfel nach, zu einem
> HD-Sheriff zurückzukehren oder einmal die Alternativ Linbo zu
> probieren.

Die Zukunft von Linbo ist ungewiss. Der offizielle Zweig der  
"Musterlösung" aus Baden-Württemberg wird demnächst von einem  
kommerziellen Mitbewerber weitergeführt werden. Und beim "privaten"  
Zweig ist bisher ungewiss, ob Klaus Knopper auch ohne finanzielle  
Unterstützung weiterentwickelt und -pflegt.

> D) Last but not Least:
> Inwiefern könnte man zukünftig den Zugriff auf "einen" Server über
> mehrere Schulen umsetzen?

Da würde ich mit Netz und doppeltem Boden arbeiten, weil ja immer mal  
eine Maschine oder das Netz ausfallen kann, der Rest aber möglichst  
ungestört weiterarbeiten muss. Eine Ausfallsicherheit wie z.B. im VW- 
Konzern oder im Bereich der Deutschen Bank dürfte unbezahlbar sein, und  
die funktioniert dort nur (und auch nicht allüberall), weil zur  
Betreuung geschultes Personal vorgehalten wird.

> Ein Server wie Arktur, der hinter einem
> asynchronen VDSL liegt, könnte da kaum mithalten, es sei denn man
> fände eine respektable Methode, einen Dedizierten Server einer
> Serverfarm oder irgendeine Cloud quasi über Nacht zu synchronisieren.

Das ist schon jetzt möglich, auf Basis von "rsnapshot". Erweitert durch  
den "Backup- und Reserverechner":

   http://helmut.hullen.de/Arktur/basteln/Reserverechner.html

Viele Gruesse!
Helmut

_______________________________________________
schan-user mailing list
schan-user@xxxxxxxxxxxxxxxxx
http://www.heise.de/bin/newsletter/listinfo/schan-user

 

seitenanfang


 

news about wissen files archive hilfe suchen  
kontakt letzte änderung: 09.12.2012