bolug bonner linux user group
news about wissen files archive hilfe suchen  

 

archive :: SchAN-User

druckfassung

SchAN-User

Re: [Schan-user] Fragen zu Proxy in mehreren Subnetzen ...

To: Schulen ans Netz - Anwender <schan-user@xxxxxxxxxxxxxxxxx>
Subject: Re: [Schan-user] Fragen zu Proxy in mehreren Subnetzen ...
From: Pitt Leidner <pitt.leidner@xxxxxxx>
Date: Mon, 10 Dec 2012 16:42:43 +0100
Hallo Helmut,

Am Sonntag, 9. Dezember 2012, 14:43:00 schrieb Helmut Hullen:
> Hallo, Pitt,
> 
> Du meintest am 09.12.12:
> > Unser Arktur hat 3 Netzwerkkarten:
> > Die erste bedient das Subnetz 192.168.178.0/24, in dem sich neben dem
> > Arktur lediglich der VDSL-Router, hier eine Fritzbox (3270) und ein
> > AdminPC tummeln.
> > 
> > Die zweite Netzwerkkarte bedient das SuS-Subnetz 192.168.0.0/24, in
> > dem sich bisher eigentlich alle PC, also neben den ganzen
> > SuS-Rechnern auch die PCs der Smartboards, des Lehrerzimmers und
> > anderer Fachräume tummeln. Es gibt in der Bibliothek PC-Inseln, in
> > denen SuS in Freiblöcken und Pausen oder in Gruppenarbeitsphasen
> > selbstständig arbeiten. Seit kurzem hängt in diesem Subnetz auch ein
> > WAP (WLAN-Access-Point) über den die SuS mit ihren Smartphones und
> > Tablets/Net- & Notebooks über unseren Proxy ins Web dürfen.
> 
> Das wird schnell eng.
> Bei der CIDR-Maske "/24" sind max. 2^8 IP-Adressen frei, faktisch ist
> die Obergrenze bei etwa 200.
> Die ist bei privaten Smartphones rasch erreicht.
>
Eben, war ja früher mit rund 60 PCs und etwas Peripherie kein Thema.
 
> > All das wird nun etwas eng. Und, eigentlich sollten die Lehrer in
> > ihrem Fach-/unterricht ohne Schutzfilter arbeiten dürfen. Das geht,
> > da man bestimmte PCs vom Squidguard durchlassen darf.
> 
> Das läuft auf ABM hinaus.
> "squidGuard" reagiert faktisch nur auf IP-Adressen (wenn er auch auf
> Usernamen reagieren soll, dann muss sich jeder User zum Surfen bei Squid
> "authentifizieren").
> 
Das ist bekannt und während des Unterrichts kaum geheim einzutippen. An den 
Smartboards ist dazu eine virtuelle Tastatur nötig, jeder SuS kann zuschauen, 
was getippt wird. Das ist also keine Lösung für diesen Bereich, jedoch für die 
anderen Bereiche durchaus, zumal jeder auf seinem Client die Daten permanent 
speichern kann, solange nur er an seinem eigenen Client arbeitet.

> Ist bei "squid" genauso. In beiden Fällen kannst Du zwar eine Liste mit
> bekannten IP-Adressen führen (lassen), von denen aus mehr erlaubt ist.
> Aber bei privaten Geräten läuft auch das auf ABM hinaus.
>
ABM meint hier Arbeitsbeschaffungs...?
 
> > Dennoch muss auch auf diesen Rechnern der Proxy, also Arktur,
> > konfiguriert sein. Schwierig wird es, wenn LuL dann im Unterricht mit
> > ihren eigenen PCs/Tabletts arbeiten wollen, da ich deren MAC gar nicht
> > erst wissen möchte, geschweige denn, sie im Squidguard einpflegen will
> > ... (Brrr, NEIN)
> 
> Eben ...
> 
Wir verstehen uns ;-)

> > Drei Dinge fallen auf:
> > 1. Andoit-Phones/Tabletts lassen sich scheinbar ohne "rooting" nicht
> > zur Authentifizierung am Proxy konfigurieren. Windows und IOS können
> > das problemlos.
> > 2. Der WAP ist schnell zu, da Arktur als DHCP für fremde MACs nur
> > 40-50 IP- Adressen anbietet und die SuS einfach alle hier rüber in
> > Web wollen. Das ist auch für die Leistung des WAP schon zuviel, er
> > dient auch nur als Überbrückung, bis im Haushalt etwas "dickeres"
> > kommt ... (Dennoch werden wir da einen gewissen "Engpass" lassen
> > wollen) 3. Der Proxy macht in vielen Bereichen Probleme, die ich nur
> > wegadministrieren kann, wenn es schuleigene PCs sind. Es gibt
> > Programme und Windows-Versionen, die sich nicht überreden lassen, den
> > Proxy zu akzeptieren. (Windows selbst macht ja schon Mucken, wenn es
> > nicht auf seinen eigenen Explorer-Eintrag schauen möchte, aber selbst
> > ein "winhttp" akzeptiert es nicht immer :-(. Hier punktet übrigens
> > das iPad III eindeutig
> > 
> > B) Ideen und Fragen:
> > 1.) Macht es Sinn, Arktur vom etwas zu engen 192.168.-Subnetz auf ein
> > 10.- Subnetz umzustellen oder eher komplett neu aufzusetzen? Was
> > müsste ich dabei alles umkonfigurieren?
> 
> Was am ehesten funktionieren sollte (auf jeden Fall theoretisch ...):
> weitere Netzwerkkarte, z.B. im Netz 192.168.16.0/28.
> Die reicht dann von 192.168.16.1 bis 192.168.31.254, also für etwa 4000
> IP-Adressen.
> 
Das sollte reichen :-{ (lässt mich an meine erste 20 MiBi HDD denken ;-)

> Die erste Netzwerkkarte (192.168.0.0/24) wird so benutzt, dass nur für
> sie per DHCP quasi feste IP-Adressen (auf MAC-Basis) vergeben werden.
> Und dann kann für bestimmte Maschinen ("Lehrer-Rechner") mehr erlaubt
> werden.
>
Das würde ich so gern einrichten: Meinetwegen 50 PCs, die nur im Unterricht 
von Lehrenden benutzt werden und etwa gleichviel, die per DHCP bedient und als 
private PCs der Lehrenden verstanden sind.

> Wer sich über die zweite Karte einloggt, der arbeitet mit reduzierten
> Rechten.
>
Genau, also die ganzen SuS Tablett/Smart & netbooks

> > C) Zukunft & Lizenzen:
> > Wir nutzen bei den Clients immer noch das für 2014 abgekündigte
> > WinXPpro mit einer Volumenlizenz. Das funktioniert zusammen mit Rembo
> > prächtig.
> > 
> > Aber, da Rembo uns keine weiteren Lizenzen mehr verkaufen möchte,
> > denke ich entweder über den Biss in den Sauren Apfel nach, zu einem
> > HD-Sheriff zurückzukehren oder einmal die Alternativ Linbo zu
> > probieren.
> 
> Die Zukunft von Linbo ist ungewiss. Der offizielle Zweig der
> "Musterlösung" aus Baden-Württemberg wird demnächst von einem
> kommerziellen Mitbewerber weitergeführt werden. Und beim "privaten"
> Zweig ist bisher ungewiss, ob Klaus Knopper auch ohne finanzielle
> Unterstützung weiterentwickelt und -pflegt.
>
Danke für diesen Hinweis. Dann möchte ich nicht schon wieder auf einen 
sterbenden Schwan namens "Rambo" setzen. Wie schaut es da mit Fog aus? Ließe 
sich das mal irgendwann live betrachten?

> > D) Last but not Least:
> > Inwiefern könnte man zukünftig den Zugriff auf "einen" Server über
> > mehrere Schulen umsetzen?
> 
> Da würde ich mit Netz und doppeltem Boden arbeiten, weil ja immer mal
> eine Maschine oder das Netz ausfallen kann, der Rest aber möglichst
> ungestört weiterarbeiten muss. 
> 
sehe ich genauso

> Eine Ausfallsicherheit wie z.B. im VW-
> Konzern oder im Bereich der Deutschen Bank dürfte unbezahlbar sein, und
> die funktioniert dort nur (und auch nicht allüberall), weil zur
> Betreuung geschultes Personal vorgehalten wird.
> 
Hier könnte eventuell die Live@edu-Kiste helfen, komerziell und dennoch für 
Edu kostenlos und höchst professionell.

> > Ein Server wie Arktur, der hinter einem
> > asynchronen VDSL liegt, könnte da kaum mithalten, es sei denn man
> > fände eine respektable Methode, einen Dedizierten Server einer
> > Serverfarm oder irgendeine Cloud quasi über Nacht zu synchronisieren.
> 
> Das ist schon jetzt möglich, auf Basis von "rsnapshot". Erweitert durch
> den "Backup- und Reserverechner":
> 
>    http://helmut.hullen.de/Arktur/basteln/Reserverechner.html
>
Vor rund 8 Jahren hatte ich so die Daten auf zwei dedizierten Linux-Servern 
über rsync vorgehalten. Das wäre in Schule ja machbar, da des Nachts doch kaum 
Trafic herrscht.
  
> Viele Gruesse!
Ditu
-- 
Mit freundlichen Grüßen

Pitt Leidner
_______________________________________________
schan-user mailing list
schan-user@xxxxxxxxxxxxxxxxx
http://www.heise.de/bin/newsletter/listinfo/schan-user

 « Vorige im Thread  Dieser Thread  Nächste im Thread » 

 

seitenanfang


 

news about wissen files archive hilfe suchen  
kontakt letzte änderung: 10.12.2012