bolug bonner linux user group
news about wissen files archive hilfe suchen  

 

archive :: SchAN-User

druckfassung

SchAN-User

Re: [Schan-user] Funktioniert wieder: Mehrere Netzwerkkarten

To: Schulen ans Netz - Anwender <schan-user@xxxxxxxxxxxxxxxxx>
Subject: Re: [Schan-user] Funktioniert wieder: Mehrere Netzwerkkarten
From: Juergen Engeland <juergen.engeland@xxxxxxxxxxx>
Date: Sat, 26 Oct 2013 09:13:09 +0200
Hallo Pitt,

wir haben ein WLAN in einem eigenen VLAN (bräuchtest Du auch, wenn Du
Deine AccessPoints nicht direkt an Deine eth2 anschließen könntest) in
genau dem IP-Segment 192.168.2.0/24, wie Du es vor hast.

Zuerst hatte ich dafür auch eine dritte Netzwerkkarte in unserem
Proxy-Server. IP-Forwarding war auf dem Proxy-Server aus. So konnte
dieser auch aus dem WLAN nicht umgangen werden.

Dies war solange ausreichend, wie es nur schuleigene WLAN-Clients gab,
auf denen ich den WPA2-PSK vor SchülerInnen und KollegInnen verbergen
konnte. Auch Macs und unter Windows7 kann man diesen vor niemandem unter
Linux nicht vor dem admin verbergen. Da ist Windows XP echt besser.

Also habe ich nach einem individualisiertem Authentifizierungsverfahren
gesucht. Da wir keine individuellen Benutzerkennungen haben, kam RADIUS
nicht in Frage. Für Dich eventuell schon.
Leider ist RADIUS bei Arktur noch nicht so schön vorbereitet wie bei
linuxmuster.net (oder skolelinux?).

Bei uns habe ich die dritte Netzwerkkarte ausgebaut und die beiden VLANs
durch einen IPCop mit Zerina verbunden. Das WLAN ist wie vorgesehen an
der blauen Schnittstelle angeschlossen, das LAN an der roten, welche
eigentlich für das "böse" Internet gedacht ist. Damit sind private
WLAN-Clients gegen Angriffe aus dem Schulnetzwerk geschützt, wie es die
Richtlinien in HH fordern. Als Hardware reicht bei uns hierfür ein alter
Duron 900 mit 256 MB RAM locker.

Auf den Clients läuft OpenVPN. Damit waren zunächst einmal fast alle
Android- , iOS- und Blackberry-Geräte "draußen, weil deren Anbieter es
nicht für nötig hielten, Ihren Kunden OpenVPN anzubieten, sondern
allenfalls das als unsicher geltende VPN von Microsoft. Inzwischen gibt
ein OpenVPN für Android, für das die Geräte nicht mehr geroutet werden
müssen (es scheitert  dennoch weiterhin am fehlenden Treiber für das
TUN-Device) und auch Apple bietet OpenVPN als kostenlose App an.
Allerdings habe ich noch keine der kleinen Wischtafeln erfolgreich in
unser WLAN eingebunden. Ein Intenso 8'' Tablet stellt zwar die
Verbindung her, stürzt jedoch ab, wenn es die ersten Bytes aus dem WWW
lesen soll. Das iPad benötigt offenbar mit Passwort geschützte Zertifikate.

Die "gefährlichen" Downloads sollte der Proxy-Server für alle
verhindern. Im WLAN sollte der OpenVPN-Server für "Gerechtigkeit" bei
der Verteilung der Bandbreite sorgen - was er gefühlt auch tut. Im
Festnetz habe ich beobachtet, dass auch ein Multicast unseres FOGServers
das Netzwerk nicht lahm legen kann. Die einzige Blockade, die ich im
Zusammenhang mit dem WLAN beobachten konnte war, als ich versucht hatte,
unsere billigen AccessPoints miteinander kommunizieren zu lassen
(mesh-Technologie). Dabei entstanden Broadcast-Stürme. Allein diese
Gefahr ist neben der Sicherheit Grund genug, das WLAN zu trennen.
 
Es wäre natürlich schick, wenn Arktur die Fähigkeit bekäme, WLAN-Zugänge
mit openradius oder freeradius zu verwalten.
Im Bremen habe ich dies versucht, aber noch nicht zum Funktionieren
bekommen. Aber diese Schule ist klein. Dort gibt es noch keine Clients,
auf denen man den WPA2-PSK auslesen könnte und nur der Kollege vor Ort
und ich kennen ihn.
Eine Netztrennung wäre dort ohne Unterstützung der Schulbehörde nicht
möglich, weil wir keinen Zugriff auf die Switches haben. Die
Netztrennung ist jedoch nicht zwangsläufig mit der Authentifizierung
verbunden, so wie ich es in HH gelöst habe.

Viele Grüße
Jürgen



Am 25.10.2013 18:50, schrieb Pitt Leidner:
> Hallo,
>
> Am Freitag, 25. Oktober 2013, 05:10:48 schrieb Miroslaw Wilczak:
>> Hallo Pitt,
>>
>> ich hatte ähnliche Probleme, als ich nach der Arktur Installation den Arktur
>> neu gestartet habe.
>> Lösung:
>> Ich habe die Patschkabel am Arktur vertausch und zwar so, dass die Subnets
>> und Modem / Router Kabel zusammen passten und funktionierten.
>>
>> So habe ich die Sicherheit, dass es nach jedem Neustart vom Arktur, nichts
>> mehr vertaucht wird.
>> Es sei denn, eine kaputt geht, dann wird wieder vertauscht.
>>
> mit Euren Tipps und zwei neuen NICs (Realtec) im Gepäck hab ich heute:
> 1) die beiden onboard-Nic auf dem Motherboard stromlos geschaltet,
> 2) einen Realtec-Nic zu eth0 gemacht,
> 3) den einen noch funktionierende onboard-NIC wieder eingeschaltet.
>
> danach wurde - auf welche Art und Weise auch immer - die Onboard-NIC zur eth0
> und die Realtec-NIC zur eth1. Ab da war auf Arktur alles soweit in Ordnung. 
> VIELEN Dank!
>
>
> Einziger Nachteil bisher, was sich aber seit Kauf des Servers so gestaltet, 
> ist die ewige manuell gestartete Abfolge von 
>       pump -k -i eth1
>       pump -i eth1
>       pump -s -i eth1
> nach jedem Neustart von Arktur.
>
> Die zweite von den Realtec-Karten möchte ich gerne als eigenen Netzwerkstrang 
> für unser WLAN nutzen. Zur Erinnerung:
>  eth0 ist das interne 192.168.0.1/24er Netz
>  eth1 führt als 192.168.178.1/24er Netz zum Router
> die neue - noch nicht verbaute - Netzwerkkarte soll dann als 
> eth2 mit irgendeinem privaten IP.Bereich für die WLAN-Aktivitäten genutzt 
> werden. 
>
> Meine Idee:
>  eth2 als 172.16.0.0/12er oder auch als 192.168.2.0/16er Netz für die WLAN-
> Nutzer (Tablets/Smartphones/etc).Hier muss ich nur noch prüfen, ob die WLAN-
> AccessPoints diesen Adressbereich auch zulasssen. Der Bereich sollte dann 
> auch 
> quotiert sein, so dass die WLAN-Nutzer nicht mit ihren Download die TafelPCs 
> lahmlegen. Nach Helmut kann das squish.
>
> Hat das so ähnlich schon mal jemand umgesetzt? Hier wäre ich über ein paar 
> Konfigurations-Tipps dankbar. Ich würde mir das auch gerne mal vor Ort in 
> einer Schule anschauen, falls das möglich wäre ;-)
>
>
>


_______________________________________________
schan-user mailing list
schan-user@xxxxxxxxxxxxxxxxx
http://www.heise.de/bin/newsletter/listinfo/schan-user

 

seitenanfang


 

news about wissen files archive hilfe suchen  
kontakt letzte änderung: 26.10.2013