bolug bonner linux user group
news about wissen files archive hilfe suchen  

 

archive :: SchAN-User

druckfassung

SchAN-User

Re: [Schan-user] Funktioniert wieder: Mehrere Netzwerkkarten

To: Schulen ans Netz - Anwender <schan-user@xxxxxxxxxxxxxxxxx>
Subject: Re: [Schan-user] Funktioniert wieder: Mehrere Netzwerkkarten
From: Juergen Engeland <juergen.engeland@xxxxxxxxxxx>
Date: Sat, 26 Oct 2013 11:24:12 +0200
Hallo Helmut,

ich weiß, dass Du ein "offenes" WLAN für ausreichend sicher hältst, wenn
die Nutzer sich für den Zugriff auf Netzwerkressourcen und auf das
Internet identifizieren müssen.

Kann man so sehen, jedoch ist es möglich, dass SchülerInnen sich zum
Spielen mit deren Smartphones auf Kosten "meiner" Bandbreite vernetzen
(aus Versehen oder um größere Reichweiten als mit einem adhoc-Netzwerk
zu erreichen) und auch versuchen, andere unzureichend geschützte
Privatgeräte im Schulnetzwerk unerkannt anzugreifen.

Wenn es so sein sollte, dass 192.168.2.0 "zu nah" an 192.168.0.0/24
liegt,  wäre dies der Tatsache geschuldet, dass die IP-Konfiguration für
mehrere Netzwerkkarten bei Arktur an vielen Stellen statisch eingetragen
ist, wo sie es nicht sein sollte.
Die Maske in "sysadm", in der man eine andere IP-Adresse eintragen kann,
hinterlässt ein inkonsistentes System, wenn man es wirklich tut.

Wenn mit zwei IP-Netzwerk-Segmenten ohne VLAN auskommen willst, brauchst
Du entweder getrennte Switches oder VLANs. Alles andere mag zwar
teilweise funktionieren, ist jedoch nicht stabil.

Was RADIUS tun soll, würde im Gegensatz auch zu "meiner" Lösung (da
kritisierst Du sie zu Recht) eben keinen zusätzlichen Aufwand
verursachen. Der individuelle WPA-Schlüssel würde aus der Domänenkennung
generiert. Zumindest mit einem Windows Server habe ich dies ausprobiert.
Möglicherweise bräuchte man auf einem Linux-Server LDAP dafür.

Gruß Jürgen

Am 26.10.2013 09:43, schrieb Helmut Hullen:
> Hallo, Juergen,
>
> Du meintest am 26.10.13:
>
>>> Die zweite von den Realtec-Karten möchte ich gerne als eigenen
>>> Netzwerkstrang für unser WLAN nutzen. Zur Erinnerung:
>>>  eth0 ist das interne 192.168.0.1/24er Netz
>>>  eth1 führt als 192.168.178.1/24er Netz zum Router
>>> die neue - noch nicht verbaute - Netzwerkkarte soll dann als
>>> eth2 mit irgendeinem privaten IP.Bereich für die WLAN-Aktivitäten
>>> genutzt werden.
>>>
>>> Meine Idee:
>>>  eth2 als 172.16.0.0/12er oder auch als 192.168.2.0/16er Netz für
>>>  die WLAN-Nutzer (Tablets/Smartphones/etc).
>> wir haben ein WLAN in einem eigenen VLAN (bräuchtest Du auch, wenn Du
>> Deine AccessPoints nicht direkt an Deine eth2 anschließen könntest)
>> in genau dem IP-Segment 192.168.2.0/24, wie Du es vor hast.
>
> 192.168.2.x ist zu nahe am bisherigen Netz, und "/24" ist für private  
> Rechner zu klein (max. 250 Nummern).
>
> Was (z.B.) brav funktioniert: 192.168.16.0/20
>
> Das reicht für 1000 Nummern.
> Wenn selbst das nicht reicht:
>
>         192.168.64.0/18
>
> Reicht für 4000 Nummern
>
> Ein VLAN ist dafür nicht nötig.
>
> [...]
>
>> Also habe ich nach einem individualisiertem
>> Authentifizierungsverfahren gesucht. Da wir keine individuellen
>> Benutzerkennungen haben, kam RADIUS nicht in Frage.
> Da würde ich eher auf individuelle Nutzerkennungen umsteigen, damit geht  
> das auch ohne RADIUS recht einfach.
>
>> Leider ist RADIUS bei Arktur noch nicht so schön
>> vorbereitet wie bei linuxmuster.net (oder skolelinux?).
> Wozu auch?
> Um einen leidlich passenden Vergleich zu nehmen: Verwaltung der  
> Parkplätze auf dem Schulhof.
>
> Arktur arbeitet mit den Benutzerkennungen ("Namen"), das reicht bei  
> Parkplätzen solange, wie der Benutzer nur 1 Auto parken will (bei IT- 
> Geräten wäre selbst das kein Problem). Der Benutzer kann also mit  
> beliebigem Gerät angekommen, niemand muss die Geräte verwalten.
>
> RADIUS verwaltet Kfz-Kennzeichen (o.ä., bei IT-Gerät z.B. MAC-Adresse);  
> die müssen extra erfasst und verwaltet werden, und im Rahmen der  
> Aufsichtspflicht muss irgendwer auch noch die Liste führen, die MAC- 
> Adressen mit User-Accounts verknüpft. Viel zusätzliche Arbeit, kein  
> erkennbarer Mehrwert.
>
> Viele Gruesse!
> Helmut
>
> _______________________________________________
> schan-user mailing list
> schan-user@xxxxxxxxxxxxxxxxx
> http://www.heise.de/bin/newsletter/listinfo/schan-user
>


_______________________________________________
schan-user mailing list
schan-user@xxxxxxxxxxxxxxxxx
http://www.heise.de/bin/newsletter/listinfo/schan-user

 « Vorige im Thread  Dieser Thread  Nächste im Thread » 

 

seitenanfang


 

news about wissen files archive hilfe suchen  
kontakt letzte änderung: 26.10.2013