bolug bonner linux user group
news about wissen files archive hilfe suchen  

 

archive :: SchAN-User

druckfassung

SchAN-User

Re: [Schan-user] Funktioniert wieder: Mehrere Netzwerkkarten

To: Schulen ans Netz - Anwender <schan-user@xxxxxxxxxxxxxxxxx>
Subject: Re: [Schan-user] Funktioniert wieder: Mehrere Netzwerkkarten
From: Juergen Engeland <juergen.engeland@xxxxxxxxxxx>
Date: Sat, 26 Oct 2013 18:53:46 +0200
Hallo Helmut,

[...]

Viele Grüße
Jürgen

Am 26.10.2013 12:10, schrieb Helmut Hullen:
> Hallo, Juergen,
>
> Du meintest am 26.10.13:
>
>> ich weiß, dass Du ein "offenes" WLAN für ausreichend sicher hältst,
>> wenn die Nutzer sich für den Zugriff auf Netzwerkressourcen und auf
>> das Internet identifizieren müssen.
>> Kann man so sehen, jedoch ist es möglich, dass SchülerInnen sich zum
>> Spielen mit deren Smartphones auf Kosten "meiner" Bandbreite
>> vernetzen (aus Versehen oder um größere Reichweiten als mit einem
>> adhoc-Netzwerk zu erreichen) und auch versuchen, andere unzureichend
>> geschützte Privatgeräte im Schulnetzwerk unerkannt anzugreifen.
> Das ist das immerwährende Problem, wenn Schüler im Unterricht IT-Gerät  
> benutzen dürfen oder müssen.
> RADIUS hilft dagegen nicht, auch Aufsicht hilft nicht in jedem Fall.
>
> (Und dann war da noch der Schüler, der seinen Laptop ins WLAN einklinkte  
> und darüber - unbeaufsichtigt - Massen-Downloads machte ...)
Verstehe ich nicht.

Wenn eine SchülerIn oder eine LehrerIn sich als Domänenbenutzer ins WLAN
einklinkt, ist sie (respektive derjenige, der ihr das zu dem
Benutzerkonto gehörige Kennwort verfügbar gemacht hat) verantwortlich
für das, was in dieser Sitzung "angerichtet" wird. Das System kann
protokollieren, welche IP-Adressen es wann gegen welche
Kontoinformationen vergibt. Ein missbrauchtes Benutzerkonto kann
gesperrt werden, bis der Sachverhalt geklärt ist.
Ob man jemanden juristisch belangen kann, steht auf einem anderen Blatt
- zur Abschreckung sollte allein die Tatsache reichen, dass man
protokollieren kann und darf ...
>
>> Wenn es so sein sollte, dass 192.168.2.0 "zu nah" an 192.168.0.0/24
>> liegt,  wäre dies der Tatsache geschuldet, dass die IP-Konfiguration
>> für mehrere Netzwerkkarten bei Arktur an vielen Stellen statisch
>> eingetragen ist, wo sie es nicht sein sollte.
> Nein - die lässt sich ändern. Insgesamt durchaus überschaubar.
Also ich habe in Bremen mit Sicherheit noch nicht alle
"Trümmer"gefunden, geschweige denn beseitigt, z. B. die im Profil
(/etc/skel?) noch nicht.
OK, laufen tut das Netzwerk auch so. Aber ich benutze Arktur dort mit
nur einer Netzwerkkarte und nicht als Proxy-Server, sondern nur als
Domänencontroller, Dateiserver, DHCP- und Nameserver. Und natürlich als
FOG-Server!
> Aber ein "/24"-Netz hat nun mal nur Platz für etwa 250 IP-Adressen, und  
> das ist heutzutage sehr wenig.
Klar sind 250 Adressen bei wechselnden WLAN-Teilnehmern schnell weg,
wenn man die dhcp leases länger als 8 Stunden gelten lässt (was u. U.
sinnvoll sein kann - für mich eher nicht).
Pitt wird schon wissen, wie viele Adressen er benötigt ;-)
>
>> Die Maske in "sysadm", in der man eine andere IP-Adresse eintragen
>> kann, hinterlässt ein inkonsistentes System, wenn man es wirklich
>> tut.
> Das sollte inzwischen korrigiert sein.
Werde ich demnächst ausprobieren.
Wenn es wirklich geht, würde Arktur für mich in HH wieder einen Punkt
gegen skolelinux als Nachfolger für das betagte OpenSuSE 11.1 gewinnen.
Ich werde den neuen Server nämlich auf die Standardadresse 10.0.2.2/23
von skolelinux hören lassen müssen.
> Ok - Überlappung wird nicht geprüft - da müsste ich beim Abfang-Skript  
> gaaanz viel Aufwand betreiben, und irgendein genialer Kollege überlistet  
> es trotzdem noch.
Wer HEUTE einen Server einrichtet, sollte zumindest bei der Vergabe der
IP-Adresse wissen, was er tut, wenn er von den Vorgaben abweicht.
Es reicht, wenn genau das eingerichtet wird, was man eingibt :-)
>> Wenn mit zwei IP-Netzwerk-Segmenten ohne VLAN auskommen willst,
>> brauchst Du entweder getrennte Switches oder VLANs. Alles andere mag
>> zwar teilweise funktionieren, ist jedoch nicht stabil.
> Hmmm - ich kenne einige Schulen, in denen das brav funktioniert.
> Schon Arktur 2.x konnte mit mehreren Netzwerkkarten umgehen.
Sollte jeder Rechner können. Aber kein einfacher Switch.
Die beiden Netzwerkkarten müssen mit verschiedenen "physikalischen"
Netzwerken verbunden sein.
Wenn man auf EINEM einfachen (unmangaged) Switch verschiedene
IP-Adress-Segmente benutzt, gibt es Probleme - vermutlich mit dem ARP,
weil auch die Clients aus de<m,n> "falschen" Segment[n] auf einen
Broadcast reagieren.
Es funktioniert nicht wirklich. Ich kenne so etwas als nicht gleich
offensichtliche Fehlerquelle. Du kannst einen einfachen Router z. B.
nicht als Switch benutzen, ohne dass er eine IP-Adresse im selben
Segment hat (jedenfalls meinen als SMC nicht).

Mag sein, dass es inzwischen so intelligente Switches gibt, die sich
ihre VLANs selbst einrichten ...
>
> Viele Gruesse!
> Helmut
>
> _______________________________________________
> schan-user mailing list
> schan-user@xxxxxxxxxxxxxxxxx
> http://www.heise.de/bin/newsletter/listinfo/schan-user
>


_______________________________________________
schan-user mailing list
schan-user@xxxxxxxxxxxxxxxxx
http://www.heise.de/bin/newsletter/listinfo/schan-user

 « Vorige im Thread  Dieser Thread  Nächste im Thread » 

 

seitenanfang


 

news about wissen files archive hilfe suchen  
kontakt letzte änderung: 26.10.2013