bolug bonner linux user group
news about wissen files archive hilfe suchen  

 

archive :: SchAN-User

druckfassung

SchAN-User

Re: [Schan-user] Funktioniert wieder: Mehrere Netzwerkkarten

To: Schulen ans Netz - Anwender <schan-user@xxxxxxxxxxxxxxxxx>
Subject: Re: [Schan-user] Funktioniert wieder: Mehrere Netzwerkkarten
From: Pitt Leidner <pitt.leidner@xxxxxxx>
Date: Sat, 26 Oct 2013 19:33:18 +0200
Hallo,

Am Samstag, 26. Oktober 2013, 09:43:00 schrieb Helmut Hullen:
> Hallo, Juergen,
> 
> Du meintest am 26.10.13:
> >> Die zweite von den Realtec-Karten möchte ich gerne als eigenen
> >> 
> >> Netzwerkstrang für unser WLAN nutzen. Zur Erinnerung:
> >>  eth0 ist das interne 192.168.0.1/24er Netz
> >>  eth1 führt als 192.168.178.1/24er Netz zum Router
> >> 
> >> die neue - noch nicht verbaute - Netzwerkkarte soll dann als
> >> eth2 mit irgendeinem privaten IP.Bereich für die WLAN-Aktivitäten
> >> genutzt werden.
> >> 
> >> Meine Idee:
> >>  eth2 als 172.16.0.0/12er oder auch als 192.168.2.0/16er Netz für
> >>  die WLAN-Nutzer (Tablets/Smartphones/etc).
> > 
> > wir haben ein WLAN in einem eigenen VLAN (bräuchtest Du auch, wenn Du
> > Deine AccessPoints nicht direkt an Deine eth2 anschließen könntest)
> > in genau dem IP-Segment 192.168.2.0/24, wie Du es vor hast.
> 
> 192.168.2.x ist zu nahe am bisherigen Netz, und "/24" ist für private
> Rechner zu klein (max. 250 Nummern).
> 
Was genau bedeutet "zu nah" - wobei mir das eigentlich gleich ist, ob nun .2. 
oder .178. usw. hinter der 192 stehen. Arktur kennt ja die vier Netze 192.0.- 
192.3.

> Was (z.B.) brav funktioniert: 192.168.16.0/20
> 
> Das reicht für 1000 Nummern.
> Wenn selbst das nicht reicht:
> 
>         192.168.64.0/18
> 
> Reicht für 4000 Nummern
>
Danke für den Hinweis! Sind diese /20 oder /18 bit denn für 192.168-er Netz so 
vorgesehen? Uns würde das /24 ~ 250 Privatclients etwas zu knapp sein. Das /20 
würde so natürlich reichen, vorausgesetzt, die Switches und WAPs machen das so 
mit. Die 172.x.x.x-er oder gar 10.x.x.x-er Netze sind für uns dann doch etwas 
überdimensiniert

 
> Ein VLAN ist dafür nicht nötig.
> 
VLAN ist sehr empfindlich und viel zu komplex in der Konfiguration, vor Allem, 
wenn man heterogene Switches verbaut hat. Wer da etwas plant und neu anfängt, 
sollte auf Cisco setzen, was wir leider nicht haben!

Leider haben wir zwischen unseren Schaltschränken und den 3 Gebäudekomplexen 5 
LWL-Strecken. Da ist mindestens an zwei Stellen VLAN erforderlich. Das 
betrifft aber nur die Kommunikation der Switches an den LWL-Strecken und 
Arktur ist davon nicht betroffen, wenn ich auf die dritte NIC zugreifen kann. 

> Am Samstag, 26. Oktober 2013, 09:13:09 schrieb Juergen Engeland:
>>  ... > Bei uns habe ich die dritte Netzwerkkarte ausgebaut ...
Nur so am Rande, warum das?

>>  Dabei entstanden Broadcast-Stürme. Allein diese Gefahr ist neben
>>  der Sicherheit Grund genug, das WLAN zu trennen.
>>
Hier gibt es im VLAN wenigstens bei einigen Herstellern gute Möglichkeiten, 
das Brodcasting zu unterbinden. Ich bin allerdings noch nicht so tief in 
dieser Materie, um sagen zu können, ob das bei port-basierten VLANs auch 
klappt.

Ich meine mich zu erinnern, dass es auch möglich ist, die Clients 
untereinander zu blenden, sie sich also nicht sehen. Nur, was könnte das 
nutzen, wenn Skype, twitter, Gesichtsbuch und sonstige im Web bereitstehen. 
Dann ist es mir lieber den Trafic nur intern und nicht auch noch auf dem DSL 
zu haben. Allerdings sind unsere Waps untereinander nicht zu erreichen.

>Am Samstag, 26. Oktober 2013, 09:43:00 schrieb Helmut Hullen:
> [...]
> 
> > Also habe ich nach einem individualisiertem
> > Authentifizierungsverfahren gesucht. Da wir keine individuellen
> > Benutzerkennungen haben, kam RADIUS nicht in Frage.
> 
> Da würde ich eher auf individuelle Nutzerkennungen umsteigen, damit geht
> das auch ohne RADIUS recht einfach.
> 
Das sehe ich auch so. Die SuS sind sich auch bewusst, dass der Proxy weiß, was 
sie tun. Damit hat sich viel Unfug aus der Vergangenheit von selbst erledigt. 
Spannend wurde es, als eine SuS im privaten Bereich wegen Downloads abgemahnt 
wurde. Das sprach sich sehr schnell rum und hat für viel Geiz beim Umgang mit 
den Zugangsdaten geführt. Unser Wlan hat nichts sonst, nur der Proxy und der 
(private) Client sind zu sehen.

Mit Radius wäre mir das zu viel Arbeit. Wir müssen ein paar solcher Zugänge 
anlegen, Moodle, Arktur, und ein CMS, früher gab es noch LO-Net. Hier habe ich 
nur den Wunsch, Passwörter beim Import der SuS mit zu senden. Die Arbeit über 
die *.out Listen ist doch aufwändig. Das ist aber bei der LML nicht anders und 
leben kann ich auch damit ...  
 

Ist der squid eigentlich von den Netz-Segmenten betroffen? Ich glaub ich hatte 
das schon mal gefragt :-}

-- 
Mit freundlichen Grüßen

Pitt Leidner

_______________________________________________
schan-user mailing list
schan-user@xxxxxxxxxxxxxxxxx
http://www.heise.de/bin/newsletter/listinfo/schan-user

 « Vorige im Thread  Dieser Thread  Nächste im Thread » 

 

seitenanfang


 

news about wissen files archive hilfe suchen  
kontakt letzte änderung: 26.10.2013