bolug bonner linux user group
news about wissen files archive hilfe suchen  

 

archive :: SchAN-User

druckfassung

SchAN-User

Re: [Schan-user] SquidGuard für ganzes Subnet (dynamisch) umgehen.

To: Schulen ans Netz - Anwender <schan-user@xxxxxxxxxxxxxxxxx>
Subject: Re: [Schan-user] SquidGuard für ganzes Subnet (dynamisch) umgehen.
From: Juergen Engeland <juergen.engeland@xxxxxxxxxxx>
Date: Thu, 7 Jul 2016 15:15:07 +0200
Hallo Mirek,

Du hast zwei einfache Möglichkeiten: Die Fritzbox agiert als Router oder
als AccessPoint/Bridge

Router: Du stellst auf Arktur mit sysadm eine static lease in DHCP für
die Fritz.box ein, die so gefiltert wird, wie es sein soll. Die
LAN-Adresse der Fritz.box muss außerhalb des Arkturnetzwerks sein und
DHCP aktiviert. Die Clients bekommen dynamic leases von der Fritz.box.
Die Filterung von Squidguard bezieht sich auf die in Artkur definierte
static.lease für den WAN-Port der Fritz.box. 

AccessPoint/Bridge: Du stellst auf der Fritzbox eine fixe Adresse
innerhalb des Arkturnetzwerks ein und verbindest einen der LAN-Ports
(nicht den WAN-Port!) mit diesem Netzwerk.
DCHP muss in der Fritz.box aus sein und die WLAN-Clients bekommen
(ebenfalls static) leases von Arktur. Die Einstellung des WAN-Port ist
egal, weil er nicht benutzt wird.

Ich finde die Router-Lösung besser, weil Du - so weit ich es überblicke
- nur noch eine static lease für die Fritz.box definieren und den auf
Fritz.box mit DHCP zu versorgenden Adressbereich des WLAN anpassen
musst. Für die einzelnen Clienst ist auf Arktur und der Fritz.box nichts
zu tun. Außerdem gelangen Broadcasts aus dem WLAN (und das können viele
sein!) nicht in das gesamte LAN.
Nachteile:
Du kannst die WLAN-Clients nicht einzeln kontrollieren - es sei denn, Du
hinterlegst MAC-Adressen für diese auf der Fritz.box.
Innerhalb des WLAN unterschiedlich Filtern ginge auch nicht, aber das
ist nicht gefordert, oder?

Gruß Jürgen



Am 07.07.2016 um 08:39 schrieb Miroslaw Wilczak:
> Danke Jürgen,,
>
> so ist es, ich muss nur bis Ferien also bis 22.07.16 eine vorläufige Lösung 
> haben.
>
>> Wenn Arktur "drinnen" und "draußen" mit zwei Netzwerkkarten trennt,
>> müsstest Du ihn für die Clients, die bei meinem Vorschlag "draußen"
>> wären, von "draußen" nach "drinnen" durchlässig machen. Bei einem
>> linuxmuster-Server würde ich auf Horde hinweisen.
>> https://www.linuxmuster.net/wiki/dokumentation:handbuch:addons:horde
> Arktur ist nach „draußen“ mit einem Modem verbunden.
> Die Fritz.box hat damit nichts zu tun.
> Sie ist im Lehrerzimmer zum Schulsubnet verbunden und zwar am Port, wo
> normalerweise der T-DSL Anschlusskabel kommt…
> Die Box sollte als AP für WLAN dienen.
> Sie verbinden sich mit Arktur als ob das der Internetprovider wäre und 
> bekommt vom
> Arktur alle Daten per DHCP.
> Ich musste die Verbindung nur etwas beschleunigen, da die Fritz.box auf 32.000
> „down“ und 2000 „up“ eingestellt wurde.
> Dieser Anschluss hatte auch fast 100 Mbit/s in beide Richtungen geschluckt.
>
> Viele Grüße
> Mirek
>
>  
>
>> Hallo Mirek,
>>
>> da Du offenbar eine einfache provisorische Lösung suchst, 
>> würde ich die
>> WLAN-AccessPoints direkt an die Fritz.box anschließen, so dass die
>> WLAN-Clients ungehindert auf das WWW, jedoch nicht bzw. nur 
>> auf die aus
>> dem WWW sichtbaren Ressourcen zugreifen können. Weitere Details und
>> hochwertigere Lösungen unten in Deinem Text.
>>
>> Gruß Jürgen
>>
>>  
>>
>> Am 06.07.2016 um 18:03 schrieb Wilczak, Miroslaw:
>>> Hallo Jürgen,
>>>
>>> es wird nur sehr selten im Lehrerzimmer mit einem Laptop gearbeitet.
>> Also nur von LehrerInnen, keinesfalls von SchülerInnen.
>> Ich gehe mal davon aus, dass Du einen WPA-PSK für alle verwendest?
>> Dies wäre nur eine akzeptable Lösung, wenn dies nur wenige KollegInnen
>> sind, denen Du wirklich vertrauen kannst.
>>
>> Ansonsten ist eine hochwertigere Lösung mit individuellen Zertifikaten
>> oder WPA-RADIUS angesagt.
>> Der WPA-PSK wurde bei uns von einem der 50 KollegInnen an SchülerInnen
>> verraten ... Schade für die SchülerInnen, dass man auch noch einen mit
>> individuellen Zertifikaten abgesicherten VPN-Tunnel aufbauen 
>> musste, um
>> aus diesem WLAN irgendwo anders hin zu kommen :-)
>> http://ithelpblog.com/security/networksecurity/how-to-install-
>> and-configure-openvpn-server-by-zerina-on-ipcop-firewall/
>>> Den Fritz.box 4020 habe ich so konfiguriert, dass es die 
>> T-DSL Verbindung zum Arktur aufbaut 
>>> und mit 102400 kbit/s in beide Richtungen arbeitet
>>> und vom Arktur eine IP bekommt.
>> Das verstehe ich nicht.
>> Wie kann Arktur dann wissen, wer sein Gateway ist?
>> Arktur hat zwei Netzwerkkarten, eine zu den Schulrechnern hin und die
>> andere zur Fritz.box hin?
>> Meinst Du vielleicht: Arktur bekommt seine Adresse zur Fritz.box per
>> DHCP von der Fritz.box?
>>>  
>>> Die WLAN Clients  im Bereich des Fritz.boxes bekommen auch 
>> ihre IPs vom Arktur.
>> Klar, wenn sie im selben Subnetz wie der Arktur sind.
>>> Die WLAN ist auf Werkstage begrenzt von 7:00 Uhr bis 18:00 Uhr 
>>> und wird am Wochenende auch samstags abgeschaltet.
>>> Eine  Verbindung  mit Arktur kann ich nicht ausschlissen, 
>> wenn ein Lehrer das heben möchte.
>> OK.
>> Wenn Arktur "drinnen" und "draußen" mit zwei Netzwerkkarten trennt,
>> müsstest Du ihn für die Clients, die bei meinem Vorschlag "draußen"
>> wären, von "draußen" nach "drinnen" durchlässig machen. Bei einem
>> linuxmuster-Server würde ich auf Horde hinweisen.
>> https://www.linuxmuster.net/wiki/dokumentation:handbuch:addons:horde
>>> Die Schule wird  in nächsten Jahren auf Windows 7 mit neuer 
>> Hardware umgestellt.
>>> In den großen Ferien muss ich Arktur mit "LogoDIDACT 2.0" 
>> ersetzten, 
>>> um ein System mit der automatischen Aktivierung vom System 
>> Win7 und Office 2010 haben.
>> Ist doch schön. Wenn ich Windows Clients verwalten müsste, 
>> würde ich das
>> Problem der Aktivierung auch auf einen Bezahlanbieter 
>> auslagern wollen.
>> Im Hauptberuf bin ich Lehrer ...
>>> Danach kann ich auch besser diese WLAN Geschichte integrieren, 
>>> weil "LogoDIDACT 2.0" Server eine Lösung für WLAN mitbringt
>> Auch gut. Dann ist die Sicherheitsdebatte auch auf eine 
>> formalere Ebene
>> gehoben ;-)
>>>  
>>> und auch win10 (was ich zuerst aus verschiedenen Gründen 
>> nicht brauche)
>>> mit Imagedateien unterstützt.
>> Noch besser.
>>
>> Dann solltest Du nicht mehr viel Arbeit in Arktur investieren.
>>> Danke
>>> Mirek
>>>
>>>
>>>
>>>
>>> Hallo Mirek,
>>>
>>> die Lösung hängt von der vorhandenen Netzwerkstruktur ab.
>>>
>>> Grundsätzlich würde ich ein WLAN aus verschiedenen Gründen 
>> nicht im selben Subnetz wie die Schülerrechner betreiben.
>>> Wenn Du die Netzwerke trennen kannst, wie wäre es dann, das 
>> mit den AccessPoints direkt mit dem Router zu vebinden?
>>> Sollen die WLAN-Clients auf das Schulnetzwerk zugreifen 
>> können? Und umgekehrt?
>>> Gruß Jürgen
>>>
>>> Am 06.07.2016 um 12:37 schrieb Miroslaw Wilczak:
>>>> Hallo Helmut,
>>>>
>>>> wie kann ich für den Bereich von dynamisch vergebenen IP Adressen 
>>>> Squidguard Sicherung umgehen?
>>>> Es geht um WLAN im Lehrerzimmer, was ohne Filterung 
>> Webseiten errechnen sollte.
>>>> Andere Rechner haben feste IPs (Rembo), die Außerhalb des 
>> dynamischen 
>>>> IP Bereiches liegen.
>>>>
>>>> Danke
>>>> Mirek
>>>>
>>>>
>>>> _______________________________________________
>>>> schan-user mailing list
>>>> schan-user@xxxxxxxxxxxxxxxxx
>>>> http://www.heise.de/ct/schan
>>>>
>>> _______________________________________________
>>> schan-user mailing list
>>> schan-user@xxxxxxxxxxxxxxxxx
>>> http://www.heise.de/ct/schan
>>>
>>> _______________________________________________
>>> schan-user mailing list
>>> schan-user@xxxxxxxxxxxxxxxxx
>>> http://www.heise.de/ct/schan
>>>
>>
>> _______________________________________________
>> schan-user mailing list
>> schan-user@xxxxxxxxxxxxxxxxx
>> http://www.heise.de/ct/schan
>
> _______________________________________________
> schan-user mailing list
> schan-user@xxxxxxxxxxxxxxxxx
> http://www.heise.de/ct/schan
>


_______________________________________________
schan-user mailing list
schan-user@xxxxxxxxxxxxxxxxx
http://www.heise.de/ct/schan

 

seitenanfang


 

news about wissen files archive hilfe suchen  
kontakt letzte änderung: 07.07.2016