bolug bonner linux user group
news about wissen files archive hilfe suchen  

 

archive :: SchAN-User

druckfassung

SchAN-User

Re: [Schan-user] SquidGuard für ganzes Subnet (dynamisch) umgehen.

To: "'Schulen ans Netz - Anwender'" <schan-user@xxxxxxxxxxxxxxxxx>
Subject: Re: [Schan-user] SquidGuard für ganzes Subnet (dynamisch) umgehen.
From: "Miroslaw Wilczak" <wilczakm@xxxxxxxxxxxxxxxx>
Date: Fri, 8 Jul 2016 09:22:00 +0200
Danke Jürgen,
 
ich hatte die erste Lösungsvorschlag nur etwas modifiziert von Dir benutzt.
Es sind nur noch zwei Wochen zu überwinden…
Die Fritzbox bekommt vom Arktur einen IP, 
die ich unter DHCP auf Arktur mit der MAC Adresse der Box fest verdrahtet 
hatte. 
Die Box dient als eine IP Brücke für alle Laptops in WLAN 
und die bekommen ihre IPs vom Arktur zugewiesen. 
Auf Arktur hatte ich den dynamischen Bereich auf 10 Adressen begrenzt 
und in der Datei /etc/squid/squidgaurd.conf hatte ich die zehn IPs eingetragen, 
damit sie nicht gefiltert werden.
Es klappt alles, wie ich mir gewünscht hatte.

Viele Grüße
Mirek
 


Viele Grüße
Mirek


> Hallo Mirek,
> 
> Du hast zwei einfache Möglichkeiten: Die Fritzbox agiert als 
> Router oder
> als AccessPoint/Bridge
> 
> Router: Du stellst auf Arktur mit sysadm eine static lease in DHCP für
> die Fritz.box ein, die so gefiltert wird, wie es sein soll. Die
> LAN-Adresse der Fritz.box muss außerhalb des Arkturnetzwerks sein und
> DHCP aktiviert. Die Clients bekommen dynamic leases von der Fritz.box.
> Die Filterung von Squidguard bezieht sich auf die in Artkur definierte
> static.lease für den WAN-Port der Fritz.box. 
> 
> AccessPoint/Bridge: Du stellst auf der Fritzbox eine fixe Adresse
> innerhalb des Arkturnetzwerks ein und verbindest einen der LAN-Ports
> (nicht den WAN-Port!) mit diesem Netzwerk.
> DCHP muss in der Fritz.box aus sein und die WLAN-Clients bekommen
> (ebenfalls static) leases von Arktur. Die Einstellung des WAN-Port ist
> egal, weil er nicht benutzt wird.
> 
> Ich finde die Router-Lösung besser, weil Du - so weit ich es 
> überblicke
> - nur noch eine static lease für die Fritz.box definieren und den auf
> Fritz.box mit DHCP zu versorgenden Adressbereich des WLAN anpassen
> musst. Für die einzelnen Clienst ist auf Arktur und der 
> Fritz.box nichts
> zu tun. Außerdem gelangen Broadcasts aus dem WLAN (und das 
> können viele
> sein!) nicht in das gesamte LAN.
> Nachteile:
> Du kannst die WLAN-Clients nicht einzeln kontrollieren - es 
> sei denn, Du
> hinterlegst MAC-Adressen für diese auf der Fritz.box.
> Innerhalb des WLAN unterschiedlich Filtern ginge auch nicht, aber das
> ist nicht gefordert, oder?
> 
> Gruß Jürgen
> 
> 
> 
> Am 07.07.2016 um 08:39 schrieb Miroslaw Wilczak:
> > Danke Jürgen,,
> >
> > so ist es, ich muss nur bis Ferien also bis 22.07.16 eine 
> vorläufige Lösung haben.
> >
> >> Wenn Arktur "drinnen" und "draußen" mit zwei Netzwerkkarten trennt,
> >> müsstest Du ihn für die Clients, die bei meinem Vorschlag "draußen"
> >> wären, von "draußen" nach "drinnen" durchlässig machen. Bei einem
> >> linuxmuster-Server würde ich auf Horde hinweisen.
> >> 
> https://www.linuxmuster.net/wiki/dokumentation:handbuch:addons:horde
> > Arktur ist nach „draußen“ mit einem Modem verbunden.
> > Die Fritz.box hat damit nichts zu tun.
> > Sie ist im Lehrerzimmer zum Schulsubnet verbunden und zwar 
> am Port, wo
> > normalerweise der T-DSL Anschlusskabel kommt…
> > Die Box sollte als AP für WLAN dienen.
> > Sie verbinden sich mit Arktur als ob das der 
> Internetprovider wäre und bekommt vom
> > Arktur alle Daten per DHCP.
> > Ich musste die Verbindung nur etwas beschleunigen, da die 
> Fritz.box auf 32.000
> > „down“ und 2000 „up“ eingestellt wurde.
> > Dieser Anschluss hatte auch fast 100 Mbit/s in beide 
> Richtungen geschluckt.
> >
> > Viele Grüße
> > Mirek
> >
> >  
> >
> >> Hallo Mirek,
> >>
> >> da Du offenbar eine einfache provisorische Lösung suchst, 
> >> würde ich die
> >> WLAN-AccessPoints direkt an die Fritz.box anschließen, so dass die
> >> WLAN-Clients ungehindert auf das WWW, jedoch nicht bzw. nur 
> >> auf die aus
> >> dem WWW sichtbaren Ressourcen zugreifen können. Weitere Details und
> >> hochwertigere Lösungen unten in Deinem Text.
> >>
> >> Gruß Jürgen
> >>
> >>  
> >>
> >> Am 06.07.2016 um 18:03 schrieb Wilczak, Miroslaw:
> >>> Hallo Jürgen,
> >>>
> >>> es wird nur sehr selten im Lehrerzimmer mit einem Laptop 
> gearbeitet.
> >> Also nur von LehrerInnen, keinesfalls von SchülerInnen.
> >> Ich gehe mal davon aus, dass Du einen WPA-PSK für alle verwendest?
> >> Dies wäre nur eine akzeptable Lösung, wenn dies nur wenige 
> KollegInnen
> >> sind, denen Du wirklich vertrauen kannst.
> >>
> >> Ansonsten ist eine hochwertigere Lösung mit individuellen 
> Zertifikaten
> >> oder WPA-RADIUS angesagt.
> >> Der WPA-PSK wurde bei uns von einem der 50 KollegInnen an 
> SchülerInnen
> >> verraten ... Schade für die SchülerInnen, dass man auch 
> noch einen mit
> >> individuellen Zertifikaten abgesicherten VPN-Tunnel aufbauen 
> >> musste, um
> >> aus diesem WLAN irgendwo anders hin zu kommen :-)
> >> http://ithelpblog.com/security/networksecurity/how-to-install-
> >> and-configure-openvpn-server-by-zerina-on-ipcop-firewall/
> >>> Den Fritz.box 4020 habe ich so konfiguriert, dass es die 
> >> T-DSL Verbindung zum Arktur aufbaut 
> >>> und mit 102400 kbit/s in beide Richtungen arbeitet
> >>> und vom Arktur eine IP bekommt.
> >> Das verstehe ich nicht.
> >> Wie kann Arktur dann wissen, wer sein Gateway ist?
> >> Arktur hat zwei Netzwerkkarten, eine zu den Schulrechnern 
> hin und die
> >> andere zur Fritz.box hin?
> >> Meinst Du vielleicht: Arktur bekommt seine Adresse zur 
> Fritz.box per
> >> DHCP von der Fritz.box?
> >>>  
> >>> Die WLAN Clients  im Bereich des Fritz.boxes bekommen auch 
> >> ihre IPs vom Arktur.
> >> Klar, wenn sie im selben Subnetz wie der Arktur sind.
> >>> Die WLAN ist auf Werkstage begrenzt von 7:00 Uhr bis 18:00 Uhr 
> >>> und wird am Wochenende auch samstags abgeschaltet.
> >>> Eine  Verbindung  mit Arktur kann ich nicht ausschlissen, 
> >> wenn ein Lehrer das heben möchte.
> >> OK.
> >> Wenn Arktur "drinnen" und "draußen" mit zwei Netzwerkkarten trennt,
> >> müsstest Du ihn für die Clients, die bei meinem Vorschlag "draußen"
> >> wären, von "draußen" nach "drinnen" durchlässig machen. Bei einem
> >> linuxmuster-Server würde ich auf Horde hinweisen.
> >> 
> https://www.linuxmuster.net/wiki/dokumentation:handbuch:addons:horde
> >>> Die Schule wird  in nächsten Jahren auf Windows 7 mit neuer 
> >> Hardware umgestellt.
> >>> In den großen Ferien muss ich Arktur mit "LogoDIDACT 2.0" 
> >> ersetzten, 
> >>> um ein System mit der automatischen Aktivierung vom System 
> >> Win7 und Office 2010 haben.
> >> Ist doch schön. Wenn ich Windows Clients verwalten müsste, 
> >> würde ich das
> >> Problem der Aktivierung auch auf einen Bezahlanbieter 
> >> auslagern wollen.
> >> Im Hauptberuf bin ich Lehrer ...
> >>> Danach kann ich auch besser diese WLAN Geschichte integrieren, 
> >>> weil "LogoDIDACT 2.0" Server eine Lösung für WLAN mitbringt
> >> Auch gut. Dann ist die Sicherheitsdebatte auch auf eine 
> >> formalere Ebene
> >> gehoben ;-)
> >>>  
> >>> und auch win10 (was ich zuerst aus verschiedenen Gründen 
> >> nicht brauche)
> >>> mit Imagedateien unterstützt.
> >> Noch besser.
> >>
> >> Dann solltest Du nicht mehr viel Arbeit in Arktur investieren.
> >>> Danke
> >>> Mirek
> >>>
> >>>
> >>>
> >>>
> >>> Hallo Mirek,
> >>>
> >>> die Lösung hängt von der vorhandenen Netzwerkstruktur ab.
> >>>
> >>> Grundsätzlich würde ich ein WLAN aus verschiedenen Gründen 
> >> nicht im selben Subnetz wie die Schülerrechner betreiben.
> >>> Wenn Du die Netzwerke trennen kannst, wie wäre es dann, das 
> >> mit den AccessPoints direkt mit dem Router zu vebinden?
> >>> Sollen die WLAN-Clients auf das Schulnetzwerk zugreifen 
> >> können? Und umgekehrt?
> >>> Gruß Jürgen
> >>>
> >>> Am 06.07.2016 um 12:37 schrieb Miroslaw Wilczak:
> >>>> Hallo Helmut,
> >>>>
> >>>> wie kann ich für den Bereich von dynamisch vergebenen IP 
> Adressen 
> >>>> Squidguard Sicherung umgehen?
> >>>> Es geht um WLAN im Lehrerzimmer, was ohne Filterung 
> >> Webseiten errechnen sollte.
> >>>> Andere Rechner haben feste IPs (Rembo), die Außerhalb des 
> >> dynamischen 
> >>>> IP Bereiches liegen.
> >>>>
> >>>> Danke
> >>>> Mirek
> >>>>
> >>>>
> >>>> _______________________________________________
> >>>> schan-user mailing list
> >>>> schan-user@xxxxxxxxxxxxxxxxx
> >>>> http://www.heise.de/ct/schan
> >>>>
> >>> _______________________________________________
> >>> schan-user mailing list
> >>> schan-user@xxxxxxxxxxxxxxxxx
> >>> http://www.heise.de/ct/schan
> >>>
> >>> _______________________________________________
> >>> schan-user mailing list
> >>> schan-user@xxxxxxxxxxxxxxxxx
> >>> http://www.heise.de/ct/schan
> >>>
> >>
> >> _______________________________________________
> >> schan-user mailing list
> >> schan-user@xxxxxxxxxxxxxxxxx
> >> http://www.heise.de/ct/schan
> >
> > _______________________________________________
> > schan-user mailing list
> > schan-user@xxxxxxxxxxxxxxxxx
> > http://www.heise.de/ct/schan
> >
> 
> 
> _______________________________________________
> schan-user mailing list
> schan-user@xxxxxxxxxxxxxxxxx
> http://www.heise.de/ct/schan


_______________________________________________
schan-user mailing list
schan-user@xxxxxxxxxxxxxxxxx
http://www.heise.de/ct/schan

 

seitenanfang


 

news about wissen files archive hilfe suchen  
kontakt letzte änderung: 08.07.2016