Anliegen
Ich muss in mittelfristiger Zukunft einige Notebooks mit Windows 10 ausrollen und will dafür LMN nutzen. Später sollen auch die Linux-Clients darüber ausgerollt werden und eventuell Schüler- und Lehreraccounts verwaltet werden.
Situation
Wir haben einige Computer, die über Xubuntu mit Gastaccounts laufen, dazu einige iMacs und MacMinis, die ebenfalls über Gastaccounts laufen. Im Netz gibt es noch etwa 100 iPads, die über einen lokalen MDM-Server verwaltet werden sowie AppleTV in den meisten Räumen.
Die Infrastruktur besteht entweder aus alten oder Consumer-Geräten: Es gibt aktuell nur ein großes Netz; teilweise wurden Trennungen durch die Vergabe von statischen IP vorgenommen. Da insbesondere die Switches im Serverraum unmanaged sind, kann ich nicht mithilfe von VLAN segmentieren (neue sind beantragt, es ist jedoch unklar, wann/ob mit diesen zu rechnen ist); WLAN ist über viele Airport Express umgesetzt, die alle per Hand konfiguriert sind (WPA; hier haben wir ein Angebot für die Umsetzung mit AeroHives; ist aber unklar, wann/ob die kommen)
Als Firewall/Router setzen wir OPNSense ein; das war u.a. wegen Multi-WAN erforderlich. Daher wollen/müssen wir OPNSense weiternutzen. Der OPNSense macht derzeit auch DHCP und DNS.
mögliche Probleme beim Einsatz von LMN - hier brauche ich eure Einschätzung/Erfahrung
Der LMN-Server fragt den bestehenden DNS-Server ab (SplitDNS: einige Hosts werden überschrieben) und ergänzt außer Hostnames der Clients nichts. Es keine Probleme geben!?
Schuleigene Geräte kann ich einfach über die Workstations hinzufügen, auch wenn diese nicht von LMN verwaltet werden sollen (beispielsweise Drucker, iPads, AppleTV, iMac, MacMini)?
Probleme sehe ich beim DHCPD: Wenn ich den auf den LMN-Server umstelle (VLAN geht nicht, s.o.), landen alle Geräte im Aufnahme-IP-Bereich, auch wenn sie nicht aufgenommen werden sollen (z.B. Geräte von Lehrkräften). Dafür ist der IP-Bereich zu klein. Gibt es weitere Einschränkungen?
Eventuell wollte ich die AccessPoints als Übergangslösung auf Radius/PEAP umstellen; je nach Login sollen die Geräte in einem anderen IP-Bereich landen. In OPNSense ist das recht schnell konfiguriert - bekäme ich das über den LMN-Server auch hin?
das aktuelle Netz arbeitet im IP-Bereich 172.16.. bzw. 192.168.x.* (Verwaltungsgeräte, alle statisch konfiguriert). Das bestehende Netz (IP-Adressen, Switches, Accesspoints) soll stückweise aktualisiert werden.
Die Notebooks sollen nur per WLAN verbunden werden - dies ist auch aktuell möglich.
Ich habe gestern noch etwas in den Quelltexten von LMN gelesen; eigentlich haben sich dadurch die meisten Punkte geklärt. Ich werde die dhcpd.conf so umzuschreiben, dass der Aufnahmebereich etwas größer ist. Da wir OPNSense statt IPFire einsetzen, dürfte es auch eigentlich keine Einschränkungen für den Aufnahme-IP-Bereich geben.
Es wäre trotzdem schön, wenn ihr noch etwas zu LMN 6.2 mit opnsense/pfsense sagen könntet, insbesondere woher dann in eurem Netz DHCP kommt.
Der Server dient als DHCP. Das könnte dir bei der Interims-Lösung die Sache versalzen, da Du dann zwei davon in dem bestehenden Netz hast, wenn ich das richtig verstanden habe. Einmal der von eurer OPNSense und dann der von unserem Server.
Daher auch meine Frage nach dem extra Switch. Ich würde an deiner stelle einfach ein paralleles Netz für die lmn aufbauen. Eventuell wenn benötigt mit „extra Dosen“ (vorhandene) gekoppelt mit dem lmn-Netz für eventuelle Linbo-Aktionen mit den Notebooks.
Was die Zukunft betrifft:
OPNSense wird Standard mit der neuen linuxmuster.net Version 7.
Wir haben LMN in Verbindung mit pfSense laufen. DHCP für das LAN („grün“ bei IPFire) macht der linuxmuster Server. Für alle anderen Netze ist der DHCP-Server pfSense.
Ein Nachteil, wenn man eine andere Firewall (neben den vielen Vorteilen von pfSense / OPNsense) verwendet ist, dass man dann nicht den Webfilter im Unterricht nutzen kann. Machen wir aber eh nicht bei uns, deshalb passt es
Genau dieses doppel-DHCP macht mir auch sorgen: in opnsense kann ich alles bequem per UI konfigurieren, bei einer Umstellung auf LMN müsste ich die Konfiguration bearbeiten (und damit wird kaum ein anderer klarkommen).
Leider wird die Idee mit einem zusätzlichem Switch/Netzwerk nicht funktionieren, da die bestehenden Switches unmanaged und nicht VLAN-fähig sind. Die Notebooks werden an verschiedenen Enden der Schule eingesetzt; dementsprechend müssten zu viele neue Kabel gelegt werden.
Ich werde also als Interims-Lösung DHCP vom LMN machen und die Config-Datei anpassen. Eine Umstellung auf LMN7 steht aufgrund der von dir genannten Änderung an, sobald das irgendwie sinnvoll ist.
Ich habe gestern noch etwas in den Quelltexten von LMN gelesen;
eigentlich haben sich dadurch die meisten Punkte geklärt. Ich werde die
dhcpd.conf so umzuschreiben, dass der Aufnahmebereich etwas größer ist.
Da wir OPNSense statt IPFire einsetzen, dürfte es auch eigentlich keine
Einschränkungen für den Aufnahme-IP-Bereich geben.
… ganz so einfach ist es so nicht (aber anders: siehe unten):
die dhcpd.conf wird beim Update immer mal überschrieben: ich sag dir das
lieber gleich, damit du ein Backup anlegen kannst.
Die Lösung ist aber sowiso nicht die richtige, da der IP
Adressaufnahmebereich sehr vielen Einschränkungen unterliegt: eigentlich
darf im lmn Netz ein Rechner mit einer solche IP nichts, außer per linbo
seine config auf den Server schreiben.
Zum Ersetzen des IPFire im lmn Netz: kann man schon machen, aber dann
fällt das unter „stark angepaßte Umgebung“ und wird sehr schwer zu
supporten sein.
Zu der Frage nach Lehrergeräten und Druckern usw.
Es ist vorgesehen, dass diese Geräte auch in der lmn, genau wie die per
linbo „gemanageten“ aufgenommen werden.
Wir nennen sie IP-Clients.
Sie bekommen kein linbo, aber du kannst ihnen IPs zuweisen, wie du
willst (innerhalb der lmn Regeln: also 10.16.0.0/12)
Das macht deine dhcpd.conf Anpassungen unnötig.
Nachdem was ich von dir gelesen habe, mache ich dir folgenden Vorschlag:
Zum Managen von Notebooks ist es ncht nötig, dass das Netz mit der lmn
Betrieben wird.
Ich habe einen Testserver ZUhause stehen: Notebooks nehme ich öfter mit
nach Hause und erstelle Images in diesem Testnetz: dem Notebook (und dem
linbo darauf) ist es am Ende egal, in welchem Netz es betrieben wird:
linbo läuft auch „offline“.
Also: stell dir einen kleinen Server ins Zimmerchen (in der Schule?) mit
4 oder 8GB RAM und installier die 6.2 mit IPFire darauf.
Das „Rote“ Interface (Internet) des IPFire kannst du ja in dein Netz
hängen, damit du beim Einrichten der Laptops bequem Internetzugang in
diesem abgeschotteten hast.
In diesem Netz gibst du das defaultverhalten der Laptops vor: soleln sie
ungesynct starten?
Sollen sie in Linbo starten und auf EIngabe warten?
Oder sollen sie in linbo laufen, 5 Sekunden warten, und wenn ichts
passiert, gesynct/ungesynct starten?
Alles Einstellbar: so wie das eingestellt ist, verhalten sie sich dann
später auch „offline“ also im anderen Netz.
So wäre mir das auch am liebsten, leider wird das vorläufig nicht funktionieren, da unser Netz noch nicht VLAN-fähig ist. Trotzdem danke für deine Infos - die helfen mir bei der weiteren Planung.
als erste Zwischenlösung finde ich deinen Vorschlag sehr sinnvoll. Ein Teil der Notebooks soll von den Kollegen der Fachbereiche gepflegt werden. Vielleicht stelle ich dafür einfach ein Notebook mit LMN und einen Switch bereit, dann kann man den Server zu den Klassensätzen tragen.
als erste Zwischenlösung finde ich deinen Vorschlag sehr sinnvoll. Ein
Teil der Notebooks soll von den Kollegen der Fachbereiche gepflegt
werden. Vielleicht stelle ich dafür einfach ein Notebook mit LMN und
einen Switch bereit, dann kann man den Server zu den Klassensätzen tragen.
ja, das geht: sogar, wenn die lmn virtualisiert in einer virtualbox läuft.
Du mußt „Rot“ dann auf die WLAN Karte legen und Grün auf die Ethernetkarte.
