ich erstelle einen neuen Thread, da sich das eigentliche Problem verschoben hat. Der ursprüngliche Thread ist hier:
Neues Problem: Der Proxy setzt die Internetsperre nicht um.
Alle (eigentlich gesperrten) Rechner (grünes Netz) können trotzdem sehr langsam auf das Internet zugreifen. Nachdem ich Probleme mit dem IPFire vermutete, habe ich ihn über den Befehl linuxmuster-ipfire --setup --first zurückgesetzt.
Dabei wurde in den “Erlaubten Subnetzen” des Web-Proxy nur das blaue Netz eingetragen (vorher stand das grüne Netz mit drin). Die Internetsperre funktioniert nun wie gewünscht und ich war schon wieder glücklich, dass es wieder klappt.
Das Problem ist, dass wenn ich 10.16.0.0/12 als erlaubtes Subnetz eintrage, alle Rechner des grünes Netzes ohne Beschränkung auf das Internet zugreifen können. Lasse ich es weg, funktioniert alles wie gewünscht (Browser zeigt IPFire-Fehlermeldung). Ich könnte es einfach weglassen und zufrieden sein, aber dass unser Web-Proxy ein anderes Verhalten als andere zeigt, hinterlässt ein ungutes Gefühl.
Wenn ich Sperren mit der Schulkonsole vornehme (auch die Default-Room-Sperre), werden diese korrekt auf den IP-Fire übertragen. Im Ordner /var/ipfire/proxy/advanced/acls/ werden die erlaubten IPs in die Datei src_allowed_ip.acl übernommen. Was aber nicht passiert, ist die Übernahme der gesperrten IPs in src_noaccess_ip.acl. Ist das schon das Problem und wie kann ich es lösen?
wir haben aktuell nur noch einen Computerraum und der ist als solcher eingetragen. Für die anderen “Räume” sind jeweils Standardeinstellungen vorgenommen, die auch auf den IPFire korrekt übertragen werden.
Es muss nicht jeder Raum als Computerraum konfiguriert sein, oder? Nur die, die über die Schulkonsole konfiguriert werden sollen.
in der Gruppe allowedhosts stehen die Rechner aus Raum 310 nicht drin, außer dem Lehrerplatz. Wenn sie trotzdem das Internet nutzen können, dann ist etwas nicht richtig konfiguriert.
offenbar ist irgendwo konfiguriert dass man Eure Schul-Homepage erreichen kann, auch wenn das Internet ausgeschaltet ist. Möglicherweise kommst Du daher zu dem Schluss, dass die Intenetsperre nicht funktioniert.
Ich habe eben den Rechner 11 in Raum 310 hochgefahren und die Internetsperre getestet, Dabei war der Eintrag 10.16.1.1/12 im Proxy vorhanden (ich habe das eingetragen).
Das Ein-Aussschalten des Internet funktionierte wie es soll.
ich weiß, dass eine solche Konfiguration geben soll. Deshalb habe ich spiegel.de als Testseite verwendet, die jederzeit über die Sperre hinweg erreichbar war.
Dass es jetzt funktioniert, wundert mich. Ich bin morgen vor Ort und schaue es mir noch einmal an.
Ja, aktuell sind alle Clients aus dem WLAN in grün. Dabei handelt es sich ausschließlich um Geräte von Kollegen, die sich neben der MAC-Adresse zusätzlich über den Radius-Server authentifizieren.
Der Umzug nach blau ist geplant. Da dafür aber weitere Kabel nötig sind, ist die Umsetzung in grün die Übergangslösung. Zusätzlich konnte ich so meine Schulleitung von WLAN generell überzeugen, so dass die Kabel für blau überhaupt bezahlt werden.
die Switches sind konfigurierbar mit VLAN-IDs. Das probiere ich morgen gleich mal aus. Dann kann ich ein Gros der Geräte aus den workstations-Datei rausnehmen.
die Switches sind konfigurierbar mit VLAN-IDs. Das probiere ich morgen
gleich mal aus.
… ich kenne ja deine Vorkentnisse nicht, aber normalerweise ist das
nichts was man “mal schnell” macht.
Man kann dabei aber durchaus “mal schnell” das ganze Netz lahm legen.
Ich weiß also nicht, ob du das Morgen “gleich mal” ausprobieren willst
danke für die Sorge, war vielleicht sehr lapidar formuliert. Unser Netzwerk ist klein und wir haben Ferien und damit mehr Zeit als sonst.
Bei der Einteilung in zwei VLANs (grün und blau) über zwei Switches und ca. 30 Clients sollte das aber auch bei näherer Betrachtung in 1-2 Stunden über die Bühne zu bringen sein oder übersehe ich irgendetwas Entscheidendes?
Die Ports für das jeweilige VLAN innerhalb eines Swichtes festlegen (darauf achten, dass die Pakete untagged an die Clients weitergeleitet werden)
Die Uplinks der Swiches auf tagged setzen
Gleiche VLAN-IDs verwenden
Dazu habe ich im Anwederwiki eine Anleitung gesehen, suche ich mir für “morgen mal” raus
ich habe leider nach wie vor das Problem, dass die Internetsperre nicht funktioniert. In diesem Clip bin ich die Schritte alle durchgegangen, vielleicht übersehe ich ja etwas: https://youtu.be/-nDK18EmiUg
Jetzt wird erstmal das WLAN ins blaue Netz umgezogen.
ich habe leider nach wie vor das Problem, dass die Internetsperre nicht
funktioniert. In diesem Clip bin ich die Schritte alle durchgegangen,
vielleicht übersehe ich ja etwas: https://youtu.be/-nDK18EmiUg
ich hab dein Video angeschaut: der Test ist für mich nicht
zufriedenstellend, da du nach Abschalten des Internets einen Reload
machst: die Seite kommt dann aus dem lokalen Cache oder dem Proxy vom
IPFire: aber möglicherweise eben nicht aus dem Internet: potentiell
könnte die Sperre also schon funktionieren.
Das gewünschte Verhalten bringt also vielleicht garnicht das löschen des
Subnetzes, sondern der reload des Proxys.
Als: mach alles nochmal so, aber ruf nach Einschalten der Sperre eine
andere Seite auf (so wie es auch Alois vorschlägt).
