Ip Fire Grünes netz

Hallo Jannik,

unabhängig von allem vorher geschriebenen müsste der DHCP laufen. Deshalb noch mal die Frage hast Du selbst etwas geändert?

Gruß

Alois

Hallo miteinander,

bei der Suche nach meiner alten Antwort darauf, wie man die Netzwerkmaske für “grün” in der lmn ändern kann, ist mir noch einmal bewusst geworden, dass “das Netz nichts vergisst”! Bislang gibt es in diesem Forum wenig Beiträge, die es besser vergessen sollte … lasst uns diese Tradition beibehalten.

Nun zur Sache:

  1. Andere Adresse als 10.16.0.0/12 für “grün”
    Grundsätzlich haben unsere freiwilligen Supporter Recht damit, dass man die Adresse und Subnetzmaske des server nicht ändern sollte, wenn man nicht muss. Ich musste es wegen der Vorgaben unserer Schulbehörde (und kann inzwischen nachvollziehen weshalb es diese gab und gibt). Dabei gab es immer wieder kleine Probleme - entweder weil ich noch eine Stelle übersehen hatte oder weil ein Update eine wieder überschrieben hatte. Die Angelegenheit wurde damals auch in der Liste diskutiert: https://linuxmuster.lbs.bw.schule.narkive.com/KtvLl4c1/ip-adresse-von-linuxmuster-an-vorgaben-in-hamburg-anpassen . Hier mein vollständiges Protokoll:

Leider müssen wir nach aktuellem Stand den IP-Adressraum 10.0.2.0/23 für unser “grünes Netzwerk” verwenden, was einige Manipulationen an linuxmuster erfordert. Die Adresse 10.0.2.2 für den “server” und 10.0.2.1 für den Schulrouter plus müssen an verschiedenen Stellen von Hand eingetragen und eventuell nach dem Update eines der linuxmuster-Pakete überprüft werden:

  • /etc/hosts
  • /etc/network/interfaces
  • /etc/resolv.conf
  • /etc/ipcop.settings
  • /etc/init.d/linbo-multicast
  • /etc/ldap/slapd.conf
  • /etc/nagios3/conf.d/linuxmuster_main.cfg
  • /var/linbo/start.conf
  • /var/linbo/start.conf.
  • /var/lib/linuxmuster
    • network.settings
    • config-static

Wenn DNS auf server genutzt werden soll, müssen dessen Datenbank-Dateien in /etc/bind angepasst werden (und natürlich DHCP auf dem Schulrouter)

  • named.conf.options
  • db.linuxmuster
  • db.10
  • db.extern

Da es für “apt-get install linuxmuster-base” erforderlich ist, dass temporär isc-dhcp-server auf server läuft, sind weiterhin anzupassen

  • /etc/dhcp/dhcpd.conf
  • /usr/share/linuxmuster/config/dist.conf

Im übrigen bekommt linbo den Parameter hostname vom Schulrouter nicht per DHCP. Hiervon hängen jedoch einige Skripte auf Linuxclients und einige Funktionen der Schulkonsole ab. (Windoofs DHCP versteht diesen Parameter übrigens nicht.)
Dies legt nahe, DHCP permanent vom Schulrouter auf server zu verlagern. Dann spart man auch das manuelle Übertragen der static leases von server auf den Schulrouter.

Das raumweise Sperren des Internet kann nicht funktionieren, solange Time for Kids die Kopplung des Schulrouter mit linuxmuster nicht wie mit PaedML/OpenML, IServ, univention … realisiert hat.
Dies ist in Arbeit - nur haben die kommerziellen Schulserver offenbar Vorrang …

22.01.2016:
Zusammen mit der Schulkonsole wurden einige andere Pakete aktualisiert.
Danach waren folgende Dateien geändert, dhcpd.conf sogar korrupt!

  • /etc/ldap/slapd.conf
  • /etc/nagios3/conf.d/linuxmuster_main.cfg
  • /etc/dhcp/dhcpd.conf
  • /usr/share/linuxmuster/config/dist.conf

Die Arbeit an der Kopplung von linuxmuster mit Time for Kids stagniert - auch nachdem ich TfK deswegen am 11.12.2015 per email auf die Füsse getreten habe. Ich habe heute vereinbart, es mit deren wohlwollender Unterstützung selbst versuchen. Interessiert ist man dort schon an einer Lösung.
So schwer kann es doch nicht sein, einen passwortlosen SSH-Zugang einzurichten und ein paar IP-Adressen in eine Datei allowedhosts ein- oder auszutragen …

14.02.2016
Nach dem Update von linuxmuster-client-auth in HULC funktionierte die LDAP-Anmeldung nicht mehr.
Als Ursache habe ich

  • /etc/bind/db.extern

identifiziert. Ob diese Datei schon länger die falsche IP für den server enthielt, kann ich nicht rekonstruieren.

07.12.2017
Die Verhandlungen über eine Implementierung der Schnittstelle zwischen linuxmuster.net e. V. und Time for Kids GmbH sind gescheitert.
Deshalb würde ich linuxmuster neu zusammen mit einem ipfire virtualisieren und nur die Schnittstelle ROT des ipfire direkt mit der Schnittstelle GRUEN des Schulrouter verbinden. Den so freigewordene Port in GRUEN wird mit der Schnittstelle GRUEN des ipfire (und linuxmuster) verbunden. In ipfire wird der Schulrouter 10.0.2.1:800 als vorgelagerter Proxy eingetragen.
Ob man jetzt mit squidguard in ipfire und/oder dem Schulfilter filtert, kann man sich aussuchen. Leichter einzurichten finde ich squidguard auf ipfire …

  1. Proxy Authentifizierung
    Proxy Authentifizierung setzt einen nicht transparenten Proxy voraus. Das wäre auch besser um z. B. die Umgehung mit Tor zu erschweren - setzt jedoch voraus, dass alle Clients und Programme dessen Adresse und Port kennen. WPAD ist hierfür eine feine Sache. http://www.kai-hildebrandt.de/tutorials/wpad.html
    Leider können damit nicht alle umgehen - speziell Smart Notebook für Linux und Mac nicht. Die erforderlichen Einstellungen in ipfire (einschließlich für RADIUS in “blau”) lade ich hier hoch.
    ipfire-DHCP-Konfiguration-radius-blau.pdf (196,7 KB)
    ipfire-Firewallregeln-radius-blau.pdf (208,5 KB)
    ipfire-Proxy-Konfiguration-radius-blau.pdf (281,8 KB)
    ipfire-Wireless-Konfiguration-radius-blau.pdf (101,4 KB)

  2. Zusammenfassung
    @Jannik2019: Lass “grün” bei 10.16.0.0/12, wenn Du irgend kannst!

@ Tobias: Ich fände es gut, wenn meine Dateiliste von oben - sei es als Abschreckung :wink: - an passender Stelle eingepflegt würde. Leider finde ich den Wiki-Eintrag zu diesem Thema nicht mehr, auf den ich mich damals bezogen habe.

@Maurice: Sollte der DNS von linuxmuster WPAD standardmäßig anbieten?

Gruß Jürgen