Gedanklich beschäftige ich mich momentan mit der Umsetzung eines Lehrernetzes, das auch Zugriff auf das pädagogische Netz aber nicht umgekehrt hat. In der Anleitung regelt ein Cisco SG300-10 das Routing zwischen den Subnetzen.
Könnte dies nicht auch der Virtualisierungshost machen, bei mir Ubuntu Server mit libvirt/KVM?
Hat dazu jemand Ideen oder Erfahrungen?
Hallo Christian,
Gedanklich beschäftige ich mich momentan mit der Umsetzung eines
Lehrernetzes, das auch Zugriff auf das pädagogische Netz aber nicht
umgekehrt hat. In der Anleitung regelt ein Cisco SG300-10 das Routing
zwischen den Subnetzen.
Könnte dies nicht auch der Virtualisierungshost machen, bei mir Ubuntu
Server mit libvirt/KVM?
Hat dazu jemand Ideen oder Erfahrungen?
ich halte es für durchaus Möglich, dass du auf dem VHost eine z.B.
openSense installierst die das Routing macht: ich bin aber der Meinung,
man sollte soche Netzwerkdinge auch den Netzwerkgeräten überlassen: wer
weiß, welche Fußangeln da auf dich warten bzw. ob und wie das Angreifbar
ist.
Weswegen willst du den keinen Layer 3 Switch nehmen?
LG
Holger
Hallo, Christian,
Eine interessante Idee schau dir doch mal Open V Switch an.
http://openvswitch.org/download/
Gruß Christoph
Danke Holger und Christoph,
Open V Switch habe ich mir angeschaut. Für meine rudimentären Netzwerkkenntnisse greift das zu stark in die Standardkonfiguration ein, da lass ich lieber die Finger weg.
Ich werde einen Layer 3 Switch (Router?) nehmen und nach Anleitung konfigurieren. Es war einfach so eine Idee und wenn es schon mal jemand umgesetzt hätte, hätte ich es gerne auf einem Ersatzserver ausprobiert. Es sind Ferien, da kann es passieren, dass man was ausprobiert, einfach “weil es (evtl.) geht”
Christian
Hallo Christian,
bei der Schaffung einer solchen Verbindung würde ich aus datenschutzrechtlichen Gründen auf eine Firewall zurück greifen. Ein Layer 3 Switch ist, auch wenn Access-Listen möglich sind, keine wirkliche Firewall! Noch dazu kommt, dass die erstellten Regeln nicht “stateful” sind, d.h. neben dem Hinweg der Pakete muss auch immer der Rückweg mit konfiguriert werden. Eine stateful Firewall macht das automatisch. Des Weiteren ist das Logging z.B. von abgewiesenen Paketen sehr unkomfortabel und muss, z.B. durch einen Syslog-Server ergänzt werden.
Ich würde eine IPFire-VM mit einem grünen- (Lehrernetz) und roten (pädagogisches Netz ) Netz vorschlagen.
Vorteile:
- echte Firewall
- einfache Erstellung von Regeln in zwei Zonen (rot und grün)
- stateful
- sehr gutes Logging mit möglicher Suche im Bedarfsfall !!!
Grüße
Bertram
Hallo Bertram,
bei der Schaffung einer solchen Verbindung würde ich aus
datenschutzrechtlichen Gründen auf eine Firewall zurück greifen. Ein
Layer 3 Switch ist, auch wenn Access-Listen möglich sind, keine
wirkliche Firewall! Noch dazu kommt, dass die erstellten Regeln nicht
„stateful“ sind, d.h. neben dem Hinweg der Pakete muss auch immer der
Rückweg mit konfiguriert werden. Eine stateful Firewall macht das
automatisch. Des Weiteren ist das Logging z.B. von abgewiesenen Paketen
sehr unkomfortabel und muss, z.B. durch einen Syslog-Server ergänzt werden.Ich würde eine IPFire-VM mit einem grünen- (Lehrernetz) und roten
(pädagogisches Netz ) Netz vorschlagen.Vorteile:
- echte Firewall
- einfache Erstellung von Regeln in zwei Zonen (rot und grün)
- stateful
- sehr gutes Logging mit möglicher Suche im Bedarfsfall !!!
klingt alles nachvollziehbar: aber schwerer um zu setzen (z.B. da keine
Anleitung existiert).
Vom Datenschutzstandpunkt kannst du recht haben: das weiß ich nicht.
Ich weiß aber, dass der Netzbrief vom KM in Baden Würtemmberg das
Umsetzen mit einem Layer 3 Switch erlaubt hat: somit sind wir da erstmal
auf der „Sicheren“ Seite.
Viele Grüße
Holger
Hallo Bertram,
reichen überhaupt zwei Netze, die über die Firewall verknüpft werden. Ich dachte es sind mindestens 3: Servernetz, pädagogisches Netz und Lehrernetz, dazu evtl. mehr, da linuxmuster.net für jeden Raum ein eigenes Subnetz anlegt.
Viele Grüße
Christian
Hier stehen ein paar Basics:
https://blog.aurka.com/open-vswitch-mit-kvm-unter-ubuntu-1404.html
Außerdem sollte nicht unerwähnt bleiben, dass Proxmox direkt mit openvswitch klar kommt:
https://pve.proxmox.com/wiki/Open_vSwitch
Ein Blick darauf dürfte sich also lohnen…
So zum Beispiel auch pfSense:
… noch ein Nachtrag:
Hast du gesehen, dass es eine fix-und-fertig-Konfiguration für den Cisco-SG300 gibt, die man nur noch einspielen muss?
http://docs.linuxmuster.net/de/latest/howtos/netzbrief-basics/switch-konfiguration.html
Leider zeigen alle 4 Links trotz unterschiedlicher IP-Bereichsangaben auf die gleiche Datei – das hatten wir irgendwann schon mal disktutiert. Wurde leider noch nicht behoben …
Hallo Christian,
habe mir gerade noch mal die Linuxmuster-Doku zum SG300 mit den Subnetzen angeschaut. Das Konzept der ACLs auf dem Switch ist ja:
- Erlaube Quelle:Alles --> Ziel:10.16.1.0/24
- Verbiete Quelle:Alles --> Ziel:10.0.0.0/8
–> Binde die ACL an die VLAN-Interfaces (Eingehend) der Raumnetze und des Lehrernetzes.
Um den Rückweg müssen wir uns keine Gedanken machen, da das Servernetz überall hin zugreifen darf.
Wenn das so ausreichend ist, gebe ich Holger völlig recht, ist die Anbindung des Lehrernetzes an den Layer 3 Switch völlig ok.
Sollte jetzt aber der Zugriff des Lehrernetzes z.B. in einen Klassenraum notwendig werden, stoßen wir aus meiner Sicht auf das Problem, dass wir das Klassenraumnetz für das Lehrernetz öffnen müssen (Antwortpakete), da die ACLs nicht stateful sind. Das ist nicht ok! Deswegen eine Firewall (z.B. IPFire), die stateful arbeitet, also die Antworten automatisch zulässt.
Das mit den zwei Netzen (rot/grün) kommt so aus meiner Sicht schon hin, da die Firewall über ein Transfernetz an den Layer 3 Switch angeschlossen wird. Damit das Routing funktioniert, muss natürlich neben dem Transfernetz auf dem Layer 3 Switch auch eine statische Route angelegt werden, die das Lehrernetz auf dem Switch (Router) bekannt macht. Des Weiteren muss in der entsprechenden Klassenraum-ACL auch der Zugriff in das Lehrernetz erlaubt werden.
Grüße
Bertram
Hallo Betram,
das ist ja gerade der Witz am Lehrernetz: von Räumen und Computern, zu denen Schüler Zugang haben, darf kein Zugang zum Lehrernetz möglich sein!
Viele Grüße
Jörg
Was die ACL im Cisco-Router angeht, wollte ich nochmal auf diesen Thread hinweisen. Die Regeln, die im Wiki vorgeschlagen werden, sind extrem restriktiv. Hier die Alternative…
Halle Bertram, Hallo Jörg,
das ist ja gerade der Witz am Lehrernetz: von Räumen und Computern, zu
denen Schüler Zugang haben, darf kein Zugang zum Lehrernetz möglich sein!
… Bertram meinte aber die andere Richtung: vom Lehrernetz in das
Klassenraumnetz.
Dieses Szenario gibt es aber bei uns nicht: zumindest hat das in den
letzten 3 Jahren niemand gewollt und auch mir fällt spontan nur ein: vom
Lehrernetz auf dem Klassenraumdrucker drucken: da der aber am Server
hängt ist das kein Problem: die Route auf den Server ist ja da und erlaubt…
Viele Grüße
Holger