ich hänge gerade an der Installation des Servers und hoffe daher, hier ein bisschen Hilfe zu bekommen (was ich bisher hier im Forum durch lesen mitbekommen habe zeugt ja schon mal von einer echt guten und hilfsbereiten Community!).
Zur Situation:
Aktuell gibt es in der Schule einen Time for Kids - Router und einen Windows Server 2003. Letzterer ist Domain Controller, bis vor kurzem war er auch DHCP-Server, aber die Aufgabe hab ich lieber an den TfK weiter gereicht.
Aus Gründen, die ich wohl nicht weiter erklären brauche, soll der Windows Server weg und eine vernünftige Serverlösung her. Neue Hardware ist bereits angeschafft, darauf läuft Debian und KVM, die VM mit Ubuntu Server 16.04 für linuxmuster ist auch bereits installiert. Der TfK soll allerdings erhalten bleiben und als Proxy eingesetzt werden, weil ist auch erst vor einem Jahr angeschafft worden. Das würde ich auf Dauer aber auch noch mal ausdiskutieren wollen… Zumal ich beim Überfliegen einiger Themen hier im Forum mitbekommen habe, dass TfK und linuxmuster nur so mäßig kompatibel sind? Kann mir da jemand genaueres zu sagen?
Ich laufe nun bei der Erstkonfiguration von linuxmuster immer in folgende Fehlermeldungen:
/usr/share/linuxmuster/scripts/linuxmuster-config: line 194: [: too many arguments
Sorry, no NIC found! Aborting!
Das “too many arguments” ist aus meiner Sicht für mich gerade unerheblich (hab mal ins Script geguckt, da wird auf eine Variable verwiesen, die nirgends gesetzt wird).
Was meine bisherige Suche im Forum ergeben hat, ist das drei NICs benötigt werden. Allerdings habe ich bisher nichts dazu gefunden, ob und wie diese NICs konfiguriert werden müssen. Die VM hat drei NICs, eins ist mit einer statischen IP im 10.16.0.0/12 konfiguriert, die anderen beiden ziehen sich per DHCP IPs aus einem anderen Netz. Der Server ist gerade in einer Testumgebung und hängt nicht an dem TfK.
Was mache ich hier noch falsch?
Du nutzt sicher die Anleitung von Netzint. Wenn Du eine aktuellere Version von XEN-Server (Anmerkung: höher 7.0) benutzen willst, dann passt die Anleitung nicht mehr. Besser Du nutzt XCP-ng (das ist ein Fork von XEN) und benutzt diese Anleitung
xcp-ng-7.6.0.iso ggf. durch den richtigen Namen ersetzen
sdX ebenfalls durch den richtigen Namen ersetzen!
Nach dem Prozedere sollte der Stick bootfähig sein!
Noch ein Hinweis:
als virtuelle Maschine XOA habe ich eine bessere Variante als die auf der Netzint DVD *. Bei Bedarf gebe ich Dir Zugangsdaten über die Du die Maschine downloaden kannst.
Gruß
Alois
Die Maschine auf der Netzint CD ist von XEN und hat Einschränkungen. Die von mir ist OpenSource und unterliegt keinen Einschränkungen.
der Sinn eines TfK-Schulrouter ist aus meiner Sicht, das Thema
Sicherheit im pädagogischen Netzwerk an Externe auszulagern. Speziell
bei der Filterung geht es dabei mehr um die Abgabe der Verantwortung als
um eine technisch wirksame Lösung. Die Grundeinstellungen bieten zwar
einen vernünftigen Schutz gegen Angriffe von außen, die Filterung ist
jedoch z. B. mit Tor leicht zu umgehen, solange der Proxy transparent
ist (was nicht sein muss, aber einen korrekt konfigurierten Browser auf
den Clients voraussetzt) . SafeSearch ist aufgrund der Anforderung es
selektiv erzwingen zu können wenig praktikabel, weil man zum Suchen
explizit auf schulrouter:1915 gegen muss (Zitat einer Kollegin: " Das
Internet ist kaputt!"). Die “didaktischen Funktionen” des Schulrouter
(“Lernboxen”) sind nach wie vor eine Zumutung für die KollegInnen! Eine
Kopplung, wie TfK sie für die alte OpenML 5 mit ipcop realisiert hatte,
ist mit linuxmuster (6.x) nicht zustande gekommen
Wenn Du den Schulrouter als primären Proxy benutzt, verlierst Du die
sehr viel besser brauchbaren didaktischen Funktionen von linuxmuster.
Deshalb ist es besser, wenn Du den Schulrouter als vorgelagerten Proxy
in ipfire oder neu opensense einrichtest. Da er dann nicht mehr
transparent sein muss, wird es schwerer, ihn zu umgehen. Wo Du dann
filterst, da bist Du frei. SafeSearch würde ich wenn innerhalb von
linuxmuster einrichten. Dort funktioniert es “geräuschlos” für alle,
weil es über eine DNS-Umleitung realisiert wird. Auch DHCP solltest Du
mit linuxmuster machen, weil Du die dhcpd.conf auf dem Schulrouter sonst
von Hand pflegen müsstest. Ein Feature, dass ich linuxmuster beigebracht
hatte (und m. E. trotz eventuell damit verbundenen Risiken Standard sein
sollte), ist die automatische Proxy-Konfiguration mit wpad.dat http://www.kai-hildebrandt.de/tutorials/wpad.html
Setzt natürlich alles voraus, das linuxmuster auch primärer DNS ist.
Übrigens ist die Situation bezüglich der didaktischen Funktionen mit
IServ auch nicht besser, obwohl es dort für DHCP eine recht enge
Kopplung mit TfK gibt. wpad kann man in IServ per grafischer
Konfiguration einrichten.
Vielen Dank, Alois, für die detaillierte Ausführung und auch das Angebot für die Zugangsdaten. Ich würde jedoch gerne weiter mit KVM virtualisieren, da ich damit schon deutlich mehr Erfahrung habe.
Auch dir vielen Dank, Jürgen, für die schöne Zusammenfassung der Probleme mit TfK. Ein paar der allgemeineren Dinge waren mir auch schon mal aufgefallen. Für mich klingt das alles so, als wäre es besser, die Schule davon zu überzeugen, den TfK außer Betrieb zu nehmen, da er alles nur unnötig verkompliziert und die Funktionen ohnehin von den etwas findigeren Schülern schnell umgangen werden können (fängt ja schon damit an, dass SafeSearch offenbar nur für Google greift - weil es ja auch nicht genug andere Suchmaschinen gibt…)
Mein Problem mit den NICs, die nicht gefunden wurden, ist auch gelöst. Ich habe im Script /usr/share/linuxmuster/scripts/helperfunctions.sh den Abschnitt “nic setup” angesehen. Die Funktion discover_nics() sucht (unter anderem) explizit nach /sys/class/net/eth*. Unter Ubuntu Server 16.04 heißen die NICs aber nicht mehr eth*, sondern ens*. Script dahingehend geändert, und linuxmuster-setup --first bricht an der Stelle nicht mehr ab.
Leider läuft es bei mir danach in andere Probleme, so setzt das Script zum Beispiel die IP der VM auf 10.16.1.1 und den DNS ebenfalls auf 10.16.1.1. Allerdings ist 10.16.1.1 in meiner Testumgebung der Router… Anscheinend ändert es auch irgendwo was an den Benutzern oder den Login-Einstellungen, nach einem Reboot konnte ich mich nicht mehr einloggen (bzw. wurde direkt nach Login wieder rausgeworfen).
Werde mir das Ganze nun noch mal genauer ansehen und ein paar Dinge ausprobieren.
willst Du wirklich jetzt noch mit lmn 6.2 anfangen?
Das Ubuntu 12.04 darunter wird zwar noch liebevoll vom Verein mit den
nötigsten Updates versorgt - aber wie lange noch, wenn lmn 7 etabliert ist?
Meine lmn 7 Testinstallation darunter ist zwar erst so weit, dass ich
linuxmuster-setup --first aufrufen könnte, aber zumindest die
Beschränkungen bezüglich 10.16.0.0/12 für den Server, mit denen ich
damals sehr hart kämpfen musste, sind dort raus. Welche es stattdessen
gibt werde ich noch sehen http://docs.linuxmuster.net/de/v7/appendix/install-on-xcp-ng/index.html#install-on-xen-label
Für lmn 6.2 hatte ich einmal zusammengeschrieben, wo man nach der
Erstinstallation und jedem Update von linuxmuster-base drehen muss, wenn
man von den vorgegebenen Adressen abweichen muss. Musst Du? Wenn nein,
tu’s nicht! Schicke ich Dir den Text gern per PM.
TfK bietet SafeSearch auch mit duckduckgo, bing und ? auf
schulrouter:1914, schulrouter:1916 und schulrouter:? an. Den vierten
weiß ich gerade nicht, könnte Yahoo sein, keine Garantie für die
Zuordnung der Ports. Mit linuxmuster als DNS regelst Du das über
entsprechende Einträge.
Nein, wenn lmn 6.2 nur mit 12.04 funktioniert, dann möchte ich damit nicht mehr anfangen Ich hatte bisher versucht, es auf 16.04 zum Laufen zu bekommen (nachdem ich auf 18.04 schon am Repository gescheitert bin).
Danke für den Link zur Doku von lmn 7! Da werde ich mich nun mehr mit beschäftigen.
Hättest du aber sicherlich durch Jürgens Hilfe selbst noch entdeckt.
Wie immer ist der Verein so wie es der Name verspricht. linuxmuster.net(t)
Da wir ja aus der Schule kommen, kennen wir die Zwänge die unser System (politisch, gesellschaftlich …) uns aufbürdet.
Am letzten Wochenende dieses Monats treffen wir uns ja in Karlsruhe und da werden wir das thematisieren. Ich gehe aber davon aus, das es ein Verlängerung bis Mitte nächsten Jahres geben wird. [Häng mich aus dem Fenster]
Auch dir vielen Dank, Jürgen, für die schöne Zusammenfassung der
Probleme mit TfK. Ein paar der allgemeineren Dinge waren mir auch schon
mal aufgefallen. Für mich klingt das alles so, als wäre es besser, die
Schule davon zu überzeugen, den TfK außer Betrieb zu nehmen, da er alles
nur unnötig verkompliziert und die Funktionen ohnehin von den etwas
findigeren Schülern schnell umgangen werden können
… mit dem Satz hast du es gut auf den Punkt gebracht.
Das Problem mit TfK damals war, dass die Firma für eine Integration
ihres Filters in unsere Lösung (durch uns!), eine NDA (None Disclosure
Agreement) unterzeichnet haben wollt.
Wenn unsere Schulkonsoel (oder WebUI) den TfK fernsteuern soll, was
nötig ist, damit unsere Internetkontrolle (Internet An/aus bzw.
WebFilter an/aus) funktioniert, müßten unsere Entwickler die API von TfK
kennen.
Und die wird aber ohne NDA nicht verraten.
Unsere Frage, wie wir den eine NDA einhalten sollen, wenn wir OpenSource
produzieren konnten oder wollten die nicht beantworten (in unserem
Quellcode könnte man ja dann die API Aufrufe ablesen).
Wir wollen OpenSource machen: davon weichen wir nciht ab, und die wollen
ihre API geheim halten: uns so ist das ganze im Sande verlaufen.
Ich find es nicht so schlimm, weil Webfilter wie Virenprüfer sind: sie
sind gut für das Gewissen: wenns drauf an kommt sind sie schlicht Sinnfrei.
Und wegen der virtualisierung: ich verwende auch KVM: das geht, mach
damit weiter
Hi Claudia,
ich bin sowieso dabei, das gleiche zu tun, was du tun willst.
Schreib sobald du in Probleme rennst in der KVM-Installation (die hab ich zu verantworten).
Weiter bin ich auch noch nicht, sprich: hab die linuxmuster.net noch nicht in v7 fertig konfiguriert.
VG, Tobias
und da melde ich mich wieder mit dem nächsten Problem
Hab mir die Doku zu lmn7 und die Anleitung für KVM angeguckt, Appliances auf den Host runter geladen und scheitere gerade am konvertieren der OVA’s, weil meinem Host anscheinend der Parser fehlt. OVA entpackt, die VMDK konvertiert zu QCOW2 (ging einwandfrei), nun fehlt mir natürlich noch die XML dazu… Denn beim Versuch, die OVF zu konvertieren, jammert es wieder, der Parser würde fehlen (probiert hab ich das sowohl unter Debian 9, als auch unter Ubuntu 18.04, kriege aber auf beiden Systemen die gleichen Fehlermeldungen).
Ich konnte auch die Spezifikationen für die VMs in der Doku nicht finden, sonst hätte ich die eben zusammen geklickert.
Könnte mir da jemand helfen?
Ich konnte auch die Spezifikationen für die VMs in der Doku nicht
finden, sonst hätte ich die eben zusammen geklickert.
so würde ich das machen.
Könnte mir da jemand helfen?
Wichtig sind ja eigentlich nur die Netzwerkkarten: und die mußt du
wahrscheinlich eh in den VMs wieder zuweisen: also sind auch die MAC
Adressen egal.
Du kannst ja aber die MAC Adressen vorgeben.
Ramm kannst du wählen, wie es bei dir paßt.
Dann fehlen eigentlich nurnoch die Festplatten: und da weißt du ja,
welche zu wem gehört.
Der Server hat zwei: eine „kleine“ die „als erste“ drin hängt und eine
größere.
Hi Claudia,
sorry für die Verzögerung: Thomas hat neue Appliances gemacht, die bei mir auch wieder funktionieren, dazwischen funktionierten sie nicht.
noch ein Hinweis: wenn du die aktuelle Appliance installierst dann heißt sie „lmn7-opnsense-20190319.ovf“.
Ich fahre nach dem virt-convert die appliance runter und mach dann ein „domrename“, so etwa:
hier fällt mir noch auf, dass du jetzt genau schauen musst, wie das in dein System passt:
10.16.1.1 ist aus irgendwelchen Gründen dein TfK-Router? mit welcher Netzmaske? /16 ?
In jedem Fall ist dann die 10.0.x.x/16 das richtige Netz für die wie in der Anleitung. Das WAN-Interface der OpnSense muss dann halt per DHCP oder statisch vermutlich eine 10.16.x.x bekommen.
Aber nicht verwirren lassen: 10.16.x.x ( - 10.31.255.255) ist für viele hier im Forum DAS bevorzugte und verwendete Netzwerk mit 10.16.1.1 als Server-IP. Das ist historisch bedingt. Mit der lmn 7 fängt man am besten mit der 10.0.0.0 an, wenn man neu installiert.
vielen, vielen Dank für die ausführlichen Antworten! Ich bin inzwischen ein bisschen weiter gekommen und konnte die Appliances auch installieren.
Aktuell hängt der Host in einer Testumgebung. Da gibt es keinen TfK-Router, sondern eine kleine Debian-VM, die als Router konfiguriert ist. Vorhin hab ich noch entdeckt, dass die Appliances im Netz 10.0.0.0/16 vorkonfiguriert sind. Letztlich hab ich die IP dieses Routers auf 10.0.0.254 geändert und die Firewall angepasst, um die Probleme zu umgehen. Im Schulnetzwerk werde ich sowieso das Netz noch anpassen müssen, da kann ich dann auch sauf 10.0.0.0/16 gehen. Spätestens in den Osterferien will ich den Server allerdings auch in die Schule bringen… bis dahin muss ich mir was wegen des TfKs einfallen lassen.
Nach Abschluss der Erstkonfiguration funktionierte die automatische Weiterleitung zur mit SSL gesicherten WebUI nicht. Habe dann aber einfach die URL eingegeben
Werde noch ein bisschen testen, und dann kann ich das Ganze hoffentlich bald ausrollen. Ich hätte noch mindestens eine weitere Schule, die LMN ganz gut gebrauchen könnte…
ist. Vorhin hab ich noch entdeckt, dass die Appliances im Netz
10.0.0.0/16 vorkonfiguriert sind. Letztlich hab ich die IP dieses
Routers auf 10.0.0.254 geändert und die Firewall angepasst, um die
Probleme zu umgehen.
… so geht das aber nicht (wenn ich das richtig verstanden habe).
Du hast das 10.0.0.x/16 Netz in Grün der lmn.
Und du hast eine DebianVM davor als Router.
Dann muss die im Roten Netz der OPNSense sein und darf somit nicht das
Netz haben, dass intern vor liegt.
Der Router kann ja nicht von 10.0.0.0 nach 10.0.0.0 Routen: woher soll
er den wissen in welches Netz er welche Anfrage schicken soll…
Also: nimm vor der OPN Sense ein anderes Netz, das nciht überlappt: z.B.
192.168.1.x
Hallo Claudia,
Holger hat zwar Recht mit der 10.0.0.254 z.B. aber entscheidender finde ich dass wir hier nochmal klären sollten, in welchem Zeitraum du was genau machen willst.
Die lmn 6.2. hast du ausroll-fertig möglicherweise bis zu den Osterferien.
Die lmn 7.0 ist in der Betaphase. Das willst du nicht als allererste nach den Osterferien jemandem als Produktivsystem hinstellen, oder? Da hätten die keine gutes Image von der linuxmuster.net. Meine Meinung.
VG, Tobias
du meinst, da hätten die Lehrer an dieser Schule kein gutes Bild / keine gute Meinung von linuxmuster.net - und deshalb würde das Ansehen / Image von LMN (an dieser Schule und ggf. durch Mundpropaganda darüber hinaus) leiden @cmer: Ich empfehle jedenfalls wie Tobias entweder jetzt 6.2, oder mit dem Umstieg auf linxuxmuster.net warten, bis v7 wirklich released ist.
Da muss ich nicht nur schmunzeln. Mein Satz und dazu deine Korrektur als Lehrer gehören schon fast ins Wörterbuch. (Dabei bist noch noch nicht mal Deutsch-Lehrer und ich habe eigentlich wenig Legasthenie im Blut).
Kommt davon wenn man mit schlechtem Gewissen schlecht tipppt…
VG, Tobias
p.s. @cmer: Einfach die 6.2 mit einer Ubuntu 12.04 Installation starten. Der KVM-Host kann dagegen natürlich ein 18.04 Ubuntu sein!
)
