Wenn ich probehalber ein „ping its1-pc02“ mache, dann wird auch korrekt
nach der
IP 10.2.1.2 aufgelöst.>
its1;its1-pc02;its123;98:FA:9B:E9:F4:A0;10.2.1.2;—;—;1;classroom-studentcomputer;—;1;;;;MIGRATION;1
its1;its1-pc03;its123;98:FA:9B:E9:E5:FE;10.2.1.3;—;—;1;classroom-studentcomputer;—;1;;;;MIGRATION;1> Die sollte eigentlich passen, oder?
#### Creating workstation 1: SERVER ####
DN: CN=SERVER,OU=server,OU=Devices,OU=default-school,OU=SCHOOLS,DC=niedernburg,DC=lan
DN(Parent): OU=server,OU=Devices,OU=default-school,OU=SCHOOLS,DC=niedernburg,DC=lan
Name: SERVER
Room: server
School: default-school
File: devices.csv
Prefix: ---
sAMAccountName: SERVER$
dNSHostName: SERVER.niedernburg.lan
sophomorixDnsNodename: server
servicePrincipalName: HOST/SERVER
servicePrincipalName: HOST/SERVER.niedernburg.lan
servicePrincipalName: RestrictedKrbHost/SERVER
servicePrincipalName: RestrictedKrbHost/SERVER.niedernburg.lan
ERROR in Sophomorix::SophomorixSambaAD::AD_computer_create:
00002071: samldb: samAccountName 'SERVER$' already in use!
* server must be created RUNTIME
#### Creating group server of type room (begin): ####
* Group server exists already (1 results)
#### Creating group server of type room (end) ####
Subnetting kann ich leider nicht machen, da der Schulträger nicht mitspielt.
Wenn das System mal läuft, dann kann ich vielleicht durchsetzen, dass jemand die Switche umkonfiguriert … aber bis dahin … keine Chance (die wollen das System an die Wand laufen sehen, damit was anderes eingeführt werden „kann“) - die Freude gönne ich ihnen aber nicht. Drum auch das Upgrade, damit sie nicht „von einem völlig veralteten System“ sprechen können … was die 6.2 zwar nicht wäre, … is ja egal
Was aus dem syslog interessiert dich genau?
Man sieht den DHCP-Request nach der 10.0.255.2 … sonst hab ich beim Verfolgen nichts gesehen.
Der Import:
linuxmuster-import-devices
------------------------------------------------------------------------------
#### linuxmuster-import-devices startet at 2020-06-03 21:30:48 ####
------------------------------------------------------------------------------
#### Starting sophomorix-device syntax check: ####
Command line::
Hmmh. do not know what to do with option info
Option verbose is a modifier option
Option json is a modifier option
* forcing info mode
Option combinations successfully checked
OK: SophomorixSchemaVersion 1 matches required Version 1
#### Reading /usr/share/sophomorix/devel/sophomorix.ini ####
Distro-check: Ubuntu 18.04 is OK
#### Reading /etc/samba/smb.conf ####
#### Reading /usr/lib/linuxmuster-webui/etc/default-ui-permissions.ini ####
#### Parsing: net conf list ####
#### Asking domain passwordsettings from samba ####
#### Reading /usr/share/sophomorix/devel/master/sophomorix.conf.master ####
#### Reading /etc/linuxmuster/sophomorix/sophomorix.conf ####
#### OK: default-school share exists ####
#### OK: /etc/linuxmuster/sophomorix/default-school/school.conf ####
#### Reading /usr/share/sophomorix/devel/master/school.conf.master ####
#### Reading /etc/linuxmuster/sophomorix/default-school/school.conf ####
#### Query AD for device (start) ####
#### 147 Computers found in AD ####
#### 30 sophomorix rooms/devicegroupes found in AD ####
#### 20 dnsZones found ####
#### 296 sophomorix dnsNodes found ####
#### Sorting lists ... ####
#### Query AD for device (end) ####
#### Reading /etc/linuxmuster/sophomorix/default-school/devices.csv ####
#### /usr/sbin/sophomorix-device started ... ####
#### /usr/sbin/sophomorix-device terminated regularly ####
Calling console printout
LOG : Reading /etc/linuxmuster/sophomorix/default-school/devices.csv
LOG : All *.devices.csv files without syntax error
LOG : /usr/sbin/sophomorix-device terminated regularly
#### sophomorix-device finished OK! ####
Command line::
Hmmh. do not know what to do with option info
Option verbose is a modifier option
Option json is a modifier option
* forcing info mode
Option combinations successfully checked
OK: SophomorixSchemaVersion 1 matches required Version 1
#### Reading /usr/share/sophomorix/devel/sophomorix.ini ####
Distro-check: Ubuntu 18.04 is OK
#### Reading /etc/samba/smb.conf ####
#### Reading /usr/lib/linuxmuster-webui/etc/default-ui-permissions.ini ####
#### Parsing: net conf list ####
#### Asking domain passwordsettings from samba ####
#### Reading /usr/share/sophomorix/devel/master/sophomorix.conf.master ####
#### Reading /etc/linuxmuster/sophomorix/sophomorix.conf ####
#### OK: default-school share exists ####
#### OK: /etc/linuxmuster/sophomorix/default-school/school.conf ####
#### Reading /usr/share/sophomorix/devel/master/school.conf.master ####
#### Reading /etc/linuxmuster/sophomorix/default-school/school.conf ####
#### Query AD for device (start) ####
#### 147 Computers found in AD ####
#### 30 sophomorix rooms/devicegroupes found in AD ####
#### 20 dnsZones found ####
#### 296 sophomorix dnsNodes found ####
#### Sorting lists ... ####
#### Query AD for device (end) ####
#### Reading /etc/linuxmuster/sophomorix/default-school/devices.csv ####
#### /usr/sbin/sophomorix-device started ... ####
#### 0 ERRORS, 0 WARNINGS -> let's go ####
....
CN=SERVER,OU=server,OU=Devices,OU=default-school,OU=SCHOOLS,DC=niedernburg,DC=lan
DN(Parent):
OU=server,OU=Devices,OU=default-school,OU=SCHOOLS,DC=niedernburg,DC=lan
Name: SERVER Room: server School: default-school File: devices.csv
Prefix: — sAMAccountName: SERVER$ dNSHostName: SERVER.niedernburg.lan
sophomorixDnsNodename: server servicePrincipalName: HOST/SERVER
servicePrincipalName: HOST/SERVER.niedernburg.lan servicePrincipalName:
RestrictedKrbHost/SERVER servicePrincipalName:
RestrictedKrbHost/SERVER.niedernburg.lan ERROR in
Sophomorix::SophomorixSambaAD::AD_computer_create: 00002071: samldb:
samAccountName ‚SERVER$‘ already in use! * server must be created
RUNTIME ####
den Fehler habe ich auch (gerade nochmal geprüft).
Schau mal hier:
Der „Fehler“ wurde noch nciht behoben.
Er sollte nicht das Problem bei dir sein.
warum sollte das ohne die Switche nicht gehen? Man sieht ja, dass der
DHCP-Request den Server erreicht - der Server erkennt nur den Rechner nicht korrekt. Die Kommunikation zwischen Client und Server funktioniert demnach ja …
Ich tippe eher darauf, dass in der DHCP-Konfiguration was nicht passt.
Die Trennung in Subnets auf den Switchen dient doch dafür, dass der direkte Kontakt von den Netzen geregelt wird, dass Schüler also z.B. nicht auf das Lehrernetz zugreifen dürfen? Demnach kommen die Pakete aber am Ende alle bei der Firewall an, die die Pakete dann passend weiterleitet. Sind die Switche nicht konfguriert, soltle das genauso passieren, aber man könnte auch direkt auf das andere Netz zugreifen - oder hab ich da einen Denkfehler drinnen?
Ist die V7 ohne subnetting auf den Switchen im IP-Bereich 10.0.0.0 betreibbar? Wenn ja - an welcher Stelle bin ich in der Doku falsch abgebogen. Ich dachte, dass die Auto-konfiguration das alles passend einstellt.
Erweitert:
Kann man das per Hand so umkonfigurieren, dass es dann geht?
Wo werden aktuell eigentlich die Rechnerdefinitionen für DHCP abgelegt? Bei der v6.2 waren die (?) doch noch in einer Datei im Umfeld der dhcpd.conf, oder? Da ist jetzt nichts mehr zu finden. Macht das Samba irgendwie mit?
Ich hab keine Ahnung, an welchen Stellen überall die 16er bei der Autoconfig eingetragen wurde. Da kann ich nicht einfach an einer Stelle 16 -> 8 machen …
Oder meinst du: Komplette Neueinstallation und dann mit einer 8er?
ja: kannst du nicht diene IP Adressen, wenigstens erstma, so anpassen,
dass sie in das Netz 10.0.0.0/255.255.0.0 passen?
Dann weißt du ob es noch andere Probleme gibt und bekommst erstmal ein
funktioneirendes Netz.
Erweitert:
Kann man das per Hand so umkonfigurieren, dass es dann geht?
ich denke schon, dass das geht.
Ich hab ja letzte Woche selber dran rumgescharubt und bin von einer
/12er Maske zu einer /24er Maske auf dem Server umgestiegen.
Willst du das probieren, bevor du das obige probiert hast?
Hi,
ich hab hier ein Testsystem, das den Fehler reproduziert. Damit kann die Umstellung mal probieren. Dann sind halt alle Geräte im Servernetz …
Keine Ahnung auf welche Funktionen das dann durchschlägt …
Das mit der Umstellung behalten wir bitte mal im Auge. Evtl. können wir uns da mal per Video-Konf zusammenschalten (siehe PM).
Nachtrag:
Hab meinen Testclient auf dem testsystem PC02 mal die 10.0.11.2 gegeben. Die bekommt er dann auch nach dem DHCP-Request, aber er ist nicht der passenden Gruppe zugeordnet - Gruppe ist leer!
Beim Import kommt aber:
#### Devicegroup members to be added: ####
ADD: labor-pc02 to d_lmn-bionic-200507
#### Adding member to d_lmn-bionic-200507: ####
* Group d_lmn-bionic-200507 exists (1 results)
* User labor-pc02 exists (1 results)
* Adding user labor-pc02 to group d_lmn-bionic-200507
Hi,
du meinst devices.csv , oder?
Hab ich gemacht, ändert aber nichts.
Die devices.conf wird doch verwaltet, oder?
Dort stehen aber auch nur die drinnen, die sich im 10.0.x.x-Netz befinden (bei mir zumindest). Sollten da auch die anderen drinnen stehen?
Danach einen linuxmuster-import-devices, den Inhalt der dhcpd.leases gelöscht und den Server neu gestartet. Damit sollten
alle Infos in den Caches gelöscht sein.
Start des Clients:
Jun 4 10:45:02 server dhcpd[802]: DHCPDISCOVER from 8e:55:4d:42:f7:30 via ens18
Jun 4 10:45:03 server dhcpd[802]: DHCPOFFER on 10.0.255.254 to 8e:55:4d:42:f7:30 via ens18
Jun 4 10:45:03 server dhcpd[802]: DHCPDISCOVER from 8e:55:4d:42:f7:30 via ens18
Jun 4 10:45:03 server dhcpd[802]: DHCPOFFER on 10.0.255.254 to 8e:55:4d:42:f7:30 via ens18
Jun 4 10:45:05 server dhcpd[802]: DHCPREQUEST for 10.0.255.254 (10.0.0.1) from 8e:55:4d:42:f7:30 via ens18
Jun 4 10:45:05 server dhcpd[802]: DHCPACK on 10.0.255.254 to 8e:55:4d:42:f7:30 via ens18
Er schickt also einen „unvoreingenommenen“ Discover und bekommt 10.0.255.254 angeboten - die akzeptiert er dann auch.
Damit bringt das Anlegen eines Subnets an dieser Stelle also nichts.
Modifizieren wir das nochmal, indem ich den Rechner manuell in die devices.conf reinschreibe (testweise), wieder alles putze und neu starte …
Ich hab jetzt mal in der Doku den Abschnitt gelesen, der mich eigentlich nicht betrifft, da ich an die Switche ja nicht ran darf.
Dort scheint der Hund irgendwie begraben zu sein. Die subnets.csv hatte ich bis dato ignoriert, da ich von der Struktur
10.0.x.x
10.1.x.x
10.2.x.x
…
als Default ausgegangen bin.
Wenn man allerdings subnets definieren möchte, muss man ja anscheinend den Switchen eine 10.1.0.254, 10.2.0.254,… IP geben und die wird dann in der subnets.csv als Router eingetragen … richtig(?).
Gut - diese Option habe ich nicht, wegen „don’t touch the switch“.
Frage (weil in der Anleitung 16 steht):
Könnte man die OPNSense auf dem LAN-Interface mit einer 8er Maske
versehen, den Server mit einer 8er Maske laufen lassen und damit die ganzen „subnets“ nur symbolisch betreiben? Was fliegt mir dann alles um die Ohren? Ich würde z.B. das WLAN ins 10.4.0.0 an eine NIC der OPNsense hängen. Geht das dann noch?
Mir ist schon klar, dass das einige Konzepte in Bezug auf die Sicherheit aushebelt. Aktuell ist mir das allerdings relativ egal, denn was ich brauche, ist ein prinzipiell lauffähiges System.
WENN sich der Schulträger dann von SEINEN Plänen eventuell verabschiedet, dann muss er mir ja auch die Switche passend konfigurieren und das evtl. auch extern vergeben (ist je einer der Haupkritikpunkte, dass das keine Firma macht … und das System nicht von MS stammt). Ich brauch nur ein „Läuft und ist aktuell“ … mit Verbesserungspotential durch Firma.
wenn Du nur ein flaches Netz (also ohne Subnetze und Routing) betreiben darfst müssen alle IPs in demselben subnetz sein. Damit ist das anlegen eines Subnetz für Deine Clients nicht möglich.
Das Problem bei dem DHCP ist dann das Deine Rechner den DHCP-Server erreichen aber der server anhand der Adresse des empfangenen Interfaces erkennt aus welchem subnetz er die Ip vergeben soll. Und das ist dann immer das Serversubnetz. damit sind alle Deine Versuche für Dich zwar erfolgloas aber aus Sicht des Netzwerkes völlig OK. (In der Definition Deines Subnetzes ist übrigens auch der der Eintrag „option routers 10.0.0.254“ falsch. Hier müsste eine Adresse aus dem Subnetz stehen.)
Deine Frage ob Du an die OPNsense an ein weiteres Interface den IP-Bereich 10.4.0.0/8 bei einem sonstigen Netz 10.0.0.0/8 hängen kann, kann man nur mit NEIN beantworten. So wie ich das sehe ist die OPNsense hier eine Router. Und Router trennen sich nicht überschneidende Netzwerke voneinander. Deine das 10.4.0.0er Netz ist aber ein Bastandteil des 10.0.0.0er Netzes. Da sollte die OPNsense schon bei der Vergabe der IP-Adresse an das Interface meckern.
Nimm doch für das WLan einfach einen anderen privaten Adressbereich (z.B. 172.16.0.0/12). Dann sollte das problemlos gehen. Das Net auf der OPNsense müsste natürlich angepasst werden.