Notfallzugang zum internen Netz? Wie geht ihr vor?

Hallo.
Aktuell gibt es bei uns das Problem, dass schulinterne Dienste nicht erreicht werden können.
Da sich unser Internetprovider e.ON trotz 1GB „Highspeed-Vertrag“ nicht in der Lage sieht, uns eine feste IP anzubieten, sind wir leider auf dyn. DNS Dienste angewiesen. Diese Dienste laufen in der Regel sehr stabil und aktualisieren die dyn. IP zuverlässig aber wenn sie es nicht tun, steht man direkt dumm da. Meine Hoffnung ist, dass das auch jetzt der Fall ist und es nur eine Frage der Zeit ist, bis es wieder läuft. Allerdings kann man da ja nie ganz sicher sein, so dass ich mich frage, ob ihr für solche Fälle vorgesorgt habt und eine weitere Möglichkeit geschaffen habt, wie man immer sehen kann, ob der Server noch läuft?

Bei uns intern laufen alle möglichen Monitoring-Systeme – aber auch das hilft mir jetzt nichts, da ich nicht nachsehen kann, wo es ggf hakt. Daher die Frage in die Runde: Wie macht ihr das? Läuft das Monitoring beispielsweise irgendwo direkt im Internet? Oder gibt es einen Zweit-Zugang zum Netz oder welche Strategien gibt es sonst noch, wie man das Problem besser absichern kann?

Viele Grüße,
Michael

Lieber Michael,

sowas ist ja echt doof. Falls Du irgendwo einen zuverlässig erreichbaren Rechner hast vielleicht ist ja Auto-SSH mit einem Reverse-Tunnel eine Lösung?

Beste Grüße

Jörg

Hallo
Das schaue ich mir an, danke!
Viele Grüße
Michael

Vielleicht so:

Hallo Michael,

Du installierst auf einem geeigneten Rechner im Schulnetz AutoSSH. Damit wird eine SSH-Verbindung aus der Schule zu einem Rechner im Internet aufgebaut, und es ist egal, welche IP Deine Schule gerade hat. Der Witz ist, das Du dabei einen Rückwärts-Tunnel anlegst. Wenn Du dann per SSH auf den Rechner im Internet gehst und dabei den Port des Tunnels nimmst, dann landest Du in der Schule. Habe ich jahrelang gemacht, klappt super. Ich hatte noch einen Cronjob, der einmal pro Tag den AutoSSH-Dienst neu gestartet hat, weil der sich immer nach ein paar Wochen aufgehängt hat - aber vielleicht läuft das ja inzwischen stabil.

Beste Grüße

Jörg

1 „Gefällt mir“

Auch interessant:
AutoSSH: Die ultimative Lösung für sichere und zuverlässige SSH-Verbindungen
VG Andreas

Abend,
wir haben jede Menge Server draussen, Moodle, Mailserver usw. usf auf guenstigen Servern bei Netcup und Keyweb und diese authentifizieren gegen den Samba-LDAP, haben also dafuer OpenVPN-Tunnel rausgegraben, ueber diese kann man dann auch per ssh rein ins interne Netz.
Ich nehme OpenVPN, weil ich das verstehe und diese Tunnel seit 20 Jahren vollkommen unkompliziert und stabil laufen, mit Wireguard oder sonstigem Kram geht das aber genauso.
Virtuelle Rootserver gibts fuer 3,99€/Monat bei Netcup, falls man was Kleines zum Spielen braucht, einen VPN-Tunnel wickelt das Ding locker nebenher ab.

Alternative wuerde ich, wenn’s nur um die aktuelle IP geht, einfach jede Minute die aktuelle IP auf einen Broker Deiner Wahl draussen publishen, das ist ein winziges Skript, ChatGPT baut Dir das in einer Minute mit mosquito_pub.
Man kann bei HiveMQ den offenen broker.hivemq.com nehmen oder man nimmt deren freies Cloudangebot, dann geht das per verschluesselt mit Passwortgedoehns, also sicher. Fuer die IP wueder mir persoenlich jetzt die freie Variante reichen.

Abonnieren mit mosquitto_sub oder einem der 100 Androidclients fuer’s Fon, mqtt dash ist mein Favorit fuer so Kleinkram,
Gruss Harry

Hi. Danke für die ganzen Tipps. :+1:

Nur der Vollständigkeit halber … die Ursache war bei uns das ONT. Das hatte sich aus unbekannten Gründen aufgehängt, und es half nur ein Neustart des Gerätes.
(In diesem Fall hätte also auch kein autossh geholfen :man_shrugging: )

Die Dinger stammen ja vom Provider und der nimmt sie offenbar auch in Betrieb. Das bedeutet dann leider auch, dass man sie nicht einfach so auswechseln kann, da ein getauschtes Gerät meines Wissens auch vom Provider provisioniert werden muss, bevor es automatisch erkannt und mit Zugangsdaten versehen wird!?

Da stellen sich also gleich neue Fragen: So ein ONT ist offenbar ein echter „Single-Point-of-Failure“ – wenn das Teil ausfällt, geht zunächst gar nichts mehr. Daher die gleiche Frage nochmal in die Runde: Sorgt Ihr für so einen Fall auch irgendwie vor? Falls ja: Wie? Ich frage mich, ob der Provider mir ein Ersatzgerät schicken würde, das bei uns nur für den Fall der Fälle bereit liegen würde und das vom Provider trotzdem bereits provisioniert wurde?!?
Hat zu diesem Thema auch jemand Erfahrungswerte?

Viele Grüße,
Michael

Ja, mit Gelassenheit, die Welt geht nicht unter wenn mal was ausfaellt. Die IHK-Rhein-Neckar hatte mal fuer fast ein halbes Jahr keine Email, da sie gehackt worden sind - peinlich eigentlich.

– genau. Deshalb ist das eigentlich ein No-Go, wenn das Internet in der Schule für „unbestimmte“ (?) Zeit nicht verfügbar wäre. Da hängen ja nicht nur ein paar Schul-PCs dran sondern eine ganze Infrastruktur. Von daher meine ich, dass hier „Gelassenheit“ die falsche Herangehensweise ist :wink:
Viele Grüße,
Michael

„Falsch“ wuerde ich jetzt nicht schreiben, es kommt darauf an, welche SLAs Du unterschrieben hast und was Du dafuer bekommst. Es gibt ja auch noch einen Unterschied zwischen einem Tag und einem halben Jahr.

… das führt etwas vom Thema weg … aber realistischerweise (?) würde ich das so einschätzen:

Von dem Zeitpunkt, an dem man bemerkt, dass ein Teil wie ein ONT defekt ist, bis zu dem Zeitpunkt, wo Ersatz vom Provider (und daher nicht per Übernacht-Lieferung bei Amazon) beschafft, geliefert und eingebaut ist, dürfte doch wohl locker eine Woche vergehen?! Ich meine, dass das auch schon ein No-Go ist – auch wenn es noch lange kein halbes Jahr ist.

In diesem Fall war das Teil ja zum Glück nicht defekt sondern ein Neustart hat’s gerichtet …
Ich kann meine Frage auch anders formulieren: Es gibt sicherlich noch andere Komponenten, die ebenfalls einen Single-Point-of-Failure darstellen. Habt Ihr sowas im Blick oder lasst ihr es -so wie Harry- drauf ankommen?

Hallo,

ich bin da auf Harrys Seite.
Meine Erfahrung in 20 Jahren SchulIT zeigen mir: Internetausfälle sind extrem ärgerlich, aber auch sehr selten (zumindest seit wir den kostenfreien, aber verfluchten DSL T@School Anschluss ersetzt haben).
Bei uns hängt auch so ziemlich alles am AD des LMN und wenn die Schule kein Internet hat, dann geht Einloggen an moodle, nextcloud, Webuntis usw. eben nicht. Schlimm, aber ist halt so.
Kam in den letzten paar Jahren vielleicht 2 mal vor und dann auch nur 20 Minuten lang.
Deswegen leiste ich mir keine Fallbackverbindung mt monatlichen Kosten.

LG
Holger

Hallo Michael,

ein bisschen off-topic (ups, und etwas länger geworden), weil es nicht um den sicheren Zugang von außen sondern generell um die Verfügbarkeit geht:

davon abgesehen, dass man als zuständiger Admin natürlich daran interessiert und darauf bedacht ist, dass die Verfügbarkeit der gesamten Infrastruktur so hoch wie möglich ist und weil Harry oben von SLAs spricht, kannst/solltest Du das mal mit Deiner Schulleitung diskutieren, welche Ansprüche die hat.

Man kann ja viel machen, um die Verfügbarkeit zu erhöhen, auch wenn jedem von uns klar ist, dass wir nie 100% erreichen. Ist halt alles eine Frage des Geldes.
Wir haben jetzt z.B. redundante Online-USVs, redundante Powerswitches, Notstromdiesel (hatte die Schule eh, das haben wir nicht angeschafft), redundante Netzteile im Coreswitch, geclusterte Server/FW und nutzen parallel zu unsrer Glasfaserleitung den Kabelinternetanschluss der Bibliothek als Failover. Zudem merken wir durch das Monitoring idealerweise als Erstes, wenn etwas ausfällt und können schneller reagieren. Damit ist schon mal Einiges abgefangen, nach wie vor sind aber ein paar andere zentrale Komponenten noch nicht redundant und damit single point of failure. Außerdem hat das natürlich ne ganze Stange Geld gekostet und wurde über Jahre hinweg aufgebaut, wenn eh gerade mal etwas neu beschafft wurde.

Warum mache ich das? Zum Einen der Bestrebung wegen, „meine“ System so weit zu optimieren wie möglich und den Nutzern ein möglichst stabiles System bereitzustellen, außerdem wegen Faszination Technik und so. Und wahrscheinlich auch als Folge von üblen Erfahrungen, die ich an meiner ehemaligen Schule gemacht hatte: dort wollte ich auch ein Mindestmaß an Redundanz schaffen und zumindest den 08/15-Desktop-PC, der damals als Server fungierte, durch Server-Hardware ersetzen mit redundanten Netzteilen, Lüftern etc. Mein damaliger Schulleiter blaffte mich damals an, dass wir ja schließlich nicht die Firma mit dem Stern auf dem Dach seien, das Geld dafür nicht hätten und es auch kein Beinbruch sei, wenn das System mal nicht funktioniere. Ratet mal, wer mich in den Sommerferien im Südfrankreich-Urlaub angerufen hat und sich beschwerte, dass das Internet nicht funktioniere…

Hier kommt wieder das o.g. Gespräch mit der Schulleitung ins Spiel: ich habe meiner jetzigen Schulleitung klargemacht, wo der Hase im Pfeffer liegt, sprich, welche single ponts of failures es gibt und zusammen haben wir entschieden, wo man mit verhältnismäßig wenig Geld eine Verbesserung erreichen kann und das dann auch umgesetzt. Gleichzeitig ist der Schulleitung aber auch klar, dass es weiterhin spof gibt, die zu Ausfällen führen können und dass ich nicht zu verantworten habe, wenn hier etwas passiert. Ein stückweit cover your ass…, da letztendlich die SL entscheidet, dass man sich den letzten Rest nicht leistet und eben damit eben ein gewisses Risiko eingeht.

Jetzt aber genug…
Viele Grüße,
Jochen

2 „Gefällt mir“

Hallo,

Ich weiß ja nicht wie du auf diesen Gedanken kommst, aber wenn ich Provider mit vielen Kunden wäre und demnach tausende gleichartige Geräte (ONT) verbaut sind, dann hätte ich die deutschlandweit in regional verteilten Lagern vorrätig. Da muss der Techniker die nur einsammeln und zum Kunden fahren. Ich war vor Jahren für einen kleinen Provider tätig, der die letzte Meile via WLAN angeboten hat und selbst da gab es Ersatzgeräte im Lager, sowohl für eigene Accesspoints als auch Clients der Kunden, die sich ihre WLAN-Router in der Regel selbst gekauft haben.

Die Telekom aber auch etliche andere Anbieter bieten Vor-Ort-Service innerhalb von 24 Stunden im Standard-Tarif und bei Standard-Geschäftskundentarifen 8 Stunden Wiederherstellungszeit an. Mittlerweile gibt es auch Tarife mit Routern mit Mobilfunkmodul als Ausfallsicherheit. Hat eure Schule kanten- und knotendisjunkte redundante Stromanbindung oder wie läuft Unterricht im Winter bei Stromausfall? Wenn man das verantworten kann, dann auch mal 8-24 Stunden ohne Internet.

VG
Buster

Hat eure Schule kanten- und knotendisjunkte redundante Stromanbindung oder wie läuft Unterricht im Winter bei Stromausfall?

LoL. Unsere Schule hat freiliegende Armierungen an den Aussenwänden, offene Deckenverkleidungen aus denen Kabel hängen, undichte Fenster und vieles mehr. Redundante Stromanbindung an deutschen Schulen, der ist gut…

Aber in einem triffst Du damit indirekt den Punkt – wenn ich aus dem Zustand deutscher Schulgebäude auf die Ansprüche des Dienstherren schließe und den Willen, diesen mit geeigneten Sach- und Personalmitteln zu unterstützen, dann können wir uns zurücklehnen und Ausfallzeiten von einer Woche locker hinnehmen.

Gruß
Sascha

Hi.
Also da musst Du ganz andere Erfahrungen mit dem Provider gemacht haben als ich … :man_shrugging: früher hießt der Anbieter innogy … das war ein einziger Krampf. Bis man da überhaupt erstmal jemanden an der Strippe hatte, war gefühlt schon die genannte Woche um :wink:

e.ON hat vor einiger Zeit übernommen. Das läuft zwar besser aber auch da gilt: Sooooo schnell wie Du es beschreibst geht das bei uns trotzdem nicht. Die Schule liegt mitten auf dem Lande. Ich würde es lieber nicht drauf ankommen lassen aber ich könnte wetten, dass es mit 24 Stunden knapp wird … ich frage den Provider, ob er mir ein Notfallgerät schickt und wenn er’s nicht tut, muss ich’s eben drauf ankommen lassen. So viele Optionen habe ich da offenbar nicht.
Mit 24 Stunden komme ich erheblich besser klar als mit einer Woche – aber auch da gilt leider: Ohne Internet sind auch die Schüler-iPads fast nicht zu gebrauchen, da Apple immer das letzte Wort bei den Steuerung hat.

Viele Grüße,
Michael

Hallo Michael,

ich weiß es ist schulischen Umfeld manchmal schwierig an die Vertragsinhalte und AGB zu kommen, aber ich habe es selbst auch schon erlebt, dass von den buchhalterisch verantwortlichen Personen vertraglich eine bessere Serviceleistung abgeschlossen war, als den technisch zuständigen Personen bewusst war. Zumindest sollte man die Servicebedingungen kennen, um wenigsten ein wenig Druck beim Ansprechpartner aufbauen zu können.

Zum Thema iPad ohne Internet: Dann ist der Unterricht halt mal ohne iPad. Daher war auch meine augenzwinkernde Frage: Was macht ihr bei Stromausfall?

VG
Buster

Ja, alles kein Problem solange sich der Ausfall in Grenzen hält. Unsere Schüler haben auf den iPads auch ihre Schulbücher. Ohne Strom also auch keine Bücher – die Digitalisierung hat offensichtlich auch ihre Schattenseiten. Wäre im Mittelalter so nicht passiert.

Strom darf ausfallen, nur das Internet nicht! :rofl:

Bei einem Stromausfall der mehr ist als ein kurzes „wegflackern“ ? Nach Hause gehen wahrscheinlich, ein Schulgebäude ohne Strom ist ja schließlich nicht mehr sicher, schon weil die Brandmeldeanlage nicht mehr funktioniert.

Gruß
Sascha