2 Fragen dazu: bei der Quelle steht bei dir ein Netz mit ip und Maske.
Warum hast du das explizit angegeben und nicht den Namen des Netzes
(„blau“ o.ä.) ausgewählt.
das hatte ich vorher: weil bei mir aber die Windwosclients im WLAN
rumspinnen, bin ich da gerade am rumschrauben: da versucht man schon mal
komisches Zeug, wenn sowas irrationales passiert wie: alle könenn
(MacOS; iOS, Android, Ubuntu Phone, Linux) nur Windwos nicht …
Wenn die zweit letzte Regel alles erlaubt wieso muss man dann noch DNS
explizit erlauben?
DNS soll ja die opnsense sein: und die ist mit dem Ende, das in OPT1
ist, nicht im grünen Netz…
… wahrscheinlich ist die Regel nicht nötig …
Ich dachte an eine Regel die von blau nach rot erlaubt und nicht auch
noch pauschal auf grün …
zu der Einschränkung komme ich auch noch … mach ich am MOntag:
vielelicht kommt es ja daher, dass Windwos plötzlich mit seiner IP aus
BLAU am Grünen Netzwerkionterface der opnsense ankommt (und deswegen
geblockt wird …).
Mal sehen.
nachdem der freeradius für schuleigene Geräte in grün klappt, habe ich noch ein paar Probleme mit dem blauen Netz.
Ich habe die beiden Firewall-Regeln aus Beitrag 2 jeweils mit „out“ für OPT1 angelegt.
Wenn ich von der Unifi-VM über blau einen ping zu OPT1 der Opnsense senden möchte, muss ich allerdings diese Verbindung mit einer weiteren Regel ausdrücklich erlauben.
Fehlt da nicht noch DHCP für blau? Das lief früher bei mir auf dem IPFire. Sollte ich da unter Dienste > DHCPv4 > OPT1 aktivieren und Einträge (welche?) machen?
bei mir funktioniert es, wenn die Regeln mit „in“ angelegt werden, wobei mir die Sinnhaftigkeit nicht klar ist: Es gehen ja Pakete rein und raus.
Die Regel für die Verbindung zwischen Unifi-VM und Opnsense ist für das blaue Netz nicht nötig. Und der DHCP der Opnsense funktioniert samt Protokollierung.
Nächste Baustelle: Die Steuerung des Zugangs zum blauen Netz. Momentan dürfen alle.
Wir haben es nun so eingerichtet, dass per default nur Lehrer und Hausmeister rein kommen … alle anderen erst, wenn es in der WebUI erlaubt wurde …
VG,
Michael
danke, das habe ich jetzt per default ähnlich eingestellt.
Zwei Fragen habe ich noch:
Welche Auswirkungen hat es, wenn Kollegen jetzt in einem Kurs Haken bei WLAN setzen? Bekommen die user dann WLAN, und wenn ja wie lange?
Kann man mit sophomorix-managementgroup --wifi oder --nowifi nur einzelne user oder auch Klassen hinzunehmen bzw. entfernen und ändert dies den default-Zustand?
Welche Auswirkungen hat es, wenn Kollegen jetzt in einem Kurs Haken
bei WLAN setzen? Bekommen die user dann WLAN, und wenn ja wie lange?
ja, die Schüler kommen dann ins WLAN (so funktioniert das bei mir seit
einem Jahr).
Wie lange? … ich denke, bis man sich in der Schuko abemldet? … oder
bis die Rechte zurückgesetzt werden? … weiß nicht.
Ich habe einen cronjob der in der Nacht folgenden Befehl ausführt:
der schmeißt dann alle die nicht in der
/etc/linuxmuster/sophomorix/default-school/wifi-default.conf
stehen wieder raus.
Bisheriger Haken: wenn man NUtzer anlegt, dann ist erstmal WLAN bei
denen gesetzt … bei mir eben bis zur ersten Nacht … damit komme ich
zurecht
Kann man mit |sophomorix-managementgroup --wifi| oder |--nowifi| nur
einzelne user oder auch Klassen hinzunehmen bzw. entfernen und
ändert dies den default-Zustand?
du kannst in die oben genannte Datei Nutzergruppen und auch einzelnutzer
hinzufügen.
Setzt du den default mit obigem Befehl hat niemand mehr WLAN außer
denen, die in der Datei genannt werden (direkt oder indirekt: also als
member oder als Gruppenzugehörige wie 8a).
ich komme leider momentan nicht von zu Hause auf die Firewall, weil unsere Vodafone-Verbindung nahezu keinen Upload mehr hat … Ticket erstellt usw.
Sobald es wieder geht und du die Infos noch brauchst, kann ich nachschauen.
Da es funktioniert, habe ich es seit der Einrichtung nicht mehr angefasst und weiß auch nicht mehr über die Details Bescheid. Für unsere kleine Schule passt es, kann sein, dass du einen größeren Bereich brauchst.
Hallo Wilfried,
vielen Dank. Ich habe heute angefangen das blaue Netz einzurichten. Habe aber ein Netzwerkkartenproblem. Die muss erst noch getauscht werden.
Ich hab das blaue Netzwerk nach Wilfrieds Anleitung oben eingerichtet - vielen Dank dafür!
Nachdem die hier beschriebenen Firewall-Regeln, soweit ich das bei mir getestet habe, den Zugriff von Blau nach Grün uneingeschränkt ermöglichen, hier ein schönes Tutorial, das die Trennung von zwei LANs recht anschaulich beschreibt: OPNSense Firewall Rules Explained - YouTube
Benutzernamen geht noch nicht: dazu brauchst du ein neueres sophomorix:
das Feature ist gerade erst Beta.
Bei dir wird also die Zeile:
MEMBER_USER=klimgu
nicht funktionieren.
Ich teste das Feature derzeit: bei mir funktioniert es.
Du mußt vorerst mit
MEMBER_ROLE und MEMBER_CLASS vorlieb nehmen.
Bei mir funktioniert in LMN 7.1 (wie Holger schreibt)
MEMBER_USER=MENSA oder auch nur MEMBER=mensa |
nicht, zumindest zeigt sophomorix-managementgroup -i wifi keine Students
an (mensa ist student).
… ich hatte letztes Jahr im November Rüdiger gefragt, ob amn
MEMBER_USER auch noch in die Funktionalität aufnehmen könne, da ich
SchülerInnen habe, die Inklusionsschüler sind und die permanent WLAN
haben sollen (weil sie ein Tablet haben, das mitschreibt, übersetzt,
Bilder zeigt … ich weiß es nciht … sie brauchen es halt).
Rüdiger hat das dann noch vor Weihnachten in ein Paket reingemacht udn
mit in testing gestellt.
Das hab ich installiert und … nun ja: getestet.
Bei mir funzt es.
Es liegt in testing für 7.1 und ist wohl auch in der 7.2 drin: bei mir
klappt es nämlich immernoch.
Wenn es bei dir nicht geht, dann ist dein Server entweder icht up to
date, oder das Paket ist noch nicht aus testing in stable gewandert
