Hallo Holger,
[…]
Gruß Jürgen
[baumhof] baumhof https://ask.linuxmuster.net/u/baumhof Vize-Präsident
14. Juli
Hallo Jürgen,
deine Wortwahl gegenüber unserer BSB finde ich etwas hart.
nun ja: ihr bekommt starre Vorgaben … das ist ein Fakt.
Dabei wird ein internes Netz, kein öffentliches verwendet, obwohl doch
klar ist, das ihr eure öffentliche Schnittstelle da dran hängt.
Stimmt. Wie das zusammenhängt, verstehe ich ehrlich gesagt nicht
vollständig. Es gibt eine öffentliche und eine interne Adresse, an der
man auf ROT vom Schulrouter trifft. Wobei die öffentliche Adresse für
mich auf dem Schulrouter bislang nicht sichtbar war. Könnte also von wo
anders auf die 10er-Adresse von ROT forwarded werden. Ich glaube, da ist
seit unserer Inbetriebnahme von linuxmuster auch mal was umkonfiguriert
worden.
Die wollen halt bis zum Client zurückverfolgen …
Ja, genau. Deshalb haben sie zunächst auch was gegen ipfire gehabt. Wenn
mit ipfire was wäre, würden sie das ganze Netzwerk und nicht nur den
Port sperren. Dem würde ich entgegnen, dass ipfire eher noch weniger
durchlässt, was Ärger machen würde, als dass es zusätzliche Löcher
aufreißt. Wenn es einen Anlass für eine Sperrung gäbe, hätte ipfire versagt.
OK, wenn sie wollen:
Was sagt denn der Datenschutzbeauftragte dazu, dass eine Firma die
Zugriffe eurer Nutzer loggt?
Ja, das hat die Firma ohne mein Wissen wieder eingeschaltet. Ich hatte
es ausgeschaltet gelassen, weil ich der Ansicht war, dass man dies nicht
anlasslos tun sollte, und es macht den Schulrouter nicht gerade
schneller. Es gab aber wohl einen Anlass für die BSB, es einschalten zu
lassen. Ob der Datenschutzbeauftragte gefragt wurde, weiß ich nicht.
Gibt es da eine „Datenverarbeitung im Auftrag“ Vereinbarung?
Ist für MICH nicht interessant.
Das wirft viele Fragen auf, meine ich.
… auf die im Zweifelsfalle der Senator sicher kluge Antworten hat 
Der Grund für die Einschränkung bei den IP-Adressen ist einfach, dass
DataPort auf ROT auch im 10er-Bereich unterwegs ist - insbesondere in
dem Bereich, den linuxmuster (für mich genauso "repressiv") belegt.
Man kann bei uns zwischen den Netzen
10.16.x.y
10.32.x.y
10.48.x.y
10.54.x.y
…
10.96.x.y
wählen (soweit ich weiß).
Das kann man „repressiv“ nennen: ich finde es aber OK, das überstreicht
einen enormen Adressbereich.
Ja und die Subnetmaske 255.240.0.0 ist sehr großzügig. Für uns in HH
wäre es leichter, wenn diese nicht „einbetoniert“ wäre.
Wenn wir neue Adressen bekommen, werden diese eine Struktur 10.x.y.0/24
haben, und zwar so dass man sie nicht einfach mit einer größeren
Subnetzmaske zusammenfassen kann.
Da sollte dann ein überschneidungsfreier Bereich mit Dataport zur
Verfügung stehen.
Wie ist den deren Gateway Adresse? die Netzwerkmaske?
Da geht’s los ich sehe nur eine 10.32.x.y, Subnetzmaske und Gateway
müsste ich Mo nachgucken.
Wenn ich mich in GRUEN hinter ipfire außerhalb dieses Segments bewegen
würde und außerhalb der Segmente, die der Schulrouter als GRUEN sieht,
dann wäre alles OK?
Sehe ich es richtig dass es in GRUEN hinter ipfire 10er-Adressen geben
darf, die in ROT vor dem Schulrouter auch vorkommen? ROT vom
ipfire ist
dabei mit GRUEN vom Schulrouter verbunden.
nicht wenn es überschneidungen gibt (beachte Netzwerkmaske!).
Das kann funktionieren, es wird aber seltsame chaotische Erscheinungen
geben.
Das ist bei mir nicht Theorie, sondern ich habe das ausprobiert.
Ich gebe regelmäßig Fortbildungen: dabei arbeite ich mit virtuellen
Maschinen.: manchmal in einem lmn Netz 10.16.x.y
Wenn ich in den vms ebenfalls ein 10.16.x.y Netz verwende, dann hakt es
regelmäßig.
Deswegen verwende ich in VMs immer 10.32.x.y, damit klappt es ohne
Probleme.
Für mich wäre möglicherweise ein Segment weiter hinten sinnvoll,
10.32.0.0/12 ginge jedenfalls nicht.
Am besten frage in mit Deinen Informationen einfach mal auf dem
Gefreitendienstweg nach, was technisch möglich wäre.
Müsste eigentlich so sein, denn sonst würde es an einem mir bekannten
Standort nicht funktionieren.
s.o.
Die nehmen den default 10.16.0.0/12. Damit würde ich auch zuerst testen.
