Unser „Stand der Dinge“ ist vermutlich eher langweilig: Wir nutzen 6.2, wir haben keine Windows Clients, nutzen nur die Basis-Funktionen (Also zB keine Clausuren, …), kommen mit einem Image für alle PCs aus, … du siehst: Alles sehr simpel bei uns.
Kannst du erklären was du Dockern willst und was du konkret für haproxy+letsencrypt lösen willst?
Ich fasse mal zusammen (und ergänze):
Installation Nextcloud angebunden an das Samba-AD
Installation moodle angebunden an das Samba-AD
Dockern bis der Arzt kommt
HAProxy und Let’s Encrypt
WireGuard-VPN für "Bring Your Own Device"s um eine schulinterne Ersatzinfrastruktur zu bieten für:
Matrix und Riot statt Whatsapp
Mastodon oder ähnliches statt Facebook
bitpoll statt doodle
WikiMedia
Die Frage ist: Wer hat an den einzelnen Themen Interesse?
Docker wird ja „fester“ Bestandteil der v7. Damit werden diverse Dienste ausgeliefert wie z.B. ein Mailserver und nach und noch mehr (auch ein nginx-revproxy ist in der Pipeline?!) … daher sollte man die docker-Basics drauf haben!?
HAProxy und LE habe ich bei uns nun (nach längeren Diskussionen auch hier im Forum) direkt auf der OPNSense installiert, damit folgendes gewährleistet ist: Jeder Zugriff auf die DMZ läuft über den ReverseProxy (in unserem Fall ist das die OPNSense selbst) und wird dort entsprechend der Regeln an den richtigen Host in der DMZ umgeleitet. Zusätzlich liefert der RevProxy direkt das richtige LE-Zertifikat aus, so dass man nichts mehr hin- und herkopieren muss. Das funktioniert hier sein einigen Tagen problemlos. Die LE-Zertifikate werden alle direkt in der OPNSense GUI verwaltet und man kann mit wenigen Klicks neue dazu packen (als Challenge ist http-01 eingestellt). Auch die Erneuerung der Zertifikate regelt dann ein Cronjob auf der OPNSense. Bequemer geht’s imho nicht?!?
Wireguard läuft hier auf der OPNSense-FW, da das viel flotter als OpenVPN ist. Die Zugänge/„Peers“ sind sehr schnell aktiviert für’s mobile Endgerät auch per QR-Code einfach einlesbar. Auch das läuft jetzt seit einiger Zeit problemlos (auch wenn Wireguard noch beta ist). Zusätzlicher Vorteil: Wenn man im Ausland (oder „unbekannter WLAN-Umgebung“) ist, kann man den VPN-Tunnel in sein Schulnetz aufmachen und den gesamten Traffic verschlüsselt übertragen. Dann kann man sich auch relativ beruhigt (?) in ein „öffentliches WLAN“ in irgendeinem Straßencafé einklinken
Dein Programm klingt ja schon fast nach einer neuen Tagesordnung … ich hatte bisher keinen neuen Termin auf dem Schirm.
Ja WireGuard ist wirklich der nächste Schritt in Sachen VPN. Ich nutze es quasi stetig. Der fehlende Verbindungsaufbau macht es wirklich schnell und problemlos gegenüber anderen Lösungen.
Ich wollte damit erreichen, dass die Schüler jederzeit auf die Schul-internen Dienste zugreifen können ohne dass man diese auf Hoster auslagern muss.
Was genau hat du hinter dem haproxy? Schulinterne Seiten?
Im Moment nextcloud & moodle … die können aber evtl auch wieder extern gehostet werden…
Daneben liegen in der DMZ aber auch kleinere Services wie mrbs, ein paar RasPi’s zur Anzeige u.ä.
Ich denke, dass es die geben wird. Es war eine rund um gute Sache. Einfach den Topic Veranstaltungen im Auge behalten. Darf ich fragen aus welchen Region du kommst?
Hi … ich hatte ja schon gesagt, dass eine Fortsetzung im Norden durchaus möglich ist. Wenn es ein gesteigertes Interesse gibt… !?! Ich schaue mir aber auch gerne mal andere Schulen und deren Stand der Dinge an…
Man könnte sich auch mal ein ganz eigenes Thema für ein Treffen raussuchen, wie z.B. „Installation Nextcloud/moodle und Anbindung an das samba-AD“. Oder „dockern bis der Arzt kommt“.
Oder aber „HAProxy und Let’s Encrypt (unter besonderer Berücksichtigung der höheren Lehranstalt)“