Tunneling des Verwaltungsnetzes zur Anzeige von Vertretungsplänen in linuxmuster

#1

Ein herzliches Hallo an alle!

Ich komm mal wieder mit einem Sonderfall, was eigentlich so nicht vorgesehen ist. Wir möchten einen zweiten Vertretungsplanmonitor in unserem Nebengebäude installieren. Dieser soll vom Verwaltungsnetz die Infos von Untis für tägliches Vertretungsplanmanagement bekommen. Mit unserer jetzigen Anordnung ist die neuen Karlsruher Behördenstelle für IT-Administration im Verwaltungsnetz aus datenschutzrechtlichen Gründen nicht einverstanden.

Unsere Anordnung bisher ist ein Durchbruch auf den Gang für den Ethernetanschluss des Raspery-Pi, der die Anzeige übernehmen soll. Da rein theoretisch über dieses außenliegende Ethernetkabel ein Computer von einem Schüler angeschlossen werden kann und dadurch rein theoretisch der Schüler Zutritt zu Verwaltungsdaten bekommen könnte, erlaubt es das Amt nicht.

Nun haben wir zwei Lösungsansätze:

  1. Der Verwaltungsrechner tunnelt durch openVPN oder sftp die Units-Ausgabe für Vertretungen auf unseren Server, auf dem dann der Raspery-Pi nachschauen kann.
  2. der Ethernetanschluss auf dem Gang wird zurückgebaut, innen im Beratungszimmer angebracht und es werden zwei HDMI-Buchsen (auf der Innen- und Außenseite der Wand) angebracht, so dass nur der Monitor die Verbindung zum RasperyPi haben kann. Das hat aber zur Folge, dass wieder das Bauamt eingeschaltet werden muss, welches eigentlich schon das Durchbruchsloch geschlossen und die Ethernetbuchse angebracht hat.

Daher die Frage an Euch:

Gibt es eine Möglichkeit, Daten vom Verwaltungsserver in pädagogische Netz One-Way zu Tunneln? oder fallen euch noch andere Lösungsmöglichkeiten ein?

LG
Marcus

#2

Hi. Warum packst du nicht eine VM zur Anzeige aller Vertretungspläne nach Orange bzw in die DMZ? Dort können dann beide Netze gefahrlos zugreifen und sind trotzdem weiterhin getrennt…

Schöne Grüße,
Michael

#3

Hallo, Marcus,

ganz habe ich Eure Topologie nicht verstanden, aber könnte eine WLAN-Bridge mit zwei Raspberrys die Lösung sein ? Ist relativ kostengünstig, sicher - da, point-to-point - und einfach einzurichten!


Liebe Grüße,
Christoph G.

#4

Hallo,

meiner Meinung nach alles zu kompliziert.
Ich hatte das selbe Problem: UNtis Anzeige in NEbengebäude, und wollte
das Verwaltungsnetz nicht dorthin ausdehnen (warum auch).

Also, was macht man, wenn man in der Burg etwas hat, das raus soll.
Möglichst sicher schmeiße ich es aus dem Fenster und nicht: ich lasse
“ausgewählte” Leute rein damit sie es abholen.

Genau so habe ich es gemacht: der export von untis wird per WinSCP vom
Verwaltungsserver aus in ein htaccess Geschütztes Verzeichnis auf der
lmn gesynct.
Der Anzeigenrechner (bei der der RasPI) zeigt den INhalt dieses
Verzeichnisses an: er ist per IP in der htaccess ausgenommen.

Das ganze geht aber weiter: von dort synce ich den INhalt auch in
moodle, damit man dort auch den Vertretungsplan einsehen kann.

LG

Holger

#5

Hallo Holger,

vielen lieben Dank, das klingt gut. Ich probiere es bei nächster Gelegenheit aus. So wie es ausschaut, soll von der baulichen Seite der Datenschutz aufrecht erhalten werden. Also Wand nochmal aufbrechen, HDMI-Dosen und Anschlüsse und Kabel anbringen, danach Monitor anschließen.

Tja, warum einfach, wenn es kompliziert geht …

Grüße
Marcus

#6

Hi :slight_smile:
weil ich nicht wollte, dass sich im Sekretariat jemand darum kümmern muss (WinSCP anstoßen), aber auch nicht offen zugängliche Dosen ins Verwaltungsnetz paschen wollte, habe ich es so gelöst:

Ein Raspberrypi mit einer zusätzlichen USB-Netzwerkkarte steht mit je einem Bein im Anzeigesystem-Netz und im Verwaltungsnetz. (Nicht als router, nur als Instanz, die beide Netze sieht.
Das Vertretungsplan-Programm exportiert direkt auf den Raspi, der es wiederum mit dem nginx-Webserver zur Verfügung stellt. Dort können es die ANzeigemonitore abholen.
Ist also quasi nicht aus dem Fenster geworfen, aber auch keinen reingelassen, sondern einen neutralen dritten an die Tür gestellt, der es von innen annimmt und nach außen durchreicht.

LG jesko

#7

Hallo Jesko,

weil ich nicht wollte, dass sich im Sekretariat jemand darum kümmern
muss (WinSCP anstoßen),

will ich auch nicht.
Deswegen wird winscp als “geplanter Task” auf dem Server ausgeführt:
zwischen 7 und 17 Uhr alle 20 Minuten (grob geschätzt).

LG

Holger

#8

Hallo,

wir haben das Ganze noch etwas weniger elegant, aber bislang zur Zufriedenheit aller gelöst:
Weil bei uns das Verwaltungsnetz in Mönchengladbach streng abgeschottet von allen anderen Netzen läuft und ich hier erst gar nicht herandarf, bzw. kein Lehrer, sondern städtische IT’ler die Administrationsrechte haben, wird nach jeder Vertretungsplanänderung ein Export durchgeführt und die GPU014.TXT per ssl-upload / Passwort in ein geschütztes Verzeichnis des Linuxmuster.net-Servers händisch hochgeladen.
Darauf greift unser selbstgeschriebenes PHP-Programm zurück und formatiert die Anzeige mundgerecht für Lehrer, Oberstufenschüler, das “Digi-Board” und den Vertretungsplanmacher.
Wir schreiben gerade eine neue Version des besagten Programms, um - wie bei Xibo - beliebige Ankündigungen und wichtige Bekanntmachungen zu präsentieren.

L.G.,
Christoph G.

#9

Wir machen das mit realtimesync auf dem Rechner des Stundenplaners : Sobald der eine neue Version des Vertretungsplans exportiert, kopiert sie Realtimesync auf den Linuxmusterserver hoch (jeder andere Rechner würde es auch tun).

Dort kann es dann im Schulnetz abgerufen werden.

Außerdem wird auf dem Server ein incrond-job aktiv, sobald neue Dateien ankommen und schneidet Kopf- und Fußzeilen ab. So passt sich das ganze halbwegs harmonisch in Wordpress und damit auf die Schulhomepage ein.

#10

Wer den Pi uebernommen hat steht mit einem Fuss im Verwaltungsnetz?
Dann wuerde ich das lieber per SCP rauspumpen.

#11

Das ist tatsächlich korrekt. In Anbetracht der Tatsache, dass derjenige den Angriff auf einer Leiter stehend durchführen müsste (inclusive der Netzwerk- und Schwachstellenanalyse um sein Angriffsziel zu bestimmen), halte ich das Risiko so klein, dass ich ohne Bauchschmerzen diesen Aufbau vertreten kann.

LG Jesko