Hallo,
Nicht unbedingt, wenn der entsprechende Dienst deaktiviert wurde (vgl. https://wiki.ubuntuusers.de/DNS-Konfiguration/#Ubuntu-18-04-3):
Zuerst beendet man systemd-resolved mit
sudo systemctl stop systemd-resolved
Dann kann er mit
sudo systemctl disable systemd-resolved
deaktiviert werden.
Grüße,
Stefan
Warum wurde er dann ersteinmal installiert? Den nachträglich abzuschalten klingt nach einer hässlichen Lösung…
Das ist so generell nicht richtig. Über Netplan wir die Netwerkeinstellung verwaltet, das ist richtig.
Der Nameserver sollte hier aber nicht angegeben werden (netplan.yml). Genausowenig sollte die Einstellung in der resolv.conf umgebaut werden. Hier darf ausschließlich der Server selbst drin stehen.
Hintergrund ist, dass die Namensauflösung gegenüber des Samba DNS Erfolgen muss. In der Samba config wiederum ist dann die Firewall als DNS Forwarder eingetragen.
Sollte es hier konstruktive Verbesserungsvorschläge geben sind wir natürlich immer offen für diese 
Hallo,
ich habe keinen Verbesserungsvorschlag, sondern ein neues Problem:
Ich habe einen neuen Ubuntu 18.04-Desktop-Client installiert (normale Ubuntu-Installation) und in der Schulkonsole als Geräte hinzugefügt und importiert. Dabei gab es keine Fehlermeldungen. Der neue Client erhält auch die von mir gewählte IP (10.0.1.11). In seinen Netzwerkeinstellungen sieht alles identisch zu meinem Admin-Client aus. Aber dieser kommt ins Internet, der neue Client nicht. Und zwar diesmal nicht nur wegen DNS, sondern auch bei einem wget auf eine IP-Adresse nicht, was sonst immer funktioniert hat.
Im Live-Log der OPNsense tauchen jede Menge Fehlermeldungen für den Client auf, auf die angewählte IP, auf den DNS, alle mit „Default deny rule“. Sieht so aus, als hätte die Schulkonsole den Client nicht bei der OPNsense freigegeben.
Wo in der OPNsense müssten denn eigentlich die freigegebenen Clients auftauchen?
Grüße,
Stefan
Hallo Stefan,
wer hat sich den am Client angemeldet?
Domänennutzer?
Auf welchem Port kommen den die Anfragen an den OPNsense die er blockt rein?
Proxyport?
Ist SSO in der OPNsense eingerichtet?
Steht der erste Clietn in der Alias Liste „noProxy“?
LG
Holger
Hallo Stefan!
Könnte es am Paradigma-Wechsel von lmn zu der v7 liegen? Freigabe läuft nicht mehr über die Geräte sondern über die Nutzer.
@Holger u.a. : Wäre es nicht ein genereller Ansatz ein script zu haben, dass die Client-Konfiguration einer „jungfräulichen“ Distri-Installation für den Einsatz in unserer Umgebung konfiguriert. Ich denke dabei an das vorgehen, das Michael @mdt mit seinem Walkthrough für die Server-Installation beschreitet.
Beste Grüße
Thorsten
Hallo Thorsten,
ach so, die Änderung hatte ich noch nicht wahrgenommen, dann ist die Sache klar (und ich muss in der Schule an ein paar Stellen was ändern, weil ich manchmal mit lokalen Usern gearbeitet habe, die aber ins Netz können sollten - gut, dass ich das vorher mal teste…).
Dann gebe ich dem Client bis zur Aufnahme in die Domäne also eine Adresse aus dem noProxy-Bereich.
Bedeutet das eigentlich, wenn ein Schüler sein Notebook an eine Buchse anstöpselt und sich selbst (zufällig oder nicht) eine dieser Adressen zuweist, dann kommt er ohne jede Einschränkung ins Netz?
Grüße,
Stefan
Hallo,
Wo in der OPNsense müssten denn eigentlich die freigegebenen Clients auftauchen?Könnte es am Paradigma-Wechsel von lmn zu der v7 liegen? Freigabe läuft
nicht mehr über die Geräte sondern über die Nutzer.
ja: es geht über die Nutzer.
Der OPNsense Proxy schaut zum auth in den LDAP auf dem Server und
bekommt die INfo, ob der nUtzer in der Gruppe „internet“ ist, oder halt
nicht.
Basierend darauf gibt es internet, oder eben nicht: unabhängig vom Gerät.
@Holger https://ask.linuxmuster.net/u/holger u.a. : Wäre es nicht ein
genereller Ansatz ein script zu haben, dass die Client-Konfiguration
einer „jungfräulichen“ Distri-Installation für den Einsatz in unserer
Umgebung konfiguriert. Ich denke dabei an das vorgehen, das Michael @mdt
https://ask.linuxmuster.net/u/mdt mit seinem Walkthrough für die
Server-Installation beschreitet.
du meinst sowas wie:
linuxmuster-ipfire --setup --first
Ja: wäre super: gibt es wahrscheinlich auch irgend wann wieder.
Das gab es ja bei der 6.0 auch noch nicht …
LG
Holger
Hallo,
Bedeutet das eigentlich, wenn ein Schüler sein Notebook an eine Buchse
anstöpselt und sich selbst (zufällig oder nicht) eine dieser Adressen
zuweist, dann kommt er ohne jede Einschränkung ins Netz?
nein: da der proxy ja nach dem Kerberos Ticket fragt: und das hat er ja
nicht auf einem Client an dem er sich nicht an der Domäne angemeldet hatte.
ALso wird er nach Credentials gefragt.
Aber auch nur, wenn er den Proxy eingetragen hat.
Nun kann es aber sein, dass du noproxy Ausnahmen definiert hast und er
eine solche zufällig oder absichtlich erwischt: dann wird er nicht
gefragt und hat Internet.
Bei mir in der Schule kann das aber nicht passieren, da es noproxy
Mitglieder nur im Serversubnet gibt, welches an keienr Netzwerkdose
anliegt: da kommt er also nicht (ohne weiteres) hin.
Im Flachen Netz ist das anders.
LG
Holger
Hallo Holger,
Stehen nur bei mir in der noProxy-Gruppe alle IPs von 10.0.0.1 bis 10.0.0.10 drin? Ich habe die da nicht eingetragen! Wo kommen die dann her? Wenn die bei allen Installationen drin stehen, könnte ein Schüler sie ja mal ausprobieren…
Grüße,
Stefan
Hallo Stefan,
Nun kann es aber sein, dass du noproxy Ausnahmen definiert hastStehen nur bei mir in der noProxy-Gruppe alle IPs von 10.0.0.1 bis
10.0.0.10 drin? Ich habe die da nicht eingetragen! Wo kommen die dann
her? Wenn die bei allen Installationen drin stehen, könnte ein Schüler
sie ja mal ausprobieren…
… nicht wenn du das hier nicht veröffentlichst … 
Die kommen vom Setup.
Der Bereich ist für „Server“ vorgesehen:
server, docker, OPSI, unificontroller …
Du kannst alle, die du nicht brauchst, raus nehmen.
LG
Holger
Hallo Holger,
Wir wollen doch kein security through obscurity 
In sofern sollte man das in die Installations-Anleitung aufnehmen, sonst bleiben die IP-Adressen garantiert bei Vielen offen… Oder alternativ die IPs nur freigeben, wenn sie wirklich benötigt werden. Letzteres halte ich für die sicherheitstechnisch elegantere Lösung.
Grüße,
Stefan
Hallo Stefan,
Wir wollen doch kein security through obscurity
In sofern sollte man das in die Installations-Anleitung aufnehmen, sonst
bleiben die IP-Adressen garantiert bei Vielen offen… Oder alternativ die
IPs nur freigeben, wenn sie wirklich benötigt werden. Letzteres halte
ich für die sicherheitstechnisch elegantere Lösung.
du hast natürlich recht.
Ich schreibe ein Issue in GitHub.
LG
Holger
Das sehe ich als Doku Thema.
Hintergrund der ganzen Geschichte war, dass oft der Proxy nicht direkt ordentlich lief nach der Installation. Ohne Internetzugang fühlten sich viele Nutzer anschließend verloren.
Darüber hinaus muss am Client auch erstmal der Proxy eingestellt werden.
Ich halte es nicht für Gefährlich diesen kleinen IP Bereich standardmäßig offen zu lassen bis er manuell deaktiviert wird.
Hallo!
Also ein Issue im github-Doku angelegt. https://github.com/linuxmuster-docs/main/issues/347
@baumhof falls du schon eins woanders angelegt hast, dann lösche es bitte wieder.
Beste Grüße
Thorsten