Hallo!
Wie bekommt ihr, falls nötig, heraus, wer jetzt im Netz was angestellt hat? Du hast ja nur eine MAC-Adresse in den Logs…
LG
Max
Hallo Max,
zu einer MAC gehört in der Regel auch eine IP. Über die dhcpd.leases könnte man rausfinden welche und evtl. den dazugehörigen Gerätenamen. Hast du die IP, schaust du den squid access.logs nach und dann heißt es Recht schnell BINGO…
Viele Grüße
Thomas
Hallo Thomas,
das Gerät gehört aber den Schülern. Wie soll ich da rausfinden, wessen Gerät das jetzt war? Und wenn einer was angestellt hat, kommt er vll. mit nem anderen Gerät… Ist vielleicht auch zu paranoid, aber es gibt doch die schöne WLAN-Radius-Geschichte über die Schuko, jetzt sogar mit App für den Lehrer. Einfacher gehts nicht 
LG
Max
Hallo.
Ja, das stimmt schon alles… Aber es bleibt nunmal ein Problem, dass man in der Schuko nicht soooo einfach beliebige Gruppen per Knopfdruck “online holen” kann. Da muss man zuvor ein Projekt zB für Oberstufenkurse anlegen und dort alle SuS des Kurses rein packen. Das ist für Otto-Normal-KuK schon zu kompliziert. Voucher (und dazu evtl sogar per QR Code) wäre einfacher – aber zugegeben nicht so gut zu “überwachen”…
Michael
Hier ein Versuch via Serienbrief:
https://blog.egovernment.krzn.de/dynamische-qr-codes-im-ms-office-word-serienbrief-macwindows/
Hallo Max,
die Voucher Nummer zur MAC Adresse ist eindeutig. Die IP Adresse zur MAC Adresse auch. Du weißt doch an wen der Voucher ausgegeben wurde, also weisst du auch welches Gerät das war.
Oder bin ich irgendwo falsch abgebogen?
Gruß
Thomas
Hmm… vielleicht noch ein ein Gedanke.
Wenn ich in dem von mir verwalteten Netz nicht nachvollziehen kann, wer was macht oder gemacht hat, dann krankt es irgendwie an einem Designfehler…
Nein, das weißt du (zumindest bei Mehrfachnutzung!) nicht! In der Praxis müsste es so sein, dass der Lehrer ein einziges Voucher mitnimmt und entweder den temp. Code anschreibt oder zeigt. Dann sind die Schüler alle über dieses Ticket online. So einfach wie sich das darstellt, so viele Tücken hat das Vorgehen aber auch, wie wir gerade sehen
Wenn’s ein Designfehler ist, wäre der Weg via WPA-Enterprise/Freeradius wahrscheinlich doch besser – aber auch hier stellt sich die Frage, wie man den Zugang möglichst einfach für gewissen Gruppen/Kurse/Klassen einstellen kann.
Hallo Michael,
wenn das so gehandhabt wird, kann man auch ne Fritzbox ins Klassenzimmer stellen, alle Geräte per WPS verbinden und anschließend den Stecker ziehen…das wäre sogar sicherer…
Wie viele FritzBoxen willst du denn in der Schule lagern?? 
Hallo Michael,
Na so wie du das beschrieben hast, bringt die Verwendung von Captive Portal mit Voucher gar nichts. Die Regel lautet: Ein Voucher = ein Gerät. Klar kann man einstellen, dass man auch mehrere Geräte mit einem Voucher betreiben kann, aber niemals gleichzeitig. So wie das da gehandhabt wird, hast du jedenfalls keine Zugangskontrolle, sondern irgendeine Form von Internetsperre und noch nicht Mal eine Gute.
Viele Grüße
Thomas
Rechtlich kann das ein ziemliches Problem werden. Im Zweifel könnte der Inhaber des Vouchers, in dem Fall der Lehrer, haftbar (auch strafrechtlich) haftbar gemacht werden, denn an diesen würde der Voucher ausgegeben. Als Lehrkraft würde ich mir nicht nur zweimal überlegen, ob ich dieser Handhabe und den daraus potentiell entstehen Konsequenzen so zustimmen und die Hand für meine Schüler ins Feuer lege täte. Da muss mir nur einer was Böses wollen, weil er sich von mir ungerecht behandelt fühlt und sich “nur so” auf “irgendwelchen Seiten” rumtreibt. Bei der Recherche schaut man da nach und findet Lehrkraft sowieso, an die zur fraglichen Zeit der Voucher ausgegeben wurde.
So…und dann steht auf einmal ein Vorwurf im Raum und du als Voucherinhaber bist erstmal verdächtig…
Ich denke ich muss das hier nicht weiter ausführen.
Die Schulleitung/Netzwerkbetreuung möchte ich im Ernstfall sehen, die sich dann vor die betroffene Lehrkraft stellt und sagt: Nein, nein! Der Kollege Sowieso ist absolut integer, der würde das nie tun. An unserer Schule gibt es sowas nicht.
Um die Frage zu beantworten
Soviele wie nötig. 
Hi.
Ok, wenn es also doch in Richtung „Überwachung des Surfverhaltens der Schüler“ geht, dann sind Freifunk und Co offenbar sowieso schon mal raus?!
Aber auch während des Unterrichts müsste dann ein Filter her, der nur freigeschaltete URLs erlaubt und alles andere draußen lässt. Denn sonst könnte im Fall der Fälle ja genau das gleiche von dir beschriebene Szenario auch so auftreten.
Das wäre in Sachen „Konzentration auf eine Seite/Sache und nicht auf 50 andere gleichzeitig“ nicht schlecht – ist aber so meines Wissens nicht vorgesehen, oder??
Nur noch der Vollständigkeit halber:
Ein Voucher = ein Gerät.
Der Unifi Controller kann es problemlos auch anders und jedem Schüler vor der Nutzung einzeln ein Voucher zu geben ist leider nicht praxistauglich, da die Stunde dann vorüber ist.
Halte ich nicht für realisierbar. Dann doch eher ein Accesspoint im Klassenzimmer, der per Schlüsselschalter an/aus geschaltet werden kann (wobei sich erneut die Frage es Zugangs stellt)
Schönen Gruß,
Michael
Hallo zusammen
ich habe eine Frage in diesem Kontext:
Wenn ich irgendein Portal für SuS öffne (wie auch immer gesteuert Voucher/Schulkonsole) dann holen sich doch die potentiellen Geräte eine IP bis sie dann ggf geblockt werden.
Bei einer Schule mit 1000 SuS dürften dann doch jede Menge IPs vergeben sein, weil die SuS dauernd versuchen doch irgendwie ins Netz zukommen, bzw ihr Gerät in der Tasche das einfach macht, weil es ein schon mal bekanntes Netz erkennt.
Die aktuelle Einstellung des IPFire sind gerade mal gut 200 IP frei …
Wie geht man damit um?
Grüße Rainer
Bei uns sind’s aktuell 2048 … da kann jeder Schüler mit zwei Geräten kommen. Die IPs kommen aktuell vom Coova und der hat eine andere Netzmaske als z.B. die FritzBox.
Hallo Rainer,
in der von linuxmuster aktuell vorgesehenen Weise vergubt der IPFire ja nur eine IP an den Cova, d.h. der Cova muss einen geügend große Netzmaske haben.
Grüße,
Sven
Hallo Michael,
hier geht es nicht um “Überwachung des Sufverhaltens der Schüler”, sondern um den Missbrauch eures Schulnetzwerks für Straftaten wenn nicht zu verhindern, zumindest doch nachvollziehen zu können. Hier geht es ja nicht nur um den Aufruf nicht zugelassener Webseiten, sondern auch um das Einbringen von Schadsoftware (Trojaner, Viren, Malware).
Natürlich gibt es auch Webfilter, die über sog. Lernboxen den Schülern genau eine URL freischalten. Ich stelle mir dann die Frage, ob es sowas Restriktives wirklich braucht, oder ob es nicht andere Methoden gibt. Aber das führt jetzt eher in Richtung Jugendschutzfilter und Co.
Über die pfSense/openSense kann ich im Vorfeld schon mit X-viele Rollen mit Vouchern unterschiedlichster Länge erstellen und die bei Bedarf nehmen. Und zwar soviele, dass sie für die nächsten 10 Jahre reichen. Dafür braucht man evtl. 45 Minuten.
Fritzboxen brauchst im Zweifel gar keine.
Die Methode mit einem Voucher für mehrere Geräte gerade wegen der fehlenden Voucher=Gerät-Zuordnung halte aus den genannten Gründen für nicht praktikabel und für rechtlich bedeklich. Da sind andere Lösungsansätze z.B. Radius zu bevorzugen.
[quote=“Michael, post:18, topic:3373”]
Dann doch eher ein Accesspoint im Klassenzimmer, der per Schlüsselschalter an/aus geschaltet werden kann
[/quote] Wenn man das Gebäude so ausgeleuchtet und die Access-Points dementsprechend platziert hat, dass nur das jeweilige Klassenzimmer bedient, wird bringt das was. Wenn andere Access-Point in Reichweite sind, nicht.
Viele Grüße
Thomas
Hi.
Ok, wenn es „nur“ um die Begrifflichkeiten geht, kann ich es auch anders formulieren: man muss in der Lage sein nachzuvollziehen, wer was wann gemacht hat; sprich Log-Dateien müssen angelegt und auswertbar sein. (Man kann es also auch ohne „Überwachung“ formulieren )
Nochmal zu der Lösung per Voucher: Ich bin selbst hin- und hergerissen. Einerseits ist es auf diesem Weg denkbar einfach – andrerseits macht man da vermutlich ein Fass auf. Im Unkehrschluss heißt das aber, dass der Login für Schüler/Klassen/Gruppen nicht viel komplizierter sein sollte, damit es breite Anwednung findet…
Ich hatte ja oben schon geschrieben, dass ich es im Moment für Kurse zu umständlich finde, dass man sich zunächst ein Projekt erstellen muss, das man dann in die Gruppe p_wifi aufnehmen kann. Zwar habe ich mir ein Script geschrieben, das genau das für mich übernimt, aber es bleibt dann dennoch an mir hängen. Der normale Kollege kennt sich zu wenig aus, um es schnell selbst erledigen zu können – und schon gar nicht ad hoc. So bleibt es für Klassen, die sophomorix schon kennt, leicht – aber für Oberstufenkurse (also da, wo es erst interessant wird) kompliziert(er) …
Kann sein, dass du mich hier falsch verstanden hast: Das Erstellen der Voucher geht natürlich schnell. Aber hast du schon mal 30 individuelle Voucher an 30 Schüler verteilt und dann zugesehen, wie lange es dauert bis 30 Schüler mit diesen persönlichen Tickets angemeldet sind? Das ist so nicht praktikabel.
Nebenbei:
OPNSense kann ja selbst filtern aber es bleibt die Frage: Wie sperrt man die nervigen Seiten wie facebook und Co dauerhaft aus, ohne ständig nachjustieren zu müssen – vor allem im Hinblick auf https://nervige-domain.de. Daher fände ich die Möglichkeit, eine Domain/URL für die Schüler freizuschalten und den Rest zu sperren gar nicht soooo übel. Ich erinnere mich, dass das Windows-Tool „MasterEye“ das schon vor x Jahren so gemacht hat.
Schöne Grüße.
Michael
Hallo Michael,
ich kenne eine Schule die Time for Kids mit Schulfilter+ im Einsatz hat. Das macht genau das.
Stimmt ich hatte dich da falsch verstanden. Weil das eben aber so lange dauert, ist dieses Voucher Konzept für den Unterricht so nicht geeignet. Da ist Radius deutlich besser und Komfortabler.
Das Problem scheint eher ein anderes zu sein. Du bräuchtest eine Lösung mit der Du quasi Benutzerbasiert arbeiten kannst. Sprich du möchtest dem Schüler A oder der Benutzergruppe B das Internet freischalten und nicht irgendwelchen Geräten? Versteh ich das richtig? Dann bräuchtest Du das ganze Voucher Gefriemel nicht.
Viele Grüße
Thomas
Viele Grüße
Thomas
Ja, im Prinzip hast du Recht! Wir haben viele Geräte „dauer-online“. Das funktioniert problemlos. Bei (beliebigen) Benutzergruppen wird es halt kompliziert.