Hallo Rainer,
in der von linuxmuster aktuell vorgesehenen Weise vergubt der IPFire ja nur eine IP an den Cova, d.h. der Cova muss einen geügend große Netzmaske haben.
Grüße,
Sven
Hallo Michael,
hier geht es nicht um “Überwachung des Sufverhaltens der Schüler”, sondern um den Missbrauch eures Schulnetzwerks für Straftaten wenn nicht zu verhindern, zumindest doch nachvollziehen zu können. Hier geht es ja nicht nur um den Aufruf nicht zugelassener Webseiten, sondern auch um das Einbringen von Schadsoftware (Trojaner, Viren, Malware).
Natürlich gibt es auch Webfilter, die über sog. Lernboxen den Schülern genau eine URL freischalten. Ich stelle mir dann die Frage, ob es sowas Restriktives wirklich braucht, oder ob es nicht andere Methoden gibt. Aber das führt jetzt eher in Richtung Jugendschutzfilter und Co.
Über die pfSense/openSense kann ich im Vorfeld schon mit X-viele Rollen mit Vouchern unterschiedlichster Länge erstellen und die bei Bedarf nehmen. Und zwar soviele, dass sie für die nächsten 10 Jahre reichen. Dafür braucht man evtl. 45 Minuten.
Fritzboxen brauchst im Zweifel gar keine.
Die Methode mit einem Voucher für mehrere Geräte gerade wegen der fehlenden Voucher=Gerät-Zuordnung halte aus den genannten Gründen für nicht praktikabel und für rechtlich bedeklich. Da sind andere Lösungsansätze z.B. Radius zu bevorzugen.
[quote=“Michael, post:18, topic:3373”]
Dann doch eher ein Accesspoint im Klassenzimmer, der per Schlüsselschalter an/aus geschaltet werden kann
[/quote] Wenn man das Gebäude so ausgeleuchtet und die Access-Points dementsprechend platziert hat, dass nur das jeweilige Klassenzimmer bedient, wird bringt das was. Wenn andere Access-Point in Reichweite sind, nicht.
Viele Grüße
Thomas
Hi.
Ok, wenn es „nur“ um die Begrifflichkeiten geht, kann ich es auch anders formulieren: man muss in der Lage sein nachzuvollziehen, wer was wann gemacht hat; sprich Log-Dateien müssen angelegt und auswertbar sein. (Man kann es also auch ohne „Überwachung“ formulieren 
)
Nochmal zu der Lösung per Voucher: Ich bin selbst hin- und hergerissen. Einerseits ist es auf diesem Weg denkbar einfach – andrerseits macht man da vermutlich ein Fass auf. Im Unkehrschluss heißt das aber, dass der Login für Schüler/Klassen/Gruppen nicht viel komplizierter sein sollte, damit es breite Anwednung findet…
Ich hatte ja oben schon geschrieben, dass ich es im Moment für Kurse zu umständlich finde, dass man sich zunächst ein Projekt erstellen muss, das man dann in die Gruppe p_wifi aufnehmen kann. Zwar habe ich mir ein Script geschrieben, das genau das für mich übernimt, aber es bleibt dann dennoch an mir hängen. Der normale Kollege kennt sich zu wenig aus, um es schnell selbst erledigen zu können – und schon gar nicht ad hoc. So bleibt es für Klassen, die sophomorix schon kennt, leicht – aber für Oberstufenkurse (also da, wo es erst interessant wird) kompliziert(er) …
Kann sein, dass du mich hier falsch verstanden hast: Das Erstellen der Voucher geht natürlich schnell. Aber hast du schon mal 30 individuelle Voucher an 30 Schüler verteilt und dann zugesehen, wie lange es dauert bis 30 Schüler mit diesen persönlichen Tickets angemeldet sind? Das ist so nicht praktikabel.
Nebenbei:
OPNSense kann ja selbst filtern aber es bleibt die Frage: Wie sperrt man die nervigen Seiten wie facebook und Co dauerhaft aus, ohne ständig nachjustieren zu müssen – vor allem im Hinblick auf https://nervige-domain.de. Daher fände ich die Möglichkeit, eine Domain/URL für die Schüler freizuschalten und den Rest zu sperren gar nicht soooo übel. Ich erinnere mich, dass das Windows-Tool „MasterEye“ das schon vor x Jahren so gemacht hat.
Schöne Grüße.
Michael
Hallo Michael,
ich kenne eine Schule die Time for Kids mit Schulfilter+ im Einsatz hat. Das macht genau das.
Stimmt ich hatte dich da falsch verstanden. Weil das eben aber so lange dauert, ist dieses Voucher Konzept für den Unterricht so nicht geeignet. Da ist Radius deutlich besser und Komfortabler.
Das Problem scheint eher ein anderes zu sein. Du bräuchtest eine Lösung mit der Du quasi Benutzerbasiert arbeiten kannst. Sprich du möchtest dem Schüler A oder der Benutzergruppe B das Internet freischalten und nicht irgendwelchen Geräten? Versteh ich das richtig? Dann bräuchtest Du das ganze Voucher Gefriemel nicht.
Viele Grüße
Thomas
Viele Grüße
Thomas
Ja, im Prinzip hast du Recht! Wir haben viele Geräte „dauer-online“. Das funktioniert problemlos. Bei (beliebigen) Benutzergruppen wird es halt kompliziert.
2 Beiträge wurden in ein neues Thema verschoben: WLan ohne Kontrollzwang: Freifunk in der Schule
Ich ab das mal aus dem Kontrollfred weggeschoben, da es hier ja doch etwas OT ist.
Hallo Michael,
dieses Prinzip, dass der Internetzugriff erst auf der Firewall geschieht und dafür Benutzerbezogen ist, soll in der lmn7 so umgesetzt werden.
Viele Grüße
Thomas
das ist sehr gut - aber Oberstufenkurse kennt das System doch weiterhin nicht?! Wie funktioniert die Freigabe mit v7 also für „beliebige Gruppen“?
Hallo Michael,
letztlich sind Kurse doch auch nur AD-Objekte also eine Gruppe. Wenn die Schüler einem Kurs (also einem AD-Objekt) zugeordnet sind, sollte man das über das jeweilige AD- Objekt steuern können. Das funktioniert z.B. so bei CampusLAN. Da können alle Schüler einer Klasse (z.B. Jahrgangsstufe) in unterschiedlichen Kursen sein. Internetsperre wirkt immer auf das jeweilige Objekt das der Lehrer “in Verwendung” hat also in dem Fall den Kurs.
Viele Grüße
Thomas
Soweit ich weiß, kannst du beliebige Gruppen / Kurse als Lehrkraft in der webUI anlegen (im Unterrichtmodul). Dort kann man dann auch Internet an/aus steuern. Getestet habe ich das nicht, aber so sah es zumindest aus, als ich mir das mal angeschaut habe.
vG Stephan
1 „Gefällt mir“
Hallo,
in der von linuxmuster aktuell vorgesehenen Weise vergubt der IPFire ja
nur eine IP an den Cova, d.h. der Cova muss einen geügend große
Netzmaske haben.
und hat man unifi dann bekommen die Clients die IP vom IPFire.
Wie man die Netzwerkmaske für Blau im IPFire aufbohrt habe ich vor über
2 Jahren beschrieben.
LG
Holger
Hallo,
ich verstehe die ganze Diskussion nicht.
In der lmn62 hat man die Gruppe p_wifi (oder p_wlan?).
Die Zugehörigkeit wird in der SchuKo gemanaged.
Da kann jeder Lehrer seine Schüler rein nehmen und die haben dann
Zugriff für 45 oder 90 Minuten.
Meine Lehrer bekommen das ohne Probleme hin … seit Jahren …
Einziges Problem: es ist eine “Zugangskontrolle”: ist man drin und die
Zeit läuft ab, dann fliegt man nicht raus. Wer also immer Traffic macht
und deswegen keinen Diskonnect bekommt, bleibt drin.
Ich kann bisher gut damit leben.
Wer das nciht kann, muss halt nach der Zeit X alle connects trennen
(z.B. in jeder Großen Pause …).
Vielleicht kann mir jemand nochmal das Problem erklären, dann kann ich
auch mitdiskutieren 
VIele Grüße
Holger
Hi Holger.
Es geht um folgendes: Für Klassen geht das Freischalten des Internetzugangs bequem in der Schulkonsole. Für Kurse und beliebige andere Gruppen aber nicht, da sophomorix sie nicht kennt, solange sie nicht manuell angelegt wurden. Man kann das also nicht ad hoc machen sondern muss vorher immer erst die Gruppen zusammenklicken und sie dann p_wifi beitreten lassen. Das ist uU zu umständlich oder dauert zu lange.
Daher sind hier unterschiedliche andere Möglichkeiten angedacht worden: die Freigabe per Voucher ist eine davon, da das sehr schnell und für beliebige Gruppen funktioniert – aber die o.g. anderen Nachteile hat. FreeRadius und WPA Enterprise ist sicher der beste Weg, doch auch hier bleibt die Frage, wie man schnell und effektiv z.B. die Schüler eines Oberstufenkurses in die Gruppe bekommt.
Man kann natürlich sagen: Das macht jeder Kollege am Anfang des Schuljahres genau einmal und hat dann ein ganzes Schuljahr Ruhe. Die Praxis zeigt mir aber, dass das (zumindest bei uns) so nicht gut läuft bzw zu oft nicht klappt, so dass es dann doch an mir hängt …
Jetzt bist du im Bilde, denke ich.
Michael
Hallo Michael,
Es geht um folgendes: Für Klassen geht das Freischalten des
Internetzugangs bequem in der Schulkonsole. Für Kurse und beliebige
andere Gruppen aber nicht, da sophomorix sie nicht kennt, solange sie
nicht manuell angelegt wurden. Man kann das also nicht ad hoc machen
sondern muss vorher immer erst die Gruppen zusammenklicken und sie dann
p_wifi beitreten lassen. Das ist uU zu umständlich oder dauert zu lange.Daher sind hier unterschiedliche andere Möglichkeiten angedacht worden:
die Freigabe per Voucher ist eine davon, da das sehr schnell und für
beliebige Gruppen funktioniert – aber die o.g. anderen Nachteile hat.
FreeRadius und WPA Enterprise ist sicher der beste Weg, doch auch hier
bleibt die Frage, wie man schnell und effektiv z.B. die Schüler eines
Oberstufenkurses in die Gruppe bekommt.Man kann natürlich sagen: Das macht jeder Kollege am Anfang des
Schuljahres genau einmal und hat dann ein ganzes Schuljahr Ruhe. Die
Praxis zeigt mir aber, dass das (zumindest bei uns) so nicht gut läuft
bzw zu oft nicht klappt, so dass es dann doch an mir hängt …
das ist kein WLAN Problem oder Firewall problem sondern ein Gruppenproblem.
Bei uns wird das über das Projekt gelößt: wie du auch schreibst.
Der erste der das braucht macht ein Projekt und in dem ist das WLAN
einschalt bar, wie in einer Klasse.
LG
Holger
Hi Holger.
Na ja, da es mehrere Möglichkeiten gibt, ist es eher ein „best practice“ Problem. Wenn du die Gruppen vom ersten betroffenen Kollegen anlegen lässt, muss er es aber immer als offenes Projekt machen, oder?
Schöne Grüße
Michael
Hallo,
Na ja, da es mehrere Möglichkeiten gibt, ist es eher ein “best practice”
Problem. Wenn du die Gruppen vom ersten betroffenen Kollegen anlegen
lässt, muss er es aber immer als /offenes/ Projekt machen, oder?
bisher haben es die Kollegen der Oberstufe geschafft sich ab zu sprechen.
LG
Holger
Hallo Thomas,
der Post war die Antwort auf Beitrag 2, also der Lehrer publiziert EIN Voucher für Schülergeräte…
LG
Max
1Hallo
Ja, das gehört dann zur UnterrichtsVORbereitung und nicht ad hoc…
So eine Projektzuordnung hält allerdings auch ein Jahr, man muss es also nicht „immer“ machen. Außerdem hat man dann in den PC-Räumen auch gleich ein Tausch-Verzeichnis, kann in der Cloud an diese Gruppe teilen usw…
Nach p_wifi muss man die Gruppe nicht mehr beitreten lassen, dafür gibts in der SchuKo ja das WLAN-Häkchen. Außerdem geht es mit Martins Minisk-App dann auch vom mobilen Endgerät aus, die Gruppen fürs WLAN temporär freizuschalten. Das ist doch eine elegante Lösung!
viele Grüße,
Max
Hi Max.
Ich habe mir die MAus-Schulkonsole angesehen (aber noch nicht installiert). Bleibt der Funktionsumfang mit V7 so erhalten? Ich frage nur sicherheitshalber vorher … die App sieht ebenfalls gut aus. Aber auch da ist die Frage, ob mit V7 und der Umstellung auf AD alles noch genauso laufen wird?
Bis später,
Michael
Hallo Michael,
Ich habe mir die MAus-Schulkonsole angesehen (aber noch nicht
installiert). Bleibt der Funktionsumfang mit V7 so erhalten? Ich frage
nur sicherheitshalber vorher … die App
https://www.linuxmuster.net/wiki/anwenderwiki:classroom_management:skmini_android
sieht ebenfalls gut aus. Aber auch da ist die Frage, ob mit V7 und der
Umstellung auf AD alles noch genauso laufen wird?
das kann man jetzt noch garnicht sagen.
Es kommt darauf an ob Martin (oder jemand anders: ist ja OpenSource)
Lust und Zeit hat das an zu passen.
LG
Holger