die Kollegen wünschen sich schon länger ein komfortableres WLAN als unseren bisherigen Coova, der auch noch dazu über günstige TP-Link-APs verteilt wird.
Da wir nun Unifi-Hardware bekommen (6 APs haben wir schon) möchte ich umstellen:
WLAN Lehrer -> WPA-PSK nach Grün
WLAN Schüler -> WPA-EAP nach Blau
WLAN Gäste -> Voucher nach ROT (oder Blau, noch nicht sicher…)
GRÜN: Wie bekommt ihr die MAC-Adressen der Kollegen in die Workstations-Datei? Liste zum händisch eintragen aushängen und abtippen - und dazu Anleitungen für Android, IOS, Win, Mac, Linux, … ??? Oder ist der Ansturm i.d.R. gar nicht so groß?
Bisher war Blau unser Lehrernetz (Netzbrief!) - 4 lokale Clients und die WLAN-Geräte der Lehrer per Coova. Das würde ich jetzt aufgeben (nur ein lokales Netz für die 4 Rechner, die das neue Lehrernetz ausmachen, wegen Drucker) und das Blaue Netz zum Schülernetz machen.
Problem dabei: Bisher hat Coova die IPs in PINK verwaltet (192.168-er Netz) und der IPFire hatte in unserem 172.16.32.0/24-Netz (BLAU) genau einen Client per DHCP versorgt: Coova.
Jetzt würde ich die virtuellen Netzwerkkabel quasi umstöpseln und die APs (per VLAN) an Blau stecken. Damit wird IPFire zum DHCP.
Dessen Range ist aber aktuell auf 200 Clients begrenzt. Kann ich den gefahrlos erweitern? Der Standard ( https://wiki.linuxmuster.net/archiv/dokumentation:handbuch:preparation:networktopology ) sieht ja vor, dass 172.16.34.0/24 für die VPN-Clients vorgesehen ist.
Mein Plan wäre z.B. VPN auf der .34 zu lassen und dann BLAU z.B. als 172.16.64.0/20 zu setzen. Ich würde dies beim blauen DHCP eintragen und die Firewallregeln für Blau anpassen.
-> Gibt es weitere Seiteneffekte / Stolperfallen auf die ich achten muss?
Für das Gäste-WLAN frage ich mich, ob ROT überhaupt eine gute Idee ist. Ich dachte halt, Referenten sollen einfach ungefiltert ins Netz und auch nicht mit Schülergeräten in ein Netz. In der Anleitung ist es in Blau. Wie macht ihr das?
Und ganz wichtiger Punkt: Wie findet das Logging in Blau bei euch statt? Wenn wir Schülern WLAN (nach Freischaltung in der Schulkonsole) erlauben, müssen wir das doch irgendwie überwachen… bisher würde ich sagen wird nur http-Traffic im IPFire-Proxy geloggt, aber https geht „unbemerkt“ durch oder sehe ich das falsch?
Aktuell ist auch nur der URL-Filter des IPFire als Jugendschutzfilter aktiv… das ist auch ganz schön löcherig… kann man beide Probleme vielleicht mir dem Belwue-Jugendschutzfilter erschlagen?
Hui, das sind viele Fragen geworden, sorry
in jedem Fall danke für jedes Stück Mitdenken!
LG, Felix
GRÜN: Wie bekommt ihr die MAC-Adressen der Kollegen in die
Workstations-Datei? Liste zum händisch eintragen aushängen und
abtippen - und dazu Anleitungen für Android, IOS, Win, Mac, Linux, …
??? Oder ist der Ansturm i.d.R. gar nicht so groß?
so gut wie kein KollegenWLAN ist bei mir in der workstation: die nutzen
alle Blau und sind glücklich darüber …
Bisher war Blau unser Lehrernetz (Netzbrief!) - 4 lokale Clients und
die WLAN-Geräte der Lehrer per Coova. Das würde ich jetzt aufgeben
(nur ein lokales Netz für die 4 Rechner, die das neue Lehrernetz
ausmachen, wegen Drucker) und das Blaue Netz zum Schülernetz machen.
Problem dabei: Bisher hat Coova die IPs in PINK verwaltet
(192.168-er Netz) und der IPFire hatte in unserem
172.16.32.0/24-Netz (BLAU) genau einen Client per DHCP versorgt: Coova.
Jetzt würde ich die virtuellen Netzwerkkabel quasi umstöpseln und
die APs (per VLAN) an Blau stecken. Damit wird IPFire zum DHCP.
Dessen Range ist aber aktuell auf 200 Clients begrenzt. Kann ich den
gefahrlos erweitern? Der Standard ( https://wiki.linuxmuster.net/archiv/dokumentation:handbuch:preparation:networktopology
) sieht ja vor, dass 172.16.34.0/24 für die VPN-Clients vorgesehen ist.
Mein Plan wäre z.B. VPN auf der .34 zu lassen und dann BLAU z.B. als
172.16.64.0/20 zu setzen. Ich würde dies beim blauen DHCP eintragen
und die Firewallregeln für Blau anpassen.
→ Gibt es weitere Seiteneffekte / Stolperfallen auf die ich achten
muss?
ich habe coova sogar noch weiterhin neben unifi aktiv: das stört nicht.
Der Coova nimmt ja nur eine 172er IP weg …
Für das Gäste-WLAN frage ich mich, ob ROT überhaupt eine gute Idee
ist. Ich dachte halt, Referenten sollen einfach ungefiltert ins Netz
und auch nicht mit Schülergeräten in ein Netz. In der Anleitung ist
es in Blau. Wie macht ihr das?
Gästenetz von unifi mit Vouchern.
Und ganz wichtiger Punkt: Wie findet das Logging in Blau bei euch
statt? Wenn wir Schülern WLAN (nach Freischaltung in der
Schulkonsole) erlauben, müssen wir das doch irgendwie überwachen…
bisher würde ich sagen wird nur http-Traffic im IPFire-Proxy
geloggt, aber https geht „unbemerkt“ durch oder sehe ich das falsch?
Aktuell ist auch nur der URL-Filter des IPFire als
Jugendschutzfilter aktiv… das ist auch ganz schön löcherig… kann man
beide Probleme vielleicht mir dem Belwue-Jugendschutzfilter erschlagen?
ob du das Blau über den Proxy jagst oder nciht ist ja deine Sache.
Ich mach es nciht: Schüler haben immer kein Zugriff auf WLAN: erst wenn
ein Lehrer sie freischaltet können sie es nutzen.
Deswegen wird da auch nicht gefiltert (bei mir).
so gut wie kein KollegenWLAN ist bei mir in der workstation: die nutzen
alle Blau und sind glücklich darüber …
Okay - damit hätte ich auch insgeheim gerechnet
Bisher sind aber einige schon ganz angetan davon über ihr eigenes Notebook drucken zu können… werde mich wohl überraschen lassen
ich habe coova sogar noch weiterhin neben unifi aktiv: das stört nicht.
Der Coova nimmt ja nur eine 172er IP weg …
Klar, hätte ihn auch erstmal nur „abgestöpselt“, aber kann ich das mit den IP-Ranges so einfach verschieben oder hängt da irgenendwo noch was dran, was ich nicht bedenke?
Gästenetz von unifi mit Vouchern.
Kannst du mir das etwas genauer erläutern? Genau das habe ich ja vor - aber ich frage mich wie das am besten gelöst ist. Blau? Rot? Oder meinst du etwas Unifi-spezifisches?
ob du das Blau über den Proxy jagst oder nciht ist ja deine Sache.
Ich mach es nciht: Schüler haben immer kein Zugriff auf WLAN: erst wenn
ein Lehrer sie freischaltet können sie es nutzen.
Deswegen wird da auch nicht gefiltert (bei mir).
Das mit dem Zugriff würde ich auch so handhaben - mir geht es aber weniger um die Filterung (das ist eine andere Baustelle und meiner Ansicht nach auch pädagogisch handhabbar) sondern um das Logging, also für den Fall, dass jemand wirklich mal Bullshit gebaut hat auch das Ganze belegen zu können…
Kannst du mir das etwas genauer erläutern? Genau das habe ich ja vor -
aber ich frage mich wie das am besten gelöst ist. Blau? Rot? Oder meinst
du etwas Unifi-spezifisches?
ich verwende das Gästenetz des unifi Controllers und route das nach Rot
direkt raus.
Die Voucher werden auf dem unifi Controller über das WebFrontend erstellt.
Ich leg bei den Sekretärinnen einen Staple 12 Stunden Voucher hin mit
einem Stapel Anleitungen: da geben die dann je ein Blatt raus.
LG
danke - bisher drucken die Kollegen erfolgreich aus blau, aber das möchte ich ja gerade umbiegen, so dass aus blau (-> nun für Schüler) nicht mehr gedruckt werden kann, sondern nur noch aus grün…
Ich antworte hier mir mal noch selbst: Es gibt doch etwas zu beachten, wenn man das Blaue Netz umzieht. Der hilfreiche Thread:
Was mir aber immer noch nicht klar ist, sind die Firewalleregeln aus BLAU. Da es das Schülernetz wird, habe ich nur die gängigen Ports geöffnet ( 443 53, 993,995, 465, 587 und 242 auf dem Schulserver ) und z.B. SSH, ICMP etc. nicht eingerichtet.
Die Regeln greifen auch, d.h. ich kann z.B. testweise mit der 443-Regel Webseitenzugriffe erlauben und verbieten und auch die Ping-Regel greift, aber SSH bleibt möglich, d.h. ich komme mit meinem Laptop in Blau per SSH auf den Schulsever in Grün. Auch auf das Webinterface des IPFire komme ich aus Blau, obwohl das ja auf 444 liegt.
Hat hier jemand noch eine Idee, wo ich schauen kann?
Was mir aber immer noch nicht klar ist, sind die Firewalleregeln aus
BLAU. Da es das Schülernetz wird, habe ich nur die gängigen Ports
geöffnet ( 443 53, 993,995, 465, 587 und 242 auf dem Schulserver ) und
z.B. SSH, ICMP etc. nicht eingerichtet.
Die Regeln greifen auch, d.h. ich kann z.B. testweise mit der 443-Regel
Webseitenzugriffe erlauben und verbieten und auch die Ping-Regel greift,
aber SSH bleibt möglich, d.h. ich komme mit meinem Laptop in Blau per
SSH auf den Schulsever in Grün. Auch auf das Webinterface des IPFire
komme ich aus Blau, obwohl das ja auf 444 liegt.
Hat hier jemand noch eine Idee, wo ich schauen kann?
deine Angaben sind nicht ausreichend.
Du schreibst von freigegebenen Ports „aus Blau“: aber nicht, wohin du
sie freigegeben hast.
Poste doch mal die Regeln aus dem IPFire.Und schreib dazu, was du
willst, was geht und was nicht geht.
Wenn ich z.B. das Häkchen bei 443 rausnehme, kann man nicht mehr surfen. Mit dem Häkchen, so wie abgebildet, kommt man raus.
Die Regeln für SSH und z.B. CUPS sind deaktiviert, da Blau ja vorher unser Lehrer-WLAN war, und da wollte ich auch SSH haben… die Schüler hätte ich aber gerne jetzt draußen. Häkchen wegnehmen reicht hier aber nicht.
Was auch seltsam ist, ich kann zwar den Server (10.32.1.1) aus Blau (172.16.64.0/18) jetzt nicht mehr anpingen, aber ich kann die 10.32.1.254 anpingen (die IP des IPFire in Grün). Das sollte meiner Meinung nach auch nicht gehen…
Hallo zusammen,
ich frage nochmal nach, ob jemand eine Idee für mein Problem hat:
Screenshot im Post darunter. Da gerade die gesamte Kursstufe momentan Wifi-Zugang von der Schulleitung bekommt (Arbeitsräume+Freistunden…), wäre ich froh, wenn ich diese Sicherheitslücken (SSH auf Server in grün möglich + Webinterface IPFire aus Blau erreichbar ) stopfen könnte…
Die Regeln greifen auch, d.h. ich kann z.B. testweise mit der
443-Regel Webseitenzugriffe erlauben und verbieten und auch die
Ping-Regel greift, aber SSH bleibt möglich, d.h. ich komme mit
meinem Laptop in Blau per SSH auf den Schulsever in Grün. Auch auf
das Webinterface des IPFire komme ich aus Blau, obwohl das ja auf
444 liegt.
das ist schon sehr seltsam, da der Zugriff auf die Firewall ja eine
extra Regel ist.
Machst du 444 von Blau nach Rot auf, dann solltest du trotzdem nicht auf
die Weboberfläche der Firewall kommen, da die Regel dann Blau →
Firewall lauten müßte…
Screenshot im Post darunter. Da gerade die gesamte Kursstufe momentan
Wifi-Zugang von der Schulleitung bekommt (Arbeitsräume+Freistunden…),
wäre ich froh, wenn ich diese Sicherheitslücken (SSH auf Server in grün
möglich + Webinterface IPFire aus Blau erreichbar ) stopfen könnte…
zu deinem Sicherheitsloch:
der Zugriff auf das ssh vom Server wird bei mir nie per Firewall
geregelt, sondern mit einem ssh key: ZUgriff nur mit ssh key: da darf
gerne jeder Bruteforceatacken auf das ssh am Server machen: der
ignoriert alles, was mit Passwort und ohne key passiert.
Das will ich dir auch wärmstens ans Herz legen: ssh am Server → Nur mit
ssh key.
Bleibt also der Zugriff auf die Firewall.
Mach doch eine Blau-> Firewall Port 444 tcp Regel die Blockt und leg sie
in der Reihenfolge der Regeln über die Blau erlaubt Regeln.
Immer „Änderungen übernhmen“ nach Änderungen machen.
Beim IPFire hab ich da auch schon Verwirrungen beim Einrichten von
Firewallregeln bemerkt: vor allem sollte man den „zurück“ Knopf des
Browsers nicht bemühen!
Manchmal half ein reboot der Firewall, manchmal mußten aber
problematischen Regeln gelöscht, übernommen und neu angelegt werden, bis
sie richtig angenommen wurden (so als Hinweis für dich)
