Skolelinux "Architektur" aka Netztopologie.
Am Tuesday 18 January 2005 22:41 schrieb Albrecht Frank:
> PS: So weit sind wir gar nicht entfernt.
Hi!
Das würde ich auch so sehen. Die Ausgangsituationen von Schulen sind halt sehr
unterschiedlich. (Größe/Bedarf, vorhandene Netzinfrastrukur, vorhandenne
Mittel, ...) Es wäre eigentlich schade wenn Du dich zu schnell wieder
ausklinken würdest. Die Sache liest sich allerdings nicht schön wenn davon
die Rede ist das jemand mit seinen schmutzigen Handtüchern nicht an sich
halten kann.
Aufteilbarkeit der Serverdienste ist in Skolelinux wohl vorgesehen (mindestens
per DNS A-Einträge). Und in diese Richtung ist wohl auch das "Barebone"
Profil angedacht von dem in faj's sarge-image Text die Rede ist.
Wie würdet Ihr das Skolelinux "Architektur" Schaubild für größere
Installationen anpassen? Idealerweise natürlich aus der kleinen Installation
ausbaubar. File-, Mail-, etc. Server, mehrere TC-Server, zwingend separate
Router? Oder das durch die TC-Server erledigen lassen? (Diese machen schon
jetzt postrouting NAT für ihr Subnetz.)
Welche Möglichkeiten würden euch einfallen um mitgebrachte PCs oder auch Dual
Boot TC/Wxx Kisten besser im Netz zu handhaben?
- DHCP Server auf TC-Server bekannte Clients die keinen Namen melden mit
anderen IP Bereich booten lassen als DHCP Requests mit Namen
(Dualboot/externe Wxx Clients) Evl. kein Routing für Win IPs.
- Ggf. und optional auch unbekannte MACs einen extra Adresspool einräumen.
Dies ist definitiv nicht sicher aber wohl die geeignetste Möglichkeit für die
Nutzung eigener Geräte in einem mehr oder weniger zugänglichem Raum.
- Alle nicht unter Aufsicht stehenden Dosen könnten z.B. hinter (ggf. vlan)
einem TC-Server liegen der so wie im vorigen Punkt und filternd konfiguriert
ist
- Ein Satz Filterregeln für den TC-Server der nicht nur aus der Masquerade
Zeile besteht.
Und wie die Laptops im Klassenräumen mit APs anbinden?
AP mit NAT und gateway auf VPN Endpoint (IPCOP/BLUE)?
VLAN unmöglich weil AP beliebig eingestöpselt werden soll?
Nutzung lediglich anderer IP Bereiche durch APs zu unsicher? (Wer schon an
einer Dose hängt kann sich den Angriff auf das VPN sparen, Wer über Funk
kommt muß erst mal den AP überwinden. Vielleicht ist es ja doch leichter
einfach die Tür zu nehmen. ;-)
VPN ist wohl machbar für den Vollzugriff für schuleigene Rechner. Was aber
machen für externe? Squid auth oder Ähnliches?
AP mit WPA?
Gruß
Christian
Reply to: